تحرير

مشاركة عبر

تخطيط التوزيع لتحديث أجهزة Windows الظاهرية في Azure

Azure
Azure Firewall
Azure Virtual Machines
Azure Virtual Network

إذا قمت بتأمين شبكة Azure الظاهرية من الإنترنت، فلا يزال بإمكانك الحصول على تحديثات Windows دون تعريض الأمان للخطر وفتح الوصول إلى الإنترنت ككل. تحتوي هذه المقالة على توصيات حول كيفية إعداد شبكة محيطة، تسمى أيضا DMZ، لاستضافة مثيل Windows Server Update Service (WSUS) لتحديث الشبكات الظاهرية بأمان دون اتصال بالإنترنت.

إذا كنت تستخدم Azure Firewall، يمكنك استخدام علامة FQDN لـ Windows Update في قواعد التطبيق للسماح بنسبة استخدام الشبكة الصادرة المطلوبة من خلال جدار الحماية الخاص بك. لمزيد من المعلومات، راجع نظرة عامة على علامات FQDN.

لتنفيذ التوصيات الواردة في هذه المقالة، يجب أن تكون على دراية بخدمات Azure. تصف الأقسام التالية تصميم التوزيع الموصى به، والذي يستخدم تكويناً محورياً في منطقة واحدة أو تكوين متعدد المناطق.

طوبولوجيا شبكة Azure الظاهرية المحورية

نوصي بإعداد طوبولوجيا شبكة نموذج محورية عن طريق إنشاء شبكة فرعية مراقبة. قم باستضافة خادم WSUS على جهاز ظاهري Azure موجود في المركز بين الإنترنت والشبكات الظاهرية. يجب أن يحتوي المركز على منافذ مفتوحة. يستخدم WSUS المنفذ 80 لبروتوكول HTTP والمنفذ 443 لبروتوكول HTTPS للحصول على تحديثات من Microsoft. المحاور هي جميع الشبكات الظاهرية الأخرى، والتي ستتواصل مع المركز وليس مع الإنترنت. يمكنك تحقيق ذلك عن طريق إنشاء شبكة فرعية ومجموعات أمان الشبكة (NSGs) ونظير شبكة Azure الظاهرية التي تسمح بنسبة استخدام الشبكة لـ WSUS أثناء حظر نسبة استخدام شبكة الإنترنت الأخرى. توضح هذه الصورة مثالاً على طوبولوجيا النظام المحوري:

Hub-and-spoke topology architecture diagram.

قم بتنزيل ملف Visio لهذه البنية.

في هذه الصورة:

  • WSUSSubnet يمثل النظام المحوري.
  • NSG_DS هي قاعدة مجموعة أمان الشبكة التي تسمح بنسبة استخدام الشبكة لـ WSUS أثناء حظر نسبة استخدام شبكة الإنترنت الأخرى.
  • جهاز WSUS ظاهري هو الجهاز الظاهري لـ Azure الذي تم تكوينه لتشغيل WSUS.
  • MainSubnet هي شبكة ظاهرية، محورية، تحتوي على أجهزة ظاهرية.
  • NSG_MS هو نهج مجموعة أمان الشبكة الذي يسمح بنسبة استخدام الشبكة من جهاز WSUS الظاهري، ولكنه يرفض نسبة استخدام شبكة الإنترنت.

يمكنك إعادة استخدام خادم موجود أو توزيع خادم جديد سيكون خادم WSUS. بالنسبة إلى الجهاز الظاهري WSUS، نوصي بما يلي، كحد أدنى:

  • نظام التشغيل: Windows Server 2016 أو أحدث.
  • المعالج: ثنائي النواة، 2 غيغاهرتز أو أسرع.
  • الذاكرة: 2 غيغابايت من ذاكرة الوصول العشوائي RAM، بالإضافة إلى ذاكرة الوصول العشوائي المطلوبة من قبل الخادم وجميع الخدمات والبرامج الأخرى قيد التشغيل.
  • التخزين: 40 غيغابايت أو أكثر.
  • الوصول: قم بالوصول إلى هذا الجهاز الظاهري بشكل أكثر أماناً باستخدام ميزة «في نفس الوقت» (JIT). راجع إدارة الوصول إلى الجهاز الظاهري باستخدام ميزة في نفس الوقت.

سيكون لدى شبكتك أكثر من شبكة Azure ظاهرية واحدة، والتي يمكن أن تكون في نفس المنطقة أو في مناطق مختلفة. ستحتاج إلى تقييم جميع الأجهزة الظاهرية لـ Windows Server لمعرفة ما إذا كان يمكن استخدامها كخادم WSUS. إذا كان لديك الآلاف من الأجهزة الظاهرية لتحديثها، نوصي بتخصيص جهاز Windows Server ظاهري لدور WSUS.

إذا كانت جميع الشبكات الظاهرية الخاصة بك في نفس المنطقة، فإننا نقترح وجود WSUS واحد لكل 18000 جهاز ظاهري. يستند هذا الاقتراح إلى مزيج من متطلبات الجهاز الظاهري، وعدد الأجهزة الظاهرية للعميل التي يتم تحديثها، وتكلفة الاتصال بين الشبكات الظاهرية. لمزيد من المعلومات حول متطلبات سعة WSUS، راجع تخطيط توزيع WSUS.

يمكنك تحديد تكلفة هذه التكوينات باستخدام حاسبة أسعار Azure. للاستعادة، تحتاج إلى المعلومات التالية:

  • الجهاز الظاهري:
    • المنطقة: المنطقة التي يتم فيها توزيع شبكة Azure الظاهرية.
    • نظام التشغيل: Windows
    • المستوى: قياسي
    • المثيل: تكوين D4
    • الأقراص المدارة: Standard HDD، 64 غيغابايت
  • الشبكة الظاهرية :
    • نوع
      • نفس المنطقة إذا كان النقل في نفس المنطقة.
      • عبر المنطقة إذا كنت تنقل البيانات من منطقة إلى أخرى.
    • نقل البيانات: 2 غيغابايت
    • المنطقه
      • إذا كان النقل داخل منطقة واحدة، فاختر المنطقة التي يوجد بها خادم WSUS والشبكات الظاهرية.
      • إذا كان النقل عبر المناطق، فإن منطقة الشبكة الظاهرية المصدر هي المكان الذي يوجد فيه خادم WSUS. منطقة الشبكة الظاهرية الوجهة هي المكان الذي تنتقل إليه البيانات.
    • إذا كان لديك مناطق متعددة، فستحتاج إلى تحديد الشبكة الظاهرية عدة مرات.

لاحظ أن الأسعار ستختلف حسب المنطقة.

النشر بشكل يدوي

بعد تحديد شبكة Azure الظاهرية لاستخدامها كمركز أو تحديد أنك بحاجة إلى إنشاء مثيل Windows Server جديد، تحتاج إلى إنشاء قاعدة NSG. ستسمح القاعدة بنسبة استخدام الشبكة عبر الإنترنت، والتي تسمح لبيانات تعريف Windows Update والمحتوى بالمزامنة مع خادم WSUS الذي ستقوم بإنشائه. فيما يلي القواعد التي تحتاج إلى إضافتها:

  • قاعدة NSG الواردة/الصادرة للسماح بنسبة استخدام الشبكة من وإلى الإنترنت على المنفذ 80 (للمحتوى).
  • قاعدة NSG الواردة/الصادرة للسماح بنسبة استخدام الشبكة من وإلى الإنترنت على المنفذ 443 (لبيانات التعريف).
  • قاعدة NSG الواردة/الصادرة للسماح بنسبة استخدام الشبكة من الأجهزة الظاهرية للعميل على المنفذ 8530 (الافتراضي ما لم يتم تكوينه).

إعداد WSUS

هناك نهجان يمكنك استخدامهما لإعداد خادم WSUS:

  • إذا كنت ترغب في إعداد خادم تم تكوينه تلقائياً للتعامل مع حمل عمل نموذجي بأقل قدر من الإدارة المطلوبة، يمكنك استخدام البرنامج النصي لأتمتة PowerShell.
  • إذا كنت بحاجة إلى التعامل مع آلاف العملاء الذين يشغلون العديد من أنظمة التشغيل واللغات المختلفة، أو إذا كنت ترغب في تكوين WSUS بطريقة لا يمكن للبرنامج النصي PowerShell التعامل معها، يمكنك إعداد WSUS يدوياً. يتم وصف كلا النهجين لاحقاً في هذه المقالة.

يمكنك أيضاً دمج النهجين باستخدام البرنامج النصي التلقائي للقيام بمعظم العمل ثم استخدام وحدة التحكم الإدارية WSUS لضبط إعدادات الخادم.

إعداد WSUS باستخدام البرنامج النصي للأتمتة

يسمح لك البرنامج النصي Configure-WSUSServer بإعداد خادم WSUS بسرعة بحيث يقوم تلقائياً بمزامنة التحديثات والموافقة عليها لمجموعة مختارة من المنتجات واللغات.

إشعار

يقوم البرنامج النصي دائماً بإعداد WSUS لاستخدام قاعدة البيانات الداخلية لـ Windows لتخزين بيانات التحديث الخاصة به. يؤدي ذلك إلى تسريع الإعداد وتقليل تعقيد الإدارة. ولكن إذا كان الخادم لديك سيدعم الآلاف من أجهزة الكمبيوتر العميلة، خاصة إذا كنت بحاجة أيضاً إلى دعم مجموعة متنوعة من المنتجات واللغات، يجب عليك إعداد WSUS يدوياً بدلاً من ذلك، بحيث يمكنك استخدام SQL Server كقاعدة بيانات.

يتوفر أحدث إصدار من هذا البرنامج النصي على GitHub.

يمكنك تكوين البرنامج النصي باستخدام ملف JSON. يمكنك حالياً تكوين هذه الخيارات:

  • ما إذا كان يجب تخزين حمولات التحديث محلياً (وإذا كان الأمر كذلك، حيث يجب تخزينها)، أو تركها على خوادم Microsoft.
  • المنتجات وتصنيفات التحديث واللغات التي يجب أن تكون متوفرة على الخادم.
  • ما إذا كان يجب على الخادم الموافقة تلقائياً على التحديثات للتثبيت أو ترك التحديثات غير معتمدة ما لم يوافق عليها المسؤول.
  • ما إذا كان يجب على الخادم استرداد التحديثات الجديدة تلقائياً من Microsoft، وإذا كان الأمر كذلك، فكم مرة.
  • ما إذا كان يجب استخدام حزم التحديث Express. (تقلل حزم التحديث السريع النطاق الترددي من خادم إلى عميل على حساب استخدام وحدة المعالجة المركزية/القرص العميل وعرض النطاق الترددي من خادم إلى خادم.)
  • ما إذا كان يجب أن يقوم البرنامج النصي بالكتابة فوق إعداداته السابقة. (عادة، لتجنب إعادة التكوين غير المقصودة التي قد تعطل عملية الخادم، سيتم تشغيل البرنامج النصي مرة واحدة فقط على خادم معين.)

انسخ البرنامج النصي وملف التكوين الخاص به إلى موقع التخزين المحلي، وقم بتحرير ملف التكوين ليناسب احتياجاتك.

تحذير

كن حذراً عند تحرير ملف التكوين. بناء الجملة المستخدم لملفات تكوين JSON يتسم بالصرامة. إذا قمت بتغيير بنية الملف عن غير قصد بدلاً من قيم المعلمات فقط، فلن يتم تحميل ملف التكوين.

يمكنك تشغيل هذا البرنامج النصي بإحدى طريقتين:

  • يمكنك تشغيل البرنامج النصي يدوياً، من الجهاز الظاهري لـ WSUS.

    سيقوم الأمر التالي، الذي يتم تشغيله من نافذة موجه الأوامر غير المقيدة، بتثبيت وتكوين WSUS. سيستخدم البرنامج النصي وملف التكوين في الدليل الحالي.

    powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json

  • يمكنك استخدام ملحق البرنامج النصي المخصص لـ Windows.

    انسخ البرنامج النصي وملف تكوين JSON إلى حاوية التخزين الخاصة بك.

    في تكوينات الجهاز الظاهري والشبكة الظاهرية لـ Azure النموذجية، يحتاج ملحق البرنامج النصي المخصص فقط إلى المعلمتين التاليتين لتشغيل البرنامج النصي بشكل صحيح. (تحتاج إلى استبدال القيم الموضحة هنا بعناوين URL لمواقع التخزين الخاصة بك.)

    "fileUris": ["https://mystorage.blob.core.windows.net/mycontainer/Configure-WSUSServer.ps1","https://mystorage.blob.core.windows.net/container/WSUS-Config.json"],
"commandToExecute": "powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json"

سيبدأ البرنامج النصي المزامنة الأولية اللازمة لتوفير التحديثات لأجهزة الكمبيوتر العميلة. ولكن لن ينتظر اكتمال هذه المزامنة. اعتماداً على المنتجات والتصنيفات واللغات التي حددتها، قد تستغرق المزامنة الأولية عدة ساعات. يجب أن تكون جميع عمليات المزامنة بعد ذلك أسرع.

إعداد WSUS يدوياً

  1. من الجهاز الظاهري لـ WSUS، افتح Server Manager وحدد إضافة أدوار وميزات.

  2. حدد التالي حتى تصل إلى صفحة تحديد أدوار الخادم. حدد Windows Server Update Services. حدد إضافة ميزات عند مطالبتك بـ إضافة ميزات مطلوبة لـ Windows Server Update Services؟

  3. حدد التالي حتى تصل إلى صفحة تحديد خدمات الدور.

    • بشكل افتراضي، يمكنك استخدام اتصال WID.
    • استخدم SQL Server الاتصال ivity إذا كنت بحاجة إلى دعم العملاء الذين يستخدمون العديد من الإصدارات المختلفة من Windows (على سبيل المثال، Windows 11 وWindows 10).

  4. حدد التالي حتى تصل إلى صفحة تحديد موقع المحتوى. أدخل الموقع الذي تريد تخزين التحديثات فيه.

  5. حدد التالي حتى تصل إلى صفحة تأكيد تحديدات التثبيت. حدد تثبيت.

  6. افتح Windows Server Update Services المثبت لديك، وحدد تشغيل.

  7. حدد التالي حتى تصل إلى صفحة الاتصال إلى خادم المصدر. حدد بدء الاتصال.

  8. حدد التالي حتى تصل إلى صفحة اختيار لغات. اختر اللغات التي تحتاجها.

  9. حدد التالي حتى تصل إلى صفحة اختيار المنتجات. اختر المنتجات التي تحتاجها.

  10. حدد التالي حتى تصل إلى صفحة اختيار التصنيفات. اختر التحديثات التي تحتاجها.

  11. حدد التالي حتى تصل إلى صفحة تعيين جدول المزامنة. اختر تفضيلاتك في المزامنة.

  12. حدد التالي حتى تصل إلى الصفحة ت الانتهاء. حدد بدء المزامنة الأولية، ثم حدد التالي.

  13. حدد التالي حتى تصل إلى الصفحة ما التالي، ثم حدد إنهاء.

  14. إذا قمت بتحديد اسم WSUS الخاص بك (على سبيل المثال، WsusVM) في جزء التنقل، يجب أن ترى أن حالة المزامنةخاملة وأن نتيجة المزامنة الأخيرة هي ناجحة.

  15. في جزء التنقل، حدد خيارات>أجهزة الكمبيوتر>استخدام إعدادات نهج المجموعة أو السجل على أجهزة الكمبيوتر. حدد موافق.

أثناء المزامنة، يحدد WSUS ما إذا تم توفير أي تحديثات جديدة منذ آخر مرة قمت فيها بالمزامنة. إذا كانت هذه هي المرة الأولى التي تقوم فيها بمزامنة WSUS، يتم تنزيل بيانات التعريف على الفور. يتم تنزيل البيانات الأساسية فقط إذا تم تشغيل التخزين المحلي وتمت الموافقة على التحديث لمجموعة أجهزة كمبيوتر واحدة على الأقل.

إشعار

قد تستغرق المزامنة الأولية أكثر من ساعة. يجب أن تكون جميع عمليات المزامنة بعد ذلك أسرع بكثير.

تكوين الشبكات الظاهرية للتواصل مع WSUS

بعد ذلك، قم بإعداد تناظر شبكة Azure الظاهرية أو نظير الشبكة الظاهرية العمومية للتواصل مع المركز. نوصي بإعداد خادم WSUS في كل منطقة قمت بتوزيعها لتقليل زمن الانتقال.

على كل شبكة Azure ظاهرية محورية، ستحتاج إلى إنشاء نهج NSG يحتوي على هذه القواعد:

  • قاعدة NSG الواردة/الصادرة للسماح بنسبة استخدام الشبكة من جهاز WSUS الظاهري على المنفذ 8530 (إعداد افتراضي ما لم يتم تكوينه).
  • قاعدة NSG الواردة/الصادرة لرفض نسبة استخدام الشبكة من الإنترنت.

بعد ذلك، قم بإنشاء شبكة Azure الظاهرية النظيرة من النظام إلى المحور.

الجهاز الظاهري للعميل

تكوين الأجهزة الظاهرية للعميل

يمكن استخدام خادم WSUS لتحديث أي جهاز ظاهري يعمل بنظام Windows (باستثناء Home SKU). أكمل الخطوات التالية على كل جهاز ظاهري للعميل لتمكين الاتصال بين خادم WSUS والعميل:

من الجهاز الظاهري للعميل لديك

  1. افتح محرر نهج المجموعة المحلية (أو محرر إدارة نهج المجموعة).
  2. انتقل إلى تكوين الكمبيوتر>القوالب الإدارية>مكونات Windows>Windows Update.
  3. قم بتمكين تحديد موقع خدمة تحديث Microsoft إنترانت.
  4. أدخل عنوان موقع الويب http://\<WSUS name>:8530. (يمكنك العثور على اسم WSUS الخاص بك (على سبيل المثال، WsusVM) في صفحة Update Services.) قد يستغرق ظهور هذا الإعداد بعض الوقت (حتى بضع ساعات).
  5. انتقل إلى الإعدادات> Update وSecurity>Windows Update.
  6. حدد التحقق من وجود تحديثات.

من الجهاز الظاهري لـ WSUS

  1. افتح خادم Windows Server Update Services. يجب أن تكون قادراً على رؤية الجهاز الظاهري للعميل الخاص بك مدرج ضمن أجهزة الكمبيوتر>كافة أجهزة الكمبيوتر.
  2. حدد التحديثات>كافة التحديثات.
  3. قم بتعيين الموافقة إلى أي باستثناء تم رفضه.
  4. تعيين الحالة إلى مطلوب. والآن، يمكنك مشاهدة جميع التحديثات اللازمة للجهاز الظاهري لعميلك.
  5. انقر بزر الماوس الأيمن فوق أي من التحديثات، وحدد الموافقة.

التحقق من الصحة

  1. على الجهاز الظاهري للعميل، انتقل إلى الإعدادات> Update وSecurity>Windows Update.
  2. حدد التحقق من وجود تحديثات. يجب أن تشاهد تحديثاً بنفس رقم مقالة قاعدة المعارف (على سبيل المثال، 4480056) التي وافقت عليها من جهاز WSUS الظاهري.

إذا كنت مسؤولاً يدير شبكة كبيرة، فشاهد تكوين التحديثات التلقائية وتحديث موقع الخدمة للحصول على معلومات حول كيفية استخدام إعدادات نهج المجموعة لتكوين العملاء تلقائياً.

توزيع خادم WSUS لسحب متعددة

لا يمكن إعداد تناظر الشبكة الظاهرية عبر السحب العامة والخاصة. ستحتاج الشبكات التي يتم توزيعها عبر السحب العامة والخاصة إلى خادم WSUS واحد على الأقل في كل سحابة.

ملاحظات الدعم

حالياً، لا يدعم WSUS المزامنة مع Windows Home SKU.

حل Azure Update Management

يمكنك استخدام حل Azure Update Management لإدارة وجدولة تحديثات نظام التشغيل للأجهزة الظاهرية التي تتم مزامنتها مقابل خادم WSUS. يتم تقييم حالة التحديث الجزئي للجهاز الظاهري (أي التحديثات الجزئية المفقودة) استناداً إلى المصدر الذي تم تكوين الجهاز الظاهري للمزامنة معه. إذا تم تكوين جهاز Windows ظاهري للإبلاغ إلى خادم WSUS، فقد تختلف النتائج عما يعرضه Microsoft Update، اعتمادًا على آخر مرة تمت فيها مزامنة خادم WSUS مع Microsoft Update. بعد تكوين بيئة خادم WSUS، يمكنك تمكين Update Management. لمزيد من المعلومات، راجع نظرة عامة على Update Management وخطوات الإلحاق.

المساهمون

تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.

الكاتب الرئيسي:

الخطوات التالية

  • لمزيد من المعلومات حول التخطيط لتوزيع، راجع تخطيط توزيع WSUS.
  • لمزيد من المعلومات حول إدارة WSUS وإعداد جدول مزامنة WSUS والمزيد، راجع إدارة WSUS.