どうも、Tです。
WSUSを使う際に、よく設定すると思われる下記2つのグループポリシーの検証の備忘録です。
- 自動更新を構成する
- イントラネットのMicrosoft更新サービスの場所を指定する
目次
環境
検証環境については、下記記事の「環境」をご参照ください。
GPOの作成
ADサーバーで「サーバマネージャ」->「ツール」->「グループポリシーの管理」をクリックします。
事前に作成しておいた「c-client-test」OUを右クリックし、「このドメインにGPOを作成し、このコンテナーにリンクする」をクリックします。
GPO名「windowsupdate-12,14」を入力し「OK」をクリックします。
12と14の番号は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の項目に記載しているNoです。
個人的に検証結果がわかりやすいように番号を振っているだけなので任意の名前で問題ありません。
GPOが作成されたら右クリックから「編集」をクリックします。
「自動更新を構成する」ポリシーの設定
「コンピュータの構成」->「管理用テンプレート」->「Windows コンポーネント」->「Windows Update」->「自動構成を構成する」をダブルクリックします。
「有効」を選択し、自動更新の構成を設定します。
自動構成の設定の意味は、下表になります。
| 設定項目 | 設定項目 | 説明 | 備考 |
|---|---|---|---|
| 自動更新の構成 | 2-ダウンロードと自動インストールを通知 | 更新プログラムをダウンロードする前、およびインストールする前に通知する。 | |
| 3-自動ダウンロードしインストールを通知 | (既定の設定) 更新プログラムを自動的にダウンロードし、インストールの準備ができたら通知する。 | ||
| 4-自動ダウンロードしインストール日時を指定 | 更新プログラムを自動的にダウンロードし、以下に指定されたスケジュールでインストールする。 | ||
| 5-ローカルの管理者の設定選択を許可 | ローカルの管理者が構成モードを選択し、自動更新による更新の通知とインストールを実行できるようにする (このオプションは、Windows 10 バージョンではサポートされていません)。 | ||
| 7-自動ダウンロード、インストール時に通知、再起動を通知 | インストールと再起動について通知します (Windows Server 専用)。 | ||
| 自動メンテメンテナンス時にインストール | 有効/無効 | 自動メンテナンス時にインストールする。 自動メンテナンスでは、更新プログラムはコンピューターを使用していないときにインストールされる。また、コンピューターがバッテリで動作している場合はインストールされない。 | 4を選択している場合のみ。 |
| インストールを実行する日 | 0-毎日 1-毎週日曜 2-毎週月曜 3-毎週火曜 4-毎週水曜 5-毎週木曜 6-毎週金曜 7-毎週土曜 | インストールする曜日を指定。 | 4を選択している場合のみ。 |
| インストールを実行する時間 | 0:00~23:00(1時間毎) 自動 | インストールする時間を指定。 自動を選択すると、更新プログラムの確認、ダウンロード、インストールが Windows によって自動的に実行される。 | 4を選択している場合のみ。 |
| 週指定 | 毎週 | 更新を毎週、隔週、また毎月おこなうように制限できる。 | 4を選択している場合のみ。 |
| 他のMicrosoft製品の更新プログラムのインストール | 有効/無効 | 他のMicrosoft製品の更新プログラムのインストールを許可/拒否する。 他のMicrosoft製品については、下記参照。 https://learn.microsoft.com/ja-jp/windows/deployment/update/update-other-microsoft-products | 4を選択している場合のみ。 |
今回は「有効」以外は、デフォルト「3-自動ダウンロードしインストールを通知」のままとし「OK」をクリックします。
「イントラネットのMicrosoft更新サービスの場所を指定する」ポリシーの設定
「コンピュータの構成」->「管理用テンプレート」->「Windows コンポーネント」->「Windows Update」->「イントラネットのMicrosoft更新サービスの場所を指定する」をダブルクリックします。
「有効」を選択し、各項目を設定し「OK」をクリックします。
今回設定したのは、太字の2つの項目のみです。
| 項目 | 項目 | 説明 | 備考 |
|---|---|---|---|
| 更新を検出するためのイントラネットの更新サービスを設定する | ー | WSUSクライアントが更新プログラムを検出してダウンロードするサーバー。 | WSUSサーバーのURLを指定。 |
| イントラネット統計サーバーの設定 | ー | 更新が完了したWSUSクライアントが統計をアップロードするサーバー。 | WSUSサーバーのURLを指定。 |
| 代替ダウンロードサーバーの設定 | ー | イントラネットの更新サービスで指定したサーバーの代わりにダウンロードを代替するサーバー。 | 代替ダウンロード サーバー が設定されていない場合、更新プログラムのダウンロードには既定でイントラネットの更新サービスが使用される。 |
| 代替ダウンロードサーバーが設定されている場合は、メタデータにURLが示されていないファイルをダウンロードします。 | ー | 更新プログラムのメタデータにファイル ダウンロード用 URL が示されていない場合に、代替ダウンロード サーバーからコンテンツをダウンロードできる。 このオプションは、イントラネットの更新サービスが、代替ダウンロード サーバー上に存在するファイルの更新用メタデータにダウンロードURLを提供しない場合にのみ使用する。 | |
| 更新プログラムの検出のために、Windows UpdateクライアントへのTLS証明書のピン留めを強制しません。 | ー | WSUSをhttpsで構成しているときに使用する設定項目。 | https://techcommunity.microsoft.com/t5/windows-it-pro-blog/scan-changes-and-certificates-add-security-for-windows-devices/ba-p/2053668 |
| 更新プログラムを検出するためのWindows Updateクライアントのプロキシ動作を選択してください | 更新プログラムを検出するためにのみシステムプロキシを使用する(既定) | Windows Updateでシステムプロキシ(WinHTTP)を利用する。 | Windows Update クライアントが、Windows Update Web サイトへの接続に使用するプロキシ サーバーを決定する方法 |
| システムプロキシを使用した堅守が失敗した場合に、ユーザーのプロキシをフォールバックとして使用できるようにする | システムプロキシが失敗した場合ユーザープロキシを利用する。 IEの設定を指していると思われるが、IEがない現状でどのような動作になるかは不明。 |
動作確認
Windows Update
WSUSクライアントのWindows Update画面を開き「更新プログラムのチェック」をクリックします。
WSUSコンソール(WSUSサーバー側)でWSUSクライアントが認識されるため対象のWSUSクライアントを右クリック->「メンバーシップの変更」をクリックします。
事前に作成しておいた「c-client-test」コンピュータグループにチェックを入れ「OK」をクリックします。
「c-client-test」を選択し、所属していることを確認します。
WSUSクライアントに戻り再度「更新プログラムのチェック」をクリックします。
Windows Updateが開始され、更新プログラムのダウンロードが開始します。
「更新プログラムのチェック」をクリックしてもWindows Updateが開始されないことがあります。その場合は、WSUSクライアント側に管理者権限のユーザーでログインして下記を試してみください。
今回は下記のブログより、Windows 11向けの手順を抜粋して記載しています。
Windows Update 関連サービスの停止
net stop usosvc net stop wuauserv net stop bits
SoftwareDistribution フォルダーのリネーム
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old
Windows Update 関連サービスの開始
net start usosvc net start wuauserv net start bits
Windows Updateが終わった後「今すぐ再起動」をクリックします。
再起動後「最新の状態です」になっていることを確認します。※1回で最新にならない場合もあるのでその際は「更新プログラムのチェック」を再度実行してください。
WSUSコンソールで先ほどのWSUSクライアントに承認した更新プログラムがすべて適用されていることをが確認できます。
なぜ手動でWindow Updateしている?
「自動更新を構成する」ポリシーで「3-自動ダウンロードしインストールを通知」を設定しているためダウンロードまでは自動で実行されるはずでしたが、Windows Updateを手動で実行しました。
これは「自動更新の検出頻度」ポリシーを設定していない場合は、WSUSクライアントがWindows Updateを検出するために22時間程度必要になるためです。
これは「自動更新の検出頻度」ポリシーを未定義の状態で2日ほど放置したところ、更新プログラムが自動でダウンロードされ、Windowsの通知に「更新プログラムを利用できます」が表示されました。
「すべてインストール」をクリックすると更新プログラムがインストールできたので、「自動更新を構成する」ポリシーの「3-自動ダウンロードしインストールを通知」は有効に働いているようです。
WSUSから更新されているのか
更新プログラムがどこからダウンロードされているのか判別する手段はありませんが、WSUSクライアントの下記レジストリを確認することでWSUSサーバーが指定されていることが確認できます。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
WUServer: <WSUS サーバーの URL>
WUStatusServer: <WSUS サーバーの URL>
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
“UseWUServer”=dword:00000001
参考
まとめ
この記事で紹介した下記2つのポリシーはWSUSを使う上で、参考書やブログなどでもよく紹介されているためわかりやすいですね。
- 自動更新を構成する
- イントラネットのMicrosoft更新サービスの場所を指定する