どうも、Tです。
WSUSを使うとき、WSUSクライアントからWindows Updateの検出間隔を制御する以下のグループポリシーの検証の備忘録です。
- 自動更新の検出頻度
目次
環境
バージョン
検証環境については、下記記事の「環境」をご参照ください。
事前に設定しているグループポリシー
以下のグループポリシーは事前に設定済みの環境で確認しています。
- 自動更新を構成する
- イントラネットのMicrosoft更新サービスの場所を指定する
- インターネット上のWindows Updateに接続しない
設定の詳細は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の検証結果を参照してください。
GPOが未構成の場合
GPOは未構成は上記のようになっています。グレーアウトしている間隔時間が1になっていますが、デフォルト(未構成)の場合、間隔時間は22時間ですので注意が必要です。
GPO設定
事前に作成しておいたWSUSクライアントが所属する「c-client-test」OUを右クリックし、「このドメインにGPOを作成し、このコンテナーにリンクする」をクリックします。
GPO名「windowsupdate-15」を入力し「OK」をクリックします。
15の番号は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の項目に記載しているNoです。
個人的に検証結果がわかりやすいように番号を振っているだけなので任意の名前で問題ありません。
GPOが作成されたら右クリックから「編集」をクリックします。
「コンピュータの構成」->「管理用テンプレート」->「Windows コンポーネント」->「Windows Update」->「自動更新の検出頻度」をダブルクリックします。
「有効」を選択し、間隔(時間)を検証のため最小値の「1」を指定して「OK」をクリックします。間隔時間は1時間~22時間の間で1時間毎に指定できます。
注: このポリシーを有効にするには、[イントラネットの Microsoft の更新サービスの場所を指定する] 設定を有効にする必要があります。
注: [自動更新を構成する] ポリシーが無効になっている場合は、このポリシーは効果はありません。
今回は検証のため1時間と短くしていますが、8時間程度が推奨のようです。
14. 自動更新の検出頻度 既定では 22 時間以内に 1 回、更新プログラムの確 認を行う。 各クライアントは、設定された値の 0 ~ 20% を毎回 ランダムに変動させ、負荷が集中しない動作となって いる。 同期 承認・配信 検出・適用 検出・適用 – クライアントの検出頻度 間隔を短くしたい場合、最短で 1 時間に 1 回ま で変更可能。 ただし、サーバー、ネットワーク負荷を考慮すると短 くとも 1 日 3 回 (8 時間) 程度を推奨。 Tips :自動更新の検出頻度
GPO設定後
GPO設定後、WSUSクライアントを再起動するか「gpupdate /foce」コマンドでグループポリシーを反映します。
GPOを適用してWSUSクライアントを起動したまま一晩放置したWindows Update関連のイベントログは上図のようになりました。
このログはWSUSクライアント側の「コンピュータの管理」->「イベント ビューア」->「アプリケーションとサービスログ」->「Microsoft」->「Windows」->「WindowsUpdateClient」->「Operational」から確認できます。
設定したのは20:00ごろでしたが、その後21:11に更新プログラムを検出して自動ダウンロードを開始しました。その後は、1時間強~2時間弱の間隔で、更新プログラムを検出しているログ(イベントID 26)が記録されていたので、「自動更新の検出頻度」グループポリシーがちゃんと動いているようです。
注意点
あまり神経質になる必要もないかと思いますが、「自動更新の検出頻度」ポリシーの間隔時間については、いささか不透明な部分が多いので留意はしておいた方がよさそうです。
今回は検証のために最小の「1」時間を指定しましたが、実際の間隔時間は正確にはわかりません。
グループポリシーのヘルプ欄では下記のように記載されています。
利用可能な更新を確認する前の待機時間を決定するための時間を指定します。正確な待機時間は、特定の値とランダムな可変数値 (0 – 4 時間) を合計した時間になります。
しかしLearnの方では、異なる説明になっています。
自動更新の検出頻度
利用可能な更新プログラムをチェックするまでの待機時間を決定するために Windows で使用される時間を指定します。 正確な待機時間は、ここで指定した時間から 0 ~ 20% の時間を差し引いた時間になります。 たとえば、このポリシーを使用して検出頻度が 20 時間に指定すると、このポリシーが適用されるすべてのクライアントでは 16 から 20 時間の間で更新プログラムのチェックが行われます。
インターネットの上の情報を見ているとLeanの説明が正しいように受け取れましたが、検証結果のイベントログの時間を見ていると、ヘルプ欄の説明が正しいようにも受け取れます。
「自動更新の検出頻度」ポリシー自体は、複数クライアントが一斉にWindows Updateを検知することを避ける負荷がかかる時間の分散を避けるようにしているので、とりあえず大まかな間隔時間を制御して、検出時間がばらけてくれれば問題ありませんが、厳密な間隔時間の算出は無理であることを認識しておく必要があります。
検出頻度について
検証では検出頻度1時間でしたが、上図は検出頻度を12時間にして、WSUSクライアント側の「コンピュータの管理」->「イベント ビューア」->「アプリケーションとサービスログ」->「Microsoft」->「Windows」->「WindowsUpdateClient」->「Operational」ログをイベントID 26でフィルターしてみたところです。
公式資料はありませんでしたが、直前のWindows Updateの検出時間を元に、間隔を算出しているように見受けられました。
5/25は夜間も起動していたので、23時にも検出しようとしています。他の日については、夜間停止していたため、朝の起動にともって前回からの24時間(12時間×2回分)で12時間間隔になるように検出しているように見受けられました。
参考
まとめ
もう少しわかりやすい説明で、明確な動作になって欲しいなぁと思いました。