もっと詳しく

あなたは使用することができます Windows Server Update Services(WSUS) サーバーを更新して、Microsoft製品の更新(Windows、Office、SQL Server、Exchangeなど)を会社のローカルネットワーク内のコンピューターとサーバーに展開します。 この記事では、WindowsServer2022/2019/2016または2012R2にWSUSUpdateServerをインストールして構成する方法について説明します。

WSUSはどのように機能しますか?

WSUSサーバーは、個別のWindowsServerの役割として実装されます。 一般的に、WSUSサービスは次のように説明できます。

  • インストール後、WSUSサーバーはインターネット上のMicrosoft Updateサーバーと同期し、選択した製品の新しい更新プログラムをダウンロードするようにスケジュールされています。
  • WSUS管理者は、会社のワークステーションとサーバーにインストールする更新プログラムを選択し、それらのインストールを承認します。
  • ローカルネットワーク上のWSUSクライアント(コンピューター)は、構成された更新ポリシーに従って、更新サーバーから更新プログラムをダウンロードしてインストールします。

Windows Server 2016/2016 / 2012R2にWSUSの役割をインストールするにはどうすればよいですか?

Windows Server 2008以降、WSUSは、サーバー管理コンソールまたはPowerShellを使用してインストールできる個別の役割です。

新しいWSUSサーバーを展開する場合は、最新リリースのWindows Server 2022にインストールすることをお勧めします(Windows Server Coreへのインストールが可能です)。

WSUSをインストールするには、サーバーマネージャーコンソールを開き、 Windows Server Update Services 役割(システムは自動的に選択し、必要なIIS Webサーバーコンポーネントのインストールを提案します)。

次のウィンドウで、インストールするWSUSロールサービスを選択します。 必ず確認してください WSUSサービス オプション。 次の2つのオプションは、WSUSに使用する予定のSQLデータベースによって異なります。

サーバー設定、更新メタデータ、およびWSUSクライアント情報はSQLServerデータベースに保存されます。 WSUSデータベースとして、次のものを使用できます。

  • Windows内部データベース(WID)–組み込みのWindowsデータベース(WID接続 オプション)。 これは、大規模なインフラストラクチャの場合でも推奨され、実行可能なオプションです。
  • 別のMicrosoftSQLServerデータベースがローカルサーバーまたはリモートサーバーに展開されます。 MS SQL Enterprise、Standard(ライセンスが必要)、または無料のExpressエディションを使用できます。 これは SQLServerの接続性 オプション。

次の場合は、Windows内部データベース)をお勧めします。

  • 未使用のMSSQLServerライセンスはありません。
  • WSUSロードバランシング(NLB WSUS)の使用を計画していません
  • ダウンストリーム(子)WSUSサーバーを展開する場合(ブランチオフィスなど)。 この場合、セカンダリサーバーで組み込みのWSUSデータベースを使用することをお勧めします。

無料のSQLServerExpress Editionでは、データベースの最大サイズは10GBに制限されています。 Windows内部データベースは524GBに制限されています。 たとえば、私のインフラストラクチャでは、3000クライアントのWSUSデータベースのサイズは約7GBでした。

WSUSの役割とMSSQLデータベースを異なるサーバーにインストールする場合、いくつかの制限があります。

  • WSUSデータベースを備えたSQLServerをActiveDirectoryドメインコントローラーにすることはできません。
  • WSUSサーバーは、リモートデスクトップサービスの役割を持つホストに展開できません。

デフォルトのWIDデータベースは呼び出されます SUSDB.mdf フォルダに保存されます %windir% wid data。 このデータベースは、Windows認証のみをサポートします(SQLはサポートしません)。 WSUSの内部(WID)データベースインスタンスが呼び出されます server_name Microsoft ## WID

WSUS WIDデータベースは、次の接続文字列を指定すると、SQL Server Management Studio(SSMS)を介して管理できます。 .pipeMICROSOFT##WIDtsqlquery

更新ファイルを保存するのに十分なディスク容量がない場合は、このオプションを無効にしてください。 この場合、WSUSクライアントは、承認された更新ファイルをインターネットから受信します(小規模ネットワークで実行可能なオプション)。

Windowsサーバーマネージャーのwsusロールサービス

更新ファイルをWSUSサーバーにローカルに保存する場合は、オプションを有効にします 次の場所に更新を保存します ディレクトリパスを指定します。 これは、ローカルディスク上のフォルダー(別の物理ボリュームまたは論理ボリュームをお勧めします)、またはネットワークの場所(UNCパス)にすることができます。 更新プログラムは、WSUS管理者によって承認された後にのみ、指定されたディレクトリにダウンロードされます。

WSUSデータベースのサイズは、更新するMicrosoft製品の数とWindowsのバージョンに大きく依存します。 大規模な組織では、WSUSサーバー上の更新ファイルのサイズが数百GBに達する可能性があります。

更新ファイルを保存するのに十分なディスク容量がない場合は、このオプションを無効にしてください。 この場合、WSUSクライアントは、承認された更新ファイルをインターネットから受信します(小規模ネットワークで実行可能なオプション)。

WindowsUpdateストアのフォルダー

次のPowerShellコマンドを使用して、内部データベース(WID)を使用してWSUSサーバーをインストールすることもできます。

Install-WindowsFeature -Name UpdateServices, UpdateServices-WidDB, UpdateServices-Services, UpdateServices-RSAT, UpdateServices-API, UpdateServices-UI -IncludeManagementTools

WindowsServerでの初期WSUS構成

WSUSロールのインストールが完了したら、初期構成を完了する必要があります。 サーバーマネージャーを開き、[展開後の構成]->[インストール後のタスクの起動]を選択します。

wsusのインストール後のタスク

WsusUtil.exeコンソールツールを使用して、コマンドプロンプトからWSUSを管理できます。 たとえば、WSUS更新ファイルディレクトリへのパスを変更するには、次のコマンドを実行します。

CD "C:Program FilesUpdate ServicesTools"
WsusUtil.exe PostInstall CONTENT_DIR=D:WSUS

または、たとえば、WSUSを外部SQLServerデータベースに切り替えることができます。

wsusutil.exe postinstall SQL_INSTANCE_NAME="MUN-SQL1WSUSDB" CONTENT_DIR=D:WSUS_Content

次に、Windows ServerUpdateServicesコンソールを開きます。 WSUSUpdateServerの初期構成ウィザードが起動します。

WSUSサーバーがMicrosoftUpdateサイトから更新プログラムを直接ダウンロードするかどうかを指定します(MicrosoftUpdateから同期する)またはアップストリームWSUSサーバーからそれらを受信する必要がある場合(別のWindowsUpdateServicesサーバーから同期する)。 ダウンストリームWSUSサーバーは通常、WANリンクの負荷を軽減するために、多数のクライアント(300以上)があるリモートサイトに展開されます。

Windows 10および11では、配信の最適化を使用して、通信チャネルでの更新トラフィックの帯域幅使用量を減らすことができます。

wsusアップストリームサーバー

プロキシサーバーを介してインターネットにアクセスする場合は、プロキシサーバーのアドレスとポート、および認証資格情報を指定する必要があります。

アップストリーム接続のプロキシサーバー設定

次に、アップストリーム更新サーバー(またはWindows Update)への接続を確認します。 クリック 接続を開始します

アップストリームwsusサーバーの接続を開始します

次に、WSUSが更新プログラムをダウンロードする製品言語を選択する必要があります。 選択します 英語 (言語のリストは、WSUSコンソールからさらに変更できます)。

wsus言語を選択します

次に、WSUSが更新プログラムをダウンロードする必要がある製品のリストを指定します。 ご使用の環境で使用されているMicrosoft製品のみを選択してください。 たとえば、ネットワーク上にWindows7またはWindows8コンピューターが残っていないことが確実な場合は、これらのオプションを選択しないでください。 これにより、WSUSサーバードライブのスペースが大幅に節約されます。

WSUS分類には、次の一般的なセクションを必ず含めてください。

  • 開発ツール、ランタイム、および再配布可能 — VisualC++ランタイムライブラリの更新に使用されます。
  • Windows辞書の更新 Windowsカテゴリ;
  • Windows Server Manager – Windows Server Update Services(WSUS)動的インストーラー。

更新したい製品を指定してください

分類ページ、WSUSを介して展開する更新プログラムの種類を指定する必要があります。 重要な更新、定義の更新、セキュリティパック、サービスパック、更新のロールアップ、および更新を選択することをお勧めします。

wsusは分類を更新します

WSUSコンソールのWindows10ビルドアップグレード(21H2、20H2、1909など)は、 アップグレード クラス。

更新の同期スケジュールを構成します。 WSUSサーバーとMicrosoftUpdateサーバーの毎日の自動同期を使用することをお勧めします。 WSUSの同期は、営業時間中にインターネットチャネルに影響を与えないように、夜間に実行する必要があります。

wsus同期スケジュール

WSUSサーバーとアップストリーム更新サーバーの最初の同期には、以前に選択した製品の数とISPによっては、最大で数日かかる場合があります。

ウィザードが完了すると、WSUSコンソールが起動します。

サービスコンソールの更新

WSUSコンソールツリーにはいくつかのセクションがあります。

  • 更新 – WSUSサーバーで利用可能な更新プログラム(ここでは、更新プログラムの承認を管理し、インストール用に割り当てることができます)。
  • コンピューター –ここでは、WSUSクライアントグループ(コンピューター、サーバー、テスト、本番グループなど)を管理できます。
  • ダウンストリームサーバー –WindowsUpdateまたはアップストリームWSUSサーバーのどちらから受信するかを構成できます。
  • 同期 –同期スケジュールを更新します。
  • レポート –さまざまなWSUSレポート。
  • オプション –WSUS構成設定。
WSUSを構成するための追加の手順(WSUS更新プログラムの承認、コンピューターとサーバーの更新プログラムグループの作成と構成)については、別の投稿で説明されています。

クライアントは、ポート8530でWSUSサーバーに接続することで更新プログラムを受信できるようになりました(Windows Server 2003および2008では、デフォルトでポート80が使用されます)。 このポートがWSUShostで開いていることを確認します。

Test-NetConnection -ComputerName yourwsushost1 -Port 8530

ポート8531で安全なSSL接続を使用できます。これを行うには、IISのWSUS管理Webサイトに証明書をバインドする必要があります。

ポートが閉じている場合は、WindowsDefenderファイアウォールで許可ルールを作成します。

Windows 10および11にWSUS管理コンソールをインストールするにはどうすればよいですか?

Windows Server Update Servicesコンソールを使用します(wsus.msc)WSUSを管理します。 WSUSホストは、ローカルコンソールを使用するか、リモートコンピューターからネットワーク経由で管理できます。

Windows 10または11用のWSUS管理コンソールは、リモートサーバー管理ツール(RSAT)からインストールされます。 をインストールするには Rsat.WSUS.Tool コンポーネントについては、次のPowerShellコマンドを実行します。

Add-WindowsCapability -Online -Name Rsat.WSUS.Tools~~~~0.0.1.0

Windows ServerにWSUSコンソールをインストールする場合は、次のコマンドを使用します。

Install-WindowsFeature -Name UpdateServices-Ui

wsus管理コンソール

Windows ServerにWSUSをインストールすると、2つの追加のローカルグループが作成されます。 これらを使用して、ユーザーにWSUS管理コンソールへのアクセスを許可できます。

  • WSUS管理者
  • WSUSレポーター

WSUSの更新プログラムとクライアントに関するレポートを表示するには、次のものをインストールする必要があります。

  • SQL Server 2012用のMicrosoftシステムCLRタイプ(SQLSysClrTypes.msi);
  • Microsoft Report Viewer 2012ランタイム(ReportViewer.msi)。

WSUSコンソールでさまざまな更新レポートを表示するには、オプションのをインストールする必要があります Microsoft Report Viewer2008SP1再配布可能 サーバー上の(またはそれ以上の)コンポーネント。

これらのコンポーネントがインストールされていない場合、WSUSレポートを生成すると、次のエラーが表示されます。

The Microsoft Report Viewer 2012 Redistributable is required for this feature. Please close the console before installing this package.

mswsusレポートビューアをインストールします

WSUSパフォーマンスの最適化

このセクションでは、実際の環境でWSUSUpdateServerのパフォーマンスを最適化するためのいくつかのヒントについて説明します。

  • WSUSが正しく機能するには、更新ホストに少なくとも4GBのRAMと2CPUの空き容量が必要です。
  • 多数のWSUSクライアント(1500を超える)を使用すると、更新をクライアントに配布するIISWsusPollプールのパフォーマンスが大幅に低下する可能性があります。 エラー 0x80244022 クライアントに表示される場合があります。または、WSUSコンソールを起動すると、エラーが発生してクラッシュする場合があります。 エラー:予期しないエラー +イベントID7053 イベントビューアで(The WSUS administration console has encountered an unexpected error. This may be a transient error; try restarting the administration console. If this error persists)。 wsusコンソールの予期しないエラーこの問題を解決するには、WSUSホストにRAMを追加し、記事で推奨されているようにIISプール設定を最適化する必要があります。 次のPowerShellコマンドを使用します。
    Import-Module WebAdministration
    Set-ItemProperty -Path IIS:AppPoolsWsusPool -Name queueLength -Value 2500
    Set-ItemProperty -Path IIS:AppPoolsWsusPool -Name cpu.resetInterval -Value "00.00:15:00"
    Set-ItemProperty -Path IIS:AppPoolsWsusPool -Name recycling.periodicRestart.privateMemory -Value 0
    Set-ItemProperty -Path IIS:AppPoolsWsusPool -Name failure.loadBalancerCapabilities -Value "TcpLevel"
  • Microsoftアンチウイルスの署名/定義の更新の自動承認を有効にします。 そうしないと、WSUSの速度が大幅に低下し、使用可能なすべてのRAMが消費される可能性があります。

ウイルス対策チェックは、WSUSのパフォーマンスに悪影響を与える可能性があります。 WindowsServerに組み込まれているMicrosoftDefenderAntivirusでは、リアルタイム保護の範囲から次のフォルダーを除外することをお勧めします。

  • WSUS WSUSContent;
  • %windir% wid data;
  • SoftwareDistributionダウンロード。

乞うご期待!

The post チュートリアル:WindowsServer2022/2019にWSUSをインストールして構成する appeared first on Gamingsym Japan.