Înainte de a începe procesul de configurare, asigurați-vă că știți răspunsurile la următoarele întrebări.
Setările de firewall pe server permit clienților să acceseze serverul?
După ce ați citit răspunsurile la aceste întrebări, puteți continua configurarea următoarelor setări de rețea pentru WSUS.
Proxy Dacă stabiliți că trebuie să utilizați serverul proxy pentru a accesa Internetul, trebuie să configurați setările serverului proxy în WSUS.
Paravan de protecție (firewall) Când determinați securitatea WSUS, un firewall corporativ necesită acțiuni suplimentare cu dispozitivul de margine pentru a furniza autorizația de trafic necesară pentru WSUS.
Serverele WSUS în amonte și în aval se vor sincroniza pe portul configurat de administratorul WSUS. În mod implicit, aceste porturi sunt configurate după cum urmează.
În WSUS 3.2 și anterioare, portul 80 pentru HTTP și portul 443 pentru HTTPS
Pentru a permite traficul pe aceste porturi, trebuie să configurați paravanul de protecție pe serverul WSUS.
Interfețele și porturile de ascultare sunt configurate pe site-ul web IIS pentru WSUS și orice setări de politică de grup utilizate pentru a configura computerele client. Porturile implicite sunt aceleași ca în secțiunea anterioară, Conexiuni între serverele WSUS. Paravanul de protecție de pe serverul WSUS trebuie, de asemenea, să fie configurat pentru a permite traficul de intrare prin aceste porturi.
Dacă serverele proxy sunt utilizate în rețeaua corporativă, acestea trebuie să accepte protocoalele HTTP și SSL și să utilizeze autentificarea normală sau autentificarea Windows. Aceste cerințe pot fi îndeplinite utilizând una din următoarele configurații.
Un server proxy care acceptă două canale de protocol. În acest caz, configurați utilizarea protocolului HTTP pentru un canal și utilizați protocolul HTTPS pentru celălalt canal.
Puteți configura un server proxy care procesează ambele protocoale pentru WSUS în timpul instalării software-ului de server WSUS.
Două servere proxy, fiecare dintre acestea acceptând un protocol. În acest caz, un server proxy este configurat să utilizeze protocolul HTTP, iar celălalt este utilizat pentru a utiliza protocolul HTTPS.
Pentru a configura două servere proxy, fiecare dintre care va gestiona un protocol pentru WSUS, utilizați următoarea procedură.
Configurați serviciul WSUS să utilizeze două servere proxy
Conectați-vă la computerul care va fi utilizat ca server WSUS utilizând un cont care este membru al grupului local de administratori.
Instalați rolul serverului WSUS. Nu specificați un server proxy în timp ce lucrați cu WSUS Configuration Wizard (după cum se descrie în secțiunea următoare).
Deschideți linia de comandă (Cmd.exe) ca administrator. Pentru a deschide un prompt de comandă ca administrator, faceți clic pe Start. În caseta Pornire căutare, tastați Command Prompt. În partea de sus a meniului Start, faceți clic dreapta pe Command Prompt, apoi pe Executare ca administrator. Dacă apare caseta de dialog Control cont utilizator. introduceți acreditările corespunzătoare (când vi se solicită), confirmați că acțiunea afișată este exact ceea ce doriți și faceți clic pe butonul Continuare.
În fereastra Prompt Command, accesați folderul C: \ Program Files \ Update Services \ Tools. Tastați următoarea comandă:
wsusutil ConfigureSSLProxy [
proxy_server - numele serverului proxy care acceptă protocolul HTTPS;
proxy_port - numărul portului serverului proxy.
Închideți fereastra Prompt Command.
Pentru a adăuga un server proxy care utilizează protocolul HTTP la configurația WSUS, utilizați următoarea procedură.
Adăugarea unui server proxy care utilizează protocolul HTTP
Deschideți Consola de administrare WSUS.
În panoul din stânga, extindeți numele serverului, apoi faceți clic pe Opțiuni.
În zona Opțiuni, selectați Actualizare sursă și server proxy. apoi faceți clic pe fila Proxy.
Pentru a modifica o configurație proxy existentă, utilizați următoarele setări.
Modificarea sau adăugarea unui server proxy în configurația WSUS
Selectați caseta de selectare Utilizare server proxy când sincronizați.
În caseta Nume server proxy, tastați numele serverului proxy.
În caseta numărului portului Proxy, tastați numărul portului serverului proxy. Numărul portului implicit este 80.
Dacă serverul proxy solicită utilizarea unui anumit cont de utilizator, bifați caseta de selectare Utilizare acreditări utilizator pentru a vă conecta la serverul proxy. Introduceți numele de utilizator, domeniul și parola dorite în căsuțele de text corespunzătoare.
Dacă serverul proxy acceptă autentificarea de bază, bifați caseta de selectare Permite autentificarea de bază (parola este transmisă în text clar).
Ștergerea unui proxy din configurația WSUS
Pentru a elimina serverul proxy din configurația WSUS, debifați caseta de selectare Utilizare proxy server la sincronizare.
Această tehnică presupune că utilizați expertul de configurare WSUS care apare prima dată când porniți consola de administrare WSUS. Cu un studiu suplimentar al acestei secțiuni, veți învăța cum să faceți aceste setări utilizând pagina Parametri.
Configurarea serviciului WSUS
În panoul de navigare Server Manager, faceți clic pe Monitorizare. apoi Utilități. apoi faceți clic pe Windows Server Update Services.
Când apare caseta de dialog Instalare WSUS finalizată, faceți clic pe Executare. După instalarea cu succes, faceți clic pe Închidere din caseta de dialog Instalare completă WSUS.
Există două opțiuni pe pagina Select Upstream Server:
Sincronizați cu un alt server Windows Server Update Services
Dacă alegeți să sincronizați cu un alt server WSUS, specificați numele serverului și portul prin care acest server va comunica cu serverul din amonte.
Pentru a utiliza SSL, bifați caseta de selectare Utilizați SSL atunci când sincronizați informațiile de actualizare. Pentru sincronizare, serverele vor utiliza portul 443. (Asigurați-vă că ambele servere acceptă SSL).
Dacă utilizați un server de replică, bifați caseta de selectare Aceasta este replica serverului părinte.
După ce ați finalizat setările de implementare necesare, faceți clic pe Următorul. pentru a continua.
În pagina Configurare server proxy, bifați caseta de selectare Utilizați un server proxy când sincronizați. apoi introduceți numele serverului proxy și numărul portului în câmpurile corespunzătoare (portul implicit este 80).
Trebuie să efectuați această acțiune dacă WSUS necesită un server proxy pentru a accesa Internetul.
Pentru a vă conecta la un server proxy utilizând acreditări speciale de utilizator, bifați caseta de selectare Utilizare acreditări utilizator pentru a vă conecta la serverul proxy. apoi introduceți numele de utilizator, parola și parola de utilizator în câmpurile corespunzătoare. Pentru a activa autentificarea de bază pentru utilizatorul care se conectează la serverul proxy, bifați caseta de selectare Permite autentificarea de bază (parola este transmisă în text clar).
Faceți clic pe Următorul. Pe pagina Conectare la serverul din amonte, faceți clic pe Start conexiune.
Când se face conexiunea, faceți clic pe Următorul. pentru a continua.
În pagina Selectați limbi, puteți selecta limbile pentru a primi actualizări de către serviciile WSUS - toate limbile sau un set de limbi. Selectarea unui set limitat de limbi vă permite să economisiți spațiu pe disc, dar este important să selectați toate limbile care sunt necesare pentru toți clienții acestui server WSUS. Pentru a primi actualizări numai pentru anumite limbi, selectați Descărcare actualizări numai pentru următoarele limbi:. apoi selectați limbile pentru care doriți să primiți actualizări; în caz contrar, selectați opțiunea implicită.
Dacă selectați opțiunea Descărcați actualizări numai pentru următoarele limbi:. și, de asemenea, dacă aveți un server WSUS slave conectat la acest server, se presupune că numai limbile selectate sunt obligate să utilizeze și serverul slave.
După ce ați terminat de selectat setările de limbă necesare, faceți clic pe Următorul. pentru a continua.
După ce selectați produsele pentru implementarea dvs., faceți clic pe Următorul.
Pe pagina Selectați clasa, selectați clasele de actualizare pe care doriți să le primiți. Selectați toate clasele sau seturile lor restricționate, apoi faceți clic pe Următorul.
În pagina de configurare a programului de sincronizare, puteți alege să se sincronizeze automat sau manual.
Dacă selectați Sincronizare manuală, trebuie să porniți procesul de sincronizare din consola Administrare WSUS.
Dacă selectați Sincronizare automată, serverul WSUS se sincronizează la intervalele specificate.
Setați ora primei sincronizări și specificați numărul de sincronizări pe zi pentru execuție de către acest server. De exemplu, dacă specificați patru sincronizări pe zi (începând cu 03:00), sincronizarea va fi efectuată la 03:00, 09:00, 15:00 și 21:00.
După ce ați terminat selectarea opțiunilor de sincronizare necesare, faceți clic pe Următorul. pentru a continua.
În pagina Completat, puteți începe imediat sincronizarea selectând caseta de selectare Start inițial sincronizare. Dacă nu selectați această opțiune, trebuie să utilizați Consola de administrare a serviciilor WSUS pentru a efectua sincronizarea inițială. Pentru mai multe opțiuni, faceți clic pe Următorul sau faceți clic pe Terminare pentru a părăsi asistentul și a termina instalarea inițială a WSUS.
După ce faceți clic pe Finalizare, apare consola WSUS Management.
După ce ați făcut configurarea de bază a serviciului WSUS, consultați următoarele subiecte pentru detalii referitoare la modificarea setărilor utilizând Consola de administrare a serviciilor WSUS.
Certificatul CA trebuie să fie importat la CA rădăcină de încredere a computerului local sau la autoritatea de bază rădăcină de încredere din Windows Server Update Services pe serverele WSUS slave. Dacă certificatul este importat numai în magazinul CA autorizat al autorului rădăcină, serverul WSUS slave nu va putea să se autentifice la serverul din amonte.
Pentru mai multe informații despre modul de utilizare a certificatelor SSL în Internet Information Services (IIS), consultați Cerința SSL (IIS 7).
Trebuie să importați certificatul la toate computerele care vor comunica cu serverul WSUS. Acestea includ toate computerele client, serverele slave și computerele care rulează Consola de administrare WSUS. Certificatul trebuie să fie importat la autoritatea rădăcină de încredere a computerului local sau la spațiul de stocare Windows Server Update Services rădăcină de încredere.
Pentru SSL, puteți utiliza orice port. Cu toate acestea, portul care este configurat să utilizeze SSL specifică și portul pe care WSUS îl utilizează pentru a trimite trafic HTTP neprotejat. Luați în considerare următoarele exemple.
Atunci când se utilizează portul standard de industrie 443 pentru traficul HTTPS, WSUS utilizează portul standard 80 pentru traficul HTTP neprotejat.
Dacă utilizați orice port pentru trafic HTTPS, în loc de 443, WSUS va trimite trafic HTTP neprotejat printr-un port numeric care precede numărul de port al protocolului HTTPS. De exemplu, dacă utilizați portul 8531 pentru HTTPS, WSUS va utiliza portul 8530 pentru HTTP.
Dacă modificați numele serverului, configurația SSL sau numărul portului, trebuie să reinitializați ClientServicingProxy.
Configurarea SSL pe serverul rădăcină WSUS
Conectați-vă la serverul WSUS utilizând un cont care este membru al grupului de administratori WSUS sau al grupului local de administratori.
În meniul Start, tastați CMD. faceți clic dreapta pe Command Prompt. apoi faceți clic pe Executare ca administrator.
Navigați la folderul% ProgramFiles% \ Update Services \ Tools \.
În linia de comandă, tastați următoarea comandă:
Wsusutil configuresslcertificateName
certificateName este numele DNS al serverului WSUS.
Când configurați SSL pe computerele client, luați în considerare următoarele:
Certificatul de pe computerul client trebuie să fie importat la autoritatea rădăcină de încredere a computerului local sau la autoritatea de bază de încredere a serviciului de actualizare automată. Dacă certificatul este importat numai în magazinul de bază rădăcină CA autorizat al utilizatorului local, actualizarea automată nu se va putea autentifica pe server.
Calculatoarele client trebuie să aibă încredere în certificatul care este legat de serverul WSUS. În funcție de tipul de certificat pe care îl utilizați, trebuie să configurați serviciul pentru a permite calculatoarelor client să aibă încredere în certificatul care este legat la serverul WSUS.
Mai jos sunt instrucțiunile pentru configurarea serverului slave pentru sincronizarea cu serverul din amonte care utilizează protocolul SSL.
Sincronizarea unui slave cu un server din amonte care utilizează SSL
Conectați-vă la computer utilizând un cont care este membru al grupului Administratori WSUS sau al grupului local de administratori.
Faceți clic pe Start, apoi pe Toate programele. faceți clic pe Instrumente de administrare. apoi Windows Server Update Services.
În panoul din dreapta, extindeți numele serverului.
Faceți clic pe Opțiuni. apoi sursa de actualizare și serverul proxy.
Pe pagina sursă de actualizare, faceți clic pe Sincronizați cu un alt server Windows Server Update Services.
Introduceți numele serverului din amonte în caseta Nume server. Introduceți numărul portului pe care serverul îl utilizează pentru conexiunile SSL în câmpul Număr port.
Bifați caseta de selectare Utilizați SSL atunci când sincronizați informațiile de actualizare. apoi faceți clic pe OK.
În mod implicit, accesul citit anonim este activat pentru toate noile site-uri Web IIS și site-urile Web IIS. Unele aplicații, în special Windows SharePoint Services, pot bloca accesul anonim. Dacă se întâmplă acest lucru, trebuie să activați din nou accesul de citire anonim înainte de a putea instala și utiliza cu succes WSUS.
Pentru a permite accesul anonim pentru citire, urmați pașii pentru versiunea corespunzătoare a IIS.
Diseminarea certificatelor. Cheia privată trebuie instalată pe serverul WSUS, iar cheia publică trebuie instalată în mod explicit în magazinul de certificate de încredere pe toate computerele și serverele client pentru care sunt destinate actualizările utilizatorilor abonați.
Expirarea. Când certificatul auto-semnat expiră (sau se apropie), WSUS înregistrează evenimentele din jurnalul de evenimente.
Actualizarea și revocarea certificatelor. Dacă trebuie să actualizați sau să revocați certificatul (de exemplu, după ce ați descoperit că data de expirare a expirat), serviciul WSUS nu oferă funcții pentru a rezolva aceste sarcini. Aceste sarcini vor trebui să fie efectuate manual, iar succesul lor este dificil de garantat, fie manual, fie automat.
Afișare: Mijlocit protejat
Această pagină a fost utila? Da, nu
Au rămas 1500 de caractere
Mulțumesc! Vă mulțumim pentru feedbackul dvs. Opinia dvs. este foarte importantă pentru noi.
Trimiteți-le prietenilor: