Implementatie plannen voor het bijwerken van Windows VM's in Azure

Als u uw virtuele Azure-netwerk hebt afgegrendeld van internet, kunt u nog wel Windows-updates ophalen zonder de beveiliging in gevaar te brengen en de toegang tot internet volledig te openen. Dit artikel bevat aanbevelingen voor het instellen van een perimeternetwerk, ook wel een DMZ genoemd, om een WSUS-exemplaar (Windows Server Update Service) te hosten om virtuele netwerken veilig bij te werken zonder internetverbinding.

Als u Azure Firewall gebruikt, gebruikt u de WindowsUpdate FQDN-tag in toepassingsregels om het vereiste uitgaande netwerkverkeer via uw firewall toe te staan. Zie het overzicht van FQDN-tags en plan voor software-updates - Firewalls configureren voor meer informatie.

Om de aanbevelingen in dit artikel te implementeren, moet u vertrouwd zijn met Azure-services. In de volgende secties wordt het aanbevolen implementatieontwerp beschreven, dat gebruikmaakt van een hub-spoke-configuratie in één regio of configuratie met meerdere regio's.

Azure Virtual Network hub-spoke-netwerktopologie

U wordt aangeraden een sternetwerktopologie in te stellen door een perimeternetwerk te maken. Host de WSUS-server op een virtuele machine van Azure die zich in de hub tussen het internet en de virtuele netwerken bevindt. De hub moet open poorten hebben. WSUS gebruikt poort 80 voor het HTTP-protocol en poort 443 voor het HTTPS-protocol om updates van Microsoft op te halen. De spokes zijn alle andere virtuele netwerken; deze communiceren met de hub en niet met internet. U kunt dit bereiken door een subnet, netwerkbeveiligingsgroepen (NSG's) en Azure Microsoft Azure Virtual Network-peering te maken waarmee het WSUS-verkeer wordt toegestaan terwijl ander internetverkeer wordt geblokkeerd. In deze afbeelding ziet u een voorbeeld van een stertopologie:

Een Visio-bestand van deze architectuur downloaden.

In deze afbeelding:

• snet-wsus is het subnet in de hub van de hub en spoke-topologie die de WSUS-server bevat.
• nsg-ds is een netwerkbeveiligingsgroepregel die verkeer toestaat voor WSUS terwijl ander internetverkeer wordt geblokkeerd.
• Windows Server Update Service virtuele machine is de virtuele Azure-machine die is geconfigureerd om WSUS uit te voeren.
• snet-workload is een voorbeeld van een subnet in een virtueel peered spoke-netwerk met virtuele Windows-machines.
• nsg-ms is een netwerkbeveiligingsgroepsbeleid dat verkeer naar de WSUS-VM toestaat, maar ander internetverkeer weigert.

U kunt een bestaande server opnieuw gebruiken of een nieuwe server implementeren die de WSUS-server wordt. Uw WSUS-VM moet voldoen aan de gedocumenteerde systeemvereisten. Omdat dit een beveiligingsgevoelige functie is, moet u van plan zijn om toegang te krijgen tot deze virtuele machine met behulp van Just-In-Time (JIT). Zie Toegang tot virtuele machines beheren met behulp van Just-In-Time.

Uw netwerk zal meerdere virtuele Azure-netwerken hebben, die zich in dezelfde of verschillende regio's kunnen bevinden. U moet alle Virtuele Windows Server-machines evalueren om te zien of er een kan worden gebruikt als EEN WSUS-server. Als u duizenden VM's moet bijwerken, raden we u aan een Windows Server-VM geheel toe te wijzen aan de WSUS-rol. We raden ook aan dat VM's geen WSUS-server in een andere regio gebruiken als primaire bron.

Als al uw virtuele netwerken zich in dezelfde regio bevinden, adviseren we om één WSUS voor elke 18.000 VM's te gebruiken. Deze suggestie is gebaseerd op een combinatie van de VM-vereisten, het aantal client-VM's dat wordt bijgewerkt en de kosten van de communicatie tussen virtuele netwerken. Zie Plan your WSUS deployment (uw WSUS-implementatie plannen) voor meer informatie over de capaciteitsvereisten voor WSUS.

U kunt de kosten van deze configuraties bepalen met behulp van de Azure Prijscalculator. U moet de specificaties van uw virtuele WSUS-machines en de verwachtingen van uw netwerk opgeven; dezelfde regio, tussen regio's. Voor gegevensoverdracht begint u met 3 GB. Prijzen variëren per regio.

Handmatige implementatie

Nadat u het virtuele Azure-netwerk hebt geïdentificeerd dat u moet gebruiken of hebt vastgesteld dat u een nieuw Windows Server-exemplaar moet maken, moet u een NSG-regel maken. De regel staat internetverkeer toe, waardoor metagegevens en inhoud van Windows Update kunnen worden gesynchroniseerd met de WSUS-server die u maakt. Dit zijn de regels die u moet toevoegen:

• Een NSG-regel voor inkomend/uitgaand verkeer om verkeer van en naar internet toe te staan via poort 80 (voor inhoud).
• Een NSG-regel voor inkomend/uitgaand verkeer om verkeer van en naar internet toe te staan via poort 443 (voor metagegevens).
• Een NSG-regel voor inkomend/uitgaand verkeer van de client-VM's via poort 8530 (standaard tenzij geconfigureerd).

WSUS instellen

Er zijn twee benaderingen die u kunt gebruiken om uw WSUS-server in te stellen:

• Als u automatisch een server wilt instellen die is geconfigureerd voor het verwerken van een doorsnee workload met minimale vereisten voor beheer, kunt u het automation-script van PowerShell gebruiken.
• Als u duizenden clients met verschillende besturingssystemen en talen moet beheren, of als u WSUS wilt configureren op een manier die niet mogelijk is met het PowerShell-script, kunt u WSUS handmatig instellen. Beide benaderingen worden verderop in dit artikel beschreven.

U kunt de twee benaderingen ook combineren, door het automation-script het meeste werk te laten doen en vervolgens de WSUS-beheerconsole te gebruiken om de serverinstellingen te verfijnen.

WSUS instellen met behulp van een automatiseringsscript

Met Configure-WSUSServer het script kunt u een WSUS-server instellen waarmee updates automatisch worden gesynchroniseerd en goedgekeurd voor een gekozen set producten en talen.

De meest recente versie van dit script is beschikbaar op GitHub.

U configureert het script met behulp van een JSON-bestand. U kunt momenteel de volgende opties configureren:

• Of update-payloads lokaal moeten worden opgeslagen (en zo ja, waar ze moeten worden opgeslagen) of op de Microsoft-servers moeten blijven staan.
• Welke producten, updateclassificaties en talen beschikbaar moeten zijn op de server.
• Of de server updates automatisch moet goedkeuren voor installatie of updates niet-goedgekeurd moet laten tenzij een beheerder deze goedkeurt.
• Of de server nieuwe updates automatisch moet ophalen van Microsoft en zo ja, hoe vaak.
• Of snelle updatepakketten moeten worden gebruikt. (Snelle updatepakketten verlagen de bandbreedte van server naar client ten koste van CPU/schijfgebruik van de client en de bandbreedte van server naar server.)
• Of bestaande instellingen van het script moeten worden overschreven. (Om te voorkomen dat de serverbewerking wordt verstoord door onbedoelde herconfiguratie, wordt het script slechts eenmaal op een bepaalde server uitgevoerd.)

Kopieer het script en het bijbehorende configuratiebestand naar lokale opslag en bewerk het configuratiebestand op basis van uw behoeften.

U kunt kiezen uit twee manieren om dit script uit te voeren:

• U kunt het script handmatig uitvoeren vanaf de WSUS-VM.

  Met de volgende opdracht, die moet worden uitgevoerd vanuit een opdrachtpromptvenster met verhoogde bevoegdheid, wordt WSUS geïnstalleerd en geconfigureerd. Met deze opdracht worden het script en het configuratiebestand in de huidige map gebruikt.

  powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json

• U kunt de Aangepaste scriptextensie voor Windows gebruiken.

  Kopieer het script en het JSON-configuratiebestand naar uw eigen opslagcontainer met een privénetwerkregel die zicht heeft op de WSUS-VM.

  In doorsnee VM- en Azure Virtual Network-configuraties heeft de extensie voor aangepaste scripts alleen de volgende twee parameters nodig om het script correct uit te voeren. (U moet de hier getoonde waarde vervangen door de URL's van uw opslaglocaties.)

  settings: {
    fileUris: [
      'https://yourstorageaccount.blob.core.windows.net/wsus/Configure-WSUSServer.ps1'
      'https://yourstorageaccount.blob.core.windows.net/container/WSUS-Config.json'
    ]
    commandToExecute: 'powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json'
  }
  

Het script start de eerste synchronisatie die nodig is om updates beschikbaar te maken voor clientcomputers. Er wordt echter niet gewacht totdat de synchronisatie is voltooid. Afhankelijk van de producten, classificaties en talen die u hebt geselecteerd, kan de initiële synchronisatie enkele uren duren. Alle volgende synchronisaties zouden sneller moeten gaan.

WSUS handmatig instellen

Volg de instructies in De WSUS-serverfunctie installeren vanaf uw WSUS-VM

Tijdens de synchronisatie bepaalt WSUS of er nieuwe updates beschikbaar zijn gemaakt sinds de laatste synchronisatie. Als dit de eerste keer is dat u WSUS synchroniseert, worden de metagegevens onmiddellijk gedownload. De payload wordt alleen gedownload als lokale opslag is ingeschakeld en de update is goedgekeurd voor ten minste één computergroep.

Virtuele netwerken configureren om te communiceren met WSUS

Vervolgens moet u peering van virtuele Azure-netwerken of globale peering van virtuele netwerken instellen voor communicatie met de hub. We raden u aan een WSUS-server in te stellen in elke regio die u hebt geïmplementeerd, om latentie te minimaliseren.

In elk virtueel Azure-netwerk dat een spoke is, moet u een NSG-beleid met deze regels maken:

• Een inkomende/uitgaande NSG-regel om verkeer naar de WSUS-VM toe te staan op poort 8530 (standaard tenzij geconfigureerd).
• Een inkomende/uitgaande NSG-regel om verkeer naar internet te weigeren.

Maak vervolgens de peering van Azure Virtual Network van de spoke naar de hub.

Virtuele machines van de client configureren

WSUS kan worden gebruikt om elke virtuele machine waarop Windows wordt uitgevoerd, bij te werken. Zie Clientcomputers configureren voor het ontvangen van updates van de WSUS-server om clients in te stellen met behulp van groepsbeleid.

Als u beheerder bent van een groot netwerk, zie dan Updates en updateservicelocatie configureren voor informatie over het gebruiken van groepsbeleidsinstellingen voor het automatisch configureren van clients.

Azure Update Manager

U kunt Azure Update Manager gebruiken om besturingssysteemupdates te beheren en te plannen voor VM's die worden gesynchroniseerd met WSUS. De patchstatus van de virtuele machine (dat wil zeggen welke patches ontbreken) wordt geëvalueerd op basis van de bron waarmee de virtuele machine is geconfigureerd om te worden gesynchroniseerd. Als de Windows-VM is geconfigureerd om te rapporteren aan WSUS, kunnen de resultaten afwijken van wat er wordt weergegeven in Microsoft Update, afhankelijk van wanneer WSUS voor het laatst is gesynchroniseerd met Microsoft Update. Wanneer u uw WSUS-omgeving hebt geconfigureerd, kunt u Updatebeheer inschakelen. Zie het overzicht van Azure Update Manager voor meer informatie.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

• Paul Riet | Senior programmamanager Azure Compliance

Volgende stappen

• Zie Plan your WSUS deployment (uw WSUS-implementatie plannen) voor meer informatie over het plannen van een implementatie.
• Zie WSUS-beheer voor meer informatie over het beheren van WSUS, het instellen van een WSUS-synchronisatieschema en meer.

Gerelateerde resource

• Een Windows VM uitvoeren op Azure