Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Miután telepítette a Windows Server Update Services (WSUS) kiszolgálói szerepkört a kiszolgálón, megfelelően kell konfigurálnia. Emellett konfigurálnia kell az ügyfélszámítógépeket, hogy a WSUS-kiszolgálótól fogadják a frissítéseket.
2.1. Hálózati kapcsolatok konfigurálása
A konfigurációs folyamat megkezdése előtt győződjön meg arról, hogy ismeri a következő kérdésekre adott válaszokat:
A kiszolgáló tűzfala úgy van konfigurálva, hogy az ügyfelek elérhessék a kiszolgálót?
Csatlakozhat ez a számítógép a felsőbb rétegbeli kiszolgálóhoz (a Microsoft Update frissítéseinek letöltésére kijelölt kiszolgálóhoz)?
Rendelkezik a proxykiszolgáló nevével és a proxykiszolgáló felhasználói hitelesítő adataival, ha szüksége van rájuk?
Ezután megkezdheti a következő WSUS hálózati beállítások konfigurálását:
Frissítések: Adja meg, hogy a kiszolgáló hogyan kérje le a frissítéseket (a Microsoft Update-ből vagy egy másik WSUS-kiszolgálóról).
Proxy: Ha megállapítja, hogy a WSUS-nak proxykiszolgálót kell használnia az internet-hozzáféréshez, konfigurálja a proxybeállításokat a WSUS-kiszolgálón.
Tűzfal: Ha azt állapítja meg, hogy a WSUS egy vállalati tűzfal mögött található, további lépéseket kell tennie a peremeszközön a WSUS-forgalom engedélyezéséhez.
Fontos
Ha csak egy WSUS-kiszolgálóval rendelkezik, annak internet-hozzáféréssel kell rendelkeznie, mert a Microsofttól kell letöltenie a frissítéseket. Ha több WSUS-kiszolgálóval rendelkezik, csak egy kiszolgálónak van szüksége internet-hozzáférésre. A többieknek csak hálózati hozzáférésre van szükségük az internethez csatlakoztatott WSUS-kiszolgálóhoz. Az ügyfélszámítógépek nem igényelnek internetkapcsolatot. Csak hálózati hozzáférésre van szükségük egy WSUS-kiszolgálóhoz.
Jótanács
Ha a hálózat teljesen elszigetelt—ha egyáltalán nem fér hozzá az internethez—akkor is használhatja a WSUS-t, hogy frissítéseket biztosítson a hálózaton lévő ügyfélszámítógépeknek. Ehhez a megközelítéshez két WSUS-kiszolgáló szükséges. Egy internetes hozzáféréssel rendelkező WSUS-kiszolgáló összegyűjti a Frissítéseket a Microsofttól. A védett hálózaton található második WSUS-kiszolgáló az ügyfélszámítógépek frissítéseit szolgálja ki. A frissítéseket az első kiszolgálóról a cserélhető adathordozóra exportálják, a légrésen át viszik, és a második kiszolgálóra importálják. Ez a konfiguráció fejlett, és meghaladja a jelen cikk hatókörét.
2.1.1. A tűzfal konfigurálása az első WSUS-kiszolgáló internetes Microsoft-tartományokhoz való csatlakozásának engedélyezéséhez
Ha a vállalati tűzfal a WSUS és az internet között van, előfordulhat, hogy konfigurálnia kell ezt a tűzfalat, hogy a WSUS megkapja a frissítéseket. A Microsoft Update frissítéseinek lekéréséhez a WSUS-kiszolgáló a 80-es és a 443-es portot használja a HTTP- és HTTPS-protokollokhoz. Bár a legtöbb vállalati tűzfal engedélyezi az ilyen típusú forgalmat, egyes vállalatok biztonsági szabályzatok miatt korlátozzák a kiszolgálók internet-hozzáférését. Ha a vállalat korlátozza a hozzáférést, konfigurálnia kell a tűzfalat, hogy a WSUS-kiszolgáló hozzáférhessen a Microsoft-tartományokhoz.
Az első WSUS-kiszolgálónak kimenő hozzáféréssel kell rendelkeznie a 80-es és a 443-es porthoz a következő tartományokban:
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
https://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
http://go.microsoft.com
http://dl.delivery.mp.microsoft.com
https://dl.delivery.mp.microsoft.com
http://*.delivery.mp.microsoft.com
https://*.delivery.mp.microsoft.com
Ha Olyan Microsoft 365-frissítéseket kezel, amelyekhez a Microsoft Configuration Manager szükséges, tekintse meg a Microsoft 365-alkalmazások frissítéseinek kezelése a Microsoft Configuration Managerrel című témakört az engedélyezni kívánt tartományokról.
Fontos
A tűzfalat úgy kell konfigurálnia, hogy az első WSUS-kiszolgáló hozzáférhessen a tartományon belüli URL-címekhez. Az ezekhez a tartományokhoz társított IP-címek folyamatosan változnak, ezért ne próbálja meg inkább az IP-címtartományokat használni.
2.1.2. Konfigurálja a tűzfalat, hogy a többi WSUS-kiszolgáló csatlakozzon az első kiszolgálóhoz
Ha több WSUS-kiszolgálóval rendelkezik, konfigurálja a többi WSUS-kiszolgálót az első (legfelső) kiszolgáló eléréséhez. A többi WSUS-kiszolgáló ezután megkapja az összes frissítési információt a legfelső kiszolgálóról. Ez a konfiguráció lehetővé teszi a teljes hálózat kezelését a legfelső kiszolgáló WSUS felügyeleti konzoljával.
A többi WSUS-kiszolgálónak két porton keresztül kimenő hozzáféréssel kell rendelkeznie a legfelső kiszolgálóhoz. Alapértelmezés szerint ezek a portok 8530 és 8531. Ezeket a portokat módosíthatja a WSUS-kiszolgáló IIS-webkiszolgálójának konfigurálása című cikkben leírtak szerint, hogy a jelen cikk későbbi részében tLS-t használjon bizonyos kapcsolatokhoz .
Megjegyzés
Ha a WSUS-kiszolgálók közötti hálózati kapcsolat lassú vagy költséges, konfigurálhat egy vagy több másik WSUS-kiszolgálót úgy, hogy közvetlenül a Microsofttól fogadja a frissítési hasznos adatokat. Ebben az esetben a rendszer csak kis mennyiségű adatot küld ezekből a WSUS-kiszolgálókról a legfelső kiszolgálóra. A konfiguráció működéséhez a többi WSUS-kiszolgálónak hozzáféréssel kell rendelkeznie a legfelső kiszolgálóval azonos internetes tartományokhoz.
Megjegyzés
Ha nagy szervezettel rendelkezik, összekapcsolt WSUS-kiszolgálók láncait használhatja ahelyett, hogy az összes többi WSUS-kiszolgáló közvetlenül a legfelső kiszolgálóhoz csatlakozik. Létrehozhat például egy második WSUS-kiszolgálót, amely a legfelső kiszolgálóhoz csatlakozik, majd más WSUS-kiszolgálók is csatlakoznak a második WSUS-kiszolgálóhoz.
2.1.3. Szükség esetén konfigurálja a WSUS-kiszolgálókat proxykiszolgáló használatára
Ha a vállalati hálózat proxykiszolgálót használ, a proxykiszolgálóknak támogatniuk kell a HTTP- és HTTPS-protokollokat. Emellett alapszintű hitelesítést vagy Windows-hitelesítést kell használniuk. Ezeket a követelményeket az alábbi konfigurációk egyikével elégítheti ki:
Egyetlen proxykiszolgáló, amely két protokollcsatornát támogat. Ebben az esetben állítsa be az egyik csatornát HTTP, a másik csatornát PEDIG HTTPS használatára.
Megjegyzés
Beállíthat egy proxykiszolgálót, amely a WSUS mindkét protokollját kezeli a WSUS-kiszolgálószoftver telepítése során.
Két proxykiszolgáló, amelyek mindegyike egyetlen protokollt támogat. Ebben az esetben konfigurálja az egyik proxykiszolgálót a HTTP használatára, a másik proxykiszolgálót pedig a HTTPS használatára.
A WSUS beállítása két proxykiszolgáló használatára
Jelentkezzen be a WSUS-kiszolgálóként használni kívánt számítógépre egy olyan fiókkal, amely a Helyi rendszergazdák csoport tagja.
Telepítse a WSUS-kiszolgálói szerepkört. Ha a WSUS konfigurációs varázslóját használja, a WSUS konfigurálása varázslóval ismertetett módon ne adjon meg proxykiszolgálót.
Nyissa meg a parancssort (Cmd.exe) rendszergazdaként:
- A Start menüben keresse meg a parancssort.
- Kattintson a jobb gombbal a parancssorra, majd válassza a Futtatás rendszergazdaként lehetőséget.
- Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, adja meg a megfelelő hitelesítő adatokat (ha szükséges), győződjön meg arról, hogy a megjelenő művelet a kívánt, majd válassza a Folytatás lehetőséget.
A Parancssorban nyissa meg a C:\Program Files\Update Services\Tools mappát. Adja meg a következő parancsot:
wsusutil ConfigureSSLproxy [<proxy-server proxy-port>] -enable
Ebben a parancsban:
proxy_server a HTTPS-t támogató proxykiszolgáló neve.
proxy_port a proxykiszolgáló portszáma.
Zárja be a parancssort.
Proxykiszolgáló hozzáadása a WSUS-konfigurációhoz
Nyissa meg a WSUS felügyeleti konzolt.
Az Update Services területen bontsa ki a kiszolgáló nevét, majd válassza a Beállítások lehetőséget.
A Beállítások panelen válassza a Forrás és proxykiszolgáló frissítése lehetőséget, majd lépjen a Proxykiszolgáló lapra.
Válassza a Proxykiszolgáló használata szinkronizáláskor lehetőséget, majd adja meg a proxykiszolgáló nevét és portszámát a megfelelő mezőkben. Az alapértelmezett portszám 80.
Ha a proxykiszolgáló megköveteli, hogy egy adott felhasználói fiókot használjon, válassza a Felhasználói hitelesítő adatok használata lehetőséget a proxykiszolgálóhoz való csatlakozáshoz. Adja meg a szükséges felhasználónevet, tartományt és jelszót a megfelelő mezőkbe.
Ha a proxykiszolgáló támogatja az alapszintű hitelesítést, válassza az Alapszintű hitelesítés engedélyezése (a jelszót a rendszer üres szövegben küldi el).
Kattintson az OK gombra.
Proxykiszolgáló eltávolítása a WSUS-konfigurációból
A WSUS felügyeleti konzol Update Services területén bontsa ki a kiszolgáló nevét, majd válassza a Beállítások lehetőséget.
A Beállítások panelen válassza a Forrás és proxykiszolgáló frissítése lehetőséget, majd lépjen a Proxykiszolgáló lapra.
Törölje a jelet a Proxykiszolgáló használata jelölőnégyzetből a szinkronizáláskor .
Kattintson az OK gombra.
2.1.4. A tűzfal konfigurálása az ügyfélszámítógépek WSUS-kiszolgálóhoz való hozzáférésének engedélyezéséhez
Az ügyfélszámítógépeknek csatlakozniuk kell az egyik WSUS-kiszolgálóhoz. Minden ügyfélszámítógépnek kimenő hozzáféréssel kell rendelkeznie a WSUS-kiszolgálón lévő két porthoz. Alapértelmezés szerint ezek a portok 8530 és 8531.
2.2. A WSUS konfigurálása a WSUS konfigurációs varázslóval
A következő szakaszok eljárásai a WSUS konfigurációs varázslóval konfigurálják a WSUS-beállításokat. A WSUS konfigurációs varázslója a WSUS felügyeleti konzol első indításakor jelenik meg. A WSUS felügyeleti konzol Beállítások paneljén is konfigurálhatja a WSUS-beállításokat. A Beállítások panel használatával kapcsolatos további információkért tekintse meg a cikk más szakaszaiban található alábbi eljárásokat:
Indítsa el a varázslót, és konfigurálja a kezdeti beállításokat
A Server Manager irányítópultján válassza aWindows Server Update Services>.
Megjegyzés
Ha megjelenik a WSUS teljes telepítése párbeszédpanel, válassza a Futtatás lehetőséget. A WSUS telepítésének befejezése párbeszédpanelen válassza a Bezárás elemet, amikor a telepítés sikeresen befejeződött.
Megnyílik a WSUS konfigurációs varázslója.
A Kezdés előtt lapon tekintse át az információkat, majd válassza a Tovább gombot.
A Csatlakozás a Microsoft Update Fejlesztési programhoz lapon olvassa el az utasításokat. Tartsa meg az alapértelmezett beállítást, ha részt szeretne venni a programban, vagy törölje a jelet a jelölőnégyzetből, ha nem. Ezután válassza a Tovább lehetőséget.
A felsőbb rétegbeli és proxykiszolgáló beállításainak konfigurálása
A Felsőbb rétegbeli kiszolgáló kiválasztása lapon válassza az alábbi lehetőségek egyikét:
Szinkronizálás a Microsoft Update-ből
Szinkronizálás másik Windows Server Update Services-kiszolgálóról
Ha úgy dönt, hogy egy másik WSUS-kiszolgálóról szinkronizál, hajtsa végre a következő lépéseket:
Adja meg a kiszolgáló nevét és azt a portot, amelyen a kiszolgálónak kommunikálnia kell a felsőbb rétegbeli kiszolgálóval.
A TLS használatához válassza az SSL használata a frissítési adatok szinkronizálása során lehetőséget. A kiszolgálók a 443-as portot használják a szinkronizáláshoz. (Győződjön meg arról, hogy ez a kiszolgáló és a felsőbb rétegbeli kiszolgáló támogatja a TLS-t.)
Ha ez a kiszolgáló replikakiszolgáló, válassza az Ez a felsőbb rétegbeli kiszolgáló replikája lehetőséget.
Miután kiválasztotta az üzembe helyezési beállításokat, válassza a Tovább gombot.
Ha a WSUS-nak proxykiszolgálóra van szüksége az internet eléréséhez, konfigurálja a következő proxybeállításokat. Ellenkező esetben hagyja ki ezt a lépést.
A Proxykiszolgáló megadása lapon válassza a Proxykiszolgáló használata szinkronizáláskor lehetőséget. Ezután adja meg a proxykiszolgáló nevét és portszámát (alapértelmezés szerint a 80-as portot) a megfelelő mezőkben.
Ha adott felhasználói hitelesítő adatokkal szeretne csatlakozni a proxykiszolgálóhoz, válassza a Felhasználói hitelesítő adatok használata lehetőséget a proxykiszolgálóhoz való csatlakozáshoz. Ezután adja meg a felhasználó felhasználónevét, tartományát és jelszavát a megfelelő mezőkben.
Ha engedélyezni szeretné az alapszintű hitelesítést a proxykiszolgálóhoz csatlakozó felhasználó számára, válassza az Alapszintű hitelesítés engedélyezése (a jelszó üres szövegben lesz elküldve) lehetőséget.
Válassza a Következőlehetőséget.
A Csatlakozás a felsőbb rétegbeli kiszolgálóhoz lapon válassza a Csatlakozás indítása lehetőséget.
Amikor a WSUS csatlakozik a kiszolgálóhoz, válassza a Tovább gombot.
Nyelvek, termékek és besorolások kiválasztása
A Nyelvek kiválasztása lapon kiválaszthatja azokat a nyelveket, amelyekről a WSUS frissítéseket kap: az összes nyelv vagy a nyelvek egy részhalmaza. A nyelvek egy részhalmazának kiválasztása lemezterületet takarít meg, de fontos kijelölni azokat a nyelveket, amelyekre a WSUS-kiszolgáló összes ügyfélprogramjának szüksége van.
Ha úgy dönt, hogy csak bizonyos nyelvekhez szeretne frissítéseket beszerezni, válassza a Frissítések letöltése csak ezeken a nyelveken lehetőséget, majd válassza ki azokat a nyelveket, amelyekhez frissítéseket szeretne kapni. Ellenkező esetben hagyja meg az alapértelmezett beállítást.
Figyelmeztetés
Ha csak ezekben a nyelvekben választja ki a Frissítések letöltése lehetőséget, és ehhez a kiszolgálóhoz egy alsóbb rétegbeli WSUS-kiszolgáló csatlakozik, ez a beállítás arra kényszeríti az alsóbb rétegbeli kiszolgálót, hogy csak a kijelölt nyelveket használja.
Válassza a Következőlehetőséget.
A Termékek kiválasztása lapon adja meg azokat a termékeket, amelyekhez frissítéseket szeretne kapni. Válassza ki a termékkategóriákat, például a Windowst vagy az adott termékeket, például a Windows Server 2019-et. Ha kiválaszt egy termékkategóriát, az adott kategóriában szereplő összes terméket kiválasztja.
Válassza a Következőlehetőséget.
A Besorolások kiválasztása lapon válassza ki a lekérni kívánt frissítési besorolásokat. Jelölje ki az összes besorolást vagy azok egy részét, majd kattintson a Tovább gombra.
A szinkronizálás ütemezésének konfigurálása
A Szinkronizálás ütemezésének beállítása lapon válassza ki, hogy manuálisan vagy automatikusan szeretné-e végrehajtani a szinkronizálást.
Ha manuálisan választja a Szinkronizálás lehetőséget, a szinkronizálási folyamatot a WSUS felügyeleti konzoljáról kell elindítania.
Ha az Automatikus szinkronizálás lehetőséget választja, a WSUS-kiszolgáló megadott időközönként szinkronizálódik.
Első szinkronizálás esetén adja meg az időpontot, majd adja meg, hogy hány szinkronizálást hajtson végre a kiszolgáló naponta. Ha például napi négy szinkronizálást ad meg 3:00-tól kezdve, a szinkronizálások 3:00, 9:00, 15:00 és 21:00 időpontban történnek.
Válassza a Következőlehetőséget.
A varázsló befejezése
Ha azonnal el szeretné indítani a szinkronizálást a Kész lapon, válassza a Kezdeti szinkronizálás indítása lehetőséget. Ha nem választja ezt a beállítást, a kezdeti szinkronizálás végrehajtásához a WSUS felügyeleti konzolt kell használnia.
Ha szeretne többet megtudni a többi beállításról, válassza a Tovább gombot. Ellenkező esetben a Befejezés gombra kattintva zárja be a varázslót, és fejezze be a kezdeti WSUS-beállítást.
A Befejezés lehetőség kiválasztása után megjelenik a WSUS felügyeleti konzolja. Ezzel a konzollal kezelheti WSUS-hálózatát a cikk későbbi szakaszaiban leírtak szerint.
2.3. A WSUS biztonságossá tétele a TLS protokollal
A WSUS-hálózat biztonságossá tételéhez a TLS protokollt kell használnia. A WSUS a TLS használatával hitelesítheti a kapcsolatokat, és titkosíthatja és védheti a frissítési információkat.
Figyelmeztetés
A WSUS biztonságossá tétele a TLS protokoll használatával fontos a hálózat biztonsága szempontjából. Ha a WSUS-kiszolgáló nem megfelelően használja a TLS-t a kapcsolatai védelmére, a támadó módosíthatja a fontos frissítési információkat, amikor az egyik WSUS-kiszolgálóról egy másikra, vagy a WSUS-kiszolgálóról az ügyfélszámítógépekre küldi. Ebben az esetben a támadó rosszindulatú szoftvereket telepíthet az ügyfélszámítógépekre.
Fontos
A TLS vagy HTTPS használatára konfigurált ügyfeleket és alsóbb rétegbeli kiszolgálókat is úgy kell konfigurálni, hogy teljes tartománynevet (FQDN) használjanak a felsőbb rétegbeli WSUS-kiszolgálójukhoz.
2.3.1. TLS/HTTPS engedélyezése a WSUS-kiszolgáló IIS-szolgáltatásában a TLS/HTTPS használatára
A TLS/HTTPS használatának megkezdéséhez engedélyeznie kell a TLS-támogatást a WSUS-kiszolgáló Internet Information Services (IIS) szolgáltatásában. Ez a művelet magában foglalja egy TLS/Secure Sockets Layer (SSL) tanúsítvány létrehozását a kiszolgáló számára.
A TLS/SSL-tanúsítvány kiszolgálóhoz való beszerzéséhez szükséges lépések túlmutatnak a jelen cikk hatókörén, és a hálózati konfigurációtól függenek. A tanúsítványok telepítésével és a környezet beállításával kapcsolatos további információkért és utasításokért tekintse meg az Active Directory Tanúsítványszolgáltatások dokumentációját.
2.3.2. A WSUS-kiszolgáló IIS-webkiszolgálójának konfigurálása TLS használatára egyes kapcsolatokhoz
A WSUS két portot igényel a többi WSUS-kiszolgálóhoz és az ügyfélszámítógépekhez való csatlakozáshoz. Egy port TLS/HTTPS használatával küldi el a frissítés metaadatait (a frissítésekről fontos információkat). Erre a célra alapértelmezés szerint a 8531-s portot használja a rendszer. A második port HTTP-t használ a frissítési csomagok küldéséhez. Erre a célra alapértelmezés szerint a 8530-at használja a rendszer.
Fontos
A teljes WSUS-webhely nem konfigurálható TLS-hez. A WSUS csak a frissítési metaadatok titkosítására szolgál. A Windows Update ugyanúgy terjeszti a frissítéseket.
Az illetéktelen támadók elleni védekezés érdekében, akik a frissítési csomagokat manipulálni próbálják, minden frissítési csomagot egy meghatározott megbízható aláíró tanúsítványkészlettel írnak alá. Emellett a rendszer minden frissítés hasznos adatához titkosítási kivonatot is kiszámít. A rendszer a kivonatot a biztonságos HTTPS-metaadat-kapcsolaton keresztül továbbítja az ügyfélszámítógépnek, valamint a frissítés egyéb metaadatait. A frissítés letöltésekor az ügyfélszoftver ellenőrzi a frissítési terhelés digitális aláírását és kivonatát. Ha a frissítés módosult, nincs telepítve.
Csak a következő IIS virtuális gyökerekhez kell TLS-t igényelnie:
SimpleAuthWebService
DSSAuthWebService
ServerSyncWebService
APIremoting30
ClientWebService
A következő virtuális gyökerekhez nem kell TLS-t igényelnie:
Tartalom
Leltár
ReportingWebService
Önkiszolgáló
A hitelesítésszolgáltató tanúsítványát importálni kell a WSUS-kiszolgáló megbízható legfelső szintű hitelesítésszolgáltatói tárolójába a helyi számítógéphez, vagy ha létezik, a WSUS megbízható legfelső szintű hitelesítésszolgáltatói tárolójába.
A TLS/SSL-tanúsítványok IIS-ben való használatáról további információt az SSL beállítása az IIS 7-ben vagy újabb verzióiban című témakörben talál.
Fontos
A tanúsítványtárolót a helyi számítógéphez kell használnia. Nem használhatja a felhasználó tanúsítványtárolóját.
Általában úgy kell konfigurálnia az IIS-t, hogy a 8531-s portot használja HTTPS-kapcsolatokhoz, a HTTP-kapcsolatokhoz pedig a 8530-at. Ha módosítja ezeket a portokat, két szomszédos portszámot kell használnia. Az a portszám, amelyet a HTTP-kapcsolatokhoz használnak, pontosan 1-gyel kisebb kell legyen, mint a HTTPS-kapcsolatokhoz használt portszám.
Ha a kiszolgáló neve, TLS-konfigurációja vagy portszáma megváltozik, újra kell újrainicializálnia az ClientServicingProxy
ügyfélproxyt.
2.3.3. A WSUS konfigurálása a TLS/SSL aláíró tanúsítvány használatára az ügyfélkapcsolataihoz
Jelentkezzen be a WSUS-kiszolgálóra egy olyan fiókkal, amely tagja a WSUS-rendszergazdák csoportnak vagy a Helyi rendszergazdák csoportnak.
A Start menüben írja be a CMD parancsot, kattintson a jobb gombbal a parancssorra, majd válassza a Futtatás rendszergazdaként lehetőséget.
Nyissa meg a C:\Program Files\Update Services\Tools mappát.
A Parancssorban adja meg a következő parancsot:
wsusutil configuressl <certificate-name>
Ebben a parancsban a tanúsítványnév a WSUS-kiszolgáló tartománynévrendszerének (DNS) neve.
2.3.4. Szükség esetén gondoskodjon az SQL Server-kapcsolat védelméről
Ha távoli SQL Server-adatbázissal használja a WSUS-t, a WSUS-kiszolgáló és az adatbázis-kiszolgáló közötti kapcsolat nem lesz biztonságos a TLS-en keresztül. Ez a helyzet potenciális támadási vektort hoz létre. A kapcsolat védelme érdekében vegye figyelembe az alábbi javaslatokat:
Helyezze át a WSUS-adatbázist a WSUS-kiszolgálóra.
Helyezze át a távoli adatbázis-kiszolgálót és a WSUS-kiszolgálót egy magánhálózatra.
Az Internet Protocol biztonságának (IPsec) üzembe helyezése a hálózati forgalom biztonságossá tételéhez. További információ az IPsec-ről: IPsec-szabályzatok létrehozása és használata.
2.3.5. Kódaláíró tanúsítvány létrehozása helyi közzétételhez, ha szükséges
A Microsoft által biztosított frissítések terjesztése mellett a WSUS támogatja a helyi közzétételt. A helyi közzététel segítségével olyan frissítéseket hozhat létre és terjeszthet, amelyeket saját maga tervezett, saját hasznos adatokkal és viselkedésekkel.
A helyi közzététel engedélyezése és konfigurálása meghaladja a jelen cikk hatókörét. További részletekért lásd: Helyi közzététel.
Fontos
A helyi közzététel bonyolult folyamat, és gyakran nincs szükség rá. Mielőtt úgy dönt, hogy engedélyezi a helyi közzétételt, alaposan tekintse át a dokumentációt, és gondolja át, hogy szeretné-e használni ezt a funkciót, és hogyan használhatja azt.
2.4. WSUS-számítógépcsoportok konfigurálása
A számítógépcsoportok a WSUS hatékony használatának fontos részét képezik. Számítógépcsoportokkal tesztelheti és célba vehet frissítéseket adott számítógépeken. Két alapértelmezett számítógépcsoport létezik: minden számítógép és nem hozzárendelt számítógép. Alapértelmezés szerint, amikor minden ügyfélszámítógép először kapcsolatba lép a WSUS-kiszolgálóval, a kiszolgáló mindkét csoporthoz hozzáadja az ügyfélszámítógépet.
Annyi egyéni számítógépcsoportot hozhat létre, amennyi a szervezet frissítéseit kezelnie kell. Ajánlott eljárásként hozzon létre legalább egy számítógépcsoportot a frissítések teszteléséhez, mielőtt üzembe helyezené őket a szervezet más számítógépein.
2.4.1. Válasszon egy módszert az ügyfélszámítógépek számítógépcsoportokhoz való hozzárendeléséhez
Az ügyfélszámítógépek számítógépcsoportokhoz való hozzárendelésének két módszere van. A szervezet megfelelő megközelítése attól függ, hogy általában hogyan kezeli az ügyfélszámítógépeket.
Kiszolgálóoldali célzás: Ez a módszer az alapértelmezett. Ebben a megközelítésben az ügyfélszámítógépeket számítógépcsoportokhoz rendeli a WSUS felügyeleti konzoljával.
Ezzel a módszerrel gyorsan áthelyezheti az ügyfélszámítógépeket az egyik csoportból a másikba a körülmények változásakor. Ennek eredményeképpen azonban manuálisan kell áthelyeznie az új ügyfélszámítógépeket a Nem hozzárendelt számítógépek csoportból a megfelelő számítógépcsoportba.
Ügyféloldali célzás: Ebben a megközelítésben az egyes ügyfélszámítógépeket számítógépcsoportokhoz rendeli az ügyfélszámítógépen beállított házirend-beállítások használatával.
Ez a módszer megkönnyíti az új ügyfélszámítógépek hozzárendelését a megfelelő csoportokhoz. Ennek részeként konfigurálja az ügyfélszámítógépet, hogy frissítéseket fogadjon a WSUS-kiszolgálótól. Ennek eredményeképpen azonban nem rendelhet hozzá ügyfélszámítógépeket számítógépcsoportokhoz, és nem helyezheti át őket egyik számítógépcsoportból a másikba a WSUS felügyeleti konzolon keresztül. Ehelyett módosítania kell az ügyfélszámítógépek beállításait.
2.4.2. Ügyféloldali célzás engedélyezése, ha szükséges
Fontos
Ha kiszolgálóoldali célzást szeretne használni, hagyja ki a szakasz lépéseit.
A WSUS felügyeleti konzol Update Services területén bontsa ki a WSUS-kiszolgálót, majd válassza a Beállítások lehetőséget.
A Beállítások panelen válassza a Számítógépek lehetőséget. Lépjen az Általános lapra, és válassza a Csoportházirend vagy beállításjegyzék beállításainak használata a számítógépeken lehetőséget.
2.4.3. A kívánt számítógépcsoportok létrehozása
Megjegyzés
Számítógépcsoportokat a WSUS felügyeleti konzoljával kell létrehoznia, akár kiszolgálóoldali célzást, akár ügyféloldali célzást használ az ügyfélszámítógépek számítógépcsoportokhoz való hozzáadásához.
A WSUS felügyeleti konzol Frissítési szolgáltatások területén bontsa ki a WSUS-kiszolgálót, bontsa ki a Számítógépek elemet, kattintson a jobb gombbal a Minden számítógép elemre, majd válassza a Számítógépcsoport hozzáadása lehetőséget.
A Számítógépcsoport hozzáadása párbeszédpanel Név elemében adja meg az új csoport nevét. Ezután válassza a Hozzáadás lehetőséget.
2.5. Ügyfélszámítógépek konfigurálása TLS-kapcsolatok létesítésére a WSUS-kiszolgálóval
Feltételezve, hogy a WSUS-kiszolgálót úgy konfigurálja, hogy a TLS használatával védje az ügyfélszámítógépek kapcsolatait, konfigurálnia kell az ügyfélszámítógépeket, hogy megbízhatók legyenek ezek a TLS-kapcsolatok.
A WSUS-kiszolgáló TLS/SSL-tanúsítványát importálni kell az ügyfélszámítógépek megbízható legfelső szintű hitelesítésszolgáltatói tárolójába, vagy ha létezik, az ügyfélszámítógépek automatikus frissítési szolgáltatásának megbízható legfelső szintű hitelesítésszolgáltatói tárolójába.
Fontos
A tanúsítványtárolót a helyi számítógéphez kell használnia. Nem használhatja a felhasználó tanúsítványtárolóját.
A kliensszámítógépeknek meg kell bízniuk a WSUS-kiszolgálóhoz kötött tanúsítványban. A használt tanúsítvány típusától függően előfordulhat, hogy olyan szolgáltatást kell beállítania, amely lehetővé teszi, hogy az ügyfélszámítógépek megbízzanak a WSUS-kiszolgálóhoz kötött tanúsítványban.
Ha helyi közzétételt használ, az ügyfélszámítógépeket is konfigurálnia kell, hogy megbízzanak a WSUS-kiszolgáló kódaláíró tanúsítványában. Útmutatásért tekintse meg a helyi közzétételt.
2.6. Ügyfélszámítógépek konfigurálása frissítések fogadására a WSUS-kiszolgálóról
Alapértelmezés szerint az ügyfélszámítógépek frissítéseket kapnak a Windows Update-ből. Ezeket úgy kell konfigurálni, hogy inkább a WSUS-kiszolgálótól fogadják a frissítéseket.
Fontos
Ez a cikk az ügyfélszámítógépek csoportházirend használatával történő konfigurálásának lépéseit mutatja be. Ezek a lépések számos esetben megfelelőek. A frissítési viselkedés ügyfélszámítógépeken való konfigurálására azonban számos egyéb lehetőség is rendelkezésre áll, beleértve a mobileszköz-felügyelet használatát is. A beállításokkal kapcsolatos dokumentációt a További Windows Update-beállítások kezelése című témakörben találja.
2.6.1. A szerkeszteni kívánt szabályzatok megfelelő halmazának kiválasztása
Ha az Active Directory be van állítva a hálózatban, konfigurálhat egyszerre egy vagy több számítógépet úgy, hogy be van állítva egy csoportházirend-objektumba (GPO), majd konfigurálja ezt a csoportházirend-objektumot WSUS-beállításokkal.
Javasoljuk, hogy hozzon létre egy új csoportházirendet, amely csak WSUS-beállításokat tartalmaz. Csatolja ezt a WSUS-csoportházirend-objektumot egy, a környezetének megfelelő Active Directory-tárolóhoz.
Egyszerű környezetben egyetlen WSUS GPO-t csatolhat a tartományhoz. Összetettebb környezetben több WSUS GPU-t is összekapcsolhat több szervezeti egységsel (OU- val). Ha csoportházirend-objektumokat kapcsol a szervezeti egységekhez, a WSUS-házirend beállításait különböző típusú számítógépekre alkalmazhatja.
Ha nem használja az Active Directoryt a hálózaton, minden számítógépet konfigurálnia kell a Helyi csoportházirend-szerkesztővel.
2.6.2. Szabályzatok szerkesztése az ügyfélszámítógépek konfigurálásához
Az ügyfélszámítógépek házirend-beállítások használatával történő konfigurálásához hajtsa végre az alábbi szakaszok lépéseit.
Megjegyzés
Ezek az utasítások feltételezik, hogy a szabályzatszerkesztő eszközök legújabb verzióit használja. Az eszközök régebbi verzióiban előfordulhat, hogy a szabályzatok eltérően vannak elrendezve.
Nyissa meg a szabályzatszerkesztőt, és nyissa meg a Windows Update elemet
Nyissa meg a megfelelő szabályzatobjektumot:
- Ha Active Directoryt használ, nyissa meg a csoportházirend-kezelési konzolt, nyissa meg azt a csoportházirend-objektumot, amelyen konfigurálni szeretné a WSUS-t, és válassza a Szerkesztés lehetőséget. Ezután bontsa ki a Számítógép konfigurációja, majd a Szabályzatok elemet.
- Ha nem az Active Directoryt használja, nyissa meg a Helyi csoportházirend-szerkesztőt. Megjelenik a helyi számítógép-házirend. Nyissa meg Számítógép-konfiguráció.
Az előző lépésben kibontott objektumban bontsa ki a Felügyeleti sablonok>Windows-összetevők> elemét. Ha az operációs rendszere Windows 10 vagy Windows 11, válassza a Végfelhasználói élmény kezelése lehetőséget is.
Az automatikus frissítések beállításának szerkesztése
A részletek panelen kattintson duplán az Automatikus frissítések konfigurálása elemre. Megnyílik az Automatikus frissítések konfigurálása házirend.
Válassza az Engedélyezve lehetőséget, majd az Automatikus frissítés konfigurálása beállítás alatt válassza ki a kívánt beállítást annak kezeléséhez, hogy az automatikus frissítési funkció hogyan töltse le és telepítse a jóváhagyott frissítéseket.
Javasoljuk, hogy használja az automatikus letöltést, és ütemezze a telepítési beállítást. Biztosítja, hogy a WSUS-ban jóváhagyott frissítések letöltése és telepítése időben, felhasználói beavatkozás nélkül történik.
Ha szükséges, szerkessze a szabályzat egyéb részeit. További információ: További Windows Update-beállítások kezelése.
Megjegyzés
Más Microsoft-termékek frissítéseinek telepítése nincs hatással a WSUS-ból frissítéseket fogadó ügyfélszámítógépekre. Az ügyfélszámítógépek minden hozzájuk jóváhagyott frissítést megkapnak a WSUS-kiszolgálón.
Az OK gombra kattintva zárja be az Automatikus frissítések konfigurálása házirendet .
Az intranetes kiszolgáló frissítéseinek üzemeltetésére szolgáló beállításának szerkesztése
A részletek panelen kattintson duplán az intranetes Microsoft frissítési szolgáltatás helyének megadása elemre. Ha az operációs rendszere Windows 10 vagy Windows 11, először lépjen vissza a fa Windows Update csomópontjára, majd válassza a Windows Server Update Service által kínált frissítések kezelése lehetőséget.
Megnyílik az Intranetes Microsoft frissítési szolgáltatás helyszolgáltatási szabályzata.
Válassza az Engedélyezve lehetőséget, majd adja meg a WSUS-kiszolgáló URL-címét az intranetes frissítési szolgáltatás beállítása a frissítések észleléséhez és az intranetes statisztikai kiszolgáló mezőinek beállítása mezőben.
Figyelmeztetés
Ügyeljen arra, hogy a megfelelő port szerepeljen az URL-címben. Feltételezve, hogy a kiszolgálót úgy konfigurálja, hogy az ajánlott módon használja a TLS-t, meg kell adnia a HTTPS-hez konfigurált portot. Ha például a 8531-s portot használja HTTPS-hez, és a kiszolgáló tartományneve wsus.contoso.com, mindkét mezőbe be kell írnia
https://wsus.contoso.com:8531
.Válassza az OK gombot az intranetes Microsoft frissítési szolgáltatás helyének szabályzatának bezárásához.
Ügyféloldali célzás konfigurálása, ha szükséges
Ha az ügyféloldali célzást választja, az ebben a szakaszban ismertetett lépésekkel adja meg a konfigurálni kívánt ügyfélszámítógépek megfelelő számítógépcsoportját.
Megjegyzés
Ezek a lépések feltételezik, hogy most végezte el a házirendek szerkesztésének lépéseit az ügyfélszámítógépek konfigurálásához.
A szabályzatszerkesztőben nyissa meg a Windows Update elemet. Ha az operációs rendszere Windows 10 vagy Windows 11, válassza a Windows Server Update Service által kínált frissítések kezelése lehetőséget is.
A részletek panelen kattintson duplán az ügyféloldali célzás engedélyezése elemre. Az ügyféloldali célzás engedélyezési szabályzat megnyílik.
Válassza az Engedélyezve lehetőséget. A számítógép Célcsoport neve csoportjában adja meg annak a WSUS-számítógépcsoportnak a nevét, amelyhez hozzá szeretné adni az ügyfélszámítógépeket.
Ha a WSUS aktuális verzióját futtatja, az ügyfélszámítógépeket több számítógépcsoporthoz is hozzáadhatja a csoportnevek pontosvesszővel elválasztott megadásával. Beírhatja például a Könyvelést; Ügyvezető az ügyfélszámítógépek könyvelési és vezetői számítógépcsoportokhoz való hozzáadásához.
Az OK gombra kattintva zárja be az ügyféloldali célzási szabályzatot .
2.6.3. Az ügyfélszámítógép csatlakoztatása a WSUS-kiszolgálóhoz
Az ügyfélszámítógépek csak akkor jelennek meg a WSUS felügyeleti konzolon, ha először csatlakoznak a WSUS-kiszolgálóhoz.
Várja meg, amíg a házirend módosításai érvénybe lépnek az ügyfélszámítógépen.
Ha Active Directory-alapú csoportházirend-objektumot használ az ügyfélszámítógépek konfigurálásához, időbe telik, amíg a csoportházirend-frissítési mechanizmus végrehajtja a módosításokat egy ügyfélszámítógépen. Ha fel szeretné gyorsítani ezt a folyamatot, megnyithatja a parancssort emelt szintű jogosultságokkal, majd beírhatja a gpupdate /force parancsot.
Ha a Helyi csoportházirend-szerkesztő használatával konfigurálja az egyes ügyfélszámítógépeket, a módosítások azonnal érvénybe lépnek.
Indítsa újra az ügyfélszámítógépet. Ez a lépés gondoskodik arról, hogy a windowsos frissítési szoftver észlelje a házirend módosításait.
Hagyja, hogy az ügyfélszámítógép frissítéseket keressen. Ez a vizsgálat általában egy kis időt vesz igénybe.
A folyamat felgyorsításához használja az alábbi lehetőségek egyikét:
- Windows 10 vagy 11 rendszeren a Beállítások alkalmazás Windows Update lapján manuálisan ellenőrizheti a frissítéseket.
- A Windows Windows 10 előtti verzióiban a Vezérlőpult Windows Update ikonjával manuálisan ellenőrizheti a frissítéseket.
- A Windows 10 előtti windowsos verziókban nyissa meg a parancssort emelt szintű jogosultságokkal, és írja be a wuauclt /detectnow parancsot.
2.6.4 Az ügyfélszámítógép sikeres kapcsolatának ellenőrzése a WSUS-kiszolgálóval
Ha az összes előző lépést sikeresen végrehajtotta, az alábbi eredmények láthatók:
Az ügyfélszámítógép sikeresen megkeresi a frissítéseket. (Előfordulhat, hogy nem talál megfelelő frissítéseket a letöltéshez és a telepítéshez.)
Körülbelül 20 percen belül az ügyfélszámítógép megjelenik a WSUS felügyeleti konzolon megjelenített számítógépek listájában a célzás típusa alapján:
Ha kiszolgálóoldali célzást használ, az ügyfélszámítógép megjelenik a Minden számítógép és a Nem hozzárendelt számítógépek számítógépcsoportban.
Ha ügyféloldali célzást használ, az ügyfélszámítógép megjelenik a Minden számítógép számítógép csoportban és abban a számítógépcsoportban, amelyet az ügyfélszámítógép konfigurálásakor választott.
2.6.5. Az ügyfélszámítógép kiszolgálóoldali célzásának beállítása, ha szükséges
Ha kiszolgálóoldali célzást használ, most vegye fel az új ügyfélszámítógépet a megfelelő számítógépcsoportokba.
A WSUS felügyeleti konzolján keresse meg az új ügyfélszámítógépet. A WSUS-kiszolgáló számítógéplistájában meg kell jelennie az Összes számítógép és a Nem hozzárendelt számítógépek számítógépcsoportban.
Kattintson a jobb gombbal az ügyfélszámítógépre, és válassza a Tagság módosítása lehetőséget.
A párbeszédpanelen válassza ki a megfelelő számítógépcsoportokat, majd kattintson az OK gombra.