Megosztás a következőn keresztül:

2. lépés: A WSUS konfigurálása

Miután telepítette a Windows Server Update Services (WSUS) kiszolgálói szerepkört a kiszolgálón, megfelelően kell konfigurálnia. Emellett konfigurálnia kell az ügyfélszámítógépeket, hogy a WSUS-kiszolgálótól fogadják a frissítéseket.

2.1. Hálózati kapcsolatok konfigurálása

A konfigurációs folyamat megkezdése előtt győződjön meg arról, hogy ismeri a következő kérdésekre adott válaszokat:

  • A kiszolgáló tűzfala úgy van konfigurálva, hogy az ügyfelek elérhessék a kiszolgálót?

  • Csatlakozhat ez a számítógép a felsőbb rétegbeli kiszolgálóhoz (a Microsoft Update frissítéseinek letöltésére kijelölt kiszolgálóhoz)?

  • Rendelkezik a proxykiszolgáló nevével és a proxykiszolgáló felhasználói hitelesítő adataival, ha szüksége van rájuk?

Ezután megkezdheti a következő WSUS hálózati beállítások konfigurálását:

  • Frissítések: Adja meg, hogy a kiszolgáló hogyan kérje le a frissítéseket (a Microsoft Update-ből vagy egy másik WSUS-kiszolgálóról).

  • Proxy: Ha megállapítja, hogy a WSUS-nak proxykiszolgálót kell használnia az internet-hozzáféréshez, konfigurálja a proxybeállításokat a WSUS-kiszolgálón.

  • Tűzfal: Ha azt állapítja meg, hogy a WSUS egy vállalati tűzfal mögött található, további lépéseket kell tennie a peremeszközön a WSUS-forgalom engedélyezéséhez.

Fontos

Ha csak egy WSUS-kiszolgálóval rendelkezik, annak internet-hozzáféréssel kell rendelkeznie, mert a Microsofttól kell letöltenie a frissítéseket. Ha több WSUS-kiszolgálóval rendelkezik, csak egy kiszolgálónak van szüksége internet-hozzáférésre. A többieknek csak hálózati hozzáférésre van szükségük az internethez csatlakoztatott WSUS-kiszolgálóhoz. Az ügyfélszámítógépek nem igényelnek internetkapcsolatot. Csak hálózati hozzáférésre van szükségük egy WSUS-kiszolgálóhoz.

Jótanács

Ha a hálózat teljesen elszigetelt—ha egyáltalán nem fér hozzá az internethez—akkor is használhatja a WSUS-t, hogy frissítéseket biztosítson a hálózaton lévő ügyfélszámítógépeknek. Ehhez a megközelítéshez két WSUS-kiszolgáló szükséges. Egy internetes hozzáféréssel rendelkező WSUS-kiszolgáló összegyűjti a Frissítéseket a Microsofttól. A védett hálózaton található második WSUS-kiszolgáló az ügyfélszámítógépek frissítéseit szolgálja ki. A frissítéseket az első kiszolgálóról a cserélhető adathordozóra exportálják, a légrésen át viszik, és a második kiszolgálóra importálják. Ez a konfiguráció fejlett, és meghaladja a jelen cikk hatókörét.

2.1.1. A tűzfal konfigurálása az első WSUS-kiszolgáló internetes Microsoft-tartományokhoz való csatlakozásának engedélyezéséhez

Ha a vállalati tűzfal a WSUS és az internet között van, előfordulhat, hogy konfigurálnia kell ezt a tűzfalat, hogy a WSUS megkapja a frissítéseket. A Microsoft Update frissítéseinek lekéréséhez a WSUS-kiszolgáló a 80-es és a 443-es portot használja a HTTP- és HTTPS-protokollokhoz. Bár a legtöbb vállalati tűzfal engedélyezi az ilyen típusú forgalmat, egyes vállalatok biztonsági szabályzatok miatt korlátozzák a kiszolgálók internet-hozzáférését. Ha a vállalat korlátozza a hozzáférést, konfigurálnia kell a tűzfalat, hogy a WSUS-kiszolgáló hozzáférhessen a Microsoft-tartományokhoz.

Az első WSUS-kiszolgálónak kimenő hozzáféréssel kell rendelkeznie a 80-es és a 443-es porthoz a következő tartományokban:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

Ha Olyan Microsoft 365-frissítéseket kezel, amelyekhez a Microsoft Configuration Manager szükséges, tekintse meg a Microsoft 365-alkalmazások frissítéseinek kezelése a Microsoft Configuration Managerrel című témakört az engedélyezni kívánt tartományokról.

Fontos

A tűzfalat úgy kell konfigurálnia, hogy az első WSUS-kiszolgáló hozzáférhessen a tartományon belüli URL-címekhez. Az ezekhez a tartományokhoz társított IP-címek folyamatosan változnak, ezért ne próbálja meg inkább az IP-címtartományokat használni.

2.1.2. Konfigurálja a tűzfalat, hogy a többi WSUS-kiszolgáló csatlakozzon az első kiszolgálóhoz

Ha több WSUS-kiszolgálóval rendelkezik, konfigurálja a többi WSUS-kiszolgálót az első (legfelső) kiszolgáló eléréséhez. A többi WSUS-kiszolgáló ezután megkapja az összes frissítési információt a legfelső kiszolgálóról. Ez a konfiguráció lehetővé teszi a teljes hálózat kezelését a legfelső kiszolgáló WSUS felügyeleti konzoljával.

A többi WSUS-kiszolgálónak két porton keresztül kimenő hozzáféréssel kell rendelkeznie a legfelső kiszolgálóhoz. Alapértelmezés szerint ezek a portok 8530 és 8531. Ezeket a portokat módosíthatja a WSUS-kiszolgáló IIS-webkiszolgálójának konfigurálása című cikkben leírtak szerint, hogy a jelen cikk későbbi részében tLS-t használjon bizonyos kapcsolatokhoz .

Megjegyzés

Ha a WSUS-kiszolgálók közötti hálózati kapcsolat lassú vagy költséges, konfigurálhat egy vagy több másik WSUS-kiszolgálót úgy, hogy közvetlenül a Microsofttól fogadja a frissítési hasznos adatokat. Ebben az esetben a rendszer csak kis mennyiségű adatot küld ezekből a WSUS-kiszolgálókról a legfelső kiszolgálóra. A konfiguráció működéséhez a többi WSUS-kiszolgálónak hozzáféréssel kell rendelkeznie a legfelső kiszolgálóval azonos internetes tartományokhoz.

Megjegyzés

Ha nagy szervezettel rendelkezik, összekapcsolt WSUS-kiszolgálók láncait használhatja ahelyett, hogy az összes többi WSUS-kiszolgáló közvetlenül a legfelső kiszolgálóhoz csatlakozik. Létrehozhat például egy második WSUS-kiszolgálót, amely a legfelső kiszolgálóhoz csatlakozik, majd más WSUS-kiszolgálók is csatlakoznak a második WSUS-kiszolgálóhoz.

2.1.3. Szükség esetén konfigurálja a WSUS-kiszolgálókat proxykiszolgáló használatára

Ha a vállalati hálózat proxykiszolgálót használ, a proxykiszolgálóknak támogatniuk kell a HTTP- és HTTPS-protokollokat. Emellett alapszintű hitelesítést vagy Windows-hitelesítést kell használniuk. Ezeket a követelményeket az alábbi konfigurációk egyikével elégítheti ki:

  • Egyetlen proxykiszolgáló, amely két protokollcsatornát támogat. Ebben az esetben állítsa be az egyik csatornát HTTP, a másik csatornát PEDIG HTTPS használatára.

    Megjegyzés

    Beállíthat egy proxykiszolgálót, amely a WSUS mindkét protokollját kezeli a WSUS-kiszolgálószoftver telepítése során.

  • Két proxykiszolgáló, amelyek mindegyike egyetlen protokollt támogat. Ebben az esetben konfigurálja az egyik proxykiszolgálót a HTTP használatára, a másik proxykiszolgálót pedig a HTTPS használatára.

A WSUS beállítása két proxykiszolgáló használatára

  1. Jelentkezzen be a WSUS-kiszolgálóként használni kívánt számítógépre egy olyan fiókkal, amely a Helyi rendszergazdák csoport tagja.

  2. Telepítse a WSUS-kiszolgálói szerepkört. Ha a WSUS konfigurációs varázslóját használja, a WSUS konfigurálása varázslóval ismertetett módon ne adjon meg proxykiszolgálót.

  3. Nyissa meg a parancssort (Cmd.exe) rendszergazdaként:

    1. A Start menüben keresse meg a parancssort.
    2. Kattintson a jobb gombbal a parancssorra, majd válassza a Futtatás rendszergazdaként lehetőséget.
    3. Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, adja meg a megfelelő hitelesítő adatokat (ha szükséges), győződjön meg arról, hogy a megjelenő művelet a kívánt, majd válassza a Folytatás lehetőséget.

  4. A Parancssorban nyissa meg a C:\Program Files\Update Services\Tools mappát. Adja meg a következő parancsot:

    wsusutil ConfigureSSLproxy [<proxy-server proxy-port>] -enable

    Ebben a parancsban:

    • proxy_server a HTTPS-t támogató proxykiszolgáló neve.

    • proxy_port a proxykiszolgáló portszáma.

  5. Zárja be a parancssort.

Proxykiszolgáló hozzáadása a WSUS-konfigurációhoz

  1. Nyissa meg a WSUS felügyeleti konzolt.

  2. Az Update Services területen bontsa ki a kiszolgáló nevét, majd válassza a Beállítások lehetőséget.

  3. A Beállítások panelen válassza a Forrás és proxykiszolgáló frissítése lehetőséget, majd lépjen a Proxykiszolgáló lapra.

  4. Válassza a Proxykiszolgáló használata szinkronizáláskor lehetőséget, majd adja meg a proxykiszolgáló nevét és portszámát a megfelelő mezőkben. Az alapértelmezett portszám 80.

  5. Ha a proxykiszolgáló megköveteli, hogy egy adott felhasználói fiókot használjon, válassza a Felhasználói hitelesítő adatok használata lehetőséget a proxykiszolgálóhoz való csatlakozáshoz. Adja meg a szükséges felhasználónevet, tartományt és jelszót a megfelelő mezőkbe.

  6. Ha a proxykiszolgáló támogatja az alapszintű hitelesítést, válassza az Alapszintű hitelesítés engedélyezése (a jelszót a rendszer üres szövegben küldi el).

  7. Kattintson az OK gombra.

Proxykiszolgáló eltávolítása a WSUS-konfigurációból

  1. A WSUS felügyeleti konzol Update Services területén bontsa ki a kiszolgáló nevét, majd válassza a Beállítások lehetőséget.

  2. A Beállítások panelen válassza a Forrás és proxykiszolgáló frissítése lehetőséget, majd lépjen a Proxykiszolgáló lapra.

  3. Törölje a jelet a Proxykiszolgáló használata jelölőnégyzetből a szinkronizáláskor .

  4. Kattintson az OK gombra.

2.1.4. A tűzfal konfigurálása az ügyfélszámítógépek WSUS-kiszolgálóhoz való hozzáférésének engedélyezéséhez

Az ügyfélszámítógépeknek csatlakozniuk kell az egyik WSUS-kiszolgálóhoz. Minden ügyfélszámítógépnek kimenő hozzáféréssel kell rendelkeznie a WSUS-kiszolgálón lévő két porthoz. Alapértelmezés szerint ezek a portok 8530 és 8531.

2.2. A WSUS konfigurálása a WSUS konfigurációs varázslóval

A következő szakaszok eljárásai a WSUS konfigurációs varázslóval konfigurálják a WSUS-beállításokat. A WSUS konfigurációs varázslója a WSUS felügyeleti konzol első indításakor jelenik meg. A WSUS felügyeleti konzol Beállítások paneljén is konfigurálhatja a WSUS-beállításokat. A Beállítások panel használatával kapcsolatos további információkért tekintse meg a cikk más szakaszaiban található alábbi eljárásokat:

Indítsa el a varázslót, és konfigurálja a kezdeti beállításokat

  1. A Server Manager irányítópultján válassza aWindows Server Update Services>.

    Megjegyzés

    Ha megjelenik a WSUS teljes telepítése párbeszédpanel, válassza a Futtatás lehetőséget. A WSUS telepítésének befejezése párbeszédpanelen válassza a Bezárás elemet, amikor a telepítés sikeresen befejeződött.

    Megnyílik a WSUS konfigurációs varázslója.

  2. A Kezdés előtt lapon tekintse át az információkat, majd válassza a Tovább gombot.

  3. A Csatlakozás a Microsoft Update Fejlesztési programhoz lapon olvassa el az utasításokat. Tartsa meg az alapértelmezett beállítást, ha részt szeretne venni a programban, vagy törölje a jelet a jelölőnégyzetből, ha nem. Ezután válassza a Tovább lehetőséget.

A felsőbb rétegbeli és proxykiszolgáló beállításainak konfigurálása

  1. A Felsőbb rétegbeli kiszolgáló kiválasztása lapon válassza az alábbi lehetőségek egyikét:

    • Szinkronizálás a Microsoft Update-ből

    • Szinkronizálás másik Windows Server Update Services-kiszolgálóról

    Ha úgy dönt, hogy egy másik WSUS-kiszolgálóról szinkronizál, hajtsa végre a következő lépéseket:

    1. Adja meg a kiszolgáló nevét és azt a portot, amelyen a kiszolgálónak kommunikálnia kell a felsőbb rétegbeli kiszolgálóval.

    2. A TLS használatához válassza az SSL használata a frissítési adatok szinkronizálása során lehetőséget. A kiszolgálók a 443-as portot használják a szinkronizáláshoz. (Győződjön meg arról, hogy ez a kiszolgáló és a felsőbb rétegbeli kiszolgáló támogatja a TLS-t.)

    3. Ha ez a kiszolgáló replikakiszolgáló, válassza az Ez a felsőbb rétegbeli kiszolgáló replikája lehetőséget.

  2. Miután kiválasztotta az üzembe helyezési beállításokat, válassza a Tovább gombot.

  3. Ha a WSUS-nak proxykiszolgálóra van szüksége az internet eléréséhez, konfigurálja a következő proxybeállításokat. Ellenkező esetben hagyja ki ezt a lépést.

    1. A Proxykiszolgáló megadása lapon válassza a Proxykiszolgáló használata szinkronizáláskor lehetőséget. Ezután adja meg a proxykiszolgáló nevét és portszámát (alapértelmezés szerint a 80-as portot) a megfelelő mezőkben.

    2. Ha adott felhasználói hitelesítő adatokkal szeretne csatlakozni a proxykiszolgálóhoz, válassza a Felhasználói hitelesítő adatok használata lehetőséget a proxykiszolgálóhoz való csatlakozáshoz. Ezután adja meg a felhasználó felhasználónevét, tartományát és jelszavát a megfelelő mezőkben.

      Ha engedélyezni szeretné az alapszintű hitelesítést a proxykiszolgálóhoz csatlakozó felhasználó számára, válassza az Alapszintű hitelesítés engedélyezése (a jelszó üres szövegben lesz elküldve) lehetőséget.

  4. Válassza a Következőlehetőséget.

  5. A Csatlakozás a felsőbb rétegbeli kiszolgálóhoz lapon válassza a Csatlakozás indítása lehetőséget.

  6. Amikor a WSUS csatlakozik a kiszolgálóhoz, válassza a Tovább gombot.

Nyelvek, termékek és besorolások kiválasztása

  1. A Nyelvek kiválasztása lapon kiválaszthatja azokat a nyelveket, amelyekről a WSUS frissítéseket kap: az összes nyelv vagy a nyelvek egy részhalmaza. A nyelvek egy részhalmazának kiválasztása lemezterületet takarít meg, de fontos kijelölni azokat a nyelveket, amelyekre a WSUS-kiszolgáló összes ügyfélprogramjának szüksége van.

    Ha úgy dönt, hogy csak bizonyos nyelvekhez szeretne frissítéseket beszerezni, válassza a Frissítések letöltése csak ezeken a nyelveken lehetőséget, majd válassza ki azokat a nyelveket, amelyekhez frissítéseket szeretne kapni. Ellenkező esetben hagyja meg az alapértelmezett beállítást.

    Figyelmeztetés

    Ha csak ezekben a nyelvekben választja ki a Frissítések letöltése lehetőséget, és ehhez a kiszolgálóhoz egy alsóbb rétegbeli WSUS-kiszolgáló csatlakozik, ez a beállítás arra kényszeríti az alsóbb rétegbeli kiszolgálót, hogy csak a kijelölt nyelveket használja.

  2. Válassza a Következőlehetőséget.

  3. A Termékek kiválasztása lapon adja meg azokat a termékeket, amelyekhez frissítéseket szeretne kapni. Válassza ki a termékkategóriákat, például a Windowst vagy az adott termékeket, például a Windows Server 2019-et. Ha kiválaszt egy termékkategóriát, az adott kategóriában szereplő összes terméket kiválasztja.

  4. Válassza a Következőlehetőséget.

  5. A Besorolások kiválasztása lapon válassza ki a lekérni kívánt frissítési besorolásokat. Jelölje ki az összes besorolást vagy azok egy részét, majd kattintson a Tovább gombra.

A szinkronizálás ütemezésének konfigurálása

  1. A Szinkronizálás ütemezésének beállítása lapon válassza ki, hogy manuálisan vagy automatikusan szeretné-e végrehajtani a szinkronizálást.

    • Ha manuálisan választja a Szinkronizálás lehetőséget, a szinkronizálási folyamatot a WSUS felügyeleti konzoljáról kell elindítania.

    • Ha az Automatikus szinkronizálás lehetőséget választja, a WSUS-kiszolgáló megadott időközönként szinkronizálódik.

      Első szinkronizálás esetén adja meg az időpontot, majd adja meg, hogy hány szinkronizálást hajtson végre a kiszolgáló naponta. Ha például napi négy szinkronizálást ad meg 3:00-tól kezdve, a szinkronizálások 3:00, 9:00, 15:00 és 21:00 időpontban történnek.

  2. Válassza a Következőlehetőséget.

A varázsló befejezése

  1. Ha azonnal el szeretné indítani a szinkronizálást a Kész lapon, válassza a Kezdeti szinkronizálás indítása lehetőséget. Ha nem választja ezt a beállítást, a kezdeti szinkronizálás végrehajtásához a WSUS felügyeleti konzolt kell használnia.

  2. Ha szeretne többet megtudni a többi beállításról, válassza a Tovább gombot. Ellenkező esetben a Befejezés gombra kattintva zárja be a varázslót, és fejezze be a kezdeti WSUS-beállítást.

A Befejezés lehetőség kiválasztása után megjelenik a WSUS felügyeleti konzolja. Ezzel a konzollal kezelheti WSUS-hálózatát a cikk későbbi szakaszaiban leírtak szerint.

2.3. A WSUS biztonságossá tétele a TLS protokollal

A WSUS-hálózat biztonságossá tételéhez a TLS protokollt kell használnia. A WSUS a TLS használatával hitelesítheti a kapcsolatokat, és titkosíthatja és védheti a frissítési információkat.

Figyelmeztetés

A WSUS biztonságossá tétele a TLS protokoll használatával fontos a hálózat biztonsága szempontjából. Ha a WSUS-kiszolgáló nem megfelelően használja a TLS-t a kapcsolatai védelmére, a támadó módosíthatja a fontos frissítési információkat, amikor az egyik WSUS-kiszolgálóról egy másikra, vagy a WSUS-kiszolgálóról az ügyfélszámítógépekre küldi. Ebben az esetben a támadó rosszindulatú szoftvereket telepíthet az ügyfélszámítógépekre.

Fontos

A TLS vagy HTTPS használatára konfigurált ügyfeleket és alsóbb rétegbeli kiszolgálókat is úgy kell konfigurálni, hogy teljes tartománynevet (FQDN) használjanak a felsőbb rétegbeli WSUS-kiszolgálójukhoz.

2.3.1. TLS/HTTPS engedélyezése a WSUS-kiszolgáló IIS-szolgáltatásában a TLS/HTTPS használatára

A TLS/HTTPS használatának megkezdéséhez engedélyeznie kell a TLS-támogatást a WSUS-kiszolgáló Internet Information Services (IIS) szolgáltatásában. Ez a művelet magában foglalja egy TLS/Secure Sockets Layer (SSL) tanúsítvány létrehozását a kiszolgáló számára.

A TLS/SSL-tanúsítvány kiszolgálóhoz való beszerzéséhez szükséges lépések túlmutatnak a jelen cikk hatókörén, és a hálózati konfigurációtól függenek. A tanúsítványok telepítésével és a környezet beállításával kapcsolatos további információkért és utasításokért tekintse meg az Active Directory Tanúsítványszolgáltatások dokumentációját.

2.3.2. A WSUS-kiszolgáló IIS-webkiszolgálójának konfigurálása TLS használatára egyes kapcsolatokhoz

A WSUS két portot igényel a többi WSUS-kiszolgálóhoz és az ügyfélszámítógépekhez való csatlakozáshoz. Egy port TLS/HTTPS használatával küldi el a frissítés metaadatait (a frissítésekről fontos információkat). Erre a célra alapértelmezés szerint a 8531-s portot használja a rendszer. A második port HTTP-t használ a frissítési csomagok küldéséhez. Erre a célra alapértelmezés szerint a 8530-at használja a rendszer.

Fontos

A teljes WSUS-webhely nem konfigurálható TLS-hez. A WSUS csak a frissítési metaadatok titkosítására szolgál. A Windows Update ugyanúgy terjeszti a frissítéseket.

Az illetéktelen támadók elleni védekezés érdekében, akik a frissítési csomagokat manipulálni próbálják, minden frissítési csomagot egy meghatározott megbízható aláíró tanúsítványkészlettel írnak alá. Emellett a rendszer minden frissítés hasznos adatához titkosítási kivonatot is kiszámít. A rendszer a kivonatot a biztonságos HTTPS-metaadat-kapcsolaton keresztül továbbítja az ügyfélszámítógépnek, valamint a frissítés egyéb metaadatait. A frissítés letöltésekor az ügyfélszoftver ellenőrzi a frissítési terhelés digitális aláírását és kivonatát. Ha a frissítés módosult, nincs telepítve.

Csak a következő IIS virtuális gyökerekhez kell TLS-t igényelnie:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

A következő virtuális gyökerekhez nem kell TLS-t igényelnie:

  • Tartalom

  • Leltár

  • ReportingWebService

  • Önkiszolgáló

A hitelesítésszolgáltató tanúsítványát importálni kell a WSUS-kiszolgáló megbízható legfelső szintű hitelesítésszolgáltatói tárolójába a helyi számítógéphez, vagy ha létezik, a WSUS megbízható legfelső szintű hitelesítésszolgáltatói tárolójába.

A TLS/SSL-tanúsítványok IIS-ben való használatáról további információt az SSL beállítása az IIS 7-ben vagy újabb verzióiban című témakörben talál.

Fontos

A tanúsítványtárolót a helyi számítógéphez kell használnia. Nem használhatja a felhasználó tanúsítványtárolóját.

Általában úgy kell konfigurálnia az IIS-t, hogy a 8531-s portot használja HTTPS-kapcsolatokhoz, a HTTP-kapcsolatokhoz pedig a 8530-at. Ha módosítja ezeket a portokat, két szomszédos portszámot kell használnia. Az a portszám, amelyet a HTTP-kapcsolatokhoz használnak, pontosan 1-gyel kisebb kell legyen, mint a HTTPS-kapcsolatokhoz használt portszám.

Ha a kiszolgáló neve, TLS-konfigurációja vagy portszáma megváltozik, újra kell újrainicializálnia az ClientServicingProxy ügyfélproxyt.

2.3.3. A WSUS konfigurálása a TLS/SSL aláíró tanúsítvány használatára az ügyfélkapcsolataihoz

  1. Jelentkezzen be a WSUS-kiszolgálóra egy olyan fiókkal, amely tagja a WSUS-rendszergazdák csoportnak vagy a Helyi rendszergazdák csoportnak.

  2. A Start menüben írja be a CMD parancsot, kattintson a jobb gombbal a parancssorra, majd válassza a Futtatás rendszergazdaként lehetőséget.

  3. Nyissa meg a C:\Program Files\Update Services\Tools mappát.

  4. A Parancssorban adja meg a következő parancsot:

    wsusutil configuressl <certificate-name>

    Ebben a parancsban a tanúsítványnév a WSUS-kiszolgáló tartománynévrendszerének (DNS) neve.

2.3.4. Szükség esetén gondoskodjon az SQL Server-kapcsolat védelméről

Ha távoli SQL Server-adatbázissal használja a WSUS-t, a WSUS-kiszolgáló és az adatbázis-kiszolgáló közötti kapcsolat nem lesz biztonságos a TLS-en keresztül. Ez a helyzet potenciális támadási vektort hoz létre. A kapcsolat védelme érdekében vegye figyelembe az alábbi javaslatokat:

  • Helyezze át a WSUS-adatbázist a WSUS-kiszolgálóra.

  • Helyezze át a távoli adatbázis-kiszolgálót és a WSUS-kiszolgálót egy magánhálózatra.

  • Az Internet Protocol biztonságának (IPsec) üzembe helyezése a hálózati forgalom biztonságossá tételéhez. További információ az IPsec-ről: IPsec-szabályzatok létrehozása és használata.

2.3.5. Kódaláíró tanúsítvány létrehozása helyi közzétételhez, ha szükséges

A Microsoft által biztosított frissítések terjesztése mellett a WSUS támogatja a helyi közzétételt. A helyi közzététel segítségével olyan frissítéseket hozhat létre és terjeszthet, amelyeket saját maga tervezett, saját hasznos adatokkal és viselkedésekkel.

A helyi közzététel engedélyezése és konfigurálása meghaladja a jelen cikk hatókörét. További részletekért lásd: Helyi közzététel.

Fontos

A helyi közzététel bonyolult folyamat, és gyakran nincs szükség rá. Mielőtt úgy dönt, hogy engedélyezi a helyi közzétételt, alaposan tekintse át a dokumentációt, és gondolja át, hogy szeretné-e használni ezt a funkciót, és hogyan használhatja azt.

2.4. WSUS-számítógépcsoportok konfigurálása

A számítógépcsoportok a WSUS hatékony használatának fontos részét képezik. Számítógépcsoportokkal tesztelheti és célba vehet frissítéseket adott számítógépeken. Két alapértelmezett számítógépcsoport létezik: minden számítógép és nem hozzárendelt számítógép. Alapértelmezés szerint, amikor minden ügyfélszámítógép először kapcsolatba lép a WSUS-kiszolgálóval, a kiszolgáló mindkét csoporthoz hozzáadja az ügyfélszámítógépet.

Annyi egyéni számítógépcsoportot hozhat létre, amennyi a szervezet frissítéseit kezelnie kell. Ajánlott eljárásként hozzon létre legalább egy számítógépcsoportot a frissítések teszteléséhez, mielőtt üzembe helyezené őket a szervezet más számítógépein.

2.4.1. Válasszon egy módszert az ügyfélszámítógépek számítógépcsoportokhoz való hozzárendeléséhez

Az ügyfélszámítógépek számítógépcsoportokhoz való hozzárendelésének két módszere van. A szervezet megfelelő megközelítése attól függ, hogy általában hogyan kezeli az ügyfélszámítógépeket.

  • Kiszolgálóoldali célzás: Ez a módszer az alapértelmezett. Ebben a megközelítésben az ügyfélszámítógépeket számítógépcsoportokhoz rendeli a WSUS felügyeleti konzoljával.

    Ezzel a módszerrel gyorsan áthelyezheti az ügyfélszámítógépeket az egyik csoportból a másikba a körülmények változásakor. Ennek eredményeképpen azonban manuálisan kell áthelyeznie az új ügyfélszámítógépeket a Nem hozzárendelt számítógépek csoportból a megfelelő számítógépcsoportba.

  • Ügyféloldali célzás: Ebben a megközelítésben az egyes ügyfélszámítógépeket számítógépcsoportokhoz rendeli az ügyfélszámítógépen beállított házirend-beállítások használatával.

    Ez a módszer megkönnyíti az új ügyfélszámítógépek hozzárendelését a megfelelő csoportokhoz. Ennek részeként konfigurálja az ügyfélszámítógépet, hogy frissítéseket fogadjon a WSUS-kiszolgálótól. Ennek eredményeképpen azonban nem rendelhet hozzá ügyfélszámítógépeket számítógépcsoportokhoz, és nem helyezheti át őket egyik számítógépcsoportból a másikba a WSUS felügyeleti konzolon keresztül. Ehelyett módosítania kell az ügyfélszámítógépek beállításait.

2.4.2. Ügyféloldali célzás engedélyezése, ha szükséges

Fontos

Ha kiszolgálóoldali célzást szeretne használni, hagyja ki a szakasz lépéseit.

  1. A WSUS felügyeleti konzol Update Services területén bontsa ki a WSUS-kiszolgálót, majd válassza a Beállítások lehetőséget.

  2. A Beállítások panelen válassza a Számítógépek lehetőséget. Lépjen az Általános lapra, és válassza a Csoportházirend vagy beállításjegyzék beállításainak használata a számítógépeken lehetőséget.

2.4.3. A kívánt számítógépcsoportok létrehozása

Megjegyzés

Számítógépcsoportokat a WSUS felügyeleti konzoljával kell létrehoznia, akár kiszolgálóoldali célzást, akár ügyféloldali célzást használ az ügyfélszámítógépek számítógépcsoportokhoz való hozzáadásához.

  1. A WSUS felügyeleti konzol Frissítési szolgáltatások területén bontsa ki a WSUS-kiszolgálót, bontsa ki a Számítógépek elemet, kattintson a jobb gombbal a Minden számítógép elemre, majd válassza a Számítógépcsoport hozzáadása lehetőséget.

  2. A Számítógépcsoport hozzáadása párbeszédpanel Név elemében adja meg az új csoport nevét. Ezután válassza a Hozzáadás lehetőséget.

2.5. Ügyfélszámítógépek konfigurálása TLS-kapcsolatok létesítésére a WSUS-kiszolgálóval

Feltételezve, hogy a WSUS-kiszolgálót úgy konfigurálja, hogy a TLS használatával védje az ügyfélszámítógépek kapcsolatait, konfigurálnia kell az ügyfélszámítógépeket, hogy megbízhatók legyenek ezek a TLS-kapcsolatok.

A WSUS-kiszolgáló TLS/SSL-tanúsítványát importálni kell az ügyfélszámítógépek megbízható legfelső szintű hitelesítésszolgáltatói tárolójába, vagy ha létezik, az ügyfélszámítógépek automatikus frissítési szolgáltatásának megbízható legfelső szintű hitelesítésszolgáltatói tárolójába.

Fontos

A tanúsítványtárolót a helyi számítógéphez kell használnia. Nem használhatja a felhasználó tanúsítványtárolóját.

A kliensszámítógépeknek meg kell bízniuk a WSUS-kiszolgálóhoz kötött tanúsítványban. A használt tanúsítvány típusától függően előfordulhat, hogy olyan szolgáltatást kell beállítania, amely lehetővé teszi, hogy az ügyfélszámítógépek megbízzanak a WSUS-kiszolgálóhoz kötött tanúsítványban.

Ha helyi közzétételt használ, az ügyfélszámítógépeket is konfigurálnia kell, hogy megbízzanak a WSUS-kiszolgáló kódaláíró tanúsítványában. Útmutatásért tekintse meg a helyi közzétételt.

2.6. Ügyfélszámítógépek konfigurálása frissítések fogadására a WSUS-kiszolgálóról

Alapértelmezés szerint az ügyfélszámítógépek frissítéseket kapnak a Windows Update-ből. Ezeket úgy kell konfigurálni, hogy inkább a WSUS-kiszolgálótól fogadják a frissítéseket.

Fontos

Ez a cikk az ügyfélszámítógépek csoportházirend használatával történő konfigurálásának lépéseit mutatja be. Ezek a lépések számos esetben megfelelőek. A frissítési viselkedés ügyfélszámítógépeken való konfigurálására azonban számos egyéb lehetőség is rendelkezésre áll, beleértve a mobileszköz-felügyelet használatát is. A beállításokkal kapcsolatos dokumentációt a További Windows Update-beállítások kezelése című témakörben találja.

2.6.1. A szerkeszteni kívánt szabályzatok megfelelő halmazának kiválasztása

Ha az Active Directory be van állítva a hálózatban, konfigurálhat egyszerre egy vagy több számítógépet úgy, hogy be van állítva egy csoportházirend-objektumba (GPO), majd konfigurálja ezt a csoportházirend-objektumot WSUS-beállításokkal.

Javasoljuk, hogy hozzon létre egy új csoportházirendet, amely csak WSUS-beállításokat tartalmaz. Csatolja ezt a WSUS-csoportházirend-objektumot egy, a környezetének megfelelő Active Directory-tárolóhoz.

Egyszerű környezetben egyetlen WSUS GPO-t csatolhat a tartományhoz. Összetettebb környezetben több WSUS GPU-t is összekapcsolhat több szervezeti egységsel (OU- val). Ha csoportházirend-objektumokat kapcsol a szervezeti egységekhez, a WSUS-házirend beállításait különböző típusú számítógépekre alkalmazhatja.

Ha nem használja az Active Directoryt a hálózaton, minden számítógépet konfigurálnia kell a Helyi csoportházirend-szerkesztővel.

2.6.2. Szabályzatok szerkesztése az ügyfélszámítógépek konfigurálásához

Az ügyfélszámítógépek házirend-beállítások használatával történő konfigurálásához hajtsa végre az alábbi szakaszok lépéseit.

Megjegyzés

Ezek az utasítások feltételezik, hogy a szabályzatszerkesztő eszközök legújabb verzióit használja. Az eszközök régebbi verzióiban előfordulhat, hogy a szabályzatok eltérően vannak elrendezve.

Nyissa meg a szabályzatszerkesztőt, és nyissa meg a Windows Update elemet

  1. Nyissa meg a megfelelő szabályzatobjektumot:

    • Ha Active Directoryt használ, nyissa meg a csoportházirend-kezelési konzolt, nyissa meg azt a csoportházirend-objektumot, amelyen konfigurálni szeretné a WSUS-t, és válassza a Szerkesztés lehetőséget. Ezután bontsa ki a Számítógép konfigurációja, majd a Szabályzatok elemet.
    • Ha nem az Active Directoryt használja, nyissa meg a Helyi csoportházirend-szerkesztőt. Megjelenik a helyi számítógép-házirend. Nyissa meg Számítógép-konfiguráció.

  2. Az előző lépésben kibontott objektumban bontsa ki a Felügyeleti sablonok>Windows-összetevők> elemét. Ha az operációs rendszere Windows 10 vagy Windows 11, válassza a Végfelhasználói élmény kezelése lehetőséget is.

Az automatikus frissítések beállításának szerkesztése

  1. A részletek panelen kattintson duplán az Automatikus frissítések konfigurálása elemre. Megnyílik az Automatikus frissítések konfigurálása házirend.

  2. Válassza az Engedélyezve lehetőséget, majd az Automatikus frissítés konfigurálása beállítás alatt válassza ki a kívánt beállítást annak kezeléséhez, hogy az automatikus frissítési funkció hogyan töltse le és telepítse a jóváhagyott frissítéseket.

    Javasoljuk, hogy használja az automatikus letöltést, és ütemezze a telepítési beállítást. Biztosítja, hogy a WSUS-ban jóváhagyott frissítések letöltése és telepítése időben, felhasználói beavatkozás nélkül történik.

  3. Ha szükséges, szerkessze a szabályzat egyéb részeit. További információ: További Windows Update-beállítások kezelése.

    Megjegyzés

    Más Microsoft-termékek frissítéseinek telepítése nincs hatással a WSUS-ból frissítéseket fogadó ügyfélszámítógépekre. Az ügyfélszámítógépek minden hozzájuk jóváhagyott frissítést megkapnak a WSUS-kiszolgálón.

  4. Az OK gombra kattintva zárja be az Automatikus frissítések konfigurálása házirendet .

Az intranetes kiszolgáló frissítéseinek üzemeltetésére szolgáló beállításának szerkesztése

  1. A részletek panelen kattintson duplán az intranetes Microsoft frissítési szolgáltatás helyének megadása elemre. Ha az operációs rendszere Windows 10 vagy Windows 11, először lépjen vissza a fa Windows Update csomópontjára, majd válassza a Windows Server Update Service által kínált frissítések kezelése lehetőséget.

    Megnyílik az Intranetes Microsoft frissítési szolgáltatás helyszolgáltatási szabályzata.

  2. Válassza az Engedélyezve lehetőséget, majd adja meg a WSUS-kiszolgáló URL-címét az intranetes frissítési szolgáltatás beállítása a frissítések észleléséhez és az intranetes statisztikai kiszolgáló mezőinek beállítása mezőben.

    Figyelmeztetés

    Ügyeljen arra, hogy a megfelelő port szerepeljen az URL-címben. Feltételezve, hogy a kiszolgálót úgy konfigurálja, hogy az ajánlott módon használja a TLS-t, meg kell adnia a HTTPS-hez konfigurált portot. Ha például a 8531-s portot használja HTTPS-hez, és a kiszolgáló tartományneve wsus.contoso.com, mindkét mezőbe be kell írnia https://wsus.contoso.com:8531 .

  3. Válassza az OK gombot az intranetes Microsoft frissítési szolgáltatás helyének szabályzatának bezárásához.

Ügyféloldali célzás konfigurálása, ha szükséges

Ha az ügyféloldali célzást választja, az ebben a szakaszban ismertetett lépésekkel adja meg a konfigurálni kívánt ügyfélszámítógépek megfelelő számítógépcsoportját.

Megjegyzés

Ezek a lépések feltételezik, hogy most végezte el a házirendek szerkesztésének lépéseit az ügyfélszámítógépek konfigurálásához.

  1. A szabályzatszerkesztőben nyissa meg a Windows Update elemet. Ha az operációs rendszere Windows 10 vagy Windows 11, válassza a Windows Server Update Service által kínált frissítések kezelése lehetőséget is.

  2. A részletek panelen kattintson duplán az ügyféloldali célzás engedélyezése elemre. Az ügyféloldali célzás engedélyezési szabályzat megnyílik.

  3. Válassza az Engedélyezve lehetőséget. A számítógép Célcsoport neve csoportjában adja meg annak a WSUS-számítógépcsoportnak a nevét, amelyhez hozzá szeretné adni az ügyfélszámítógépeket.

    Ha a WSUS aktuális verzióját futtatja, az ügyfélszámítógépeket több számítógépcsoporthoz is hozzáadhatja a csoportnevek pontosvesszővel elválasztott megadásával. Beírhatja például a Könyvelést; Ügyvezető az ügyfélszámítógépek könyvelési és vezetői számítógépcsoportokhoz való hozzáadásához.

  4. Az OK gombra kattintva zárja be az ügyféloldali célzási szabályzatot .

2.6.3. Az ügyfélszámítógép csatlakoztatása a WSUS-kiszolgálóhoz

Az ügyfélszámítógépek csak akkor jelennek meg a WSUS felügyeleti konzolon, ha először csatlakoznak a WSUS-kiszolgálóhoz.

  1. Várja meg, amíg a házirend módosításai érvénybe lépnek az ügyfélszámítógépen.

    Ha Active Directory-alapú csoportházirend-objektumot használ az ügyfélszámítógépek konfigurálásához, időbe telik, amíg a csoportházirend-frissítési mechanizmus végrehajtja a módosításokat egy ügyfélszámítógépen. Ha fel szeretné gyorsítani ezt a folyamatot, megnyithatja a parancssort emelt szintű jogosultságokkal, majd beírhatja a gpupdate /force parancsot.

    Ha a Helyi csoportházirend-szerkesztő használatával konfigurálja az egyes ügyfélszámítógépeket, a módosítások azonnal érvénybe lépnek.

  2. Indítsa újra az ügyfélszámítógépet. Ez a lépés gondoskodik arról, hogy a windowsos frissítési szoftver észlelje a házirend módosításait.

  3. Hagyja, hogy az ügyfélszámítógép frissítéseket keressen. Ez a vizsgálat általában egy kis időt vesz igénybe.

    A folyamat felgyorsításához használja az alábbi lehetőségek egyikét:

    • Windows 10 vagy 11 rendszeren a Beállítások alkalmazás Windows Update lapján manuálisan ellenőrizheti a frissítéseket.
    • A Windows Windows 10 előtti verzióiban a Vezérlőpult Windows Update ikonjával manuálisan ellenőrizheti a frissítéseket.
    • A Windows 10 előtti windowsos verziókban nyissa meg a parancssort emelt szintű jogosultságokkal, és írja be a wuauclt /detectnow parancsot.

2.6.4 Az ügyfélszámítógép sikeres kapcsolatának ellenőrzése a WSUS-kiszolgálóval

Ha az összes előző lépést sikeresen végrehajtotta, az alábbi eredmények láthatók:

  • Az ügyfélszámítógép sikeresen megkeresi a frissítéseket. (Előfordulhat, hogy nem talál megfelelő frissítéseket a letöltéshez és a telepítéshez.)

  • Körülbelül 20 percen belül az ügyfélszámítógép megjelenik a WSUS felügyeleti konzolon megjelenített számítógépek listájában a célzás típusa alapján:

    • Ha kiszolgálóoldali célzást használ, az ügyfélszámítógép megjelenik a Minden számítógép és a Nem hozzárendelt számítógépek számítógépcsoportban.

    • Ha ügyféloldali célzást használ, az ügyfélszámítógép megjelenik a Minden számítógép számítógép csoportban és abban a számítógépcsoportban, amelyet az ügyfélszámítógép konfigurálásakor választott.

2.6.5. Az ügyfélszámítógép kiszolgálóoldali célzásának beállítása, ha szükséges

Ha kiszolgálóoldali célzást használ, most vegye fel az új ügyfélszámítógépet a megfelelő számítógépcsoportokba.

  1. A WSUS felügyeleti konzolján keresse meg az új ügyfélszámítógépet. A WSUS-kiszolgáló számítógéplistájában meg kell jelennie az Összes számítógép és a Nem hozzárendelt számítógépek számítógépcsoportban.

  2. Kattintson a jobb gombbal az ügyfélszámítógépre, és válassza a Tagság módosítása lehetőséget.

  3. A párbeszédpanelen válassza ki a megfelelő számítógépcsoportokat, majd kattintson az OK gombra.

Következő lépés

3. lépés: Frissítések jóváhagyása és üzembe helyezése