Szerkesztés

Megosztás a következőn keresztül:

A Windows rendszerű virtuális gépek Azure-beli frissítéséhez kialakított környezet megtervezése

Azure
Azure Firewall
Azure Virtual Machines
Azure Virtual Network

Ha az Azure-beli virtuális hálózatot elzárta az internettől, a Windows-frissítéseket továbbra is letöltheti a biztonság beáldozása és az internet-hozzáférés teljes megnyitása nélkül. Ez a cikk javaslatokat tartalmaz arra vonatkozóan, hogyan állíthat be egy szegélyhálózatot, más néven DMZ-t úgy, hogy üzemeltethesse rajta a Windows Server Update Service (WSUS) egy példányát a virtuális hálózatok internetkapcsolat nélküli, biztonságos frissítéséhez.

Ha Azure Firewallt használ, lehetősége van a Windows Update FQDN-címkéjének alkalmazásszabályokon belüli használatára, hogy engedélyezni tudja a szükséges kimenő hálózati forgalmat a tűzfalon keresztül. További információkért lásd az FQDN-címkéket áttekintő témakört.

A jelen cikk javaslatainak implementálásához ismernie kell az Azure-szolgáltatásokat. A következő szakaszok a javasolt küllős üzembehelyezési tervet ismertetik egy egyrégiós vagy többrégiós konfigurációban.

Azure Virtual Network küllős hálózati topológiája

Azt javasoljuk, hogy hozzon létre egy küllős modellen alapuló hálózati topológiát egy szegélyhálózat létrehozásával. A WSUS-kiszolgálót egy olyan Azure-beli virtuális gép üzemeltesse, amely az internet és a virtuális hálózatok közötti központként szolgál. A központnak nyitott portokkal kell rendelkeznie. A WSUS a 80-as portot használja a HTTP protokollhoz, és a 443-as portot a HTTPS protokollhoz a Microsoft-frissítések lekéréséhez. A küllők a virtuális hálózatok, amelyek mind a központtal fognak kommunikálni, és nem az internettel. Ezt úgy lehet megvalósítani, ha létrehoz egy alhálózatot és hálózati biztonsági csoportokat (NSG-ket), és Azure-beli virtuális társhálózatokat létesít, amelyek engedélyezik a WSUS típusú forgalmakat, miközben az internetes forgalmat blokkolják. A kép egy küllős topológiára hoz példát:

Küllős topológia architektúradiagramja.

Töltse le az architektúra Visio-fájlját.

Ezen a képen:

  • A WSUSSubnet a küllős modell központja.
  • Az NSG_DS olyan hálózati biztonsági csoport, amely engedélyezi az adatforgalmat a WSUS-nek, míg az egyéb internetes forgalmat blokkolja.
  • A WSUS VM a WSUS futtatására konfigurált Azure-beli virtuális gép.
  • A MainSubnet virtuális gépeket tartalmazó virtuális hálózat, küllő.
  • Az NSG_MS olyan hálózati biztonsági csoportszabály, amely engedélyezi az adatforgalmat a WSUS VM-nek, de letiltja az internetes forgalmat.

Felhasználhat egy már meglévő kiszolgálót, de egy újat is üzembe helyezhet WSUS-kiszolgálóként. A WSUS virtuális gépéhez legalább a következőket javasoljuk:

  • Operációs rendszer: Windows Server 2016 vagy újabb.
  • Processzor: Kétmagos, 2 GHz-es vagy gyorsabb.
  • Memória: 2 GB RAM, a kiszolgáló és az összes többi futó szolgáltatás és szoftver által igényelt RAM mellett.
  • Tárterület: 40 GB vagy több.
  • Hozzáférés: A virtuális gép biztonságosabb elérése igény szerinti (JIT) használatával. Lásd: A virtuális gépekhez való hozzáférés kezelése igény szerinti hozzáféréssel.

A hálózaton több Azure-beli virtuális hálózat is lesz, amelyek ugyanabban és különböző régiókban is lehetnek. Alaposan át kell gondolni, hogy melyik Windows Servert futtató virtuális gép használható WSUS-kiszolgálóként. Ha több ezer virtuális gépet szeretne frissíteni, javasoljuk, hogy jelöljön ki egy Windows Servert futtató virtuális gépet külön a WSUS szerepre.

Ha az összes virtuális hálózat azonos régióban található, érdemes 18 000 virtuális gépenként egy WSUS-t létrehozni. Ez a javaslat a virtuális gépek igényeitől, a frissítendő ügyféloldali virtuális gépek számától és a virtuális hálózatok közötti kommunikáció költségeitől függ. A WSUS kapacitási követelményeire vonatkozó további információért tekintse át a WSUS üzembe helyezés megtervezését ismertető cikket.

A konfigurációk költségeinek meghatározásához használja az Azure díjkalkulátorát. Az alábbi információkat kell megadnia:

  • Virtuális gép:
    • Régió: Az a régió, ahol az Azure-beli virtuális hálózat üzembe van helyezve.
    • Operációs rendszer: Windows
    • Szint: Standard
    • Példány: D4-konfiguráció
    • Felügyelt lemezek: Standard HDD, 64 GB
  • Virtuális hálózat:
    • Írja be a következőt:
      • Ugyanaz a régió, ha az átvitel ugyanazon a régión belül marad.
      • Régiók közötti, ha az adatokat az egyik régióból egy másikba helyezi át.
    • Adatátvitel: 2 GB
    • Régió
      • Ha az átvitel ugyanabban a régióban marad, azt a régiót válassza ki, amelyben a WSUS-kiszolgáló és a virtuális hálózatok is vannak.
      • Ha az átvitel régiók között történik, a virtuális hálózat forrásrégiója az, ahol a WSUS-kiszolgáló található. A virtuális hálózat célrégiója az, ahová az adatok érkeznek.
    • Ha több régió között mozog, többször is ki kell választania a virtuális hálózatot.

Ne feledje, hogy az árak régiónként eltérőek lehetnek.

Kézi üzembe helyezés

Miután azonosította a központként használni kívánt Azure-beli virtuális hálózatot, vagy megállapította, hogy létre kell hoznia egy új Windows Server-példányt, létre kell hoznia egy NSG-szabályt. A szabály engedélyezi az internetes forgalmat, amely lehetővé teszi, hogy a Windows Update-metaadatok és -tartalmak szinkronizálva legyenek a létrehozandó WSUS-kiszolgálóval. Ezeket a szabályokat kell megadnia:

  • Adjon meg egy bejövő/kimenő forgalomra vonatkozó NSG-szabályt, hogy engedélyezze az internetre/internetről érkező forgalmat a 80-as porton (a tartalmak számára).
  • Adjon meg egy bejövő/kimenő forgalomra vonatkozó NSG-szabályt, hogy engedélyezze az internetre/internetről érkező forgalmat a 443-as porton (a metaadatok számára).
  • Adjon meg egy bejövő/kimenő forgalomra vonatkozó NSG-szabályt, hogy engedélyezze az ügyféloldali virtuális gépről érkező forgalmat a 8530-as porton (ha nem konfigurálja, ez az alapértelmezett beállítás).

A WSUS beállítása

Kétféle módon állíthatja be a WSUS-kiszolgálót:

  • Ha automatikusan úgy szeretné beállítani a kiszolgálót, hogy a jellemző számítási feladatokat minimális adminisztráció mellett kezelje, használja a PowerShell Automation-szkriptet.
  • Ha több ezer ügyfelet kell kezelnie, amelyek különböző operációs rendszereket és nyelveket használnak, vagy ha a WSUS-t úgy szeretné konfigurálni, amelyre a PowerShell-szkript nem képes, a WSUS-t manuálisan kell beállítani. A két módszerről a cikk későbbi részében lesz szó.

A két módszert kombinálni is lehet: használhatja az Automation-szkriptet, hogy elvégezze a munka nagyját, majd a WSUS felügyeleti konzolján finomíthatja a kiszolgáló beállításait.

WSUS beállítása az Automation-szkripttel

A Configure-WSUSServer szkripttel gyorsan beállíthat egy WSUS-kiszolgálót, amely automatikusan szinkronizálja és jóváhagyja a kiválasztott termékek és nyelvek frissítéseit.

Feljegyzés

A szkript mindig úgy állítja be a WSUS-t, hogy a belső Windows-adatbázist használja a frissítési adatok tárolásához. Ez felgyorsítja a beállítást és leegyszerűsíti az adminisztrációt. Ha azonban a kiszolgáló több ezer ügyfélszámítógépet és különösen ha sokféle terméket és nyelvet fog támogatni, manuálisan kell beállítania a WSUS-t, hogy az SQL Servert tudja használni adatbázisként.

A szkript legújabb verziója elérhető a GitHubon.

JSON-fájllal konfigurálhatja a szkriptet. Jelenleg ezeket a beállításokat konfigurálhatja:

  • A frissítési hasznos adatok helyileg tárolódjanak-e (és ha igen, hol), vagy inkább a Microsoft-kiszolgálókon maradjanak.
  • Melyik termékek, frissítési besorolások és nyelvek legyenek elérhetők a kiszolgálón.
  • A kiszolgáló automatikusan jóváhagyja-e a frissítések telepítését, vagy hagyja őket jóvá nem hagyott állapotban, amíg egy rendszergazda jóvá nem hagyja őket.
  • A kiszolgáló automatikusan lekérje-e az új frissítéseket a Microsofttól, és ha igen, milyen gyakran.
  • Használjon-e a rendszer expressz frissítési csomagokat. (Az expressz frissítési csomagok csökkentik a kiszolgáló és az ügyfél közötti sávszélességet az ügyfél processzor- vagy lemezhasználata és a kiszolgálók közötti sávszélesség rovására.)
  • Felülírja-e a szkript a korábbi beállításait. (A kiszolgáló működését megzavaró véletlen újrakonfigurálás elkerülése érdekében a szkript általában csak egyszer fut egy adott kiszolgálón.)

Másolja a szkriptet és annak konfigurációs fájlját a helyi tárolóba, és szerkessze a konfigurációs fájlt az igényeinek megfelelően.

Figyelmeztetés

Legyen óvatos a konfigurációs fájl szerkesztésekor. A JSON konfigurációs fájlokhoz használt szintaxis szigorú. Ha véletlenül a fájl struktúráját módosítja a paraméterértékek helyett, a rendszer nem fogja tudni betölteni a konfigurációs fájlt.

A szkriptet az alábbi két módszer egyikével futtathatja:

  • A szkript manuális, a WSUS virtuális gépéről történő futtatásával.

    A következő, az emelt szintű parancsablakból futtatott parancs telepíti és konfigurálja a WSUS-t. Az aktuális címtárban lévő szkriptet és konfigurációs fájlt fogja használni.

    powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json

  • Az Egyéniszkript-bővítmény Windows rendszerre című szakaszt használhatja.

    Másolja a szkriptet és a JSON konfigurációs fájlt a saját tárolójába.

    A virtuális gépek és Azure-beli virtuális hálózatok átlagos konfigurációja esetén az Egyéni szkript bővítményhez csak az alábbi két paraméterre van szükség a szkript megfelelő futtatásához. (Az itt látható értékeket a tároló helyének megfelelő URL-címekre kell lecserélni.)

    "fileUris": ["https://mystorage.blob.core.windows.net/mycontainer/Configure-WSUSServer.ps1","https://mystorage.blob.core.windows.net/container/WSUS-Config.json"],
"commandToExecute": "powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json"

A szkript elindítja a frissítések ügyfélszámítógépek számára való elérhetővé tételéhez szükséges kezdeti szinkronizálást. A szkript azonban nem várja meg, hogy a szinkronizálás befejeződjön. A kiválasztott termékektől, besorolásoktól és nyelvektől függően a kezdeti szinkronizálás akár több órát is igénybe vehet. Az ezt követő szinkronizálások várhatóan mind gyorsabbak lesznek.

A WSUS manuális beállítása

  1. A WSUS virtuális gépén nyissa meg a Kiszolgálókezelőt, és válassza a Szerepkörök és szolgáltatások hozzáadása lehetőséget.

  2. Válassza a Tovább elem, amíg el nem ér a Kiszolgálói szerepkörök kiválasztása oldalra. Válassza a Windows Server Update Services lehetőséget. Amikor a rendszer felkéri, hogy adja hozzá a Windows Server Update Serviceshez szükséges szolgáltatásokat, kattintson a Szolgáltatások hozzáadása elemre.

  3. Válassza a Tovább elemet, amíg el nem ér a Szerepkör-szolgáltatások kiválasztása oldalra.

    • Alapértelmezés szerint használhatja a Kapcsolat a belső Windows-adatbázissal beállítást.
    • Ha támogatnia kell a Windows számos különböző verzióját (például Windows 11 és Windows 10) használó ügyfeleket, használja az SQL Server-kapcsolatot .

  4. Válassza a Tovább elemet, amíg el nem ér a Tartalom helyének kijelölése oldalra. Írja be, hol szeretné tárolni a frissítéseket.

  5. Válassza a Tovább elemet, amíg el nem ér a Telepítendő összetevők megerősítése oldalra. Válassza a Telepítés lehetőséget.

  6. Nyissa meg a telepített Windows Server Update Servicest, és válassza a Futtatás parancsot.

  7. Válassza a Tovább elemet, amíg el nem ér a Kapcsolódás felsőbb rétegbeli kiszolgálóhoz oldalra. Válassza a Kapcsolódás indítása lehetőséget.

  8. Válassza a Tovább elemet, amíg el nem ér a Nyelvek kiválasztása oldalra. Válassza ki a szükséges nyelveket.

  9. Válassza a Tovább elemet, amíg el nem ér a Termékek kiválasztása oldalra. Válassza ki a szükséges termékeket.

  10. Válassza a Tovább elemet, amíg el nem ér a Besorolások kiválasztása oldalra. Válassza ki a szükséges frissítéseket.

  11. Válassza a Tovább elemet, amíg el nem ér a Szinkronizálási ütemezés beállítása oldalra. Válasszon ki egy szinkronizálási beállítást.

  12. Válassza a Tovább elemet, amíg el nem ér a Befejezve oldalra. Válassza az Első szinkronizálás elindítása, majd a Tovább elemet.

  13. Válassza a Tovább elemet, amíg el nem ér A következő lépések oldalra, majd válassza a Befejezés elemet.

  14. Ha a navigációs ablaktáblán a WSUS nevét (például WsusVM) választja, azt kell látnia, hogy a Szinkronizálás állapota Tétlen, a Legutóbbi szinkronizálás eredménye pedig Sikeres.

  15. A navigációs ablaktáblán válassza a Beállítások>Számítógépek>Csoportszabályzat- vagy beállításjegyzék-beállítások használata a számítógépeken elemet. Kattintson az OK gombra.

A szinkronizálás közben a WSUS megállapítja, hogy az utolsó szinkronizálás óta elérhető lett-e új frissítés. Ha most szinkronizálja először a WSUS-t, a metaadatok letöltése azonnal megtörténik. A hasznos adatok letöltése csak akkor történik meg, ha a helyi tárolás be van kapcsolva, és a frissítés legalább egy számítógépcsoporthoz jóvá van hagyva.

Feljegyzés

Az első szinkronizálás egy óránál tovább is eltarthat. Az ezt követő szinkronizálások várhatóan mind jelentősen gyorsabbak lesznek.

Virtuális hálózatok konfigurálása a WSUS-szel való kommunikációhoz

Ezután állítsa be az Azure-beli virtuális társhálózatokat vagy a globális virtuális társhálózatokat a központtal való kommunikációhoz. Javasoljuk, hogy a késés minimalizálása érdekében minden olyan régióban állítson be egy WSUS-kiszolgálót, ahol üzembe helyezést végzett.

Minden küllőként funkcionáló Azure-beli virtuális hálózat esetén létre kell hoznia egy NSG-szabályzatot a következő szabályokkal:

  • Egy bejövő/kimenő NSG-szabály a WSUS virtuális gépéről a 8530-as porton (ha nem konfigurálja, ez az alapértelmezett) bejövő forgalom engedélyezéséhez.
  • Egy bejövő/kimenő NSG-szabály az internetről bejövő forgalom letiltásához.

Ezt követően hozzon létre egy Azure-beli virtuális társhálózatot a küllő és a központ között.

Ügyféloldali virtuális gép

Ügyféloldali virtuális gépek konfigurálása

A WSUS a Windows rendszert futtató összes virtuális gép frissítéséhez használható (a Home termékváltozat kivételével). Végezze el a következő lépéseket mindegyik ügyféloldali virtuális gépen a WSUS és az ügyfél közötti kommunikáció lehetővé tételéhez:

Az ügyféloldali virtuális gépen

  1. Nyissa meg a Helyicsoportszabályzat-szerkesztőt (vagy a Csoportszabályzat-felügyeleti szerkesztőt).
  2. Lépjen a Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>Windows Update területre.
  3. Engedélyezze Az intranetes Microsoft Update szolgáltatás helyének megadása szabályzatot.
  4. Írja be a http://\<WSUS name>:8530 URL-címet. (A WSUS nevét (például: WsusVM) a Frissítési szolgáltatások oldalon találja.) A beállítás hatásának érvénybe lépése hosszabb időbe (akár néhány órába is) telhet.
  5. Lépjen a Beállítások>Frissítés és biztonság>Windows Update területre.
  6. Válassza a Frissítések keresése lehetőséget.

A WSUS virtuális gépen

  1. Nyissa meg a Windows Server Update Servicest. Az ügyféloldali virtuális gép megjelenik a Számítógépek>Minden számítógép területen.
  2. Válassza a Frissítések>Minden frissítés lehetőséget.
  3. Állítsa a Jóváhagyás beállítást Mind, kivéve az elutasítottakat értékre.
  4. Állítsa az Állapot beállítást Szükséges értékre. Most már láthatja az ügyféloldali virtuális géphez szükséges összes frissítést.
  5. Kattintson a jobb gombbal bármelyik frissítésre, és válassza a Jóváhagyás lehetőséget.

Ellenőrzés

  1. Az ügyféloldali virtuális gépen lépjen a Beállítások>Frissítés és biztonság>Windows Update területre.
  2. Válassza a Frissítések keresése lehetőséget. Megjelenik egy frissítés, amely ugyanazzal a tudásbáziscikkszámmal (például: 4480056) rendelkezik, mint amelyet jóváhagyott a WSUS virtuális gépen.

Ha Ön nagyobb méretű hálózatokat kezelő rendszergazda, olvassa el az automatikus frissítések és a frissítési szolgáltatás helyének konfigurálásáról szóló cikket az ügyfelek csoportszabályzat-beállításokkal történő automatikus konfigurálásával kapcsolatos információkért.

A WSUS üzembe helyezése több felhő esetén

Nyilvános és magánfelhők esetén nem létesíthető virtuális hálózatok közötti társviszony. A nyilvános és magánfelhőkben üzembe helyezett hálózatoknak minden egyes felhőben rendelkezniük kell legalább egy WSUS-kiszolgálóval.

Támogatási megjegyzések

A WSUS jelenleg nem támogatja a Windows Home termékváltozattal való szinkronizálást.

Azure Update Manager

Az Azure Update Managerrel kezelheti és ütemezheti a WSUS-val szinkronizált virtuális gépek operációsrendszer-frissítéseit. A virtuális gép javítási állapotának (tehát a hiányzó javításoknak) a kiértékelése azon forrás alapján történik, amelyhez a virtuális gép konfigurálva van szinkronizálás céljából. Ha a Windows rendszerű virtuális gép a WSUS-nek való jelentésre van konfigurálva, az eredmények eltérőek lehetnek a Microsoft Update által megjelenített adatoktól attól függően, hogy a WSUS mikor szinkronizált utoljára a Microsoft Update-tel. Miután elkészült a WSUS-környezet konfigurálásával, engedélyezheti a frissítéskezelést. További információkért tekintse meg az Azure Update Manager áttekintését.

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

  • Paul Reed | Azure Compliance Senior Program Manager

Következő lépések