Начало конца WSUS серверов
А знаете ли Вы, что наконец-то, спустя долгие годы ожиданий, в новой системе Windows 10 всё-таки появилась долгожданная функция центра обновлений Windows, которая позволяет компьютеру во время обновления Windows брать файлы обновлений не с внешнего Интернета, а с соседних компьютеров в локальной сети, которые уже закачали обновления + сам компьютер будет отдавать в локальную сеть другим компьютерам скачанные обновления.
Вероятно, в будущем, через несколько лет, когда устаревшие компьютеры отслужат своё, а новые компьютеры все будут с новой системой Windows 10, - то пропадёт необходимость в WSUS серверах.
На приложенной картинке есть 2 режима работы нового центра обновлений:
Логично предположить, что для сетей организаций, где большая внутренняя сеть, но единственный узкий канал на внешний интернет, - подойдёт первый вариант.
А для домашних пользователей таких сетей как Сампо, Ситилинк - очевидно, что лучше выбрать второй вариант (чтобы раздача была и во внешний интернет, ведь исходящий трафик-то неограничен и внешние каналы хорошие).
Но самый интересный вопрос и задача на будущее заключается в следующем.
Логично предположить, что если стоит выбор "Компьютеры в локальной сети", то он будет обмениваться только внутри той подсети, какая маска подсети задана на компьютере.
В сетях Петрозаводска - это подсети /24 /255.255.255.0 (то есть сеть на 253 компьютера не считая 254 шлюза).
Это касается всех трёх сетей Сампо, ПетрГУ, Ситилинк.
Так вот - самый интересный и заманчивый вопрос на будущее, а существует ли теоретически возможность заставить центр обновления обмениваться не только внутри локальной подсети /24, а со ВСЕМИ сетями 10.8-11 Сампо, 172.20-21 ПетрГУ и 10.0-3,20,30,...Ситилинк (и при этом обмен с внешним интернетом отключить).
Вот такая интересная задача. Можно ли так сделать? Но это задача на будущее.
Подробнее про эту функцию можно прочитать здесь:
http://windows.microsoft.com/en-us/windows-10/windows-update-delivery-optimization-faq
Только вот очень жаль, что эта функция появилась только сейчас, когда узких каналов связи уже становится всё меньше и меньше. Как всем известно, в Петрозаводске, в городском интернете последнее узкое место было ликвидировано в июне 2014 года, когда был проложен оптоволоконный кабель между Ленина,33 и Красноамейская,31, и корпуса медицинского факультета стали быть связаны с главным зданием ПетрГУ на скорости 100 мегабит/с (вместо старой телефонной линии и shDSL модемов на скорости 2 мегабита/с).
Yura8 08:54 - 22.10.2015
Комментарии
Войдите или зарегистрируйтесь чтобы оставлять комментарии
Уважаемый yura8 , "спустя долгие годы ожиданий", в W10 много чего появилось...
Не всегда хорошего, IMXO
А то со всех серых IP Сампо и СЛ есть доступ к серым IP Универа. Это бред.
В универе какие то семинары проводятся. По безопасности, по защите персональных данных, сиски и все такое... Не смешили бы.
KM, универ не использует внешние каналы коммерческих провайдеров. У нас собственный канал на runnet.
Да, действительно у универа стык и с Сампо и Ситилинк и доступ к серым адресам есть, но это же не бред, это только к лучшему, это и экономия трафика и это многим пользователям нужно для реальной работы. + огромная экономия трафика за счёт этого. Вот здесь перечень каналов ПетрГУ: http://jkfs.petrsu.ru/speedtest/
Ну а насчёт безопасности - у нас все компьютеры где идёт обработка персональных данных защищены сертифицированными антивирусами и файерволлами.
Yura8, спасибо.
Посмеялся.
KM, спецы)
Yura8, мне казалось, что все, где лежит персональные данные - должно шифроваться, а не защищаться всего лишь антивирусами и файерволлами.
Так же использование токенов для тех, кто должен иметь доступ к ПД. Отдельная сеть для доступа к ПД. Бэкапы так же шифровать.
А по вашим описаниям - все как то скучно - к сети универа имеет доступ любой, думаю к ПД - простейшая аунтификация юзера-работника того же отдела кадров и все.
xmax, да он наивный дурачок просто.
Так уж получилось что я знаю много работников универа. Сам часто бываю в универе.
Ситуация там просто дебильная. Практически все сотрудники имеют административные права на рабочих компьютерах. Могут удалять, отключать эти антивирусы и файрволы как хотят. Прямой доступ в инет закрыт, только через squid с ограничениями. Многие сотрудники ставят на домашние компы всевозможные прокси и ходят в инет через них. Доступ то ко всем серым адресам Сампо и СЛ имеется. В результате скачивают на рабочие компы все что хотят. Устанавливают что душе угодно. Лично был свидетелем как великовозрастный балбес, сын начальника финансового департамента, заходил удаленным доступам на рабочий компьютер папаши и что то там делал. Регулярно какой -нить умник ставит на рабочий комп какой-нить вингейт со включенным dhcpd, в результате компы в разных частях универа начинают получать левые IP и отваливаются. Типа админы бегают в выпученными глазами, пытаясь вычислить этот dhcpd. Куча каких то разномастных серверов без единого управления. Полностью отсутствует централизованное бекапирование. Сейчас серверную переносят. Так старый бытовой кондиционер из старой серверной вынесли и поставили в новую. Как долго он еще проживет никого не волнует. Резервного кондиционера нет.
В общем бардак полнейший.
В целом пофиг, но за державу обидно.
KM, "неплохо")
xmax, тебе показалось. Существуют методические рекомендации регуляторов в отношении защиты ПД, исходя из которых строится система защиты, так вот во многих случаях не требуется такой сложной системы как ты описал.
Эта функция и возникла в связи с появлением дешевых каналов связи. Если бы она появилась во времена
динозавровкогда исходящий трафик стоил рубль за мегабайт - пользователи бы маретили MS и отключали ее.Вопрос на засыпку - как много компов в универе уже перевели на Win10?
PS, старые компьютеры переводиться на Win10 не будут!
А в будущем, когда будут покупаться новые системные блоки, то они уже наверняка будут поставляться поставщиком с предустановленной Win10.
Yura8, крупные организации уже давно использовали свои сервера для обновлений windows и для скачивания ПО. Корпоративные версиии ПО и ОС. И не надо при закупках оплачивать ПО и ОС третьему лицу. Транжирите деньги. Не думаю, что в ПетрГУ нет корпоративной винды. А если нет, то это пиздец)
xmax, Таки да, в таких организациях (а универ это еще и образовательная организация, что немаловажно) обычно винды и прочий софт закупаются по спец лицензии и никаких запар нет. Тем более что там предостаточно компов (а в особенности это касается серверов) вообще без какой-либо винды
PS, Да. Действительно это так. (Там у нас действительно корпоративные и спец. лицензии, т.е. лицензия получается не на каждый отдельный компьютер, ... примерно так., - но абсолютно все тонкости лицензирования не знаю).
И компьютеров без Windows - их тоже много. Все серверы, а их у нас очень много, - в основном работают под FreeBSD, а на математическом факультете очень широко распространён Linux.
xmax, так да. сейчас во всех крупных организациях есть свой WSUS сервер. Речь как раз идёт о том, что в будущем после введения в Win10 такой технологии он перестанет быть актуальным.
Насчёт лицензий в ПетрГУ - да, есть у нас корпоративная винда (в ПетрГУ действительно в основном везде корпоративное ПО).
Просто предыдущим сообщением я имел ввиду немного другое (а именно что уже существующие компьютеры переводиться на Win10 не будут, а с годами старые компьютеры когда-то отслужат своё, а на новых будет ставиться уже Win10.
Yura8, неа, вы явно указали на то, что будет транжирство бабла на ненужную винду, написав, что поставщиком будет устанавливаться ОС, соответственно за бабло.
Пока компы устареют, уже будет не 10 винда.
Ну и сервера обновлений не умрут. Это так же, как хранили бы вы файлы не на серверах, а у каждого на компе и открыли бы доступ с каждого компа.
xmax, вообще-то да, так написал, но по ошибке.
Yura8, ты молодой и глюпый.
Вот тебе несколько основ нормальной корпоративной сети применительно к этой теме.
1. Корпоративная сеть всегда разделена на вланы.
2. Трафик из разных вланов не пересекается. (более понятно для глюпых, компьютеры из разных вланов не имеют доступа к друг другу).
3. Общедоступные ресурсы (сервера, принтеры, IP-телефония и т.п. вынесены в общедоступные вланы).
4. Нормальный админ корпоративной сети никогда не допустит неконтролируемого трафика внутри сети (типа P2P сеть "Обновления Windows")
5. WSUS обязателен что-бы компьютеры в сети бесконтрольно не обновлялись не нужными обновлениями (например до Windows 10).
6. Во WSUS уже давно есть поддержка Windows 10 (у меня как раз выключено, ибо нафиг).
KM,
2. может имеется ввиду только широковещательный трафик?
5. А неужели автоматическое обновление до Windows 10 происходит само собой, без участия пользователя?
Yura8, участие пользователя = автоматическое. Надо понимать, что уровень юзерства в компании разный. И если один откажет, другой нажмет "Да" не читая текст. На автомате. Это надо исключать
Yura8,
2. широковещательный трафик между вланами не ходит.
5. Именно так. И-за этого в Интернете множество вопросов как убить в трее иконку напоминания обновления до Windows 10.
KM, 2. Так да, это я и имел ввиду, что широковещательный между VLAN не ходит, а остальной ведь - возможен, и компьютеры видят друг друга. (Просто я пока сам не знаю, не разбирался, как именно устроена и работает эта система раздачи обновлений, но раз там есть возможность отдавать и в Интернет, то явно там не широковещательный трафик используется).
5. Странно. Видимо это от операционной системы и лицензии зависит. Всё может быть. Но я сталкивался лишь с 2 случаями, - это когда эта иконка в трее не появляется вообще (в случае корпоративной Windows 8 Professional). И второй случай, что она появляется. Но чтобы она без ведома пользователя закачивала бы файлы - это пока не встречал!!! Хотя KB3035583 менялось в октябре, так что не исключаю, - всё может быть. А избавиться от иконки очень просто - в реестре [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\GWX]
"DisableGwx"=dword:00000001
Yura8, ты все таки глюпый.
2. Сеть на вланы делят не для того, что-бы между ними что то ходило.
5. Нормальный админ никогда не допустит что-бы у пользователя что-то там появилось, чего потом придется убирать путем правки реестра. Тем более что без AD в сети, для правки реестра придется каждый компьютер посетить лично.
KM, 2. а если сделать все VLAN общедоступными?
5. В таком случае, что Вы говорите, - это на огромную сеть из 1500 компьютеров нужен 1 админ.
В ПетрГУ например много разных подразделений, много разных сетей и в каждой свой админ и каждый сам там решает нужно ли ему Active Directorу или удобнее без неё для конкретного здания.
Yura8, всегда умиляли рассуждения начинающих куладминов.
Но в принципе, администрировать сеть небольшой булочной, я бы тебе уже доверил.
Yura8, Ну а раз на старых машинах никто ничего менять не собирается, то счастье связанное с массовым использованием винды 10 в универе, вангую, наступит не ранее чем через 10 лет )))
Хорошо вам там, в универе, делать нефиг, можно заниматься абстрактными размышлениями...Чтобы внешний трафик уменьшить на своих маршрутизаторах и DNS пропишите поддельный WSUS. Обмена со всеми сетями не будет, т.к. юзеры любят ставить домашний маршрутизатор, который наверняка будет резать это все баловство и правильно сделает.
JohnDoe, не, такой вариант (подделать оригинальные серверы обновлений в DNS на наш WSUS) - он не совсем хороший, - он создаст в свою очередь кроме выгоды трафика определённые неудобства, - просто в сети ПетрГУ нам нужен и свой WSUS но и выход на "оригинальный" Windows Update тоже нужен для определённых пользователей и задач. (Сеть у нас большая, пользователей много и задачи у всех разные). Так что внешний Windows Update нам тоже нужен, поэтому его изменять в DNS точно не будем.
Yura8, сферический конь в вакууме какой-то обсуждаем. По заверениям МС нет никакой разницы откуда брать файлы обновления, а потому выход на МС оставить только вот этому одному вашему WSUS и нет проблем.
JohnDoe, да, сами файлы обновлений конечно везде одинаковые. Но вот их предлагаемый выбор - разный. Например на WSUS можно принудительно одобрить загрузку и рекомендуемых обновлений и даже драйверов, а если проверять обновления с сайта Microsoft, то там например рекомендуемые обновления и тем более драйвера по умолчанию не одобрены.
Ну а сами файлы с обновлениями - они конечно одинаковые везде (кстати, правильнее ещё заметить - хранятся они не на серверах Microsoft, а на серверах раздачи Akamai).
Yura8, а ты в курсе что в WSUS можно наделать групп, распихать компы по группам. Для разных групп одобрять только свои обновления?
Наример одним можно IE10 и выше ставить, а остальным только IE9 и не выше.
Или одним можно Win10 поставить, а остальным нет.
И т.д.
KM, Да. В курсе. В ПетрГУ так и сделано.
Yura8, в чем тогда прикол иметь "выход на "оригинальный" Windows Update"?
KM, выход на оригинальный "Windows Update" нужен в сети ПетрГУ в основном для трёх случаев:
1) на WSUS точно не одобрен класс драйверов, а например есть необходимость обновить драйвер видеокарты Intel или NVidia, - (например в некоторых случаях так удобнее и быстрее, чем качать свежий Driver Pack Solution или искать на сайте производителя).
2) если на компьютере используется какое-то редкое специфическое программное средство Microsoft, класс которого также не одобрен на WSUS (поскольку массово он не нужен).
3) если например в ПетрГУ будут устанавливать Windows на компьютер или чей-то ноутбук который будет передаваться куда-то в другую организацию, где не сеть ПетрГУ и к WSUS подключаться вообще не планируется.
Yura8, ох тыж бля.
Развели бардак.
Yura8, 3 - лицензией не предусмотрена установка корпоративной версии ПО, которая будет использоваться не в организации.
У нас например сервера лицензий автокада - только из внутренней сети доступны. Т.е. если поставить на личный ноут/комп дома, то до сервера не достучишься, соответственно не поработаешь.
xmax, этот случай я привёл только как пример. - (Я не подразумевал, что корпоративную лицензию будут применять для чужого компьютера). (Имел ввиду случай что именно сам процесс установки будет проходить в сети ПетрГУ, а организация свою лицензию выдаст или подразумевал случай что кто-то принесёт свой ноутбук с целью помочь наладить, - но это всё лишь как примеры случаев, когда нужен не WSUS, а именно оригинальный Windows Update).
Yura8, эти компы и не надо считать компами универа, соответственно допуск к ресурсам(а тч wsus) так же не должен(и не нужен). не пример в общем речь. Тебе об одном, а ты совершенно о другом)
xmax, престиж петргу поднимать, это тебе нон пенис ля конина
Yura8, Ну а если там так и сделано - то подозреваю что не просто так. А стало быть, как тут поможет отказ от WSUS и переход на автообновление винды 10 всем кому вздумается?
PS, ну здесь же тема не о мгновенном отказе от WSUS. А о тенденции на ближайшие годы.
Yura8, как ты видишь эту тенденцию?
Yura8, тенденции отказа от WSUS нет.
В нормальных корпоративных сетях никогда не будут использовать технологию обновления типа P2P. Поскольку она не контролируема, неуправляема и не предсказуема. Хотя теоретики типа тебя все что угодно могут натворить.
Только технология обновления через локальный WSUS позволяет контролировать и управлять процессом обновления. При этом WSUS не идеален.
Yura8, нет тенденции. WSUS - инструмент управления подопечными машинами. Еще скажи что Active Directory не нужен будет.
А много серверов перевели на двадцатьдвенадцать?
xmax, Ну, Active Directory это совсем другое. Он к данной теме отношения не имеет.
А насчёт количества серверов, переведённых на Windows 2012 Server - точно сказать не могу. Не знаю. (Обслуживаю только один из корпусов ПетрГУ, - про остальные не знаю). Но предполагаю, - что очень мало. Windows Server используется очень мало где в ПетрГУ. В основном серверы на FreeBSD и Linux.
Yura8, опять же, на маршрутизаторе разделение по IP вашего всуса и чего там вам еще надо, либо по подсетям. На зная всей картины трудно так универсально посоветовать.
JohnDoe, да ладно, ничего. Эта тема заведена больше как общая, про тенденцию на будущее. Речь шла о том, что в будущем WSUS не вообще исчезнут, а станут меньше востребованы, в особенности в организациях, где сети небольшие и состоят из одной подсети.
Yura8, Останется все как было
там где админу удобнее следить за всем - как был WSUS, так и будет, там где админу банально пофиг - там и сейчас наверняка нет ничего подобного.
Страшно себе представить организацию, где более 100 ПК с бесконтрольными обновлениями и правами админа у всех пользователей. Самая веселуха начинается когда с каким-либо обновлением прилетают проблемы. И ведь такие проблемные обновления были и не раз.
Войдите или зарегистрируйтесь чтобы оставлять комментарии