none
Proxy Server per aggiornamenti SysOp RRS feed

  • Domanda

  • Ciao a tutti

    Avrei la necessità di fare gli aggiornamenti di circa 60 Server 2008 R2 che non sono connessi alla rete pubblica per motivi di sicurezza.
    Ho pensato di creare un Proxy e utilizzarlo solo come Server Aggiornamenti.

    E' possibile e come?

    Grazie anticipatamente

    • Modificato Anca Popa venerdì 7 ottobre 2011 07:10 typo error
    martedì 4 ottobre 2011 10:59

Risposte

  • Hai valutato l'installazione di un server WSUS?


    Ciao

     

     


    Andrea Sistarelli
    MCT-MCSE-MCTS-CCNA
    • Proposto come risposta ObiWan martedì 4 ottobre 2011 12:30
    • Contrassegnato come risposta Fabrizio Volpe venerdì 7 ottobre 2011 09:27
    martedì 4 ottobre 2011 12:25
  • Dato che ho deciso di fare il WSUS e avete sottolineato l'importanza dello storage, avrei bisogno di capire più o meno, visto i 60 Server 2K8 R2 che devo alimentare, che capacità devo avere sul server WSUS .

    Inizia leggendo questo documento che spiega piuttosto bene come pianificare ed installare WSUS all'interno di un'infrastuttura preesistente

    Detto questo, se all'interno della tua infrastuttura hai già delle unità "storage" (NAS/SAN) potrebbe essere una buona idea installare WSUS in modo che lo stesso utilizzi tale storage per i propri dati; in questo modo sarà relativamente semplice estendere lo spazio di storage ove/quando ciò fosse necessario; in alternativa, in mancanza di uno storage di rete, potresti valutare l'uso di un "disco dinamico" sul sistema dedicato a WSUS, in questo modo, per estendere lo spazio di storage ove necessario, ti basterà aggiungere a tale sistema un'ulteriore unità disco ed usare tale unità per ampliare il disco dinamico

     


    • Modificato ObiWan mercoledì 5 ottobre 2011 11:15
    • Contrassegnato come risposta Fabrizio Volpe venerdì 7 ottobre 2011 09:28
    mercoledì 5 ottobre 2011 09:04

Tutte le risposte

  • Hai valutato l'installazione di un server WSUS?


    Ciao

     

     


    Andrea Sistarelli
    MCT-MCSE-MCTS-CCNA
    • Proposto come risposta ObiWan martedì 4 ottobre 2011 12:30
    • Contrassegnato come risposta Fabrizio Volpe venerdì 7 ottobre 2011 09:27
    martedì 4 ottobre 2011 12:25
  • Hai valutato l'installazione di un server WSUS?

    +1 :)

    L'idea è sicuramente valida, anzi, ritengo che possa essere considerata una soluzione alla problematica esposta; non solo l'implementazione di un WSUS è praticamente a costo zero (il software è gratuito ed i requisiti di sistema sono minimi) ma permette anche di centralizzare tutti gli aggiornamenti, di gestirli e di avere un maggior controllo sul livello di aggiornamento dei vari sistemi

    P.S.: Andrea, va bene esser sintetici, ma un link lo potevi anche includere !

     


    • Modificato ObiWan martedì 4 ottobre 2011 12:32
    martedì 4 ottobre 2011 12:30
  • Ma vogliamo proprio togliere il gusto di far cercare le cose :) :)

     

    Ciao

     


    Andrea Sistarelli
    MCT-MCSE-MCTS-CCNA
    martedì 4 ottobre 2011 12:35
  • Pigiando alacremente sui tastini, Andrea Sistarelli scrisse:

    Hai valutato l'installazione di un server WSUS?

    -1
    Un server WSUS va GESTITO e con una certa attenzione e frequenza. Se non c'è chi lo fa o chi lo fa non ha un buon skill, risulta un sistema approssimato e molto poco affidabile. Inoltre vale se il parco macchine è abbastanza consolidato e uniforme; se ci son macchine con 2003, 2003r2, magari in versioni 32 e 64 bit, 2008 etc etc etc ogni singola patch va moltiplicata per tutte le versioni di HW presenti.
    E non ho citato le patch eventualmente fornite per schede di rete, controllers, schede video o altro.
    Sugli scarsi requisiti di sistema, poi, non saprei.. io credo che ci voglia molto, ma molto spazio disco. Se arriva un nuovo server e va "patchato" dalla "vanilla version", van conservate TUTTE le vecchie fix..
    Boh. Anche io tifavo per WSUS ma poi ogni volta che ho provato a metterlo in una archittettura l'ho dovuto togliere...


        Luca Amicone

    martedì 4 ottobre 2011 12:41
  • Non mi trovi molto daccordo con il tuo pensiero.

    Che un server WSUS vada gestito è fuori dubbio, penso che anche i 60 server vadano gestiti, poi volendo puoi anche configurare il WSUS per applicare gli aggiornamenti automaticamente...

    Uso un server WSUS da ogni cliente e non mi sognerei mai di toglierlo, problemi non ne ho mai avuti, e non vedo come possa complicarti le cose semmai le semplifica.

    Gli aggiornamenti che scarichi non devi mica tenerli tutti a vita, quelli che sono sotituiti puoi tranquillamente cancellarli e alla fine con i moderni dischi rigidi non vedo proprio come puoi avere problemi di spazio..

    Ciao

     


    Andrea Sistarelli
    MCT-MCSE-MCTS-CCNA
    martedì 4 ottobre 2011 12:53
  • Hai valutato l'installazione di un server WSUS?

    Un server WSUS va GESTITO e con una certa attenzione e frequenza. Se non c'è chi lo fa o chi lo fa non ha un buon skill, risulta un sistema approssimato e molto poco affidabile.
    Certo, ma c'è da dire che, prima di tutto non è che Microsoft rilasci patches ad ogni piè sospinto ed in secondo luogo, WSUS va comunque gestito come un qualsiasi altro componente dell'infrastuttura; ovvio che questo NON significa avere un'attenzione costante, basta semplicemente implementare delle policies di default per gli aggiornamenti che permettano di gestire il tutto in modo corretto (testing, approvazione, rilascio)
    Inoltre vale se il parco macchine è abbastanza consolidato e uniforme; se ci son macchine con 2003, 2003r2, magari in versioni 32 e 64 bit, 2008 etc etc etc ogni singola patch va moltiplicata per tutte le versioni di HW presenti. E non ho citato le patch eventualmente fornite per schede di rete, controllers, schede video o altro.
    Mi sembra ovvio, ma credo che avere uno storage locale contenente tutte le varie patches/hotfixes permetta un bel risparmio di tempo rispetto a quello necessario in un'infrastuttura di una certa dimensione per lo scaricamento delle stesse da internet
    Sugli scarsi requisiti di sistema, poi, non saprei.. io credo che ci voglia molto, ma molto spazio disco. Se arriva un nuovo server e va "patchato" dalla "vanilla version", van conservate TUTTE le vecchie fix..
    Boh. Anche io tifavo per WSUS ma poi ogni volta che ho provato a metterlo in una archittettura l'ho dovuto togliere...

    In effetti, l'unica cosa che chiede WSUS è ... lo storage, ma si tratta di un requisito abbastanza ovvio se consideri che un server WSUS terrà in linea (a meno che l'admin non provveda a fare "pulizia periodica" se e quando necessario) tutti i vari aggiornamenti, questo di contro significa che, installando (es.) un XP "liscio" su un sistema, si potrà aggiornare il "box" in tempi nettamente inferiori rispetto a quelli richiesti da un normale aggiornamento "online" ed ovviamente il tutto ANCHE se il box in questione NON ha connettività internet ed in qualsiasi caso, il discorso "storage" si risolve senza grossi problemi, basterebbe ad esempio installare il WSUS in una VM e poi modificare lo spazio di storage ove/quando necessario senza troppi problemi e senza dover "rifare" nulla :D

     

     


    • Modificato ObiWan martedì 4 ottobre 2011 13:15
    martedì 4 ottobre 2011 13:14
  • Pigiando alacremente sui tastini, Andrea Sistarelli scrisse:

    Non mi trovi molto daccordo con il tuo pensiero.

    Sapevo non lo saresti stato. Ma volevo giustappunto tirare su una discussione. :-)

    penso che anche i 60 server vadano gestiti, poi volendo puoi anche
    configurare il WSUS per applicare gli aggiornamenti automaticamente...

    Il "mio" guaio è che mi trovo continuamente di fronte a realtà dove il SysOp "non c'è", oppure "passa ogni tanto" dove quel "tanto" è magari dell'ordine di sei o sette mesi. Ovvio che devo mette su qualcosa di automatico, ma devo comunque farlo per ognuno dei server presenti (non è assolutamente detto che possa farlo con qualche script automatico). Ma, se imposto gli aggiornamenti automatici "da Internet" son certo che ogni macchina si scarichi "i suoi" e basta. Non devo prevedere tutte le tipologie di macchine che ci sono o "potrebbero" essere aggiunte da adesso a sei mesi (ovviamente l'aggiunta di un server sarebbe fatta da un SysOp che NON sarei io..).

    Uso un server WSUS da ogni cliente e non mi sognerei mai di
    toglierlo, problemi non ne ho mai avuti, e non vedo come possa
    complicarti le cose semmai le semplifica.

    In una situazione "ottimale" probabilmente sì. Probabilmente.

    Gli aggiornamenti che scarichi non devi mica tenerli tutti a vita,
    quelli che sono sotituiti puoi tranquillamente cancellarli e alla fine
    con i moderni dischi rigidi non vedo proprio come puoi avere problemi
    di spazio..

    Anche qui siamo in situazioni "ottimali". Ci son realtà che hanno ancora Xeon come server e dischi da 80Gb...
    La banda costa ancora meno di "certi" dischi..


        Luca Amicone

    martedì 4 ottobre 2011 14:13
  • Sapevo non lo saresti stato. Ma volevo giustappunto tirare su una discussione. :-)


    ehehe :)

    Il "mio" guaio è che mi trovo continuamente di fronte a realtà dove il SysOp "non c'è", oppure "passa ogni tanto" dove quel "tanto" è magari dell'ordine di sei o sette mesi. Ovvio che devo mette su qualcosa di automatico, ma devo comunque farlo per ognuno dei server presenti (non è assolutamente detto che possa farlo con qualche script automatico). Ma, se imposto gli aggiornamenti automatici "da Internet" son certo che ogni macchina si scarichi "i suoi" e basta. Non devo prevedere tutte le tipologie di macchine che ci sono o "potrebbero" essere aggiunte da adesso a sei mesi (ovviamente l'aggiunta di un server sarebbe fatta da un SysOp che NON sarei io..).


    Comunque puoi configurarre il WSUS per scaricare tutti gli aggiornamenti di tutte le categorie e tipologie e approvare quelli che servono. Non ha molto senso fare questo ma se serve si può fare.

    Scaricare gli aggiornamenti in totale autonomia anche per i server non è una buona idea, in alcune circostanze potresti voler ritardare l'installazione di un particolare update o testarlo prima.

    In questo caso il WSUS è condizione necessaria e sufficiente.

    Anche qui siamo in situazioni "ottimali". Ci son realtà che hanno ancora Xeon come server e dischi da 80Gb...
    La banda costa ancora meno di "certi" dischi..


    Dai che puoi sempre usare un disco esterno USB... Nella maggior parte dei casi una 30-ina di GB sono sufficienti per il WSUS...


    Comunque potremmo continuare il discorso all'infinito, il WSUS è un ottimo prodotto e molto comodo, poi questo non significa che sia la soluzione al 100% dei problemi.. Ci saranno sempre situazioni in cui è meglio usare altro..


    Ciao

     


    Andrea Sistarelli
    MCT-MCSE-MCTS-CCNA
    martedì 4 ottobre 2011 14:23
  • Pigiando alacremente sui tastini, ObiWan scrisse:

    WSUS va comunque
    gestito come un qualsiasi altro componente dell'infrastuttura;

    Ovvero NON in modo "Set&Forget" come accade in parecchi casi.

    Mi sembra ovvio, ma credo che avere uno storage locale contenente
    tutte le varie patches/hotfixes permetta un bel risparmio di tempo
    rispetto a quello necessario in un'infrastuttura di una certa
    dimensione per lo scaricamento delle stesse da internet

    E chissene.. :) Il tempo lo pagano i clienti, come "ci" dicono.
    O se no, faccio prima a farmi un bell'HD esterno dove man mano aggiungo le varie fix e me lo porto dietro.

    In effetti, l'unica cosa che chiede WSUS è ... lo storage

    E qualcuno che ci lavori sopra.. :) Siamo sempre lì.

    si potrà aggiornare il "box" in tempi nettamente inferiori rispetto a
    quelli richiesti da un normale aggiornamento "online" ed ovviamente il
    tutto ANCHE se il box in questione NON ha connettività internet

    Ritorno alla praticità dell'HD esterno.

    basterebbe ad esempio installare il WSUS in una VM e poi modificare
    lo spazio di storage ove/quando necessario senza troppi problemi

    Questo sempre in presenza di un HW adeguato, in termini di potenza e storage.

    Per tutti gli altri casi, preferisco ancora il proxy, con una seria policy che faccia accedere solo le macchine previste. E guarda, se metto poi una adeguata politica di caching, pure in questo caso non mi devo scaricare giga e giga, ma scarico direttamente dalla cache del proxy.. :-P


        Luca Amicone in versione rompiscatole

    martedì 4 ottobre 2011 14:23
  • Pigiando alacremente sui tastini, Andrea Sistarelli scrisse:

    Comunque puoi configurarre il WSUS per scaricare tutti gli
    aggiornamenti di tutte le categorie e tipologie e approvare quelli che
    servono. Non ha molto senso fare questo ma se serve si può fare.

    Più che "nonsense", richiede che io SIA LI' e clicchi nei posti giusti. Cosa niente affatto garantita.

    Scaricare gli aggiornamenti in totale autonomia anche per i server non
    è una buona idea, in alcune circostanze potresti voler ritardare
    l'installazione di un particolare update o testarlo prima.

    Personalmente l'ho visto capitare una.. forse DUE volte. Ma è vero che sto in una situazione anomala.

    Dai che puoi sempre usare un disco esterno USB...

    L'ho detto nell'altro ramo della discussione. :-D

    Ci saranno sempre situazioni in cui è meglio usare altro..

    Esatto. E volevo che barabba avesse un'idea più completa. :)


        Luca Amicone

    martedì 4 ottobre 2011 14:29
  • Ciao a tutti e grazie x la risposta.

    A questo punto ho un'ultima domanda:

    Dato che ho deciso di fare il WSUS e avete sottolineato l'importanza dello storage, avrei bisogno di capire più o meno, visto i 60 Server 2K8 R2 che devo alimentare, che capacità devo avere sul server WSUS .

    Grazie

    mercoledì 5 ottobre 2011 08:54
  • Dato che ho deciso di fare il WSUS e avete sottolineato l'importanza dello storage, avrei bisogno di capire più o meno, visto i 60 Server 2K8 R2 che devo alimentare, che capacità devo avere sul server WSUS .

    Inizia leggendo questo documento che spiega piuttosto bene come pianificare ed installare WSUS all'interno di un'infrastuttura preesistente

    Detto questo, se all'interno della tua infrastuttura hai già delle unità "storage" (NAS/SAN) potrebbe essere una buona idea installare WSUS in modo che lo stesso utilizzi tale storage per i propri dati; in questo modo sarà relativamente semplice estendere lo spazio di storage ove/quando ciò fosse necessario; in alternativa, in mancanza di uno storage di rete, potresti valutare l'uso di un "disco dinamico" sul sistema dedicato a WSUS, in questo modo, per estendere lo spazio di storage ove necessario, ti basterà aggiungere a tale sistema un'ulteriore unità disco ed usare tale unità per ampliare il disco dinamico

     


    • Modificato ObiWan mercoledì 5 ottobre 2011 11:15
    • Contrassegnato come risposta Fabrizio Volpe venerdì 7 ottobre 2011 09:28
    mercoledì 5 ottobre 2011 09:04
  • Aggiungo che quello che conta non sono il numero dei server ma i diversi programmi e sistemi operativi che hai.

    Avere 1 server o 100 server uguali non fa differenza dal punto di vista del WSUS..

     

    Ciao

     


    Andrea Sistarelli
    MCT-MCSE-MCTS-CCNA
    mercoledì 5 ottobre 2011 09:23
  • Aggiungo che quello che conta non sono il numero dei server ma i diversi programmi e sistemi operativi che hai.


    E la lingua dei vari OS :-)

     

    mercoledì 5 ottobre 2011 09:53
  • Si hai ragione... Ma non riesco proprio a pensare a un server in una lingua diversa dall'inglese :)

     

    Ciao

     


    Andrea Sistarelli
    MCT-MCSE-MCTS-CCNA
    mercoledì 5 ottobre 2011 09:55
  • Si hai ragione... Ma non riesco proprio a pensare a un server in una lingua diversa dall'inglese :)

    Sei troppo focalizzato su questa discussione; certo, in questo caso parliamo di servers, ma WSUS può essere (ed anzi è) utilizzato anche per aggiornare OS "client" :)

     

    mercoledì 5 ottobre 2011 10:12
  • Dato che ho deciso di fare il WSUS

    Già che ci sei, dai un'occhiata anche a questo; ammetto WDS che esuli dal topic iniziale di questa discussione ma credo valga la pena valutarlo dato che, una volta implementato, ti permetterà di "rifare" un qualsiasi sistema da zero in maniera automatica o di installare un nuovo sistema avendo già una configurazione predefinita ed approvata il che, come credo sia evidente, permette di minimizzare i tempi di installazione/reinstallazione, evitare errori di configurazione ed in generale migliorare l'efficienza dell'intera infrastuttura (ovvio che l'implementazione di WDS non esclude l'implementazione di WSUS, anzi !)

     

    mercoledì 5 ottobre 2011 10:31