До початку процесу налаштування переконайтеся в тому, що ви знаєте відповіді на наступні питання.
Чи дозволяють настройки брандмауера на сервері доступ клієнтів до сервера?
Після ознайомлення з відповідями на ці питання ви можете приступати до вибору таких мережевих параметрів служб WSUS.
Проксі При виявленні необхідності використання службами WSUS проксі-сервера для отримання доступу до Інтернету потрібно зробити налаштування параметрів проксі-сервера в службах WSUS.
Брандмауер При виявленні факту захищеності служб WSUS корпоративним брандмауером потрібно зробити з крайовим пристроєм додаткові дії, щоб забезпечити необхідний дозвіл на трафік для WSUS.
Вищі і підлеглі сервери WSUS буде виконувати синхронізацію по порту, налаштованому адміністратором служб WSUS. За замовчуванням ці порти налаштовані таким чином.
У службах WSUS 3.2 і раніших версій порт 80 для HTTP і порт 443 для HTTPS
Щоб дозволити вхідний трафік по цих портів, необхідно налаштувати брандмауер на сервері WSUS.
Прослуховуючі інтерфейси і порти налаштовуються на сайті IIS для служб WSUS і в будь-яких параметрах групової політики, які використовуються для настройки клієнтських комп'ютерів. Порти за замовчуванням ті ж, що і в попередньому розділі, З'єднання між серверами WSUS. Брандмауер на сервері WSUS також необхідно налаштувати, щоб дозволити вхідний трафік через ці порти.
Якщо в корпоративній мережі використовуються проксі-сервери, вони повинні підтримувати протоколи HTTP та SSL і використовувати звичайну перевірку автентичності або перевірку автентичності Windows. Ці вимоги можуть бути виконані за допомогою однієї з наступних конфігурацій.
Один проксі-сервер, що підтримує два канали протоколів. В цьому випадку налаштуйте для одного каналу використання протоколу HTTP, а для іншого каналу використання протоколу HTTPS.
Можна налаштувати один проксі-сервер, що обробляє обидва протоколи для служб WSUS, під час установки програмного забезпечення сервера WSUS.
Два проксі-сервера, кожен з яких підтримує один протокол. У цьому випадку один проксі-сервер налаштований для використання протоколу HTTP, а інший - для використання протоколу HTTPS.
Щоб налаштувати два проксі-сервера, кожен з яких буде обробляти один протокол для служб WSUS, використовуйте наступну процедуру.
Налаштування служб WSUS для використання двох проксі-серверів
Увійдіть на комп'ютер, який буде використовуватися в якості сервера WSUS, використовуючи обліковий запис, який є членом локальної групи "Адміністратори".
Встановіть роль сервера WSUS. Не вказуйте проксі-сервер в процесі роботи з майстром налаштування WSUS (як описано в наступному розділі).
Відкрийте командний рядок (Cmd.exe) від імені адміністратора. Щоб відкрити командний рядок від імені адміністратора, натисніть кнопку Пуск. У полі Розпочати пошук введіть Командний рядок. Вгорі меню "Пуск" клацніть правою кнопкою миші елемент Командний рядок і виберіть пункт Запуск від імені адміністратора. Якщо з'явиться діалогове вікно керування обліковими записами. введіть відповідні облікові дані (при запиті), підтвердіть, що відображається дія - саме те, що потрібно, і натисніть кнопку Продовжити.
У вікні командного рядка перейдіть в папку C: \ Program Files \ Update Services \ Tools. Введіть наступну команду:
wsusutil ConfigureSSLProxy [
proxy_server - ім'я проксі-сервера, який підтримує протокол HTTPS;
proxy_port - номер порту проксі-сервера.
Закрийте вікно командного рядка.
Щоб додати проксі-сервер, який використовує протокол HTTP, в конфігурацію WSUS, використовуйте наступну процедуру.
Додавання проксі-сервера, що використовує протокол HTTP
Відкрийте консоль адміністрування WSUS.
У лівій панелі розгорніть ім'я сервера і клацніть Параметри.
В області Параметри виберіть Джерело відновлення і проксі-сервер. а потім перейдіть на вкладку Проксі-сервер.
Щоб змінити існуючу конфігурацію проксі-сервера, використовуйте наступні параметри.
Зміна або додавання проксі-сервера в конфігурацію WSUS
Встановіть прапорець Використовувати проксі-сервер при синхронізації.
В поле Ім'я проксі-сервера введіть ім'я проксі-сервера.
В поле Номер порту проксі-сервера введіть номер порту проксі-сервера. Номер порту за замовчуванням: 80.
Якщо проксі-сервер вимагає використання певного облікового запису користувача, встановіть прапорець Використовувати облікові дані користувача для підключення до проксі-сервера. Введіть потрібне ім'я користувача, домен і пароль у відповідні текстові поля.
Якщо проксі-сервер підтримує звичайну перевірку автентичності, встановіть прапорець Дозволити звичайну перевірку автентичності (пароль передається відкритим текстом).
Видалення проксі-сервера з конфігурації WSUS
Щоб видалити проксі-сервер з конфігурації WSUS, зніміть прапорець Використовувати проксі-сервер при синхронізації.
Дана методика передбачає, що ви використовуєте майстер настройки WSUS, що з'являється при першому запуску консолі управління WSUS. При подальшому вивченні цього розділу ви навчитеся робити ці налаштування за допомогою сторінки Параметри.
Налаштування служб WSUS
На Панелі переходів диспетчера серверів виберіть Моніторинг. Службові програми. а потім натисніть Служби Microsoft Windows Server.
Якщо відобразиться діалогове вікно Завершити установку WSUS натисніть Виконати. Після успішного завершення установки в діалоговому вікні Завершити установку WSUS натисніть Закрити.
На сторінці Вибір висхідного сервера є два варіанти:
Синхронізувати з іншим сервером Windows Server Update Services
При виборі синхронізації з іншим сервером WSUS вкажіть ім'я сервера і порт, через який даний сервер буде зв'язуватися з вищим сервером.
Для використання SSL встановіть прапорець Використовувати SSL при синхронізації даних про оновлення. Для синхронізації сервери будуть використовувати порт 443. (Переконайтеся в тому, що обидва сервера підтримують протокол SSL).
При використанні сервера-репліки встановіть прапорець Це репліка від висхідного сервера.
По завершенні вибору необхідних параметрів розгортання натисніть Далі. щоб продовжити.
На сторінці Налаштування проксі-сервера встановіть прапорець Використовувати проксі-сервер при синхронізації. а потім введіть у відповідні поля ім'я проксі-сервера і номер порту (за замовчуванням порт 80).
Виконання цієї дії необхідно, якщо службам WSUS потрібно проксі-сервер для доступу до Інтернету.
Для підключення до проксі-сервера за допомогою спеціальних облікових даних користувача встановіть прапорець Використовувати облікові дані користувача для підключення до проксі-сервера. а потім введіть ім'я користувача, домен і пароль користувача у відповідних полях. Щоб задіяти звичайну перевірку автентичності для користувача, що підключається до проксі-сервера, встановіть прапорець Дозволити звичайну перевірку автентичності (пароль передається відкритим текстом).
Натисніть кнопку "Далі. На сторінці Підключення до вищестоящого сервера натисніть Почати підключення.
При відбувся підключенні натисніть Далі. щоб продовжити.
На сторінці Вибір мов можна вибрати мови для отримання оновлень службами WSUS - всі мови або деякий набір мов. Вибір обмеженого набору мов дозволяє зберегти простір на диску, проте важливо вибрати все ті мови, які необхідні всім клієнтам даного сервера WSUS. Для отримання оновлень тільки для певних мов виберіть Завантажувати оновлення тільки для наступних мов :. а потім виберіть мови, для яких ви бажаєте отримувати оновлення; в іншому випадку - залиште вибір за замовчуванням.
При виборі варіанту Завантажувати оновлення тільки для наступних мов :. а також при наявності підлеглого сервера WSUS, підключеного до даного сервера, мається на увазі примусове використання тільки обраних мов також і підлеглим сервером.
По завершенні вибору необхідних мовних параметрів натисніть Далі. щоб продовжити.
Вибравши потрібні продукти для вашого розгортання, натисніть кнопку Далі.
На сторінці Вибір класів виберіть класи оновлень, які ви бажаєте отримувати. Виберіть всі класи або їх обмежений набір, а потім натисніть кнопку Далі.
На сторінці Налаштування розкладу синхронізації можна вибрати виконання синхронізації автоматично або вручну.
При виборі варіанту Синхронізація вручну слід починати процес синхронізації з консолі адміністрування служб WSUS.
При виборі варіанту Автоматична синхронізація сервер WSUS виробляє синхронізацію з встановленими інтервалами.
Встановіть час першої синхронізації і вкажіть кількість синхронізацій в день для виконання даним сервером. Наприклад, при вказівці чотирьох синхронізацій в день (починаючи з 03:00) синхронізації будуть виконуватися о 03:00, 09:00,, 15:00 і 21:00.
По завершенні вибору необхідних параметрів синхронізації натисніть Далі. щоб продовжити.
На сторінці Завершено передбачена можливість негайного початку синхронізації при виборі прапорця Запустити первісну синхронізацію. Якщо ви не вибираєте цей варіант, слід скористатися консоллю управління служб WSUS для виконання початкової синхронізації. Для отримання інформації про додаткові параметри натисніть Далі або натисніть Готово для завершення роботи майстра і закінчення початкової установки служб WSUS.
Після натискання кнопки Готово з'являється консоль управління служб WSUS.
Тепер, провівши базове налаштування служб WSUS, ознайомтеся з наступними розділами, що містять детальну інформацію про зміну налаштувань за допомогою консолі управління служб WSUS.
Сертифікат центру сертифікації (ЦС) повинен бути імпортований в сховище довірених кореневих ЦС локального комп'ютера або в сховище довірених кореневих ЦС служб Windows Server Update Services на підлеглих серверах WSUS. Якщо сертифікат імпортується тільки в сховище довірених кореневих ЦС локального користувача, підлеглий сервер WSUS не зможе проходити перевірку автентичності на вищому сервері.
Додаткові відомості про використання сертифікатів SSL в службах IIS див. Розділ Вимога протоколу SSL (IIS 7).
Необхідно імпортувати сертифікат на всі комп'ютери, які будуть взаємодіяти з сервером WSUS. До них відносяться всі клієнтські комп'ютери, підлеглі сервери і комп'ютери, на яких виконується консоль адміністрування WSUS. Сертифікат повинен бути імпортований в сховище довірених кореневих ЦС локального комп'ютера або в сховище довірених кореневих ЦС служб Windows Server Update Services.
Для SSL можна використовувати будь-який порт. Однак порт, який налаштовується для використання SSL, також визначає порт, який використовується службами WSUS для відправки незахищеного HTTP-трафіку. Розглянемо наступні приклади.
При використанні стандартного галузевого порту 443 для HTTPS-трафіку служби WSUS використовують стандартний галузевої порт 80 для незахищеного HTTP-трафіку.
При використанні для HTTPS-трафіку будь-якого порту замість 443 служби WSUS відправлятимуть незахищений HTTP-трафік через порт, чисельно попередній номеру порту для протоколу HTTPS. Наприклад, якщо для HTTPS використовується порт 8531, служби WSUS використовуватимуть порт 8530 для HTTP.
При зміні імені сервера, конфігурації SSL або номера порту необхідно повторно форматувати ClientServicingProxy.
Налаштування SSL на кореневому сервері WSUS
Увійдіть в систему сервера WSUS, використовуючи обліковий запис, який є членом групи "Адміністратори WSUS" або локальної групи "Адміністратори".
У меню Пуск введіть CMD. клацніть правою кнопкою миші Командний рядок. а потім клацніть пункт Запуск від імені адміністратора.
Перейдіть до папки% ProgramFiles% \ Update Services \ Tools \.
У вікні командного рядка введіть наступну команду:
Wsusutil configuresslcertificateName
certificateName - DNS-ім'я сервера WSUS.
Під час налаштування SSL на клієнтських комп'ютерах необхідно враховувати наступні аспекти.
Сертифікат на клієнтському комп'ютері повинен бути імпортований в сховище довірених кореневих ЦС локального комп'ютера або в сховище довірених кореневих ЦС служби автоматичного оновлення. Якщо сертифікат імпортується тільки в сховище довірених кореневих ЦС локального користувача, автоматичне оновлення не зможе пройти перевірку справжності на сервері.
Комп'ютери клієнтів повинні довіряти сертифікату, прив'язаному до сервера WSUS. Залежно від типу використовуваного сертифіката необхідно налаштувати для служби включення для клієнтських комп'ютерів довіри сертифікату, прив'язаному до сервера WSUS.
Нижче наведено відомості налаштування підлеглого сервера для синхронізації з вищим сервером, який використовує протокол SSL.
Синхронізація підлеглого сервера з вищим сервером, що використовує протокол SSL
Увійдіть в систему комп'ютера, використовуючи обліковий запис, який є членом групи "Адміністратори WSUS" або локальної групи "Адміністратори".
У меню Пуск виберіть пункт Усі програми. клацніть Адміністрування. а потім Windows Server Update Services.
У правій панелі розгорніть ім'я сервера.
Клацніть Параметри. а потім Джерело відновлення і проксі-сервер.
На сторінці Джерело відновлення виберіть варіант Синхронізувати з іншим сервером Windows Server Update Services.
Введіть ім'я вищого сервера в поле Ім'я сервера. Введіть номер порту, який використовується сервером для SSL-підключень, в поле Номер порту.
Встановіть прапорець Використовувати SSL при синхронізації даних про оновлення. а потім натисніть кнопку ОК.
За замовчуванням для всіх нових веб-сайтів IIS і веб-сайтів IIS за замовчуванням включений анонімний доступ для читання. Деякі додатки, зокрема Windows SharePoint Services, можуть блокувати анонімний доступ. Якщо це сталося, необхідно знову включити анонімний доступ для читання, перш ніж можна буде успішно встановити і використовувати служби WSUS.
Щоб включити анонімний доступ для читання, виконайте дії для відповідної версії IIS.
Поширення сертифікатів. Закритий ключ повинен бути встановлений на сервері WSUS, а відкритий ключ повинен бути явно встановлений в сховище довірених сертифікатів на всіх клієнтських комп'ютерах і серверах, для яких призначені підписані призначені для користувача оновлення.
Закінчення терміну дії. При закінченні терміну дії самозаверяющего сертифіката (або його наближення) служби WSUS записують події в журнал подій.
Оновлення та відкликання сертифікатів. Якщо потрібно оновити або відкликати сертифікат (наприклад, після виявлення того, що його термін дії закінчився), в службах WSUS не передбачені функції для вирішення цих завдань. Ці завдання буде потрібно виконати вручну, причому їх успішність важко гарантувати як в ручному, так і в автоматичному режимі.
Показ: успадкувала Захищений
Чи була ця сторінка корисною? Та ні
1500 символів Якого залишилося
Дякуємо! Дякуємо за відгук. Ваша думка дуже важлива для нас.