はじめに
今回はWindowsサーバのWSUS設定の続きについてアウトプットしていきます。WSUS設定のより具体的な箇所になりますが、正常に設定されていないとある対象のコンピュータグループにWindows Updateプログラムが配布されなかったり、クライアントからの接続リクエストが多かったらエラーになったりしてしまいます。最後まで気を抜かずにしっかりと設定していきましょう。
前回までのWSUS設定:WinSV構築(Windows Server Update Services設定:前半)
前提条件
EC2にてOS、WSUSのインストールが完了していること
環境
・形態:クラウド(Amazon EC2)
・OSバージョン:Windows Server 2022
WSUS設定
コンピュータグループの新規作成
クライアントごとに、適用する更新プログラムを分けるため、コンピュータグループを作成します。
「Update Services」ー「WSUS-WIN2022」ー「コンピューター」ー「すべてのコンピューター」を右クリックし、「コンピューターグループの追加」を選択します。
「コンピューターグループの追加」画面が表示されたら、名前欄に分かりやすい名前を入力し、「追加」を選択します。(ここでは、「名前:WindowsServer2022」とする。)
「すべてのコンピューター」配下に、追加したコンピューターグループ「WindowsServer2022」が表示されることを確認します。
クライアントを自動でコンピュータグループへ追加
WSUSで管理するクライアントが多い場合、以下の設定を行うことで自動的に先に設定した、コンピュータグループに登録することが可能です。自動登録の設定を行わない場合、クライアントは「割り当てられていないコンピューター」に入ります。(後から手動でコンピュータグループに移動することが可能)
左ペインの「Update Services」ー「WSUS-WIN2022」ー「オプション」を選択し、右ペインの「コンピューター」を選択します。
「コンピューター」画面が出るので「全般」タブから、「コンピュータのグループポリシーまたはレジストリ設定を使用します。」にチェックを付け、「OK」を選択します。
合わせてクライアントPC側(ドメインのポリシーを使う場合は、ドメインサーバ側)の設定が必要になりますが、今回は省略させていただきます。
高速インストールの設定
WSUS配下のクライアントPCにおいて、更新プログラムのダウンロードとインストールを高速化するため、以下の設定を行います。
左ペインの「Update Services」ー「WSUS-WIN2022」ー「オプション」を選択し、右ペインの「更新ファイルと更新言語」を選択します。「更新ファイル」タブより、「高速インストールファイルをダウンロードする」にチェックを付け、「OK」を選択します。
「高速インストールファイルをダウンロードする」にチェックを付けると、WSUSサーバに保存される更新プログラムサイズが、通常と比較し3倍くらい大きくなるみたいです。
IISの最適設定
何もしなくても、使えることは使えるのですが、WSUSサーバに対して、クライアントからの接続リクエストが多いと、WSUSへの接続がエラーになってしまう可能性があるため、クライアントから沢山のリクエストがあっても、エラーが発生しないように設定します。
「サーバーマネージャー」を開き、ウィンドウ右上の「ツール」-「インターネットインフォメーションサービス(IIS)マネージャー」を選択します。
「インターネットインフォメーションサービス(IIS)マネージャー」画面が表示されたら、左ペインの「WSUS-WIN2022(WSUS-WIN2022¥Administrator)」ー「アプリケーションプール」を選択し、右ペインの「WsusPool」を右クリックし、「詳細設定」を選択します。
「詳細設定」画面が表示されるので、以下のように値を設定する
詳細設定値
「(全般)」ー「キューの長さ」:2000(規定値の 1000 から増加)
「プロセスモデル」ー「アイドル状態のタイムアウト(分)」:0(規定値の 20 から低下)
「プロセスモデル」ー「Pingの有効化」:False(規定値は True)
「リサイクル」ー「プライベートメモリ制限(KB)」:0(無制限、規定値の 1,843,200KB から増加)
「リサイクル」ー「定期的な時間(分)」:0(リサイクルを防止するため、まだ規定値の 1740 から変更)
※アイドルタイムアウト:接続を通じてトラフィックが送信されないときに、接続がアクティブな状態を維持できる最長時間。値が0の場合は接続を通じてトラフィックが送信されないときは即座に接続されない状態になると考えられる
LAN帯域制御(WSUSサーバ間-クライアント間)
WSUSサーバとクライアント間のLAN帯域を制御します。クライアント側のPCでBITSを使用した制御も行えますが、ここではIISの帯域制御機能を使用します。
※BITS:Windowsの機能の一つで、通信回線の空いている伝送容量を用いて他のプログラムの通信を阻害せずにファイルの送受信を行うもの
IISの画面から、左ペインの「WSUS-WIN2022(WSUS-WIN2022¥Administrator)」ー「サイト」ー「WSUSの管理」をクリックし、右ペインの「Webサイトの管理」ー「制限」を選択します。
以下の画面が表示されたら、「帯域幅の使用を制限する」にチェックを付け、通信速度をバイト単位で入力します。以下の画面では、通信速度を50Mbpsに制御するため、設定値を「6,250,000」にしています。設定が完了したら、「OK」を選択します。
WAN帯域制御(Microsoftサイト-WSUSサーバ間)
MicrosoftサイトとWSUSサーバ間のネットワーク帯域を制御します。ここでは。BITSを使用して帯域の制御を行います。
「ファイル名を指定して実行」より、「gpedit.msc」を入力し「OK」を選択します。
「ローカルグループポリシーエディター」画面が表示されたら、左ペインの「コンピューターの構成」-「管理用テンプレート」-「ネットワーク」-「バックグラウンドインテリジェント転送サービス(BITS)」を選択し、右ペインの「BITSバックグランド転送の最大ネットワーク帯域幅を制限する」をダブルクリックします。
「BITSバックグランド転送の最大ネットワーク帯域幅を制限する」画面が表示されたら、「有効」にチェックを付けます。
今回は、通信速度を10Mbpsで制御したいため、「バックグランド転送レート(Kbps)」に、「10000」と設定し、毎時10Mbpsにしたいため、開始、最大の時間はそのままにして、一番下の「バックグランド転送レート(Kbps)」も、「10000」にしました。また、「未使用で利用可能な帯域幅をすべて使用する」のチェックは外しました。
今回は、時間指定をせず一律10Mbpsで制御しましたが、業務時間帯は低速で制御を行い、業後は通信速度を上げても良いかもしれません。
設定したポリシーを適用するため、サーバを再起動します。
(コマンドプロンプトを管理者で起動し、gpupdate /forceコマンドでもOKです)
おわりに
少し長くなりましたが、これでWSUSの設定は完了になります。WSUS機能自体の設定はシンプルですが、WSUS機能を配布するための設定は結構複雑であることが分かったのではないでしょうか。自分もWSUS機能についてはあまり経験がなかったために実際に記事にしてみると多くの設定があることに驚きました。しかし、一度でもWSUS設定を経験するだけでも次またWSUSサーバーを構築したり、WSUS設定確認の際に大いに役立つでしょう。
投稿者
エンジニアファーストの会社 株式会社CRE-CO 田渕浩之