Bewerken

Delen via

Implementatie plannen voor het bijwerken van Windows VM's in Azure

Azure
Azure Firewall
Azure Virtual Machines
Azure Virtual Network

Als u uw virtuele Azure-netwerk hebt afgegrendeld van internet, kunt u nog wel Windows-updates ophalen zonder de beveiliging in gevaar te brengen en de toegang tot internet volledig te openen. Dit artikel bevat aanbevelingen voor het instellen van een perimeternetwerk, ook wel een DMZ genoemd, om een WSUS-exemplaar (Windows Server Update Service) te hosten om virtuele netwerken veilig bij te werken zonder internetverbinding.

Als u Azure Firewall gebruikt, kunt u de Windows Update FQDN-code in toepassingsregels gebruiken om het vereiste uitgaande netwerkverkeer via uw firewall toe te staan. Zie Overzicht van FQDN-codes voor meer informatie.

Om de aanbevelingen in dit artikel te implementeren, moet u vertrouwd zijn met Azure-services. In de volgende secties wordt het aanbevolen implementatieontwerp besproken, waarin een hub-spoke-configuratie wordt gebruikt in een configuratie met een of meer regio's.

Hub-spoke netwerktopologie voor Azure Virtual Network

Wij raden u aan een netwerktopologie volgens het hub-spoke-model op te zetten door een perimeternetwerk te maken. Host de WSUS-server op een virtuele machine van Azure die zich in de hub tussen het internet en de virtuele netwerken bevindt. De hub moet open poorten hebben. WSUS gebruikt poort 80 voor het HTTP-protocol en poort 443 voor het HTTPS-protocol om updates van Microsoft op te halen. De spokes zijn alle andere virtuele netwerken; deze communiceren met de hub en niet met internet. U kunt dit bereiken door een subnet, netwerkbeveiligingsgroepen (NSG's) en Azure Microsoft Azure Virtual Network-peering te maken waarmee het WSUS-verkeer wordt toegestaan terwijl ander internetverkeer wordt geblokkeerd. Deze afbeelding toont een voorbeeld van hub-spoke-topologie:

Diagram van hub-and-spoke-topologiearchitectuur.

Een Visio-bestand van deze architectuur downloaden.

In deze afbeelding:

  • WSUSSubnet is de hub van de hub-spoke.
  • NSG_DS is een netwerkbeveiligingsgroepsregel die verkeer voor WSUS toestaat terwijl ander internetverkeer wordt geblokkeerd.
  • WSUS-VM- is de virtuele machine van Azure die is geconfigureerd om WSUS uit te voeren.
  • MainSubnet is een virtueel netwerk, een spoke, dat virtuele machines bevat.
  • NSG_MS is een netwerkbeveiligingsgroepsbeleid dat verkeer van WSUS-VM toelaat, maar internetverkeer weigert.

U kunt een bestaande server opnieuw gebruiken of een nieuwe server implementeren als WSUS-server. Voor de WSUS-VM raden we minimaal het volgende aan:

  • Besturingssysteem: Windows Server 2016 of hoger.
  • Processor: Dual core, 2 GHz of sneller.
  • Geheugen: 2 GB RAM-geheugen, naast het RAM-geheugen dat is vereist voor de server en alle andere actieve services en software.
  • Opslag: 40 GB of meer.
  • Toegang: Deze virtuele machine veiliger openen met behulp van Just-In-Time (JIT). Zie VM-toegang beheren met behulp van Just-In-Time.

Uw netwerk zal meerdere virtuele Azure-netwerken hebben, die zich in dezelfde of verschillende regio's kunnen bevinden. U moet alle VM's van Windows Server evalueren om te zien of er een als een WSUS-server kan worden gebruikt. Als u duizenden VM's moet bijwerken, raden we u aan een Windows Server-VM geheel toe te wijzen aan de WSUS-rol.

Als al uw virtuele netwerken zich in dezelfde regio bevinden, adviseren we om één WSUS voor elke 18.000 VM's te gebruiken. Deze suggestie is gebaseerd op een combinatie van de VM-vereisten, het aantal client-VM's dat wordt bijgewerkt en de kosten van de communicatie tussen virtuele netwerken. Zie Plan your WSUS deployment (uw WSUS-implementatie plannen) voor meer informatie over de capaciteitsvereisten voor WSUS.

U kunt de kosten van deze configuraties bepalen met behulp van de Azure Prijscalculator. U moet de volgende informatie opgeven:

  • Virtuele machine:
    • Regio: de regio waar uw virtuele Azure-netwerk is geïmplementeerd.
    • Besturingssysteem: Windows
    • Laag: Standard
    • Exemplaar: D4-configuratie
    • Beheerde schijven: Standard HDD, 64 GB
  • Virtueel netwerk:
    • Typ
      • Dezelfde regio indien de overdracht zich in dezelfde regio bevindt.
      • Tussen regio's als gegevens van de ene naar de andere regio worden verplaatst.
    • Gegevensoverdracht: 2 GB
    • Regio
      • Als de overdracht plaatsvindt binnen één regio, kiest u de regio waar de WSUS-server en de virtuele netwerken zich bevinden.
      • Als de overdracht over regiogrenzen heengaat, is de bronregio van het virtuele netwerk de regio waar de WSUS-server zich bevindt. De doelregio van het virtuele netwerk is de regio waar de gegevens naartoe gaan.
    • Als u meerdere regio's hebt, moet u meerdere keren Virtueel netwerk selecteren.

De prijzen verschillen per regio.

Handmatige implementatie

Wanneer u het virtuele Azure-netwerk hebt geïdentificeerd dat u als hub wilt gebruiken of hebt vastgesteld dat u een nieuw Windows Server-exemplaar moet maken, moet u een NSG-regel maken. De regel staat internetverkeer toe, zodat Windows Update metagegevens en inhoud kan synchroniseren met de WSUS-server die u gaat maken. Dit zijn de regels die u moet toevoegen:

  • Een NSG-regel voor inkomend/uitgaand verkeer om verkeer van en naar internet toe te staan via poort 80 (voor inhoud).
  • Een NSG-regel voor inkomend/uitgaand verkeer om verkeer van en naar internet toe te staan via poort 443 (voor metagegevens).
  • Een NSG-regel voor inkomend/uitgaand verkeer van de client-VM's via poort 8530 (standaard tenzij geconfigureerd).

WSUS instellen

Er zijn twee benaderingen die u kunt gebruiken om uw WSUS-server in te stellen:

  • Als u automatisch een server wilt instellen die is geconfigureerd voor het verwerken van een doorsnee workload met minimale vereisten voor beheer, kunt u het automation-script van PowerShell gebruiken.
  • Als u duizenden clients met verschillende besturingssystemen en talen moet beheren, of als u WSUS wilt configureren op een manier die niet mogelijk is met het PowerShell-script, kunt u WSUS handmatig instellen. Beide benaderingen worden verderop in dit artikel beschreven.

U kunt de twee benaderingen ook combineren, door het automation-script het meeste werk te laten doen en vervolgens de WSUS-beheerconsole te gebruiken om de serverinstellingen te verfijnen.

WSUS instellen met behulp van het automation-script

Met het script Configure-WSUSServer kunt u snel een WSUS-server instellen die automatisch updates synchroniseert en goedkeurt voor een gekozen set producten en talen.

Notitie

Met het script wordt WSUS altijd ingesteld om de interne database van Windows te gebruiken voor de opslag van updategegevens. Dit versnelt de installatie en vermindert de complexiteit van het beheer. Maar als uw server duizenden clientcomputers ondersteunt, met name als u ook een groot aantal producten en talen moet ondersteunen, moet u WSUS in plaats daarvan handmatig instellen zodat u SQL Server als database kunt gebruiken.

De meest recente versie van dit script is beschikbaar op GitHub.

U configureert het script met behulp van een JSON-bestand. U kunt momenteel de volgende opties configureren:

  • Of update-payloads lokaal moeten worden opgeslagen (en zo ja, waar ze moeten worden opgeslagen) of op de Microsoft-servers moeten blijven staan.
  • Welke producten, updateclassificaties en talen beschikbaar moeten zijn op de server.
  • Of de server updates automatisch moet goedkeuren voor installatie of updates niet-goedgekeurd moet laten tenzij een beheerder deze goedkeurt.
  • Of de server nieuwe updates automatisch moet ophalen van Microsoft en zo ja, hoe vaak.
  • Of snelle updatepakketten moeten worden gebruikt. (Snelle updatepakketten verlagen de bandbreedte van server naar client ten koste van CPU/schijfgebruik van de client en de bandbreedte van server naar server.)
  • Of bestaande instellingen van het script moeten worden overschreven. (Om te voorkomen dat de serverbewerking wordt verstoord door onbedoelde herconfiguratie, wordt het script slechts eenmaal op een bepaalde server uitgevoerd.)

Kopieer het script en het bijbehorende configuratiebestand naar lokale opslag en bewerk het configuratiebestand op basis van uw behoeften.

Waarschuwing

Wees voorzichtig bij het bewerken van het configuratiebestand. De syntaxis van JSON-configuratiebestanden is strikt. Als u per ongeluk de structuur van het bestand wijzigt, en niet alleen de parameterwaarden, wordt het configuratiebestand niet geladen.

U kunt kiezen uit twee manieren om dit script uit te voeren:

  • U kunt het script handmatig uitvoeren vanaf de WSUS-VM.

    Met de volgende opdracht, die moet worden uitgevoerd vanuit een opdrachtpromptvenster met verhoogde bevoegdheid, wordt WSUS geïnstalleerd en geconfigureerd. Met deze opdracht worden het script en het configuratiebestand in de huidige map gebruikt.

    powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json

  • U kunt de Aangepaste scriptextensie voor Windows gebruiken.

    Kopieer het script en het JSON-configuratiebestand naar uw eigen opslagcontainer.

    In doorsnee VM- en Azure Virtual Network-configuraties heeft de extensie voor aangepaste scripts alleen de volgende twee parameters nodig om het script correct uit te voeren. (U moet de hier getoonde waarde vervangen door de URL's van uw opslaglocaties.)

    "fileUris": ["https://mystorage.blob.core.windows.net/mycontainer/Configure-WSUSServer.ps1","https://mystorage.blob.core.windows.net/container/WSUS-Config.json"],
"commandToExecute": "powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json"

Het script start de eerste synchronisatie die nodig is om updates beschikbaar te maken voor clientcomputers. Er wordt echter niet gewacht totdat de synchronisatie is voltooid. Afhankelijk van de producten, classificaties en talen die u hebt geselecteerd, kan de initiële synchronisatie enkele uren duren. Alle volgende synchronisaties zouden sneller moeten gaan.

WSUS handmatig instellen

  1. Open Serverbeheer vanuit uw WSUS-VM en selecteer Functies en onderdelen toevoegen.

  2. Selecteer Volgende tot u op de pagina Serverfuncties selecteren komt. Selecteer Windows Server updateservices. Selecteer Onderdelen toevoegen wanneer u wordt gevraagd Wilt u onderdelen toevoegen die vereist zijn voor Windows Server Update Services?

  3. Selecteer Volgende tot u op de pagina Functieservices selecteren komt.

    • Standaard kunt u WID-connectiviteit gebruiken.
    • Gebruik SQL Server-connectiviteit als u clients wilt ondersteunen die veel verschillende versies van Windows gebruiken (bijvoorbeeld Windows 11 en Windows 10).

  4. Selecteer Volgende totdat de pagina De locatie van de inhoud selecteren wordt weergegeven. Voer de locatie in waar u de updates wilt opslaan.

  5. Selecteer Volgende totdat de pagina Installatieselecties bevestigen wordt weergegeven. Selecteer Installeren.

  6. Open de geïnstalleerde Windows Server Update Services en selecteer Uitvoeren.

  7. Selecteer Volgende totdat de pagina Verbinding maken met upstream-server wordt weergegeven. Selecteer Starten met verbinding maken.

  8. Selecteer Volgende totdat de pagina Talen kiezen wordt weergegeven. Kies de talen die u nodig hebt.

  9. Selecteer Volgende totdat de pagina Producten kiezen wordt weergegeven. Kies de producten die u nodig hebt.

  10. Selecteer Volgende totdat de pagina Classificaties kiezen wordt weergegeven. Kies de updates die u nodig hebt.

  11. Selecteer Volgende totdat de pagina Synchronisatieschema instellen wordt weergegeven. Kies uw synchronisatievoorkeur.

  12. Selecteer Volgende totdat de pagina Voltooid wordt weergegeven. Selecteer Initiële synchronisatie starten en vervolgens Volgende.

  13. Selecteer Volgende totdat de pagina Volgende stappen wordt weergegeven en selecteer Voltooien.

  14. Als u in het navigatiedeelvenster uw WSUS-naam selecteert (bijvoorbeeld WsusVM), ziet u dat Synchronisatiestatus Niet-actief is en Resultaat van laatste synchronisatie Geslaagd is.

  15. Selecteer in het navigatiedeelvenster Opties>Computers>Groepsbeleid of registerinstellingen op computers gebruiken. Selecteer OK.

Tijdens de synchronisatie bepaalt WSUS of er nieuwe updates beschikbaar zijn gemaakt sinds de laatste synchronisatie. Als dit de eerste keer is dat u WSUS synchroniseert, worden de metagegevens onmiddellijk gedownload. De payload wordt alleen gedownload als lokale opslag is ingeschakeld en de update is goedgekeurd voor ten minste één computergroep.

Notitie

De initiële synchronisatie kan meer een uur duren. Alle volgende synchronisaties zouden aanzienlijk sneller moeten zijn.

Virtuele netwerken configureren om te communiceren met WSUS

Vervolgens moet u peering van virtuele Azure-netwerken of globale peering van virtuele netwerken instellen voor communicatie met de hub. We raden u aan een WSUS-server in te stellen in elke regio die u hebt geïmplementeerd, om latentie te minimaliseren.

In elk virtueel Azure-netwerk dat een spoke is, moet u een NSG-beleid maken dat de volgende regels heeft:

  • Een NSG-regel voor inkomend/uitgaand verkeer van de WSUS-VM via poort 8530 (standaard tenzij geconfigureerd).
  • Een NSG-regel voor inkomend/uitgaand verkeer om verkeer van internet te weigeren.

Maak vervolgens de peering van Azure Virtual Network van de spoke naar de hub.

Client-VM

Virtuele machines van de client configureren

WSUS kan worden gebruikt voor het bijwerken van elke virtuele machine waarop Windows wordt uitgevoerd (met uitzondering van de Home-SKU). Voer de volgende stappen uit op elke client-virtuele machine om communicatie tussen de WSUS en de client in te schakelen:

Vanaf de client-VM

  1. Open de Editor voor lokaal groepsbeleid (of de Editor voor groepsbeleidsbeheer).
  2. Ga naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Windows Update.
  3. Schakel Lokaal beleid voor Locatie van Microsoft-updateservice in intranet opgeven in.
  4. Voer de URL http://\<WSUS name>:8530 in. (U vindt uw WSUS-naam (bijvoorbeeld WsusVM)op de pagina Update Services.) Het kan enige tijd duren (mogelijk enkele uren) voordat deze instelling is doorgevoerd.
  5. Ga naar Instellingen>Bijwerken en beveiliging>Windows Update.
  6. Selecteer Controleren op updates.

Vanaf uw WSUS-VM

  1. Open Windows Server Update Services. Nu moet u uw client-VM kunnen zien onder Computers>Alle computers.
  2. Selecteer Updates>Alle updates.
  3. Stel Goedkeuring in op Alle behalve geweigerd.
  4. Stel Status in op Benodigd. U kunt nu alle benodigde updates voor uw client-VM bekijken.
  5. Klik met de rechtermuisknop op een update en selecteer Goedkeuren.

Verificatie

  1. Ga op de client-VM naar Instellingen>Bijwerken en beveiliging>Windows Update.
  2. Selecteer Controleren op updates. Als het goed is, ziet u een update met hetzelfde KB-artikelnummer (bijvoorbeeld 4480056) dat u hebt goedgekeurd vanuit de WSUS-VM.

Als u beheerder bent van een groot netwerk, zie dan Updates en updateservicelocatie configureren voor informatie over het gebruiken van groepsbeleidsinstellingen voor het automatisch configureren van clients.

WSUS-implementatie voor meerdere clouds

Het is niet mogelijk om peering van virtuele netwerken in te stellen voor openbare en persoonlijke clouds. Voor netwerken die worden geïmplementeerd in openbare en persoonlijke clouds, moet ten minste één WSUS-server in elke cloud worden geconfigureerd.

Ondersteuningsopmerkingen

WSUS biedt momenteel geen ondersteuning voor synchronisatie met de Windows Home-SKU.

Azure Update Manager

U kunt Azure Update Manager gebruiken om besturingssysteemupdates te beheren en te plannen voor VM's die worden gesynchroniseerd met WSUS. De patchstatus van de virtuele machine (dat wil zeggen welke patches ontbreken) wordt geëvalueerd op basis van de bron waarmee de virtuele machine is geconfigureerd om te worden gesynchroniseerd. Als de Windows-VM is geconfigureerd om te rapporteren aan WSUS, kunnen de resultaten afwijken van wat er wordt weergegeven in Microsoft Update, afhankelijk van wanneer WSUS voor het laatst is gesynchroniseerd met Microsoft Update. Wanneer u uw WSUS-omgeving hebt geconfigureerd, kunt u Updatebeheer inschakelen. Zie het overzicht van Azure Update Manager voor meer informatie.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

  • Paul Reed | Azure Compliance Senior Program Manager

Volgende stappen

  • Zie Plan your WSUS deployment (uw WSUS-implementatie plannen) voor meer informatie over het plannen van een implementatie.
  • Zie WSUS-beheer voor meer informatie over het beheren van WSUS, het instellen van een WSUS-synchronisatieschema en meer.