Aracılığıyla paylaş

2. Adım: WSUS'yi yapılandırma

Sunucunuza Windows Server Update Services (WSUS) sunucu rolünü yükledikten sonra düzgün bir şekilde yapılandırmanız gerekir. Ayrıca istemci bilgisayarlarınızı güncelleştirmelerini WSUS sunucusundan alacak şekilde yapılandırmanız gerekir.

2.1. Ağ bağlantılarını yapılandırma

Yapılandırma işlemine başlamadan önce aşağıdaki soruların yanıtlarını bildiğinizden emin olun:

  • Sunucunun güvenlik duvarı istemcilerin sunucuya erişmesine izin verecek şekilde yapılandırılmış mı?

  • Bu bilgisayar yukarı akış sunucusuna (Microsoft Update'ten güncelleştirmeleri indirmek üzere atanan sunucu) bağlanabilir mi?

  • İhtiyacınız varsa ara sunucunun adına ve proxy sunucusunun kullanıcı kimlik bilgilerine sahip misiniz?

Ardından aşağıdaki WSUS ağ ayarlarını yapılandırmaya başlayabilirsiniz:

  • Güncelleştirmeler: Bu sunucunun güncelleştirmeleri nasıl alması gerektiğini belirtin (Microsoft Update'ten veya başka bir WSUS sunucusundan).

  • Ara sunucu: WSUS'un İnternet erişimi için bir ara sunucu kullanması gerektiğini belirlerseniz, WSUS sunucusunda ara sunucu ayarlarını yapılandırın.

  • Güvenlik duvarı: WSUS'nin kurumsal bir güvenlik duvarının arkasında olduğunu belirlerseniz, uç cihazda WSUS trafiğine izin vermek için ek adımlar uygulayın.

Önemli

Yalnızca bir WSUS sunucunuz varsa, güncelleştirmeleri Microsoft'tan indirmesi gerektiğinden bu sunucunun İnternet erişimi olmalıdır. Birden çok WSUS sunucunuz varsa, yalnızca bir sunucunun İnternet erişimine ihtiyacı vardır. Diğerlerinin yalnızca İnternet'e bağlı WSUS sunucusuna ağ erişimine ihtiyacı vardır. İstemci bilgisayarlarınızın İnternet erişimine ihtiyacı yoktur. Yalnızca WSUS sunucusuna ağ erişimi gerekir.

Tavsiye

Ağınız hava boşlukluysa—eğer internet erişimi hiç yoksa—ağ üzerindeki istemci bilgisayarlara güncelleştirmeler sağlamak için WSUS'u kullanmaya devam edebilirsiniz. Bu yaklaşım iki WSUS sunucusu gerektirir. İnternet erişimi olan bir WSUS sunucusu, güncelleştirmeleri Microsoft'tan toplar. Korumalı ağdaki ikinci bir WSUS sunucusu, güncelleştirmeleri istemci bilgisayarlara sunar. Güncelleştirmeler ilk sunucudan çıkarılabilir medyaya aktarılır, hava boşluğu boyunca taşınır ve ikinci sunucuya aktarılır. Bu yapılandırma gelişmiştir ve bu makalenin kapsamı dışındadır.

2.1.1. güvenlik duvarınızı, ilk WSUS sunucunuzun İnternet'te Microsoft etki alanlarına bağlanmasına izin verecek şekilde yapılandırın

Şirket güvenlik duvarı WSUS ile İnternet arasındaysa, WSUS'un güncelleştirmeleri alabilmesini sağlamak için bu güvenlik duvarını yapılandırmanız gerekebilir. WSUS sunucusu, Microsoft Update'ten güncelleştirmeleri almak için HTTP ve HTTPS protokolleri için 80 ve 443 bağlantı noktalarını kullanır. Çoğu şirket güvenlik duvarı bu tür trafiğe izin verse de, bazı şirketler güvenlik ilkeleri nedeniyle sunuculardan İnternet erişimini kısıtlar. Şirketiniz erişimi kısıtlarsa, güvenlik duvarınızı WSUS sunucunuzun Microsoft etki alanlarına erişmesine izin verecek şekilde yapılandırmanız gerekir.

İlk WSUS sunucunuzun, aşağıdaki etki alanlarındaki 80 ve 443 numaralı bağlantı noktalarına dışa doğru erişimi olması gerekmektedir.

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

Microsoft Configuration Manager gerektiren Microsoft 365 güncelleştirmelerini yönetiyorsanız, izin vermeniz gereken etki alanları hakkında daha fazla bilgi için bkz. Microsoft Configuration Manager ile Microsoft 365 Uygulamaları güncelleştirmelerini yönetme .

Önemli

Güvenlik duvarınızı, ilk WSUS sunucusunun bu etki alanlarındaki herhangi bir URL'ye erişmesine izin verecek şekilde yapılandırmanız gerekir. Bu etki alanlarıyla ilişkili IP adresleri sürekli değişiyor, bu nedenle bunun yerine IP adresi aralıklarını kullanmayı denemeyin.

2.1.2. Güvenlik duvarını diğer WSUS sunucularınızın ilk sunucuya bağlanmasına izin verecek şekilde yapılandırın

Birden çok WSUS sunucunuz varsa, diğer WSUS sunucularını ilk (en üst) sunucuya erişecek şekilde yapılandırmanız gerekir. Ardından diğer WSUS sunucularınız tüm güncelleştirme bilgilerini en üstteki sunucudan alır. Bu yapılandırma, en üstteki sunucudaki WSUS Yönetim Konsolu'nu kullanarak tüm ağınızı yönetmenizi sağlar.

Diğer WSUS sunucularınızın en üstteki sunucuya iki bağlantı noktası üzerinden giden erişimi olmalıdır. Varsayılan olarak, bu bağlantı noktaları 8530 ve 8531'tir. Bu makalenin devamında WSUS sunucusunun IIS web sunucusunu bazı bağlantılar için TLS kullanacak şekilde yapılandırma başlığı altında açıklandığı gibi bu bağlantı noktalarını değiştirebilirsiniz.

Uyarı

WSUS sunucuları arasındaki ağ bağlantısı yavaş veya pahalıysa, diğer WSUS sunucularından birini veya daha fazlasını güncelleştirme yüklerini doğrudan Microsoft'tan alacak şekilde yapılandırabilirsiniz. Bu durumda, bu WSUS sunucularından en üstteki sunucuya yalnızca az miktarda veri gönderilir. Bu yapılandırmanın çalışması için diğer WSUS sunucularının en üstteki sunucuyla aynı internet etki alanlarına erişimi olmalıdır.

Uyarı

Büyük bir kuruluşunuz varsa, diğer tüm WSUS sunucularınızın doğrudan en üstteki sunucuya bağlanmasını sağlamak yerine bağlı WSUS sunucu zincirlerini kullanabilirsiniz. Örneğin, en üstteki sunucuya bağlanan ikinci bir WSUS sunucunuz olabilir ve ardından diğer WSUS sunucularının ikinci WSUS sunucusuna bağlanmasını sağlayabilirsiniz.

2.1.3. Gerekirse WSUS sunucularınızı ara sunucu kullanacak şekilde yapılandırma

Şirket ağı ara sunucu kullanıyorsa, proxy sunucuları HTTP ve HTTPS protokollerini desteklemelidir. Ayrıca temel kimlik doğrulaması veya Windows kimlik doğrulaması da kullanmalıdır. Aşağıdaki yapılandırmalardan birini kullanarak bu gereksinimleri karşılayabilirsiniz:

  • İki protokol kanalını destekleyen tek bir proxy sunucusu. Bu durumda, bir kanalı HTTP kullanacak şekilde, diğer kanalı ise HTTPS kullanacak şekilde ayarlayın.

    Uyarı

    WSUS sunucu yazılımının yüklenmesi sırasında WSUS için her iki protokolü de işleyen bir ara sunucu ayarlayabilirsiniz.

  • Her biri tek bir protokolü destekleyen iki proxy sunucusu. Bu durumda, bir ara sunucuyu HTTP kullanacak şekilde, diğer ara sunucuyu ise HTTPS kullanacak şekilde yapılandırın.

WSUS'yi iki ara sunucu kullanacak şekilde ayarlamak için

  1. Yerel Yöneticiler grubunun üyesi olan bir hesabı kullanarak WSUS sunucusu olarak kullanmayı planladığınız bilgisayarda oturum açın.

  2. WSUS sunucu rolünü yükleyin. WSUS Yapılandırma Sihirbazı'nı kullandığınızda, WSUS Yapılandırma Sihirbazı'nı kullanarak WSUS yapılandırma sihirbazında açıklandığı gibi bir ara sunucu belirtmeyin.

  3. Komut İstemi 'ni (Cmd.exe) yönetici olarak açın:

    1. Başlat menüsünde Komut İstemi'ni arayın.
    2. Komut İstemi'ne sağ tıklayın ve yönetici olarak çalıştır'ı seçin.
    3. Kullanıcı Hesabı Denetimi iletişim kutusu görüntülenirse, uygun kimlik bilgilerini girin (istenirse), görüntülenen eylemin istediğiniz eylem olduğunu onaylayın ve devam'ı seçin.

  4. Komut İstemi'nde C:\Program Files\Update Services\Tools klasörüne gidin. Aşağıdaki komutu girin:

    wsusutil ConfigureSSLproxy [<proxy-server proxy-port>] -enable

    Bu komutta:

    • proxy_server , HTTPS'yi destekleyen proxy sunucusunun adıdır.

    • proxy_port , ara sunucunun bağlantı noktası numarasıdır.

  5. Komut İstemi'ni kapatın.

WSUS yapılandırmasına ara sunucu eklemek için

  1. WSUS Yönetim Konsolu'nu açın.

  2. Güncelleştirme Hizmetleri'nin altında sunucu adını genişletin ve seçenekler'i seçin.

  3. Seçenekler bölmesinde Kaynağı ve Ara Sunucuyu Güncelleştir'i seçin ve ara sunucu sekmesine gidin.

  4. Eşitleme sırasında ara sunucu kullan'ı seçin ve ilgili kutulara ara sunucunun adını ve bağlantı noktası numarasını girin. Varsayılan bağlantı noktası numarası 80'dir.

  5. Ara sunucu belirli bir kullanıcı hesabı kullanmanızı gerektiriyorsa Ara sunucuya bağlanmak için kullanıcı kimlik bilgilerini kullan'ı seçin. İlgili kutulara gerekli kullanıcı adını, etki alanını ve parolayı girin.

  6. Proxy sunucusu temel kimlik doğrulamasını destekliyorsa , Temel kimlik doğrulamasına izin ver (parola düz metin olarak gönderilir) seçeneğini belirleyin.

  7. Tamam'ı seçin.

WSUS yapılandırmasından ara sunucuyu kaldırmak için

  1. WSUS Yönetim Konsolu'ndaki Güncelleştirme Hizmetleri'nin altında sunucu adını genişletin ve seçenekler'i seçin.

  2. Seçenekler bölmesinde Kaynağı ve Ara Sunucuyu Güncelleştir'i seçin ve ara sunucu sekmesine gidin.

  3. Eşitlenirken ara sunucu kullan onay kutusunu temizleyin.

  4. Tamam'ı seçin.

2.1.4. güvenlik duvarınızı istemci bilgisayarların WSUS sunucusuna erişmesine izin verecek şekilde yapılandırma

İstemci bilgisayarlarınızın tümünün WSUS sunucularınızdan birine bağlanması gerekir. Her istemci bilgisayarın WSUS sunucusundaki iki bağlantı noktası için giden erişimi olmalıdır. Varsayılan olarak, bu bağlantı noktaları 8530 ve 8531'tir.

2.2. WSUS Yapılandırma Sihirbazı'nı kullanarak WSUS'yi yapılandırma

Aşağıdaki bölümlerdeki yordamlar, WSUS ayarlarını yapılandırmak için WSUS Yapılandırma Sihirbazı'nı kullanır. WSUS Yönetim Konsolu'nu ilk kez başlattığınızda WSUS Yapılandırma Sihirbazı görüntülenir. WSUS ayarlarını yapılandırmak için WSUS Yönetim Konsolu'ndaki Seçenekler bölmesini de kullanabilirsiniz. Seçenekler bölmesini kullanma hakkında daha fazla bilgi için bu makalenin diğer bölümlerinde aşağıdaki yordamlara bakın:

Sihirbazı başlatma ve ilk ayarları yapılandırma

  1. Sunucu Yöneticisi panosunda Araçlar>Windows Server Update Services'ı seçin.

    Uyarı

    WSUS Yüklemesini Tamamla iletişim kutusu görüntülenirse Çalıştır'ı seçin. WSUS Yüklemesini Tamamla iletişim kutusunda, yükleme başarıyla tamamlandığında Kapat'ı seçin.

    WSUS Yapılandırma Sihirbazı açılır.

  2. Başlamadan Önce sayfasında bilgileri gözden geçirin ve İleri'yi seçin.

  3. Microsoft Update Geliştirme Programına Katıl sayfasında yönergeleri okuyun. Programa katılmak istiyorsanız varsayılan seçimi koruyun veya katılmıyorsanız onay kutusunu temizleyin. Sonra İleri'yi seçin.

Yukarı akış ve ara sunucu ayarlarını yapılandırma

  1. Yukarı Akış Sunucusu Seç sayfasında aşağıdaki seçeneklerden birini belirleyin:

    • Microsoft Update'ten eşitle

    • Başka bir Windows Server Update Services sunucusundan eşitleme

    Başka bir WSUS sunucusundan eşitlemeyi seçerseniz aşağıdaki adımları uygulayın:

    1. Bu sunucunun yukarı akış sunucusuyla iletişim kurması gereken sunucu adını ve bağlantı noktasını belirtin.

    2. TLS'yi kullanmak için Güncelleştirme bilgilerini eşitlerken SSL kullan'ı seçin. Sunucular eşitleme için 443 numaralı bağlantı noktasını kullanır. (Bu sunucunun ve yukarı akış sunucusunun TLS'yi desteklediğinden emin olun.)

    3. Bu sunucu bir çoğaltma sunucusuysa Bu üst akış sunucusunun çoğaltmasıdır'ı seçin.

  2. Dağıtımınız için seçenekleri seçtikten sonra İleri'yi seçin.

  3. WSUS'nin İnternet'e erişmek için bir ara sunucuya ihtiyacı varsa aşağıdaki ara sunucu ayarlarını yapılandırın. Aksi takdirde bu adımı atlayın.

    1. Ara Sunucu Belirt sayfasında, Eşitleme sırasında ara sunucu kullan'ı seçin. Ardından ilgili kutulara ara sunucu adını ve bağlantı noktası numarasını (varsayılan olarak 80 numaralı bağlantı noktası) girin.

    2. Belirli kullanıcı kimlik bilgilerini kullanarak ara sunucuya bağlanmak istiyorsanız, Ara sunucuya bağlanmak için kullanıcı kimlik bilgilerini kullan'ı seçin. Ardından ilgili kutulara kullanıcının adını, etki alanını ve parolasını girin.

      Ara sunucuya bağlanan kullanıcı için temel kimlik doğrulamasını etkinleştirmek istiyorsanız, Temel kimlik doğrulamasına izin ver (parola düz metin olarak gönderilir) seçeneğini belirleyin.

  4. sonrakiseçin.

  5. Yukarı Akış Sunucusuna Bağlan sayfasında Bağlanmayı Başlat'ı seçin.

  6. WSUS sunucuya bağlandığında İleri'yi seçin.

Dilleri, ürünleri ve sınıflandırmaları seçme

  1. Dil Seç sayfasında, WSUS'nin güncelleştirmeleri aldığı dilleri seçebilirsiniz: tüm diller veya dillerin bir alt kümesi. Dillerin bir alt kümesinin seçilmesi disk alanından tasarruf sağlar, ancak bu WSUS sunucusunun tüm istemcilerinin ihtiyaç duyduğu tüm dilleri seçmek önemlidir.

    Yalnızca belirli diller için güncelleştirmeleri almayı seçerseniz Güncelleştirmeleri yalnızca bu dillerde indir'i seçin ve ardından güncelleştirmeleri istediğiniz dilleri seçin. Aksi takdirde, varsayılan seçimi değiştirmeyin.

    Uyarı

    Güncelleştirmeleri yalnızca bu dillerde indir seçeneğini belirlerseniz ve bu sunucuya bağlı bir aşağı akış WSUS sunucusu varsa, bu seçenek aşağı akış sunucusunu yalnızca seçili dilleri de kullanmaya zorlar.

  2. sonrakiseçin.

  3. Ürünleri Seç sayfasında, güncelleştirmelerini istediğiniz ürünleri belirtin. Windows gibi ürün kategorilerini veya Windows Server 2019 gibi belirli ürünleri seçin. Bir ürün kategorisi seçildiğinde bu kategorideki tüm ürünler seçilir.

  4. sonrakiseçin.

  5. Sınıflandırmaları Seç sayfasında, almak istediğiniz güncelleştirme sınıflandırmalarını seçin. Tüm sınıflandırmaları veya bunların bir alt kümesini seçin ve ardından İleri'yi seçin.

Eşitleme zamanlamasını yapılandırma

  1. Eşitleme Zamanlamasını Ayarla sayfasında, eşitlemeyi el ile mi yoksa otomatik olarak mı gerçekleştirebileceğinizi seçin.

    • El ile eşitle'yi seçerseniz, WSUS Yönetim Konsolu'ndan eşitleme işlemini başlatmanız gerekir.

    • Otomatik olarak eşitle'yi seçerseniz, WSUS sunucusu belirlenen aralıklarla eşitlenir.

      İlk eşitleme için saati ayarlayın ve ardından bu sunucunun gerçekleştirmesini istediğiniz eşitleme sayısını belirtin. Örneğin, 03:00'dan başlayarak günde dört eşitleme belirtirseniz, eşitlemeler 03:00, 09:00, 15:00 ve 15:00'te gerçekleşir.

  2. sonrakiseçin.

Sihirbazı tamamla

  1. Bitti sayfasında, eşitlemeyi hemen başlatmak istiyorsanız İlk eşitlemeyi başlat'ı seçin. Bu seçeneği belirlemezseniz, ilk eşitlemeyi gerçekleştirmek için WSUS Yönetim Konsolu'nu kullanmanız gerekir.

  2. Diğer ayarlar hakkında daha fazla bilgi edinmek istiyorsanız İleri'yi seçin. Aksi takdirde, sihirbazı sonuçlandırmak ve ilk WSUS kurulumunu tamamlamak için Son'u seçin.

Son'u seçtikten sonra WSUS Yönetim Konsolu görüntülenir. Bu konsolu, bu makalenin sonraki bölümlerinde açıklandığı gibi WSUS ağınızı yönetmek için kullanırsınız.

2.3. WSUS'u TLS protokolüyle güvenli bir şekilde sağlama

WSUS ağınızın güvenliğini sağlamaya yardımcı olması için TLS protokolünüzü kullanmanız gerekir. WSUS, bağlantıların kimliğini doğrulamak ve güncelleştirme bilgilerini şifrelemek ve korumak için TLS kullanabilir.

Uyarı

TLS protokolünün kullanılması WSUS'nin güvenliğini sağlamak ağınızın güvenliği için önemlidir. WSUS sunucunuz bağlantılarının güvenliğini sağlamak için TLS'yi düzgün kullanmıyorsa, saldırgan bir WSUS sunucusundan diğerine veya WSUS sunucusundan istemci bilgisayarlara gönderildiğinde önemli güncelleştirme bilgilerini değiştirebilir. Bu durumda, saldırgan istemci bilgisayarlara kötü amaçlı yazılım yükleyebilir.

Önemli

TLS veya HTTPS kullanacak şekilde yapılandırılmış istemciler ve alt sunucular da üst WSUS sunucuları için tam etki alanı adı (FQDN) kullanacak şekilde yapılandırılmalıdır.

2.3.1. TLS/HTTPS kullanmak için WSUS sunucusunun IIS hizmetinde TLS/HTTPS'yi etkinleştirme

TLS/HTTPS kullanma işlemine başlamak için WSUS sunucusunun Internet Information Services (IIS) hizmetinde TLS desteğini etkinleştirmeniz gerekir. Bu çaba, sunucu için bir TLS/Güvenli Yuva Katmanı (SSL) sertifikası oluşturmayı içerir.

Sunucu için TLS/SSL sertifikası almak için gereken adımlar bu makalenin kapsamı dışındadır ve ağ yapılandırmanıza bağlıdır. Sertifikaları yükleme ve bu ortamı ayarlama hakkında daha fazla bilgi ve yönergeler için Active Directory Sertifika Hizmetleri belgelerine bakın.

2.3.2. WSUS sunucusunun IIS web sunucusunu bazı bağlantılar için TLS kullanacak şekilde yapılandırma

WSUS, diğer WSUS sunucularına ve istemci bilgisayarlara yönelik bağlantılar için iki bağlantı noktası gerektirir. Bir bağlantı noktası, güncelleştirme meta verilerini (güncelleştirmeler hakkında önemli bilgiler) göndermek için TLS/HTTPS kullanır. Varsayılan olarak, bu amaçla 8531 numaralı bağlantı noktası kullanılır. İkinci bağlantı noktası, güncelleştirme yüklerini göndermek için HTTP kullanır. Varsayılan olarak, bu amaçla 8530 numaralı bağlantı noktası kullanılır.

Önemli

WSUS web sitesinin tamamını TLS gerektirecek şekilde yapılandıramazsınız. WSUS yalnızca güncelleştirme meta verilerini şifrelemek için tasarlanmıştır. Windows Update de güncelleştirmeleri aynı şekilde dağıtır.

Güncelleştirme yüklerini kurcalayan bir saldırgana karşı koruma sağlamak için, tüm güncelleştirme yükleri belirli bir güvenilir imzalama sertifikası kümesi aracılığıyla imzalı olur. Ayrıca, her güncelleştirme yükü için bir şifreleme karması hesaplanır. Karma, güncellemenin diğer meta verileriyle birlikte güvenli HTTPS meta veri bağlantısı üzerinden istemci bilgisayara gönderilir. Bir güncelleştirme indirildiğinde, istemci yazılımı yükün dijital imzasını ve karması doğrular. Güncelleştirme değiştirildiyse yüklenmez.

Yalnızca aşağıdaki IIS sanal kökleri için TLS'ye ihtiyacınız olmalıdır:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

Aşağıdaki sanal kökler için TLS gerektirmemelisiniz:

  • İçerik

  • Envanter

  • ReportingWebService

  • Kendi Güncellemesi

Sertifika yetkilisinin (CA) sertifikası yerel bilgisayar için her WSUS sunucusunun Güvenilen Kök CA deposuna veya varsa WSUS için Güvenilen Kök CA deposuna aktarılmalıdır.

IIS'de TLS/SSL sertifikalarını kullanma hakkında daha fazla bilgi için bkz. IIS 7 veya sonraki sürümlerde SSL'yi Ayarlama.

Önemli

Yerel bilgisayar için sertifika depoyu kullanmanız gerekir. Kullanıcının sertifika depolarını kullanamazsınız.

Normalde, IIS'yi HTTPS bağlantıları için 8531 numaralı bağlantı noktasını ve HTTP bağlantıları için 8530 numaralı bağlantı noktasını kullanacak şekilde yapılandırmanız gerekir. Bu bağlantı noktalarını değiştirirseniz, iki bitişik bağlantı noktası numarası kullanmanız gerekir. HTTP bağlantıları için kullanılan bağlantı noktası numarası, HTTPS bağlantıları için kullanılan bağlantı noktası numarasından tam olarak 1 küçük olmalıdır.

Sunucu adı, TLS yapılandırması veya bağlantı noktası numarası değişirse istemci proxy'sini yeniden başlatmanız ClientServicingProxy gerekir.

2.3.3. WSUS'yi istemci bağlantıları için TLS/SSL imzalama sertifikasını kullanacak şekilde yapılandırma

  1. WSUS Yöneticileri grubunun veya Yerel Yöneticiler grubunun üyesi olan bir hesabı kullanarak WSUS sunucusunda oturum açın.

  2. Başlat menüsünde CMD yazın, Komut İstemi'ne sağ tıklayın ve yönetici olarak çalıştır'ı seçin.

  3. C:\Program Files\Update Services\Tools klasörüne gidin.

  4. Komut İstemi'ne aşağıdaki komutu girin:

    wsusutil configuressl <certificate-name>

    Bu komutta sertifika-adı , WSUS sunucusunun Etki Alanı Adı Sistemi (DNS) adıdır.

2.3.4. Gerekirse SQL Server bağlantısının güvenliğini sağlama

WSUS'yi uzak bir SQL Server veritabanıyla kullanıyorsanız, WSUS sunucusu ile veritabanı sunucusu arasındaki bağlantı TLS ile güvenli değildir. Bu durum olası bir saldırı vektöru oluşturur. Bu bağlantının korunmasına yardımcı olmak için aşağıdaki önerileri göz önünde bulundurun:

  • WSUS veritabanını WSUS sunucusuna taşıyın.

  • Uzak veritabanı sunucusunu ve WSUS sunucusunu özel bir ağa taşıyın.

  • Ağ trafiğinin güvenliğini sağlamaya yardımcı olmak için İnternet Protokolü güvenliği (IPsec) dağıtın. IPsec hakkında daha fazla bilgi için bkz. IPsec ilkelerini oluşturma ve kullanma.

2.3.5. Gerekirse yerel yayımlama için kod imzalama sertifikası oluşturma

WSUS, Microsoft'un sağladığı güncelleştirmeleri dağıtmanın yanı sıra yerel yayımlamayı da destekler. Kendi tasarladığınız güncelleştirmeleri kendi yükleriniz ve davranışlarınızla oluşturmak ve dağıtmak için yerel yayımlamayı kullanabilirsiniz.

Yerel yayımlamayı etkinleştirme ve yapılandırma, bu makalenin kapsamı dışındadır. Tüm ayrıntılar için bkz. Yerel yayımlama.

Önemli

Yerel yayımlama karmaşık bir işlemdir ve genellikle gerekli değildir. Yerel yayımlamayı etkinleştirmeye karar vermeden önce belgeleri dikkatle gözden geçirmeli ve bu işlevselliği kullanmak isteyip istemediğinizi ve nasıl kullanabileceğinizi göz önünde bulundurmalısınız.

2.4. WSUS bilgisayar gruplarını yapılandırma

Bilgisayar grupları, WSUS'yi etkili bir şekilde kullanmanın önemli bir parçasıdır. Belirli bilgisayarlara yapılan güncelleştirmeleri test etmek ve hedeflemek için bilgisayar gruplarını kullanabilirsiniz. İki varsayılan bilgisayar grubu vardır: Tüm Bilgisayarlar ve Atanmamış Bilgisayarlar. Varsayılan olarak, her istemci bilgisayar WSUS sunucusuyla ilk kez iletişim kurarken, sunucu bu istemci bilgisayarı bu grupların her ikisine de ekler.

Kuruluşunuzdaki güncelleştirmeleri yönetmek için gereken sayıda özel bilgisayar grubu oluşturabilirsiniz. En iyi uygulama olarak, güncelleştirmeleri kuruluşunuzdaki diğer bilgisayarlara dağıtmadan önce test etmek için en az bir bilgisayar grubu oluşturun.

2.4.1. İstemci bilgisayarları bilgisayar gruplarına atamak için bir yaklaşım seçin

İstemci bilgisayarları bilgisayar gruplarına atamaya yönelik iki yaklaşım vardır. Kuruluşunuz için doğru yaklaşım, genellikle istemci bilgisayarlarınızı nasıl yönettiğinize bağlıdır.

  • Sunucu tarafı hedefleme: Bu yaklaşım varsayılan yaklaşımdır. Bu yaklaşımda, WSUS Yönetim Konsolu'nu kullanarak istemci bilgisayarları bilgisayar gruplarına atarsınız.

    Bu yaklaşım, koşullar değiştikçe istemci bilgisayarları bir gruptan diğerine hızla taşıma esnekliği sağlar. Ancak sonuç olarak, yeni istemci bilgisayarları Atanmamış Bilgisayarlar grubundan uygun bilgisayar grubuna el ile taşımanız gerekir.

  • İstemci tarafı hedefleme: Bu yaklaşımda, istemci bilgisayarın kendisinde ayarlanan ilke ayarlarını kullanarak her istemci bilgisayarı bilgisayar gruplarına atarsınız.

    Bu yaklaşım, uygun gruplara yeni istemci bilgisayarlar atamayı kolaylaştırır. Bunu, istemci bilgisayarı WSUS sunucusundan güncelleştirmeleri alacak şekilde yapılandırmanın bir parçası olarak yaparsınız. Ancak sonuç olarak, WSUS Yönetim Konsolu aracılığıyla istemci bilgisayarları bilgisayar gruplarına atayamaz veya bir bilgisayar grubundan diğerine taşıyamazsınız. Bunun yerine, istemci bilgisayarların ilkelerini değiştirmeniz gerekir.

2.4.2. Uygunsa istemci tarafı hedeflemeyi etkinleştirme

Önemli

Sunucu tarafı hedefleme kullanmayı planlıyorsanız bu bölümdeki adımları atlayın.

  1. WSUS Yönetim Konsolu'ndaki Güncelleştirme Hizmetleri'nin altında WSUS sunucusunu genişletin ve seçenekler'i seçin.

  2. Seçenekler bölmesinde Bilgisayarlar'ı seçin. Genel sekmesine gidin ve ardından Bilgisayarlarda Grup İlkesi veya kayıt defteri ayarlarını kullan'ı seçin.

2.4.3. İstenen bilgisayar gruplarını oluşturma

Uyarı

bilgisayar gruplarına istemci bilgisayar eklemek için sunucu tarafı hedefleme veya istemci tarafı hedeflemesi kullanmanız fark etmeksizin WSUS Yönetim Konsolu'nu kullanarak bilgisayar grupları oluşturmanız gerekir.

  1. WSUS Yönetim Konsolu'nda, Güncelleştirme Hizmetleri'nin altında WSUS sunucusunu genişletin, Bilgisayarlar'ı genişletin, Tüm bilgisayarlar'a sağ tıklayın ve ardından Bilgisayar Grubu Ekle'yi seçin.

  2. Bilgisayar Grubu Ekle iletişim kutusunda, Ad için yeni grubun adını belirtin. Ardından Ekle'yi seçin.

2.5. İstemci bilgisayarları WSUS sunucusuyla TLS bağlantıları kuracak şekilde yapılandırma

WSUS sunucusunu TLS kullanarak istemci bilgisayarların bağlantılarını korumaya yardımcı olacak şekilde yapılandırdığınız varsayıldığında, istemci bilgisayarları bu TLS bağlantılarına güvenecek şekilde yapılandırmanız gerekir.

WSUS sunucusunun TLS/SSL sertifikası, istemci bilgisayarların Güvenilen Kök CA deposuna veya varsa istemci bilgisayarların Otomatik Güncelleştirme Hizmeti Güvenilen Kök CA deposuna aktarılmalıdır.

Önemli

Yerel bilgisayar için sertifika depoyu kullanmanız gerekir. Kullanıcının sertifika depolarını kullanamazsınız.

İstemci bilgisayarların WSUS sunucusuna bağladığınız sertifikaya güvenmesi gerekir. Kullanılan sertifika türüne bağlı olarak, istemci bilgisayarların WSUS sunucusuna bağlı sertifikaya güvenmesini sağlamak için bir hizmet ayarlamanız gerekebilir.

Yerel yayımlama kullanıyorsanız, istemci bilgisayarları WSUS sunucusunun kod imzalama sertifikasına güvenecek şekilde de yapılandırmanız gerekir. Yönergeler için bkz. Yerel yayımlama.

2.6. İstemci bilgisayarları WSUS sunucusundan güncelleştirmeleri alacak şekilde yapılandırma

Varsayılan olarak, istemci bilgisayarlarınız Güncelleştirmeleri Windows Update'ten alır. Bunun yerine güncelleştirmeleri WSUS sunucusundan alacak şekilde yapılandırılmalıdır.

Önemli

Bu makalede, Grup İlkesi'ni kullanarak istemci bilgisayarları yapılandırmaya yönelik bir dizi adım verilmiştir. Bu adımlar birçok durumda uygundur. Ancak, mobil cihaz yönetimini kullanma dahil olmak üzere istemci bilgisayarlarda güncelleştirme davranışını yapılandırmak için diğer birçok seçenek mevcuttur. Bu seçeneklerle ilgili belgeler için bkz. Ek Windows Update ayarlarını yönetme.

2.6.1. Düzenlenecek doğru ilke kümesini seçin

Ağınızda Active Directory ayarlandıysa, bir veya birden çok bilgisayarı bir Grup İlkesi Nesnesine (GPO) ekleyerek ve ardından bu GPO'yu WSUS ayarlarıyla yapılandırarak aynı anda yapılandırabilirsiniz.

Yalnızca WSUS ayarlarını içeren yeni bir GPO oluşturmanızı öneririz. Bu WSUS GPO'yu ortamınıza uygun bir Active Directory kapsayıcısına bağlayın.

Basit bir ortamda, etki alanına tek bir WSUS GPO bağlayabilirsiniz. Daha karmaşık bir ortamda, birden çok WSUS GPO'sunu birkaç kuruluş birimine (OU) bağlayabilirsiniz. GPO'ları OU'lara bağladığınızda, WSUS ilke ayarlarını farklı bilgisayar türlerine uygulayabilirsiniz.

Ağınızda Active Directory kullanmıyorsanız, her bilgisayarı Yerel Grup İlkesi Düzenleyicisi'ni kullanarak yapılandırmanız gerekir.

2.6.2. İstemci bilgisayarları yapılandırmak için ilkeleri düzenleme

İlke ayarlarını kullanarak istemci bilgisayarları yapılandırmak için aşağıdaki bölümlerde yer alan adımları uygulayın.

Uyarı

Bu yönergelerde, ilke düzenleme araçlarının en son sürümlerini kullandığınız varsayılır. Araçların eski sürümlerinde ilkeler farklı şekilde düzenlenebilir.

İlke düzenleyicisini açın ve Windows Update öğesine gidin

  1. Uygun ilke nesnesini açın:

    • Active Directory kullanıyorsanız Grup İlkesi Yönetim Konsolu'nu açın, WSUS'yi yapılandırmak istediğiniz GPO'ya gidin ve Düzenle'yi seçin. Ardından Bilgisayar Yapılandırması'yı ve İlkeler'i genişletin.
    • Active Directory kullanmıyorsanız Yerel Grup İlkesi Düzenleyicisi'ni açın. Yerel bilgisayar politikası görüntülenir. Bilgisayar Yapılandırması'ni genişletin.

  2. Önceki adımda genişlettığınız nesnede Yönetim Şablonları>Windows bileşenleri>Windows Update'i genişletin. İşletim sisteminiz Windows 10 veya Windows 11 ise Son kullanıcı deneyimini yönet'i de seçin.

Otomatik güncelleştirmeler için ayarı düzenleme

  1. Ayrıntılar bölmesinde Otomatik Güncelleştirmeleri Yapılandır'a çift tıklayın. Otomatik Güncelleştirmeleri Yapılandır ilkesi açılır.

  2. Etkin'i seçin ve ardından Otomatik güncelleştirmeler özelliğinin onaylı güncelleştirmeleri indirme ve yükleme şeklini yönetmek için Otomatik güncelleştirmeyi yapılandır ayarının altında istediğiniz seçeneği belirleyin.

    Otomatik indirme ve yükleme ayarını zamanlamanızı öneririz. WSUS'de onayladığınız güncelleştirmelerin kullanıcı müdahalesine gerek kalmadan zamanında indirilmesini ve yüklenmesini sağlar.

  3. İsterseniz, ilkenin diğer bölümlerini düzenleyin. Daha fazla bilgi için bkz. Ek Windows Update ayarlarını yönetme.

    Uyarı

    Diğer Microsoft ürünlerinden güncelleştirmeleri yükle ayarının, WSUS'den güncelleştirmeleri alan istemci bilgisayarlar üzerinde hiçbir etkisi yoktur. İstemci bilgisayarlar, WSUS sunucusunda kendileri için onaylanan tüm güncelleştirmeleri alır.

  4. Otomatik Güncelleştirmeleri Yapılandır ilkesini kapatmak için Tamam'ı seçin.

Güncelleştirmeleri barındıracak bir intranet sunucusu belirtme ayarını düzenleyin

  1. Ayrıntılar bölmesinde intranet Microsoft güncelleştirme hizmeti konumunu belirtin'e çift tıklayın. İşletim sisteminiz Windows 10 veya Windows 11 ise, önce ağacın Windows Update düğümüne dönün ve ardından Windows Server Update Hizmeti'nden sunulan güncelleştirmeleri yönet'i seçin.

    İntranet Microsoft güncelleştirme hizmeti konumunu belirtin ilkesi açılır.

  2. Etkin'i seçin ve ardından güncelleştirmeleri algılamak için intranet güncelleştirme hizmetini ayarla ve İntranet istatistik sunucusu ayarla kutularına WSUS sunucusunun URL'sini girin.

    Uyarı

    URL'ye doğru bağlantı noktasını eklediğinizden emin olun. Sunucuyu önerilen şekilde TLS kullanacak şekilde yapılandırdığınız varsayıldığında, HTTPS için yapılandırılan bağlantı noktasını belirtmeniz gerekir. Örneğin, HTTPS için 8531 numaralı bağlantı noktasını kullanmayı seçerseniz ve sunucunun etki alanı adı wsus.contoso.com ise, her iki kutuya da https://wsus.contoso.com:8531 girmelisiniz.

  3. İntranet Microsoft güncelleştirme hizmeti konumunu belirtme ilkesini kapatmak için OK'yi seçin.

uygunsa istemci tarafı hedeflemeyi yapılandırma

İstemci tarafı hedeflemeyi kullanmayı seçerseniz, yapılandırdığınız istemci bilgisayarlar için uygun bilgisayar grubunu belirtmek üzere bu bölümdeki adımları izleyin.

Uyarı

Bu adımlarda, istemci bilgisayarları yapılandırmak için ilkeleri düzenleme adımlarını tamamladığınız varsayılır.

  1. İlke düzenleyicisinde Windows Update öğesine gidin. İşletim sisteminiz Windows 10 veya Windows 11 ise, Windows Server Update Service'ten sunulan güncelleştirmeleri yönet'i de seçin.

  2. Ayrıntılar bölmesinde İstemci tarafı hedeflemeyi etkinleştir'e çift tıklayın. İstemci tarafı hedeflemeyi etkinleştir ilkesi açılır.

  3. Etkin'i seçin. Bu bilgisayar için hedef grup adı'nın altında, istemci bilgisayarları eklemek istediğiniz WSUS bilgisayar grubunun adını girin.

    WSUS'nin geçerli bir sürümünü çalıştırıyorsanız, grup adlarını noktalı virgülle ayırarak istemci bilgisayarları birden çok bilgisayar grubuna ekleyebilirsiniz. Örneğin, istemci bilgisayarları hem Muhasebe hem de Yönetici bilgisayar gruplarına eklemek için Muhasebe;Yönetici girebilirsiniz.

  4. İstemci tarafı hedeflemeyi etkinleştir ilkesini kapatmak için Tamam'ı seçin.

2.6.3. İstemci bilgisayarın WSUS sunucusuna bağlanmasına izin ver

İstemci bilgisayarlar WSUS sunucusuna ilk kez bağlanana kadar WSUS Yönetim Konsolu'nda görünmez.

  1. İlke değişikliklerinin istemci bilgisayarda etkili olmasını bekleyin.

    İstemci bilgisayarları yapılandırmak için Active Directory tabanlı bir GPO kullanırsanız, Grup İlkesi Güncelleştirme mekanizmasının değişiklikleri bir istemci bilgisayara teslim etmek biraz zaman alır. Bu işlemi hızlandırmak istiyorsanız, yükseltilmiş ayrıcalıklarla Komut İstemi'ni açabilir ve ardından gpupdate /force komutunu girebilirsiniz.

    Tek bir istemci bilgisayarı yapılandırmak için Yerel Grup İlkesi Düzenleyicisi'ni kullanırsanız, değişiklikler hemen geçerli olur.

  2. İstemci bilgisayarı yeniden başlatın. Bu adım, bilgisayardaki Windows Update yazılımının ilke değişikliklerini algılamasını sağlar.

  3. İstemci bilgisayarın güncelleştirmeleri taramasına izin verin. Bu tarama normalde biraz zaman alır.

    Şu seçeneklerden birini kullanarak işlemi hızlandırabilirsiniz:

    • Windows 10 veya 11'de, güncelleştirmeleri el ile denetlemek için Ayarlar uygulaması Windows Update sayfasını kullanın.
    • Windows 10'un önceki Windows sürümlerinde, güncelleştirmeleri el ile denetlemek için Denetim Masası'ndaki Windows Update simgesini kullanın.
    • Windows'un Windows 10'dan önceki sürümlerinde yükseltilmiş ayrıcalıklarla Komut İstemi'ni açın ve wuauclt /detectnow komutunu girin.

2.6.4 İstemci bilgisayarın WSUS sunucusuyla başarılı bağlantısını doğrulayın

Önceki adımların tümünü başarıyla gerçekleştirirseniz aşağıdaki sonuçları görürsünüz:

  • İstemci bilgisayar güncelleştirmeleri başarıyla tarar. (İndirmek ve yüklemek için geçerli güncelleştirmeleri bulabilir veya bulamıyor olabilir.)

  • yaklaşık 20 dakika içinde istemci bilgisayar, WSUS Yönetim Konsolu'nda görüntülenen bilgisayarlar listesinde, hedefleme türüne bağlı olarak görüntülenir:

    • Sunucu tarafı hedefleme kullanıyorsanız, istemci bilgisayar Tüm Bilgisayarlar ve Atanmamış Bilgisayarlar bilgisayar gruplarında görünür.

    • İstemci tarafı hedefleme kullanıyorsanız, istemci bilgisayar Tüm Bilgisayarlar bilgisayar grubunda ve istemci bilgisayarı yapılandırırken seçtiğiniz bilgisayar grubunda görünür.

2.6.5. uygunsa istemci bilgisayarın sunucu tarafı hedeflemesini ayarlama

Sunucu tarafı hedefleme kullanıyorsanız, şimdi yeni istemci bilgisayarı uygun bilgisayar gruplarına eklemeniz gerekir.

  1. WSUS Yönetim Konsolu'nda yeni istemci bilgisayarı bulun. WSUS sunucusunun bilgisayar listesindeki Tüm Bilgisayarlar ve Atanmamış Bilgisayarlar bilgisayar gruplarında görünmelidir.

  2. İstemci bilgisayara sağ tıklayın ve Üyeliği değiştir'i seçin.

  3. İletişim kutusunda uygun bilgisayar gruplarını ve ardından Tamam'ı seçin.

Sonraki adım

3. Adım: Güncelleştirmeleri Onaylama ve Dağıtma