はじめに
Windows環境において、複数の端末のWindowsアップデートを一括管理できる方法として、WSUS(Windows Server Update Services)があります。
WSUSを利用すれば、インターネット経由で各端末が個別にアップデートする必要がなくなり、ネットワークトラフィックの節約や、企業内でのアップデート管理の効率化を実現できます。
この記事では、WSUSサーバーの構築から、Windows 10端末にアップデートを適用するまでの検証手順をまとめました。
前提条件
今回の検証を進めるにあたり、以下の環境が必要です。
検証環境
AD兼DNSサーバー:
Windows Server(ここでは Windows Server 2022)で構築され、ドメインが構成済みであること。
Windows 10 端末:
既にドメインに参加している状態。
Active Directory環境:
GPOでWSUS設定ポリシーを配布する。
自宅のVirtualBox環境
今回も VirtualBox 上で構築した検証環境を使用します。
※検証には実行中の「Windows Server 2022」「Windows 10端末」を使用します。
知識整理
今回の構築に必要な知識を簡単に整理します。
・WSUS(Windows Server Update Services)
WSUS(Windows Server Update Services)は、Microsoftが提供する更新管理システムで、社内ネットワークに接続されたWindowsデバイスに対して、更新プログラムの配布と管理を行うためのサービスです。
WSUSを使用すると、各デバイスが個別にインターネット経由で更新プログラムを取得するのではなく、管理者が一元的に制御し、承認した更新のみを適用できます。
引用画像:https://www.lanscope.jp/blogs/it_asset_management_emcloud_blog/20180810_10627/
これにより、ネットワーク負荷の軽減やセキュリティの強化、更新管理の効率化が図れます。
さらに詳しく知りたい場合は、以下のリンクも参考にしてください。
WSUSについて
公式サイト:https://learn.microsoft.com/ja-jp/windows-server/administration/windows-server-update-services/get-started/windows-server-update-services-wsus
参考サイト:https://www.fielding.co.jp/column/it_words/202002_1/
参考サイト:https://wa3.i-3-i.info/word12559.html
構築の流れ
Windows Server 2022を使って、Windows 10端末にアップデートを適用する手順を、以下の3ステップで説明します。
ステップ1:WSUSのインストールと設定
ステップ2:グループポリシーでのWSUSポリシーの配布
ステップ3:Windows 10端末での適用検証
今回のグループポリシーでのWSUS配布は、私のドメインユーザー「honda test」にリンク(適用)して検証します。
ステップ1:WSUSのインストールと設定
前提として、Windows Server 2022での検証環境が構築されていることを想定しています。
1. サーバーマネージャーを開く
Windows Server 2022でサーバーマネージャーを起動し、「役割と機能の追加」ウィザードからWSUSをインストールします。
2. WSUSの役割を追加
「役割ベースまたは機能ベースのインストール」を選択し、次へ。
WSUSの役割を選択し、次へ。
WSUSのデータベースはWID(Windows Internal Database)を使用します。
3. WSUSの設定
コンテンツを保存するフォルダを指定します(Cドライブ以外が推奨)。
WSUSサーバーはMicrosoft Updateサーバーから更新ファイルを取得します。
※初回の同期は大量のデータが必要になるため、十分なストレージを確保しておきます。
インストール中の画面です。私の環境では、Webサーバーも同時にインストールしました。
インストール後、サーバーマネージャーから「展開後の構成」を選択して、設定を行います。
ステップ2:グループポリシーでのWSUSポリシーの配布
インストールが完了したら、サーバーマネージャーからWSUSの管理コンソールを開き、初期設定を進めます。
4. WSUSサーバーの初期構成
アップデートの言語と製品の選択
使用するOSに合わせて、例えば「Windows 10」や「Office」など、管理したい製品を選択します。
分類の選択
「セキュリティ更新プログラム」や「定義更新プログラム」など、必要な更新プログラムの分類を選びます。
同期スケジュールの設定
WSUSサーバーが定期的にMicrosoft Updateと同期するようにスケジュールを設定します。
設定項目は多いですが、基本的にデフォルトの☑のままで問題ありません。
自宅のネットワーク環境にもよりますが、この画面に到達するまでに約3時間程度かかりました笑
製品選択画面では、必要なWindows製品のみにチェックを入れて容量と時間を節約します。
今回は「Windows 10/Windows Server 2016/2019」を対象としました。
初期設定ウィザードが完了したら、Active Directory環境でGPO(グループポリシー)を使用して、WSUSサーバーの設定をクライアント端末に配布します。
手順は以下の通りです。
5. グループポリシーでのWSUS設定
GPOの作成
「グループポリシー管理」ツールで新しいGPOを作成し、名前を「WSUS設定ポリシー」とします。
WSUSサーバーの指定
GPOを編集し、以下の設定を行います。
パス: コンピュータの構成 > ポリシー > 管理用テンプレート > Windowsコンポーネント > Windows Update
設定項目: 「イントラネットMicrosoft更新サービスの場所を指定する」
WSUSサーバーのURLを指定します。例: http://wsus-server:8530
これで、クライアント端末はインターネットではなく、WSUSサーバーから更新プログラムを取得するようになります。
ステップ3:Windows 10端末での適用検証
GPOの適用確認
WSUS設定ポリシーのGPOが適用される前は、GPOによる制御が行われていない状態でした。
Windows 10端末で、コマンドプロンプトを管理者権限で開き、GPOが適用されているか確認します。
gpupdate /force
gpresult /r
「Windows Update」の設定画面にアクセスし、WSUSサーバーが指定されているか確認します。
通常、インターネット経由ではなく、「一部の設定は組織によって管理されています」と表示されます。
更新プログラムの確認&承認
以下のコマンドを実行して、WSUSサーバーから更新プログラムを取得します。
wuauclt.exe /detectnow
「設定」 > 「更新とセキュリティ」 > 「Windows Update」で「更新プログラムの確認」をクリックし、更新が表示されるか確認します。
WSUS管理コンソールで、クライアントがWSUSサーバーに接続されているか確認します。クライアントが表示されたら、適用する更新プログラムを承認します(ここでは同期に時間がかかっているので、割愛)。
更新プログラムのインストール確認
更新後、Windows 10端末を再起動し、「Windows Update」で適用済みの更新プログラムを確認します。
ここで、承認した更新プログラムが正常に適用されていることを確認できました。
まとめ
WSUS(Windows Server Update Services)は、ネットワーク内のWindows端末に対して更新プログラムを一括管理するためのサービスです。
これにより、各端末が個別にインターネット経由で更新を取得する必要がなくなり、ネットワーク負荷の軽減や管理の効率化が実現されました。
WSUSサーバーのインストールからグループポリシーでの設定、そしてWindows 10端末での適用確認までの手順を検証しました。
WSUSサーバーの動作確認もこれでばっちりですね!
参考記事