Planera distribution för uppdatering av virtuella Windows-datorer i Azure

Om du har låst det virtuella Azure-nätverkets internetåtkomst kan du fortfarande få Windows-uppdateringar utan att äventyra säkerheten och öppna åtkomsten till hela internet. Den här artikeln innehåller rekommendationer för hur du kan skapa ett avskärmat undernät (kallas även perimeternätverk) för att vara värd för en Windows Server Update Service-instans (WSUS-instans) för att på ett säkert sätt uppdatera virtuella nätverk utan internetanslutning.

Om du använder Azure Firewall kan du använda Windows Update som tagg för fullständigt domännamn i programregler för att tillåta nödvändig utgående nätverkstrafik genom brandväggen. Mer information finns i Översikt över taggar för fullständiga domännamn.

Du bör vara bekant med Azur-tjänsterna för att kunna implementera rekommendationerna i den här artikeln. I följande avsnitt beskrivs den rekommenderade distributionsdesignen som använder en konfiguration av typen nav och ekrar en konfiguration för en eller flera regioner.

Nätverkstopologi av typen nav och ekrar för Azure Virtual Network

Vi rekommenderar att du konfigurerar en nätverkstopologi för nav-och-eker-modellen genom att skapa ett perimeternätverk. Placera WSUS-servern på en virtuell Azure-dator som finns i navet mellan internet och de virtuella nätverken. Hubben måste ha öppna portar. WSUS använder port 80 för HTTP-protokoll och port 443 för HTTPS-protokoll för att hämta uppdateringar från Microsoft. Ekrarna är alla andra virtuella nätverk som ska kommunicera med hubben och inte med internet. För att uppnå detta skapar du ett undernät, nätverkssäkerhetsgrupper (NSG:er) och peering i det virtuella Azure-nätverket. Då tillåts WSUS-trafiken medan annan internettrafik blockeras. Den här bilden illustrerar ett exempel på nav-och-eker-topologi:

Ladda ned en Visio-fil med den här arkitekturen.

Titta på den här bilden:

• WSUSSubnet är navet i nav-och-eker-strukturen.
• NSG_DS är en regel för nätverkssäkerhetsgrupper som tillåter trafik för WSUS samtidigt som annan internettrafik blockeras.
• WSUS VM är den virtuella Azure-dator som har konfigurerats att köra WSUS.
• MainSubnet – ett virtuellt nätverk, en eker, med virtuella datorer.
• NSG_MS är en grupprincip för nätverkssäkerhet som tillåter trafik från den virtuella WSUS-datorn men blockerar internettrafik.

Du kan återanvända en befintlig server eller distribuera en ny server som ska vara WSUS-server. För den virtuella WSUS-datorn rekommenderas minst följande:

• Operativsystem: Windows Server 2016 eller senare.
• Processor: Dubbla kärnor, 2 GHz eller snabbare.
• Minne: 2 GB RAM-minne utöver det RAM-minne som krävs av servern och alla andra tjänster och programvara som körs.
• Lagring: 40 GB eller mer.
• Åtkomst: Få bättre åtkomst till den här virtuella datorn med hjälp av just-in-time (JIT). Se Hantera åtkomsten till virtuella datorer med just-in-time.

Ditt nätverk kommer att ha fler än ett virtuellt Azur-nätverk, som kan finnas i samma region eller i olika regioner. Du måste utvärdera alla virtuella Windows Server-datorer för att se om en av dem kan användas som WSUS-server. Om du ska uppdatera tusentals virtuella datorer rekommenderar vi att du dedikerar en Windows Server-dator för WSUS-rollen.

Om alla dina virtuella nätverk finns i samma region föreslår vi att du har en WSUS per 18 000 virtuella datorer. Detta baseras på en kombination av kraven för de virtuella datorerna, antalet virtuella klientdatorer som uppdateras och kostnaden för kommunikation mellan virtuella nätverk. Mer information om kapacitetskraven för WSUS finns i Planera WSUS-distributionen.

Du kan beräkna kostnaden för de här konfigurationerna med priskalkylatorn för Azure. Du måste ange följande information:

• Virtuell dator:
  • Region: Den region där ditt virtuella Azure-nätverk distribueras.
  • Operativsystem: Windows
  • Nivå: Standard
  • Instans: D4-konfiguration
  • Hanterade diskar: Standard HDD, 64 GB
• Virtuellt nätverk:
  • Skriv
    • Samma region om överföringen sker inom samma region.
    • Olika regioner om du flyttar data från en region till en annan.
  • Dataöverföring: 2 GB
  • Regionen
    • Om överföringen sker inom en och samma region väljer du den region där WSUS-servern och de virtuella nätverken finns.
    • Om överföring sker mellan olika regioner är den virtuella källnätverksregionen den region där WSUS-servern finns. Målregionen för virtuellt nätverk är den plats dit data skickas.
  • Om du har flera regioner måste du välja Virtual Network flera gånger.

Observera att priserna varierar mellan olika regioner.

Manuell distribution

När du antingen har identifierat det virtuella Azure-nätverk som ska användas som nav eller fastställt att du behöver skapa en ny Windows Server-instans måste du skapa en nätverkssäkerhetsgruppsregel. Regeln tillåter internettrafik, vilket gör att Windows Update-metadata och -innehåll kan synkroniseras med den WSUS-server som du skapar. Här är de regler som behöver läggas till:

• Nätverkssäkerhetsgruppsregel för inkommande/utgående trafik för att tillåta trafik till och från internet på port 80 (för innehåll).
• Nätverkssäkerhetsgruppsregel för inkommande/utgående trafik för att tillåta trafik till och från internet på port 443 (för metadata).
• Nätverkssäkerhetsgruppsregel för inkommande/utgående trafik för att tillåta trafik från de virtuella klientdatorerna på port 8530 (standard om det inte konfigurerats).

Konfigurera WSUS

Du kan använda två metoder för att konfigurera en WSUS-server:

• Om du vill automatiskt vill konfigurera en server som ska hantera en typisk arbetsbelastning med minimal administration kan du använda automatiseringsskriptet för PowerShell.
• Om du behöver hantera tusentals klienter som kör många olika operativsystem och språk, eller om du vill konfigurera WSUS-datorn på ett sätt som PowerShell-skriptet inte kan hantera, kan du konfigurera WSUS manuellt. Metoderna beskrivs längre fram i den här artikeln.

Du kan även kombinera de två metoderna genom att använda automatiseringsskriptet för att utföra huvuddelen av arbetet och sedan använda administrationskonsolen i WSUS för att finjustera serverinställningarna.

Konfigurera WSUS med automatiseringsskriptet

Med skriptet Configure-WSUSServer kan du snabbt konfigurera en WSUS-server som automatiskt synkroniserar och godkänner uppdateringar för en vald uppsättning produkter och språk.

Den senaste versionen av det här skriptet är tillgänglig på GitHub.

Du konfigurerar skriptet med hjälp av en JSON-fil. För närvarande kan du konfigurera följande alternativ:

• Om uppdateringsnyttolaster ska lagras lokalt (och i så fall var) eller om de ska ligga kvar på Microsofts servrar.
• Vilka produkter, uppdateringsklassificeringar och språk som ska vara tillgängliga på servern.
• Om servern automatiskt ska godkänna uppdateringar för installation, eller om uppdateringar bara ska vara godkända när en administratör har godkänt dem.
• Om servern automatiskt ska hämta nya uppdateringar från Microsoft, och i så fall hur ofta.
• Om Expressuppdateringspaket ska användas. (Expressuppdateringspaket kräver mindre bandbredd mellan server och klient, men mer processor-/hårddiskanvändning på klienter och bandbredd mellan servrar.)
• Anger om skriptet ska skriva över de tidigare inställningarna. (Normalt körs skriptet bara en gång på en specifik server för att undvika oavsiktlig omkonfiguration som kan avbryta serveråtgärder.)

Kopiera skriptet och dess konfigurationsfil till lokal lagring och redigera konfigurationsfilen så att den passar dina behov.

Du kan köra skriptet på ett av två sätt:

• Du kan köra skriptet manuellt från den virtuella WSUS-datorn.

  Om du kör följande kommando från ett upphöjt kommandotolksfönster, installeras och konfigureras WSUS. Kommandot använder skriptet och konfigurationsfilen i den aktuella katalogen.

  powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json

• Du kan använda det anpassade skripttillägget för Windows.

  Kopiera skriptet och JSON-konfigurationsfilen till din egen lagringscontainer.

  I typiska konfigurationer för virtuella datorer och virtuella Azure-nätverk behöver det anpassade skripttillägget bara dessa två parametrar för att kunna köra skriptet korrekt. (Du måste ersätta värdena som visas här med webbadresserna till dina egna lagringsplatser.)

  "fileUris": ["https://mystorage.blob.core.windows.net/mycontainer/Configure-WSUSServer.ps1","https://mystorage.blob.core.windows.net/container/WSUS-Config.json"],
  "commandToExecute": "powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json"
  
  

Skriptet startar den första synkroniseringen som krävs för att göra uppdateringar tillgängliga för klientdatorer. Men det väntar inte på att synkroniseringen ska slutföras. Beroende på vilka produkter, klassificeringar och språk som du har valt kan den första synkroniseringen ta flera timmar. Alla efterföljande synkroniseringar bör gå snabbare.

Konfigurera WSUS manuellt

1. På din virtuella WSUS-dator öppnar du Serverhanteraren och väljer Lägg till roller och funktioner.

2. Välj Nästa tills du kommer till sidan Välj serverroller. Välj Windows Server Update Services. Välj Lägg till funktioner när du ser uppmaningen Lägg till funktioner som krävs för Windows Server Update Services?

3. Välj Nästa tills du kommer till sidan Välj rolltjänster.

   • Som standard kan du använda WID-anslutning.
   • Använd SQL Server-Anslut ivity om du behöver stöd för klienter som använder många olika versioner av Windows (till exempel Windows 11 och Windows 10).

4. Välj Nästa tills du kommer till sidan Välj innehållsplats. Ange den plats där du vill lagra uppdateringarna.

5. Välj Nästa tills du kommer till sidan Bekräfta installationsinställningarna. Välj Installera.

6. Öppna installationen av Windows Server Update Services och klicka på Kör.

7. Klicka på Nästa tills du kommer till sidan Anslut till överordnad server. Välj Starta anslutning.

8. Välj Nästa tills du kommer till sidan Välj språk. Välj de språk du behöver.

9. Välj Nästa tills du kommer till sidan Välj produkter. Välj de produkter du behöver.

10. Välj Nästa tills du kommer till sidan Välj klassificeringar. Välj de uppdateringar du behöver.

11. Välj Nästa tills du kommer till sidan Ange synkroniseringsschema. Välj synkroniseringsinställningar.

12. Välj Nästa tills du kommer till sidan Klar. Välj Påbörja inledande synkronisering och välj sedan Nästa.

13. Välj Nästa tills du kommer till sidan Vad händer nu och välj sedan Slutför.

14. Om du väljer ditt WSUS-namn (t.ex. WsusVM) i navigeringsfönstret bör du se att värdet för Synkroniseringsstatus är Inaktiv och värdet för Resultat från senaste synkronisering är Har slutförts.

15. I navigeringsfönstret klickar du på Alternativ>Datorer>Använd grupprinciper eller registerinställningar på datorer. Välj OK.

Under synkroniseringen avgör WSUS om några nya uppdateringar har gjorts tillgängliga sedan förra gången du synkroniserade. Om du synkroniserar WSUS för första gången laddas metadata ned omedelbart. Nyttolasten laddas bara ned om lokal lagring har aktiverats och uppdateringen har godkänts för minst en datorgrupp.

Konfigurera virtuella nätverk för kommunikation med WSUS

Konfigurera sedan peering för virtuella Azure-nätverk eller peering för globala virtuella nätverk för att kommunicera med navet. Vi rekommenderar att du konfigurerar en WSUS-server i varje distribuerad region för att minimera svarstiden.

I varje virtuellt Azure-nätverk som är en eker måste du skapa en NSG-princip med följande regler:

• En nätverkssäkerhetsgruppsregel för inkommande/utgående trafik för att tillåta trafik från den virtuella WSUS-datorn på port 8530 (standard om den inte har konfigurerats).
• En nätverkssäkerhetsgruppsregel för inkommande/utgående trafik för att neka trafik från internet.

Skapa sedan peeringen för det virtuella Azure-nätverket från ekern till navet.

Virtuell klientdator

• För extra säkerhet kan du ta bort den virtuella datorns associerade offentliga IP-adress. Mer information finns i Visa, ändra inställningar för eller ta bort en offentlig IP-adress.
• Mer information om hur du får säkrare åtkomst till din virtuella dator med just-in-time (JIT) finns i Hantera åtkomsten till virtuella datorer med just-in-time.

Konfigurera virtuella klientdatorer

WSUS kan användas för att uppdatera virtuella datorer som kör Windows (förutom start-SKU:n). Utför följande steg på varje virtuell klientdator för att aktivera kommunikation mellan WSUS och klienten:

På din virtuella klientdator

1. Öppna Redigeraren för lokala grupprinciper (eller Redigeraren för grupprinciphantering).
2. Gå till Dator konfiguration>Administrativa mallar>Windows-komponenter>Windows-uppdatering.
3. Aktivera Ange sökväg till tjänsten Microsoft Update på intranätet.
4. Ange URL:en http://\<WSUS name>:8530. (Ditt WSUS-namn (till exempel WsusVM) finns på sidan Uppdatera tjänster.) Det kan ta lite tid (upp till några timmar) innan den här inställningen visas.
5. Gå till Inställningar>Uppdatering och säkerhet>Windows Update.
6. Välj Sök efter uppdateringar.

På din virtuella WSUS-dator

1. Öppna Windows Server Update Services. Du bör se din virtuella klientdator under Datorer>Alla datorer.
2. Välj Uppdateringar>Alla uppdateringar.
3. Ange Godkännande till Alla förutom nekade.
4. Ange Status till Behövs. Nu kan du se alla nödvändiga uppdateringar för din virtuella klientdator.
5. Högerklicka på någon av uppdateringarna och välj Godkänn.

Verifiering

1. Gå till Inställningar>Uppdatering och säkerhet>Windows Update på den virtuella klientdatorn.
2. Välj Sök efter uppdateringar. Du bör se en uppdatering med samma KB-artikelnummer (t.ex. 4480056) som du har godkänt från den virtuella WSUS-datorn.

Administratörer som hanterar ett stort nätverk bör läsa artikeln Konfigurera automatiska uppdateringar och uppdatera sökväg till uppdateringstjänsten för att använda grupprincipinställningar för automatisk konfiguration av klienter.

WSUS-distribution för flera moln

Det går inte att konfigurera peering för virtuella nätverk som använder både offentliga och privata moln. Nätverk som distribueras i både offentliga och privata moln måste ha minst en konfigurerad WSUS-server i varje moln.

Supportanteckningar

WSUS kan för närvarande inte användas med synkronisering med Windows Home SKU.

Uppdateringshantering i Azure

Du kan använda lösningen Uppdateringshantering i Azure för att hantera och schemalägga uppdateringar av operativsystem för virtuella datorer som synkroniseras mot WSUS. Uppdateringsstatusen för den virtuella datorn (dvs. vilka korrigeringar som saknas) utvärderas baserat på den källa som den virtuella datorn har konfigurerats att synkroniseras med. Om den virtuella Windows-datorn har konfigurerats att rapportera till WSUS kan resultatet skilja sig från vad Microsoft Updates visar, beroende på när WSUS senast synkroniserades med Microsoft Update. När du har konfigurerat WSUS-miljön kan du aktivera Uppdateringshantering. Mer information finns i Översikt över Uppdateringshantering och introduktionssteg.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

• Paul Reed | Azure Compliance Senior Program Manager

Nästa steg

• Mer information om hur du planerar en distribution finns Planera WSUS-distributionen.
• Mer information om hur du hanterar WSUS, konfigurerar ett synkroniseringsschema för WSUS med mera finns i WSUS-administration.

Relaterade resurser

• Kör en Windows-VM på Azure
• Uppdateringshantering för Azure Automation
• Kör SAP NetWeaver i Windows på Azure
• Hantera Azure-hybridarbetsbelastningar med hjälp av Windows Admin Center
• CI/CD för virtuella Azure-datorer