Dela via

Steg 2: Konfigurera WSUS

När du har installerat WSUS-serverrollen (Windows Server Update Services) på servern måste du konfigurera den korrekt. Du måste också konfigurera klientdatorerna så att de får sina uppdateringar från WSUS-servern.

2.1. Konfigurera nätverksanslutningar

Innan du påbörjar konfigurationsprocessen bör du se till att du vet svaren på följande frågor:

  • Är serverns brandvägg konfigurerad för att tillåta klienter att komma åt servern?

  • Kan den här datorn ansluta till den överordnade servern (den server som är avsedd att ladda ned uppdateringar från Microsoft Update)?

  • Har du namnet på proxyservern och autentiseringsuppgifterna för proxyservern om du behöver dem?

Du kan sedan börja konfigurera följande WSUS-nätverksinställningar:

  • Uppdateringar: Ange hur servern ska hämta uppdateringar (från Microsoft Update eller från en annan WSUS-server).

  • Proxy: Om du identifierar att WSUS måste använda en proxyserver för att ha internetåtkomst konfigurerar du proxyinställningar på WSUS-servern.

  • Brandvägg: Om du identifierar att WSUS finns bakom en företagsbrandvägg, vidta extra åtgärder på gränsenheten för att tillåta WSUS-trafik.

Important

Om du bara har en WSUS-server måste den ha internetåtkomst eftersom den måste ladda ned uppdateringar från Microsoft. Om du har flera WSUS-servrar behöver bara en server internetåtkomst. De andra behöver bara nätverksåtkomst till den Internetanslutna WSUS-servern. Klientdatorerna behöver inte internetåtkomst. De behöver bara nätverksåtkomst till en WSUS-server.

Tip

Om nätverket är luftsplappat – om det inte alls har åtkomst till Internet – kan du fortfarande använda WSUS för att tillhandahålla uppdateringar till klientdatorer i nätverket. Den här metoden kräver två WSUS-servrar. En WSUS-server med internetåtkomst samlar in uppdateringarna från Microsoft. En andra WSUS-server i det skyddade nätverket hanterar uppdateringarna till klientdatorerna. Uppdateringar exporteras från den första servern till flyttbara medier, överförs över luftgapet och importeras till den andra servern. Den här konfigurationen är avancerad och ligger utanför den här artikelns omfång.

2.1.1. Konfigurera brandväggen så att din första WSUS-server kan ansluta till Microsoft-domäner på Internet

Om en företagsbrandvägg finns mellan WSUS och Internet kan du behöva konfigurera brandväggen för att säkerställa att WSUS kan hämta uppdateringar. För att hämta uppdateringar från Microsoft Update använder WSUS-servern portarna 80 och 443 för HTTP- och HTTPS-protokollen. Även om de flesta företagsbrandväggar tillåter den här typen av trafik begränsar vissa företag Internetåtkomst från servrarna på grund av säkerhetsprinciper. Om ditt företag begränsar åtkomsten måste du konfigurera brandväggen så att WSUS-servern får åtkomst till Microsoft-domäner.

Din första WSUS-server måste ha utgående åtkomst till portarna 80 och 443 på följande domäner:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

Om du hanterar Microsoft 365-uppdateringar, som kräver Microsoft Configuration Manager, kan du läsa Hantera uppdateringar av Microsoft 365-appar med Microsoft Configuration Manager för mer information om de domäner som du behöver tillåta.

Important

Du måste konfigurera brandväggen så att den första WSUS-servern får åtkomst till alla URL:er inom dessa domäner. IP-adresserna som är associerade med dessa domäner ändras ständigt, så försök inte använda IP-adressintervall i stället.

2.1.2. Konfigurera brandväggen så att dina andra WSUS-servrar kan ansluta till den första servern

Om du har flera WSUS-servrar bör du konfigurera de andra WSUS-servrarna för åtkomst till den första (översta) servern. Dina andra WSUS-servrar får sedan all uppdateringsinformation från den översta servern. Med den här konfigurationen kan du hantera hela nätverket med hjälp av WSUS-administrationskonsolen på den översta servern.

Dina andra WSUS-servrar måste ha utgående åtkomst till den översta servern via två portar. Som standard är dessa portar 8530 och 8531. Du kan ändra dessa portar enligt beskrivningen i Konfigurera WSUS-serverns IIS-webbserver för att använda TLS för vissa anslutningar senare i den här artikeln.

Note

Om nätverksanslutningen mellan WSUS-servrarna är långsam eller dyr kan du konfigurera en eller flera av de andra WSUS-servrarna för att ta emot uppdateringsnyttolaster direkt från Microsoft. I det här fallet skickas endast en liten mängd data från dessa WSUS-servrar till den översta servern. För att den här konfigurationen ska fungera måste de andra WSUS-servrarna ha åtkomst till samma Internetdomäner som den översta servern.

Note

Om du har en stor organisation kan du använda kedjor med anslutna WSUS-servrar i stället för att låta alla andra WSUS-servrar ansluta direkt till den översta servern. Du kan till exempel ha en andra WSUS-server som ansluter till den översta servern och sedan låta andra WSUS-servrar ansluta till den andra WSUS-servern.

2.1.3. Konfigurera dina WSUS-servrar så att de använder en proxyserver om det behövs

Om företagsnätverket använder proxyservrar måste proxyservrarna ha stöd för HTTP- och HTTPS-protokollen. De måste också använda grundläggande autentisering eller Windows-autentisering. Du kan uppfylla dessa krav med någon av följande konfigurationer:

  • En enda proxyserver som stöder två protokollkanaler. I det här fallet anger du att en kanal ska använda HTTP och den andra kanalen för att använda HTTPS.

    Note

    Du kan konfigurera en proxyserver som hanterar båda protokollen för WSUS under installationen av WSUS-serverprogramvaran.

  • Två proxyservrar, som var och en stöder ett enda protokoll. I det här fallet konfigurerar du en proxyserver att använda HTTP och den andra proxyservern för att använda HTTPS.

Så här konfigurerar du WSUS för att använda två proxyservrar

  1. Logga in på den dator som du planerar att använda som WSUS-server med hjälp av ett konto som är medlem i gruppen Lokala administratörer.

  2. Installera WSUS-serverrollen. När du använder konfigurationsguiden för WSUS, enligt beskrivningen i Konfigurera WSUS med hjälp av konfigurationsguiden för WSUS, anger du inte en proxyserver.

  3. Öppna kommandotolken (Cmd.exe) som administratör:

    1. Sök efter KommandotolkenStart-menyn.
    2. Högerklicka på Kommandotolken och välj sedan Kör som administratör.
    3. Om dialogrutan Kontroll av användarkonto visas anger du lämpliga autentiseringsuppgifter (om det begärs), bekräftar att åtgärden som visas är det du vill ha och väljer sedan Fortsätt.

  4. I Kommandotolken går du till mappen C:\Program\Update Services\Tools . Ange följande kommando:

    wsusutil ConfigureSSLproxy [<proxy-server proxy-port>] -enable

    I det kommandot:

    • proxy_server är namnet på proxyservern som stöder HTTPS.

    • proxy_port är proxyserverns portnummer.

  5. Stäng kommandotolken.

Så här lägger du till en proxyserver i WSUS-konfigurationen

  1. Öppna WSUS-administrationskonsolen.

  2. Under Uppdatera tjänster expanderar du servernamnet och väljer sedan Alternativ.

  3. I fönstret Alternativ väljer du Uppdatera källa och proxyserver och går sedan till fliken Proxyserver .

  4. Välj Använd en proxyserver när du synkroniserar och ange sedan namnet och portnumret för proxyservern i motsvarande rutor. Standardportnumret är 80.

  5. Om proxyservern kräver att du använder ett specifikt användarkonto väljer du Använd autentiseringsuppgifter för att ansluta till proxyservern. Ange det nödvändiga användarnamnet, domänen och lösenordet i motsvarande rutor.

  6. Om proxyservern stöder grundläggande autentisering väljer du Tillåt grundläggande autentisering (lösenordet skickas i klartext).

  7. Välj OK.

Ta bort en proxyserver från WSUS-konfigurationen

  1. Under Uppdatera tjänster i WSUS-administrationskonsolen expanderar du servernamnet och väljer sedan Alternativ.

  2. I fönstret Alternativ väljer du Uppdatera källa och proxyserver och går sedan till fliken Proxyserver .

  3. Avmarkera kryssrutan Använd en proxyserver när du synkroniserar .

  4. Välj OK.

2.1.4. Konfigurera brandväggen så att klientdatorer får åtkomst till en WSUS-server

Klientdatorerna måste alla ansluta till en av dina WSUS-servrar. Varje klientdator måste ha utgående åtkomst till två portar på WSUS-servern. Som standard är dessa portar 8530 och 8531.

2.2. Konfigurera WSUS med hjälp av konfigurationsguiden för WSUS

Procedurerna i följande avsnitt använder WSUS-konfigurationsguiden för att konfigurera WSUS-inställningar. Konfigurationsguiden för WSUS visas första gången du startar WSUS-hanteringskonsolen. Du kan också använda fönstret Alternativ i WSUS-administrationskonsolen för att konfigurera WSUS-inställningar. Mer information om hur du använder fönstret Alternativ finns i följande procedurer i andra avsnitt i den här artikeln:

Starta guiden och konfigurera de första inställningarna

  1. På instrumentpanelen Serverhanteraren väljer du Verktyg>Windows Server Update Services.

    Note

    Om dialogrutan Slutför WSUS-installation visas väljer du Kör. I dialogrutan Slutför WSUS-installation väljer du Stäng när installationen är klar.

    Konfigurationsguiden för WSUS öppnas.

  2. På sidan Innan du börjar granskar du informationen och väljer sedan Nästa.

  3. På sidan Anslut till Microsoft Update Improvement Program läser du anvisningarna. Behåll standardvalet om du vill delta i programmet eller avmarkera kryssrutan om du inte gör det. Välj sedan Nästa.

Konfigurera inställningar för överordnade servrar och proxyservrar

  1. På sidan Välj uppströmsserver väljer du något av följande alternativ:

    • Synkronisera från Microsoft Update

    • Synkronisera från en annan Windows Server Update Services-server

    Om du väljer att synkronisera från en annan WSUS-server utför du följande steg:

    1. Ange servernamnet och porten där servern ska kommunicera med den överordnade servern.

    2. Om du vill använda TLS väljer du Använd SSL när du synkroniserar uppdateringsinformation. Servrarna använder port 443 för synkronisering. (Kontrollera att den här servern och den överordnade servern stöder TLS.)

    3. Om den här servern är en replikserver väljer du Det här är en replik av den överordnade servern.

  2. När du har valt alternativen för distributionen väljer du Nästa.

  3. Om WSUS behöver en proxyserver för att få åtkomst till Internet konfigurerar du följande proxyinställningar. Annars hoppar du över det här steget.

    1. På sidan Ange proxyserver väljer du Använd en proxyserver när du synkroniserar. Ange sedan proxyserverns namn och portnummer (port 80 som standard) i motsvarande rutor.

    2. Om du vill ansluta till proxyservern med hjälp av specifika användarautentiseringsuppgifter väljer du Använd autentiseringsuppgifter för att ansluta till proxyservern. Ange sedan användarens användarnamn, domän och lösenord i motsvarande rutor.

      Om du vill aktivera grundläggande autentisering för den användare som ansluter till proxyservern väljer du Tillåt grundläggande autentisering (lösenordet skickas i klartext).

  4. Välj Nästa.

  5. På sidan Anslut till uppströmsserver väljer du Starta anslutning.

  6. När WSUS ansluter till servern väljer du Nästa.

Välj språk, produkter och klassificeringar

  1. På sidan Välj språk kan du välja de språk som WSUS tar emot uppdateringar från: alla språk eller en delmängd av språken. Om du väljer en delmängd av språk sparas diskutrymme, men det är viktigt att välja alla språk som alla klienter på den här WSUS-servern behöver.

    Om du väljer att endast hämta uppdateringar för specifika språk väljer du Hämta uppdateringar endast på dessa språk och väljer sedan de språk som du vill ha uppdateringar för. Annars lämnar du standardvalet.

    Warning

    Om du väljer alternativet Ladda ned uppdateringar endast på dessa språk och servern har en nedströms WSUS-server ansluten till den, tvingar det här alternativet nedströmsservern att endast använda de valda språken.

  2. Välj Nästa.

  3. På sidan Välj produkter anger du de produkter som du vill ha uppdateringar för. Välj produktkategorier, till exempel Windows eller specifika produkter, till exempel Windows Server 2019. Om du väljer en produktkategori väljs alla produkter i den kategorin.

  4. Välj Nästa.

  5. På sidan Välj klassificeringar väljer du de uppdateringsklassificeringar som du vill få. Välj alla klassificeringar eller en delmängd av dem och välj sedan Nästa.

Konfigurera synkroniseringsschemat

  1. På sidan Ange synkroniseringsschema väljer du om synkronisering ska utföras manuellt eller automatiskt.

    • Om du väljer Synkronisera manuellt måste du starta synkroniseringsprocessen från WSUS-administrationskonsolen.

    • Om du väljer Synkronisera automatiskt synkroniseras WSUS-servern med angivna intervall.

      För Första synkronisering anger du tiden och anger sedan antalet synkroniseringar per dag som du vill att servern ska utföra. Om du till exempel anger fyra synkroniseringar per dag, från kl. 03:00, sker synkroniseringar kl. 03:00, 09:00, 15:00 och 21:00.

  2. Välj Nästa.

Slutför guiden

  1. På sidan Slutförd väljer du Påbörja inledande synkronisering om du vill starta synkroniseringen direkt. Om du inte väljer det här alternativet måste du använda WSUS-hanteringskonsolen för att utföra den inledande synkroniseringen.

  2. Om du vill läsa mer om andra inställningar väljer du Nästa. Annars väljer du Slutför för att slutföra guiden och slutföra den första WSUS-installationen.

När du har valt Slutför visas WSUS-administrationskonsolen. Du använder den här konsolen för att hantera ditt WSUS-nätverk enligt beskrivningen i senare avsnitt i den här artikeln.

2.3. Skydda WSUS med TLS-protokollet

Du bör använda TLS-protokollet för att skydda ditt WSUS-nätverk. WSUS kan använda TLS för att autentisera anslutningar och för att kryptera och skydda uppdateringsinformation.

Warning

Att skydda WSUS med hjälp av TLS-protokollet är viktigt för nätverkets säkerhet. Om WSUS-servern inte använder TLS korrekt för att skydda sina anslutningar kan en angripare ändra viktig uppdateringsinformation när den skickas från en WSUS-server till en annan eller från WSUS-servern till klientdatorerna. I den här situationen kan angriparen installera skadlig programvara på klientdatorer.

Important

Klienter och underordnade servrar som är konfigurerade att använda TLS eller HTTPS måste också konfigureras för att använda ett fullständigt kvalificerat domännamn (FQDN) för sin överordnade WSUS-server.

2.3.1. Aktivera TLS/HTTPS på WSUS-serverns IIS-tjänst för att använda TLS/HTTPS

För att påbörja processen med att använda TLS/HTTPS måste du aktivera TLS-stöd på WSUS-serverns IIS-tjänst (Internet Information Services). Det här arbetet innebär att skapa ett SSL-certifikat (TLS/Secure Sockets Layer) för servern.

De steg som krävs för att hämta ett TLS/SSL-certifikat för servern ligger utanför omfånget för den här artikeln och beror på din nätverkskonfiguration. Mer information och anvisningar om hur du installerar certifikat och konfigurerar den här miljön finns i dokumentationen för Active Directory Certificate Services.

2.3.2. Konfigurera WSUS-serverns IIS-webbserver att använda TLS för vissa anslutningar

WSUS kräver två portar för anslutningar till andra WSUS-servrar och till klientdatorer. En port använder TLS/HTTPS för att skicka uppdateringsmetadata (viktig information om uppdateringarna). Som standard används port 8531 för detta ändamål. En andra port använder HTTP för att skicka uppdateringsnyttolaster. Som standard används port 8530 för detta ändamål.

Important

Du kan inte konfigurera hela WSUS-webbplatsen så att den kräver TLS. WSUS är endast utformat för att kryptera uppdateringsmetadata. Windows Update distribuerar uppdateringar på samma sätt.

För att skydda mot en angripares manipulering av uppdateringsnyttolaster signeras alla uppdateringsnyttolaster via en specifik uppsättning betrodda signeringscertifikat. Dessutom beräknas en kryptografisk hash för varje uppdateringsnyttolast. Hashen skickas till klientdatorn via den säkra HTTPS-metadataanslutningen, tillsammans med andra metadata för uppdateringen. När en uppdatering laddas ned verifierar klientprogramvaran nyttolastens digitala signatur och hash. Om uppdateringen har ändrats är den inte installerad.

Du bör bara kräva TLS för följande virtuella IIS-rötter:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

Du bör inte kräva TLS för följande virtuella rötter:

  • Content

  • Inventory

  • ReportingWebService

  • SelfUpdate

Certifikatet för certifikatutfärdare (CA) måste importeras till varje WSUS-server i det betrodda rotcertifikatarkivet för den lokala datorn eller det betrodda rotcertifikatarkivet för WSUS om det finns.

Mer information om hur du använder TLS/SSL-certifikat i IIS finns i Konfigurera SSL på IIS 7 eller senare.

Important

Du måste använda certifikatarkivet för den lokala datorn. Du kan inte använda en användares certifikatarkiv.

Normalt bör du konfigurera IIS att använda port 8531 för HTTPS-anslutningar och port 8530 för HTTP-anslutningar. Om du ändrar dessa portar måste du använda två intilliggande portnummer. Portnumret som används för HTTP-anslutningar måste vara exakt 1 mindre än det portnummer som används för HTTPS-anslutningar.

Du måste initiera om klientproxyn ClientServicingProxy om servernamnet, TLS-konfigurationen eller portnumret ändras.

2.3.3. Konfigurera WSUS för att använda TLS/SSL-signeringscertifikatet för sina klientanslutningar

  1. Logga in på WSUS-servern med hjälp av ett konto som är medlem i gruppen WSUS-administratörer eller gruppen Lokala administratörer.

  2. Start-menyn anger du CMD, högerklickar på Kommandotolken och väljer sedan Kör som administratör.

  3. Gå till mappen C:\Program Files\Update Services\Tools .

  4. I Kommandotolken anger du följande kommando:

    wsusutil configuressl <certificate-name>

    I det kommandot är certifikatnamnet dns-namnet (Domain Name System) för WSUS-servern.

2.3.4. Skydda SQL Server-anslutningen om det behövs

Om du använder WSUS med en fjärransluten SQL Server-databas skyddas inte anslutningen mellan WSUS-servern och databasservern via TLS. Den här situationen skapar en potentiell attackvektor. Tänk på följande rekommendationer för att skydda den här anslutningen:

  • Flytta WSUS-databasen till WSUS-servern.

  • Flytta fjärrdatabasservern och WSUS-servern till ett privat nätverk.

  • Distribuera IPsec (Internet Protocol Security) för att skydda nätverkstrafiken. Mer information om IPsec finns i Skapa och använda IPsec-principer.

2.3.5. Skapa ett kodsigneringscertifikat för lokal publicering om det behövs

Förutom att distribuera uppdateringar som Microsoft tillhandahåller har WSUS stöd för lokal publicering. Du kan använda lokal publicering för att skapa och distribuera uppdateringar som du utformar själv, med dina egna nyttolaster och beteenden.

Aktivering och konfiguration av lokal publicering ligger utanför den här artikelns omfång. Fullständig information finns i Lokal publicering.

Important

Lokal publicering är en komplicerad process och behövs ofta inte. Innan du bestämmer dig för att aktivera lokal publicering bör du noggrant granska dokumentationen och fundera på om du vill använda den här funktionen och hur du kan använda den.

2.4. Konfigurera WSUS-datorgrupper

Datorgrupper är en viktig del av att använda WSUS effektivt. Du kan använda datorgrupper för att testa och rikta uppdateringar till specifika datorer. Det finns två standarddatorgrupper: Alla datorer och Ej tilldelade datorer. När varje klientdator först kontaktar WSUS-servern lägger servern som standard till klientdatorn i båda dessa grupper.

Du kan skapa så många anpassade datorgrupper som du behöver för att hantera uppdateringar i din organisation. Vi rekommenderar att du skapar minst en datorgrupp för att testa uppdateringar innan du distribuerar dem till andra datorer i organisationen.

2.4.1. Välj en metod för att tilldela klientdatorer till datorgrupper

Det finns två sätt att tilldela klientdatorer till datorgrupper. Rätt metod för din organisation beror på hur du vanligtvis hanterar dina klientdatorer.

  • Mål på serversidan: Den här metoden är standardinställningen. I den här metoden tilldelar du klientdatorer till datorgrupper med hjälp av WSUS-administrationskonsolen.

    Den här metoden ger dig flexibiliteten att snabbt flytta klientdatorer från en grupp till en annan när omständigheterna ändras. Men därför måste du flytta nya klientdatorer manuellt från gruppen Ej tilldelade datorer till lämplig datorgrupp.

  • Mål på klientsidan: I den här metoden tilldelar du varje klientdator till datorgrupper med hjälp av principinställningar som angetts på själva klientdatorn.

    Den här metoden gör det enklare att tilldela nya klientdatorer till lämpliga grupper. Du gör det som en del av konfigurationen av klientdatorn för att ta emot uppdateringar från WSUS-servern. Därför kan du inte tilldela klientdatorer till datorgrupper eller flytta dem från en datorgrupp till en annan via WSUS-administrationskonsolen. I stället måste du ändra klientdatorernas principer.

2.4.2. Tillåt klientbaserad riktning, om det är lämpligt

Important

Hoppa över stegen i det här avsnittet om du planerar att använda mål på serversidan.

  1. Under Uppdatera tjänster i WSUS-administrationskonsolen expanderar du WSUS-servern och väljer sedan Alternativ.

  2. I fönstret Alternativ väljer du Datorer. Gå till fliken Allmänt och välj sedan Använd grupprincip eller registerinställningar på datorer.

2.4.3. Skapa önskade datorgrupper

Note

Du måste skapa datorgrupper med hjälp av WSUS-administrationskonsolen, oavsett om du använder mål på serversidan eller mål på klientsidan för att lägga till klientdatorer i datorgrupperna.

  1. I WSUS-administrationskonsolen under Uppdatera tjänster expanderar du WSUS-servern, expanderar Datorer, högerklickar på Alla datorer och väljer sedan Lägg till datorgrupp.

  2. I dialogrutan Lägg till datorgrupp för Namn anger du namnet på den nya gruppen. Välj sedan Lägg till.

2.5. Konfigurera klientdatorer för att upprätta TLS-anslutningar med WSUS-servern

Förutsatt att du konfigurerar WSUS-servern för att skydda klientdatorernas anslutningar med hjälp av TLS, måste du konfigurera klientdatorerna så att de litar på dessa TLS-anslutningar.

WSUS-serverns TLS/SSL-certifikat måste importeras till klientdatorernas betrodda rotcertifikatutfärdararkiv eller till klientdatorernas betrodda rotcertifikatutfärdararkiv för automatisk uppdateringstjänst om det finns.

Important

Du måste använda certifikatarkivet för den lokala datorn. Du kan inte använda en användares certifikatarkiv.

Klientdatorerna måste lita på certifikatet som du binder till WSUS-servern. Beroende på vilken typ av certifikat som används kan du behöva konfigurera en tjänst för att klientdatorerna ska kunna lita på det certifikat som är bundet till WSUS-servern.

Om du använder lokal publicering bör du också konfigurera klientdatorerna så att de litar på WSUS-serverns kodsigneringscertifikat. Anvisningar finns i Lokal publicering.

2.6. Konfigurera klientdatorer för att ta emot uppdateringar från WSUS-servern

Som standard får klientdatorerna uppdateringar från Windows Update. De måste konfigureras för att ta emot uppdateringar från WSUS-servern i stället.

Important

I den här artikeln beskrivs en uppsättning steg för att konfigurera klientdatorer med hjälp av grupprincip. De här stegen är lämpliga i många situationer. Men det finns många andra alternativ för att konfigurera uppdateringsbeteende på klientdatorer, inklusive användning av hantering av mobila enheter. Dokumentation om de här alternativen finns i Hantera ytterligare Windows Update-inställningar.

2.6.1. Välj rätt uppsättning principer som ska redigeras

Om Active Directory har konfigurerats i nätverket kan du konfigurera en eller flera datorer samtidigt genom att inkludera dem i ett grupprincipobjekt (GPO) och sedan konfigurera grupprincipobjektet med WSUS-inställningar.

Vi rekommenderar att du skapar ett nytt grupprincipobjekt som endast innehåller WSUS-inställningar. Länka det här WSUS-GPO-objektet till en Active Directory-container som är lämplig för din miljö.

I en enkel miljö kan du länka ett enda WSUS-grupprincipobjekt till domänen. I en mer komplex miljö kan du länka flera WSUS-GPO:n till flera organisationsenheter (OU:er). När du länkar grupprincipobjekt till organisationsenheter kan du använda WSUS-principinställningar på olika typer av datorer.

Om du inte använder Active Directory i nätverket måste du konfigurera varje dator med hjälp av redigeraren för lokal grupprincip.

2.6.2. Redigera principer för att konfigurera klientdatorerna

Utför stegen i följande avsnitt för att konfigurera klientdatorerna med hjälp av principinställningar.

Note

Dessa instruktioner förutsätter att du använder de senaste versionerna av principredigeringsverktygen. I äldre versioner av verktygen kan principerna ordnas på olika sätt.

Öppna principredigeraren och gå till Windows Update-objektet

  1. Öppna rätt principobjekt:

    • Om du använder Active Directory öppnar du konsolen Grupprinciphantering, går till grupprincipobjektet där du vill konfigurera WSUS och väljer Redigera. Expandera sedan Datorkonfiguration och expandera Principer.
    • Om du inte använder Active Directory, öppna Lokala grupprincipredigeraren. Datorpolicyn för den lokala datorn visas. Expandera Datorkonfiguration.

  2. I objektet som du expanderade i föregående steg expanderar du WindowsUpdate för administrativa mallar>>. Om operativsystemet är Windows 10 eller Windows 11 väljer du även Hantera slutanvändarupplevelse.

Redigera inställningen för automatiska uppdateringar

  1. Dubbelklicka på Konfigurera automatiska uppdateringar i informationsfönstret. Policyn Konfigurera automatiska uppdateringar öppnas.

  2. Välj Aktiverad och välj sedan önskat alternativ under inställningen Konfigurera automatisk uppdatering för att hantera hur funktionen för automatiska uppdateringar ska ladda ned och installera godkända uppdateringar.

    Vi rekommenderar att du använder inställningen Ladda ned automatiskt och schemalägga installationen . Det säkerställer att de uppdateringar som du godkänner i WSUS laddas ned och installeras i tid, utan att användaren behöver ingripa.

  3. Om du vill kan du redigera andra delar av principen. Mer information finns i Hantera ytterligare Windows Update-inställningar.

    Note

    Inställningen Installera uppdateringar från andra Microsoft-produkter påverkar inte klientdatorer som tar emot uppdateringar från WSUS. Klientdatorerna tar emot alla uppdateringar som godkänts för dem på WSUS-servern.

  4. Välj OK för att stänga principen Konfigurera automatiska uppdateringar .

Redigera inställningen för att ange en intranätserver som värd för uppdateringar

  1. I informationsfönstret dubbelklickar du på Ange microsoft update-tjänstplats för intranätet. Om operativsystemet är Windows 10 eller Windows 11 går du först tillbaka till noden Windows Update i trädet och väljer sedan Hantera uppdateringar som erbjuds från Windows Server Update Service.

    Policyn Ange plats för Microsoft Update-tjänstens intranättjänst öppnas.

  2. Välj Aktiverad och ange sedan URL:en för WSUS-servern i både ange intranätuppdateringstjänsten för att identifiera uppdateringar och ange rutorna för intranätstatistikservern .

    Warning

    Se till att inkludera rätt port i URL:en. Förutsatt att du konfigurerar servern att använda TLS enligt rekommendationerna bör du ange den port som har konfigurerats för HTTPS. Om du till exempel väljer att använda port 8531 för HTTPS och serverns domännamn är wsus.contoso.com, bör du ange https://wsus.contoso.com:8531 i båda rutorna.

  3. Välj OK för att stänga principen Ange platsen för Microsoft Update-tjänsten för intranätet .

Konfigurera mål på klientsidan, om det är lämpligt

Om du väljer att använda mål på klientsidan utför du stegen i det här avsnittet för att ange lämplig datorgrupp för de klientdatorer som du konfigurerar.

Note

De här stegen förutsätter att du precis har slutfört stegen för att redigera principer för att konfigurera klientdatorerna.

  1. I principredigeraren går du till Windows Update-objektet . Om operativsystemet är Windows 10 eller Windows 11 väljer du även Hantera uppdateringar som erbjuds från Windows Server Update Service.

  2. Dubbelklicka i informationsfönstret på Aktivera klientsidesinriktning. Policyn Klientside målgruppering är aktiverad.

  3. Välj Aktiverad. Under Målgruppsnamn för den här datorn anger du namnet på den WSUS-datorgrupp som du vill lägga till klientdatorerna i.

    Om du kör en aktuell version av WSUS kan du lägga till klientdatorerna i flera datorgrupper genom att ange gruppnamnen, avgränsade med semikolon. Du kan till exempel ange Redovisning; Chef för att lägga till klientdatorerna i datorgrupperna Redovisning och Chef.

  4. Välj OK för att stänga principen Aktivera mål på klientsidan .

2.6.3. Låt klientdatorn ansluta till WSUS-servern

Klientdatorer visas inte i WSUS-administrationskonsolen förrän de ansluter till WSUS-servern för första gången.

  1. Vänta tills principändringarna börjar gälla på klientdatorn.

    Om du använder ett Active Directory-baserat grupprincipobjekt för att konfigurera klientdatorerna tar det lite tid innan mekanismen för grupprincipuppdatering levererar ändringarna till en klientdator. Om du vill påskynda den här processen kan du öppna Kommandotolken med förhöjd behörighet och sedan ange kommandot gpupdate /force.

    Om du använder redigeraren för lokal grupprincip för att konfigurera en enskild klientdator börjar ändringarna gälla omedelbart.

  2. Starta om klientdatorn. Det här steget ser till att Windows Update-programvaran på datorn identifierar principändringarna.

  3. Låt klientdatorn söka efter uppdateringar. Den här genomsökningen tar normalt lite tid.

    Du kan påskynda processen med något av följande alternativ:

    • I Windows 10 eller 11 använder du sidan Windows Update för inställningsappen för att söka efter uppdateringar manuellt.
    • I versioner av Windows före Windows 10 använder du Windows Update-ikonen på Kontrollpanelen för att söka efter uppdateringar manuellt.
    • I versioner av Windows före Windows 10 öppnar du Kommandotolken med förhöjd behörighet och anger kommandot wuauclt /detectnow.

2.6.4 Kontrollera att klientdatorn har lyckats ansluta till WSUS-servern

Om du utför alla föregående steg visas följande resultat:

  • Klientdatorn söker efter uppdateringar. (Det kanske eller kanske inte hittar några tillämpliga uppdateringar att ladda ned och installera.)

  • Inom cirka 20 minuter visas klientdatorn i listan över datorer som visas i WSUS-administrationskonsolen, baserat på typen av mål:

    • Om du använder mål på serversidan visas klientdatorn i datorgrupperna Alla datorer och Ej tilldelade datorer.

    • Om du använder mål på klientsidan visas klientdatorn i gruppen Alla datorer och i den datorgrupp som du väljer när du konfigurerar klientdatorn.

2.6.5. Konfigurera klientdatorns serverbaserade målstyrning, om det är lämpligt

Om du använder mål på serversidan bör du nu lägga till den nya klientdatorn i lämpliga datorgrupper.

  1. Leta upp den nya klientdatorn i WSUS-administrationskonsolen. Den bör visas i datorgrupperna Alla datorer och Ej tilldelade datorer i WSUS-serverns lista över datorer.

  2. Högerklicka på klientdatorn och välj Ändra medlemskap.

  3. I dialogrutan väljer du lämpliga datorgrupper och väljer sedan OK.

Nästa steg

Steg 3: Godkänna och distribuera uppdateringar