Delen via

Stap 2: WSUS configureren

Nadat u de WSUS-serverfunctie (Windows Server Update Services) op uw server hebt geïnstalleerd, moet u deze correct configureren. U moet ook uw clientcomputers configureren om hun updates van de WSUS-server te ontvangen.

2.1. Netwerkverbindingen configureren

Voordat u het configuratieproces start, moet u ervoor zorgen dat u de antwoorden op de volgende vragen kent:

  • Is de firewall van de server zo geconfigureerd dat clients toegang hebben tot de server?

  • Kan deze computer verbinding maken met de upstream-server (de server die is aangewezen om updates te downloaden van Microsoft Update)?

  • Hebt u de naam van de proxyserver en de gebruikersreferenties voor de proxyserver, als u deze nodig hebt?

Vervolgens kunt u de volgende WSUS-netwerkinstellingen configureren:

  • Updates: Geef op hoe deze server updates moet ontvangen (van Microsoft Update of van een andere WSUS-server).

  • Proxy: Als u aangeeft dat WSUS een proxyserver moet gebruiken om internettoegang te hebben, configureert u proxy-instellingen op de WSUS-server.

  • Firewall: Als u vaststelt dat WSUS zich achter een bedrijfsfirewall bevindt, voert u extra stappen uit op het edge-apparaat om WSUS-verkeer toe te staan.

Important

Als u slechts één WSUS-server hebt, moet deze internettoegang hebben, omdat er updates van Microsoft moeten worden gedownload. Als u meerdere WSUS-servers hebt, heeft slechts één server internettoegang nodig. De anderen hebben alleen netwerktoegang nodig tot de WSUS-server met internetverbinding. Uw clientcomputers hebben geen internettoegang nodig. Ze hebben alleen netwerktoegang tot een WSUS-server nodig.

Tip

Als uw netwerk over de lucht gaat, als het helemaal geen toegang heeft tot internet, kunt u WSUS nog steeds gebruiken om updates te bieden aan clientcomputers in het netwerk. Voor deze aanpak zijn twee WSUS-servers vereist. Eén WSUS-server met internettoegang verzamelt de updates van Microsoft. Een tweede WSUS-server op het beveiligde netwerk dient de updates voor de clientcomputers. Updates worden vanaf de eerste server geëxporteerd naar verwisselbare media, die over de luchtscheiding worden overgebracht en in de tweede server geïmporteerd. Deze configuratie is geavanceerd en valt buiten het bereik van dit artikel.

2.1.1. Configureer uw firewall zodat uw eerste WSUS-server verbinding kan maken met Microsoft-domeinen op internet

Als een bedrijfsfirewall zich tussen WSUS en internet bevindt, moet u die firewall mogelijk configureren om ervoor te zorgen dat WSUS updates kan ontvangen. Voor het ophalen van updates van Microsoft Update gebruikt de WSUS-server poorten 80 en 443 voor de HTTP- en HTTPS-protocollen. Hoewel de meeste bedrijfsfirewalls dit type verkeer toestaan, beperken sommige bedrijven de internettoegang van de servers vanwege beveiligingsbeleid. Als uw bedrijf de toegang beperkt, moet u uw firewall zo configureren dat uw WSUS-server toegang heeft tot Microsoft-domeinen.

Uw eerste WSUS-server moet uitgaande toegang hebben tot poorten 80 en 443 op de volgende domeinen:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

Als u Microsoft 365-updates beheert waarvoor Microsoft Configuration Manager is vereist, raadpleegt u Updates voor Microsoft 365-apps beheren met Microsoft Configuration Manager voor meer informatie over de domeinen die u wilt toestaan.

Important

U moet uw firewall zo configureren dat de eerste WSUS-server toegang heeft tot elke URL binnen deze domeinen. De IP-adressen die aan deze domeinen zijn gekoppeld, veranderen voortdurend, dus probeer in plaats daarvan geen IP-adresbereiken te gebruiken.

2.1.2. Configureer de firewall zodat uw andere WSUS-servers verbinding kunnen maken met de eerste server

Als u meerdere WSUS-servers hebt, moet u de andere WSUS-servers configureren voor toegang tot de eerste (bovenste) server. Uw andere WSUS-servers ontvangen vervolgens alle updategegevens van de bovenste server. Met deze configuratie kunt u uw hele netwerk beheren met behulp van de WSUS-beheerconsole op de bovenste server.

Uw andere WSUS-servers moeten uitgaande toegang hebben tot de bovenste server via twee poorten. Deze poorten zijn standaard 8530 en 8531. U kunt deze poorten wijzigen, zoals beschreven in de IIS-webserver van de WSUS-server configureren voor het gebruik van TLS voor sommige verbindingen verderop in dit artikel.

Note

Als de netwerkverbinding tussen de WSUS-servers traag of duur is, kunt u een of meer van de andere WSUS-servers configureren om updatepayloads rechtstreeks van Microsoft te ontvangen. In dit geval wordt slechts een kleine hoeveelheid gegevens van deze WSUS-servers naar de bovenste server verzonden. Deze configuratie werkt alleen als de andere WSUS-servers toegang hebben tot dezelfde internetdomeinen als de bovenste server.

Note

Als u een grote organisatie hebt, kunt u ketens van verbonden WSUS-servers gebruiken in plaats van dat al uw andere WSUS-servers rechtstreeks verbinding maken met de bovenste server. U kunt bijvoorbeeld een tweede WSUS-server hebben die verbinding maakt met de bovenste server en vervolgens andere WSUS-servers verbinding laten maken met de tweede WSUS-server.

2.1.3. Configureer uw WSUS-servers voor het gebruik van een proxyserver, indien nodig

Als het bedrijfsnetwerk proxyservers gebruikt, moeten de proxyservers de HTTP- en HTTPS-protocollen ondersteunen. Ze moeten ook basisverificatie of Windows-verificatie gebruiken. U kunt aan deze vereisten voldoen met behulp van een van de volgende configuraties:

  • Eén proxyserver die ondersteuning biedt voor twee protocolkanalen. In dit geval stelt u één kanaal in om HTTP en het andere kanaal te gebruiken voor het gebruik van HTTPS.

    Note

    U kunt één proxyserver instellen die beide protocollen voor WSUS verwerkt tijdens de installatie van WSUS-serversoftware.

  • Twee proxyservers, die elk één protocol ondersteunen. In dit geval configureert u de ene proxyserver voor het gebruik van HTTP en de andere proxyserver voor het gebruik van HTTPS.

WSUS instellen voor het gebruik van twee proxyservers

  1. Meld u aan bij de computer die u als WSUS-server wilt gebruiken met behulp van een account dat lid is van de groep Lokale beheerders.

  2. Installeer de WSUS-serverfunctie. Wanneer u de wizard WSUS-configuratie gebruikt, zoals wordt uitgelegd in WSUS configureren met behulp van de wizard WSUS-configuratie, geeft u geen proxyserver op.

  3. Open opdrachtprompt (Cmd.exe) als beheerder:

    1. Zoek in het menu Start naar opdrachtprompt.
    2. Klik met de rechtermuisknop op de opdrachtprompt en selecteer Uitvoeren als administrator.
    3. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, voert u de juiste referenties in (indien aangevraagd), controleert u of de actie die wordt weergegeven, is wat u wilt en selecteert u Doorgaan.

  4. Ga in de opdrachtprompt naar de map C:\Program Files\Update Services\Tools . Voer de volgende opdracht in:

    wsusutil ConfigureSSLproxy [<proxy-server proxy-port>] -enable

    In deze opdracht:

    • proxy_server is de naam van de proxyserver die HTTPS ondersteunt.

    • proxy_port is het poortnummer van de proxyserver.

  5. Sluit de opdrachtprompt.

Een proxyserver toevoegen aan de WSUS-configuratie

  1. Open de WSUS-beheerconsole.

  2. Vouw onder Update Services de servernaam uit en selecteer vervolgens Opties.

  3. Selecteer in het deelvenster Optiesde optie Bron en proxyserver bijwerken en ga vervolgens naar het tabblad Proxyserver .

  4. Selecteer Een proxyserver gebruiken bij het synchroniseren en voer vervolgens de naam en het poortnummer van de proxyserver in de bijbehorende vakken in. Het standaardpoortnummer is 80.

  5. Als de proxyserver vereist dat u een specifiek gebruikersaccount gebruikt, selecteert u Gebruikersreferenties gebruiken om verbinding te maken met de proxyserver. Voer de vereiste gebruikersnaam, het domein en het wachtwoord in de bijbehorende vakken in.

  6. Als de proxyserver basisverificatie ondersteunt, selecteert u Basisverificatie toestaan (wachtwoord wordt verzonden in cleartext).

  7. Kies OK.

Een proxyserver verwijderen uit de WSUS-configuratie

  1. Vouw in de WSUS-beheerconsole onder Update Services de servernaam uit en selecteer vervolgens Opties.

  2. Selecteer in het deelvenster Optiesde optie Bron en proxyserver bijwerken en ga vervolgens naar het tabblad Proxyserver .

  3. Schakel het selectievakje Een proxyserver gebruiken bij het synchroniseren uit.

  4. Kies OK.

2.1.4. Uw firewall configureren om clientcomputers toegang te geven tot een WSUS-server

Uw clientcomputers moeten allemaal verbinding maken met een van uw WSUS-servers. Elke clientcomputer moet uitgaande toegang hebben tot twee poorten op de WSUS-server. Deze poorten zijn standaard 8530 en 8531.

2.2. WSUS configureren met behulp van de WSUS-configuratie wizard

De procedures in de volgende secties gebruiken de wizard WSUS-configuratie om WSUS-instellingen te configureren. De wizard WSUS-configuratie wordt weergegeven wanneer u de WSUS-beheerconsole voor het eerst start. U kunt ook het deelvenster Opties in de WSUS-beheerconsole gebruiken om WSUS-instellingen te configureren. Zie de volgende procedures in andere secties van dit artikel voor meer informatie over het gebruik van het deelvenster Opties :

De wizard starten en initiële instellingen configureren

  1. Selecteer Windows>Server Update Services in het dashboard Serverbeheer.

    Note

    Als het dialoogvenster Wsus-installatie voltooien wordt weergegeven, selecteert u Uitvoeren. Selecteer In het dialoogvenster Wsus-installatie voltooiende optie Sluiten wanneer de installatie is voltooid.

    De WSUS-configuratiewizard wordt geopend.

  2. Controleer de informatie op de pagina Voordat u begint en selecteer vervolgens Volgende.

  3. Lees de instructies op de pagina Deelnemen aan het Programma voor verbetering van Microsoft Update . Behoud de standaardselectie als u wilt deelnemen aan het programma of schakel het selectievakje uit als u dat niet doet. Selecteer vervolgens Volgende.

Upstream- en proxyserverinstellingen configureren

  1. Selecteer op de pagina Upstream Server kiezen een van de volgende opties:

    • Synchroniseren vanuit Microsoft Update

    • Synchroniseren vanaf een andere Windows Server Update Services-server

    Als u ervoor kiest om te synchroniseren vanaf een andere WSUS-server, voert u de volgende stappen uit:

    1. Geef de servernaam en de poort op waarop deze server moet communiceren met de upstream-server.

    2. Als u TLS wilt gebruiken, selecteert u SSL gebruiken bij het synchroniseren van updategegevens. De servers gebruiken poort 443 voor synchronisatie. (Zorg ervoor dat deze server en de upstream-server TLS ondersteunen.)

    3. Als deze server een replicaserver is, selecteert u Dit is een replica van de upstream-server.

  2. Nadat u de opties voor uw implementatie hebt geselecteerd, selecteert u Volgende.

  3. Als WSUS een proxyserver nodig heeft voor toegang tot internet, configureert u de volgende proxy-instellingen. Sla anders deze stap over.

    1. Selecteer op de pagina Proxyserver opgeveneen proxyserver gebruiken bij het synchroniseren. Voer vervolgens de naam van de proxyserver en het poortnummer (standaard poort 80) in de bijbehorende vakken in.

    2. Als u verbinding wilt maken met de proxyserver met behulp van specifieke gebruikersreferenties, selecteert u Gebruikersreferenties gebruiken om verbinding te maken met de proxyserver. Voer vervolgens de gebruikersnaam, het domein en het wachtwoord van de gebruiker in de bijbehorende vakken in.

      Als u basisverificatie wilt inschakelen voor de gebruiker die verbinding maakt met de proxyserver, selecteert u Basisverificatie toestaan (wachtwoord wordt in duidelijke tekst verzonden).

  4. Kies Volgende.

  5. Selecteer Verbinding maken met Upstream Server op de pagina Verbinding maken.

  6. Wanneer WSUS verbinding maakt met de server, selecteert u Volgende.

Talen, producten en classificaties selecteren

  1. Op de pagina Talen kiezen kunt u de talen selecteren waaruit WSUS updates ontvangt: alle talen of een subset talen. Als u een subset talen selecteert, bespaart u schijfruimte, maar het is belangrijk dat u alle talen selecteert die alle clients van deze WSUS-server nodig hebben.

    Als u ervoor kiest om alleen updates voor specifieke talen op te halen, selecteert u Updates alleen downloaden in deze talen en selecteert u vervolgens de talen waarvoor u updates wilt. Anders laat u de standaardselectie staan.

    Warning

    Als u de optie Updates alleen downloaden selecteert in deze talen en deze server een downstream WSUS-server heeft die eraan is gekoppeld, dwingt deze optie af dat de downstreamserver ook alleen de geselecteerde talen gebruikt.

  2. Kies Volgende.

  3. Geef op de pagina Producten kiezen de producten op waarvoor u updates wilt. Selecteer productcategorieën, zoals Windows of specifieke producten, zoals Windows Server 2019. Als u een productcategorie selecteert, worden alle producten in die categorie geselecteerd.

  4. Kies Volgende.

  5. Selecteer op de pagina Classificaties kiezen de updateclassificaties die u wilt ophalen. Selecteer alle classificaties of een subset ervan en selecteer vervolgens Volgende.

Het synchronisatieschema configureren

  1. Selecteer op de pagina Synchronisatieplanning instellen of u de synchronisatie handmatig of automatisch wilt uitvoeren.

    • Als u Handmatig synchroniseren selecteert, moet u het synchronisatieproces starten vanuit de WSUS-beheerconsole.

    • Als u Automatisch synchroniseren selecteert, wordt de WSUS-server gesynchroniseerd met ingestelde intervallen.

      Voor eerste synchronisatie stelt u de tijd in en geeft u vervolgens het aantal synchronisaties per dag op dat deze server moet worden uitgevoerd. Als u bijvoorbeeld vier synchronisaties per dag opgeeft, beginnend om 3:00 uur, vinden synchronisaties plaats om 3:00 uur, 9:00, 13:00 uur en 19:00 uur.

  2. Kies Volgende.

De wizard voltooien

  1. Als u de synchronisatie meteen wilt starten, selecteert u Op de pagina Voltooidde eerste synchronisatie starten. Als u deze optie niet selecteert, moet u de WSUS-beheerconsole gebruiken om de eerste synchronisatie uit te voeren.

  2. Als u meer wilt weten over andere instellingen, selecteert u Volgende. Anders selecteert u Voltooien om de wizard te sluiten en de eerste WSUS-installatie te voltooien.

Nadat u Voltooien hebt geselecteerd, wordt de WSUS-beheerconsole weergegeven. U gebruikt deze console om uw WSUS-netwerk te beheren, zoals beschreven in latere secties in dit artikel.

2.3. WSUS beveiligen met het TLS-protocol

U moet het TLS-protocol gebruiken om uw WSUS-netwerk te beveiligen. WSUS kan TLS gebruiken om verbindingen te verifiëren en updategegevens te versleutelen en te beveiligen.

Warning

Het beveiligen van WSUS met behulp van het TLS-protocol is belangrijk voor de beveiliging van uw netwerk. Als uw WSUS-server tls niet goed gebruikt om de verbindingen te beveiligen, kan een aanvaller belangrijke updategegevens wijzigen wanneer deze van de ene WSUS-server naar de andere wordt verzonden of van de WSUS-server naar de clientcomputers. In deze situatie kan de aanvaller schadelijke software installeren op clientcomputers.

Important

Clients en downstreamservers die zijn geconfigureerd voor het gebruik van TLS of HTTPS, moeten ook worden geconfigureerd voor het gebruik van een FQDN (Fully Qualified Domain Name) voor hun upstream WSUS-server.

2.3.1. TLS/HTTPS inschakelen op de IIS-service van de WSUS-server om TLS/HTTPS te gebruiken

Als u wilt beginnen met het gebruik van TLS/HTTPS, moet u TLS-ondersteuning inschakelen voor de IIS-service (Internet Information Services) van de WSUS-server. Deze inspanning omvat het maken van een SSL-certificaat (TLS/Secure Sockets Layer) voor de server.

De stappen die nodig zijn om een TLS/SSL-certificaat voor de server op te halen, vallen buiten het bereik van dit artikel en zijn afhankelijk van uw netwerkconfiguratie. Zie de documentatie voor Active Directory Certificate Services voor meer informatie en instructies over het installeren van certificaten en het instellen van deze omgeving.

2.3.2. De IIS-webserver van de WSUS-server configureren voor het gebruik van TLS voor sommige verbindingen

WSUS vereist twee poorten voor verbindingen met andere WSUS-servers en clientcomputers. Eén poort gebruikt TLS/HTTPS om updatemetagegevens te verzenden (cruciale informatie over de updates). Standaard wordt poort 8531 gebruikt voor dit doel. Een tweede poort maakt gebruik van HTTP om updateladingen te verzenden. Standaard wordt poort 8530 gebruikt voor dit doel.

Important

U kunt de volledige WSUS-website niet configureren om TLS te vereisen. WSUS is ontworpen om alleen updatemetagegevens te versleutelen. Windows Update distribueert updates op dezelfde manier.

Om te voorkomen dat een aanvaller knoeit met de payloads van de update, worden alle updateladingen ondertekend via een specifieke set vertrouwde handtekeningcertificaten. Er wordt ook een cryptografische hash berekend voor elke updatepayload. De hash wordt verzonden naar de clientcomputer via de beveiligde HTTPS-metagegevensverbinding, samen met de andere metagegevens voor de update. Wanneer een update wordt gedownload, controleert de client-software de digitale handtekening en hash van de payload. Als de update is gewijzigd, is deze niet geïnstalleerd.

U moet alleen TLS vereisen voor de volgende virtuele IIS-hoofdmappen:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

U moet TLS niet nodig hebben voor de volgende virtuele hoofdmappen:

  • Content

  • Inventory

  • ReportingWebService

  • SelfUpdate

Het certificaat van de certificeringsinstantie (CA) moet worden geïmporteerd in het vertrouwde basis-CA-archief van elke WSUS-server voor de lokale computer of het vertrouwde basis-CA-archief voor WSUS als deze bestaat.

Zie SSL instellen op IIS 7 of hoger voor meer informatie over het gebruik van TLS/SSL-certificaten in IIS.

Important

U moet het certificaatarchief voor de lokale computer gebruiken. U kunt het certificaatarchief van een gebruiker niet gebruiken.

Normaal gesproken moet u IIS configureren voor het gebruik van poort 8531 voor HTTPS-verbindingen en poort 8530 voor HTTP-verbindingen. Als u deze poorten wijzigt, moet u twee aangrenzende poortnummers gebruiken. Het poortnummer dat wordt gebruikt voor HTTP-verbindingen moet exact 1 kleiner zijn dan het poortnummer dat wordt gebruikt voor HTTPS-verbindingen.

U moet de ClientServicingProxy clientproxy opnieuw initialiseren als de servernaam, TLS-configuratie of poortnummer wordt gewijzigd.

2.3.3. WSUS configureren voor het gebruik van het TLS/SSL-handtekeningcertificaat voor de clientverbindingen

  1. Meld u aan bij de WSUS-server met behulp van een account dat lid is van de groep WSUS-beheerders of de groep Lokale beheerders.

  2. Voer in het startmenuCMD in, klik met de rechtermuisknop op Opdrachtprompt en selecteer Vervolgens Uitvoeren als administrator.

  3. Ga naar de map C:\Program Files\Update Services\Tools .

  4. Voer in de opdrachtprompt de volgende opdracht in:

    wsusutil configuressl <certificate-name>

    In deze opdracht is certificaatnaam de DNS-naam (Domain Name System) van de WSUS-server.

2.3.4. Beveilig de SQL Server-verbinding, indien nodig

Als u WSUS gebruikt met een externe SQL Server-database, wordt de verbinding tussen de WSUS-server en de databaseserver niet beveiligd via TLS. Deze situatie creëert een mogelijke aanvalsvector. Houd rekening met de volgende aanbevelingen om deze verbinding te beveiligen:

2.3.5. Een certificaat voor ondertekening van programmacode maken voor lokale publicatie, indien nodig

Naast het distribueren van updates die Microsoft biedt, ondersteunt WSUS lokale publicatie. U kunt lokaal publiceren gebruiken om updates te maken en distribueren die u zelf ontwerpt, met uw eigen pakketten en gedragingen.

Het inschakelen en configureren van lokale publicatie valt buiten het bereik van dit artikel. Zie Lokale publicatie voor meer informatie.

Important

Lokaal publiceren is een ingewikkeld proces en is vaak niet nodig. Voordat u besluit lokale publicatie in te schakelen, moet u de documentatie zorgvuldig bekijken en overwegen of u deze functionaliteit wilt gebruiken en hoe u deze kunt gebruiken.

2.4. WSUS-computergroepen configureren

Computergroepen zijn een belangrijk onderdeel van het effectief gebruik van WSUS. U kunt computergroepen gebruiken om updates te testen en te richten op specifieke computers. Er zijn twee standaardcomputergroepen: Alle computers en niet-toegewezen computers. Wanneer elke clientcomputer voor het eerst contact maakt met de WSUS-server, voegt de server die clientcomputer standaard toe aan beide groepen.

U kunt zo veel aangepaste computergroepen maken als u nodig hebt om updates in uw organisatie te beheren. Maak als best practice ten minste één computergroep om updates te testen voordat u ze implementeert op andere computers in uw organisatie.

2.4.1. Een methode kiezen voor het toewijzen van clientcomputers aan computergroepen

Er zijn twee benaderingen voor het toewijzen van clientcomputers aan computergroepen. De juiste aanpak voor uw organisatie is afhankelijk van hoe u uw clientcomputers doorgaans beheert.

  • Doel aan de serverzijde: deze benadering is de standaardinstelling. In deze benadering wijst u clientcomputers toe aan computergroepen met behulp van de WSUS-beheerconsole.

    Deze benadering biedt u de flexibiliteit om clientcomputers snel van de ene groep naar de andere te verplaatsen naarmate de omstandigheden veranderen. Maar als gevolg hiervan moet u handmatig nieuwe clientcomputers verplaatsen van de groep Niet-toegewezen computers naar de juiste computergroep.

  • Doel aan de clientzijde: In deze benadering wijst u elke clientcomputer toe aan computergroepen met behulp van beleidsinstellingen die zijn ingesteld op de clientcomputer zelf.

    Deze aanpak maakt het eenvoudiger om nieuwe clientcomputers toe te wijzen aan de juiste groepen. U doet dit als onderdeel van het configureren van de clientcomputer voor het ontvangen van updates van de WSUS-server. Als gevolg hiervan kunt u geen clientcomputers toewijzen aan computergroepen of deze van de ene computergroep naar de andere verplaatsen via de WSUS-beheerconsole. In plaats daarvan moet u het beleid van de clientcomputers wijzigen.

2.4.2. Doelgroeptargeting aan de cliëntzijde inschakelen, indien van toepassing

Important

Sla de stappen in deze sectie over als u van plan bent om servergerichte targeting te gebruiken.

  1. Vouw in de WSUS-beheerconsole onder Update Services de WSUS-server uit en selecteer vervolgens Opties.

  2. Selecteer Computers in het deelvenster Opties. Ga naar het tabblad Algemeen en selecteer Groepsbeleid of registerinstellingen op computers gebruiken.

2.4.3. De gewenste computergroepen maken

Note

U moet computergroepen maken met behulp van de WSUS-beheerconsole, ongeacht of u server-side targeting of client-side targeting gebruikt om clientcomputers toe te voegen aan de computergroepen.

  1. Vouw in de WSUS-beheerconsole onder UpdateServices de WSUS-server uit, vouw Computers uit, klik met de rechtermuisknop op Alle computers en selecteer Computergroep toevoegen.

  2. Geef in het dialoogvenster Computergroep toevoegen bij Naam de naam op van de nieuwe groep. Selecteer vervolgens Toevoegen.

2.5. Clientcomputers configureren voor het tot stand brengen van TLS-verbindingen met de WSUS-server

Ervan uitgaande dat u de WSUS-server configureert om de verbindingen van de clientcomputers te beveiligen met behulp van TLS, moet u de clientcomputers configureren om deze TLS-verbindingen te vertrouwen.

Het TLS/SSL-certificaat van de WSUS-server moet worden geïmporteerd in het vertrouwde hoofd-CA-archief van de clientcomputers of in het vertrouwde hoofd-CA-archief van de clientcomputers voor de dienst Automatische Updates als dit bestaat.

Important

U moet het certificaatarchief voor de lokale computer gebruiken. U kunt het certificaatarchief van een gebruiker niet gebruiken.

De clientcomputers moeten het certificaat vertrouwen dat u verbindt met de WSUS-server. Afhankelijk van het type certificaat dat wordt gebruikt, moet u mogelijk een service instellen om de clientcomputers in staat te stellen het certificaat te vertrouwen dat is gebonden aan de WSUS-server.

Als u lokale publicatie gebruikt, moet u ook de clientcomputers configureren om het certificaat voor ondertekening van programmacode van de WSUS-server te vertrouwen. Zie Lokaal publiceren voor instructies.

2.6. Clientcomputers configureren voor het ontvangen van updates van de WSUS-server

Standaard ontvangen uw clientcomputers updates van Windows Update. Ze moeten worden geconfigureerd om updates van de WSUS-server te ontvangen.

Important

Dit artikel bevat een reeks stappen voor het configureren van clientcomputers met behulp van Groepsbeleid. Deze stappen zijn in veel situaties geschikt. Maar er zijn veel andere opties beschikbaar voor het configureren van updategedrag op clientcomputers, waaronder het gebruik van Mobile Device Management. Zie Aanvullende Windows Update-instellingen beheren voor documentatie over deze opties.

2.6.1. Kies de juiste set beleidsregels die u wilt bewerken

Als Active Directory is ingesteld in uw netwerk, kunt u een of meerdere computers tegelijk configureren door ze op te slaan in een groepsbeleidsobject (GPO) en vervolgens dat groepsbeleidsobject te configureren met WSUS-instellingen.

Het wordt aanbevolen om een nieuw groepsbeleidsobject te maken dat alleen WSUS-instellingen bevat. Koppel dit WSUS-groepsbeleidsobject aan een Active Directory-container die geschikt is voor uw omgeving.

In een eenvoudige omgeving kunt u een enkel WSUS-GPO koppelen aan het domein. In een complexere omgeving kunt u meerdere WSUS-GPO's koppelen aan verschillende organisatie-eenheden (OE's). Wanneer u GPO's koppelt aan OE's, kunt u WSUS-beleidsinstellingen toepassen op verschillende typen computers.

Als u Active Directory niet in uw netwerk gebruikt, moet u elke computer configureren met behulp van de editor voor lokaal groepsbeleid.

2.6.2. Beleid bewerken om de clientcomputers te configureren

Voer de stappen in de volgende secties uit om de clientcomputers te configureren met behulp van beleidsinstellingen.

Note

In deze instructies wordt ervan uitgegaan dat u de meest recente versies van de hulpprogramma's voor het bewerken van beleid gebruikt. In oudere versies van de hulpprogramma's kunnen de beleidsregels anders worden gerangschikt.

Open de beleidseditor en ga naar het Windows Update-item

  1. Open het juiste beleidsobject:

    • Als u Active Directory gebruikt, opent u de console Groepsbeleidsbeheer, gaat u naar het groepsbeleidsobject waarop u WSUS wilt configureren en selecteert u Bewerken. Vouw vervolgens Computerconfiguratie uit en vouw Beleid uit.
    • Als u Geen Active Directory gebruikt, opent u de editor voor lokaal groepsbeleid. Het beleid voor lokale computers wordt weergegeven. Vouw Computerconfiguratie uit.

  2. Vouw in het object dat u in de vorige stap hebt uitgevouwenWindows-onderdelen>met Beheersjablonen>uit Windows Update. Als uw besturingssysteem Windows 10 of Windows 11 is, selecteert u ook Eindgebruikerservaring beheren.

De instelling voor automatische updates bewerken

  1. Dubbelklik in het detailvenster op Automatische updates configureren. Het beleid Automatische updates configureren wordt geopend.

  2. Selecteer Ingeschakeld en selecteer vervolgens de gewenste optie onder de instelling Automatisch bijwerken configureren om te beheren hoe de functie voor automatische updates goedgekeurde updates moet downloaden en installeren.

    We raden aan om de instelling Automatisch downloaden en installatie plannen te gebruiken. Het zorgt ervoor dat de updates die u in WSUS goedkeurt tijdig worden gedownload en geïnstalleerd, zonder tussenkomst van de gebruiker.

  3. Bewerk desgewenst andere onderdelen van het beleid. Zie Aanvullende Windows Update-instellingen beheren voor meer informatie.

    Note

    De instelling Updates installeren van andere Microsoft-producten heeft geen invloed op clientcomputers die updates ontvangen van WSUS. De clientcomputers ontvangen alle updates die zijn goedgekeurd op de WSUS-server.

  4. Selecteer OK om het beleid Automatische updates configureren te sluiten.

Bewerk de instelling om een intranetserver op te geven voor het hosten van updates

  1. Dubbelklik in het detailvenster op De locatie van de Microsoft Update-service voor intranet opgeven. Als uw besturingssysteem Windows 10 of Windows 11 is, gaat u eerst terug naar het Windows Update-knooppunt van de structuur en selecteert u Vervolgens Updates beheren die worden aangeboden via Windows Server Update Service.

    Het beleid om de intranetlocatie van de Microsoft Update-service op te geven wordt geopend.

  2. Selecteer Ingeschakeld en voer vervolgens de URL van de WSUS-server in de intranet-updateservice instellen voor het detecteren van updates en de servervakken voor intranetstatistieken instellen .

    Warning

    Zorg ervoor dat u de juiste poort in de URL opneemt. Ervan uitgaande dat u de server configureert voor het gebruik van TLS zoals aanbevolen, moet u de poort opgeven die is geconfigureerd voor HTTPS. Als u bijvoorbeeld poort 8531 wilt gebruiken voor HTTPS en de domeinnaam van de server wsus.contoso.com is, moet u beide vakken invoeren https://wsus.contoso.com:8531 .

  3. Selecteer OK om het locatiebeleid voor de Microsoft Update-service voor intranet opgeven te sluiten.

Configureer clientzijde-targeting, indien van toepassing

Als u ervoor kiest om doelinstellingen aan de clientzijde te gebruiken, voert u de stappen in deze sectie uit om de juiste computergroep op te geven voor de clientcomputers die u configureert.

Note

Bij deze stappen wordt ervan uitgegaan dat u zojuist de stappen voor het bewerken van beleidsregels voor het configureren van de clientcomputers hebt voltooid.

  1. Ga in de beleidseditor naar het Windows Update-item . Als uw besturingssysteem Windows 10 of Windows 11 is, selecteert u ook Updates beheren die worden aangeboden via Windows Server Update Service.

  2. Dubbelklik in het detailvenster op Cliëntzijde targeting inschakelen. Het beleid voor het inschakelen van client-side targeting wordt geopend.

  3. Selecteer Ingeschakeld. Voer onder De naam van de doelgroep voor deze computer de naam in van de WSUS-computergroep waaraan u de clientcomputers wilt toevoegen.

    Als u een huidige versie van WSUS gebruikt, kunt u de clientcomputers toevoegen aan meerdere computergroepen door de groepsnamen in te voeren, gescheiden door puntkomma's. U kunt bijvoorbeeld Accounting invoeren; Executive om de clientcomputers toe te voegen aan zowel de computergroepen Accounting als Executive.

  4. Selecteer OK om het doelbeleid aan de clientzijde inschakelen te sluiten.

2.6.3. De clientcomputer verbinding laten maken met de WSUS-server

Clientcomputers worden pas weergegeven in de WSUS-beheerconsole als ze voor het eerst verbinding maken met de WSUS-server.

  1. Wacht totdat de beleidswijzigingen van kracht worden op de clientcomputer.

    Als u een groepsbeleidsobject op basis van Active Directory gebruikt om de clientcomputers te configureren, duurt het enige tijd voordat het groepsbeleidsupdatemechanisme de wijzigingen aan een clientcomputer levert. Als u dit proces wilt versnellen, kunt u de opdrachtprompt openen met verhoogde bevoegdheden en vervolgens de opdracht gpupdate /force invoeren.

    Als u de editor voor lokaal groepsbeleid gebruikt om een afzonderlijke clientcomputer te configureren, worden de wijzigingen onmiddellijk van kracht.

  2. Start de clientcomputer opnieuw op. Deze stap zorgt ervoor dat de Windows Update-software op de computer de beleidswijzigingen detecteert.

  3. Laat de clientcomputer scannen op updates. Deze scan duurt normaal gesproken enige tijd.

    U kunt het proces versnellen met behulp van een van de volgende opties:

    • Op Windows 10 of 11 gebruikt u de pagina Instellingen-app Windows Update om handmatig op updates te controleren.
    • In versies van Windows vóór Windows 10 gebruikt u het pictogram Windows Update in het Configuratiescherm om handmatig te controleren op updates.
    • Open in versies van Windows vóór Windows 10 de opdrachtprompt met verhoogde bevoegdheden en voer de opdracht wuauclt /detectnow in.

2.6.4 Controleer of de verbinding van de clientcomputer met de WSUS-server is geslaagd

Als u alle vorige stappen hebt uitgevoerd, ziet u de volgende resultaten:

  • De clientcomputer scant succesvol op updates. (Het kan of kan geen toepasselijke updates vinden om te downloaden en installeren.)

  • Binnen ongeveer 20 minuten wordt de clientcomputer weergegeven in de lijst met computers die worden weergegeven in de WSUS-beheerconsole, op basis van het type doel:

    • Als u server-side targeting gebruikt, wordt de clientcomputer weergegeven in de computergroepen Alle computers en Niet-toegewezen computers.

    • Als u client-side targeting gebruikt, wordt de clientcomputer weergegeven in de computergroep All Computers en in de computergroep die u selecteert tijdens het configureren van de clientcomputer.

2.6.5. Client-computer server-side targeting instellen, indien van toepassing

Als u serverzijde-doelgerichtheid gebruikt, moet u nu de nieuwe client-pc toevoegen aan de correcte computergroepen.

  1. Zoek in de WSUS-beheerconsole de nieuwe clientcomputer. Deze moet worden weergegeven in de computergroepen Alle computers en niet-toegewezen computers in de lijst met computers van de WSUS-server.

  2. Klik met de rechtermuisknop op de clientcomputer en selecteer Lidmaatschap wijzigen.

  3. Selecteer in het dialoogvenster de juiste computergroepen en selecteer vervolgens OK.

Volgende stap

Stap 3: Updates goedkeuren en implementeren

  • Last updated on