Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Firewall
Azure Virtual Machines
Azure Virtual Network
Wenn Sie den Internetzugriff für Ihr virtuelles Azure-Netzwerk gesperrt haben, können Sie trotzdem Windows-Updates erhalten, ohne die Sicherheit zu gefährden und den Zugriff auf das gesamte Internet zuzulassen. Dieser Artikel enthält Empfehlungen für die Einrichtung eines Umkreisnetzwerks (auch DMZ genannt), um eine WSUS-Instanz (Windows Server Update Services) zu hosten und die gefahrlose Aktualisierung von virtuellen Netzwerken ohne Internetverbindung zu ermöglichen.
Wenn Sie Azure Firewall verwenden, verwenden Sie das WindowsUpdate FQDN-Tag in Anwendungsregeln, um den erforderlichen ausgehenden Netzwerkdatenverkehr über Ihre Firewall zuzulassen. Weitere Informationen finden Sie unter FQDN-Tags ( Übersicht ) und Planen von Softwareupdates – Konfigurieren von Firewalls.
Zum Umsetzen der Empfehlungen in diesem Artikel sollten Sie mit den Azure-Diensten vertraut sein. In den folgenden Abschnitten wird der empfohlene Bereitstellungsentwurf beschrieben, der eine Hub-Spoke-Konfiguration in einer einzelnen Region oder konfiguration mit mehreren Regionen verwendet.
Azure Virtual Network Hub-Spoke-Netzwerktopologie
Es wird empfohlen, eine Hub-Spoke-Modell-Netzwerktopologie einzurichten, indem Sie ein Umkreisnetzwerk erstellen. Hosten Sie den WSUS-Server auf einem virtuellen Azure-Computer, der sich im Hub zwischen dem Internet und den virtuellen Netzwerken befindet. Der Hub muss über geöffnete Ports verfügen. WSUS verwendet den Port 80 für das HTTP-Protokoll und den Port 443 für das HTTPS-Protokoll, um Updates von Microsoft zu beziehen. Bei den Spokes handelt es sich um die übrigen virtuellen Netzwerke. Diese kommunizieren mit dem Hub und nicht mit dem Internet. Zu diesem Zweck werden ein Subnetz und Netzwerksicherheitsgruppen (NSGs) erstellt, und es wird Azure-basiertes Peering virtueller Netzwerke eingerichtet, das WSUS-Datenverkehr zulässt und anderen Internetdatenverkehr blockiert. Diese Abbildung zeigt ein Beispiel für die Hub-Spoke-Topologie:
Laden Sie eine Visio-Datei dieser Architektur herunter.
In dieser Abbildung:
- snet-wsus ist das Subnetz im Hub des Hubs und der Speichentopologie, die den WSUS-Server enthält.
- nsg-ds ist eine Netzwerksicherheitsgruppenregel , die Datenverkehr für WSUS zulässt, während anderer Internetdatenverkehr blockiert wird.
- Der virtuelle Windows Server Update Service-Computer ist der virtuelle Azure-Computer, der für die Ausführung von WSUS konfiguriert ist.
- snet-workload ist ein Beispiel für ein Subnetz in einem virtuellen Peered-Netzwerk mit virtuellen Windows-Computern.
- nsg-ms ist eine Netzwerksicherheitsgruppenrichtlinie , die Datenverkehr zu WSUS-VM zulässt, aber anderen Internetdatenverkehr verweigert.
Sie können einen vorhandenen Server wiederverwenden oder einen neuen bereitstellen, der zum WSUS-Server wird. Ihre WSUS-VM muss die dokumentierten Systemanforderungen erfüllen. Da es sich um eine sicherheitssensible Funktion handelt, sollten Sie den Zugriff auf diesen virtuellen Computer mithilfe von Just-in-Time (JIT) planen. Siehe Verwalten des Zugriffs auf virtuelle Computer mithilfe von Just-in-Time.
Ihr Netzwerk umfasst mehrere virtuelle Azure-Netzwerke, die sich entweder in der gleichen Region oder in unterschiedlichen Regionen befinden können. Sie müssen alle Windows Server-VMs auswerten, um festzustellen, ob ein Computer als WSUS-Server verwendet werden kann. Wenn Sie mehrere tausend virtuelle Computer aktualisieren müssen, empfiehlt es sich, einen dedizierten virtuellen Windows Server-Computer für die WSUS-Rolle zu verwenden. Außerdem empfehlen wir, dass VMs keinen WSUS-Server in einer anderen Region als primäre Quelle verwenden.
Wenn sich alle Ihre virtuellen Netzwerke in der gleichen Region befinden, empfehlen wir, jeweils eine WSUS-Instanz pro 18.000 virtuellen Computern zu verwenden. Dieser Vorschlag basiert auf einer Kombination aus den VM-Anforderungen, der Anzahl der zu aktualisierenden virtuellen Computer und den Kosten für die Kommunikation zwischen virtuellen Netzwerken. Weitere Informationen zu WSUS-Kapazitätsanforderungen finden Sie unter Planen der WSUS-Bereitstellung.
Die Kosten dieser Konfigurationen können mit dem Azure-Preisrechner ermittelt werden. Sie müssen die Spezifikationen Ihrer virtuellen WSUS-Computer und Ihre Netzwerkerwartungen angeben. dieselbe Region, in allen Regionen. Beginnen Sie bei der Datenübertragung mit 3 GB. Die Preise variieren je nach Region.
Manuelle Bereitstellung
Nachdem Sie entweder das zu verwendende virtuelle Azure-Netzwerk identifiziert oder festgestellt haben, dass Sie eine neue Windows Server-Instanz erstellen müssen, müssen Sie eine NSG-Regel erstellen. Die Regel ermöglicht Internetdatenverkehr, wodurch Windows Update-Metadaten und -Inhalte mit dem von Ihnen erstellten WSUS-Server synchronisiert werden können. Folgende Regeln müssen hinzugefügt werden:
- NSG-Eingangsregel/-Ausgangsregel, um ein-/ausgehenden Internetdatenverkehr am Port 80 zuzulassen (für Inhalt)
- NSG-Eingangsregel/-Ausgangsregel, um ein-/ausgehenden Internetdatenverkehr am Port 443 zuzulassen (für Metadaten)
- NSG-Eingangsregel/-Ausgangsregel, um Datenverkehr von den virtuellen Clientcomputern am Port 8530 (sofern nicht anders konfiguriert) zuzulassen
Einrichten von WSUS
Ein WSUS-Server kann auf zwei Arten eingerichtet werden:
- Für die automatische Einrichtung eines Servers, der für die Bewältigung einer typischen Workload mit minimalem Verwaltungsaufwand konfiguriert ist, können Sie das PowerShell-Automatisierungsskript verwenden.
- Wenn Sie mit mehreren Tausend Clients mit zahlreichen verschiedenen Betriebssystemen und Sprachen arbeiten oder WSUS auf eine Weise konfigurieren möchten, die die Möglichkeiten des PowerShell-Skripts übersteigt, können Sie WSUS manuell einrichten. Beide Ansätze werden weiter unten in diesem Artikel beschrieben.
Sie können die beiden Ansätze auch kombinieren, indem Sie das Automatisierungsskript für den Großteil der Arbeit verwenden und anschließend die Servereinstellungen mithilfe der WSUS-Verwaltungskonsole anpassen.
Einrichten von WSUS mithilfe eines Automatisierungsskripts
Mit dem Configure-WSUSServer Skript können Sie einen WSUS-Server einrichten, der Updates für eine ausgewählte Gruppe von Produkten und Sprachen automatisch synchronisiert und genehmigt.
Hinweis
Das Skript richtet WSUS immer so ein, dass die Updatedaten in der internen Windows-Datenbank gespeichert werden. Dies dient zur Beschleunigung der Einrichtung sowie zur Vereinfachung der Verwaltung. Wenn Ihr Server jedoch Tausende von Clientcomputern unterstützt, insbesondere wenn Sie auch eine vielzahl von Produkten und Sprachen unterstützen müssen, sollten Sie WSUS stattdessen manuell einrichten, damit Sie SQL Server als Datenbank verwenden können.
Die neueste Version des Skripts ist auf GitHub verfügbar.
Sie konfigurieren das Skript mithilfe einer JSON-Datei. Derzeit können Sie diese Optionen konfigurieren:
- Ob Updatenutzlasten auf den Microsoft-Servern belassen oder lokal gespeichert werden sollen (und wenn ja: wo)
- Welche Produkte, Updateklassifizierungen und Sprachen auf dem Server verfügbar sein sollen
- Ob Updates vom Server automatisch für die Installation genehmigt werden sollen oder ob eine Genehmigung durch einen Administrator erforderlich ist
- Ob der Server automatisch neue Updates von Microsoft abrufen soll (und wenn ja: wie oft)
- Ob Express-Updatepakete verwendet werden sollen. (Express-Updatepakete verringern die Server-zu-Client-Bandbreite, dies geht jedoch zulasten der CPU-/Datenträgerauslastung von Clients und der Server-zu-Server-Bandbreite.)
- Ob das Skript die vorherigen Einstellungen überschreiben soll. (Zur Vermeidung einer unbeabsichtigten Neukonfiguration und einer möglichen Beeinträchtigung des Serverbetriebs wird das Skript normalerweise auf jedem Server nur einmal ausgeführt.)
Kopieren Sie das Skript und die zugehörige Konfigurationsdatei in den lokalen Speicher, und bearbeiten Sie die Konfigurationsdatei gemäß Ihren Anforderungen.
Warnung
Gehen Sie bei der Bearbeitung der Konfigurationsdatei mit Bedacht vor. Die für JSON-Konfigurationsdateien verwendete Syntax ist strikt. Wenn Sie die Struktur der Datei und nicht nur die Parameterwerte versehentlich ändern, wird die Konfigurationsdatei nicht geladen.
Dieses Skript kann auf zwei Arten ausgeführt werden:
Manuell vom virtuellen WSUS-Computer aus
Mit dem folgenden Befehl, der über ein Eingabeaufforderungsfenster mit erhöhten Rechten ausgeführt wird, wird WSUS installiert und konfiguriert. Dabei werden das Skript und die Konfigurationsdatei im aktuellen Verzeichnis verwendet.
powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.jsonMit der benutzerdefinierten Skripterweiterung für Windows
Kopieren Sie das Skript und die JSON-Konfigurationsdatei in Ihren eigenen Speichercontainer, der über eine private Netzwerkzeile verfügt, auf die WSUS-VM.
Bei typischen VM- und Azure Virtual Network-Konfigurationen benötigt die CustomScript-Erweiterung nur die beiden folgenden Parameter, damit das Skript ordnungsgemäß ausgeführt werden kann. (Sie müssen die hier gezeigten Werte durch die URLs für ihre Speicherorte ersetzen.)
settings: { fileUris: [ 'https://yourstorageaccount.blob.core.windows.net/wsus/Configure-WSUSServer.ps1' 'https://yourstorageaccount.blob.core.windows.net/container/WSUS-Config.json' ] commandToExecute: 'powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json' }
Das Skript startet die Erstsynchronisierung, die erforderlich ist, um Updates für Clientcomputer verfügbar zu machen. Es wird jedoch nicht auf den Abschluss dieser Synchronisierung gewartet. Je nach den gewählten Produkten, Klassifizierungen und Sprachen kann die Erstsynchronisierung mehrere Stunden dauern. Alle weiteren Synchronisierungen sollten schneller gehen.
Manuelles Einrichten von WSUS
Folgen Sie auf Ihrer WSUS-VM den Anweisungen unter "Installieren der WSUS-Serverrolle".
Im Zuge der Synchronisierung ermittelt WSUS, ob seit der letzten Synchronisierung neue Updates verfügbar gemacht wurden. Bei der Erstsynchronisierung von WSUS werden die Metadaten sofort heruntergeladen. Die Nutzlast wird nur heruntergeladen, wenn der lokale Speicher aktiviert und das Update für mindestens eine Computergruppe genehmigt wurde.
Hinweis
Die Erstsynchronisierung kann über eine Stunde dauern. Alle weiteren Synchronisierungen sollten deutlich schneller sein.
Konfigurieren virtueller Netzwerke für die Kommunikation mit WSUS
Richten Sie als Nächstes das Peering virtueller Netzwerke (Azure-basiert oder global) für die Kommunikation mit dem Hub ein. Zur Verringerung der Wartezeit empfiehlt es sich, in jeder bereitgestellten Region einen WSUS-Server einzurichten.
In jedem virtuellen Azure-Netzwerk, das ein Spoke ist, müssen Sie eine NSG-Richtlinie erstellen, die diese Regeln enthält:
- Eine eingehende/ausgehende NSG-Regel, um Datenverkehr an die WSUS-VM an Port 8530 zuzulassen (Standard, sofern nicht konfiguriert).
- Eine eingehende/ausgehende NSG-Regel zum Verweigern des Datenverkehrs zum Internet.
Erstellen Sie als Nächstes das Peering in virtuellen Azure-Netzwerken vom Spoke zum Hub.
Konfigurieren virtueller Clientcomputer
WSUS kann verwendet werden, um jeden virtuellen Computer zu aktualisieren, auf dem Windows ausgeführt wird. Informationen zum Einrichten von Clients mithilfe von Gruppenrichtlinien finden Sie unter Konfigurieren von Clientcomputern zum Empfangen von Updates vom WSUS-Server.
Wenn Sie als Administrator ein großes Netzwerk verwalten, finden Sie im Artikel Bereitstellen von Windows 10-Updates mit Windows Server Update Services (WSUS) Informationen zur automatischen Konfiguration von Clients mithilfe von Gruppenrichtlinieneinstellungen.
Azure Update Manager
Sie können den Azure Update Manager verwenden, um Betriebssystemupdates für VMs zu verwalten und zu planen, die mit WSUS synchronisiert werden. Der Patchstatus des virtuellen Computers (also die Information, welche Patches fehlen) wird basierend auf der Quelle ermittelt, die für die Synchronisierung mit dem virtuellen Computer konfiguriert ist. Wenn der virtuelle Windows-Computer für das Senden von Meldungen an WSUS konfiguriert ist, können sich die Ergebnisse von den angezeigten Microsoft Update-Ergebnissen unterscheiden. Dies hängt davon ab, wann WSUS zuletzt mit Microsoft Update synchronisiert wurde. Nach Abschluss der Konfiguration Ihrer WSUS-Umgebung können Sie die Updateverwaltung aktivieren. Weitere Informationen finden Sie in der Übersicht über den Azure Update Manager.
Beitragende
Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:
Hauptautor:
- Paul Reed | Azure Compliance Senior Program Manager
Nächste Schritte
- Weitere Informationen zum Planen einer Bereitstellung finden Sie unter Planen der WSUS-Bereitstellung.
- Weitere Informationen zur Verwaltung von WSUS sowie zur Einrichtung eines WSUS-Synchronisierungszeitplans und Ähnlichem finden Sie unter Windows Server Update Services (WSUS).