WSUS Downstream Server in der DMZ – Interne Windows Update Services auch für externe Endgeräte nutzen – eine Schritt für Schritt Anleitung

Windows Update Server in DMZ

Unternehmensintern genutzte Windows Endgeräte hatten nie das Problem mit dem internen Windows Update Server zu kommunizieren, ihre Updates zu erhalten und Ihre Berichte über den Update Status an den Server weiterzugeben. Was intern gut funktioniert, kann auch gesichert über das Internet ohne VPN sichergestellt werden.

In diesem Artikel beschreibe ich die notwenigen Schritte, damit Sie einen eigenen Windows Update Server in der DMZ betreiben können. Damit können Sie den Update Status Ihrer Endgeräte jederzeit einsehen, als auch neue oder zusätzliche Software-Updates des Unternehmens ohne VPN Verbindung an Ihre Endgeräte ausbringen.

Zertifikats, VPN Software oder vollständige Softwarewechsel stellen so für sie kein Problem mehr dar.

Vorbereitende Schritte und Maßnahmen

Tools die mehr oder weniger benötigt werden:

  • SQL Management Studio (SSMS-Setup-DEU.exe)
  • Microsoft System CLR Types for SQL Server 2012 (x64) (SQLSysClrTypes.msi)
  • ReportViewer.msi
  • Microsoft Command Line Utilities 15 for SQL Server (MsSqlCmdLnUtils.msi)

Vorabentscheidungen treffen

Externer und interner WSUS TCP Port

Welche Ports sollen für WSUS intern/extern verwendet werden?

Die Standardports des WSUS vs. Standardports im Internet (8530/8531 oder 80/443)

Internes/Public Zertifikat für neuen DNS Namen bereitstellen

Es können unterschiedliche Zertifikatsherausgeber für den Internen & Externen DNS Namen verwendet werden. Wichtig ist nur, dass beide Zertifikatsherausgeber am Endgerät als vertrauenswürdig eingestuft sind.

Dokumentationstabelle für Vorabentscheidungen:

Öffentlicher DNS NameVollständiger FQDN (muss über das Internet erreichbar sein)
Zertifikat für DNS NameZertifikat muss incl. private Key vorliegen
TCP PortMuss über das Internet bis zum SSL Gateway in der Firewall freigeschalten sein
Externe IP-AdresseDie Externe IP-Adresse der WSUS URL
Intern IP-Adresse(n)Die Interne IP-Adresse(n) der WSUS URL

Kommunikationsdiagramm

Windows Update Server in DMZ
Windows Update Server in der Demilitarisierten Netzwerkzone

Aufbau & Einrichtung der externen Kommunikation

Installation WSUS Server in der DMZ

Die Rolle Windows Update Server muss auf einen in der DMZ positionierten Windows Server aktiviert werden.

Ein Setup-Assistent führt Schritt für Schritt wie in einer Anleitung durch die Bereitstellung des Windows Features und stellt für jeden Administrator keine Herausforderung dar.

Dokumentationstabelle und Checkliste für DMZ WSUS Aufbau:

IP-Adresse des WSUS Servers<IP-Adresse>
DNS Hostname des WSUS Servers 
Interner Upstream Server incl. TCP Port 
Durchführen der Erstsynchronisation 
Neuer DMZ Downstream Server ist im zentralen Server sichtbar? 

SSL Aktivierung des DMZ WSUS Servers

  • IIS Zertifikat installieren
  • WSUS-Verwaltung mit SSL aktivieren (Bindings)
IIS TCP Binding
  • HTTPS Kommunikation erzwingen (SSL Erforderlich) für Verzeichnisse
    • APIremoting30
    • ClientWebService
    • DSSAuthWebService
    • ServerSyncWebService
    • SimpleAuthWebService
    • NICHT
      • Content
      • Inventory
      • SelfUpdate
      • ReportingWebService
WSUS Administration Übersicht
IIS SSL Einstellungen

WSUS auf SSL Nutzung konfigurieren

Hierzu muss über die lokale Kommandozeile auf dem DMZ WSUS Server nachfolgender Befehl eingegeben werden:

%ProgramFiles%\Update Services\Tools\
wsusutil.exe configuressl %COMPUTERNAME%

WSUS Testaufrufe

https://<WSUS-IP-DMZ>/ClientWebService/client.asmx

  • Ausgabe:
WSUS Client Server URL

https://<WSUS-IP-DMZ>/selfupdate/wuident.cab

  • Ausgabe ist ein Download

Dokumentationstabelle und Checkliste für DMZ WSUS Aufbau:

SSL Zertifikat in IIS installieren 
IIS TCP Bindung anpassen 
HTTPS für URLs erzwingenAPIremoting30 ClientWebService DSSAuthWebService ServerSyncWebService SimpleAuthWebService
SSL auf WSUS aktivieren 
WSUS Testaufrufe erfolgreich? 

Externe URL mit Zertifikat und URL Filter einrichten

In vielen Firmen werden extern erreichbare Webseiten durch ein SSL Gateway wie Citrix NetScaler oder NGINX gesichert. Die Vorteile liegen klar auf der Hand. Es können dabei die Sicherungsschicht des SSL-Gateways als auch ein zentrales Zertifikat z.B. als Wildcard verwendet werden.

Am Beispiel von Citrix Netscaler müssen folgende Schritte konfiguriert werden:

  1. WSUS muss auf zuvor definierten TCP Port konfigurieren
  2. Virtual Server in Netscaler einrichten
  3. Monitor für Virtuellen Server einrichten
  4. Context Switch einrichten
  5. Externes Binding für DNS Namen einrichten
  6. Weiterleitung der WSUS URLs auf Context Switch/Virtual Server

Dokumentationstabelle für DMZ Aufbau:

IP-Adresse interner Virtueller Server<IP-Adresse>
WSUS Testaufrufe auf Virtual Server erfolgreich? 
WSUS Testaufrufe auf externe IP-Adresse/DNS Namen erfolgreich? 

Systemtest mit einem Windows Endgerät

Client Einstellungen für Update Test & Kommunikation

Damit ein gesonderter Test durchgeführt werden kann sollte ein Client manuell mittels Gruppenrichtlinien oder manueller Registrierungseinstellung auf den externen WSUS konfiguriert werden.

GPO für externe URL oder Regedit bereitstellen und importieren.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://WSUS-Server-Name oder IP-Adresse:8530"
"WUStatusServer"="http://WSUS-Server-Name oder IP-Adresse:8530"
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Testgruppe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] 
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"RescheduleWaitTime"=dword:00000001
"UseWUServer"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000004
"AutoInstallMinorUpdates"=dword:00000001

Lokalen Client erneut an WSUS melden

wuauclt /resetauthorization /detectnow

Dokumentationstabelle und Checkliste für Client Test Extern:

ist die externe URL ist erreichbar? 
Sind Zertifikatsfehler bei URL Abruf sichtbar? 
Erscheint das Endgerät im DMZ WSUS (nach Sync auch im Internen?) 
Endgerät hat aktuelles Datum/Uhrzeit in WSUS 

Dokumentationstabelle und Checkliste für Client Test Intern:

Interne URL ist erreichbar? 
Sind Zertifikatsfehler bei URL Abruf sichtbar? 
Endgerät erscheint in WSUS 
Endgerät hat aktuelles Datum/Uhrzeit in WSUS 

Nachbereitung

Zusätzliche Absicherung des WSUS Servers in der DMZ

Hierfür existiert ein Advisory bei Microsoft. Diesem Folgend kann z. B. die IIS Authorisierung entsprechend angepasst werden, sodass nur noch interne in der Active Directory bekannte Endgeräte mit diesem WSUS Server kommunizieren können.

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc708550(v=ws.10)?redirectedfrom=MSDN

Zusammenfassung

Nach einem erfolgreichen Test sollte der Client die internen Windows Updates nach Zuteilung entsprechend erhalten und seinen Status nach der Installation wieder erneut an den WSUS Server zurückmelden. Dadurch können nicht nur Windows Updates, sondern auch interne Anwendungen, Zertifikate und zusätzlichen Einstellungen an jeden „Road-Warrior“ und angehängten externen Server übertragen werden.

Änderungshistorie

Erstellt: 2022-10-09Zuletzt geändert: 2022-10-11
Änderungshistorie:
2022-10-09: Basis – Layout + Text
2022-10-11: Anpassung Layout
Änderungshistorie d. Artikels

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

fünfzehn − 13 =