WSUS - externe Veröffentlichung
Hallo,
folgender Sachverhalt:
Wir betreibenen einen WSUS-Server in unserer Zentrale und zwei weitere Downstreamserver innerhalb des LANs an Remote-Standorten, sowohl interne als auch via VPN angebundene Clients verbinden sich problemlos mit den WSUS-Servern. Zusätzlich zu den Microsoft-Updates verteilen wir mittels WSUS Package Publisher (WPP) Drittanbieter-Updates über den WSUS-Server, beispielsweise Adobe Reader, Firefox, Jave, etc.
Nun haben wir auch Clients, die keinen VPN-Zugang besitzen oder diesen nicht nutzen und die für längere Zeit nicht im Firmennetzwerk sind. Auch diese Clients sollen zentral Updates versorgt werden und dabei möglichst nicht ungesteuert über Microsoft, sondern auch über den WSUS-Server und inklusive der WPP-Updates (also nicht nur Berichterstattung und dann Download bei Microsoft).
Die naheliegendste Möglichkeit ist einen weiteren WSUS-Server als Downstream-Server in die DMZ zu stellen, dort SSL zu aktivieren (interne CA ist vorhanden) und den entsprechenden Port freizugeben. Hierzu stellen sich für mich folgende Fragen:
1. Wie kann ich verhindern, dass nicht jeder beliebige Client versucht zu mit dem WSUS-Server zu verbinden? Da WSUS ja grundsätzlich ohne Authentifizierung läuft, wäre der Server aus meiner theoretisch für jeden verfügbar. Oder gibt es da Einschränkungsmöglichkeiten?
2. Ist Split-Brain-DNS mittel der Wahl, oder kann gibt die Möglichkeit einen Failoverserver einzustellen? In den GPOs sehe ich da erstmal keine Möglichkeit, der alternative Downloadsrver ist meine Wissens für einen anderen Zweck.
3. Aktuell wird weder für die Client-Server- noch für die Replikat-Konfiguration SSL verwendet, ist das unabhängig voneinander?
Ich weiß, dass das Thema WSUS und externer Zugriff immer mal wieder thematisiert wird, ich hab jedoch auf meine konkreten Fragen keine Antworten gefunden.
Vielen Dank vorab!
folgender Sachverhalt:
Wir betreibenen einen WSUS-Server in unserer Zentrale und zwei weitere Downstreamserver innerhalb des LANs an Remote-Standorten, sowohl interne als auch via VPN angebundene Clients verbinden sich problemlos mit den WSUS-Servern. Zusätzlich zu den Microsoft-Updates verteilen wir mittels WSUS Package Publisher (WPP) Drittanbieter-Updates über den WSUS-Server, beispielsweise Adobe Reader, Firefox, Jave, etc.
Nun haben wir auch Clients, die keinen VPN-Zugang besitzen oder diesen nicht nutzen und die für längere Zeit nicht im Firmennetzwerk sind. Auch diese Clients sollen zentral Updates versorgt werden und dabei möglichst nicht ungesteuert über Microsoft, sondern auch über den WSUS-Server und inklusive der WPP-Updates (also nicht nur Berichterstattung und dann Download bei Microsoft).
Die naheliegendste Möglichkeit ist einen weiteren WSUS-Server als Downstream-Server in die DMZ zu stellen, dort SSL zu aktivieren (interne CA ist vorhanden) und den entsprechenden Port freizugeben. Hierzu stellen sich für mich folgende Fragen:
1. Wie kann ich verhindern, dass nicht jeder beliebige Client versucht zu mit dem WSUS-Server zu verbinden? Da WSUS ja grundsätzlich ohne Authentifizierung läuft, wäre der Server aus meiner theoretisch für jeden verfügbar. Oder gibt es da Einschränkungsmöglichkeiten?
2. Ist Split-Brain-DNS mittel der Wahl, oder kann gibt die Möglichkeit einen Failoverserver einzustellen? In den GPOs sehe ich da erstmal keine Möglichkeit, der alternative Downloadsrver ist meine Wissens für einen anderen Zweck.
3. Aktuell wird weder für die Client-Server- noch für die Replikat-Konfiguration SSL verwendet, ist das unabhängig voneinander?
Ich weiß, dass das Thema WSUS und externer Zugriff immer mal wieder thematisiert wird, ich hab jedoch auf meine konkreten Fragen keine Antworten gefunden.
Vielen Dank vorab!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 505347
Url: https://administrator.de/forum/wsus-externe-veroeffentlichung-505347.html
Ausgedruckt am: 07.04.2025 um 17:04 Uhr
7 Kommentare
Neuester Kommentar
Hi
Optionen > Update Files and Languages > Do not store update files locally
Dann holt der Client sich diese Updates vom MS Server
1. Wie kann ich verhindern, dass nicht jeder beliebige Client versucht zu mit dem WSUS-Server zu verbinden? Da WSUS ja grundsätzlich ohne Authentifizierung läuft, wäre der Server aus meiner theoretisch für jeden verfügbar. Oder gibt es da Einschränkungsmöglichkeiten?
Wenn ihr Client zertifikate ausgerollte habt, könnte man das damit machen.2. Ist Split-Brain-DNS mittel der Wahl
JaIn den GPOs sehe ich da erstmal keine Möglichkeit
Naja du kannst natürlich 2 GPOs machen die auf unterschiedliche OUs/Computergruppen zielen. Definiere interne und externe Geräte und gib denen unterschiedliche URLs mit. Aber SplitbrainDNS ist da natürlich einfacher.3. Aktuell wird weder für die Client-Server- noch für die Replikat-Konfiguration SSL verwendet, ist das unabhängig voneinander?
Technisch ja. Aber warum nicht? Das ist ein Haken und ein paar Sekunden editieren in der GPO ...Ich weiß, dass das Thema WSUS und externer Zugriff immer mal wieder thematisiert wird, ich hab jedoch auf meine konkreten Fragen keine Antworten gefunden.
Nur damit das nicht untergeht: Der externe WSUS kann so eingestellt werden, das er zwar die Updates authorisiert, aber keinen DL anbietet.Optionen > Update Files and Languages > Do not store update files locally
Dann holt der Client sich diese Updates vom MS Server
Client-Zertifikate sind ausgerollt, da u.a. auch 802.1x für WLAN verwendet wird. Ist das dann eine reine IIS-Funktionalität, die unabhängig von WSUS eine Client-Authentifizierung mit Zertifikat am WSUS erfordert? Gibt es dazu ein Howto? Bisher bin ich davon ausgegangen, dass die Aktivierung von SSL beim WSUS nur dafür sorgt, dass die Kommunikation zwischen Client und Server verschlüsselt ist. Hierzu benötigt der Client ja naturgemäß kein eigenes Zertifiakt sondern muss nur der ausstellenden CA vertrauen.
Das eine ist HTTPS, also verschlüsselter Transport der Daten, das andere ist Authentifizierung. und letzteres kannst du mit IIS machen. Dazu braucht aber der Client ein von der CA ausgestelltes Zertifikat.Für uns ist in der Konstallation problematisch...
Dann mach SplitDNS. Halte ich eh für die bessere Variante, da ein Client seine Updates imemr bekommt. Intern oder Extern. Egal.Das würde jedoch nicht mit den WPP-Updates funktionieren, also bliebe die Drittanbieter-Software so weiter ungepatcht.
Uff. Ja vermutlich. Habe ich mich noch nie mit beschäftigt. Keine Ahnung
Moin,
wir betreiben mehrere WSUS Server im Internet, welche ausschließlich über SSL Authentifizierung nutzbar sind. Wichtig ist, dass eure PKI Infrastruktur und die Verteilung der Zertifikate reibungslos funktioniert. Ansonsten sind Probleme vorprogrammiert...

Gruß,
Dani
wir betreiben mehrere WSUS Server im Internet, welche ausschließlich über SSL Authentifizierung nutzbar sind. Wichtig ist, dass eure PKI Infrastruktur und die Verteilung der Zertifikate reibungslos funktioniert. Ansonsten sind Probleme vorprogrammiert...
Ja sowieso, nur ist das halt problematisch wegen fehlender Gruppen-Sync zwischen Replikat und Hauptserver.
Wieso? Das ist trotzdem möglich. Das Design der DNS-Namen muss halt stimmen. Gruß,
Dani
Moin,
Gruß,
Dani
Nach meinem Kenntnisstand, werden manuelle WSUS-Gruppenzugehörigkeiten immer nur an dem jeweils verwendeten WSUS-Server konfiguriert.
Korrekt. Das Verhalten ist standardmäßig immer noch so. Jetzt bin ich neugierig, erläutere bitte mal!
Ich habe nochmals intern nachgefragt. Grob gesagt nimmt ein Load Balancer/ReverseProxy im Internet die Anfragen entgegen und routet die Informationen je nach Anfrage (z.B Reports, oder Suche nach Updates) auf unsere WSUS im RZ. Downloads der Updates entsprechend auf unsere WSUS-Server im Internet.Gruß,
Dani