Azure’da Windows VM’lerini güncelleştirmek için dağıtımı planlama

Azure Güvenlik Duvarı

Azure Sanal Makineler

Azure Sanal Ağ

Azure sanal ağınızı İnternet’e kapattıysanız güvenliği tehlikeye atmadan ve tüm İnternet’e erişimi açmadan Windows güncelleştirmelerini almaya devam edebilirsiniz. Bu makale, İnternet bağlantısı olmadan sanal ağları güvenli bir şekilde güncelleştirmek için Windows Server Update Services (WSUS) örneğini barındırmak üzere DMZ olarak da bilinen bir çevre ağını ayarlama hakkında öneriler içerir.

Azure Güvenlik Duvarı kullanıyorsanız, gerekli giden ağ trafiğine WindowsUpdate güvenlik duvarınız üzerinden izin vermek için uygulama kurallarında FQDN etiketini kullanırsınız. Daha fazla bilgi için bkz. FQDN etiketlerine genel bakış ve Yazılım güncelleştirmelerini planlama - Güvenlik duvarlarını yapılandırma.

Bu makaledeki önerileri uygulamak için Azure hizmetleri hakkında bilgi sahibi olmanız gerekir. Aşağıdaki bölümlerde, tek bir bölgede veya çok bölgeli yapılandırmada merkez-uç yapılandırması kullanan önerilen dağıtım tasarımı açıklanmaktadır.

Azure Sanal Ağ merkez-uç ağ topolojisi

Çevre ağı oluşturarak merkez-uç modeli ağ topolojisi ayarlamanızı öneririz. WSUS sunucusunu İnternet ve sanal ağlar arasındaki merkezde bulunan bir Azure sanal makinesinde barındırın. Merkezde açık bağlantı noktaları bulunmalıdır. WSUS, Microsoft’tan güncelleştirme almak üzere HTTP protokolü için bağlantı noktası 80’i ve HTTPS protokolü için bağlantı noktası 443’ü kullanır. Uçlar, İnternet ile değil, merkez ile iletişim kuracak olan diğer tüm sanal ağlardan oluşur. Bu işlemi, diğer İnternet trafiğini engellerken WSUS trafiğine izin veren bir alt ağ, ağ güvenlik grubu (NSG) ve Azure sanal ağ eşlemesi oluşturarak gerçekleştirebilirsiniz. Bu görüntüde merkez-uç topolojisi örneği gösterilmektedir:

Bu mimarinin Visio dosyasını indirin.

Bu görüntüde:

• snet-wsus , WSUS sunucusunu içeren merkez-uç topolojisinin hub'ında bulunan alt ağdır.
• nsg-ds , diğer İnternet trafiğini engellerken WSUS trafiğine izin veren bir ağ güvenlik grubu kuralıdır.
• Windows Server Update Service sanal makinesi , WSUS'yi çalıştıracak şekilde yapılandırılan Azure sanal makinesidir.
• snet-workload , Windows sanal makinelerini içeren eşlenmiş uç sanal ağındaki bir alt ağa örnektir.
• nsg-ms , WSUS VM'sine giden trafiğe izin veren ancak diğer internet trafiğini reddeden bir ağ güvenlik grubu ilkesidir.

Mevcut bir sunucuyu yeniden kullanabilir veya WSUS sunucusuna dönüşen yeni bir sunucu dağıtabilirsiniz. WSUS VM'nizin belgelenmiş sistem gereksinimlerini karşılaması gerekir. Bu, güvenlikle ilgili hassas bir özellik olduğundan, tam zamanında (JIT) kullanarak bu sanal makineye erişmeyi planlamanız gerekir. Bakınız Tam zamanında erişimi kullanarak sanal makine erişimini yönetme.

Ağınız aynı veya farklı bölgelerde olabilen birden fazla Azure sanal ağına sahip olacaktır. WSUS sunucusu olarak kullanılıp kullanılamayabileceğini görmek için tüm Windows Server VM'lerini değerlendirmeniz gerekir. Güncelleştirilecek binlerce VM’niz varsa WSUS rolüne ayrılmış bir Windows Server VM’nizin olması önerilir. Vm'lerin birincil kaynakları olarak farklı bir bölgedeki WSUS sunucusunu kullanmamalarını da öneririz.

Tüm sanal ağlarınız aynı bölgedeyse her 18.000 sanal makine için bir WSUS olmasını öneririz. Bu öneri, güncelleştirilmekte olan istemci VM sayısına ve sanal ağlar arasındaki iletişim ücretlerine bağlı olarak VM gereksinimlerinin bir birleşimini temel alır. WSUS kapasite gereksinimleri hakkında daha fazla bilgi için bkz. WSUS dağıtımınızı planlama.

Azure fiyatlandırma hesaplayıcısını kullanarak bu yapılandırmaların maliyetini belirleyebilirsiniz. WSUS sanal makinelerinizin belirtimlerini ve ağ beklentilerinizi sağlamanız gerekir; aynı bölge, bölgeler arasında. Veri aktarımı için 3 GB ile başlayın. Fiyatlar bölgeye göre değişiklik gösterir.

El ile dağıtım

Kullanılacak Azure sanal ağını tanımladıktan veya yeni bir Windows Server örneği oluşturmanız gerektiğini belirledikten sonra bir NSG kuralı oluşturmanız gerekir. Kural, Windows Update meta verilerinin ve içeriğinin oluşturduğunuz WSUS sunucusuyla eşitlenmesine olanak tanıyan İnternet trafiğine izin verir. Eklemeniz gereken kurallar şunlardır:

• NSG kuralı, içerik için 80 numaralı bağlantı noktasında internetten giriş/çıkış trafiğinin izin verilmesi için oluşturulmuştur.
• 443 numaralı bağlantı noktasında İnternet’ten gelen ve giden trafiğe izin vermek için gelen/giden NSG kuralı (meta veriler için).
• Bağlantı noktası 8530 üzerinde İstemci VM’lerinden gelen trafiğe izin vermek için gelen/giden NSG kuralı (yapılandırılmadığı müddetçe varsayılan).

WSUS ayarlama

WSUS sunucunuzu ayarlamak için kullanabileceğiniz iki yaklaşım vardır:

• En az yönetim gerektiren tipik bir iş yükünü işleyecek şekilde yapılandırılmış bir sunucuyu otomatik olarak ayarlamak istiyorsanız PowerShell otomasyon betiğini kullanabilirsiniz.
• Birçok farklı işletim sistemini ve dili çalıştıran binlerce istemciyi işlemeniz gerekiyorsa veya WSUS’yi PowerShell betiğinin işleyemeyeceği bir biçimde yapılandırmak istiyorsanız WSUS’yi kendiniz ayarlayabilirsiniz. İki yaklaşım da bu makalenin ilerleyen kısımlarında tanımlanmaktadır.

Ayrıca, çalışmanın çoğunu yapmak üzere otomasyon betiğini kullanarak ve daha sonra sunucu ayarlarında ince ayar yapmak için WSUS yönetim konsolunu kullanarak iki yaklaşımı birleştirebilirsiniz.

Otomasyon betiği kullanarak WSUS'yi ayarlama

Betik, Configure-WSUSServer seçilen bir ürün ve dil kümesi için güncelleştirmeleri otomatik olarak eşitleyecek ve onaylayacak bir WSUS sunucusu ayarlamanıza olanak tanır.

Not

Betik, güncelleştirme verilerini depolamak için Windows İç Veritabanını kullanacak şekilde WSUS’yi ayarlar. Bu, kurulumu hızlandırır ve yönetim karmaşıklığını azaltır. Ancak sunucunuz binlerce istemci bilgisayarı destekleyecekse, özellikle de çok çeşitli ürün ve dilleri desteklemeniz gerekiyorsa veritabanı olarak SQL Server'ı kullanabilmek için WSUS'u el ile ayarlamanız gerekir.

Bu betiğin en son sürümü GitHub’da bulunabilir.

Betiği bir JSON dosyası kullanarak yapılandırırsınız. Şu anda şu seçenekleri yapılandırabilirsiniz:

• Güncelleştirme yüklerinin yerel olarak depolanması gerekip gerekmediği (ve depolanacaksa, nerede depolanması gerektiği) veya Microsoft sunucularında bırakılıp bırakılmaması gerektiği.
• Sunucuda hangi ürünlerin, güncelleştirme sınıflandırmalarının ve dillerin kullanılabilir olması gerektiği.
• Sunucunun yüklenmek üzere güncelleştirmeleri otomatik olarak onaylaması gerekip gerekmediği veya bir yönetici tarafından onaylanmadığı takdirde güncelleştirmelerin onaylanmamış olarak bırakılıp bırakılmayacağı.
• Sunucunun Microsoft’tan yeni güncelleştirmeleri otomatik olarak alması gerekip gerekmediği ve alıyorsa ne sıklıkta alması gerektiği.
• Hızlı güncelleştirme paketlerinin kullanılmasının gerekip gerekmediği. (Hızlı güncelleştirme paketleri, istemci CPU/disk kullanımı ve sunucudan sunucuya bant genişliği karşılığında sunucudan istemciye bant genişliğini azaltır.)
• Betiğin önceki ayarlarının üzerine yazılması gerekip gerekmediği. (Normalde, sunucu işlemini kesintiye uğratan bir yanlışlıkla yeniden yapılandırma yapmaktan kaçınmak için, komut dosyası belirli bir sunucuda yalnızca bir kez çalışır.)

Betiği ve yapılandırma dosyasını yerel depolama alanına kopyalayın ve yapılandırma dosyasını gereksinimlerinize uyacak şekilde düzenleyin.

Uyarı

Yapılandırma dosyasını düzenlerken dikkatli olun. JSON yapılandırma dosyaları için kullanılan söz dizimi katıdır. Yalnızca parametre değerleri yerine dosyanın yapısını yanlışlıkla değiştirirseniz, yapılandırma dosyası yüklenmez.

Bu betiği iki şekilde çalıştırabilirsiniz:

• Betiği WSUS VM’sinden kendiniz çalıştırabilirsiniz.

  Aşağıdaki komut, yükseltilmiş bir Komut İstemi penceresinde çalıştırıldığında, WSUS’yi yükler ve yapılandırır. Geçerli dizindeki betik ve yapılandırma dosyasını kullanacak.

  powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json

• Windows için Özel Betik Uzantısı’nı kullanabilirsiniz.

  Betiği ve JSON yapılandırma dosyasını, WSUS VM'ye özel ağ bağlantısına sahip kendi depolama konteynerinize kopyalayın.

  Tipik VM ve Azure Sanal Ağ yapılandırmalarında, Özel Betik Uzantısının betiği doğru bir şekilde çalıştırması için yalnızca bu iki parametre gerekir. (Burada gösterilen değerleri, depolama konumlarınızın URL’leriyle değiştirmeniz gerekir.)

  settings: {
    fileUris: [
      'https://yourstorageaccount.blob.core.windows.net/wsus/Configure-WSUSServer.ps1'
      'https://yourstorageaccount.blob.core.windows.net/container/WSUS-Config.json'
    ]
    commandToExecute: 'powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json'
  }
  

Komut dosyası, güncelleştirmeleri istemci bilgisayarlar için kullanılabilir hale getirmek için gereken ilk eşitlemeyi başlatır. Ancak, bu eşitlemenin tamamlanmasını beklemez. Seçtiğiniz ürünlere, sınıflandırmalara ve dillere bağlı olarak, ilk eşitleme birkaç saat sürebilir. Bundan sonraki tüm eşitlemeler daha hızlı gerçekleştirilir.

WSUS’yi el ile ayarlama

WSUS VM'nizden WSUS Sunucu Rolünü Yükleme başlığında bulunan yönergeleri izleyin

Eşitleme sırasında, WSUS, son eşitleme işleminden bu yana yeni bir güncelleştirmenin kullanıma sunulup sunulmadığını belirler. WSUS’yi ilk kez eşitliyorsanız, meta veriler hemen indirilir. Yük, yalnızca yerel depolama açıksa ve güncelleştirme en az bir bilgisayar grubu için onaylandıysa indirilir.

Not

İlk eşitleme bir saatten uzun sürebilir. Bundan sonraki tüm eşitlemeler önemli ölçüde daha hızlı gerçekleştirilir.

Sanal ağları WSUS ile iletişim kuracak şekilde yapılandırma

Ardından, merkez ile iletişim kurmak için Azure sanal ağ eşlemesi veya küresel sanal ağ eşlemesini ayarlayın. Gecikme süresini en aza indirmek için dağıttığınız her bölgede bir WSUS sunucusu ayarlamanızı öneririz.

Her biri bir uydu olan Azure sanal ağlarının her birinde, şu kurallara sahip bir NSG ilkesi oluşturmanız gerekir:

• 8530 numaralı bağlantı noktasında WSUS VM'sine giden trafiğe izin veren bir gelen/giden NSG kuralı (yapılandırılmadığı sürece varsayılan).
• İnternet trafiğini reddetmek için gelen/giden NSG kuralı.

Daha sonra, uçtan merkeze Azure sanal ağ eşlemesi oluşturun.

İstemci sanal makinelerini yapılandırma

WSUS, Windows çalıştıran tüm sanal makineleri güncelleştirmek için kullanılabilir. İstemcileri grup ilkesi kullanarak ayarlamak için bkz. WSUS sunucusundan güncelleştirmeleri almak için istemci bilgisayarları yapılandırma.

Büyük bir ağı yöneten bir yöneticiyseniz, istemcileri otomatik olarak yapılandırmak için Grup İlkesi ayarlarını kullanma hakkında daha fazla bilgi için bkz. Otomatik güncelleştirmeleri yapılandırma ve hizmet konumunu güncelleştirme.

Azure Güncelleştirme Yöneticisi

WSUS ile eşitlenen VM'ler için işletim sistemi güncelleştirmelerini yönetmek ve zamanlamak için Azure Update Manager'ı kullanabilirsiniz. VM’nin düzeltme eki durumu (yani, hangi düzeltme eklerinin eksik olduğu), VM’nin eşitlenecek şekilde yapılandırıldığı kaynağa göre değerlendirilir. Windows VM’si WSUS’ye raporlayacak şekilde yapılandırıldıysa, WSUS’nin Microsoft Update ile en son ne zaman eşitlendiğine bağlı olarak, sonuçlar Microsoft Update tarafından gösterilenlerden farklı olabilir. WSUS ortamınızı yapılandırdıktan sonra Güncelleştirme Yönetimi’ni etkinleştirebilirsiniz. Daha fazla bilgi için bkz . Azure Update Manager'a genel bakış.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• Paul Reed | Azure Uyumluluk Kıdemli Program Yöneticisi

Sonraki adımlar

• Dağıtım planlama hakkında daha fazla bilgi için bkz. WSUS dağıtımınızı planlama.
• WSUS’yi yönetme, WSUS eşitleme zamanlaması ayarlama ve daha fazlası hakkında daha fazla bilgi için bkz. WSUS yönetimi.

İlgili kaynak

• Azure’da Windows VM çalıştırma

Azure sanal ağınızı İnternet’e kapattıysanız güvenliği tehlikeye atmadan ve tüm İnternet’e erişimi açmadan Windows güncelleştirmelerini almaya devam edebilirsiniz. Bu makale, İnternet bağlantısı olmadan sanal ağları güvenli bir şekilde güncelleştirmek için Windows Server Update Services (WSUS) örneğini barındırmak üzere DMZ olarak da bilinen bir çevre ağını ayarlama hakkında öneriler içerir.

Azure Güvenlik Duvarı kullanıyorsanız, gerekli giden ağ trafiğine WindowsUpdate güvenlik duvarınız üzerinden izin vermek için uygulama kurallarında FQDN etiketini kullanırsınız. Daha fazla bilgi için bkz. FQDN etiketlerine genel bakış ve Yazılım güncelleştirmelerini planlama - Güvenlik duvarlarını yapılandırma.

Bu makaledeki önerileri uygulamak için Azure hizmetleri hakkında bilgi sahibi olmanız gerekir. Aşağıdaki bölümlerde, tek bir bölgede veya çok bölgeli yapılandırmada merkez-uç yapılandırması kullanan önerilen dağıtım tasarımı açıklanmaktadır.

Azure Sanal Ağ merkez-uç ağ topolojisi

Çevre ağı oluşturarak merkez-uç modeli ağ topolojisi ayarlamanızı öneririz. WSUS sunucusunu İnternet ve sanal ağlar arasındaki merkezde bulunan bir Azure sanal makinesinde barındırın. Merkezde açık bağlantı noktaları bulunmalıdır. WSUS, Microsoft’tan güncelleştirme almak üzere HTTP protokolü için bağlantı noktası 80’i ve HTTPS protokolü için bağlantı noktası 443’ü kullanır. Uçlar, İnternet ile değil, merkez ile iletişim kuracak olan diğer tüm sanal ağlardan oluşur. Bu işlemi, diğer İnternet trafiğini engellerken WSUS trafiğine izin veren bir alt ağ, ağ güvenlik grubu (NSG) ve Azure sanal ağ eşlemesi oluşturarak gerçekleştirebilirsiniz. Bu görüntüde merkez-uç topolojisi örneği gösterilmektedir:

Bu mimarinin Visio dosyasını indirin.

Bu görüntüde:

• snet-wsus , WSUS sunucusunu içeren merkez-uç topolojisinin hub'ında bulunan alt ağdır.
• nsg-ds , diğer İnternet trafiğini engellerken WSUS trafiğine izin veren bir ağ güvenlik grubu kuralıdır.
• Windows Server Update Service sanal makinesi , WSUS'yi çalıştıracak şekilde yapılandırılan Azure sanal makinesidir.
• snet-workload , Windows sanal makinelerini içeren eşlenmiş uç sanal ağındaki bir alt ağa örnektir.
• nsg-ms , WSUS VM'sine giden trafiğe izin veren ancak diğer internet trafiğini reddeden bir ağ güvenlik grubu ilkesidir.

Mevcut bir sunucuyu yeniden kullanabilir veya WSUS sunucusuna dönüşen yeni bir sunucu dağıtabilirsiniz. WSUS VM'nizin belgelenmiş sistem gereksinimlerini karşılaması gerekir. Bu, güvenlikle ilgili hassas bir özellik olduğundan, tam zamanında (JIT) kullanarak bu sanal makineye erişmeyi planlamanız gerekir. Bakınız Tam zamanında erişimi kullanarak sanal makine erişimini yönetme.

Ağınız aynı veya farklı bölgelerde olabilen birden fazla Azure sanal ağına sahip olacaktır. WSUS sunucusu olarak kullanılıp kullanılamayabileceğini görmek için tüm Windows Server VM'lerini değerlendirmeniz gerekir. Güncelleştirilecek binlerce VM’niz varsa WSUS rolüne ayrılmış bir Windows Server VM’nizin olması önerilir. Vm'lerin birincil kaynakları olarak farklı bir bölgedeki WSUS sunucusunu kullanmamalarını da öneririz.

Tüm sanal ağlarınız aynı bölgedeyse her 18.000 sanal makine için bir WSUS olmasını öneririz. Bu öneri, güncelleştirilmekte olan istemci VM sayısına ve sanal ağlar arasındaki iletişim ücretlerine bağlı olarak VM gereksinimlerinin bir birleşimini temel alır. WSUS kapasite gereksinimleri hakkında daha fazla bilgi için bkz. WSUS dağıtımınızı planlama.

Azure fiyatlandırma hesaplayıcısını kullanarak bu yapılandırmaların maliyetini belirleyebilirsiniz. WSUS sanal makinelerinizin belirtimlerini ve ağ beklentilerinizi sağlamanız gerekir; aynı bölge, bölgeler arasında. Veri aktarımı için 3 GB ile başlayın. Fiyatlar bölgeye göre değişiklik gösterir.

El ile dağıtım

Kullanılacak Azure sanal ağını tanımladıktan veya yeni bir Windows Server örneği oluşturmanız gerektiğini belirledikten sonra bir NSG kuralı oluşturmanız gerekir. Kural, Windows Update meta verilerinin ve içeriğinin oluşturduğunuz WSUS sunucusuyla eşitlenmesine olanak tanıyan İnternet trafiğine izin verir. Eklemeniz gereken kurallar şunlardır:

• NSG kuralı, içerik için 80 numaralı bağlantı noktasında internetten giriş/çıkış trafiğinin izin verilmesi için oluşturulmuştur.
• 443 numaralı bağlantı noktasında İnternet’ten gelen ve giden trafiğe izin vermek için gelen/giden NSG kuralı (meta veriler için).
• Bağlantı noktası 8530 üzerinde İstemci VM’lerinden gelen trafiğe izin vermek için gelen/giden NSG kuralı (yapılandırılmadığı müddetçe varsayılan).

WSUS ayarlama

WSUS sunucunuzu ayarlamak için kullanabileceğiniz iki yaklaşım vardır:

• En az yönetim gerektiren tipik bir iş yükünü işleyecek şekilde yapılandırılmış bir sunucuyu otomatik olarak ayarlamak istiyorsanız PowerShell otomasyon betiğini kullanabilirsiniz.
• Birçok farklı işletim sistemini ve dili çalıştıran binlerce istemciyi işlemeniz gerekiyorsa veya WSUS’yi PowerShell betiğinin işleyemeyeceği bir biçimde yapılandırmak istiyorsanız WSUS’yi kendiniz ayarlayabilirsiniz. İki yaklaşım da bu makalenin ilerleyen kısımlarında tanımlanmaktadır.

Ayrıca, çalışmanın çoğunu yapmak üzere otomasyon betiğini kullanarak ve daha sonra sunucu ayarlarında ince ayar yapmak için WSUS yönetim konsolunu kullanarak iki yaklaşımı birleştirebilirsiniz.

Otomasyon betiği kullanarak WSUS'yi ayarlama

Betik, Configure-WSUSServer seçilen bir ürün ve dil kümesi için güncelleştirmeleri otomatik olarak eşitleyecek ve onaylayacak bir WSUS sunucusu ayarlamanıza olanak tanır.

Not

Betik, güncelleştirme verilerini depolamak için Windows İç Veritabanını kullanacak şekilde WSUS’yi ayarlar. Bu, kurulumu hızlandırır ve yönetim karmaşıklığını azaltır. Ancak sunucunuz binlerce istemci bilgisayarı destekleyecekse, özellikle de çok çeşitli ürün ve dilleri desteklemeniz gerekiyorsa veritabanı olarak SQL Server'ı kullanabilmek için WSUS'u el ile ayarlamanız gerekir.

Bu betiğin en son sürümü GitHub’da bulunabilir.

Betiği bir JSON dosyası kullanarak yapılandırırsınız. Şu anda şu seçenekleri yapılandırabilirsiniz:

• Güncelleştirme yüklerinin yerel olarak depolanması gerekip gerekmediği (ve depolanacaksa, nerede depolanması gerektiği) veya Microsoft sunucularında bırakılıp bırakılmaması gerektiği.
• Sunucuda hangi ürünlerin, güncelleştirme sınıflandırmalarının ve dillerin kullanılabilir olması gerektiği.
• Sunucunun yüklenmek üzere güncelleştirmeleri otomatik olarak onaylaması gerekip gerekmediği veya bir yönetici tarafından onaylanmadığı takdirde güncelleştirmelerin onaylanmamış olarak bırakılıp bırakılmayacağı.
• Sunucunun Microsoft’tan yeni güncelleştirmeleri otomatik olarak alması gerekip gerekmediği ve alıyorsa ne sıklıkta alması gerektiği.
• Hızlı güncelleştirme paketlerinin kullanılmasının gerekip gerekmediği. (Hızlı güncelleştirme paketleri, istemci CPU/disk kullanımı ve sunucudan sunucuya bant genişliği karşılığında sunucudan istemciye bant genişliğini azaltır.)
• Betiğin önceki ayarlarının üzerine yazılması gerekip gerekmediği. (Normalde, sunucu işlemini kesintiye uğratan bir yanlışlıkla yeniden yapılandırma yapmaktan kaçınmak için, komut dosyası belirli bir sunucuda yalnızca bir kez çalışır.)

Betiği ve yapılandırma dosyasını yerel depolama alanına kopyalayın ve yapılandırma dosyasını gereksinimlerinize uyacak şekilde düzenleyin.

Uyarı

Yapılandırma dosyasını düzenlerken dikkatli olun. JSON yapılandırma dosyaları için kullanılan söz dizimi katıdır. Yalnızca parametre değerleri yerine dosyanın yapısını yanlışlıkla değiştirirseniz, yapılandırma dosyası yüklenmez.

Bu betiği iki şekilde çalıştırabilirsiniz:

• Betiği WSUS VM’sinden kendiniz çalıştırabilirsiniz.

  Aşağıdaki komut, yükseltilmiş bir Komut İstemi penceresinde çalıştırıldığında, WSUS’yi yükler ve yapılandırır. Geçerli dizindeki betik ve yapılandırma dosyasını kullanacak.

  powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json

• Windows için Özel Betik Uzantısı’nı kullanabilirsiniz.

  Betiği ve JSON yapılandırma dosyasını, WSUS VM'ye özel ağ bağlantısına sahip kendi depolama konteynerinize kopyalayın.

  Tipik VM ve Azure Sanal Ağ yapılandırmalarında, Özel Betik Uzantısının betiği doğru bir şekilde çalıştırması için yalnızca bu iki parametre gerekir. (Burada gösterilen değerleri, depolama konumlarınızın URL’leriyle değiştirmeniz gerekir.)

  settings: {
    fileUris: [
      'https://yourstorageaccount.blob.core.windows.net/wsus/Configure-WSUSServer.ps1'
      'https://yourstorageaccount.blob.core.windows.net/container/WSUS-Config.json'
    ]
    commandToExecute: 'powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json'
  }
  

Komut dosyası, güncelleştirmeleri istemci bilgisayarlar için kullanılabilir hale getirmek için gereken ilk eşitlemeyi başlatır. Ancak, bu eşitlemenin tamamlanmasını beklemez. Seçtiğiniz ürünlere, sınıflandırmalara ve dillere bağlı olarak, ilk eşitleme birkaç saat sürebilir. Bundan sonraki tüm eşitlemeler daha hızlı gerçekleştirilir.

WSUS’yi el ile ayarlama

WSUS VM'nizden WSUS Sunucu Rolünü Yükleme başlığında bulunan yönergeleri izleyin

Eşitleme sırasında, WSUS, son eşitleme işleminden bu yana yeni bir güncelleştirmenin kullanıma sunulup sunulmadığını belirler. WSUS’yi ilk kez eşitliyorsanız, meta veriler hemen indirilir. Yük, yalnızca yerel depolama açıksa ve güncelleştirme en az bir bilgisayar grubu için onaylandıysa indirilir.

Not

İlk eşitleme bir saatten uzun sürebilir. Bundan sonraki tüm eşitlemeler önemli ölçüde daha hızlı gerçekleştirilir.

Sanal ağları WSUS ile iletişim kuracak şekilde yapılandırma

Ardından, merkez ile iletişim kurmak için Azure sanal ağ eşlemesi veya küresel sanal ağ eşlemesini ayarlayın. Gecikme süresini en aza indirmek için dağıttığınız her bölgede bir WSUS sunucusu ayarlamanızı öneririz.

Her biri bir uydu olan Azure sanal ağlarının her birinde, şu kurallara sahip bir NSG ilkesi oluşturmanız gerekir:

• 8530 numaralı bağlantı noktasında WSUS VM'sine giden trafiğe izin veren bir gelen/giden NSG kuralı (yapılandırılmadığı sürece varsayılan).
• İnternet trafiğini reddetmek için gelen/giden NSG kuralı.

Daha sonra, uçtan merkeze Azure sanal ağ eşlemesi oluşturun.

İstemci sanal makinelerini yapılandırma

WSUS, Windows çalıştıran tüm sanal makineleri güncelleştirmek için kullanılabilir. İstemcileri grup ilkesi kullanarak ayarlamak için bkz. WSUS sunucusundan güncelleştirmeleri almak için istemci bilgisayarları yapılandırma.

Büyük bir ağı yöneten bir yöneticiyseniz, istemcileri otomatik olarak yapılandırmak için Grup İlkesi ayarlarını kullanma hakkında daha fazla bilgi için bkz. Otomatik güncelleştirmeleri yapılandırma ve hizmet konumunu güncelleştirme.

Azure Güncelleştirme Yöneticisi

WSUS ile eşitlenen VM'ler için işletim sistemi güncelleştirmelerini yönetmek ve zamanlamak için Azure Update Manager'ı kullanabilirsiniz. VM’nin düzeltme eki durumu (yani, hangi düzeltme eklerinin eksik olduğu), VM’nin eşitlenecek şekilde yapılandırıldığı kaynağa göre değerlendirilir. Windows VM’si WSUS’ye raporlayacak şekilde yapılandırıldıysa, WSUS’nin Microsoft Update ile en son ne zaman eşitlendiğine bağlı olarak, sonuçlar Microsoft Update tarafından gösterilenlerden farklı olabilir. WSUS ortamınızı yapılandırdıktan sonra Güncelleştirme Yönetimi’ni etkinleştirebilirsiniz. Daha fazla bilgi için bkz . Azure Update Manager'a genel bakış.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• Paul Reed | Azure Uyumluluk Kıdemli Program Yöneticisi

Sonraki adımlar

• Dağıtım planlama hakkında daha fazla bilgi için bkz. WSUS dağıtımınızı planlama.
• WSUS’yi yönetme, WSUS eşitleme zamanlaması ayarlama ve daha fazlası hakkında daha fazla bilgi için bkz. WSUS yönetimi.

İlgili kaynak

• Azure’da Windows VM çalıştırma