WSUSでパッチを配信するためのグループポリシー設定

どうも、Tです。

WSUSを使う際に、よく設定すると思われる下記2つのグループポリシーの検証の備忘録です。

  • 自動更新を構成する
  • イントラネットのMicrosoft更新サービスの場所を指定する

環境

検証環境については、下記記事の「環境」をご参照ください。

WSUSを使うときに押さえておきたいWindows Updateグループポリシー
どうも、Tです。 WSUSを使うときに抑えておいた方が良いと思ったWindowsUpdate関連のグループポリシーについての備...

GPOの作成

ADサーバーで「サーバマネージャ」->「ツール」->「グループポリシーの管理」をクリックします。

事前に作成しておいた「c-client-test」OUを右クリックし、「このドメインにGPOを作成し、このコンテナーにリンクする」をクリックします。

GPO名「windowsupdate-12,14」を入力し「OK」をクリックします。

12と14の番号は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の項目に記載しているNoです。

WSUSを使うときに押さえておきたいWindows Updateグループポリシー
どうも、Tです。 WSUSを使うときに抑えておいた方が良いと思ったWindowsUpdate関連のグループポリシーについての備...

個人的に検証結果がわかりやすいように番号を振っているだけなので任意の名前で問題ありません。

GPOが作成されたら右クリックから「編集」をクリックします。

「自動更新を構成する」ポリシーの設定

「コンピュータの構成」->「管理用テンプレート」->「Windows コンポーネント」->「Windows Update」->「自動構成を構成する」をダブルクリックします。

「有効」を選択し、自動更新の構成を設定します。

自動構成の設定の意味は、下表になります。

設定項目 設定項目 説明 備考
自動更新の構成 2-ダウンロードと自動インストールを通知 更新プログラムをダウンロードする前、およびインストールする前に通知する。
3-自動ダウンロードしインストールを通知 (既定の設定) 更新プログラムを自動的にダウンロードし、インストールの準備ができたら通知する。
4-自動ダウンロードしインストール日時を指定 更新プログラムを自動的にダウンロードし、以下に指定されたスケジュールでインストールする。
5-ローカルの管理者の設定選択を許可 ローカルの管理者が構成モードを選択し、自動更新による更新の通知とインストールを実行できるようにする (このオプションは、Windows 10 バージョンではサポートされていません)。
7-自動ダウンロード、インストール時に通知、再起動を通知 インストールと再起動について通知します (Windows Server 専用)。
自動メンテメンテナンス時にインストール 有効/無効 自動メンテナンス時にインストールする。

自動メンテナンスでは、更新プログラムはコンピューターを使用していないときにインストールされる。また、コンピューターがバッテリで動作している場合はインストールされない。

4を選択している場合のみ。
インストールを実行する日 0-毎日

1-毎週日曜

2-毎週月曜

3-毎週火曜

4-毎週水曜

5-毎週木曜

6-毎週金曜

7-毎週土曜

インストールする曜日を指定。 4を選択している場合のみ。
インストールを実行する時間 0:00~23:00(1時間毎)

自動

インストールする時間を指定。

自動を選択すると、更新プログラムの確認、ダウンロード、インストールが Windows によって自動的に実行される。

4を選択している場合のみ。
週指定 毎週 更新を毎週、隔週、また毎月おこなうように制限できる。 4を選択している場合のみ。
他のMicrosoft製品の更新プログラムのインストール 有効/無効 他のMicrosoft製品の更新プログラムのインストールを許可/拒否する。

他のMicrosoft製品については、下記参照。

https://learn.microsoft.com/ja-jp/windows/deployment/update/update-other-microsoft-products

4を選択している場合のみ。

今回は「有効」以外は、デフォルト「3-自動ダウンロードしインストールを通知」のままとし「OK」をクリックします。

「イントラネットのMicrosoft更新サービスの場所を指定する」ポリシーの設定

「コンピュータの構成」->「管理用テンプレート」->「Windows コンポーネント」->「Windows Update」->「イントラネットのMicrosoft更新サービスの場所を指定する」をダブルクリックします。

「有効」を選択し、各項目を設定し「OK」をクリックします。

今回設定したのは、太字の2つの項目のみです。

項目 項目 説明 備考
更新を検出するためのイントラネットの更新サービスを設定する WSUSクライアントが更新プログラムを検出してダウンロードするサーバー。 WSUSサーバーのURLを指定。
イントラネット統計サーバーの設定 更新が完了したWSUSクライアントが統計をアップロードするサーバー。 WSUSサーバーのURLを指定。
代替ダウンロードサーバーの設定 イントラネットの更新サービスで指定したサーバーの代わりにダウンロードを代替するサーバー。 代替ダウンロード サーバー が設定されていない場合、更新プログラムのダウンロードには既定でイントラネットの更新サービスが使用される。
代替ダウンロードサーバーが設定されている場合は、メタデータにURLが示されていないファイルをダウンロードします。 更新プログラムのメタデータにファイル ダウンロード用 URL が示されていない場合に、代替ダウンロード サーバーからコンテンツをダウンロードできる。

このオプションは、イントラネットの更新サービスが、代替ダウンロード サーバー上に存在するファイルの更新用メタデータにダウンロードURLを提供しない場合にのみ使用する。

更新プログラムの検出のために、Windows UpdateクライアントへのTLS証明書のピン留めを強制しません。 WSUSをhttpsで構成しているときに使用する設定項目。 https://techcommunity.microsoft.com/t5/windows-it-pro-blog/scan-changes-and-certificates-add-security-for-windows-devices/ba-p/2053668
更新プログラムを検出するためのWindows Updateクライアントのプロキシ動作を選択してください 更新プログラムを検出するためにのみシステムプロキシを使用する(既定) Windows Updateでシステムプロキシ(WinHTTP)を利用する。 Windows Update クライアントが、Windows Update Web サイトへの接続に使用するプロキシ サーバーを決定する方法

https://lig-log.com/configure-winhttp-proxy/

システムプロキシを使用した堅守が失敗した場合に、ユーザーのプロキシをフォールバックとして使用できるようにする システムプロキシが失敗した場合ユーザープロキシを利用する。

IEの設定を指していると思われるが、IEがない現状でどのような動作になるかは不明。

動作確認

Windows Update

WSUSクライアントのWindows Update画面を開き「更新プログラムのチェック」をクリックします。

WSUSコンソール(WSUSサーバー側)でWSUSクライアントが認識されるため対象のWSUSクライアントを右クリック->「メンバーシップの変更」をクリックします。

事前に作成しておいた「c-client-test」コンピュータグループにチェックを入れ「OK」をクリックします。

「c-client-test」コンピュータグループには、事前にいくつかの更新プログラムを承認しています。

「c-client-test」を選択し、所属していることを確認します。

WSUSクライアントに戻り再度「更新プログラムのチェック」をクリックします。

Windows Updateが開始され、更新プログラムのダウンロードが開始します。

「更新プログラムのチェック」をクリックしてもWindows Updateが開始されないことがあります。その場合は、WSUSクライアント側に管理者権限のユーザーでログインして下記を試してみください。

今回は下記のブログより、Windows 11向けの手順を抜粋して記載しています。

WSUS から更新プログラムが配信されないときのチェックポイント
みなさま、こんにちは。WSUS サポート チームです。 今回は、WSUS から更新プログラムが配信されない問題が発生したときのチェックポイントをご紹介します。WSUS から更新プログラムが配信される仕組みについては、こちらの記事でご紹介しておりますので、こちらも是非ご確認ください。 設定値のチェックWSUS クライアン...

Windows Update 関連サービスの停止

net stop usosvc
net stop wuauserv
net stop bits

SoftwareDistribution フォルダーのリネーム

ren %systemroot%\SoftwareDistribution SoftwareDistribution.old

Windows Update 関連サービスの開始

net start usosvc
net start wuauserv
net start bits

Windows Updateが終わった後「今すぐ再起動」をクリックします。

再起動後「最新の状態です」になっていることを確認します。※1回で最新にならない場合もあるのでその際は「更新プログラムのチェック」を再度実行してください。

WSUSコンソールで先ほどのWSUSクライアントに承認した更新プログラムがすべて適用されていることをが確認できます。

なぜ手動でWindow Updateしている?

「自動更新を構成する」ポリシーで「3-自動ダウンロードしインストールを通知」を設定しているためダウンロードまでは自動で実行されるはずでしたが、Windows Updateを手動で実行しました。

これは「自動更新の検出頻度」ポリシーを設定していない場合は、WSUSクライアントがWindows Updateを検出するために22時間程度必要になるためです。

これは「自動更新の検出頻度」ポリシーを未定義の状態で2日ほど放置したところ、更新プログラムが自動でダウンロードされ、Windowsの通知に「更新プログラムを利用できます」が表示されました。

「すべてインストール」をクリックすると更新プログラムがインストールできたので、「自動更新を構成する」ポリシーの「3-自動ダウンロードしインストールを通知」は有効に働いているようです。

WSUSから更新されているのか

更新プログラムがどこからダウンロードされているのか判別する手段はありませんが、WSUSクライアントの下記レジストリを確認することでWSUSサーバーが指定されていることが確認できます。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
WUServer: <WSUS サーバーの URL>
WUStatusServer: <WSUS サーバーの URL>

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
“UseWUServer”=dword:00000001

参考

WSUS から更新プログラムが配信されないときのチェックポイント
みなさま、こんにちは。WSUS サポート チームです。 今回は、WSUS から更新プログラムが配信されない問題が発生したときのチェックポイントをご紹介します。WSUS から更新プログラムが配信される仕組みについては、こちらの記事でご紹介しておりますので、こちらも是非ご確認ください。 設定値のチェックWSUS クライアン...
Windows Server2019 WSUS設定手順3(自動でパッチ更新をインストールGPO) - 協栄情報ブログ
この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので十分ご注意ください。背景 以前、Windows Server2016で構築したことがありますが、今回はWindows Server2019でW... » read more
https://labo.azpower.co.jp/2020/07/1006
【簡単】クライアント端末側の「WSUS」の設定を解説|グループポリシー(GPO)で一斉適用 | IT trip
WSUSのクライアント端末側の設定について解説します。WSUSを構築してもクライアント端末に設定を入れないと自宅のクライアント端末と同様にインターネットから更新プログラムを取得することになります。 クライアント端末の設定はGPOで行う 以下
Windows Server: Windows Updateの自動更新および再起動を無効化する方法 | Dell 日本

まとめ

この記事で紹介した下記2つのポリシーはWSUSを使う上で、参考書やブログなどでもよく紹介されているためわかりやすいですね。

  • 自動更新を構成する
  • イントラネットのMicrosoft更新サービスの場所を指定する