none
WSUS для контроллеров домена в разных филиалах RRS feed

  • Вопрос

  • Здравствуйте.

    Есть два контроллера домена в одной OU "Domain Controllers", физически один находится в Москве (w2003 SP2), другой в Питере(w2008R2 SP1). Соответственно каждый привязан к своему сайту. Сейчас политика wsus применяется к OU "Domain Controllers" и питерский кд пытается обновляться с московского сервера wsus.
    Необходимо сделать так, чтоб каждый кд обновлялся со своего локального сервера wsus.

    Я вижу несколько путей решения этой проблемы, подскажите, пожалуйста, какой лучше использовать:

    1. Создать разные OU в контейнере Domain Controllers, перенести туда КД и уже для каждой OU применить свою политику wsus.
    НО, например вот здесь пишут что это большая ошибка и такой метод не поддерживается
    http://www.itworld.com/active-directory-mistake-nlswindows-080520

    Хотя вот тут пишут, что это правильное решение (последний комент)
    http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/a107d918-2125-428a-913f-e56a90bb75bb/

    2. Применить политики wsus непосредственно к самим сайтам, а не к OU "Domain Controllers"

    3. Использовать Security filtering
    Как я понял применить 2 политики к OU "Domain Controllers", и на каждой выставить права для применения для конкретного КД

    Какой метод лучше использовать, чтобы не получить проблем в будущем? Планируется еще несколько КД в разных городах.

Ответы

Все ответы

  • Здравствуйте Евгений,

    По описанию Вам лучше будет использовать третий вариант - применить Security Filtering.

    Несколько ссылок с похожими вопросами, и информацией по использованию Security Filtering для облегчения решения:

    WSUS and Domain Controllers in Different locations

    Applying separate WSUS policies to each domain controller within single domain?

    Security filtering using GPMC

    Configure Automatic Updates by Using Group Policy


    Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

  • Какой метод лучше использовать, чтобы не получить проблем в будущем? Планируется еще несколько КД в разных городах.

    Здравствуйте, Евгений.

    Коли Вы спрашиваете совета на будущее, то вот мой совет:

    1) перепланируйте инфраструктуру, вместо одного домена на несколько площадок в разных городах создайте дерево доменов - один главный и остальные подчиненные ему. Это позволит создавать груп.политики с учетом специфики каждого домена и иметь в каждом городе собственного домен.админа, который не сможет влиять на глобальные настройки. И наоборот, Вы как ентерпрайз админ всегда сможете диктовать настройки каждому подчиненному домену.


    Не игнорируйте встроенную справку, читайте ее и большинство вопросов будет решено гораздо быстрее.

    12 августа 2013 г. 11:24
  • Я голосую за GPO на сайты. В этом случае при переносе контроллеров из сайта в сайт (если вдруг такое будет) - все политики отработают как надо. Поэтому рекомендую смотреть в сторону GPO на сайты.

    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru

    28 августа 2013 г. 7:31