Na firme je cca 150 uzvatelu, kteri maji ruzne distribuce windows tj. xp 32-64 bit, vista 32-64 bit a win 7 32-64bit.
Pristup na internet maji pres proxy server (squid verze 2.5.STABLE3 na jadre fedora 2.4.22 ).
Kazdy ma nastavene automaticke aktualizace.
Problemy :
Vetsi zatez linky pri stahovani aktualizaci (aktualizace se nedelaji ve stejny cas)
Nekorektni vyhledavani a stahovani aktualizaci
Druhy problem je daleko horsiho razu, jelikos proxy semtam nepropousti vsechny aktualizace.
Na nekterych pc to jde, na nekterych zase ne, nebo opozdene, proste spousta problemu.
Hlavni dotaz :
Lze vytvorit lokalni adresar na apache serveru s win update, kde by se synchronizovaly vsechny update z win mirroru a posleze by se reklo squidu at pri dotazu uzivatele nebo cele skupiny uzivatelu nejdrive hleda aktualizace KBxxxxxx apod., na lokalnim adresari, kdyby nenasel, tak by teprve sel na internet ?
Treba takovy antivir NOD to podporuje a je to efektivni reseni, ale u win update si tim nejsem tak jisty.
Urcite to musi mit nejake reseni, nedokazi si predstavit, jak by fungovaly velke firmy o 500 a vice zamestnancich, kde se denne aktualizuje spousta jineho SW nejen windowsu.
Dekuji za kazdou racionalni radu, poznamku, odkaz k nakopnuti
Podle te verze kernelu typuju ze to je Fedora nekolik let stara, stejne tak squid (aktualni je 3.1.0). Nedivil bych se, kdyby mel stary squid nejake problemy napr. s NTLM.
Kazdopadne nevim, zda toto forum je idelani pro tento dotaz. Moc odborniku na to jak funguji aktualizace Windows tu asi nebude. Podle me ale MS nedistribuuje vsem pocitacim najednou stejne aktualizace. Taky zalezi na tom, jak maji aktualizacni mechanismu nastaven uzivatele na svych pocitacich.
Nejsem si jist, zda se daji stahovat aktualizace od MS nejak napr. wgetem ale tim by se problem dal vyresit. Na tom proxy serveru bych adresu pro ziskani aktualizaci presmeroval pomoci iptables na lokalni apache (squid tam neni tim padem vubec potreba) a aktualizace stahoval pouze na ten proxy/http server. Coz je vicemene to co dela NOD, akorat na to ma vlastniho demona.
S dotazama ohledne fungovani aktualizaci windows bych zkusil nejakou windows konferenci.
U nás je skoro 400 Windows stanic (XP, Vista, Seven - vše 32bit) a problém se stahováním updatů nemáme a jede to opravdu vše přímo z Microsoft Updates - o zátěži linky se asi nemá cenu moc bavit, ta bude vždycky, ale MS zas tak často neuvolňuje moc velké sady oprav, pokud to není zrovna nějaký SP pro Win nebo Office - co tam máte za linku? Jinak jak radí covex, nejlépe se poptat na nějaké Windows konferenci jak je to s lokálním mirrorem pro Windows update. Případné nastavení na Linux serveru samozřejmě zase tady =)
covex : Ano tipujes spravne, je to fc8 nekdy z roku 2003-04. Je to pc, kde vali proxy i apache server a preposila to maily atd k dalsim pc. Je to takova “vstupni brana” v DMZ, nad tim uz je jen CISCO router se vsemi moznymi pravidly (ACL, NAT atd).
Ohledne win updates sem cetl spousty konferenci a bylo to tam i zminovane, ze MS nedoporucuje tahat pres proxy.
V brzke dobe to chci predelat na novy pecko s nejnovejsi fc distribuci, jenze zatim neni cas to predelat - otestovat.
Pak bych se ukazalo, jestli nova verze squidu zabrala ci ne. (kompilovat squda na stavajici jadro by byla az posledni moznost).
vain : Jsou Vasi uzivatele pripojeni k internetu pres nejaky proxy server? Nebo jak filtrujete obsah stranek pro uzivatele + koncovou rychlost na uzivatele, pokud to delate pres linuxovej server ?
Jelikos nejsme ve velkem meste, mame jen synchronni linku 10/10 M pres wifi (smerovka).
slune: Ano, toto sem tez nasel, ale zatim tu nemame zadny win server, kde by se to dalo praktikovat.
Nenasel sem zadny schudny navod, jak to rozchodit na linuxu. Kdy by si nahodou vedel byl bych vdecny.
Bohuzel o nicem nevim, ale pokud mas 150 uzivatelu na widlich tak bych se primlouval za jeden win server s WSUS.
Rekl bych, ze si usetris dost prace.
Bohuzel je to tak, ze windows nejlepe spolupracuje s windows a s WSUS mam dobre zkusenosti a je to velice intuitivni a hlavne ti to pomuze velice dobre ridit aktualizace.
Uživatelé jedou přes jeden velmi starý server (také Fedora verze nějak 1/2/3 a teď nechci kecat - je starší než já tam vyší než FC4 nebude) a nemají nijak omezenou rychlost na stanici. Ovšem linku máme rychlejší, takže jedině, že by to bylo tím, ale to se mi přesto nezdá. Ten server už ale stejně nestíhá a squid a spol hulí ten server skoro konstantně na 80% zátěže procesoru. Přesto… vše naštěstí funguje - zatím.
Proto mě napadá, jestli tam nekolabuje nějaký jiný prvek mezi stanice <> internet. Jak si vůbec ten Váš server vede, když obsluhuje i maily (kde je v dnešní době krásný spam provoz)?
Nam squid zere kolem 30-40% zateze CPU (mame min prac. stanic), takze ohledne toho nevidim problem.
Rychlost stahovani na stanici by taky nemel byt problem, podle testu a mereni to nejede nikdy pomaleji nez 100 KB/s, prumerne tak 200 KB/s (max. 350, ale to je pri minimalnim vytizeni linky na pool).
A Cesta k internetu je asi takova. Antena --> Gateway Mikronik — >Cisco router, dalsi Cisco switche propojene optikou mezi sebou v trunku, rozdelene na VLAN (podle oddeleni). Servery sou samozrejme v jinych DMZ oblastech.
Nejdriv rozhodne Cisco router s pravidly co pusti co ne a kam a pak uz je to ciste na VLANach.
Ohledne tech mailu, mozna sem se spatne vyjadril, on ten server s proxy je jen preposila na mail server, kde bezi jen sendmail + antivir clamav a dhcp + ldap slave (zelezo je tam kvalitni, nejakej Xeon 5520 a 8 GB ram, 4x1TB RE v raid 5). Vubec je nekontroluje nejakym antivirakem ci tak (ani co jde k uzivatelum, na to maji antivirak atd, to by jen zpomalovalo). V minulym tydnu sem musel kompilovat clamav-milter na nejnovejsi verzi 0.96.5 na jardo fc8_x86_64bit, jelikos ta verze co tam byla (0.92.1) se uz neaktualizovala a mela max velikost antivir databaze 20 MB coz ty nove maji kolem 27 MB a proto ani nechtel bezet.
Ale vse probehlo vporadku a uz bezi, i kdyz ma sem tam zatuhy deliver.db, ktera se musi proste smazat a vytvorit nova
Tak jako tak se bojím, že udělat ten lokální mirror bez Windows serveru nepůjde. Vzhledem k tomu, jak Microsoft k takovým věcem přistupuje, buď na jejich technologiích, nebo vůbec. Ale pokud někdo něco vymyslí případně najde na netu… bylo by to zajímavé - i mě by to zajímalo, ačkoliv s tím momentálně nebojuji.
