WindowsServer2019へのWSUS構築

Table of contents

1. はじめに
2. WSUSの構築準備
3. WSUSのインストール
4. WSUSの基本設定
5. 承認について
6. クライアントへのパッチ配信
7. クライアント側の設定
8. おわりに

1. はじめに

今回はWindowsServer2019へのWSUS構築について記述する

環境

WSUS：Windows Server2019

CPU：4

メモリ：8

ディスク：200GB以上

対象サーバ：Windows Server2019

2. WSUSの構築準備

①SQLSysClrTypes.msiのインストール

　Microsoft SQL Server 2012 SP4 Feature Packにアクセス

　「SQLSysClrTypes.msi」をダウンロード

　実行

②Microsoft Report Viewer 2012 Runtimeのインストール

　Microsoft Report Viewer 2012 Runtimeにアクセス

　「ReportViewer.msi」をダウンロード

　実行

3. WSUSのインストール

①サーバーマネージャーを起動＞役割と機能の追加

②役割ベースまたは機能ベースのインストール

③対象となるサーバーを選択　次へ

④サーバーの役割の選択：Windows Server Update Servicesにチェック

⑤役割と機能の追加ウィザードが表示されるので　機能の追加

⑥サーバの役割の選択　次へ

⑦機能の選択　次へ

⑧役割サービスの選択 WID Connectivity、WSUS Servicesの2つだけチェック

⑨コンテンツの場所の選択：E:\WSUS

　※CドライブはOS領域なので別ドライブにする

⑩Webサーバーの役割（IIS）　次へ

⑪役割サービスの選択　次へ

⑫インストールオプションの確認　インストール

⑬インストール正常に完了しましたと表示されたら、閉じる

⑭サーバーマネージャー上部の黄色い三角マークをクリック

⑮インストール後のタスクを起動する

⑯「インストールが正常に完了しました」と表示されたらインストール完了

4. WSUSの基本設定

①wsusを起動する

②Microsoft Update品質向上プログラムにご参加くださいチェック外す　次へ

③アップストリームサーバの選択

　インターネット上から同期する場合→Microsoft Updateから同期するにチェック

　指定のアップストリームサーバから同期する→別の～にチェックし、サーバ名とポート番号記入

④プロキシサーバの設定：プロキシがある場合設定

⑤アップストリームサーバに接続：接続の開始をクリック、10分くらい待つ

⑥言語の選択：日本語のみ

⑦製品の選択

　※別途記事作成

⑧分類：セキュリティ問題の修正プログラム、重要な更新、定義更新プログラム

⑨同期スケジュールの選択：自動で同期する 1:00:00 1日あたり1回

⑩初期同期を開始する　チェック入れて完了

⑪しばらく待つと選択した製品のアップデートパッチ等のカタログが落ちてくる

5. 承認について

wsusサーバはデフォルトで当該パッチを承認しないと配信されない設定となっている

その場合、承認ルールを作成するか、直接パッチを承認するかのどちらかを行う必要がある。

6. クライアントへのパッチ配信

wsusからパッチを配信する場合、クライアント側の設定が必要である

今回はADのグループポリシーを用いたクライアントへの配信設定を載せる

ADユーザーとコンピュータでWSUS OUを作成し、そこにクライアントオブジェクトを移動する

グループポリシーでWSUSのポリシー作成し、WSUS OUにリンク

以下の箇所のそれぞれのポリシー設定を行う

コンピュータの構成＞ポリシー＞管理テンプレート＞Windowsコンポーネント＞Windows UPdate

①イントラネットのMicrosoft更新サービスの場所を指定する

　有効

　更新を検出するためのイントラネットの～：http://wsusサーバ名:8530

　イントラネット統計サーバーの設定：http://wsusサーバ名:8530

②自動更新を構成する

　有効

　自動更新の構成：4-自動ダウンロードし日時を指定

　自動メンテナンス時にインストールする：チェック外す

　インストールを実行する日：0-毎日

　インストールを実行する時間：23:00

　毎週：チェック

③インターネット上のWindows Updateに接続しない

　有効

④スケジュールされた時刻に常に自動的に再起動する

　有効、時間(分)：15

7. クライアント側の設定

①コマンドプロンプトを立ち上げる

②gpポリシーを更新

　$gpupdate /force

③gpポリシー適用結果を表示する

　$gpresult /r →でwsusというポリシーが適用されてればOK

④クライアントを再起動

⑤windows updateをチェックする

⑥wsusの管理画面上にクライアント端末が登録されていることを確認する

8. おわりに

結局wsusのパッチ配信がポリシーで設定した時刻に適用されているかは疑問が残る。

ポリシーの中に「自動更新の検出頻度」というものがあるが、wsusに端末が登録されてから、ここで設定された時間間隔でパッチが適用されているように感じる。デフォルトでは22時間周期である。

参考

「WSUS（ダブルサス）」まるわかりガイド – メリットや仕組み、構築手順まで徹底紹介-エンタープライズIT [COLUMNS]

WSUSとは？WSUSが果たす役割と必要とされる理由や、WSUSの仕組みを解説。具体的な構築手順も詳しく解説しています。

WordPress › エラー