WSUSとは
WIndowsのアップデートを、管理下のサーバで行いましょうというもの。
通常は外部のWindowsサーバから直接クライアントはパッチファイル等を取ってきてインストールしますが、それだとアップデートしたが悪化したとか、社員間でバージョンが異なり、手順が統一できない、特定のファイルがあいつだけ動かない!とか色々と弊害があります。
そこで、一度アップデートファイルは会社が用意したサーバで保管し、問題なければ各PCが定期的に取得してインストール。ということにします。
そうすることで複数のクライアントPCのバージョンを揃えることができます。
これがWSUSです。
WSUSサーバの構築
物理端末を用意するのは大変なのでHyper-Vで仮想的に作成することにしました。
Windowsサーバを構築します。方法は以下。
https://qiita.com/Hachioji_City/items/29c86c5d2ea8c50405ff
Windows Serverは多数の機能を既に備えています。
WSUSもOSをインストールしてマシン構成したらデフォルトで利用できます。
まず右上の"管理"から"役割と機能の追加"を選択。ここからWSUSを有効にします。
適当なディレクトリを作成して、そこをWSUSのデータ保存先としましょう。
右上のアイコンからインストールおよび構成を実行
すると、右上の"ツール"から"Windows Server Update Services(WSUS)"が利用可能に。
WSUSの設定
ここにある通りにセットアップを済ませる。
プロキシとは、WSUSサーバがMicrosoftサーバからアップデートファイルを取得する際、プロキシを利用するかという意味。
また同期とは、WSUSがMicrosoftサーバに最新のパッチなどがないか確認しにいく時間という意味。
https://ent.iij.ad.jp/articles/3061/
なぜか英語だった場合
Windows Server2022あたりでは、OSのバグで英語表記になっているそう。
この場合、Windows Serverをアップデートすれば解決した。
GUIでアップデートしてもいいが、私は脆弱性で遊びたかったので最新バージョンになってもらっては困る。ってことで手動で解決したバージョンまでアップデートしました。
1.仮想環境で以下にアクセス。.msuファイルをDL。
このバージョンで治ったという記事があったためこれを選択。
https://www.catalog.update.microsoft.com/Search.aspx?q=KB5014665
2.Powershellにて、以下コマンドを実行
wusa.exe ファイル /静かに適用 /急に再起動はしないでね自分でやります
wusa.exe C:\Users\Administrator\Downloadswindows10.0-kb5014665-x64_3ebe35b122c1fcd9c824fbeb9d303793a96528b4.msu /quiet /norestart
3.反応なし……そのまま再起動。すると完成。
ちょっと時間掛かります。再起動中はHyper-Vで接続できなくなりますが壊れてはいないので焦らず待ちましょう。
OSのバグが修正され、WSUSの挙動も治って日本語になった~
なんか失敗しているけど成功している???まあいっか。日本語になったし。
ではさっそくWSUSの設定を
1.まずはどのパッチを管理するか設定
なんとWSUSではOSのアップデートだけではなくOfficeやBing、VScodeのアップデートも管理できます。
どの製品を管理するか、その製品の中でもどんな分類のものを管理するかをここで選択できます。
2.次に自動承認を設定
WSUSが自動更新で最新パッチを取得した時、すぐには各端末に配布可能にするわけではありません。
最新バージョンにして、逆になにかバグや不具合があった場合困るので、WSUSサーバ管理者がいちいちパッチを見て検証してGOサインを出してから、配布可能になります。
それだとダルイので、「最新パッチがあれば即、各端末に配布可能状態にしていいよ」ってのが自動承認です。
ここでWSUSの同期状況が分かります。
つまりWSUSが必要なファイルを外部から持ってきている最中ってことです。
これがまた超時間掛かります。場合によっては5時間くらいかかるとか。
その間は設定変更などできないので、右クリックで無理やり停止させたりもできます。
ちなみに
WSUS側で行う基本設定は以上です。
WSUSを利用する端末の登録は不要なんです。
クライアント側の設定
ポリシーの設定
クライアントのデフォルトでは、アップデート時の宛先は当然ですが外部のWindowsサーバとなっています。
その宛先を、自分で管理しているWSUSサーバに変更します。
これはポリシーと呼ばれるものの一つで管理されているため、そこを弄ります。
変更するポリシーは4点だけです。これをWSUS有効のために編集すればOKです。
ポリシーには
・コンピュータ単位
・ユーザ単位
の二つがあります。
これは、各設定や動きを強制的に制御するものです。
ユーザ単位のものより、コンピュータ単位で設定されたポリシーの方が優先されます。
よって今回はコンピュータ単位でWSUSへの通信を有効にします。
1.検索窓に"グループ ポリシーの編集"を入れ検索
2."オプション コンポーネントのインストールおよび~"を編集
下のチェック項目は、ファイルが破損し、修復する場合はWindowsサーバから持ってくるという意味です。WSUSでは通常ファイルを修復目的で配信する機能はないのかも?
3."イントラネットのMicrosoft更新サービスの場所を指定する"を更新する
4."自動更新を構成する"を更新する
3を選択すると、適当なタイミングでWSUSに読み込みに行き、インストールするかは通知が出るらしい。
5.次に"インターネット上のWindows Updateに接続しない"を有効に
6.最後に、コマンドで即適用
ポリシーを変更しても、実は即適用されません。一定期間のサイクルで適用しています。
直ぐに反映させたいため、コマンドで即反映させます。
gpはグループポリシーの略です。
/forceで強制的にアップデート(適用)させています。
'''
gpupdate /force
'''
確認
変更前
変更後
確かに、ポリシーで更新の手法が強制されているのが確認できます。
適当にやったのでWSUSからファイルをもってくるところまでは確認できず。
(そもそも利用OSのサービスが終了していました)
まあでも8530ポートには通信行くので大丈夫でしょう。
サーバ側
おお、サーバのWSUSにアクセスした記録が!
ステータスは知らんが、とにかくアクセスできたようでよかった。
勉強メインなのでこれで満足。
おわり。責任は負いません。