- Med WSUS kan du kontrollera och distribuera uppdateringar till Windows från en enda server
- Dess implementering kräver en korrekt installation av rollen, konfiguration av brandväggen och klienterna.
- Med hjälp av grupprincipobjekt kan du automatisera uppdateringsprocessen på alla datorer i domänen.
- Att använda SSL och certifikat förbättrar säkerheten för WSUS-anslutningar
Konfigurera WSUS (Windows Server Update Services) korrekt Det är nyckeln till att upprätthålla en säker och effektiv arbetsmiljö i företag som använder Windows-system. Den här tjänsten centraliserar hanteringen av operativsystemets säkerhet och funktionsuppdateringar, vilket minskar nätverkstrafiken och förbättrar administratörens kontroll över enhetsflottan.
Genom hela denna kompletta guide kommer vi att granska alla steg du måste följa. för att installera och konfigurera WSUS från början. Du kommer att täcka allt från serverförberedelser till GPO-inställningarna som klientdatorer ska ha, inklusive nätverksinställningar, portar, proxyanvändning och implementering av SSL-certifikat för att förbättra säkerheten.
Installerar WSUS-rollen på servern
Det första steget för att komma igång med WSUS är Installera motsvarande roll på servern du ska använda som uppdateringscenter. Denna server måste vara uppdaterad, med nätverksroller korrekt konfigurerade och helst vara en del av Active Directory-domänen.
Från serveradministratör, öppna alternativet Lägg till roller och funktioner. Välj i guiden som öppnas Rollbaserad eller funktionsbaserad installation och välj motsvarande destinationsserver. Markera sedan rutan Windows Server Update Services.
Guiden kommer också att be dig lägga till flera nödvändiga funktioner. Bekräftar standardförslag. I passagen av Innehållsplatsmåste du ange en lokal sökväg där WSUS kommer att lagra nedladdade uppdateringar. Det rekommenderas att den här mappen finns på en enhet med tillräckligt med ledigt utrymme (minst 40 GB, helst mer än 150 GB om du ska hantera flera datorer). Dessutom är det viktigt att se till att uppdateringar installeras effektivt för att undvika problem, vilket du kan kontrollera på denna länk.
Därefter går du igenom installationen av IIS (Internet Information Services), som krävs för att WSUS-webbmiljön ska fungera. Ändra inte dess inställningar om du inte har en anpassad konstruktion. Slutligen, granska valen, tryck Installera och vänta på att processen ska avslutas.
När installationen är klar kör du efterföljande uppgifter från förloppsfönstret. Detta förbereder miljön för att initiera den initiala konfigurationen från WSUS-hanteringskonsolen.
Initial WSUS-konfiguration
När du har installerat rollen är nästa steg att öppna WSUS Initial Configuration Wizard. Den här guiden guidar administratören genom att definiera var uppdateringar ska hämtas från, vilka språk, produkter och klassificeringar som ska laddas ner och hur synkronisering ska utföras.
När du startar det, gå igenom introduktionen och, om du vill, välj att delta i Microsoft Update Improvement Program. Efteråt måste du välja mellan synkronisera från Microsoft Update eller från en annan WSUS-server. Det här andra alternativet är användbart i stora miljöer med flera webbplatser och mellanliggande servrar.
Om ditt företagsnätverk använder en proxy för att komma åt Internet är det obligatoriskt att konfigurera det alternativet. Ange proxyvärd och port (standard 80) och ange autentiseringsuppgifter om det behövs. WSUS stöder både grundläggande autentisering och integrerad Windows-autentisering.
När du har anslutit till uppdateringskällan väljer du språk som du vill ha med. Att minska antalet språk sparar utrymme och påskyndar synkroniseringen. Välj sedan Productos från Microsoft som du vill hålla dig uppdaterad: detta kan vara Windows 10, Windows Server 2019, Office, etc.
I nästa steg markerar du uppdatera klassificeringar som WSUS kommer att behöva hantera. Vanligtvis väljs kritiska uppdateringar, säkerhetsdefinitioner och programvaruförbättringar. Om du upplever problem med uppdateringsprocessen, kolla in möjliga lösningar på den här guiden.
Slutligen kan du välja om du vill synkronisera manuellt eller automatiskt. Om du bestämmer dig för att automatisera det, definiera hur många gånger om dagen och vid vilken tidpunkt synkroniseringarna ska utföras. Du kan göra upp till 24 synkroniseringar per dag.
I slutet kan du starta initial synkronisering direkt från guiden. Detta steg kommer att ladda ner den ursprungliga metadatan och förbereda servern för drift.
Nätverkskonfiguration, portar och extern åtkomst
För att WSUS ska fungera korrekt med både uppdateringsservrar och klientdatorer är det absolut nödvändigt öppna de nödvändiga portarna i de olika brandväggar och routrar som kan finnas mellan enheterna.
För att ansluta till Microsoft Update behöver WSUS-servern utgående på portarna 80 (HTTP) y 443 (HTTPS). Om din organisation använder strikta utgående regler, se till att tillåta åtkomst till domäner som:
- windowsupdate.microsoft.com
- *.update.microsoft.com
- download.microsoft.com
- *.delivery.mp.microsoft.com
Om du har flera WSUS-servrar och du sätter upp en hierarkisk kedja, Sekundära servrar måste kunna komma åt den primära servern genom hamnarna 8530 (HTTP) y 8531 (HTTPS).
Klientdatorer behöver också kommunikation till WSUS-servern via samma portar. Se till att serverns brandvägg tillåter inkommande anslutningar och att det inte finns några begränsningar på lokal nätverksnivå. Ibland kan användare uppleva anslutningsproblem som kan vara relaterade till uppdateringsinställningar, så det är lämpligt att kontrollera den här artikeln.
Om företaget använder en utgående proxyserver måste den stödja HTTP och HTTPS och ha lämpliga behörigheter för att hantera WSUS-trafik. Du kan använda en enda proxy eller två separata per protokoll.
Implementera säkerhet med certifikat och SSL
WSUS låter dig skydda kommunikation genom SSL-protokollet (HTTPS), som krypterar trafik för att förhindra attacker och informationsläckor. För att aktivera det måste du utfärda ett giltigt certifikat från en intern eller extern CA (Certification Authority).
När du har certifikatet måste du konfigurera det i IIS-webbtjänsten på WSUS-servern. Se till att aktivera HTTPS endast på nödvändiga virtuella mappar för att säkerställa kompatibilitet:
- SimpleAuthWebService
- DSSAuthWebService
- ServerSyncWebService
- APIremoting30
- ClientWebService
Mappar som innehåller nedladdningsbart innehåll (som uppdateringar eller rapportering) kräver inte SSL. Det är också viktigt att ställa in HTTPS-portnumret till 8531 och HTTP-portnumret till 8530, eller använd intilliggande portpar om du väljer att anpassa dem.
När du har tillämpat ändringarna i IIS öppnar du kommandotolken som administratör och kör kommandot:
wsusutil configuressl NOMBRE_SERVIDOR
Det här steget slutför den säkra konfigurationen av WSUS-servern. Kom ihåg att även importera certifikatet på alla klientdatorer som en betrodd rotauktoritet för att undvika SSL-förtroendefel.
Skapa och hantera WSUS-datorgrupper
WSUS låter dig klassificera klientenheter i anpassade grupper för att kunna styra vilken typ av uppdateringar varje uppsättning maskiner tar emot. Som standard finns det två grupper: Alla lag y Ej tilldelade lag.
Från WSUS-konsolen kan du skapa nya grupper (till exempel "Server", "Office A" etc.) och tilldela varje dator enligt organisatoriska kriterier. Denna segmentering är användbar för godkänna stegvisa uppdateringar och undvika eventuella fel i massimplementeringar. Om du behöver lösa uppdateringsstopp, kolla in den här guiden.
Du kan också välja att två tilldelningsmetoder:
- Serversidan: manuellt från WSUS-konsolen.
- Kundsidan: använder grupppolicyer som, när de tillämpas, automatiskt placerar varje dator i motsvarande grupp.
Konfigurera klienter för att ta emot uppdateringar från WSUS
Som standard laddar Windows-datorer ner sina uppdateringar från Internet med hjälp av tjänsten Windows Update. För att omdirigera dina förfrågningar till WSUS-servern måste vi konfigurera lämpliga GPO:er.
Om du har en Active Directory-miljö är denna uppgift mycket enkel. Skapa helt enkelt ett nytt GPO (rekommenderas att vara dedikerat till WSUS) och redigera det från Policy Editor. Navigera till:
Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Update
Inom den rutten, aktivera följande policyer:
- Konfigurera automatiska uppdateringar: Aktiverar nedladdning och installation baserat på önskat alternativ (t.ex. automatiskt vid schemalagd tid).
- Ange platsen för Microsoft Update-tjänsten på intranätet: Ange URL eller IP för WSUS-servern, lägg till port 8530 om du använder HTTP, eller 8531 om du använder HTTPS.
- Aktivera mottagare på klientsidan: frågar efter namnet på WSUS-gruppen som datorn tillhör (den måste exakt matcha namnet som konfigurerats i WSUS-konsolen).
Tillämpa GPO på motsvarande organisationsenhet. Använd kommandot gpupdate /force för att tillämpa ändringarna omedelbart eller starta om klientdatorerna. Spring sedan wuauclt /detectnow för att tvinga fram upptäckt av uppdateringar.
Kontrollera status och hantera uppdateringar
Efter cirka 20-30 minuter kommer klientdatorer att börja dyka upp i WSUS-konsolen. De korrekt konfigurerade kommer att visa sitt namn, operativsystem, grupp och uppdateringsstatus.
Härifrån kan du godkänna eller neka uppdateringar manuellt, visa efterlevnadsstatistik, exportera rapporter eller konfigurera e-postmeddelanden. Ibland kan konfigurationsproblem uppstå, så det är lämpligt att se över aspekter i denna länk.
Det är en bra idé att upprätta en intern policy där vissa maskiner (som testservrar eller pilotdatorer) tar emot uppdateringar före resten, vilket gör det möjligt att upptäcka inkompatibiliteter eller fel innan massdistribution.
Att distribuera och konfigurera WSUS är inte alltför komplicerat, men det kräver noggrann uppmärksamhet på varje detalj: från installation, proxykonfiguration, språk- och produktsynkronisering, säkerhetssteg med SSL-certifikat till effektiv implementering av grupppolicyer. Om allt görs korrekt kommer WSUS att ge dig en mycket mer kontrollerad, säker och effektiv miljö när det kommer till uppdateringar.
Passionerad författare om bytesvärlden och tekniken i allmänhet. Jag älskar att dela med mig av min kunskap genom att skriva, och det är vad jag kommer att göra i den här bloggen, visa dig alla de mest intressanta sakerna om prylar, mjukvara, hårdvara, tekniska trender och mer. Mitt mål är att hjälpa dig att navigera i den digitala världen på ett enkelt och underhållande sätt.