WSUS(Windows Server Update Services)
マイクロソフトは、無償版の企業向けパッチ管理ソフトウエアである、WSUS(ダブルサス)を2005年6月6日に、発表した。
Japan WSUS Support Team Blog | Microsoft Docs
WSUS での Windows 10 管理まとめ | Microsoft Docs
WSUS で選択する Windows 10 の製品分類について | Microsoft Docs
WSUS クライアントのグループ ポリシー : その 1 - 基本編 | Microsoft Docs
WSUS クライアントのグループ ポリシー : その 2 - Windows 8 / Windows Server 2012 以降編 | Microsoft Docs
WSUS クライアントのグループ ポリシー : その 3 – Windows 10 基本編 | Microsoft Docs
Windows 10 / Windows Server 2016 の Windows Update 後の自動再起動の制御方法 | Microsoft Docs
「ダウンロードが完了した更新プログラムのインストール処理を実行する」スクリプト
https://msdnshared.blob.core.windows.net/media/2018/02/DownloadedUpdatesInstall.vbs_.txt
WSUS - 分類と製品の構成 - Configuration Manager | Microsoft Docs
WSUSサーバの移行方法と手順[新規/レプリカ] | Workers-Strategy
パッチ適用状況のレポート:WSUSコンソール上のHTMLレポート
レポート作成機能は、外部コンポーネントである「Microsoft Report Viewer」を使用。
レポート作成時点の情報をリアルタイムに調査、収集したものではなく、あくまで一定のタイミング(設定可能)で各クライアントが報告してきたものをサーバ側で収集した結果である。
参考)
【WSUS】Windows Server 2019でのWSUS構築手順 - Live Free
4.レポートビューワーのインストール
WSUS管理コンソールにある「レポート」をクリックするとエラーが出ると思います。
まず以下の2つが必要になりますのでマイクロソフトからダウンロードします。
SQLSysClrTypes.msi
ReportViewer.msi
サポートされるOSにWindows Server 2019がありませんがインストールは可能です。
クライアントPCのグループ化が可能(GPO:グループ・ポリシー・オブジェクトを使用)
パッチのインストール期日指定が可能
クライアントからサーバへの接続周期設定が可能
適用できるパッチの種類
WindowsOS, Internet Explorer, Office, MSSQL, Exchange Server and so on.
適用できるパッチのクラス
セキュリティ更新(セキュリティ・ホールをふさぐパッチ)とService Pack程度に限定されていた。これに対しWSUSでは、デバイス・ドライバや、セキュリティ以外のバグ修正パッチなども適用できる。
スケジュール適用が失敗する主な原因
1.クライアントPCにインストール可能な更新プログラムがない
2.管理者ユーザーがログオンしていて手動で更新プログラムの適用と再起動を実行した場合
更新プログラムの適用手順
<Active Directory Server side>
1.自動更新のためのグループ・ポリシーの設定
--------------------------------------------------
ローカルグループポリシーの開き方
1.管理者:コマンドプロンプトを起動)
2.[gpedit]入力後[Enter]押下
--------------------------------------------------
1.1.WSUSクライアントの設定
1.1.1.「イントラネットのMicrosoft更新サービスの場所を指定する」ポリシーのプロパティ
1.1.1.1.[有効]オプションを選択する
1.1.1.2.2つの入力フィールドに、WSUSサーバへアクセスするためのURLを記入する。
--------------------------------------------------
指定ポートについて
WSUS サーバー ⇔ Microsoft Update サイト間で利用される既定のポート
HTTPの場合 80
HTTPSの場合 443
WSUS サーバー ⇔ WSUS クライアント間で利用される既定のポート
HTTPの場合 8530
HTTPSの場合 8531
例)
Windows Server 2012 の WSUS の主な変更点について | Microsoft Docs
--------------------------------------------------
1.1.2.「自動更新を構成する」ポリシーのプロパティ
1.1.2.1.[有効]オプションを選択する
1.1.2.2.スケジュールを指定して更新プログラムを自動適用するには、[4-自動的ダウンロードしインストール日時を指定]を選択する。
1.1.2.3.2つのドロップダウン・リストを使ってスケジュール日時(適用周期)を指定する。
2.自動更新処理の第1段階――更新プログラムのチェック
2.1.「自動更新の検出頻度」ポリシーのプロパティ
2.2.[有効]オプションを選択する
2.3.1時間から22時間の範囲で、更新プログラムの確認周期を指定する。
3.自動更新処理の第2段階――更新プログラムの適用
インストール可能な更新プログラムがあれば、実行ファイルをWSUSサーバからダウンロードして待機する。スケジュールされた日時までにダウンロードが完了していなければ、当然ながら適用不能だ。
3.1.ケース1:スケジュールされた日時に誰もログオンしていない場合
クライアントPCに誰もログオンしていない場合は、スケジュールされた日時が到来すると、問題なくスケジュール適用が実行される。適用完了の条件としてPCの再起動が必要な更新プログラムが含まれていれば、PCが自動的に再起動される。
3.2.ケース2:管理者ユーザーがログオンしているとき
「自動更新処理の第2段階――更新プログラムの適用」処理が完了してからスケジュールされた日時が到来するまでの間に、クライアントPCに管理者の権限を与えられたユーザーがログオンしていると、更新プログラム適用の通知メッセージがタスク・バーの通知領域に表示される
ここで、管理者ユーザーが通知に従ってすぐに更新プログラムの適用を開始すると、自動適用のスケジュールは完全に無視されることになる。さらに、更新プログラムの適用後に「コンピュータを再起動してください」というダイアログが表示されたとき、管理者ユーザーが「今すぐ再起動」ボタンをクリックすると、再起動のスケジュールも無視される
従って、管理者ユーザーがログオンしていても、本来のスケジュール日時に更新プログラムを自動適用したければ、管理者ユーザーは通知メッセージを無視してスケジュール日時まで適用を我慢する必要がある。
3.3.ケース3:非管理者ユーザーがログオンしているとき
非管理者ユーザーがログオンしている場合は、ケース2と異なり、更新プログラム適用の通知メッセージは表示されないので、更新プログラムはスケジュールどおりに適用される。更新プログラムの適用後に再起動が必要であれば、再起動の確認ダイアログが表示されるが、[今すぐ再起動]ボタンしかクリックできないので、非管理者ユーザーが再起動を先延ばしすることはできない。
WSUSクライアントからWSUSサーバへの即時接続コマンド
---Windows8(Windows Server2012)以前
wuauclt.exe /detectnow
---Windows 10/Windows Server 2016以降
usoclient startscan
すぐにWSUSクライアントからWSUSサーバへの接続が開始される。
これは、WSUSの初期設定時にWSUSクライアントからの接続テストを行う場合などに便利である。
またケースによっては、システムのログオン時など、決まったタイミングでWSUSサーバへのアクセスを実行させたいと思うかもしれない。
そのような場合には、ログオン・スクリプトでこのコマンドを実行すればよい。
Windows Update クライアントの情報をクリアにする手順 | Microsoft Docs
「更新プログラムの検出処理ができない」
「更新プログラムのダウンロード処理ができない」
「更新プログラムが期待通りにインストール出来ない」
場合に、まず実施いただきたい対処方法
SoftwareDistribution フォルダーのリセットと BITS ジョブのクリア
以下ステップを順にご実施ください。
a) 自動更新サービスと BITS サービスの停止
net stop usosvc ---Win10, WinSrv2016以降のみ
net stop dosvc ---Win10のみ
net stop wuauserv
net stop bits
b) SoftwareDistribution フォルダーのリネーム
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old
c) BITS のジョブを削除
del %ALLUSERSPROFILE%\Microsoft\Network\Downloader\qmgr0.dat
del %ALLUSERSPROFILE%\Microsoft\Network\Downloader\qmgr1.dat
---Win10 バージョン 1703 以降
del /Q %ALLUSERSPROFILE%\Microsoft\Network\Downloader\*
d) 自動更新サービスと BITS サービスの開始
net start bits
net start wuauserv
net start dosvc ---Win10のみ
net start usosvc ---Win10, WinSrv2016以降のみ
e) 更新プログラム検出の確認
---Windows8(Windows Server2012)以前
wuauclt.exe /detectnow
---Windows 10/Windows Server 2016以降
usoclient startscan
管理を集中化するレプリカ・グループ
WSUSの注意点と難点
■CPUへの負荷
■メタ・データとパッチ本体のダウンロードは別のタイミング
■レポートがエクスポートできない(Microsoft Report Viewerをインストールすれば、可能)
■不要になったパッチを削除できない
■マイクロソフトのパッチしか適用できない
■検出やインストールを「すぐに」実行できない
■WSUSサーバの特定の管理権限だけを委譲することはできない
■サーバ側からクライアントを強制再起動できない
■デフォルトでは、各国語版のパッチが同期対象になっている
■パッチに関する詳細情報はWSUSとは別に収集する必要がある
Reference
Windows Server Update Services - Wikipedia
Windows Server Update Services を使用したベスト プラクティス | Microsoft Docs
そこが知りたい Windows Server Update Services(第12回) - @IT
Q1 更新プログラムがどのような手順で適用されるのか知りたい
更新プログラムの適用手順
Windows 10の更新管理のためのWSUS最新事情 (1/2):企業ユーザーに贈るWindows 10への乗り換え案内(50) - @IT
運用:Windows Server Update Services(前編) ― 機能を大幅に強化した企業向け無償パッチ管理ソフトの最新版 - @IT
1.マイクロソフトが提供するパッチ管理サービスの種類と特徴
2.WSUSの新機能、機能強化点
運用:Windows Server Update Services(後編) ― 機能を大幅に強化した企業向け無償パッチ管理ソフトの最新版 1.WSUSの基本機能 - @IT
1.WSUSの基本機能
2.グループ管理機能
3.クライアントからのアクセス周期と期日指定インストール
4.パッチを適用しない「検出のみ」機能
5.レポート機能
6.同期オプションとアンインストール機能
7.WSUSサーバのチェーン化とWSUSの注意点
Windows Server 2012 R2 で WSUS サーバを構築する(1)
https://blog.yuu26.com/windows-server-2012r2-wsus-01/
Screen Shotあり
グループポリシーでWSUSを参照させる: IT じゃんくぼっくす
WSUSサーバを参照するように、クライアントの設定の変更
Activie Directoryのグループポリシーを使用する方法が一般的
Screen Shotあり
Windows Server 2012 R2のWSUSでWindows 10の機能更新プログラムを配信するには – Yamalog
(Issue Tips: Error message「この更新ファイルのダウンロードに失敗しました。更新を承認できますが、ダウンロードが完了するまでコンピューターで利用できません。[ダウンロードの再試行]をクリックして、ダウンロードを再開して下さい。」)