Zdravím všechny. Neschopně potřebuji pomoc s aktualizací našich vzdálených strojů přes VPN. Vím, že je zde spousta příspěvků na toto téma, ale nedokázal jsem najít nic specifického ke mé situaci. Zde je scénář: Máme asi 400 strojů, které během covidu pracují z domova. Zatímco jsou připojeny k VPN, můžeme na tyto stroje nasazovat aplikace celý den bez problémů. Naopak, nasazování záplat nefunguje tak, jak bychom chtěli. Na rozdíl od jiných podobných příspěvků, skutečně CHCEME, aby se naše záplaty stahovaly přes VPN. Neukončili jsme split tunneling a nemáme v plánu ho zavést. Blokujeme všechny URL adresy Windows Update přes VPN během dne… hlavně aby uživatelé, kteří používají náš VPN klient na svém osobním počítači, nezabíjeli šířku pásma během dne. Co se tedy děje je, že se žádné záplaty nezobrazují v Software Center vůbec. Po 18:00 (po vypršení omezení VPN URL adres) když vynutím aktualizaci politiky klienta, záplaty se začnou zobrazovat ve Software Center. Tyto záplaty by neměly být omezeny naší VPN politikou, protože by měly pocházet z DP. Závisí klienti SCCM na MU i DP, aby správně fungovali? Velmi ocením jakékoli poznatky k tomuto problému!
Nastavte svou sbírku s údržbovým windowem, aby se počítače během dne nerebootovaly.
Nastavte své nasazení tak, aby nasazovalo a instalovalo aktualizace mimo údržbový window, to umožní strojům instalovat aktualizace během dne a nechat je s čekající reinicializací při vypnutí nebo v rámci údržbového window.
Takto dostáváme aktualizace na naše VPN klienty, kteří nemají přístup k IBCM.
Máte nakonfigurován nějaký údržbový čas?
Nejsem si jistý, kde je chyba, o kterou se ptáte.
> Jsou klienti SCCM závislí na MU i DP, aby správně fungovali
U obou? Ne, alespoň ne současně. Mezi dostupným časem a termínem se klient pokusí stáhnout obsah podle způsobu, jakým jste ho nakonfigurovali.
Zkontrolovali jste registr, zda je nastavený WSUS a jaký je stav, když klient neobdrží aktualizaci? Klient CCM používá místní GPO na klientech k řízení zdroje obsahu, takže by vám to mělo alespoň říct, jestli hledají na správném místě. Reg klíče jsou na >HKLM\Software\Policies\Microsoft\WindowsUpdate WUServer by měl být váš WSUS server a AU\UseWUServer by mělo být 1 (0 = žádný WSUS).
V nastavení nasazení, na stránce, kde nastavujete “stáhnout a nainstalovat” z DP v hranicích skupin a v sousedních hranicích skupinách, jsou na spodní straně 2 zaškrtávací políčka, ujistěte se, že políčko umožňující klientům stahovat z MU pokud není obsah k dispozici, není zaškrtnuté.
Nakonec, máte v rozsáhlé skupině VPN rozsahy? Pokud ne, zkuste je přidat. Pokud ano (a pokud ne) ujistěte se, že nezaškrtnete políčko cloudového obsahu. Jeden z článků o rozděleném tunelování uvádí, že tato nastavení je třeba zaškrtnout, takže před nastavením našeho CMG jsem to udělal opačně (myslím, že jsem zahrnul všechny klíčové body v tomto komentáři) a vyřešilo to některé podobné problémy s aktualizacemi, které jsme viděli. Nejsem připojený vzdáleně nyní, takže dejte vědět, jestli je něco příliš vágního, a já to přesně nastavím ráno. Doufám, že to pomůže.
Ahoj OG… velice si vážím odpovědi. Máme nakonfigurované údržbové okno, takže restartování probíhá pouze ve středu večer po 20 hodině. Aktualizace nasazujeme přesně tak, jak jste popsali. Problém je, že stroje vůbec nedostávají aktualizace, dokud později večer, kdy skončí naše omezení VPN URL adres Microsoftu. Naše omezení URL by však neměla bránit stahování aktualizací z distribučního bodu.
Ahoj Vinode… děkuji za odpověď. Máme naplánované údržbové okno na každou středu od 20:00 do čtvrtka 4:00.
Mnohokrát děkuji za vaši odpověď bdam… máte pravdu… obsah by měl stahovat po vypršení lhůty, ale naše VPN klienti tento obsah nedostávají, dokud nedojde k ukončení našich filtrů URL VPN večer. To mě vede k přesvědčení, že stahují z Microsoftu místo z našeho distribučního bodu. To nedává smysl, když se naše aplikace nasazují přes DP.
Měli jsme problémy s klientem SCCM 1910, když byl připojen přes VPN, nezískával žádnou politiku. Služba klienta musela být restartována, aby to začalo fungovat.
Ah, dobrá, takže chcete, aby aktualizace instalovaly během dne, ale z nějakého důvodu se to neděje?
> Co se děje je, že se žádné záplaty nezobrazují v Software Center vůbec
Ok, při opětovném čtení vašeho úvodního příspěvku mi to nedává moc smysl. Aktualizace by měly být viditelné bez ohledu na obsah (MU, DP nebo jiný). Předpokládám, že je čas dostupnosti nasazení již po. Pokud ne, je čas začít zkoumat logy (Update*, WUAHandler), abychom se ujistili, že skenování funguje.
Správně… rádi bychom, aby aktualizace chodily přes VPN, kdykoliv je chceme. Momentálně se stáhnou pouze po 18. hodině, když skončí filtry URL Microsoftu, i když jsou minimálně den po deadline. Nedokážu pochopit, proč aktualizace přicházejí z MU místo z našeho DP. Věděl jsem, že se dřív objeví logy (doufal jsem v nějaké vaše confetti fartující unicorny). Kontroloval jsem specifikované logy. Vidím tam spoustu chyb ‘Job error received for assignment’ a ‘Updates will not be made available’ a ‘scan failed with error’. Opět, divné je, že po 18:00 to všechno funguje.
‘Updates will not be made available’ a ‘scan failed with error’
Takže, jak říkají: tam je problém.
Toto je moje odhad: Blokují váš WSUS/SUP server kromě WU. Přístup k WU nebo internetu jako takovému není požadavek pro správu aktualizací. Případ ‘potápěčského’ případu není v nejmenším teoretický.
Na zařízení, kde se nezobrazují aktualizace v SC během blokády VPN, ověřte přístup k SUP. Spusťte skenování SU a podívejte se, co říkají logy. Klient se vůbec nezajímá o obsah aktualizací, dokud se nepokouší nainstalovat. To znamená, že nic ohledně obsahu vám nezabrání v získání politiky SU, žádosti o skenování SU, aby zjistil, zda jsou aktualizace vhodné, a v oznámení uživateli v SC.
Podpořil bych ten odhad, pokud nemáte zaškrtnuto “pokud nemůžu najít DP s obsahem, přejít na WU” ve vaší nasazení. Není třeba se dostat na internet.
Chci vám poděkovat za to, že jste odpověděli, a za váš přínos. Bezpečnost konečně přiznala, že všechny záplaty byly blokovány přes VPN během pracovní doby. Vyjednali jsme ukončení blokování během oběda od poledne do 13:00 a po 17:00. To výrazně zvýšilo naši shodu s opravami.
Ach, to je přesně to, co miluji u bezpečnostních oddělení. Někdy se snaží co nejvíce zabránit tomu, aby vaše organizace byla nebezpečná, a odmítají to připustit, dokud jim neukážete důkaz.