WSUSのインストール
役割ベースまたは機能ベースのインストールが選択されていることを確認し、次へをクリックします
次へをクリックします
Windows Server Update Service にチェックを入れます。
機能の追加をクリックします。
Windows Server Update Service にチェックが入っていることを確認し、次へをクリックします。
次へをクリックします
WSUSの注意事項が表示されます。次へをクリックします
Windows内部データベース(WID)を使用します。
WID Connectivity と WSUS Services にチェックが入っていることを確認し、次へをクリックします。
更新プログラムをWSUSサーバのローカルに保存します。保存先(下記の例はC:\WSUS)を設定し、次へをクリックします。本番環境では、システムドライブではなく、DやEなどのデータ用ドライブに保存してください。
次へをクリックします
次へをクリックします
インストールをクリックします。
しばらくすると、下記のとおり、インストールが完了します。
インストール後のタスクを起動する をクリックします。
しばらくし、構成が正常に完了しました と表示されることを確認します。
確認後、閉じるをクリックします。
WSUSの基本設定
WSUSサーバ(ホスト名:WSUS)にて、基本設定を実施します。
サーバーマネージャーより ツール >>Windows Server Update Services をクリックします。
設定ウィザードが表示されます。次へをクリックします。
必須ではないため、「はい、Microsoft Updata品質向上プログラムに参加します」のチェックを外し、次へをクリックします。
1台目のWSUSサーバなので、「Microsoft Updateから同期する」にチェックが入っていることを確認し、次へをクリックします。
プロキシサーバ経由の場合に設定します。今回は直接インターネットへ接続していますので、なにもせず、次へをクリックします。
接続の開始 をクリックします。利用できる更新の種類や言語が取得されます。
下記のとおり、接続が開始されます。
しばらくすると、接続が完了します。次へをクリックします。
ダウンロードする言語を選択します。日本語のみダウンロードするため、日本語を選択し、次へをクリックします。
製品を選択します。今回、テストとして更新プログラムを適用するのは、Windowsサーバ2019なので、Windows Server 2019だけチェックを入れて、次へをクリックします。
分類を選択します。下記3つにチェック(既定)が入っていることを確認し、次へをクリックします。
- セキュリティ問題の修正プログラム
- 重要な更新
- 定義更新プログラム
更新プログラムの同期タイミングを設定します。
自動同期も可能ですが、今回は、テストなので、手動で同期する(既定)にチェックを入れ、次へをクリックします。本番環境では、日中の業務影響を考慮し、夜間帯などで、自動同期することをおすすめします。
すぐに初期同期を開始したいため、初期同期を開始します にチェックを入れ、次へをクリックします。
完了をクリックします。
WSUSのダッシュボードが表示され、同期が開始されていることを確認できます。
しばらくすると、同期が完了し、状態がアイドルとなります。
更新プログラム >> すべての更新プログラムで、状態を任意に変更し、最新の情報に更新をクリックすると、同期された更新プログラムの一覧が確認できます。
グループポリシー作成
パイロットサーバ(win2019-pilot)がWSUSサーバへ接続するためにAD上でグループポリシーを設定します。
OU作成
下記のように、AD上にWSUS-Testという名前のOUを作成し、パイロットサーバ(win2019-pilot)をグループのメンバーにしています。
GPO作成
グループポリシーの管理より、グループポリシーオブジェクトとして、WSUS-GPOを新規作成します。
WSUS-GPO を右クリックし、編集をクリックします。
コンピューターの構成 >>ポリシー>>管理用テンプレート>> Windowsコンポーネントから Windows Update へ移動します。
イントラネットのMicrosoft更新サービスの場所を指定する
有効にチェックを入れ、WSUSサーバのFQDNは、WSUS.hirotanoblog.local とし、下記を2項目を設定します。
- 更新を検出するためのイントラネットの更新サービスを設定する:端末が更新プログラムを検出して、ダウンロードするためのサーバを指定。 http://WSUS.hirotanoblog.local:8530 と設定。
- イントラネット統計サーバーの設定:端末の更新完了後の統計情報アップロード先を指定。http://WSUS.hirotanoblog.local:8530と設定。
設定して適用をクリックします。
自動更新を構成する
更新プログラムの自動ダウンロード、インストールに関連する設定です。
自動更新を構成する をクリックします。
有効にチェックを入れ、自動更新の構成などを指定します。
自動更新の構成では、下記のパターンが選択できます。
- ダウンロードと自動インストールを通知
- 自動ダウンロードし、インストールを通知
- 自動ダウンロードしインストール日時を指定
- ローカルの管理者の設定選択を許可
- 自動ダウンロード、インストール時の通知、再起動を通知
GPOのリンク
OU(WSUS-Test)に対して、WSUS-GPOをリンクします。
グループポリシーの適用
win2019-pilot にて、GPOを手動適用します。(gpupdate)
コンピューターの登録
$AutoUpdates = New-Object -ComObject "Microsoft.Update.AutoUpdate"
$AutoUpdates.DetectNow()
最新の情報に更新 すると、下記のとおり、コンピューターが登録されました。
すべてのコンピューターを右クリックして、コンピューターグループの追加をクリックします。
任意の名前(今回は、パイロットとします)を設定し、追加をクリックします。
登録されたコンピューターを右クリックし、メンバーシップの変更をクリックします。
先ほど設定したグループ(パイロット)を選択し、OKをクリックします。
コンピューター(win2019-pilot)はパイロットという名前のグループに登録されました。
更新プログラムの承認
登録されたコンピューターに対して、更新プログラムを承認したいと思います。
更新プログラム >> すべての更新プログラムへ移動し、状態を任意として、最新の情報に更新後、更新プログラムの一覧を表示します。例えば、更新プログラム(KB5021085)を承認し、コンピューターへ適用します。
更新プログラム(KB5021085)を右クリックし、承認をクリックします。
グループに対して、更新プログラムの承認画面が表示されます。パイロットグループを右クリックし、インストールの承認をクリックします。
下記のように、パイロットグループのマークが緑色に変更されたことを確認し、OKをクリックします。
承認が処理され、下記のとおり成功します。
更新プログラムのダウンロード・インストール(手動)
コンピューター(win2019-pilot)にて、更新プログラムのダウンロード、インストールを確認します。
サーバーマネジャーを確認すると、Windows Updateが 管理された更新サービスを使用して更新プログラムのダウンロードのみを行う と表示されています。
クリックすると、一部の設定は組織によって管理されています と表示され、グループポリシーが機能していることを確認できます。今回は、更新プログラムを手動で確認します。更新プログラムのチェック をクリックします。
すると、さきほど承認したKB5021085のダウンロードが開始されます。
ダウンロードが完了すると、再起動が促されます。再起動後、更新プログラムが適用されます。
コメント