Tutorial: Konfigurieren eines Softwareupdatepunkts für die Verwendung von TLS/SSL mit einem PKI-ZertifikatTutorial: Configure a software update point to use TLS/SSL with a PKI certificate

Gilt für: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Indem Sie die Windows Server Update Services (WSUS)-Server und die entsprechenden Softwareupdatepunkte (SUP) für die Verwendung von TLS/SSL konfigurieren, schränken Sie die Möglichkeiten für einen potenziellen Angreifer ein, Clients von einem Remotestandort aus zu kompromittieren und Berechtigungen zu erhöhen.Configuring Windows Server Update Services (WSUS) servers and their corresponding software update points (SUP) to use TLS/SSL may reduce the ability of a potential attacker to remotely compromise a client and elevate privileges. Um die Verwendung der besten Sicherheitsprotokolle zu gewährleisten, empfehlen wir Ihnen dringend, das TLS/SSL-Protokoll zu implementieren, um Ihre Softwareupdateinfrastruktur zu schützen.To ensure that the best security protocols are in place, we highly recommend that you use the TLS/SSL protocol to help secure your software update infrastructure. Dieser Artikel führt Sie durch die Schritte, die erforderlich sind, um jeden Ihrer WSUS-Server und Softwareupdatepunkt für die Verwendung von HTTPS zu konfigurieren.This article walks you through the steps required to configure each of your WSUS servers and the software update point to use HTTPS. Weitere Informationen zum Schützen von WSUS finden Sie unter Schützen von WSUS mit dem Secure Sockets Layer-Protokoll in der WSUS-Dokumentation.For more information about securing WSUS, see the Secure WSUS with the Secure Sockets Layer Protocol article in the WSUS documentation.

In diesem Lernprogramm lernen Sie Folgendes:In this tutorial, you will:

  • Abrufen eines PKI-Zertifikats, falls erforderlichObtain a PKI certificate, if needed
  • Binden des Zertifikats an die WSUS-VerwaltungssiteBind the certificate to the WSUS Administration website
  • Konfigurieren der WSUS-Webdienste, um SSL anzufordernConfigure the WSUS web services to require SSL
  • Konfigurieren der WSUS-Anwendung für die Verwendung von SSLConfigure the WSUS application to use SSL
  • Überprüfen, ob die WSUS-Konsolenverbindung SSL verwenden kannVerify the WSUS console connection can use SSL
  • Konfigurieren des Softwareupdatepunkts zum Erzwingen der SSL-Kommunikation mit dem WSUS-ServerConfigure the software update point to require SSL communication to the WSUS server
  • Überprüfen der Funktionalität mit Configuration ManagerVerify functionality with Configuration Manager

Überlegungen und EinschränkungenConsiderations and limitations

TLS/SSL wird von WSUS zur Authentifizierung von Clientcomputern und WSUS-Downstreamservern gegenüber dem WSUS-Upstreamserver verwendet.WSUS uses TLS/SSL to authenticate client computers and downstream WSUS servers to the upstream WSUS server. TLS/SSL wird von WSUS auch zum Verschlüsseln von Metadaten für Updates verwendet.WSUS also uses TLS/SSL to encrypt update metadata. WSUS verwendet kein TLS/SSL für die Inhaltsdateien eines Updates.WSUS doesn't use TLS/SSL for an update's content files. Die Inhaltsdateien sind signiert, und der Hash der Datei ist in den Metadaten des Updates enthalten.The content files are signed and the hash of the file is included in the update's metadata. Bevor die Dateien vom Client heruntergeladen und installiert werden, werden die digitale Signatur und der Hashwert überprüft.Before the files are downloaded and installed by the client, both the digital signature and hash are checked. Wenn eine der beiden Überprüfungen fehlschlägt, wird das Update nicht installiert.If either check fails, the update won't be installed.

Beachten Sie die folgenden Einschränkungen, wenn Sie TLS/SSL zum Sichern einer WSUS-Bereitstellung verwenden:Consider the following limitations when you use TLS/SSL to secure a WSUS deployment:

  • Die Verwendung von TLS/SSL erhöht den Serverworkload.Using TLS/SSL increases the server workload. Sie sollten davon ausgehen, dass bei der Verschlüsselung aller Metadaten, die über das Netzwerk gesendet werden, ein kleiner Leistungsverlust auftritt.You should expect a small performance loss from encrypting all the metadata that is sent over the network.
  • Wenn Sie WSUS mit einer Remote SQL Server-Datenbank verwenden, wird die Verbindung zwischen dem WSUS-Server und dem Datenbankserver nicht durch TLS/SSL gesichert.If you use WSUS with a remote SQL Server database, the connection between the WSUS server and the database server isn't secured by TLS/SSL. Wenn die Verbindung mit der Datenbank gesichert werden muss, sollten Sie folgende Empfehlungen berücksichtigen:If the database connection must be secured, consider the following recommendations:
    • Verschieben Sie die WSUS-Datenbank auf den WSUS-Server.Move the WSUS database to the WSUS server.
    • Verschieben Sie die Remotedatenbankserver und den WSUS-Server in ein privates Netzwerk.Move the remote database server and the WSUS server to a private network.
    • Stellen Sie Internet Protocol Security (IPsec) bereit, um den Netzwerkverkehr zu sichern.Deploy Internet Protocol security (IPsec) to help secure network traffic.

Wenn Sie WSUS-Server und deren Softwareupdatepunkte für die Verwendung von TLS/SSL konfigurieren, sollten Sie die Änderungen für große Configuration Manager-Hierarchien schrittweise einführen.When configuring WSUS servers and their software update points to use TLS/SSL, you may want to phase in the changes for large Configuration Manager hierarchies. Wenn Sie sich für eine schrittweise Einführung dieser Änderungen entscheiden, beginnen Sie am unteren Ende der Hierarchie, und arbeiten Sie sich nach oben bis zum Standort der zentralen Verwaltung vor.If you choose to phase in these changes, start at the bottom of the hierarchy and move upwards ending with the central administration site.

VoraussetzungenPrerequisites

In diesem Tutorial wird die gängigste Methode zum Abrufen eines Zertifikats für die Verwendung mit Internetinformationsdiensten (IIS) behandelt.This tutorial covers the most common method to obtain a certificate for use with Internet Information Services (IIS). Stellen Sie unabhängig davon, welche Methode Ihre Organisation verwendet, sicher, dass das Zertifikat die PKI-Zertifikatsanforderungen für einen Configuration Manager-Softwareupdatepunkt erfüllt.Whichever method your organization uses, ensure that the certificate meets the PKI certificate requirements for a Configuration Manager software update point. Wie bei jedem Zertifikat müssen die mit dem WSUS-Server kommunizierenden Geräte der Zertifizierungsstelle vertrauen.As with any certificate, the certificate authority must be trusted by devices communicating with the WSUS server.

  • Ein WSUS-Server mit installierter Softwareupdatepunkt-RolleA WSUS server with the software update point role installed
  • Stellen Sie sicher, dass Sie die bewährten Methoden zum Deaktivieren der Wiederverwendung und Konfigurieren von Arbeitsspeicher-Grenzwerten für WSUS befolgt haben, bevor Sie TLS/SSL aktivieren.Verify you've followed best practices on disabling recycling and configuring memory limits for WSUS before enabling TLS/SSL.
  • Eine der beiden folgenden Optionen:One of the two following options:
    • Ein entsprechendes PKI-Zertifikat, das sich bereits im persönlichen Zertifikatspeicher des WSUS-Servers befindet.An appropriate PKI certificate already in the WSUS server's Personal certificate store.
    • Die Möglichkeit, ein entsprechendes PKI-Zertifikat für den WSUS-Server von der Stammzertifizierungsstelle für Ihr Unternehmen anzufordern und zu erhalten.The ability to request and obtain an appropriate PKI certificate for the WSUS server from your Enterprise root certificate authority (CA).
      • Standardmäßig werden die meisten Zertifikatvorlagen, einschließlich der WebServer-Zertifikatvorlage, nur für Domänenadministratoren ausgegeben.By default, most certificate templates including the WebServer certificate template will only issue to Domain Admins. Wenn der angemeldete Benutzer kein Domänenadministrator ist, muss seinem Benutzerkonto die Berechtigung Registrieren für die Zertifikat Vorlage erteilt werden.If the logged in user isn't a domain admin, their user account will need to be granted the Enroll permission on the certificate template.

Abrufen des Zertifikats bei Bedarf von der ZertifizierungsstelleObtain the certificate from the CA if needed

Wenn Sie bereits über ein entsprechendes Zertifikat im persönlichen Zertifikatspeicher des WSUS-Servers verfügen, überspringen Sie diesen Abschnitt, und beginnen Sie mit dem Abschnitt Binden des Zertifikats.If you already have an appropriate certificate in the WSUS server's Personal certificate store, skip this section and start with the Bind the certificate section. Befolgen Sie die Anweisungen in diesem Abschnitt, um an Ihre interne Zertifizierungsstelle eine Zertifikatanforderung zum Installieren eines neuen Zertifikats zu senden.To send a certificate request to your internal CA to install a new certificate, follow the instructions in this section.

  1. Führen Sie certlm.msc über eine Administratoreingabeaufforderung auf dem WSUS-Server aus.From the WSUS server, open an administrative command prompt and run certlm.msc. Ihr Benutzerkonto muss ein lokaler Administrator sein, um Zertifikate für den lokalen Computer verwalten zu können.Your user account needs to be a local administrator to manage certificates for the local computer.

    Das Certificate Manager-Tool für das lokale Gerät wird angezeigt.The Certificate Manager tool for the local device appears.

  2. Erweitern Sie Persönlich, und klicken Sie dann mit der rechten Maustaste auf Zertifikate.Expand Personal, then right-click on Certificates.

  3. Wählen Sie Alle Aufgaben und dann Neues Zertifikat anfordern aus.Select All Tasks then Request New Certificate.

  4. Wählen Sie Weiter aus, um die Zertifikatregistrierung zu starten.Choose Next to begin certificate enrollment.

  5. Wählen Sie den Typ des zu registrierenden Zertifikats aus.Choose the type of certificate to enroll. Der Zertifikatzweck ist Serverauthentifizierung, und die zu verwendende Microsoft-Zertifikatvorlage ist Webserver oder eine benutzerdefinierte Vorlage, für die Serverauthentifizierung als erweiterte Schlüsselverwendung angegeben ist.The certificate purpose is Server Authentication and the Microsoft certificate template to use is Web Server or a custom template that has Server Authentication specified as Enhanced Key Usage. Möglicherweise werden Sie zur Eingabe zusätzlicher Informationen aufgefordert, um das Zertifikat zu registrieren.You may be prompted for additional information to enroll the certificate. In der Regel geben Sie mindestens die folgenden Informationen an:Typically, you'll specify the following information at minimum:

    • Allgemeiner Name: Legen Sie auf der Registerkarte Antragsteller den Wert auf den FQDN des WSUS-Servers fest.Common name: Found on the Subject tab, set the value to the WSUS server's FQDN.
    • Anzeigename: Legen Sie auf der Registerkarte Allgemein den Wert auf einen beschreibenden Namen fest, damit Sie das Zertifikat später leichter identifizieren können.Friendly name: Found on the General tab, set the value to a descriptive name to help you identify the certificate later.

    Fenster „Zertifikateigenschaften“, um weitere Informationen zur Registrierung festzulegen

  6. Wählen Sie Registrieren und dann Fertig stellen aus, um die Registrierung abzuschließen.Select Enroll then Finish to complete the enrollment.

  7. Öffnen Sie das Zertifikat, wenn Sie Details dazu anzeigen möchten, wie z. B. den Fingerabdruck des Zertifikats.Open the certificate if you want to see details about it such as the certificate's thumbprint.

Tipp

Wenn Ihr WSUS-Server mit dem Internet verbunden ist, benötigen Sie den externen FQDN als Antragstellernamen oder alternativen Antragstellernamen (SAN) im Zertifikat.If your WSUS server is internet facing, you'll need the external FQDN in the Subject or Subject Alternative Name (SAN) in your certificate.

Binden des Zertifikats an die WSUS-VerwaltungssiteBind the certificate to the WSUS Administration site

Nachdem Sie das Zertifikat im persönlichen Zertifikatspeicher des WSUS-Servers gespeichert haben, binden Sie es an die WSUS-Verwaltungssite in IIS.Once you have the certificate in the WSUS server's personal certificate store, bind it to the WSUS Administration site in IIS.

  1. Öffnen Sie auf dem WSUS-Server den Internetinformationsdienste-Manager.On the WSUS server, open Internet Information Services (IIS) Manager.

  2. Wechseln Sie zu Sites > WSUS-Verwaltung.Go to Sites > WSUS Administration.

  3. Wählen Sie Bindungen entweder aus dem Aktionsmenü oder durch Klicken mit der rechten Maustaste auf die Site aus.Select Bindings from either the action menu or by right-clicking on the site.

  4. Wählen Sie im Fenster Sitebindungen die Zeile für HTTPS und dann Bearbeiten aus.In the Site Bindings window, select the line for https, then select Edit....

    • Entfernen Sie die HTTP-Sitebindung nicht.Don't remove the HTTP site binding. WSUS verwendet HTTP für die Updateinhaltsdateien.WSUS uses HTTP for the update content files.
  5. Wählen Sie unter der Option SSL-Zertifikat das Zertifikat aus, das an die WSUS-Verwaltungssite gebunden werden soll.Under the SSL certificate option, choose the certificate to bind to the WSUS Administration site. Der Anzeigename des Zertifikats wird im Dropdownmenü angezeigt.The certificate's friendly name is shown in the drop-down menu. Wenn kein Anzeigename angegeben wurde, wird das IssuedTo-Feld des Zertifikats angezeigt.If a friendly name wasn't specified, then the certificate's IssuedTo field is shown. Wenn Sie nicht sicher sind, welches Zertifikat verwendet werden soll, wählen Sie Ansicht aus, und überprüfen Sie, ob der Fingerabdruck demjenigen entspricht, den Sie abgerufen haben.If you're not sure which certificate to use, select View and verify the thumbprint matches the one you obtained.

    Fenster „Sitebindung bearbeiten“ mit SSL-Zertifikatauswahl

  6. Wählen Sie OK aus, wenn Sie fertig sind, und dann Schließen, um die Sitebindungen zu beenden.Select OK when you're done, then Close to exit the site bindings. Lassen Sie den IIS-Manager (Internetinformationsdienste) für die nächsten Schritte geöffnet.Keep Internet Information Services (IIS) Manager open for the next steps.

Konfigurieren der WSUS-Webdienste, um SSL anzufordernConfigure the WSUS web services to require SSL

  1. Wechseln Sie im IIS-Manager auf dem WSUS-Server zu Sites > WSUS-Verwaltung.In IIS Manager on the WSUS server, go to Sites > WSUS Administration.

  2. Erweitern Sie die WSUS-Verwaltungssite, um die Liste der Webdienste und virtuellen Verzeichnisse für WSUS anzuzeigen.Expand the WSUS Administration site so you see the list of web services and virtual directories for WSUS.

  3. Für jeden der folgenden WSUS-Webdienste:For each of the below WSUS web services:

    • ApiRemoting30ApiRemoting30
    • ClientWebServiceClientWebService
    • DSSAuthWebServiceDSSAuthWebService
    • ServerSyncWebServiceServerSyncWebService
    • SimpleAuthWebServiceSimpleAuthWebService

    Nehmen Sie die folgenden Änderungen vor:Make the following changes:

    1. Wählen Sie SSL-Einstellungen aus.Select SSL Settings.
    2. Aktivieren Sie die Option SSL erforderlich.Enable the Require SSL option.
    3. Vergewissern Sie sich, dass die Option Clientzertifikate auf Ignorieren festgelegt ist.Verify the Client certificates option is set to Ignore.
    4. Klicken Sie auf Übernehmen.Select Apply.

Legen Sie die SSL-Einstellungen nicht für die WSUS-Verwaltungssite der obersten Ebene fest, da für bestimmte Funktionen, z. B. Inhalt, HTTP verwendet werden muss.Don't set the SSL settings at the top-level WSUS Administration site since certain functions, such as content, need to use HTTP.

Konfigurieren der WSUS-Anwendung für die Verwendung von SSLConfigure the WSUS application to use SSL

Nachdem die Webdienste so konfiguriert wurden, dass sie SSL erfordern, muss die WSUS-Anwendung benachrichtigt werden, damit sie zusätzliche Konfigurationsschritte ausführen kann, um die Änderung zu unterstützen.Once the web services are set to require SSL, the WSUS application needs to be notified so it can do some additional configuration to support the change.

  1. Öffnen Sie eine Administratoreingabeaufforderung auf dem WSUS-Server.Open an admin command prompt on the WSUS server. Das Benutzerkonto, mit dem dieser Befehl ausgeführt wird, muss Mitglied der Gruppe „WSUS-Administratoren“ oder „Lokale Administratoren“ sein.The user account running this command must be a member of either the WSUS Administrators group or the local Administrators group.

  2. Wechseln Sie in das Verzeichnis mit den Tools für WSUS:Change directory to the tools folder for WSUS:

    cd "c:\Program Files\Update Services\Tools"

  3. Konfigurieren Sie WSUS für die Verwendung von SSL mit dem folgenden Befehl:Configure WSUS to use SSL with the following command:

    WsusUtil.exe configuressl server.contoso.com

    Dabei ist server.contoso.com der FQDN des WSUS-Servers.Where server.contoso.com is the FQDN of the WSUS server.

  4. WsusUtil gibt die URL des WSUS-Servers zurück, wobei die Portnummer am Ende angegeben ist.WsusUtil returns the URL of the WSUS server with the port number specified at the end. Der Port ist entweder 8531 (Standard) oder 443.The port will be either 8531 (default) or 443. Vergewissern Sie sich, dass die erwartete URL zurückgegeben wird.Verify the URL returned is what you expected. Wenn etwas falsch geschrieben wurde, können Sie den Befehl erneut ausführen.If something was mistyped, you can run the command again.

    Der Befehl „wsusutil configuressl“, der die HTTPS-URL für WSUS zurückgibt

Tipp

Wenn der WSUS-Server mit dem Internet verbunden ist, geben Sie beim Ausführen von WsusUtil.exe configuressl den externen FQDN an.If your WSUS server is internet facing, specify the external FQDN when running WsusUtil.exe configuressl.

Überprüfen, ob die WSUS-Konsole eine Verbindung über SSL herstellen kannVerify the WSUS console can connect using SSL

Die WSUS-Konsole verwendet den ApiRemoting30-Webdienst für die Verbindung.The WSUS console uses the ApiRemoting30 web service for connection. Der Configuration Manager-Softwareupdatepunkt (SUP) verwendet den gleichen Webdienst auch, um den WSUS anzuweisen, bestimmte Aktionen durchzuführen, z. B:The Configuration Manager software update point (SUP) also uses this same web service to direct WSUS to take certain actions such as:

  • Initiieren einer SoftwareupdatesynchronisierungInitiating a software update synchronization
  • Festlegen des richtigen Upstreamservers für WSUS, und zwar abhängt davon, wo sich der Standort des SUP in Ihrer Configuration Manager-Hierarchie befindetSetting the proper upstream server for WSUS, which is dependent on where the SUP's site resides in your Configuration Manager hierarchy
  • Hinzufügen oder Entfernen von Produkten und Klassifikationen für die Synchronisierung auf dem WSUS-Server der obersten Ebene der Hierarchie.Adding or removing products and classifications for synchronization from the hierarchy's top-level WSUS server.
  • Entfernen abgelaufener UpdatesRemoving expired updates

Öffnen Sie die WSUS-Konsole, um zu überprüfen, ob Sie eine SSL-Verbindung zum ApiRemoting30-Webdienst des WSUS-Servers verwenden können.Open the WSUS console to verify you can use an SSL connection to the WSUS server's ApiRemoting30 web service. Einige andere Webdienste werden später getestet.We'll test some of the other web services later.

  1. Öffnen Sie die WSUS-Konsole, und wählen Sie Aktion > Verbindung mit Server herstellen aus.Open the WSUS console and select Action > Connect to Server.

  2. Geben Sie den voll qualifizierten Namen des WSUS-Servers für die Option Servername ein.Enter the FQDN of the WSUS server for the Server name option.

  3. Wählen Sie die Portnummer aus, die in der URL von WSUSutil zurückgegeben wird.Choose the Port number returned in the URL from WSUSutil.

  4. Wenn Sie entweder 8531 (Standard) oder 443 als Portnummer auswählen, wird die Option Verbindung mit diesem Server über SSL (Secure Sockets Layer) herstellen automatisch aktiviert.The Use Secure Sockets Layer (SSL) to connect to this server option automatically enables when either 8531 (default) or 443 are chosen.

    Herstellen der Verbindung mit der WSUS-Konsole über den HTTPS-Port

  5. Wenn Ihr Configuration Manager-Standortserver über eine Remoteverbindung mit dem Softwareupdatepunkt verbunden ist, starten Sie die WSUS-Konsole vom Standortserver aus, und vergewissern Sie sich, dass die WSUS-Konsole eine Verbindung über SSL herstellen kann.If your Configuration Manager site server is remote from the software update point, launch the WSUS console from the site server and verify the WSUS console can connect over SSL.

    • Wenn die WSUS-Remotekonsole keine Verbindung herstellen kann, deutet dies wahrscheinlich auf ein Problem mit der Vertrauensstellung des Zertifikats oder der Namensauflösung oder die Blockierung des Ports hin.If the remote WSUS console can't connect, it likely indicates a problem with either trusting the certificate, name resolution, or the port being blocked.

Konfigurieren des Softwareupdatepunkts zum Erzwingen der SSL-Kommunikation mit dem WSUS-ServerConfigure the software update point to require SSL communication to the WSUS server

Sobald WSUS für die Verwendung von TLS/SSL eingerichtet ist, müssen Sie den entsprechenden Softwareupdatepunkt von Configuration Manager aktualisieren, damit auch er SSL erfordert.Once WSUS is set up to use TLS/SSL, you'll need to update the corresponding Configuration Manager software update point to require SSL too. Wenn Sie diese Änderung vornehmen, wird Configuration Manager folgende Aktionen ausführen:When you make this change, Configuration Manager will:

  • Überprüfen, ob er den WSUS-Server für den Softwareupdatepunkt konfigurieren kannVerify it can configure the WSUS server for the software update point
  • Clients anweisen, den SSL-Port zu verwenden, wenn sie zur Überprüfung dieses WSUS-Servers aufgefordert werden.Direct clients to use the SSL port when they're told to scan against this WSUS server.

Um den Softwareupdatepunkt zum Erzwingen der SSL-Kommunikation mit dem WSUS-Server zu konfigurieren, führen Sie die folgenden Schritte aus:To configure the software update point to require SSL communication to the WSUS server, do the following steps:

  1. Öffnen Sie die Configuration Manager-Konsole, und stellen Sie eine Verbindung entweder zu Ihrem Standort der zentralen Verwaltung oder zum primären Standortserver für den Softwareupdatepunkt her, den Sie bearbeiten müssen.Open the Configuration Manager console and connect to either your central administration site or the primary site server for the software update point you need to edit.

  2. Wechseln Sie zu Verwaltung > Übersicht > -Standortkonfiguration > Server und Standortsystemrollen.Go to Administration > Overview > Site Configuration > Servers and Site System Roles.

  3. Wählen Sie den Standortsystemserver aus, auf dem WSUS installiert ist, und wählen Sie dann die Standortsystemrolle des Softwareupdatepunkts aus.Select the site system server where WSUS is installed, then select the software update point site system role.

  4. Wählen Sie im Menüband Eigenschaften aus.From the ribbon, choose Properties.

  5. Aktivieren Sie die Option SSL-Kommunikation mit dem WSUS-Server erforderlich.Enable the Require SSL communication to the WSUS server option.

    SUP-Eigenschaften mit der Option zum Erzwingen der SSL-Kommunikation mit dem WSUS-Server

  6. Das WCM.log für die Site enthält die folgenden Einträge, wenn Sie die Änderung anwenden:In the WCM.log for the site, you'll see the following entries when you apply the change:

    SCF change notification triggered.
    Populating config from SCF
    Setting new configuration state to 1 (WSUS_CONFIG_PENDING)
    ...
    Attempting connection to local WSUS server
    Successfully connected to local WSUS server
    ...
    Setting new configuration state to 2 (WSUS_CONFIG_SUCCESS)
    

Die Beispiele für die Protokolldatei wurden bearbeitet, indem nicht benötigte Informationen für dieses Szenario entfernt wurden.Log file examples have been edited to remove unneeded information for this scenario.

Überprüfen der Funktionalität mit Configuration ManagerVerify functionality with Configuration Manager

Überprüfen, ob der Standortserver Updates synchronisieren kannVerify the site server can sync updates

  1. Verbinden Sie die Configuration Manager-Konsole mit dem Standort der obersten Ebene.Connect the Configuration Manager console to the top-level site.

  2. Wechseln Sie zu Softwarebibliothek > Übersicht > Softwareupdates > Alle Softwareupdates.Go to Software Library > Overview > Software Updates > All Software Updates.

  3. Wählen Sie im Menüband die Option Softwareupdates synchronisieren aus.From the ribbon, select Synchronize Software Updates.

  4. Wählen Sie in der Benachrichtigung Ja aus, wenn Sie eine standortweite Synchronisierung für Softwareupdates initiieren möchten.Select Yes to the notification asking if you want to initiate a site-wide synchronization for software updates.

    • Da die WSUS-Konfiguration geändert wurde, erfolgt anstelle einer Deltasynchronisierung eine vollständige Synchronisierung der Softwareupdates.Since the WSUS configuration changed, a full software updates synchronization will occur rather than a delta synchronization.
  5. Öffnen Sie die Datei wsyncmgr.log für die Site.Open the wsyncmgr.log for the site. Wenn Sie einen untergeordneten Standort überwachen, müssen Sie warten, bis die Synchronisierung des übergeordneten Standorts abgeschlossen ist.If you're monitoring a child site, you'll need to wait for the parent site to finish synchronization first. Vergewissern Sie sich, dass der Server erfolgreich synchronisiert wurde, indem Sie überprüfen, ob das Protokoll Einträge ähnlich der folgenden enthält:Verify that the server syncs successfully by reviewing the log for entries similar to the following:

    Starting Sync
    ...
    Full sync required due to changes in main WSUS server location.
    ...
    Found active SUP SERVER.CONTOSO.COM from SCF File.
    ...
    https://SERVER.CONTOSO.COM:8531
    ...
    Done synchronizing WSUS Server SERVER.CONTOSO.COM
    ...
    sync: Starting SMS database synchronization
    ...
    Done synchronizing SMS with WSUS Server SERVER.CONTOSO.COM
    

Überprüfen Sie, ob ein Client nach Updates suchen kannVerify a client can scan for updates

Wenn Sie den Softwareupdatepunkt so ändern, dass SSL erforderlich ist, erhalten Configuration Manager-Clients die aktualisierte WSUS-URL, wenn sie eine Standortanforderung für einen Softwareupdatepunkt stellen.When you change the software update point to require SSL, Configuration Manager clients receive the updated WSUS URL when it makes a location request for a software update point. Durch das Testen eines Clients ist Folgendes möglich:By testing a client, we can:

  • Bestimmen, ob der Client dem Zertifikat des WSUS-Servers vertraut.Determine if the client trusts the WSUS server's certificate.
  • Bestimmen, ob SimpleAuthWebService und ClientWebService für WSUS funktionsfähig sind.If the SimpleAuthWebService and the ClientWebService for WSUS are functional.
  • Sicherstellen, dass das virtuelle Verzeichnis des WSUS-Inhalts funktionsfähig ist, wenn der Client während der Überprüfung einen EULA-Wert erhält.That the WSUS content virtual directory is functional, if the client happened to get a EULA during the scan
  1. Identifizieren eines Clients, der den Softwareupdatepunkt überprüft, der vor kurzem für die Verwendung von TLS/SSL geändert wurde.Identify a client that scans against the software update point recently changed to use TLS/SSL. Verwenden Sie Skripts ausführen mit dem folgenden PowerShell-Skript, wenn Sie Hilfe bei der Identifizierung eines Clients benötigen:Use Run scripts with the below PowerShell script if you need help with identifying a client:

    $Last = (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").LastSuccessScanPath
    $Current= Write-Output (Get-CIMInstance -Namespace "root\CCM\Scanagent" -Class "CCM_SUPLocationList").CurrentScanPath
    Write-Host "LastGoodSUP- $last"
    Write-Host "CurrentSUP- $current"
    

    Tipp

    Öffnen Sie dieses Skript im Community Hub.Open this script in community hub. Weitere Informationen finden Sie unter Direkte Links zu Community Hub-Elementen.For more information, see Direct links to community hub items.

  2. Führen Sie auf Ihrem Testclient einen Überprüfungszyklus für Softwareupdates aus.Run a software update scan cycle on your test client. Sie können einen Scan mit dem folgenden PowerShell-Skript erzwingen:You can force a scan with the following PowerShell script:

    Invoke-WMIMethod -Namespace root\ccm -Class SMS_CLIENT -Name TriggerSchedule "{00000000-0000-0000-0000-000000000113}"
    

    Tipp

    Öffnen Sie dieses Skript im Community Hub.Open this script in community hub. Weitere Informationen finden Sie unter Direkte Links zu Community Hub-Elementen.For more information, see Direct links to community hub items.

  3. Schauen Sie sich das ScanAgent.log des Clients an, um zu überprüfen, ob die Nachricht zum Scannen des Softwareupdatepunkts empfangen wurde.Review the client's ScanAgent.log to verify the message to scan against the software update point was received.

    Message received: '<?xml version='1.0' ?>
    <UpdateSourceMessage MessageType='ScanByUpdateSource'>
       <ForceScan>TRUE</ForceScan>
       <UpdateSourceIDs>
             <ID>{A1B2C3D4-1234-1234-A1B2-A1B2C3D41234}</ID>
       </UpdateSourceIDs>
     </UpdateSourceMessage>'
    
  4. Schauen Sie sich das LocationServices.log an, um sicherzustellen, dass dem Client die richtige WSUS-URL angezeigt wird.Review the LocationServices.log to verify that the client sees the correct WSUS URL. LocationServices.logLocationServices.log

    WSUSLocationReply : <WSUSLocationReply SchemaVersion="1
    ...
    <LocationRecord WSUSURL="https://SERVER.CONTOSO.COM:8531" ServerName="SERVER.CONTOSO.COM"
    ...
    </WSUSLocationReply>
    
  5. Schauen Sie sich das WUAHandler.log an, um sich zu vergewissern, dass der Client erfolgreich scannen kann.Review the WUAHandler.log to verify that the client can successfully scan.

    Enabling WUA Managed server policy to use server: https://SERVER.CONTOSO.COM:8531
    ...
    Successfully completed scan.
    

Anheften von TLS-Zertifikaten für Geräte, die WSUS-Server mit HTTPS-Konfiguration überprüfenTLS certificate pinning for devices scanning HTTPS-configured WSUS servers

(Eingeführt in 2103)(Introduced in 2103)

Ab Configuration Manager 2103 können Sie die Sicherheit von HTTPS-Überprüfungen bei WSUS erhöhen, indem Sie das Anheften von Zertifikaten erzwingen.Starting in Configuration Manager 2103, you can further increase the security of HTTPS scans against WSUS by enforcing certificate pinning. Um dieses Verhalten im vollen Umfang zu aktivieren, fügen Sie die Zertifikate für Ihre WSUS-Server auf Ihren Clients zum neuen Zertifikatspeicher WindowsServerUpdateServices hinzu, und vergewissern Sie sich, dass das Anheften von Zertifikaten in den Clienteinstellungen aktiviert ist.To fully enable this behavior, add certificates for your WSUS servers to the new WindowsServerUpdateServices certificate store on your clients and ensure certificate pinning is enabled through Client Settings. Weitere Informationen zu den Änderungen im Windows Update-Agent finden Sie im Artikel zum Erhöhen der Sicherheit bei Windows-Geräten, die WSUS für Updates verwenden, durch Änderungen an der Überprüfung und Zertifikate in der Microsoft Tech Community.For more information about the changes to the Windows Update Agent, see Scan changes and certificates add security for Windows devices using WSUS for updates - Microsoft Tech Community.

Voraussetzungen zum Erzwingen des Anhaftens von TLS-Zertifikaten für den Windows Update-ClientPrerequisites for enforcing TLS certificate pinning for Windows Update client

  • Configuration Manager, Version 2103Configuration Manager version 2103
  • WSUS-Server und Softwareupdatepunkte müssen für die Verwendung von TLS/SSL konfiguriert sein.Ensure your WSUS servers and software update points are configured to use TLS/SSL
  • Die Zertifikate für die WSUS-Server müssen sich im neuen Zertifikatspeicher WindowsServerUpdateServices auf den Clients befinden.Add the certificates for your WSUS servers to the new WindowsServerUpdateServices certificate store on your clients

Hinweis

Softwareupdateüberprüfungen für Geräte werden mit dem Standardwert Ja für die Client Einstellung Anheften von TLS-Zertifikaten für Windows Update-Client zum Erkennen von Updates erzwingen weiterhin erfolgreich ausgeführt.Software update scans for devices will continue to run successfully using the default value of Yes for the Enforce TLS certificate pinning for Windows Update client for detecting updates client setting. Dies umfasst Überprüfungen sowohl über HTTP als auch über HTTPS.This includes scans over both HTTP and HTTPS. Das Anheften von Zertifikaten wird erst wirksam, wenn sich ein Zertifikat im WindowsServerUpdateServices-Speicher des Clients befindet und der WSUS-Server für die Verwendung von TLS/SSL konfiguriert ist.The certificate pinning doesn't take effect until a certificate is in the client's WindowsServerUpdateServices store and the WSUS server is configured to use TLS/SSL.

Aktivieren oder Deaktivieren des Anheftens von TLS-Zertifikaten für Geräte, die WSUS-Server mit HTTPS-Konfiguration überprüfenEnable or disable TLS certificate pinning for devices scanning HTTPS-configured WSUS servers

  1. Navigieren Sie in der Configuration Manager-Konsole zu Verwaltung > Clienteinstellungen.From the Configuration Manager console, go to Administration > Client Settings.
  2. Wählen Sie die Clientstandardeinstellungen oder benutzerdefinierte Clienteinstellungen und dann im Menüband Eigenschaften aus.Choose the Default Client Settings or a custom set of client settings, then select Properties from the ribbon.
  3. Wählen Sie unter Clienteinstellungen die Registerkarte Softwareupdates aus.Select the Software Updates tab in the Client settings
  4. Wählen Sie eine der folgenden Optionen für die Einstellung Anheften von TLS-Zertifikaten für Windows Update-Client zum Erkennen von Updates erzwingen:Choose one of the following options for the Enforce TLS certificate pinning for Windows Update client for detecting updates setting:
    • Nein: Deaktiviert die Erzwingung von TLS-Zertifikaten für die WSUS-Überprüfung.No: Don't enable enforcement of TLS certificate pinning for WSUS scanning
    • Ja: Aktiviert die Erzwingung von TLS-Zertifikaten für Geräte während der WSUS-Überprüfung (Standardeinstellung).Yes: Enables enforcement of TLS certificate pinning for devices during WSUS scanning (default)
  5. Überprüfen Sie, ob Clients nach Updates suchen können.Verify clients can scan for updates.

Nächste SchritteNext steps

Bereitstellen von SoftwareupdatesDeploy software updates