こんにちは、サーバ管理者のMです。Windows7の終息に伴いWindows10への移行を急がれている社内運用管理者も多数いらっしゃると思われます。
今まではWindows Updateを各自が手動で実施されていたという会社もあろうかと思いますが、特にWindows10に移行すると半年ごとのメジャーアップデート(アップグレード)を勝手に実施されてトラブルになるケースも見受けられます。
出勤したら各部署から動かないとクレームを受ける……「なんで勝手にアップデートするんだよ!」、正直知らんがなマイクロソフトに聞けよと言いたいとこですが、そうはいかないのが会社のシステム担当ですよね。
そんな訳で今回は、通常はOSはセキュティの観点からアップデートさせるのが普通だとは思いますが、今回から数回に分けて社内クライアントに対してWSUS (Windows Server Update Service)を導入してWindows10のアップデート状態を管理する利点について掲載しますよ。
また本件はWindows Server 2019ベースのWSUS 4.0を用いますので、既にWSUSを導入されている会社でもWSUSのアップグレードを検討されている方の参考になれば幸いです。
え?面倒?サクッと簡単に設定できないの?と思いました?それができたら苦労しない(´・ω・)ス
さっそくWSUS(2019版)を導入
Windows Server 2019にWSUSをセットアップします。
WSUS用にするには最低でも500GB(WindowsOSのアップデート管理だけでも必要)、推奨は700GB以上のディスク空き容量が必要、メモリは推奨8GB以上です。
まずはサーバーマネージャーの「管理」から「役割と機能の追加」を選択します。
ウィザードが起動しますので「次へ」
インストール開始
「サーバーの役割の選択」にて「Windows Server Update Service」を選択します。
自動的に「Webサーバー(IIS)」も選択されてダイアログが表示されますので「機能の追加」をクリックして「次へ」進みます。
「機能の選択」も「次へ」進みます。
追加したWSUSのセットアップウィザードが開始されます。
WSUSで使用するデータベースを選択します。ここでは標準のWIDをそのまま使用します。
Microsoft Updateのパッケージをダウンロードして保持するフォルダを選択します。もしシステムドライブとデータドライブにパーティション分けできるならばデータドライブ側に適当なフォルダ名を付けて(ここではWSUSとしました)保存先を指定します。
IISの設定に移りますのでそのまま「次へ」進みます。
これでWSUSを構築する情報が揃いましたので「インストール」をクリックして開始します。
インストールが完了すると、サーバーマネージャー上部に△!のフラグが表示されます。ここで「展開後構成」の「インストール後のタスクを起動する」を選択するとWSUS構成ウィザードが起動しますが…今回ウィザードは起動せず手動で各種設定を行うことにします。
ウィザードを使用してももちろん構いませんが、ウィザードの途中でマイクロソフトサイトとの同期が必要になり長時間ウィザードが進まないことになります。これを避けるため、手動で設定を行って最後に同期を実施することにします。
サーバーマネージャーの「ツール」から「Windows Server Update Service」を選択します。
最初にダウンロード先フォルダの確認が表示されますので確認して「実行」をクリックします。
ウィザードが開始されますので、ここで前述のとおり「キャンセル」をクリックしてウィザードを停止します。
WSUSコンソールが起動しますので、左窓のWSUSサーバー名をクリックしてリスト展開し、一番下の「オプション」を選択します。
中央窓の「更新元およびプロキシサーバー」をクリックして内容を確認します。今回のWSUSは社内1台目のサーバーですので更新元は「Microsoft Updateから同期する」のままでOKです。
もし社内でプロキシサーバーを使用している場合「はプロキシサーバー」を開いて社内プロキシ情報を記載します。
続いて「製品と分類」をクリックして設定を開きます。「製品」ではマイクロソフトからダウンロードを受けるべき各種製品を選択します。標準では「Windows」にチェックが入っていて「すべてのWindowsOS」のパッケージやモジュールを受け入れるようになっています。旧製品で既に社内では使用していないOSがあればチェックを外しておくとそのパッケージはダウンロードされなくなりディスク容量を多少なりとも節約することが可能ですが、新規のOSが提供開始された場合は手動でチェックをONにする必要が出てきます。(つまり上位のチェックボックスがONならば下位は自動的にONになりますが、下位を選択すると自動的に上位のチェックボックスがOFFになるため手動設定に変わります)
社内でOffice製品をご利用でしたら「Office」もONにしておくことをお勧めします。(容量が肥大化しますが)
「分類」のほうはダウンロードするパッケージの種類を選択します。「更新」を含めるか、「定義更新プログラム」を含めるかなど検討が必要です。後で追加することは可能ですが、一度ONに設定した項目を後でOFFに変更してもそれまでダウンロードされたパッケージは削除されません。ですから最初は最低限のONにしておいて後で追加するほうが初期導入時には有効かと思います。
続いて「更新ファイルと更新言語」を開きます。「更新ファイル」のほうは標準のままでOKです。
もしも、ですが一度WSUSデータベース(WIDを利用)をクリアしたいというような運用上の特殊な要件が発生した場合はこの中の「更新ファイルをローカルに保存せず、Microsoft Updateからダウンロードします」を選択すると既存のダウンロードパッケージはすべて破棄されて容量が空になります。容量不足で別のドライブに移動する際など一旦既存パッケージを破棄する際には有効な手段です。
また「言語の更新」では「日本語」のみ選択するとパッケージを多少減らすことができますので社内のWindowsOSで日本語版と英語版しか使用していない環境でしたら言語を特定しておくのも有効です。(日本語(NEC)は不要です)
「同期スケジュール」を開きます。ここではMicrosoft Updateサイトとの同期スケジュールを調整します。毎日何時ごろに同期開始するか、また1日に何回チェックするかを決定します。
最後に「自動承認」を開きます。一般的に利用者が手動でMicrosoft Updateを行う場合、パッケージ導入時に利用者が「承認」を行うことでインストールが開始されます。これをWSUS側で自動的に承認させる種類を選択します。標準では「既定の自動承認規則」に対して「セキュリティ更新プログラム」と「重要な更新」が選択可能な状態になっています。ここに「製品と分類」の「分類」で追加した項目を含める(例えば「定義更新プログラム」)場合は「セキュリティ更新プログラム、重要な更新」の部分をクリックして追加したい分類をONにします。
追加したら「既定の自動承認規則」のチェックボックスをONにすることで、指定されたパッケージの自動承認が行われます。
これでウィザードで行われる設定を手動で定義し終えました。
コンソール左窓のサーバー名をクリックするとWSUSサーバの現在の状態が表示されます。
最初はもちろん誰もWSUSを使用していないので登録されたコンピュータはゼロですが、まずはこの状態でMicrosoft Updateと同期を行います。中央窓の「今すぐ同期」をクリックするとマイクロソフトサイトと同期を開始します。
この同期でWindowsOSやOfficeなど「製品」でチェックしたパッケージがダウンロードされてきます。OSだけで400GB近いデータがダウンロードされますのでかなり時間がかかりますのでご注意ください。
初回同期後の確認
最初の同期が終了したら改めて「オプション」の「製品と分類」を開くと、インストール直後に比べてかなりの製品項目が追加されていることが確認できると思います。
これらの製品の中から追加でダウンロードすべきものがあればチェックボックスをONにしておきます。
左窓上部のWSUSサーバー名の画面に戻り、中央窓の「サーバーの統計」の欄に「未承認の更新プログラム」があります。この数値が0でない場合は自動承認を行う前に管理者が「許可」を与えないとインストールできないパッケージ(例えば「同意する」をクリックしないとインストールできない更新プログラムなど)が存在していることになります。こういった「利用者が更新に同意する必要のあるプログラム」をWSUS管理者が代わりに手動で同意させる必要があります。
「未承認の更新プログラム」をクリックして同意が必要なパッケージを確認します。
承認するグループを選択する画面が表示されますが、まだグループを作っていないので「すべてのコンピューター」が対象になります。
もし特定のグループにのみこのパッケージをインストール許可したい場合は、先にグループを作ってからそのグループに対して「インストールの承認」を行います。
承認が確定するとパッケージのインストールに成功した画面が表示されます。
以上でWSUSサーバーの構築(基本)は完了です。
実際にこのWSUSは運用が重要。次回WSUSの機能追加と保守方法、クライアントの接続について記載する予定です。
