在本地使用WSUS，在远程使用MU？（但仍要向WSUS报告）

当前，我们为台式机和笔记本电脑的所有计算机配置了单个内部WSUS服务器。WSUS服务器仅在内部可用（VPN或LAN）。我们有一些远程用户，这些远程用户几乎永远不会在现场，并且半频繁地VPN进入网络。我不想让他们通过VPN下载Windows更新，而是要完成以下任务：

• 当客户端在本地网络上时，它们会在WSUS服务器上检查是否已批准更新，并从我们的本地WSUS服务器下载它们。
• 当客户端处于远程状态时，他们签入WSUS服务器，而WSUS服务器指示要下载的更新，但是他们直接从Microsoft下载它们。

根据我的阅读，可能有一个辅助的WSUS服务器来告诉客户端从Microsoft下载并利用DNS网络掩码排序来告诉客户端要与哪个WSUS服务器联系，这是可能的。有没有办法用一个WSUS服务器来做到这一点？所有远程客户端都是Windows 7 SP1，WSUS是Server 2008 R2 SP1上的v3。将Microsoft RRAS用于VPN服务（IKEv2 / SSTP / L2TP / PPTP）。

我不这么认为，但是一种解决方法是在您的网络上实现拦截式代理服务器。这意味着您可以配置WSUS服务器以指示客户端从Microsoft下载，但仍在本地为网络上的计算机缓存内容。（作为一项额外的奖励，仅在确实需要更新时才下载更新，因此您对批准的内容的选择可能会较少。）

此方法的一种变体是将台式计算机上的WinHTTP配置为使用代理服务器，尽管这意味着仍可以从Microsoft下载本地便携式计算机。原则上，您可以编写一些软件来检测计算机的当前位置，并根据需要重新配置WinHTTP。

我们最终创建了第二台WSUS服务器作为主服务器的副本，唯一的不同是，向其报告的所有客户端都直接从Microsoft下载其更新（而不是将下载本地缓存在本地）。我们很可能仅将GPO用于所有远程客户端，以向该新WSUS服务器报告，而不使用任何DNS解决方案；他们有99％的时间不在办公室，因此从长远来看，这更简单。

实际上，我认为这不是WSUS的想法。由于您可以批准/拒绝WSUS中的更新，因此异地用户将不受您的策略的影响。

也许MS Intune是解决此问题的方法：从Microsoft下载，但是您仍然可以控制。