Windows Server
 Computer >> コンピューター >  >> システム >> Windows Server

WSUS Updateを承認および拒否する方法は?

WSUS管理者(Windows Server Update Services)の主なタスクの1つは、Windowsコンピューターおよびサーバーにインストールされる更新プログラムの承認を管理することです。インストールと構成後、WSUSサーバーは、選択した製品の新しい更新プログラムをMicrosoftUpdateサーバーから定期的にダウンロードし始めます。

ターゲットWSUSグループの管理

更新プログラムがWSUSサーバーにダウンロードされたら、それらをコンピューターに展開できます。コンピューターが新しい更新プログラムをダウンロードしてインストールする前に、WSUS管理者による承認(または拒否)が必要です。ほとんどの場合、生産性の高いコンピューターにインストールする前に、一部のワークステーションとサーバーですべての新しいMicrosoftUpdateをテストすることをお勧めします。

ドメインコンピューターとサーバーでの更新プログラムのテストとインストールを整理するには、WSUS管理者がコンピューターグループを作成する必要があります。ビジネスタスク、ユーザーワークステーションの種類、およびサーバーカテゴリに応じて、さまざまなコンピューターのグループを作成できます。一般に、コンピューターで次のWSUSターゲットグループを作成するのが妥当です。 ->すべてのコンピューター WSUSコンソールのセクション:

  1. Test_Srv_WSUS —テストサーバーのグループ(本番環境と同じテスト環境を備えたビジネスサーバーまたは専用サーバーにとって重要ではないサーバー)。
  2. Test_Wks_WSUS —ワークステーションのテスト;
  3. Prod_Srv_WSUS —生産的なWindowsサーバー;
  4. Prod_Wks_WSUS —すべてのユーザーワークステーション。

WSUS Updateを承認および拒否する方法は?

これらのコンピューターグループには、コンピューターオブジェクトを手動で入力するか(通常はテストグループに適しています)、グループポリシー設定–クライアント側のターゲティングを有効にするを使用してコンピューターとサーバーをWSUSグループにリンクできます。

WSUSグループが作成されたら、それらの更新を承認できます。コンピューターにインストールする更新を承認するには、手動または自動の2つの方法があります。

WSUSを使用した手動の承認と更新のインストール

WSUS(Update Services)コンソールを開き、[更新]セクションを選択します。 利用可能なすべての更新の要約レポートが表示されます。デフォルトでは、4つのサブセクションがあります:すべての更新重要な更新セキュリティアップデート およびWSUSの更新 。これらのセクションのいずれかで特定の更新プログラムのインストールを承認するか(更新プログラムの検索コンソールでKB名またはMicrosoftのセキュリティ情報番号で検索できます)、リリース日で更新プログラムをフィルタリングできます。

WSUS Updateを承認および拒否する方法は?

未承認の更新のリストを表示します(承認を使用) =未承認 フィルター)。必要なアップデートを見つけて右クリックし、承認を選択します メニューにあります。

WSUS Updateを承認および拒否する方法は?

次のウィンドウで、この更新プログラムのインストールを承認するコンピューターのWSUSグループを選択します(たとえば、Test_Srv_WSUS)。 インストールの承認を選択します 。 [すべてのコンピューター]を選択すると、すべてのコンピューターグループの更新を一度に承認できます。 、またはグループごとに個別に。たとえば、テストグループへの更新のインストールを承認し、問題が発生しなかった場合は4〜7日ですべてのコンピューターに対して承認することができます。

WSUS Updateを承認および拒否する方法は?

更新の承認結果を示すウィンドウが表示されます。更新が正常に承認された場合、メッセージ結果:成功 が表示されます。このウィンドウを閉じます。

WSUS Updateを承認および拒否する方法は?

ご覧のとおり、特定の更新が手動で承認される方法です。各更新を個別に承認する必要があるため、非常に時間がかかります。更新を手動で承認したくない場合は、自動更新承認ルール(自動承認)を作成できます。

WSUSで自動承認ルールを構成するにはどうすればよいですか?

自動承認を使用すると、管理者の関与なしにWSUSサーバーに自動的に表示された新しい更新プログラムを承認し、それらのインストールをターゲットコンピューターに割り当てることができます。 WSUS Updateの自動承認は、承認ルールに基づいています。

WSUS管理コンソールで、[オプション]を開きます 自動承認を選択します 。

次のウィンドウには、デフォルトの自動承認ルールという名前のルールが1つだけあります。 (デフォルトでは無効になっています)更新ルール タブ。

新しいルールを作成するには、[新しいルール]をクリックします 。

WSUS Updateを承認および拒否する方法は?

承認ルールの構成は、3つのステップで構成されます。更新プログラムのプロパティ、更新プログラムをインストールするWSUSコンピューターのターゲットグループ、およびルールの名前を選択する必要があります。

WSUS Updateを承認および拒否する方法は?

青いリンクをクリックすると、対応するプロパティウィンドウが表示されます。

WSUS Updateを承認および拒否する方法は?

たとえば、テストサーバーのセキュリティ更新プログラムの自動承認を有効にできます。これを行うには、更新分類を選択で行います セクション選択重要な更新セキュリティアップデート定義の更新 (他のすべてのオプションのチェックを外します)。次に、更新の承認で ダイアログボックスで、Test_Srv_WSUSという名前のWSUSグループを選択します。

WSUS Updateを承認および拒否する方法は?

詳細 []タブで、対応するオプションを確認できます。WSUS製品自体の更新を自動的に承認する場合、またはMicrosoftによって変更された更新を自動的に承認する場合。通常、このタブのすべてのオプションがチェックされています。

WSUS Updateを承認および拒否する方法は?

これで、WSUSサーバーがその月の次の第2火曜日に新しい更新プログラムをダウンロードすると(または手動でインポートした場合)、それらは承認され、テストサーバーグループに自動的にインストールされます。既定では、ウィンドウはWSUSサーバーをスキャンして22時間ごとに新しい更新を探します。重要なコンピューターができるだけ早く新しい更新を取得するために、自動更新検出頻度を使用して同期頻度を変更できます。 ポリシー(WSUSエラーの場合:サーバーの最大ラウンドトリップを超えました)を参照し、数時間に1回に設定します(PSWindowsUpdateモジュールを使用して手動で更新をスキャンすることもできます)。

WSUSサーバーに多数のクライアント(2,000台を超えるコンピューター)がある場合、標準構成の更新サーバーのパフォーマンスが低下し、windowsupdate.logにエラー0x80244022が発生する可能性があるため、最適化する必要があります(これを参照)。記事)。

WSUSにインストールされている更新プログラムを拒否する方法

承認された更新プログラムの1つがコンピューターまたはサーバーで問題を引き起こした場合、WSUS管理者はそれを拒否できます。これを行うには、WSUSコンソールで更新プログラムを見つけて右クリックし、[拒否]を選択します。 。

WSUS Updateを承認および拒否する方法は?

次に、インストールをキャンセルするWSUSグループを選択し、削除の承認を選択します。 しばらくすると、WSUSクライアントで更新プログラムが削除される予定です(このプロセスについては、「Windows Updatesをアンインストールする方法」の記事で詳しく説明されています)。

本番環境向けのWSUS更新プログラムを承認する方法

テストグループに更新プログラムをインストールしてテストし、問題がないことを確認したら(通常、テストには3〜6日かかります)、本稼働システムで新しい更新プログラムを承認できます。ただし、生産性の高いシステムへの更新のインストールをある程度の遅延(たとえば、7日以内)で自動的に承認することはできません。

残念ながら、WSUSコンソールには、承認されたすべての更新プログラムを1つのWSUSグループのコンピューターから別のグループにコピーする機会がありません。新しい更新プログラムを手動で検索し、サーバーとコンピューターの生産的なグループにインストールすることを承認できます。かなり時間がかかります。

テストグループで承認された更新プログラムのリストを収集し、生産グループで見つかったすべての更新プログラムを自動的に承認する簡単なPowerShellスクリプトを作成しました(WSUSターゲットグループ間での承認のコピーの記事を参照)。更新プログラムがインストールされ、テストコンピューターグループでテストされてから7日後にスクリプトを実行します。問題のあるパッチがあった場合は、テストグループで拒否する必要があります。


  1. Windows 10 で Windows Update とセキュリティ設定を使用する方法

    Windows Update は、Windows Update を監視してインストールするための設定です。 Windows 10 では、多くのことが変わりました。以前はコントロール パネルの Windows Update 設定でしたが、現在は設定アプリに移動して同じことを行う必要があります。 ここでは、PC で Windows Update とセキュリティの設定を調整およびカスタマイズする方法について説明します。 Windows Update 設定に移動する方法 Windowsボタンの横にある検索バーに設定を入力するか、タスクバーの右側からすべての設定を見つけることができます。 [設定]

  2. Windows 11 で Windows Update を停止する方法

    Microsoft は、セキュリティ パッチ、新機能、および問題の修正で構成される Windows OS の更新プログラムを定期的に提供しています。これらの更新は強く推奨され、無期限に実行する必要があります。ただし、PC が従量制課金接続になっている場合や、Windows Update を一時的に無効にして、PC へのダウンロードとインストールを停止できる場合があります。 Windows の更新を停止する方法をいくつか紹介します。 Windows Update を停止するさまざまな方法 方法 1:Windows Update を一時停止する 最初の方法では、ユーザーは Windows 更新プ