none
SCCM 2012 +WSUS+DMZ RRS feed

  • Вопрос

  • Доброго всем дня!

    Не получается обновлять ОС через SCCM+WSUS.

    Схема следующая: SCCM(SUP)+WSUS(без доступа в интернет) - это все на одном сервере + WSUS в DMZ с выходом в интернет. WSUS в DMZ не в домене, но имеет DNS суффикс основного домена.

    Как я понимаю SCCM в данном случае управляет только WSUS который находится на сервере с самим SCCM. В настройках SUP в SCCM в качестве сервера синхронизации выбран вышестоящий сервер WSUS, который в DMZ и смотрит в интернет. 

    Главный WSUS в качестве сервера синхронизации настроен на Windows Update.

    Через SCCM все обновления видны, могу собирать группы и пакеты. При создании пакета могу указать где будут файлы для этого самого пакета, но вот дальше наступает проблема: требуется указать откуда пакет SCCM будет брать обновления и 2 варианта:

    1- обновление из интернета

    2-из локального хранилища(папка WsusContent)

    Так как SCMM+WSUS не имеет выхода в интернет, то указываю что обновления будут браться из локального хранилища, но так как главный сервер WSUS не доменный, и соответсвенно у него нет прав на чтение.

    На сервере SCCM то же есть папка WSUSContent по объему куда меньше чем на главном сервере. Скорее всего не хватает прав так как Главный сервер не в домене

    Как сделать так что бы вся эта конструкция заработала?  

    5 июля 2017 г. 21:25

Ответы

  • День добрый

    Конструкция эта просто так не заработает.

    Вам в любом случае надо будет либо перекачивать контент в доступное для SUP место. Или предоставлять доступ с SUP на WSUS в DMZ (предоставляя анонимный доступ или пытаться изобразить одинаковых пользователей)
    см. 

    https://docs.microsoft.com/en-us/sccm/sum/plan-design/plan-for-software-updates

    http://www.vroege.biz/?p=663

    https://social.technet.microsoft.com/Forums/windows/en-US/6564968d-5d05-4ffe-b5ff-8705f0e79fd8/sccm2012-r2-software-update-deployment-with-no-internet-on-sccm-server?forum=configmanagergeneral
    https://technet.microsoft.com/en-us/library/gg712312.aspx#BKMK_SyncDisconnected


    Грамотная постановка вопроса - уже 50% решения.
    SCCM User Group Russia на FaceBook и в Telegram

    4 августа 2017 г. 12:11
    Модератор

Все ответы

  • День добрый

    Конструкция эта просто так не заработает.

    Вам в любом случае надо будет либо перекачивать контент в доступное для SUP место. Или предоставлять доступ с SUP на WSUS в DMZ (предоставляя анонимный доступ или пытаться изобразить одинаковых пользователей)
    см. 

    https://docs.microsoft.com/en-us/sccm/sum/plan-design/plan-for-software-updates

    http://www.vroege.biz/?p=663

    https://social.technet.microsoft.com/Forums/windows/en-US/6564968d-5d05-4ffe-b5ff-8705f0e79fd8/sccm2012-r2-software-update-deployment-with-no-internet-on-sccm-server?forum=configmanagergeneral
    https://technet.microsoft.com/en-us/library/gg712312.aspx#BKMK_SyncDisconnected


    Грамотная постановка вопроса - уже 50% решения.
    SCCM User Group Russia на FaceBook и в Telegram

    4 августа 2017 г. 12:11
    Модератор
  • Добрый день!

    Проблема решилась:

    1.Переустановил Wsus 3.0 SP2 в DMZ указал пр настройке порт 8530. Поставил 2 хотфикса(kb) для Wsus, синхронизировал с Windows Update - одобрил необходимые обновления. Открыли порты 8530,80 из внутренней сети в DMZ.

    2. Поднял Wsus без настройки на сервере с SCCM, установил те же хотфиксы для Wsus 3.0 SP2. Установил роль SUP на сервере SCCM(там располагаются все роли SCCM), настроил SUP: указал что синхронизация происходит с вышестоящего сервера по порту 8530, указал какие классы и продукты необходимо синхронизировать.

    3. Произошла первая синхронизация и наконец-то увидел необходимые обновления(зелененьке), далее все как по инструкции, создание групп и пакетов. 

    4. Единственный ВАЖНЫЙ момент здесь это то, что при скачивании обновлений я указываю что обновления хранятся локально и указываю локальную папку WSUSContent сервера DMZ.

    Я не стал автоматически одобрять одобрения на сервере WSUS+SUP, что бы не захламлять место, а как сказал ранее просто выкачиваю их из DMZ

    11 ноября 2017 г. 9:51