Windows Server2019 WSUS設定手順 その2
Windows Server2019 WSUS設定手順 その1 の続きになります。
ドメインサーバから、ポリシーを設定して、クライアントに適用します。適用完了後に、WSUSからクライアントが登録されていることを確認して、更新プログラムを配布したいと思います。
WSUSの構成は、下記のような感じです。
1.ActiveDirectory ユーザとコンピューター の起動
サーバマネージャーを起動し、「ツール」-「Active Directoryユーザとコンピューター」を選択します。
2.新規OUの作成
グループポリシーを適用するにあたり、WSUSに関連のないコンピュータにポリシーが適用されるのを防ぐため、WSUSポリシーを適用するための専用OUを作成します。
「ドメインコンピュータ」を右クリックし、「新規作成」-「組織単位(OU)」を選択します。
「名前」欄に、OUの名前を入力します。ここでは、「Win10WSUS」にしました。また、「間違って削除されないようにコンテナーを保護する」に、チェックを付けました。これは、作成したOUを削除できないようにする機能です。
作成したOUが表示されることを確認します。
3.WSUS配下で管理するクライアントPCを新規に作成したOUに移動
WSUSを使用して、更新プログラムを適用するクライアントPCを先ほど作成したOUに移動します。
クライアントPCを選択し、ドラッグアンドドロップで新規に作成したOUへ移動します。
以下の画面が表示されたら、「はい」を選択します。
移動先のOUを選択し、移動したクライアントPCが表示されることを確認します。
4.グループポリシーの作成
更新プログラムのダウンロードURLや、インストール方法を指定するグループポリシーを作成します。
「サーバーマネージャー」から、「ツール」-「グループポリシーの管理」を選択します。
「グループポリシーの管理」画面より、「グループポリシーオブジェクト」を右クリックし、「新規」を選択します。
以下の画面が表示されたら、「名前」に分かりやすいグループポリシーの名前を付けて「OK」を選択します。今回は、グループポリシーのテンプレートは作成していないので、「ソーススターター」は「なし」のまま、「OK」を選択します。
作成したグループポリシーが表示されることを確認し、先ほどクライアントPCを移動したOUにドラッグアンドドロップします。
「選択したGPOをこの組織単位(OU)にリンクしますか?」のメッセージが表示されたら、「OK」を選択します。
作成したグループポリシーが、移動先の「OU」配下に表示されていることを確認する。
5.グループポリシーの設定
移動したグループポリシーを選択します。
以下の画面が表示されたら、「OK」を選択します。
移動したグループポリシーを右クリックし、「編集」を選択します。
「グループポリシー管理エディター」が表示されたら、「コンピュータの構成」-「ポリシー」-「管理用テンプレート」-「Windowsコンポーネント」-「Windows Update」を選択します。
以下の表に、今回適用したポリシーを記載します。
| ポリシー名 | 説明 | 設定値 |
| 自動更新を構成する | 更新プログラムのダウンロードとインストール方式の選択 | 有効 自動更新の設定:ダウンロードと自動インストールの通知 |
| イントラネットのMicrosoft更新サービスの場所を指定する | WSUSサーバのアドレスを指定 | 有効 更新を検出するためのイントラネットの更新サービスを指定する: http://<WSUSサーバのコンピュータ名>:<接続ポート名> 今回は、http://WSUSTEST:8530 を指定しました イントラネット統計サーバーの指定: http://<WSUSサーバのコンピュータ名>:<接続ポート名> 今回は、http://WSUSTEST:8530 を指定しました |
| インターネット上のWindows Updateに接続しない | WSUSサーバからのみ更新プログラムをダウンロードする設定 | 有効 この設定を有効にすると、ストアアプリのインストールや更新がおこなえなくなるので、注意 |
| クライアント側のターゲットを有効にする | WSUSサーバで設定したコンピュータグループに自動で所属させる場合に指定する | 有効 このコンピューターのグループ名をターゲットにする: WSUSサーバで設定したコンピュータグループ名 ここでは、Windows10-1909を指定 |
6.ポリシーの適用確認
クライアントPCにポリシーが適用されていることを確認します。
クライアントPCにログインを行い、「ファイル名を指定して実行」から、「regedit」と入力し、
「HKEY_LOCAL_MACHINE」-「SOFTWARE」-「Policies」-「Microsoft」-「Windows」-「WindowsUpdarte」を選択し、「WUServer」の値がポリシーで設定したWSUSサーバの設定値になっていることを確認します。
設定されていない場合は、クライアントPCを再起動します。
7.WSUSサーバにクライアントPCが登録されていることを確認
WSUSサーバより、「Windows Server Update Services」を起動し、ポリシーで指定したコンピュータグループを選択後、「状態」を「任意」に変更し、「最新の状態に更新」を選択します。
WSUSで管理する、クライアントPCが表示されることを確認します。
💡Point:クライアントPCが表示されない場合は、以下を実行し再度確認をしてみてください。
クライアントPCより、「スタート」-「設定(歯車のマーク)」-「更新とセキュリティ」を選択し、「更新プログラムのチェック」を選択します。
若しくは、コマンドプロンプトを管理者で起動し、「usoclient startscan」コマンドを実行します。
8.クライアントPCのレポート送信
「Windows Server Update Services」より、登録されたクライアントPCの状態を確認し、「前回のレポート状態」が、「まだ報告されていません」と表示される場合は、クライアントPCより以下のコマンドを実行します。
クライアントPCより、PowerShellを管理者で起動を行い、以下のコマンドを実行します。
$updateSession = new-object -com “Microsoft.Update.Session” $updates=$updateSession.CreateupdateSearcher().Search($criteria).Updates
wuauclt /reportnow
「最新の状態に更新する」を選択し、「前回の状態レポート」の値に、上記コマンドを実行した日時が表示されていることを確認します。
9.更新プログラムの適用
WSUSサーバから、クライアントPCに更新プログラムを配布する手順について記載します。
「Windows Server Update Services」より、「すべての更新プログラム」を選択し、適用を行う更新プログラムを選択し、画面右の「承認」を選択します。
ここでは、適用する更新プログラムに「2020-04 サービススタック更新プログラム(KIB4552152 」を選択しました。
「更新プログラムの承認」画面が表示されたら、更新プログラムを適用するコンピュータグループを選択し、「インストールの承認」を選択します。
ここでは、先にクライアントPCを登録した「Windows10-1909」を選択しました。
選択した、コンピュータグループのマークが変更されたことを確認し、「OK」を選択します。
結果の値が「成功」になっていることを確認し、「閉じる」を選択します。
WSUSサーバのネットワーク状態を見ていたら、ちゃんちBITSの設定が効いていて、10Mbpsでダウンロードしていることを確認しました。
10.クライアントPCの状態確認
クライアントPCに先ほど承認した更新プログラムが、ダウンロード、若しくはインストールされることを確認します。
業務で使用する際は、クライアント側で操作は行わず自動でダウンロード、インストールされるのを待つと思うのですが、今回は面倒なので手動でダウンロードとインストールを行いたいと思います。
クライアントPCから、「スタート」-「設定(ギアのマーク)」-「更新とセキュリティ」を選択し、「更新プログラムのチェック」を選択します。
先ほど承認した更新プログラムがダウンロードされることを確認します。
クライアントPCのダウンロード速度を見ましたが、IISで帯域制御した通りの速度が出ておりました。
以上で、WSUSの設定は完了になります。