Planera distribution för uppdatering av virtuella Windows-datorer i Azure

Azure Firewall

Azure Virtual Machines

Azure Virtual Network

Om du har låst det virtuella Azure-nätverkets internetåtkomst kan du fortfarande få Windows-uppdateringar utan att äventyra säkerheten och öppna åtkomsten till hela internet. Den här artikeln innehåller rekommendationer för hur du kan skapa ett avskärmat undernät (kallas även perimeternätverk) för att vara värd för en Windows Server Update Service-instans (WSUS-instans) för att på ett säkert sätt uppdatera virtuella nätverk utan internetanslutning.

Om du använder Azure Firewall använder du taggen WindowsUpdate FQDN i programregler för att tillåta nödvändig utgående nätverkstrafik via brandväggen. Mer information finns i Översikt över FQDN-taggar och Planera för programuppdateringar – Konfigurera brandväggar.

Du bör vara bekant med Azur-tjänsterna för att kunna implementera rekommendationerna i den här artikeln. I följande avsnitt beskrivs den rekommenderade distributionsdesignen, som använder en hub-spoke-konfiguration i en enda region eller konfiguration med flera regioner.

Nätverkstopologi för Azure Virtual Network hub-spoke

Vi rekommenderar att du konfigurerar en nätverkstopologi för hub-spoke-modellen genom att skapa ett perimeternätverk. Placera WSUS-servern på en virtuell Azure-dator som finns i navet mellan internet och de virtuella nätverken. Hubben måste ha öppna portar. WSUS använder port 80 för HTTP-protokoll och port 443 för HTTPS-protokoll för att hämta uppdateringar från Microsoft. Ekrarna är alla andra virtuella nätverk som ska kommunicera med hubben och inte med internet. För att uppnå detta skapar du ett undernät, nätverkssäkerhetsgrupper (NSG:er) och peering i det virtuella Azure-nätverket. Då tillåts WSUS-trafiken medan annan internettrafik blockeras. Den här bilden illustrerar ett exempel på hub-spoke-topologi:

Arkitekturdiagram för hub-spoke-topologi.

Ladda ned en Visio-fil med den här arkitekturen.

Titta på den här bilden:

snet-wsus är undernätet i hubben för hubben och ekertopologin som innehåller WSUS-servern.
nsg-ds är en regel för nätverkssäkerhetsgrupp som tillåter trafik för WSUS samtidigt som annan Internettrafik blockeras.
Windows Server Update Service virtuell dator är den virtuella Azure-dator som är konfigurerad för att köra WSUS.
snet-workload är ett exempel på ett undernät i ett peer-kopplat virtuellt ekernätverk som innehåller virtuella Windows-datorer.
nsg-ms är en grupprincip för nätverkssäkerhet som tillåter trafik till den virtuella WSUS-datorn men nekar annan Internettrafik.

Du kan återanvända en befintlig server eller distribuera en ny server som ska vara WSUS-server. Den virtuella WSUS-datorn måste uppfylla de dokumenterade systemkraven. Eftersom det här är en säkerhetskänslig funktion bör du planera att komma åt den här virtuella datorn med hjälp av just-in-time (JIT). Se Hantera åtkomsten till virtuella datorer med just-in-time.

Ditt nätverk kommer att ha fler än ett virtuellt Azur-nätverk, som kan finnas i samma region eller i olika regioner. Du måste utvärdera alla virtuella Windows Server-datorer för att se om en av dem kan användas som WSUS-server. Om du ska uppdatera tusentals virtuella datorer rekommenderar vi att du dedikerar en Windows Server-dator för WSUS-rollen. Vi rekommenderar också att virtuella datorer inte använder en WSUS-server i en annan region som primär källa.

Om alla dina virtuella nätverk finns i samma region föreslår vi att du har en WSUS per 18 000 virtuella datorer. Detta baseras på en kombination av kraven för de virtuella datorerna, antalet virtuella klientdatorer som uppdateras och kostnaden för kommunikation mellan virtuella nätverk. Mer information om kapacitetskraven för WSUS finns i Planera WSUS-distributionen.

Du kan beräkna kostnaden för de här konfigurationerna med priskalkylatorn för Azure. Du måste ange specifikationerna för dina virtuella WSUS-datorer och dina nätverksförväntningar. samma region, mellan regioner. För dataöverföring börjar du med 3 GB. Observera att priserna varierar mellan olika regioner.

Manuell distribution

När du antingen har identifierat det virtuella Azure-nätverk som ska användas eller fastställt att du behöver skapa en ny Windows Server-instans måste du skapa en NSG-regel. Regeln tillåter internettrafik, vilket gör att Windows Update-metadata och -innehåll kan synkroniseras med den WSUS-server som du skapar. Här är de regler som behöver läggas till:

Nätverkssäkerhetsgruppsregel för inkommande/utgående trafik för att tillåta trafik till och från internet på port 80 (för innehåll).
Nätverkssäkerhetsgruppsregel för inkommande/utgående trafik för att tillåta trafik till och från internet på port 443 (för metadata).
Nätverkssäkerhetsgruppsregel för inkommande/utgående trafik för att tillåta trafik från de virtuella klientdatorerna på port 8530 (standard om det inte konfigurerats).

Konfigurera WSUS

Du kan använda två metoder för att konfigurera en WSUS-server:

Om du vill automatiskt vill konfigurera en server som ska hantera en typisk arbetsbelastning med minimal administration kan du använda automatiseringsskriptet för PowerShell.
Om du behöver hantera tusentals klienter som kör många olika operativsystem och språk, eller om du vill konfigurera WSUS-datorn på ett sätt som PowerShell-skriptet inte kan hantera, kan du konfigurera WSUS manuellt. Metoderna beskrivs längre fram i den här artikeln.

Du kan även kombinera de två metoderna genom att använda automatiseringsskriptet för att utföra huvuddelen av arbetet och sedan använda administrationskonsolen i WSUS för att finjustera serverinställningarna.

Konfigurera WSUS med hjälp av ett automatiseringsskript

Med Configure-WSUSServer skriptet kan du konfigurera en WSUS-server som automatiskt synkroniserar och godkänner uppdateringar för en vald uppsättning produkter och språk.

Kommentar

Skriptet konfigurerar alltid WSUS-datorn så att den interna Windows-databasen används för att lagra datorns uppdateringsdata. Det gör konfigurationen snabbare och minskar administrationens komplexitet. Men om servern ska stödja tusentals klientdatorer, och särskilt om du även behöver stödja många olika produkter och språk, så bör du konfigurera WSUS manuellt i stället så att du kan använda SQL Server som databas.

Den senaste versionen av det här skriptet är tillgänglig på GitHub.

Du konfigurerar skriptet med hjälp av en JSON-fil. För närvarande kan du konfigurera följande alternativ:

Om uppdateringsnyttolaster ska lagras lokalt (och i så fall var) eller om de ska ligga kvar på Microsofts servrar.
Vilka produkter, uppdateringsklassificeringar och språk som ska vara tillgängliga på servern.
Om servern automatiskt ska godkänna uppdateringar för installation, eller om uppdateringar bara ska vara godkända när en administratör har godkänt dem.
Om servern automatiskt ska hämta nya uppdateringar från Microsoft, och i så fall hur ofta.
Om Expressuppdateringspaket ska användas. (Expressuppdateringspaket kräver mindre bandbredd mellan server och klient, men mer processor-/hårddiskanvändning på klienter och bandbredd mellan servrar.)
Anger om skriptet ska skriva över de tidigare inställningarna. (Normalt körs skriptet bara en gång på en specifik server för att undvika oavsiktlig omkonfiguration som kan avbryta serveråtgärder.)

Kopiera skriptet och dess konfigurationsfil till lokal lagring och redigera konfigurationsfilen så att den passar dina behov.

Varning

Var försiktig när du redigerar konfigurationsfilen. En strikt syntax används för JSON-konfigurationsfiler. Om du oavsiktligt ändrar strukturen för filen i stället för bara parametervärdena, kan konfigurationsfilen inte läsas in.

Du kan köra skriptet på ett av två sätt:

Du kan köra skriptet manuellt från den virtuella WSUS-datorn.

Om du kör följande kommando från ett upphöjt kommandotolksfönster, installeras och konfigureras WSUS. Kommandot använder skriptet och konfigurationsfilen i den aktuella katalogen.

powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json
Du kan använda det anpassade skripttillägget för Windows.

Kopiera skriptet och JSON-konfigurationsfilen till din egen lagringscontainer som har en privat nätverkslinje till den virtuella WSUS-datorn.

I typiska konfigurationer för virtuella datorer och virtuella Azure-nätverk behöver det anpassade skripttillägget bara dessa två parametrar för att kunna köra skriptet korrekt. (Du måste ersätta värdena som visas här med webbadresserna till dina egna lagringsplatser.)
```
settings: {
  fileUris: [
    'https://yourstorageaccount.blob.core.windows.net/wsus/Configure-WSUSServer.ps1'
    'https://yourstorageaccount.blob.core.windows.net/container/WSUS-Config.json'
  ]
  commandToExecute: 'powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json'
}
```

Skriptet startar den första synkroniseringen som krävs för att göra uppdateringar tillgängliga för klientdatorer. Men det väntar inte på att synkroniseringen ska slutföras. Beroende på vilka produkter, klassificeringar och språk som du har valt kan den första synkroniseringen ta flera timmar. Alla efterföljande synkroniseringar bör gå snabbare.

Konfigurera WSUS manuellt

Från den virtuella WSUS-datorn följer du anvisningarna i Installera WSUS-serverrollen

Under synkroniseringen avgör WSUS om några nya uppdateringar har gjorts tillgängliga sedan förra gången du synkroniserade. Om du synkroniserar WSUS för första gången laddas metadata ned omedelbart. Nyttolasten laddas bara ned om lokal lagring har aktiverats och uppdateringen har godkänts för minst en datorgrupp.

Kommentar

Den första synkroniseringen kan ta mer än en timme. Alla efterföljande synkroniseringar bör gå betydligt snabbare.

Konfigurera virtuella nätverk för kommunikation med WSUS

Konfigurera sedan peering för virtuella Azure-nätverk eller peering för globala virtuella nätverk för att kommunicera med navet. Vi rekommenderar att du konfigurerar en WSUS-server i varje distribuerad region för att minimera svarstiden.

I varje virtuellt Azure-nätverk som är en eker måste du skapa en NSG-princip med följande regler:

En inkommande/utgående NSG-regel för att tillåta trafik till den virtuella WSUS-datorn på port 8530 (standard om den inte har konfigurerats).
En inkommande/utgående NSG-regel för att neka trafik till Internet.

Skapa sedan peeringen för det virtuella Azure-nätverket från ekern till navet.

Konfigurera virtuella klientdatorer

WSUS kan användas för att uppdatera alla virtuella datorer som kör Windows. Information om hur du konfigurerar klienter med grupprincip finns i Konfigurera klientdatorer för att ta emot uppdateringar från WSUS-servern.

Administratörer som hanterar ett stort nätverk bör läsa artikeln Konfigurera automatiska uppdateringar och uppdatera sökväg till uppdateringstjänsten för att använda grupprincipinställningar för automatisk konfiguration av klienter.

Azure uppdateringshanterare

Du kan använda Azure Update Manager för att hantera och schemalägga operativsystemuppdateringar för virtuella datorer som synkroniseras mot WSUS. Uppdateringsstatusen för den virtuella datorn (dvs. vilka korrigeringar som saknas) utvärderas baserat på den källa som den virtuella datorn har konfigurerats att synkroniseras med. Om den virtuella Windows-datorn har konfigurerats att rapportera till WSUS kan resultatet skilja sig från vad Microsoft Updates visar, beroende på när WSUS senast synkroniserades med Microsoft Update. När du har konfigurerat WSUS-miljön kan du aktivera Uppdateringshantering. Mer information finns i översikten över Azure Update Manager.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

Paul Reed - Sverige | Senior programchef för Azure-efterlevnad

Nästa steg

Mer information om hur du planerar en distribution finns Planera WSUS-distributionen.
Mer information om hur du hanterar WSUS, konfigurerar ett synkroniseringsschema för WSUS med mera finns i WSUS-administration.

Kör en Windows-VM på Azure

Feedback

Var den här sidan till hjälp?