WSUS環境を構築する
WSUSって何て呼べば良いの?
そこから入りたくなりますが「ダブルサス」が一般的なのでしょうか?「ダブリューサス」?似ている言葉でASUSは「エイスース」と呼ぶし「ダブルスース」なのか。この業界の略称は色んな呼び方があると思うのでうっかり別物だと勘違いしてしまうこともしばしば・・・・まぁ、そんな前置きは置いておきまして本題に。
SCCM 1902を導入してみる(後編) - SE(しがないエンジニア)のブログ
先日のブログの記事でWSUSの役割追加を行っておりますがセットアップがまだだった為に、簡単ではありますが流れを説明致します。
・各端末が一気に Windows Update を行ったら回線がパンクするやないか!
・各端末のパッチが平準化されないので脆弱性突かれて感染したやないか!
主に挙げるとこんなところですが、IT管理者の頭を悩ますところをWSUSは解決してくれます。
WSUSのセットアップ(設定編)
特段迷うところはないかと思われます。
下記は自環境の場合40~50分程度かかりました。
実行中のタスクマネージャーはこんな感じです。(WSUSの役割追加時にWIDを選択していた場合はまた表示が違う可能性があります)
言語は特段の追加がなければ「英語」・「日本語」で良いかと思います。
製品の選択に関しては任意です。自環境に合わせた形で選択して下さい。
分類に関しても同様です。
同期に関しても任意ですが自動の方が良いのかなと思います。
その後、WSUS画面の初回同期はほぼ丸1日かかりました・・・・。(同期100%になるまで)
なお、「すべての更新プログラム」を表示しようとした際に頻繁に接続エラーとなってしまう場合は下記をご参照下さい。
itsoldiersakuri.hatenablog.com
「SUSDB」のインデックス再構築の為のSQLは WIndows Server 2019 環境でも問題なく動作しました。その後は無事に表示されています。(ただし、メモリを10GBから12GBに引き上げました。。)
WSUSのセットアップ(グループポリシー編)
これだけでは Active Directory に参加しているクライアントPCがパッチを取得しにいくことが出来ない為、グループポリシーを利用して別途設定する必要があります。
自環境の場合はVM1で下記の設定を行います。
[コンピューターの構成]➡[ポリシー]➡[管理用テンプレート]➡[Windows コンポーネント]➡[Windows Update]にて
・イントラネットの Microsoft 更新サービスの場所を指定する
・自動更新を構成する(自環境に合わせて任意の形式で)
以上を設定した後に Active Directory 環境内のクライアントPCで「gpresult /z」を実行してみると。
GPO: WSUS Update フォルダー ID: Software\Policies\Microsoft\Windows\WindowsUpdate\AU\ScheduledInstallTime 値: 3, 0, 0, 0 状態: 有効 GPO: WSUS Update フォルダー ID: Software\Policies\Microsoft\Windows\WindowsUpdate\WUServer 値: 104, 0, 116, 0, 116, 0, 112, 0, 58, 0, 47, 0, 47, 0, 108, 0, 111, 0, 115, 0, 101, 0, 114, 0, 58, 0, 56, 0, 53, 0, 51, 0, 48, 0, 0, 0 状態: 有効
このような感じで反映されております。残りの検証としてWSUSサーバでパッチを承認しクライアント側でアップデートが実行されるか確認しましょう。(アップデート部分は後程追記致します)
追記(Appendix)
2019/07/14
クライアント側のアップデート時スクリーンショットです。パッチはWSUS経由でダウンロードしている状態です。
