Windows Server
 Computer >> コンピューター >  >> システム >> Windows Server

更新プログラムを展開するためのWSUSグループポリシー設定

以前の記事の1つで、Windows Server 2012 R2/2016へのWSUSサーバーのインストールについて詳しく説明しました。更新サーバーを構成した後、WSUSサーバーを使用して更新を受信するには、Windowsクライアント(サーバーとワークステーション)を構成する必要があります。したがって、ネットワーク上のすべてのWindowsクライアントは、インターネット経由でMicrosoft Updateサーバーからではなく、内部更新サーバーから更新を受信する必要があります。この記事では、Active Directoryドメイングループポリシー(GPO)を使用してWSUSサーバーを使用するようにクライアントを構成する方法について説明します。

ADグループポリシーを使用すると、管理者はコンピューターを異なるWSUSグループに自動的に割り当てることができるため、WSUS管理者は、WSUSコンソールのグループ間でコンピューターを手動で移動し、これらのグループを最新の状態に保つ必要がありません。異なるターゲットWSUSグループへのクライアントの割り当ては、クライアントのレジストリ内のラベルに基づいています(ラベルはGPOまたはレジストリの直接変更によって設定されます)。 WSUSグループに割り当てるこのタイプのクライアントは、クライアント側ターゲティングと呼ばれます。 。

私たちのネットワークは2つの異なる更新ポリシーを使用することが期待されています:サーバーの個別の更新ポリシー もう1つはワークステーション用です 。これらの2つのグループは、WSUSコンソールの[すべてのコンピューター]セクションで作成する必要があります。

ヒント 。クライアントがWSUSサーバーを使用するポリシーは、Active Directory組織単位(OU)の組織構造と、社内の更新インストールルールに大きく依存します。この記事では、グループポリシーを使用してWindowsUpdateをインストールする基本原則を理解しようとします。

まず、WSUSコンソール(ターゲティング)でコンピューターをグループ化するルールを指定する必要があります。既定では、WSUSコンソールのコンピューターは、サーバー管理者によって手動でグループに分散されます(サーバー側のターゲティング)。これは私たちには適していないため、クライアント側のターゲティングを使用して(グループポリシーまたはレジストリパラメーターを使用して)コンピューターをグループに分散するように指定します。これを行うには、WSUSコンソールで[オプション]をクリックします コンピュータを開きます 。値を「コンピューターでグループポリシーまたはレジストリ設定を使用する」に変更します 。

更新プログラムを展開するためのWSUSグループポリシー設定

これで、GPOを作成してWSUSクライアントを構成できます。グループポリシー管理(GPMC.msc)を開き、2つの新しいグループポリシーを作成します: ServerWSUSPolicy およびWorkstationWSUSPolicy

WindowsサーバーのWSUSグループポリシー

サーバーポリシーの説明から始めましょう– ServerWSUSPolicy

Windows Updateサービスの操作を担当するグループポリシー設定は、次のGPOセクションにあります。コンピューターの構成 ->ポリシー –>管理用テンプレート ->Windowsコンポーネント -> WindowsUpdate。

更新プログラムを展開するためのWSUSグループポリシー設定

私たちの環境では、このポリシーを使用して、WindowsサーバーにWSUSからの更新プログラムをインストールすることをお勧めします。このポリシーに該当するすべてのコンピューターは、WSUSコンソールのサーバーグループに割り当てられます。さらに、サーバーが受信されたときに、サーバーへの自動更新のインストールを無効にします。更新中、クライアントは利用可能な更新をローカルドライブにダウンロードし、対応する通知をシステムトレイに表示し、管理者が手動でインストールを開始するのを待つ必要があります(PSWindowsUpdateモジュールを使用してローカルまたはリモートで)。つまり、本稼働サーバーは、管理者の確認なしに更新を自動的にインストールして再起動することはありません(通常、これらのタスクは、毎月の定期メンテナンスの一環としてシステム管理者によって実行されます)。このようなスキームを実装するには、次のポリシーを設定しましょう。

  • 自動更新の構成: 有効にします。 3 –自動ダウンロードとインストールの通知 –クライアントは新しい更新を自動的にダウンロードし、それらについて通知します。
  • イントラネットMicrosoftUpdateサービスの場所を指定する有効更新を検出するためのイントラネット更新サービスを設定します: https://hq-wsus.woshub.com:8530 イントラネット統計サーバーを設定します: https://hq-wsus.woshub.com:8530 –ローカルWSUSサーバーと統計サーバーのアドレスを設定します(通常は同じです)。
  • スケジュールされた自動更新インストールのログオンユーザーによる自動再起動はありません: 有効にする –ユーザーセッションが開いている場合は自動再起動を無効にします。
  • クライアント側のターゲティングを有効にする: 有効にするこのコンピューターのターゲットグループ名: サーバー – WSUSコンソールで、クライアントをサーバーグループに割り当てます。

更新プログラムを展開するためのWSUSグループポリシー設定

。更新ポリシーを構成するときは、Windows Update GPOセクションの各オプションで使用できるすべての設定を理解し、インフラストラクチャと組織に適したパラメーターを設定することをお勧めします。

WindowsワークステーションのWSUSグループポリシー

サーバーポリシーとは対照的に、クライアントワークステーションへの更新は、更新を受信した直後の夜間に自動的にインストールされると想定しています。更新プログラムのインストール後、コンピューターは自動的に再起動する必要があります(5分以内にユーザーに通知します)。

このGPO(WorkstationWSUSPolicy)では、次のように指定します。

  • 自動更新の即時インストールを許可する: 無効 –更新を受信した後の即時インストールは無効になります。
  • 管理者以外のユーザーが更新通知を受信できるようにします: 有効 –管理者以外のユーザーに新しい更新の通知を表示し、手動でインストールできるようにします。
  • 自動更新の構成: 有効自動更新を構成します: 4 –自動ダウンロードとインストールのスケジュール。 インストール予定日: 0 –毎日スケジュールされたインストール時間 05:00 –クライアントは新しい更新をダウンロードし、午前5時に自動的にインストールすることを計画しています。
  • このコンピューターのターゲットグループ名: ワークステーション – WSUSコンソールで、クライアントをワークステーショングループに割り当てます。
  • スケジュールされた自動更新インストールのログオンユーザーによる自動再起動はありません: 無効;
  • イントラネットMicrosoftUpdateサービスの場所を指定する:有効にします。更新を検出するためのイントラネット更新サービスを設定します。 https://hq-wsus.woshub.com:8530 イントラネット統計サーバーを設定します: https://hq-wsus.woshub.com:8530 –は企業のWSUSサーバーのアドレスです。

Windows 10 1607以降では、内部WSUSから更新プログラムを受信するように指定しているにもかかわらず、Windows10はインターネット上のWindowsUpdateサーバーにアクセスしようとする場合があります。この「機能」はデュアルスキャンと呼ばれます 。インターネットからの更新の受信を無効にするには、ポリシーを追加で有効にする必要があります更新延期ポリシーがWindowsUpdateに対してスキャンを実行することを許可しない

ヒント 。社内のコンピューターに使用可能なすべてのパッチをインストールできるようにするには、両方のポリシーを構成して、更新サービス(wuauserv)をクライアントで強制的に開始するようにすることができます。これを行うには、[コンピューターの構成]->[ポリシー]->[Windowsの設定]->[セキュリティの設定]->[システムサービス] Windows Updateを見つけて、自動的に開始するように設定します(自動 )。 更新プログラムを展開するためのWSUSグループポリシー設定

WSUSグループポリシーをADOUに割り当てる

次のステップは、作成したポリシーを対応するActive Directoryコンテナー(OU)に割り当てることです。この例では、OUの構造は非常に単純です。サーバー(ドメインコントローラーを除く会社のすべてのサーバーが含まれています)とWKS(ワークステーション–ユーザーのコンピューター)の2つのコンテナーがあります。

ヒント 。 WSUSポリシーをクライアントにバインドする非常に簡単な方法のみを検討します。現実の世界では、単一のWSUSポリシーをすべてのドメインコンピューターにリンクし(GPOはドメインルートに割り当てられます)、さまざまな種類のクライアントをさまざまなOUに分散できます(この例のように、サーバー用にさまざまなWSUSポリシーを作成しました。ワークステーション)。大規模な分散ドメインでは、さまざまなWSUSサーバーをADサイトにリンクするか、WMIフィルターに基づいてGPOを割り当てるか、これらの方法を組み合わせることもできます。

ポリシーをOUに割り当てるには、グループポリシー管理コンソールで正しいOUをクリックし、[既存のGPOをリンクする]を選択します。 、次に適切なポリシーを確認します。

更新プログラムを展開するためのWSUSグループポリシー設定

ヒント 。別のOU–ドメインコントローラーを忘れないでください 。ほとんどの場合、WSUSサーバー ポリシーはこのコンテナにリンクする必要があります。
同じ方法で、WorkstationWSUSPolicyをWKS(Windowsワークステーションが配置されている場所)という名前のADコンテナに割り当てる必要があります。

クライアントをWSUSサーバーにバインドするために、クライアントのグループポリシーを更新する必要があります。

1

gpupdate /force

gpupdate / force

グループポリシーを介して設定したすべてのWindowsUpdate設定は、クライアントのレジストリキー HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdateに表示されます。 。

次のregファイルを使用して、GPOを使用して更新設定を構成できない他のコンピューター(ワークグループ内のコンピューター、分離されたセグメント、DMZなど)にWSUS設定を転送できます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="https://hq-wsus.woshub.com:8530"
"WUStatusServer"="https://hq-wsus.woshub.com:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servers"
"ElevateNonAdmins"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

更新プログラムを展開するためのWSUSグループポリシー設定

rsop.mscスナップインを使用して、クライアントに適用されるWSUS設定を制御することも便利です。

しばらくすると(更新の数とWSUSサーバーの帯域幅によって異なります)、トレイに新しい更新のポップアップ通知があるかどうかを確認します。クライアント(クライアントの名前、IP、OS、パッチの割合、および最後のステータス更新の日付)は、WSUSコンソールの対応するグループに表示されます。 GPOを使用してコンピューターとサーバーを異なるWSUSグループに割り当てたため、対応するWSUSグループへのインストールが承認された更新プログラムのみを受け取ります。

更新プログラムを展開するためのWSUSグループポリシー設定

更新プログラムがクライアントに表示されない場合は、Windows Updateサービスログ(C:\ Windows \ WindowsUpdate.log)を注意深く調べることをお勧めします。 Windows 10(Windows Server 2016)は、異なる形式のWindowsUpdate.logファイルを使用することに注意してください。

クライアントは、更新をローカルフォルダーC:\ Windows \ SoftwareDistribution\Downloadにダウンロードします。

WSUSサーバーで新しい更新プログラムの検索をすぐに開始するには、次のコマンドを実行する必要があります。

1

wuauclt /detectnow

wuauclt / detectnow

また、クライアントにWSUSサーバーへの再登録を強制する必要がある場合もあります。

1

wuauclt /detectnow /resetAuthorization

wuauclt / detectnow / resetAuthorization

特に難しい場合は、次のようにwuauservサービスの修正を試みることができます。クライアントで更新を受信するときにエラー0x80244010が発生した場合は、自動更新検出頻度を使用して、WSUSサーバーで更新を確認する頻度を変更してみてください。 ポリシーを3〜4時間にします。

次の記事では、WSUSサーバーでの更新の承認の特徴と、PowerShellを使用してグループ間で承認された更新をWSUSサーバーに転送する方法について説明します。


  1. Windows10でローカルグループポリシー設定をデフォルトにリセットする方法

    Windows 10では、システム全体でカスタマイズと構成が可能です。通常のユーザーの場合、必要になる可能性のあるすべての変更は、設定アプリから簡単に行うことができます。このアプリはますます一般的になり、Microsoftがほとんどすべての一般的な構成をアプリに統合するにつれてますます使用されています。それ以外に、コントロールパネルは電源オプションなどの特定の変更にも使用されます。これら2つは主に一般的な構成に使用されますが、これらのアプリでは簡単に実行できない変更が必要な場合があります。 この目的のために、ローカルグループポリシーエディターが存在します。これは基本的に、ユーザーがシステム

  2. Server 2016 でグループ ポリシーを介してネットワーク プリンターを展開する方法。

    このチュートリアルでは、Active Directory 2016 のグループ ポリシーを使用して、ドメイン ワークステーションに TCP/IP ネットワーク プリンターを展開する方法について、順を追って説明します。以下のプリンター展開手順に従うと、プリンターのプリンターに直接印刷できるようになります。ドメインのすべてのワークステーションからの IP アドレス。 グループ ポリシーを使用してプリンターを展開すると、プリンター ドライバーを各ワークステーションに個別にインストールする必要がないため時間を節約できます。また、プリンター設定ですべての変更を行うことができるため、プリンターの管理が