Planen der Bereitstellung zum Aktualisieren virtueller Windows-Computer in Azure

Azure Firewall
Azure Virtual Machines
Azure Virtual Network

Wenn Sie den Internetzugriff für Ihr virtuelles Azure-Netzwerk gesperrt haben, können Sie trotzdem Windows-Updates erhalten, ohne die Sicherheit zu gefährden und den Zugriff auf das gesamte Internet zuzulassen. Dieser Artikel enthält Empfehlungen für die Einrichtung eines Umkreisnetzwerks (auch DMZ genannt), um eine WSUS-Instanz (Windows Server Update Services) zu hosten und die gefahrlose Aktualisierung von virtuellen Netzwerken ohne Internetverbindung zu ermöglichen.

Wenn Sie Azure Firewall verwenden, verwenden Sie das WindowsUpdate FQDN-Tag in Anwendungsregeln, um den erforderlichen ausgehenden Netzwerkdatenverkehr über Ihre Firewall zuzulassen. Weitere Informationen finden Sie unter FQDN-Tags ( Übersicht ) und Planen von Softwareupdates – Konfigurieren von Firewalls.

Zum Umsetzen der Empfehlungen in diesem Artikel sollten Sie mit den Azure-Diensten vertraut sein. In den folgenden Abschnitten wird der empfohlene Bereitstellungsentwurf beschrieben, der eine Hub-Spoke-Konfiguration in einer einzelnen Region oder konfiguration mit mehreren Regionen verwendet.

Azure Virtual Network Hub-Spoke-Netzwerktopologie

Es wird empfohlen, eine Hub-Spoke-Modell-Netzwerktopologie einzurichten, indem Sie ein Umkreisnetzwerk erstellen. Hosten Sie den WSUS-Server auf einem virtuellen Azure-Computer, der sich im Hub zwischen dem Internet und den virtuellen Netzwerken befindet. Der Hub muss über geöffnete Ports verfügen. WSUS verwendet den Port 80 für das HTTP-Protokoll und den Port 443 für das HTTPS-Protokoll, um Updates von Microsoft zu beziehen. Bei den Spokes handelt es sich um die übrigen virtuellen Netzwerke. Diese kommunizieren mit dem Hub und nicht mit dem Internet. Zu diesem Zweck werden ein Subnetz und Netzwerksicherheitsgruppen (NSGs) erstellt, und es wird Azure-basiertes Peering virtueller Netzwerke eingerichtet, das WSUS-Datenverkehr zulässt und anderen Internetdatenverkehr blockiert. Diese Abbildung zeigt ein Beispiel für die Hub-Spoke-Topologie:

Architekturdiagramm der Hub-Spoke-Topologie.

Laden Sie eine Visio-Datei dieser Architektur herunter.

In dieser Abbildung:

  • snet-wsus ist das Subnetz im Hub der Hub-und-Speichen-Topologie, das den WSUS-Server enthält.
  • nsg-ds ist eine Netzwerksicherheitsgruppenregel , die Datenverkehr für WSUS zulässt, während anderer Internetdatenverkehr blockiert wird.
  • Der virtuelle Windows Server Update Service-Computer ist der virtuelle Azure-Computer, der für die Ausführung von WSUS konfiguriert ist.
  • snet-workload ist ein Beispiel für ein Subnetz in einem gepaarten virtuellen Netzwerk mit Windows-VMs.
  • nsg-ms ist eine Netzwerksicherheitsgruppenrichtlinie , die Datenverkehr zu WSUS-VM zulässt, aber anderen Internetdatenverkehr verweigert.

Sie können einen vorhandenen Server wiederverwenden oder einen neuen bereitstellen, der zum WSUS-Server wird. Ihre WSUS-VM muss die dokumentierten Systemanforderungen erfüllen. Da es sich um eine sicherheitssensible Funktion handelt, sollten Sie den Zugriff auf diesen virtuellen Computer mithilfe von Just-in-Time (JIT) planen. Siehe Verwalten des Zugriffs auf virtuelle Computer mithilfe von Just-in-Time.

Ihr Netzwerk umfasst mehrere virtuelle Azure-Netzwerke, die sich entweder in der gleichen Region oder in unterschiedlichen Regionen befinden können. Sie müssen alle Windows Server-VMs auswerten, um festzustellen, ob ein Computer als WSUS-Server verwendet werden kann. Wenn Sie mehrere tausend virtuelle Computer aktualisieren müssen, empfiehlt es sich, einen dedizierten virtuellen Windows Server-Computer für die WSUS-Rolle zu verwenden. Außerdem empfehlen wir, dass VMs keinen WSUS-Server in einer anderen Region als primäre Quelle verwenden.

Wenn sich alle Ihre virtuellen Netzwerke in der gleichen Region befinden, empfehlen wir, jeweils eine WSUS-Instanz pro 18.000 virtuellen Computern zu verwenden. Dieser Vorschlag basiert auf einer Kombination aus den VM-Anforderungen, der Anzahl der zu aktualisierenden virtuellen Computer und den Kosten für die Kommunikation zwischen virtuellen Netzwerken. Weitere Informationen zu WSUS-Kapazitätsanforderungen finden Sie unter Planen der WSUS-Bereitstellung.

Die Kosten dieser Konfigurationen können mit dem Azure-Preisrechner ermittelt werden. Sie müssen die Spezifikationen Ihrer virtuellen WSUS-Computer und Ihre Netzwerkerwartungen angeben. dieselbe Region, in allen Regionen. Beginnen Sie bei der Datenübertragung mit 3 GB. Die Preise variieren je nach Region.

Manuelle Bereitstellung

Nachdem Sie entweder das zu verwendende virtuelle Azure-Netzwerk identifiziert oder festgestellt haben, dass Sie eine neue Windows Server-Instanz erstellen müssen, müssen Sie eine NSG-Regel erstellen. Die Regel ermöglicht Internetdatenverkehr, wodurch Windows Update-Metadaten und -Inhalte mit dem von Ihnen erstellten WSUS-Server synchronisiert werden können. Folgende Regeln müssen hinzugefügt werden:

  • Regel für ein- und ausgehenden NSG-Verkehr, um Internetdatenverkehr über Port 80 zu ermöglichen (für Inhalte).
  • NSG-Regel für eingehenden/ausgehenden Traffic, um Internetdatenverkehr auf Port 443 zuzulassen (für Metadaten).
  • NSG-Eingangsregel/-Ausgangsregel, um Datenverkehr von den virtuellen Clientcomputern am Port 8530 (sofern nicht anders konfiguriert) zuzulassen

Einrichten von WSUS

Ein WSUS-Server kann auf zwei Arten eingerichtet werden:

  • Wenn Sie viele Server verwalten oder wiederholbare, unbeaufsichtigte Bereitstellungen wünschen, automatisieren Sie die Einrichtung, indem Sie Ihr eigenes PowerShell-Skript schreiben. Bei diesem Ansatz wird ein Server so konfiguriert, dass eine typische Workload mit minimaler Administration verarbeitet wird.
  • Wenn Sie Tausende von Clients behandeln müssen, die viele verschiedene Betriebssysteme und Sprachen ausführen, oder wenn Sie WSUS so konfigurieren möchten, dass ein Skript nicht verarbeitet werden kann, richten Sie WSUS manuell ein. Beide Ansätze werden weiter unten in diesem Artikel beschrieben.

Sie können die beiden Ansätze auch kombinieren, indem Sie ein Skript verwenden, um die meisten Aufgaben zu erledigen und dann die WSUS-Verwaltungskonsole zu verwenden, um die Servereinstellungen zu optimieren.

Einrichten von WSUS mithilfe eines Automatisierungsskripts

Um dieses Szenario zu automatisieren, erstellen Sie ein PowerShell-Skript. WSUS macht eine PowerShell-Oberfläche verfügbar, die Sie verwenden können, um die Rolle zu installieren und Synchronisierung, Produkte, Klassifizierungen, Sprachen und Aktualisierungsgenehmigungen zu konfigurieren, ohne die Verwaltungskonsole zu verwenden. Informationen zu den von einem Skript verwendeten Cmdlets finden Sie in der WSUS PowerShell-Referenz (UpdateServices-Modul).

Hinweis

Ein Installationsansatz, der Windows interne Datenbank verwendet, beschleunigt die Einrichtung und verringert die Verwaltungskomplexität. Wenn Ihr Server jedoch Tausende von Clientcomputern unterstützt, insbesondere wenn Sie auch eine breite Palette von Produkten und Sprachen unterstützen müssen, richten Sie WSUS stattdessen manuell ein, damit Sie SQL Server als Datenbank verwenden können.

Entwerfen Sie Ihr Skript und seine Konfiguration so, dass sie idempotent ist, sodass eine erneute Ausführung einen ausgeführten Server nicht stört. Speichern Sie Ihre Einstellungen in einer separaten Konfigurationsdatei, z. B. JSON, damit Operatoren Werte ändern können, ohne die Skriptlogik zu bearbeiten. Ein robustes Skript behandelt diese Verantwortlichkeiten:

  • Installieren Sie die WSUS-Serverrolle und -verwaltungstools, und führen Sie dann den erforderlichen Schritt nach der Installation aus, um das Inhaltsverzeichnis festzulegen.
  • Legen Sie die Upstreamquelle fest, von der der Server synchronisiert wird, z. B. Microsoft Update oder ein anderer WSUS-Server.
  • Legen Sie fest, ob Updatedateien lokal gespeichert werden (und wo) oder auf den Microsoft-Servern verbleiben.
  • Wählen Sie aus, welche Produkte, Updateklassifizierungen und Sprachen auf dem Server verfügbar sind.
  • Legen Sie fest, ob der Server Updates für die Installation automatisch genehmigt oder nicht genehmigt, es sei denn, ein Administrator genehmigt sie.
  • Legen Sie fest, ob der Server automatisch neue Updates von Microsoft abruft, und wenn ja, wie oft.
  • Legen Sie fest, ob Express-Updatepakete verwendet werden. Express-Updatepakete reduzieren die Bandbreite von Server-zu-Client auf Kosten der Client-CPU- und Datenträgerauslastung und server-zu-Server-Bandbreite.
  • Schutz vor unbeabsichtigter Neukonfiguration. Notieren Sie sich beispielsweise, dass das Skript bereits ausgeführt wurde, und überspringen Sie nachfolgende Ausführungen, es sei denn, ein Außerkraftsetzungswert ist festgelegt, sodass Versehentliche Änderungen vermieden werden, die den Servervorgang stören könnten.

Sie können Ihr Skript auf eine von zwei Arten ausführen:

  • Führen Sie das Skript manuell von der WSUS-VM aus. Führen Sie sie über eine Eingabeaufforderung mit erhöhten Rechten aus, um WSUS zu installieren und zu konfigurieren.

  • Sie können die benutzerdefinierte Skripterweiterung für Windows verwenden.

    Kopieren Sie Ihr Skript und die zugehörige Konfigurationsdatei in Ihren eigenen Speichercontainer, der über eine private Netzwerkverbindung zur WSUS-VM verfügt.

    Bei typischen VM- und Azure Virtual Network-Konfigurationen benötigt die CustomScript-Erweiterung nur die beiden folgenden Parameter, damit das Skript ordnungsgemäß ausgeführt werden kann. Ersetzen Sie die hier gezeigten Werte durch die URLs für Ihre Speicherorte und die Namen Ihrer Dateien.

    settings: {
      fileUris: [
        'https://yourstorageaccount.blob.core.windows.net/wsus/Configure-WSUSServer.ps1'
        'https://yourstorageaccount.blob.core.windows.net/container/WSUS-Config.json'
      ]
      commandToExecute: 'powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json'
    }
    

Lassen Sie Ihr Skript die anfängliche Synchronisierung starten, die Updates für Clientcomputer zur Verfügung stellt, aber sie muss nicht warten, bis diese Synchronisierung abgeschlossen ist. Abhängig von den von Ihnen ausgewählten Produkten, Klassifizierungen und Sprachen kann die anfängliche Synchronisierung mehrere Stunden dauern. Alle weiteren Synchronisierungen sollten schneller gehen.

Manuelles Einrichten von WSUS

Folgen Sie auf Ihrer WSUS-VM den Anweisungen unter "Installieren der WSUS-Serverrolle".

Im Zuge der Synchronisierung ermittelt WSUS, ob seit der letzten Synchronisierung neue Updates verfügbar gemacht wurden. Bei der Erstsynchronisierung von WSUS werden die Metadaten sofort heruntergeladen. Die Nutzlast wird nur heruntergeladen, wenn der lokale Speicher aktiviert und das Update für mindestens eine Computergruppe genehmigt wurde.

Hinweis

Die Erstsynchronisierung kann über eine Stunde dauern. Alle weiteren Synchronisierungen sollten deutlich schneller sein.

Konfigurieren virtueller Netzwerke für die Kommunikation mit WSUS

Richten Sie als Nächstes das Peering virtueller Netzwerke (Azure-basiert oder global) für die Kommunikation mit dem Hub ein. Zur Verringerung der Wartezeit empfiehlt es sich, in jeder bereitgestellten Region einen WSUS-Server einzurichten.

In jedem virtuellen Azure-Netzwerk, das ein Spoke ist, müssen Sie eine NSG-Richtlinie erstellen, die diese Regeln enthält:

  • Eine eingehende/ausgehende NSG-Regel, um Datenverkehr an die WSUS-VM an Port 8530 zuzulassen (Standard, sofern nicht konfiguriert).
  • Eine eingehende/ausgehende NSG-Regel zum Verweigern des Datenverkehrs zum Internet.

Erstellen Sie als Nächstes das Peering von virtuellen Azure-Netzwerken vom Spoke zum Hub.

Konfigurieren virtueller Clientcomputer

WSUS kann verwendet werden, um jeden virtuellen Computer zu aktualisieren, auf dem Windows ausgeführt wird. Informationen zum Einrichten von Clients mithilfe von Gruppenrichtlinien finden Sie unter Konfigurieren von Clientcomputern zum Empfangen von Updates vom WSUS-Server.

Wenn Sie als Administrator ein großes Netzwerk verwalten, finden Sie unter Automatische Updates konfigurieren und Update-Servicestandort festlegen Informationen darüber, wie Sie Gruppenrichtlinieneinstellungen nutzen können, um Clients automatisch zu konfigurieren.

Azure Update Manager

Sie können den Azure Update Manager verwenden, um Betriebssystemupdates für VMs zu verwalten und zu planen, die mit WSUS synchronisiert werden. Der Patchstatus des virtuellen Computers (also die Information, welche Patches fehlen) wird basierend auf der Quelle ermittelt, die für die Synchronisierung mit dem virtuellen Computer konfiguriert ist. Wenn der virtuelle Windows-Computer für das Senden von Meldungen an WSUS konfiguriert ist, können sich die Ergebnisse von den angezeigten Microsoft Update-Ergebnissen unterscheiden. Dies hängt davon ab, wann WSUS zuletzt mit Microsoft Update synchronisiert wurde. Nach Abschluss der Konfiguration Ihrer WSUS-Umgebung können Sie die Updateverwaltung aktivieren. Weitere Informationen finden Sie in der Übersicht über den Azure Update Manager.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

  • Paul Reed | Azure Compliance Senior Program Manager

Nächste Schritte