みなさまこんにちは。AZPowerのHです。
今回はWSUS運用に必須といえるグループポリシー設定をマイクロソフト様の情報を基にご案内させていただきます。今回ご案内するポリシーはグループ ポリシー エディターの [コンピューターの構成] – [ポリシー] – [管理用テンプレート] – [Windows コンポーネント] – [Windows Update] 配下に配置されています。
(掲載予定)
第1回 WSUSセットアップその1(役割のインストール)
第2回 WSUSセットアップその2(WSUSの構成)
第3回 WSUSセットアップその3
(状態レポート表示用・のソフトウェアインストール。DBメンテナンス用のソフトウェアインストール・設定)
第4回 WSUSで利用するグループポリシーの設定 ★今回掲載
第5回 WSUS運用に関する考察その1(コンピューターグループ、承認、定期メンテナンスについて)
第6回 WSUS運用に関する考察その2(同期、帯域制限について)
第7回 WSUS親子構成について(WSUSサーバーのOS混在に関する考察含む)
第8回 WSUSからの複数言語OSへのモジュール配布運用(日本語・英語)
第9回 番外編 Office 365 のアップデート管理について※WSUSではOffice365のアップデートモジュールの配布はできません
【1.はじめに】
第1回から第5回までは以下のシナリオを想定してWSUS導入をご紹介させていただきます。
・Windows Server 2016 以上のOSでActive Directoryドメインが構築済み
(オンプレ環境 or Azure IaaS どちらでもOK)
・WSUSサーバーは1台構成でAzure IaaS仮想マシン(OSはWindows Server 2016 Datacenter)
・管理するクライアントはWindows 10 ver 1903/1909 (64bit)100台に関する機能更新と品質更新の管理
【2.イントラネットの Microsoft 更新サービスの場所を指定する】
このグループ ポリシーを有効にすることで、クライアントが接続を行うサーバーをMicrosoft Update のサーバーから、WSUS サーバーへ変更します。
このため、WSUS サーバーをご利用いただく際には、必ずこのグループ ポリシーを “有効” に設定し、オプションの 2 箇所共に同じWSUS サーバーの URL を指定してください。
設定例は以下の通りです。
・設定値 : [有効]
・オプション : – 更新を検出するためのイントラネットの更新サービスを設定する : http://WSUS サーバーのコンピューター名:8530
- イントラネット統計サーバーの設定 : http://WSUS サーバーのコンピューター名:8530
※ Win2012 以降の WSUS では、既定で利用されるポート番号が 80、443 から 8530、8531 に変更されています。URL を指定する際はポート番号も併せて指定してください。
【3.自動更新を構成する】
このグループ ポリシーは更新プログラムのインストール処理を、自動実行することが出来るグループ ポリシーです。このグループ ポリシーのオプションで具体的に更新プログラムのインストール処理を「どの処理まで」自動的に実行させるかも、細かく制御することが出来ます。
このオプションでWindows Update の動作がどのように制御出来るのか?正しく理解するために、まずは手動で Windows Update が実行された際にクライアント内でどのような処理が行われるのか以下に記載致します。
◆ Windows Update の処理の実行順序
Windows Update が手動で実行されると、クライアント内にて、下記の順番に処理が行われます。
A. 更新プログラムの検出 → クライアントに新たに適用が必要な更新プログラムがあるかどうかの確認処理
B. 更新プログラムのダウンロード → 「A」で検出された更新プログラムのダウンロード処理
C. 更新プログラムのインストール → 「B」でダウンロードされた更新プログラムのインストール処理
上記の順番は、WSUS の設定に関係なく、Windows Update / Microsoft Update サイトに対して更新プログラムの確認を行うよう設定していても、同様の順番に処理されます。
◆「自動更新を構成する」オプションの設定
上記「Windows Update の処理の実行順序」を踏まえ、実際に “自動更新の構成” でどのように Windows Update の動作を制御出来るのかご説明します。
“自動更新の構成” では、上述の A ~ C の「どの処理まで」自動的に実行するのか設定することが出来ます。
具体的には、各設定を行うと下記のように Windows Update の動作が自動実行されます。
・ [2 – ダウンロードとインストールを通知] → Aの処理は自動実行、B以降の処理は手動実行
・ [3 – 自動ダウンロードとインストールを通知] → Bまでの処理は自動実行、C以降の処理は手動実行
・ [4 – 自動ダウンロードしインストール日時を指定] → A ~ C すべての処理を自動実行、C の処理は指定した日時に実行し、再起動を実行
・ [5 – ローカルの管理者の設定選択を許可] → クライアントのコントロール パネルにて、それぞれ設定することを許可
またこのポリシーにある [自動メンテナンス時にインストールする]について補足説明させていただきます。
Win8 / Win2012 以降の環境からは、自動更新のオプション 上記[4 – 自動ダウンロードしインストール日時を指定] の動作が異なっており、自動インストールの開始タイミングが OS の自動メンテナンス タスクとして制御されるよう、設計が変わっています。
このため自動更新のオプションにて日時を指定している場合でも、自動更新のオプション[4 – 自動ダウンロードしインストール日時を指定]だと、時刻が固定されていない「Idle Maintenance」タスクの一環としてインストール動作が開始されてしまうおそれがあります。
これを指定した日時に必ず更新プログラムのインストールを行うようにするには、 「自動メンテナンス時にインストールする」オプションを 「無効」=「チェックを入れない」 に設定してください。
【4.インターネット上の Windows Update に接続しない】
Win8 / Win2012 以降の環境からは、WSUS サーバーに対して更新プログラムをチェックするように構成していてもWUA(Windows Update Agent) 自身の更新のために、Windows Update / Microsoft Updateサイトにアクセスするよう動作が変更されています。
これは Win8 / Win2012 以降の環境では Windows ストア アプリのサポートが追加されているためです。WSUS サーバーに対して更新プログラムをチェックするように構成していても、ストア アプリの更新は WUA の機能を使用するため、弊社サイトに自己更新のためにアクセスする動作が発生するよう変更が加えられています。
インターネット上のWindows Update / Microsoft Updateサイトにアクセスせず、WSUSのみに接続するようのこのグループ ポリシーを [有効] にしてください。
【5.おわりに】
「第4回 WSUSで利用するグループポリシーの設定」をご紹介させていただきました。
次回は「WSUS運用に関する考察その1(コンピューターグループ、承認、定期メンテナンスについて)」をご紹介させていただきます。
(注意事項)
※情報については投稿日時点の情報となります。投稿日以降に仕様が変わる場合がありますのでご注意願います。
※投稿者自身の検証結果およびテスト環境でのテスト結果を投稿しておりますので投稿者自身の見解が含まれている場合がございます。
※投稿情報によってどのような損害についても、当社は一切責任を負わないものといたします。
