- Met WSUS kunt u updates beheren en distribueren naar Windows vanaf één server
- Voor de implementatie ervan is een correcte installatie van de rol, configuratie van de firewall en de clients vereist
- Met GPO's kunt u het updateproces op alle computers in het domein automatiseren.
- Door SSL en certificaten te gebruiken, wordt de beveiliging van WSUS-verbindingen verbeterd
WSUS (Windows Server Update Services) correct configureren Het is essentieel voor het handhaven van een veilige en efficiënte werkomgeving in bedrijven die Windows-systemen gebruiken. Met deze service wordt het beheer van de beveiliging en functionele updates van het besturingssysteem gecentraliseerd. Hierdoor wordt het netwerkverkeer verminderd en heeft de beheerder meer controle over het apparaatpark.
In deze complete gids bespreken we alle stappen die u moet volgen. om WSUS helemaal opnieuw te installeren en configureren. Je behandelt alles van servervoorbereiding tot de GPO-instellingen die clientcomputers moeten hebben, inclusief netwerkinstellingen, poorten, proxygebruik en de implementatie van SSL-certificaten om de beveiliging te verbeteren.
De WSUS-rol op de server installeren
De eerste stap om aan de slag te gaan met WSUS is Installeer de overeenkomstige rol op de server die u als updatecentrum wilt gebruiken. Deze server moet up-to-date zijn, met correct geconfigureerde netwerkrollen en bij voorkeur deel uitmaken van het Active Directory-domein.
Van de serverbeheerder, toegang tot de optie Rollen en functies toevoegen. Selecteer in de wizard die wordt geopend Rol- of functiegebaseerde installatie en kies de overeenkomstige doelserver. Vink vervolgens het vakje aan Windows Server Update Services.
De wizard zal u ook vragen om een aantal noodzakelijke kenmerken toe te voegen. Bevestigt standaard suggesties. In de passage van Locatie van de inhoudmoet u een lokaal pad opgeven waar WSUS gedownloade updates opslaat. Het is aan te raden deze map op een schijf met voldoende vrije ruimte te plaatsen (minimaal 40 GB, bij voorkeur meer dan 150 GB als u meerdere computers beheert). Bovendien is het belangrijk om ervoor te zorgen dat updates effectief worden geïnstalleerd om problemen te voorkomen, die u kunt controleren op deze link.
Vervolgens installeert u IIS (Internet Information Services). Dit is nodig om de WSUS-webomgeving te laten functioneren. Wijzig de instellingen niet, tenzij u een eigen build hebt. Controleer ten slotte de selecties en druk op installeren en wacht tot het proces is voltooid.
Zodra de installatie is voltooid, voert u de volgende taken vanuit het voortgangsvenster. Hiermee wordt de omgeving voorbereid om de eerste configuratie te starten vanuit de WSUS-beheerconsole.
Initiële WSUS-configuratie
Nadat u de rol hebt geïnstalleerd, opent u de WSUS Initial Configuration Wizard. Deze wizard begeleidt de beheerder bij het definiëren waar updates worden opgehaald, welke talen, producten en classificaties moeten worden gedownload en hoe de synchronisatie wordt uitgevoerd.
Wanneer u ermee begint, bekijk dan de inleiding en kies er desgewenst voor om deel te nemen aan de Microsoft Update Verbeteringsprogramma. Daarna moet je een keuze maken tussen synchroniseren via Microsoft Update of vanaf een andere WSUS-server. Deze tweede optie is handig in grote omgevingen met meerdere sites en tussenliggende servers.
Als uw bedrijfsnetwerk een proxy gebruikt om toegang te krijgen tot internet, is het configureren van die optie verplicht. Geef de proxyhost en -poort op (standaard 80) en voer indien nodig de inloggegevens in. WSUS ondersteunt zowel basisverificatie als geïntegreerde Windows-verificatie.
Nadat u verbinding hebt gemaakt met de updatebron, kiest u de talen die je wilt opnemen. Door het aantal talen te verminderen, bespaart u ruimte en versnelt u de synchronisatie. Selecteer vervolgens de producten van Microsoft die u up-to-date wilt houden: dit kan Windows 10, Windows Server 2019, Office, etc. zijn.
Markeer in de volgende stap de update classificaties die WSUS moet beheren. Meestal worden essentiële updates, beveiligingsdefinities en softwareverbeteringen geselecteerd. Als u problemen ondervindt met het updateproces, bekijk dan de mogelijke oplossingen op deze gids.
Ten slotte kunt u kiezen of u handmatig of automatisch wilt synchroniseren. Als u besluit om het te automatiseren, definieert u hoe vaak per dag en op welk tijdstip de synchronisaties moeten worden uitgevoerd. U kunt maximaal 24 synchronisaties per dag uitvoeren.
Uiteindelijk kunt u start initiële synchronisatie rechtstreeks vanuit de wizard. Met deze stap worden de initiële metagegevens gedownload en wordt de server gereedgemaakt voor gebruik.
Netwerkconfiguratie, poorten en externe toegang
Om WSUS goed te laten werken met zowel updateservers als clientcomputers is het van cruciaal belang open de benodigde poorten in de verschillende firewalls en routers die zich tussen de apparaten kunnen bevinden.
Om verbinding te maken met Microsoft Update heeft de WSUS-server uitgaand verkeer nodig op de poorten 80 (HTTP) y 443 (HTTPS). Als uw organisatie strikte regels voor uitgaande e-mail hanteert, zorg er dan voor dat u toegang toestaat tot domeinen zoals:
- windowsupdate.microsoft.com
- *.update.microsoft.com
- downloaden.microsoft.com
- *.delivery.mp.microsoft.com
Als u meerdere WSUS-servers hebt en een hiërarchische keten instelt, Secundaire servers moeten toegang hebben tot de primaire server door de havens 8530 (HTTP) y 8531 (HTTPS).
Clientcomputers moeten via deze poorten ook met de WSUS-server kunnen communiceren. Controleer of de firewall van de server inkomende verbindingen toestaat en of er geen beperkingen zijn op lokaal netwerkniveau. Soms kunnen gebruikers verbindingsproblemen ervaren die verband kunnen houden met update-instellingen. Het is daarom raadzaam om dit te controleren. dit artikel.
Als het bedrijf een uitgaande proxyserver gebruikt, moet deze HTTP en HTTPS ondersteunen en over de juiste machtigingen beschikken om WSUS-verkeer te verwerken. U kunt één of twee afzonderlijke proxy's per protocol gebruiken.
Implementeer beveiliging met certificaten en SSL
Met WSUS kunt u communicatie beschermen via het SSL-protocol (HTTPS), dat het verkeer versleutelt om aanvallen en informatielekken te voorkomen. Om dit mogelijk te maken, moet u een geldig certificaat van een interne of externe CA (certificeringsinstantie) uitgeven.
Zodra u het certificaat hebt, moet u het configureren in de IIS-webservice van de WSUS-server. Zorg ervoor dat u HTTPS alleen inschakelt voor de benodigde virtuele mappen om compatibiliteit te garanderen:
- SimpleAuthWebService
- DSSAuthWebService
- ServerSyncWebService
- APIremoting30
- ClientWebService
Mappen met downloadbare inhoud (zoals updates of rapporten) hebben geen SSL nodig. Het is ook essentieel om het HTTPS-poortnummer in te stellen op 8531 en het HTTP-poortnummer op 8530. U kunt ook aangrenzende poortparen gebruiken als u deze wilt aanpassen.
Nadat u de wijzigingen in IIS hebt toegepast, opent u de opdrachtprompt als beheerder en voer de opdracht uit:
wsusutil configuressl NOMBRE_SERVIDOR
Met deze stap wordt de veilige configuratie van de WSUS-server voltooid. Vergeet niet om het certificaat ook op alle clientcomputers te importeren als een vertrouwde root-autoriteit om SSL-vertrouwensfouten te voorkomen.
WSUS-computergroepen maken en beheren
Met WSUS kunt u clientapparaten indelen in: aangepaste groepen om te kunnen bepalen welke updates elke set machines ontvangt. Standaard zijn er twee groepen: Alle teams y Niet-toegewezen teams.
Vanuit de WSUS-console kunt u nieuwe groepen maken (bijvoorbeeld 'Servers', 'Kantoor A', enz.) en elke computer toewijzen op basis van organisatiecriteria. Deze segmentatie is nuttig voor gefaseerde updates goedkeuren en mogelijke fouten bij massa-implementaties te voorkomen. Als u problemen met update-hangings wilt oplossen, kijk dan eens naar deze gids.
U kunt er ook voor kiezen twee toewijzingsmethoden:
- Serverzijde: handmatig vanaf de WSUS-console.
- Clientzijde: door gebruik te maken van groepsbeleid dat, wanneer toegepast, elke computer automatisch in de overeenkomstige groep plaatst.
Configureer clients om updates van WSUS te ontvangen
Windows-computers downloaden hun updates standaard van internet, met behulp van de service Windows update. Om uw verzoeken naar de WSUS-server te kunnen doorsturen, moeten we: configureer de juiste GPO's.
Als u een Active Directory-omgeving hebt, is deze taak heel eenvoudig. Maak eenvoudig een nieuw GPO (aanbevolen wordt om dit specifiek voor WSUS te maken) en bewerk het in de beleidseditor. Navigeer naar:
Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Update
Activeer binnen die route de volgende beleidsregels:
- Configureer automatische updates: Hiermee kunt u de gewenste optie gebruiken om te downloaden en installeren (bijvoorbeeld automatisch op het geplande tijdstip).
- Geef de locatie van de Microsoft Update-service op het intranet op: Voer de URL of het IP-adres van de WSUS-server in en voeg poort 8530 toe als u HTTP gebruikt, of 8531 als u HTTPS gebruikt.
- Client-side ontvangers inschakelen: vraagt om de naam van de WSUS-groep waartoe de computer behoort (deze moet exact overeenkomen met de naam die is geconfigureerd in de WSUS-console).
Pas de GPO toe op de overeenkomstige OU. Gebruik het commando gpupdate /force om de wijzigingen onmiddellijk toe te passen of de clientcomputers opnieuw op te starten. Ren dan wuauclt /detectnow om detectie van updates af te dwingen.
Status controleren en updates beheren
Na ongeveer 20-30 minuten worden de clientcomputers weergegeven in de WSUS-console. Bij correct geconfigureerde items worden de naam, het besturingssysteem, de groep en de updatestatus weergegeven.
Vanaf hier kunt u updates handmatig goedkeuren of weigeren, nalevingsstatistieken bekijken, rapporten exporteren of e-mailmeldingen instellen. Soms kunnen er configuratieproblemen ontstaan, daarom is het raadzaam om de aspecten in deze link.
Het is een goed idee om een intern beleid in te stellen waarbij bepaalde machines (zoals testservers of pilot-pc's) updates ontvangen vóór de rest. Zo kunnen incompatibiliteiten of fouten worden gedetecteerd voordat de implementatie op grote schaal plaatsvindt.
Het implementeren en configureren van WSUS is niet bijzonder ingewikkeld, maar vereist wel zorgvuldige aandacht voor elk detail: van installatie, proxyconfiguratie, taal- en productsynchronisatie, beveiligingsstappen met SSL-certificaten tot de effectieve implementatie van groepsbeleid. Als alles correct is ingesteld, biedt WSUS u een veel meer gecontroleerde, veilige en efficiënte omgeving als het om updates gaat.
Gepassioneerd schrijver over de wereld van bytes en technologie in het algemeen. Ik deel mijn kennis graag door te schrijven, en dat is wat ik in deze blog ga doen: je de meest interessante dingen laten zien over gadgets, software, hardware, technologische trends en meer. Mijn doel is om u te helpen op een eenvoudige en onderhoudende manier door de digitale wereld te navigeren.