0 из 0

Создать тему
0

А знаете ли Вы, что наконец-то, спустя долгие годы ожиданий, в новой системе Windows 10 всё-таки появилась долгожданная функция центра обновлений Windows, которая позволяет компьютеру во время обновления Windows брать файлы обновлений не с внешнего Интернета, а с соседних компьютеров в локальной сети, которые уже закачали обновления + сам компьютер будет отдавать в локальную сеть другим компьютерам скачанные обновления.

Вероятно, в будущем, через несколько лет, когда устаревшие компьютеры отслужат своё, а новые компьютеры все будут с новой системой Windows 10, - то пропадёт необходимость в WSUS серверах.

На приложенной картинке есть 2 режима работы нового центра обновлений:

Логично предположить, что для сетей организаций, где большая внутренняя сеть, но единственный узкий канал на внешний интернет, - подойдёт первый вариант.

А для домашних пользователей таких сетей как Сампо, Ситилинк - очевидно, что лучше выбрать второй вариант (чтобы раздача была и во внешний интернет, ведь исходящий трафик-то неограничен и внешние каналы хорошие).

Но самый интересный вопрос и задача на будущее заключается в следующем.
Логично предположить, что если стоит выбор "Компьютеры в локальной сети", то он будет обмениваться только внутри той подсети, какая маска подсети задана на компьютере.
В сетях Петрозаводска - это подсети /24 /255.255.255.0 (то есть сеть на 253 компьютера не считая 254 шлюза).
Это касается всех трёх сетей Сампо, ПетрГУ, Ситилинк.

Так вот - самый интересный и заманчивый вопрос на будущее, а существует ли теоретически возможность заставить центр обновления обмениваться не только внутри локальной подсети /24, а со ВСЕМИ сетями 10.8-11 Сампо, 172.20-21 ПетрГУ и 10.0-3,20,30,...Ситилинк (и при этом обмен с внешним интернетом отключить).
Вот такая интересная задача. Можно ли так сделать? Но это задача на будущее.

Подробнее про эту функцию можно прочитать здесь:
http://windows.microsoft.com/en-us/windows-10/windows-update-delivery-optimization-faq

Только вот очень жаль, что эта функция появилась только сейчас, когда узких каналов связи уже становится всё меньше и меньше. Как всем известно, в Петрозаводске, в городском интернете последнее узкое место было ликвидировано в июне 2014 года, когда был проложен оптоволоконный кабель между Ленина,33 и Красноамейская,31, и корпуса медицинского факультета стали быть связаны с главным зданием ПетрГУ на скорости 100 мегабит/с (вместо старой телефонной линии и shDSL модемов на скорости 2 мегабита/с).


Yura8 08:54 - 22.10.2015

Комментарии

Всего 48 комментариев

Войдите или зарегистрируйтесь чтобы оставлять комментарии

0

Уважаемый yura8 , "спустя долгие годы ожиданий", в W10 много чего появилось...
Не всегда хорошего, IMXO

0

Цитата:
Но это задача на будущее.
Задача на будущее, это Универу влепить файрвол и отделиться от сетей коммерческих провайдеров.
А то со всех серых IP Сампо и СЛ есть доступ к серым IP Универа. Это бред.
В универе какие то семинары проводятся. По безопасности, по защите персональных данных, сиски и все такое... Не смешили бы.

0

KM, универ не использует внешние каналы коммерческих провайдеров. У нас собственный канал на runnet.
Да, действительно у универа стык и с Сампо и Ситилинк и доступ к серым адресам есть, но это же не бред, это только к лучшему, это и экономия трафика и это многим пользователям нужно для реальной работы. + огромная экономия трафика за счёт этого. Вот здесь перечень каналов ПетрГУ: http://jkfs.petrsu.ru/speedtest/
Ну а насчёт безопасности - у нас все компьютеры где идёт обработка персональных данных защищены сертифицированными антивирусами и файерволлами.

2

Yura8, спасибо.
Посмеялся.

0

KM, спецы)

0

Yura8, мне казалось, что все, где лежит персональные данные - должно шифроваться, а не защищаться всего лишь антивирусами и файерволлами.
Так же использование токенов для тех, кто должен иметь доступ к ПД. Отдельная сеть для доступа к ПД. Бэкапы так же шифровать.
А по вашим описаниям - все как то скучно - к сети универа имеет доступ любой, думаю к ПД - простейшая аунтификация юзера-работника того же отдела кадров и все.

1

xmax, да он наивный дурачок просто.
Так уж получилось что я знаю много работников универа. Сам часто бываю в универе.
Ситуация там просто дебильная. Практически все сотрудники имеют административные права на рабочих компьютерах. Могут удалять, отключать эти антивирусы и файрволы как хотят. Прямой доступ в инет закрыт, только через squid с ограничениями. Многие сотрудники ставят на домашние компы всевозможные прокси и ходят в инет через них. Доступ то ко всем серым адресам Сампо и СЛ имеется. В результате скачивают на рабочие компы все что хотят. Устанавливают что душе угодно. Лично был свидетелем как великовозрастный балбес, сын начальника финансового департамента, заходил удаленным доступам на рабочий компьютер папаши и что то там делал. Регулярно какой -нить умник ставит на рабочий комп какой-нить вингейт со включенным dhcpd, в результате компы в разных частях универа начинают получать левые IP и отваливаются. Типа админы бегают в выпученными глазами, пытаясь вычислить этот dhcpd. Куча каких то разномастных серверов без единого управления. Полностью отсутствует централизованное бекапирование. Сейчас серверную переносят. Так старый бытовой кондиционер из старой серверной вынесли и поставили в новую. Как долго он еще проживет никого не волнует. Резервного кондиционера нет.
В общем бардак полнейший.
В целом пофиг, но за державу обидно.

0

KM, "неплохо")

0

xmax, тебе показалось. Существуют методические рекомендации регуляторов в отношении защиты ПД, исходя из которых строится система защиты, так вот во многих случаях не требуется такой сложной системы как ты описал.

0

Эта функция и возникла в связи с появлением дешевых каналов связи. Если бы она появилась во времена динозавров когда исходящий трафик стоил рубль за мегабайт - пользователи бы маретили MS и отключали ее.

Вопрос на засыпку - как много компов в универе уже перевели на Win10?

0

PS, старые компьютеры переводиться на Win10 не будут!

А в будущем, когда будут покупаться новые системные блоки, то они уже наверняка будут поставляться поставщиком с предустановленной Win10.

0

Yura8, крупные организации уже давно использовали свои сервера для обновлений windows и для скачивания ПО. Корпоративные версиии ПО и ОС. И не надо при закупках оплачивать ПО и ОС третьему лицу. Транжирите деньги. Не думаю, что в ПетрГУ нет корпоративной винды. А если нет, то это пиздец)

0

xmax, Таки да, в таких организациях (а универ это еще и образовательная организация, что немаловажно) обычно винды и прочий софт закупаются по спец лицензии и никаких запар нет. Тем более что там предостаточно компов (а в особенности это касается серверов) вообще без какой-либо винды Happy

0

PS, Да. Действительно это так. (Там у нас действительно корпоративные и спец. лицензии, т.е. лицензия получается не на каждый отдельный компьютер, ... примерно так., - но абсолютно все тонкости лицензирования не знаю).

И компьютеров без Windows - их тоже много. Все серверы, а их у нас очень много, - в основном работают под FreeBSD, а на математическом факультете очень широко распространён Linux.

0

xmax, так да. сейчас во всех крупных организациях есть свой WSUS сервер. Речь как раз идёт о том, что в будущем после введения в Win10 такой технологии он перестанет быть актуальным.

Насчёт лицензий в ПетрГУ - да, есть у нас корпоративная винда (в ПетрГУ действительно в основном везде корпоративное ПО).

Просто предыдущим сообщением я имел ввиду немного другое (а именно что уже существующие компьютеры переводиться на Win10 не будут, а с годами старые компьютеры когда-то отслужат своё, а на новых будет ставиться уже Win10.

0

Yura8, неа, вы явно указали на то, что будет транжирство бабла на ненужную винду, написав, что поставщиком будет устанавливаться ОС, соответственно за бабло.

Пока компы устареют, уже будет не 10 винда.
Ну и сервера обновлений не умрут. Это так же, как хранили бы вы файлы не на серверах, а у каждого на компе и открыли бы доступ с каждого компа.

0

xmax, вообще-то да, так написал, но по ошибке.

1

Yura8, ты молодой и глюпый.
Вот тебе несколько основ нормальной корпоративной сети применительно к этой теме.
1. Корпоративная сеть всегда разделена на вланы.
2. Трафик из разных вланов не пересекается. (более понятно для глюпых, компьютеры из разных вланов не имеют доступа к друг другу).
3. Общедоступные ресурсы (сервера, принтеры, IP-телефония и т.п. вынесены в общедоступные вланы).
4. Нормальный админ корпоративной сети никогда не допустит неконтролируемого трафика внутри сети (типа P2P сеть "Обновления Windows")
5. WSUS обязателен что-бы компьютеры в сети бесконтрольно не обновлялись не нужными обновлениями (например до Windows 10).
6. Во WSUS уже давно есть поддержка Windows 10 (у меня как раз выключено, ибо нафиг).

0

KM,

2. может имеется ввиду только широковещательный трафик?

5. А неужели автоматическое обновление до Windows 10 происходит само собой, без участия пользователя?

0

Yura8, участие пользователя = автоматическое. Надо понимать, что уровень юзерства в компании разный. И если один откажет, другой нажмет "Да" не читая текст. На автомате. Это надо исключать

0

Yura8,
2. широковещательный трафик между вланами не ходит.

5. Именно так. И-за этого в Интернете множество вопросов как убить в трее иконку напоминания обновления до Windows 10.

0

KM, 2. Так да, это я и имел ввиду, что широковещательный между VLAN не ходит, а остальной ведь - возможен, и компьютеры видят друг друга. (Просто я пока сам не знаю, не разбирался, как именно устроена и работает эта система раздачи обновлений, но раз там есть возможность отдавать и в Интернет, то явно там не широковещательный трафик используется).

5. Странно. Видимо это от операционной системы и лицензии зависит. Всё может быть. Но я сталкивался лишь с 2 случаями, - это когда эта иконка в трее не появляется вообще (в случае корпоративной Windows 8 Professional). И второй случай, что она появляется. Но чтобы она без ведома пользователя закачивала бы файлы - это пока не встречал!!! Хотя KB3035583 менялось в октябре, так что не исключаю, - всё может быть. А избавиться от иконки очень просто - в реестре [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\GWX]
"DisableGwx"=dword:00000001

0

Yura8, ты все таки глюпый.
2. Сеть на вланы делят не для того, что-бы между ними что то ходило.

5. Нормальный админ никогда не допустит что-бы у пользователя что-то там появилось, чего потом придется убирать путем правки реестра. Тем более что без AD в сети, для правки реестра придется каждый компьютер посетить лично.

0

KM, 2. а если сделать все VLAN общедоступными?

5. В таком случае, что Вы говорите, - это на огромную сеть из 1500 компьютеров нужен 1 админ.

В ПетрГУ например много разных подразделений, много разных сетей и в каждой свой админ и каждый сам там решает нужно ли ему Active Directorу или удобнее без неё для конкретного здания.

0

Yura8, всегда умиляли рассуждения начинающих куладминов.
Но в принципе, администрировать сеть небольшой булочной, я бы тебе уже доверил.

0

Yura8, Ну а раз на старых машинах никто ничего менять не собирается, то счастье связанное с массовым использованием винды 10 в универе, вангую, наступит не ранее чем через 10 лет )))

0

Хорошо вам там, в универе, делать нефиг, можно заниматься абстрактными размышлениями...Чтобы внешний трафик уменьшить на своих маршрутизаторах и DNS пропишите поддельный WSUS. Обмена со всеми сетями не будет, т.к. юзеры любят ставить домашний маршрутизатор, который наверняка будет резать это все баловство и правильно сделает.

0

JohnDoe, не, такой вариант (подделать оригинальные серверы обновлений в DNS на наш WSUS) - он не совсем хороший, - он создаст в свою очередь кроме выгоды трафика определённые неудобства, - просто в сети ПетрГУ нам нужен и свой WSUS но и выход на "оригинальный" Windows Update тоже нужен для определённых пользователей и задач. (Сеть у нас большая, пользователей много и задачи у всех разные). Так что внешний Windows Update нам тоже нужен, поэтому его изменять в DNS точно не будем.

0

Yura8, сферический конь в вакууме какой-то обсуждаем. По заверениям МС нет никакой разницы откуда брать файлы обновления, а потому выход на МС оставить только вот этому одному вашему WSUS и нет проблем.

0

JohnDoe, да, сами файлы обновлений конечно везде одинаковые. Но вот их предлагаемый выбор - разный. Например на WSUS можно принудительно одобрить загрузку и рекомендуемых обновлений и даже драйверов, а если проверять обновления с сайта Microsoft, то там например рекомендуемые обновления и тем более драйвера по умолчанию не одобрены.
Ну а сами файлы с обновлениями - они конечно одинаковые везде (кстати, правильнее ещё заметить - хранятся они не на серверах Microsoft, а на серверах раздачи Akamai).

1

Yura8, а ты в курсе что в WSUS можно наделать групп, распихать компы по группам. Для разных групп одобрять только свои обновления?
Наример одним можно IE10 и выше ставить, а остальным только IE9 и не выше.
Или одним можно Win10 поставить, а остальным нет.
И т.д.

0

KM, Да. В курсе. В ПетрГУ так и сделано.

0

Yura8, в чем тогда прикол иметь "выход на "оригинальный" Windows Update"?

0

KM, выход на оригинальный "Windows Update" нужен в сети ПетрГУ в основном для трёх случаев:
1) на WSUS точно не одобрен класс драйверов, а например есть необходимость обновить драйвер видеокарты Intel или NVidia, - (например в некоторых случаях так удобнее и быстрее, чем качать свежий Driver Pack Solution или искать на сайте производителя).
2) если на компьютере используется какое-то редкое специфическое программное средство Microsoft, класс которого также не одобрен на WSUS (поскольку массово он не нужен).
3) если например в ПетрГУ будут устанавливать Windows на компьютер или чей-то ноутбук который будет передаваться куда-то в другую организацию, где не сеть ПетрГУ и к WSUS подключаться вообще не планируется.

0

Yura8, ох тыж бля.
Развели бардак.

0

Yura8, 3 - лицензией не предусмотрена установка корпоративной версии ПО, которая будет использоваться не в организации.
У нас например сервера лицензий автокада - только из внутренней сети доступны. Т.е. если поставить на личный ноут/комп дома, то до сервера не достучишься, соответственно не поработаешь.

0

xmax, этот случай я привёл только как пример. - (Я не подразумевал, что корпоративную лицензию будут применять для чужого компьютера). (Имел ввиду случай что именно сам процесс установки будет проходить в сети ПетрГУ, а организация свою лицензию выдаст или подразумевал случай что кто-то принесёт свой ноутбук с целью помочь наладить, - но это всё лишь как примеры случаев, когда нужен не WSUS, а именно оригинальный Windows Update).

0

Yura8, эти компы и не надо считать компами универа, соответственно допуск к ресурсам(а тч wsus) так же не должен(и не нужен). не пример в общем речь. Тебе об одном, а ты совершенно о другом)

0

xmax, престиж петргу поднимать, это тебе нон пенис ля конина

0

Yura8, Ну а если там так и сделано - то подозреваю что не просто так. А стало быть, как тут поможет отказ от WSUS и переход на автообновление винды 10 всем кому вздумается?

0

PS, ну здесь же тема не о мгновенном отказе от WSUS. А о тенденции на ближайшие годы.

0

Yura8, как ты видишь эту тенденцию?

0

Yura8, тенденции отказа от WSUS нет.
В нормальных корпоративных сетях никогда не будут использовать технологию обновления типа P2P. Поскольку она не контролируема, неуправляема и не предсказуема. Хотя теоретики типа тебя все что угодно могут натворить.
Только технология обновления через локальный WSUS позволяет контролировать и управлять процессом обновления. При этом WSUS не идеален.

0

Yura8, нет тенденции. WSUS - инструмент управления подопечными машинами. Еще скажи что Active Directory не нужен будет.
А много серверов перевели на двадцатьдвенадцать?

0

xmax, Ну, Active Directory это совсем другое. Он к данной теме отношения не имеет.

А насчёт количества серверов, переведённых на Windows 2012 Server - точно сказать не могу. Не знаю. (Обслуживаю только один из корпусов ПетрГУ, - про остальные не знаю). Но предполагаю, - что очень мало. Windows Server используется очень мало где в ПетрГУ. В основном серверы на FreeBSD и Linux.

0

Yura8, опять же, на маршрутизаторе разделение по IP вашего всуса и чего там вам еще надо, либо по подсетям. На зная всей картины трудно так универсально посоветовать.

0

JohnDoe, да ладно, ничего. Эта тема заведена больше как общая, про тенденцию на будущее. Речь шла о том, что в будущем WSUS не вообще исчезнут, а станут меньше востребованы, в особенности в организациях, где сети небольшие и состоят из одной подсети.

1

Yura8, Останется все как было Happy там где админу удобнее следить за всем - как был WSUS, так и будет, там где админу банально пофиг - там и сейчас наверняка нет ничего подобного.

Страшно себе представить организацию, где более 100 ПК с бесконтрольными обновлениями и правами админа у всех пользователей. Самая веселуха начинается когда с каким-либо обновлением прилетают проблемы. И ведь такие проблемные обновления были и не раз. Happy

Войдите или зарегистрируйтесь чтобы оставлять комментарии

Наверх