Wenn Sie den Internetzugriff für Ihr virtuelles Azure-Netzwerk gesperrt haben, können Sie trotzdem Windows-Updates erhalten, ohne die Sicherheit zu gefährden und den Zugriff auf das gesamte Internet zuzulassen. Dieser Artikel enthält Empfehlungen für die Einrichtung eines Umkreisnetzwerks (auch DMZ genannt), um eine WSUS-Instanz (Windows Server Update Services) zu hosten und die gefahrlose Aktualisierung von virtuellen Netzwerken ohne Internetverbindung zu ermöglichen.
Wenn Sie Azure Firewall verwenden, können Sie das FQDN-Tag in Anwendungsregeln verwenden, um den erforderlichen ausgehenden Netzwerkdatenverkehr über die Firewall zuzulassen. Weitere Informationen finden Sie in der Übersicht über FQDN-Tags.
Zum Umsetzen der Empfehlungen in diesem Artikel sollten Sie mit den Azure-Diensten vertraut sein. In den folgenden Abschnitten wird der empfohlene Bereitstellungsentwurf mit einer Hub-and-Spoke-Konfiguration und einer einzelnen Region oder mehreren Regionen beschrieben.
Virtuelles Azure-Netzwerk: Hub-and-Spoke-Netzwerktopologie
Es wird empfohlen, eine Hub-and-Spoke-Modellnetzwerktopologie einrichten, indem Sie ein Umkreisnetzwerk erstellen. Hosten Sie den WSUS-Server auf einem virtuellen Azure-Computer, der sich im Hub zwischen dem Internet und den virtuellen Netzwerken befindet. Der Hub muss über geöffnete Ports verfügen. WSUS verwendet den Port 80 für das HTTP-Protokoll und den Port 443 für das HTTPS-Protokoll, um Updates von Microsoft zu beziehen. Bei den Spokes handelt es sich um die übrigen virtuellen Netzwerke. Diese kommunizieren mit dem Hub und nicht mit dem Internet. Zu diesem Zweck werden ein Subnetz und Netzwerksicherheitsgruppen (NSGs) erstellt, und es wird Azure-basiertes Peering virtueller Netzwerke eingerichtet, das WSUS-Datenverkehr zulässt und anderen Internetdatenverkehr blockiert. Diese Abbildung zeigt ein Beispiel für die Hub-and-Spoke-Topologie:
Laden Sie eine Visio-Datei dieser Architektur herunter.
In dieser Abbildung:
- WSUSSubnet ist der Hub des Hub-and-Spoke-Modells.
- NSG_DS ist eine Netzwerksicherheitsgruppen-Regel, die Datenverkehr für WSUS zulässt und anderen Internetdatenverkehr blockiert.
- WSUS VM ist der zum Ausführen von WSUS konfigurierte virtuelle Azure-Computer.
- MainSubnet ist ein virtuelles Netzwerk – ein Spoke – mit virtuellen Computern.
- NSG_MS ist eine Netzwerksicherheitsgruppen-Regel, die Datenverkehr des virtuellen WSUS-Computers zulässt, aber Internetdatenverkehr blockiert.
Sie können einen bereits vorhandenen Server wiederverwenden oder einen neuen als WSUS-Server bereitstellen. Für den virtuellen WSUS-Computer wird mindestens Folgendes empfohlen:
- Betriebssystem: Windows Server 2016 oder höher.
- Prozessor: Dual-Core mit mindestens 2 GHz
- Arbeitsspeicher: 2 GB RAM mehr als für den Server und alle anderen ausgeführten Dienste und Softwareanwendungen erforderlich
- Speicher: Mindestens 40 GB
- Zugriff: Greifen Sie mithilfe von Just-In-Time (JIT) sicherer auf diesen virtuellen Computer zu. Siehe Verwalten des Zugriffs auf virtuelle Computer mithilfe des Just-In-Time-Features.
Ihr Netzwerk umfasst mehrere virtuelle Azure-Netzwerke, die sich entweder in der gleichen Region oder in unterschiedlichen Regionen befinden können. Sie müssen alle virtuellen Windows Server-Computer untersuchen, um zu ermitteln, ob einer davon als WSUS-Server geeignet ist. Wenn Sie mehrere tausend virtuelle Computer aktualisieren müssen, empfiehlt es sich, einen dedizierten virtuellen Windows Server-Computer für die WSUS-Rolle zu verwenden.
Wenn sich alle Ihre virtuellen Netzwerke in der gleichen Region befinden, empfehlen wir, jeweils eine WSUS-Instanz pro 18.000 virtuellen Computern zu verwenden. Dieser Vorschlag basiert auf einer Kombination aus den VM-Anforderungen, der Anzahl der zu aktualisierenden virtuellen Computer und den Kosten für die Kommunikation zwischen virtuellen Netzwerken. Weitere Informationen zu WSUS-Kapazitätsanforderungen finden Sie unter Planen der WSUS-Bereitstellung.
Die Kosten dieser Konfigurationen können mit dem Azure-Preisrechner ermittelt werden. Sie müssen die folgenden Informationen angeben:
- Virtueller Computer:
- Region: Die Region, in der das virtuelle Azure-Netzwerk bereitgestellt wird.
- Betriebssystem: Windows
- Tarif: Standard
- Instanz: D4-Konfiguration
- Verwaltete Datenträger: HDD Standard, 64 GB
- Virtuelles Netzwerk:
- Geben Sie ein
- Gleiche Region, wenn die Übertragung innerhalb der gleichen Region erfolgt
- Regionsübergreifend, wenn Sie Daten in eine andere Region verschieben.
- Datenübertragung: 2 GB
- Region
- Wenn die Übertragung innerhalb einer Region erfolgt, wählen Sie die Region aus, in der sich der WSUS-Server und virtuelle Netzwerke befinden.
- Wenn die Übertragung über Regionsgrenzen hinweg erfolgt, ist die Quellregion des virtuellen Netzwerks jene, in der sich der WSUS-Server befindet. Die Zielregion des virtuellen Netzwerks ist die Region, in die die Daten übertragen werden.
- Wenn Sie über mehrere Regionen verfügen, müssen Sie Virtual Network mehrmals auswählen.
- Geben Sie ein
Beachten Sie, dass die Preise je nach Region variieren.
Manuelle Bereitstellung
Nachdem Sie entweder das als Hub zu verwendende virtuelle Azure-Netzwerk angegeben haben oder zu dem Schluss gekommen sind, dass Sie eine neue Windows Server-Instanz erstellen müssen, müssen Sie eine NSG-Regel erstellen. Die Regel lässt Internetdatenverkehr zu, damit Windows Update-Metadaten und -Inhalte mit dem erstellten WSUS-Server synchronisiert werden können. Folgende Regeln müssen hinzugefügt werden:
- NSG-Eingangsregel/-Ausgangsregel, um ein-/ausgehenden Internetdatenverkehr am Port 80 zuzulassen (für Inhalt)
- NSG-Eingangsregel/-Ausgangsregel, um ein-/ausgehenden Internetdatenverkehr am Port 443 zuzulassen (für Metadaten)
- NSG-Eingangsregel/-Ausgangsregel, um Datenverkehr von den virtuellen Clientcomputern am Port 8530 (sofern nicht anders konfiguriert) zuzulassen
Einrichten von WSUS
Ein WSUS-Server kann auf zwei Arten eingerichtet werden:
- Für die automatische Einrichtung eines Servers, der für die Bewältigung einer typischen Workload mit minimalem Verwaltungsaufwand konfiguriert ist, können Sie das PowerShell-Automatisierungsskript verwenden.
- Wenn Sie mit mehreren Tausend Clients mit zahlreichen verschiedenen Betriebssystemen und Sprachen arbeiten oder WSUS auf eine Weise konfigurieren möchten, die die Möglichkeiten des PowerShell-Skripts übersteigt, können Sie WSUS manuell einrichten. Beide Ansätze werden weiter unten in diesem Artikel beschrieben.
Sie können die beiden Ansätze auch kombinieren, indem Sie das Automatisierungsskript für den Großteil der Arbeit verwenden und anschließend die Servereinstellungen mithilfe der WSUS-Verwaltungskonsole anpassen.
Einrichten von WSUS mit dem Automatisierungsskript
Mit dem Skript „Configure-WSUSServer“ können Sie schnell einen WSUS-Server einrichten, der Updates für eine ausgewählte Gruppe von Produkten und Sprachen automatisch synchronisiert und genehmigt.
Hinweis
Das Skript richtet WSUS immer so ein, dass die Updatedaten in der internen Windows-Datenbank gespeichert werden. Dies dient zur Beschleunigung der Einrichtung sowie zur Vereinfachung der Verwaltung. Wenn Ihr Server allerdings mehrere Tausend Clientcomputer unterstützt und Sie außerdem eine Vielzahl von Produkten und Sprachen unterstützen müssen, empfiehlt es sich, WSUS manuell einzurichten, um SQL Server als Datenbank verwenden zu können.
Die neueste Version des Skripts ist auf GitHub verfügbar.
Sie konfigurieren das Skript mithilfe einer JSON-Datei. Derzeit können Sie diese Optionen konfigurieren:
- Ob Updatenutzlasten auf den Microsoft-Servern belassen oder lokal gespeichert werden sollen (und wenn ja: wo)
- Welche Produkte, Updateklassifizierungen und Sprachen auf dem Server verfügbar sein sollen
- Ob Updates vom Server automatisch für die Installation genehmigt werden sollen oder ob eine Genehmigung durch einen Administrator erforderlich ist
- Ob der Server automatisch neue Updates von Microsoft abrufen soll (und wenn ja: wie oft)
- Ob Express-Updatepakete verwendet werden sollen. (Express-Updatepakete verringern die Server-zu-Client-Bandbreite, dies geht jedoch zulasten der CPU-/Datenträgerauslastung von Clients und der Server-zu-Server-Bandbreite.)
- Ob das Skript die vorherigen Einstellungen überschreiben soll. (Zur Vermeidung einer unbeabsichtigten Neukonfiguration und einer möglichen Beeinträchtigung des Serverbetriebs wird das Skript normalerweise auf jedem Server nur einmal ausgeführt.)
Kopieren Sie das Skript und die zugehörige Konfigurationsdatei in den lokalen Speicher, und bearbeiten Sie die Konfigurationsdatei gemäß Ihren Anforderungen.
Warnung
Gehen Sie bei der Bearbeitung der Konfigurationsdatei mit Bedacht vor. Die für JSON-Konfigurationsdateien verwendete Syntax ist strikt. Wenn Sie die Struktur der Datei und nicht nur die Parameterwerte versehentlich ändern, wird die Konfigurationsdatei nicht geladen.
Dieses Skript kann auf zwei Arten ausgeführt werden:
Manuell vom virtuellen WSUS-Computer aus
Mit dem folgenden Befehl, der über ein Eingabeaufforderungsfenster mit erhöhten Rechten ausgeführt wird, wird WSUS installiert und konfiguriert. Dabei werden das Skript und die Konfigurationsdatei im aktuellen Verzeichnis verwendet.
powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json
Mit der benutzerdefinierten Skripterweiterung für Windows
Kopieren Sie das Skript und die JSON-Konfigurationsdatei in Ihren eigenen Speichercontainer.
Bei typischen VM- und Azure Virtual Network-Konfigurationen benötigt die CustomScript-Erweiterung nur die beiden folgenden Parameter, damit das Skript ordnungsgemäß ausgeführt werden kann. (Sie müssen die hier gezeigten Werte durch die URLs für ihre Speicherorte ersetzen.)
"fileUris": ["https://mystorage.blob.core.windows.net/mycontainer/Configure-WSUSServer.ps1","https://mystorage.blob.core.windows.net/container/WSUS-Config.json"], "commandToExecute": "powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json"
Das Skript startet die Erstsynchronisierung, die erforderlich ist, um Updates für Clientcomputer verfügbar zu machen. Es wird jedoch nicht auf den Abschluss dieser Synchronisierung gewartet. Je nach den gewählten Produkten, Klassifizierungen und Sprachen kann die Erstsynchronisierung mehrere Stunden dauern. Alle weiteren Synchronisierungen sollten schneller gehen.
Manuelles Einrichten von WSUS
Öffnen Sie auf dem virtuellen WSUS-Computer den Server-Manager, und wählen Sie Rollen und Features hinzufügen aus.
Wählen Sie Weiter aus, bis Sie zur Seite Serverrollen auswählen gelangen. Wählen Sie Windows Server Update Services aus. Wenn die Frage Sollen für Windows Server Update Services erforderliche Features hinzugefügt werden? angezeigt wird, wählen Sie Features hinzufügen aus.
Wählen Sie Weiter aus, bis die Seite Rollendienste auswählen angezeigt wird.
- Sie können standardmäßig WID-Konnektivität verwenden.
- Verwenden Sie SQL Server-Konnektivität, wenn Sie Clients mit mehreren verschiedenen Windows-Versionen (z. B. Windows 11 und Windows 10) unterstützen müssen.
Wählen Sie Weiter aus, bis die Seite Auswahl des Inhaltsspeicherorts angezeigt wird. Geben Sie den gewünschten Speicherort für die Updates ein.
Wählen Sie Weiter aus, bis die Seite Installationsauswahl bestätigen angezeigt wird. Wählen Sie Installieren aus.
Öffnen Sie die installierte Komponente „Windows Server Update Services“, und wählen Sie Ausführen aus.
Wählen Sie Weiter aus, bis die Seite Mit Upstreamserver verbinden angezeigt wird. Wählen Sie Verbindung starten aus.
Wählen Sie Weiter aus, bis die Seite Sprachen auswählen angezeigt wird. Wählen Sie die benötigten Sprachen aus.
Wählen Sie Weiter aus, bis die Seite Produkte auswählen angezeigt wird. Wählen Sie die benötigten Produkte aus.
Wählen Sie Weiter aus, bis die Seite Klassifizierungen auswählen angezeigt wird. Wählen Sie die benötigten Updates aus.
Wählen Sie Weiter aus, bis die Seite Synchronisierungszeitplan festlegen angezeigt wird. Wählen Sie die bevorzugte Synchronisierung aus.
Wählen Sie Weiter aus, bis die Seite Fertig angezeigt wird. Wählen Sie Erstsynchronisierung starten und dann Weiter aus.
Wählen Sie Weiter aus, bis die Seite Wie geht es weiter? angezeigt wird, und wählen Sie dann Fertig stellen aus.
Wenn Sie im Navigationsbereich Ihren WSUS-Namen (WsusVM) auswählen, sollte für Synchronisierungsstatus der Wert Im Leerlauf und für Letztes Synchronisierungsergebnis der Wert Erfolgreich angezeigt werden.
Wählen Sie im Navigationsbereich Optionen>Computer>Gruppenrichtlinien- oder Registrierungseinstellungen auf den Computern verwenden aus. Klicken Sie auf OK.
Im Zuge der Synchronisierung ermittelt WSUS, ob seit der letzten Synchronisierung neue Updates verfügbar gemacht wurden. Bei der Erstsynchronisierung von WSUS werden die Metadaten sofort heruntergeladen. Die Nutzlast wird nur heruntergeladen, wenn der lokale Speicher aktiviert und das Update für mindestens eine Computergruppe genehmigt wurde.
Hinweis
Die Erstsynchronisierung kann über eine Stunde dauern. Alle weiteren Synchronisierungen sollten deutlich schneller sein.
Konfigurieren virtueller Netzwerke für die Kommunikation mit WSUS
Richten Sie als Nächstes das Peering virtueller Netzwerke (Azure-basiert oder global) für die Kommunikation mit dem Hub ein. Zur Verringerung der Wartezeit empfiehlt es sich, in jeder bereitgestellten Region einen WSUS-Server einzurichten.
Sie müssen in jedem virtuellen Azure-Netzwerk, das als Spoke fungiert, eine NSG-Richtlinie mit diesen Regeln erstellen:
- NSG-Eingangsregel/-Ausgangsregel, um Datenverkehr vom virtuellen WSUS-Computer am Port 8530 (sofern nicht anders konfiguriert) zuzulassen
- NSG-Eingangsregel/-Ausgangsregel, um Datenverkehr aus dem Internet zu verweigern
Erstellen Sie als Nächstes das Peering in virtuellen Azure-Netzwerken vom Spoke zum Hub.
Virtueller Clientcomputer
- Um die Sicherheit noch weiter zu erhöhen, können Sie die öffentliche IP-Adresse entfernen, die dem virtuellen Computer zugeordnet ist. Weitere Informationen finden Sie unter Anzeigen, Ändern von Einstellungen oder Löschen einer öffentlichen IP-Adresse.
- Informationen zur Verbesserung der Sicherheit beim Zugriff auf virtuelle Computer mittels JIT finden Sie unter Sichern Ihrer Verwaltungsports mit Just-in-Time-Zugriff (JIT).
Konfigurieren virtueller Clientcomputer
WSUS kann zum Aktualisieren beliebiger virtueller Computer verwendet werden, auf denen Windows ausgeführt wird (mit Ausnahme der Home-SKU). Führen Sie die folgenden Schritte auf jedem virtuellen Clientcomputer aus, um die Kommunikation zwischen WSUS und dem Client zu ermöglichen:
Vorgehensweise auf Ihrem virtuellen Clientcomputer
- Öffnen Sie den Editor für lokale Gruppenrichtlinien (oder Gruppenrichtlinienverwaltungs-Editor).
- Navigieren Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Update.
- Aktivieren Sie die Option Internen Pfad für den Microsoft Updatedienst angeben.
- Geben Sie die URL
http://\<WSUS name>:8530
ein. (Den WSUS-Namen (z. B. „WsusVM“) finden auf der Seite „Update Services“.) Es kann mehrere Stunden dauern, bis diese Einstellung berücksichtigt wird. - Navigieren Sie zu Einstellungen>Update und Sicherheit>Windows Update.
- Wählen Sie Nach Updates suchen aus.
Vorgehensweise auf Ihrem virtuellen WSUS-Computer
- Öffnen Sie Windows Server Update Services. Ihr virtueller Clientcomputer sollte unter Computer>Alle Computer angezeigt werden.
- Wählen Sie Updates>Alle Updates aus.
- Legen Sie Genehmigung auf Alle bis auf abgelehnte fest.
- Legen Sie Status auf Erforderlich fest. Nun werden alle erforderlichen Updates für Ihren virtuellen Clientcomputer angezeigt.
- Klicken Sie mit der rechten Maustaste auf ein Update, und wählen Sie Genehmigen aus.
Überprüfung
- Navigieren Sie auf dem virtuellen Clientcomputer zu Einstellungen>Update und Sicherheit>Windows Update.
- Wählen Sie Nach Updates suchen aus. Daraufhin sollte ein Update mit der gleichen KB-Artikelnummer (z. B. 4480056) angezeigt werden, die Sie auf dem virtuellen WSUS-Computer genehmigt haben.
Wenn Sie als Administrator ein großes Netzwerk verwalten, finden Sie im Artikel Bereitstellen von Windows 10-Updates mit Windows Server Update Services (WSUS) Informationen zur automatischen Konfiguration von Clients mithilfe von Gruppenrichtlinieneinstellungen.
WSUS-Bereitstellung für mehrere Clouds
Das Peering virtueller Netzwerke kann nicht übergreifend für öffentliche und private Clouds eingerichtet werden. Für Netzwerke, die übergreifend in öffentlichen und privaten Clouds bereitgestellt werden, muss in jeder Cloud mindestens ein WSUS-Server vorhanden sein.
Hinweise zur Unterstützung
WSUS unterstützt derzeit keine Synchronisierung mit der Windows Home-SKU.
Azure Update Manager
Sie können den Azure Update Manager verwenden, um Betriebssystemupdates für VMs zu verwalten und zu planen, die mit WSUS synchronisiert werden. Der Patchstatus des virtuellen Computers (also die Information, welche Patches fehlen) wird basierend auf der Quelle ermittelt, die für die Synchronisierung mit dem virtuellen Computer konfiguriert ist. Wenn der virtuelle Windows-Computer für das Senden von Meldungen an WSUS konfiguriert ist, können sich die Ergebnisse von den angezeigten Microsoft Update-Ergebnissen unterscheiden. Dies hängt davon ab, wann WSUS zuletzt mit Microsoft Update synchronisiert wurde. Nach Abschluss der Konfiguration Ihrer WSUS-Umgebung können Sie die Updateverwaltung aktivieren. Weitere Informationen finden Sie in der Übersicht über den Azure Update Manager.
Beitragende
Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:
Hauptautor:
- Paul Reed | Azure Compliance Senior Program Manager
Nächste Schritte
- Weitere Informationen zum Planen einer Bereitstellung finden Sie unter Planen der WSUS-Bereitstellung.
- Weitere Informationen zur Verwaltung von WSUS sowie zur Einrichtung eines WSUS-Synchronisierungszeitplans und Ähnlichem finden Sie unter Windows Server Update Services (WSUS).