locked
Dúvida com Infraestrutura para implantação do Client Security RRS feed

  • Pergunta

  • Olá!

    Estou com uma dúvida referente a melhor topologia a ser utilizada para implantação do FCS em minha rede e gostaria de algumas opiniões sobre o assunto. Segue algumas informações básicas sobre a infra atual:

    - Matriz: Site primário e onde estão instalados atualmente todos os principais serviços de rede, como servidor de emails, WSUS, intranet, AD, fileserver, etc... Neste site também estão a maioria dos usuários, aproximadamente 200.

    - Filiais: São 18 filiais, todas conectadas com a matriz através de VPN (Isa Server). Dessas 18 filiais, apenas 1 (que é um pouco maior com cerca de 40 usuarios) delas possue o serviço de AD replicado. As outras 17, por serem menores (com cerca de 10 usuarios em média) possue apenas o servidor de firewall (vpn) que também é fileserver.

    Nas filiais, com excessão da maior, todas possuem recursos limitados de hardware. Somente possuem 1 servidor que faz todos os papéis na organização. Não tem AD e nem mesmo WSUS. Atualmente existem 2 servidores de WSUS. Um na matriz e outro na maior filial. Cada site está configurado para utilizar seu respectivo servidor de WSUS. Nas outras filiais, está configurado para conectar diretamente ao Windows Update.

    Preciso elaborar um projeto para a implantação do FCS em toda minha organização, porém estou com algumas dúvidas:

    - No meu caso, nas filiais que não tem WSUS, poderão se conectar diretamente ao Windows Update para baixar atualizações?

    - O servidor de gerenciamento é instalado apenas no meu site principal? Ou tenho que ter um servidor de gerenciamento em cada uma das filiais?

     

    terça-feira, 17 de agosto de 2010 14:55

Respostas

  • <!-- /* Font Definitions */ @font-face {font-family:"Cambria Math"; panose-1:2 4 5 3 5 4 6 3 2 4; mso-font-charset:1; mso-generic-font-family:roman; mso-font-format:other; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} @font-face {font-family:Calibri; panose-1:2 15 5 2 2 2 4 3 2 4; mso-font-charset:0; mso-generic-font-family:swiss; mso-font-pitch:variable; mso-font-signature:-520092929 1073786111 9 0 415 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-unhide:no; mso-style-qformat:yes; mso-style-parent:""; margin-top:0cm; margin-right:0cm; margin-bottom:10.0pt; margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:Calibri; mso-fareast-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi; mso-fareast-language:EN-US;} .MsoChpDefault {mso-style-type:export-only; mso-default-props:yes; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:Calibri; mso-fareast-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi; mso-fareast-language:EN-US;} .MsoPapDefault {mso-style-type:export-only; margin-bottom:10.0pt; line-height:115%;} @page WordSection1 {size:612.0pt 792.0pt; margin:70.85pt 3.0cm 70.85pt 3.0cm; mso-header-margin:36.0pt; mso-footer-margin:36.0pt; mso-paper-source:0;} div.WordSection1 {page:WordSection1;} -->

    Bom Dia Jean,

    Repondendo:

    ** O correto entao é ter apenas um servidor de gerenciamento (na mainha matriz) e fazer os clients (inclusive nas filiais) se reportarem a este servidor?

    - Nada impede que você tenha mais de um servidor, mais isso seria desnecessário, pois todas as suas filiais conversam entre si.

    - O que pode diferenciar sua instalação, é a distribuição das funções do Forefront, onde aquelas opções (Distribuation Server, Collection Server, Etc.), são instaladas em servidores separados.

    ** Você poderia me informar qual é esse patch que preciso instalar para os clients conectarem ao Windows Update em vez do WSUS?

    - Dê uma olhada no link abaixo, pois lá estão disponíveis os patches informados:

    - http://support.microsoft.com/kb/935934/pt-br

    ** Essa alteração manual no WU local, eu poderia estar fazendo via GPO, correto ?

    - Não cara, isso deve ser feito através do seguinte procedimento:

    Abra o Windows Update, vá na opção “Check Online For Updates From Microsoft Update”
    - Você será direcionado ao site do Windows Update, e será instalado um novo client do mesmo, e após isso será possível efetuar atualizações online (não se esqueça do patch, que deve ser instalado localmente).

    Abraços


    Se Útil, Por Favor Marque Como Resposta - Alexandre Falcão - http://azfalcao.spaces.live.com/ - @alexandrezera - Microsoft Certified Professional
    • Marcado como Resposta Richard Juhasz sexta-feira, 20 de agosto de 2010 14:35
    quarta-feira, 18 de agosto de 2010 13:24

Todas as Respostas

  • Boa Noite,

    A sua situação parace complexa, mas é bem simples e fácil pra implantar. O servidor que receberá a instalação do WSUS, pode ser apenas um em sua rede, pois assim será necessário a instalação utilizando a topologia de apenas um servidor.
    As atualizações, podem ser efetuadas tanto pelo WSUS, quanto pelo Windows Update, mas será necessário aplicar um patch de atualização para que isso ocorra, além disso, você deverá solicitar manualmente no Windows Update local, a aprovação para que ele baixe outros updates, senão os já configurados. Nesse processo, ele instala uma espécie de nova versão do Windows Update no micro em questão, e faz com que tudo seja efetuado sem um servidor WSUS.
    A instalação do client, pode ser feita através do caminho de rede, pois por padrão, o Forefront cria após a instalação, um diretório compartilhado que contém o client tanto para versões x64, quando para versões x86.

    Espero ter ajudado.

    Abraços


    Se Útil, Por Favor Marque Como Resposta - Alexandre Falcão - http://azfalcao.spaces.live.com/ - @alexandrezera - Microsoft Certified Professional
    quarta-feira, 18 de agosto de 2010 00:30
  • Grande Alexandre, agradeço sua resposta.

    Tem mais um detalhe que eu esqueci de mencionar no meu questionamento. Obviamente, as filiais que nao tem WSUS poderiam utilizar o WSUS da matriz, inclusive esse escopo estava assim inicialmente. Porém, esse escopo estava consumindo demasiadamente  a banda de internet da matriz, então tive que configurar desta maneira.

    Deixa eu entender sua colocação:

     

    O correto entao é ter apenas um servidor de gerenciamento (na mainha matriz) e fazer os clients (inclusive nas filiais) se reportarem a este servidor?

    Você poderia me informar qual é esse patch que preciso instalar para os clients conectarem ao Windows Update em vez do WSUS?

    Essa alteração manual no WU local, eu poderia estar fazendo via GPO, correto ?

    quarta-feira, 18 de agosto de 2010 11:15
  • <!-- /* Font Definitions */ @font-face {font-family:"Cambria Math"; panose-1:2 4 5 3 5 4 6 3 2 4; mso-font-charset:1; mso-generic-font-family:roman; mso-font-format:other; mso-font-pitch:variable; mso-font-signature:0 0 0 0 0 0;} @font-face {font-family:Calibri; panose-1:2 15 5 2 2 2 4 3 2 4; mso-font-charset:0; mso-generic-font-family:swiss; mso-font-pitch:variable; mso-font-signature:-520092929 1073786111 9 0 415 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-unhide:no; mso-style-qformat:yes; mso-style-parent:""; margin-top:0cm; margin-right:0cm; margin-bottom:10.0pt; margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:Calibri; mso-fareast-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi; mso-fareast-language:EN-US;} .MsoChpDefault {mso-style-type:export-only; mso-default-props:yes; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-fareast-font-family:Calibri; mso-fareast-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin; mso-bidi-font-family:"Times New Roman"; mso-bidi-theme-font:minor-bidi; mso-fareast-language:EN-US;} .MsoPapDefault {mso-style-type:export-only; margin-bottom:10.0pt; line-height:115%;} @page WordSection1 {size:612.0pt 792.0pt; margin:70.85pt 3.0cm 70.85pt 3.0cm; mso-header-margin:36.0pt; mso-footer-margin:36.0pt; mso-paper-source:0;} div.WordSection1 {page:WordSection1;} -->

    Bom Dia Jean,

    Repondendo:

    ** O correto entao é ter apenas um servidor de gerenciamento (na mainha matriz) e fazer os clients (inclusive nas filiais) se reportarem a este servidor?

    - Nada impede que você tenha mais de um servidor, mais isso seria desnecessário, pois todas as suas filiais conversam entre si.

    - O que pode diferenciar sua instalação, é a distribuição das funções do Forefront, onde aquelas opções (Distribuation Server, Collection Server, Etc.), são instaladas em servidores separados.

    ** Você poderia me informar qual é esse patch que preciso instalar para os clients conectarem ao Windows Update em vez do WSUS?

    - Dê uma olhada no link abaixo, pois lá estão disponíveis os patches informados:

    - http://support.microsoft.com/kb/935934/pt-br

    ** Essa alteração manual no WU local, eu poderia estar fazendo via GPO, correto ?

    - Não cara, isso deve ser feito através do seguinte procedimento:

    Abra o Windows Update, vá na opção “Check Online For Updates From Microsoft Update”
    - Você será direcionado ao site do Windows Update, e será instalado um novo client do mesmo, e após isso será possível efetuar atualizações online (não se esqueça do patch, que deve ser instalado localmente).

    Abraços


    Se Útil, Por Favor Marque Como Resposta - Alexandre Falcão - http://azfalcao.spaces.live.com/ - @alexandrezera - Microsoft Certified Professional
    • Marcado como Resposta Richard Juhasz sexta-feira, 20 de agosto de 2010 14:35
    quarta-feira, 18 de agosto de 2010 13:24