こしぞーのひとり情シス

Windows/仮想化の小規模環境を運用するリーマンの日々を綴っています。

Windows Server 2019 で構築する WSUSサーバ(Windows Server Update Servicesインストール)

f:id:bfx62324:20190324155322p:plain

Windows Server 2019 で WSSU(Windows Server Update Services)を構築する手順について記載します
基本的には従来のWSUSと手順は同じで、画面イメージもほとんど変わりなく実施していけます

今回は仮想マシンでWSUSサーバを構築しました
昨今こういった管理系サーバを物理マシンで構築することは殆どなくなってきましたね

 

手順の流れ

大雑把に浸かるようになるまでには、次の流れで構築を進める必要があります

  • マシン準備、ドメイン参加
  • 役割(機能)のインストール
  • GPOの設定(ドメイン参加マシンがWSUS利用するように設定)
  • WSUSコンピュータグループの作成
  • パッチ承認(ダウンロード、適用)

簡単ではありますが
とりあえず動作するレベルまではこのページ内で説明します

 

マシン準備、ドメイン参加

まず、WSUSサーバを準備しましょう

今回は仮想マシンとしてWindows Server 2019 を用意します
私は事前に作成しておいたWindows Server 2019仮想マシン(エキスポート済み)をインポートして用意しました

 

www.hitoriit.com

 

次に、ドメイン参加させます

WSUSサーバ自身はドメイン参加しておいたほうが何かと都合がいいです  

f:id:bfx62324:20190324155200p:plain

 

WSUS保存用ディスクの準備

ここが案外いちばん重要な作業です・・・

WSUS保存先のディスクは実は変更とても大変なんです
ダウンロードしたパッチだけを別フォルダにすることは可能なんですが
同じフォルダに保存されているDBファイル保存先の変更が一苦労で、正直WSUS再インストールしたほうが楽です

とりあえずC:\ 以外でかつ別のHDD(RAID)で構成したドライブ上に保存すべく、仮想マシンも別VHDXを作成しておいてください

 

ここまで来れば準備は完了です
後続のWSUSインストール手順に移ります 

 

役割機能のインストール

 「サーバーマネージャー」から「役割と機能の追加」を選択します

f:id:bfx62324:20190324155203p:plain

 

 「次へ」をクリックします

f:id:bfx62324:20190324155207p:plain

 

 「役割ベースまたは機能ベースのインストール」を選択し、「次へ」をクリックします

f:id:bfx62324:20190324155211p:plain

 

対象サーバの選択で、「サーバープールからサーバーを選択」し自身のホスト名を選択した状態で「次へ」をクリックします 

f:id:bfx62324:20190324155216p:plain

 

サーバー役割の選択で、「Windows Server Update Services」にチェックを入れます 

f:id:bfx62324:20190324155222p:plain

 

 「WSUSインストール」に必要な追加機能・役割の追加要否を確認されます
「機能の追加」をクリックします

f:id:bfx62324:20190324155227p:plain

 

すると、下のような画面が表示されます
2つの役割が同時に選択され、インストールされます

  • Webサーバ(IIS
  • Windows Server Update Services

f:id:bfx62324:20190324155232p:plain

 

機能の選択で特に変更はせずに「次へ」をクリックします

f:id:bfx62324:20190324155237p:plain

 

Windows Server Update Services のインストール設定を行います
「次へ」をクリックします

f:id:bfx62324:20190324155242p:plain

 

役割サービスは デフォルトの2つを選択した状態で「次へ」をクリックします

  • WID Connectivity: オン
  • WSUS Services: オン
  • SQL Server Connectivity: オフ

f:id:bfx62324:20190324155245p:plain

 

コンテンツ保存場所(パッチなどのダウンロード先)を選択します
デフォルトから変更したい場合はここにフォルダまでのパスを入力してください
※(繰り返しですが)ここで設定したフォルダを変更するのは大変なので恒久的(拡張可能)なフォルダにしておいてください
f:id:bfx62324:20190326174846p:plain

 

Webサーバの役割(IIS)役割インストール設定を行います
「次へ」をクリックします

f:id:bfx62324:20190324155253p:plain

 

役割サービスの選択を行います
WSUSに必要なのはデフォルトのままで問題ありません
「次へ」をクリックします

f:id:bfx62324:20190324155258p:plain

 

「必要に応じて対象サーバーを自動的に再起動する」をオンにして、「インストール」をクリックします

f:id:bfx62324:20190324155304p:plain

 

インストールが開始されます
進捗を確認しつつ「閉じる」をクリックします
しばらく待つと完了します

f:id:bfx62324:20190324155311p:plain

 

WSUSの構成ウィザード 

インストールが完了すると、サーバマネージャーに通知が表示されます
「インストール後のタスクを起動する」をクリックします

f:id:bfx62324:20190324155315p:plain

 

しばらく待つと再び通知画面に次のように表示されます

f:id:bfx62324:20190324155319p:plain

 

次に、WSUSを起動します

f:id:bfx62324:20190324155322p:plain

 

自動的に「設定ウィザード」が開始されます
「次へ」をクリックします

f:id:bfx62324:20190324155327p:plain

f:id:bfx62324:20190324155331p:plain

 

アップストリームサーバを指定します
アップストリームサーバとは、WSUSの参照先のサーバです
組織内ではじめてのWSUSサーバであれば「Microsoft Updateから同期する」を選択、社内の別のWSUSサーバを参照先に指定する場合は「別のWindows Server Update Servicesサーバから同期します」を選択します
今回はMicrosoft Updateから同期する」を選択します

f:id:bfx62324:20190324155335p:plain

 

インターネット接続にプロキシサーバが必要な環境であればここで値を入力します

f:id:bfx62324:20190324155340p:plain

 

接続試験として「接続の開始」ボタンをクリックします

f:id:bfx62324:20190324155344p:plain

 

しばらく待ちます
接続試験が正常終了すると、「次へ」ボタンがクリックできるようになります

f:id:bfx62324:20190324155349p:plain

 

言語を選択します
必要な言語セットのみで十分だと思いますので「次の言語の更新プログラムのみダウンロードする」を選択し
必要な言語セットのみ選択します(「英語」「日本語」で十分でしょう)

f:id:bfx62324:20190324155357p:plain

 

更新対象のMicrosoft製品を指定します
デフォルトでは「Windows」にチェックが入っていますが、おそらく不要な物もたくさん含まれているので「Windows」のチェックを外します

f:id:bfx62324:20190324155401p:plain

 

必要なWindows製品のみにチェックを入れておいてダウンロード容量と時間の短縮を図りましょう
今回は「Windows Server 2016 / 2019」を一旦対象とすることとしました

f:id:bfx62324:20190324155405p:plain

 

次に分類を選択します
ここは一旦デフォルトのままで進めます

f:id:bfx62324:20190324155410p:plain

 

同期スケジュールを設定します
「手動で同期する」「自動で同期する」どちらでも構いません
多くの組織さんで月一回適用を採用されているのではないかと思います
月一程度なら私は手動実行でもいいかなと思ってここでは「手動で同期する」とします
お好みですね

f:id:bfx62324:20190324155414p:plain

 

初期設定が完了しました
初回同期を行ってもいいですが、同期はいつでも実施可能なので一旦チェックを外して進めます

f:id:bfx62324:20190324155419p:plain

 

「完了」をクリックします
以下図の通り、これだけでは使えないことに注意してください

f:id:bfx62324:20190324155423p:plain

 

WSUS管理コンソールが起動してきました
一旦ここで初期設定ウィザードは完了です

f:id:bfx62324:20190324155428p:plain

 

 

GPOの設定(ドメイン参加マシンがWSUS利用するように設定

WSUSサーバを構築しただけでは、社内の他のWindowsマシン(サーバなど)はWSUSの存在に気づいていません
またWSUSサーバを利用するように設定もされていません

どこで指定するかというとGPOです
ドメインコントローラーですね
ADサーバからGPO設定を行い、WSUSサーバを利用するように設定をしていきます 

 

 まず、WSUSのURLを確認する必要があります
WSUSサーバのIISを起動し、 「サイト」→「WSUSの管理」を右クリックして「Webサイトの管理」→「詳細設定」を選択します

f:id:bfx62324:20190326170915p:plainここでWSUSサーバのIIS URLなどを確認してください

 

次に、ADサーバからGPOを設定します
ドメインコントローラーにログインし、「グループポリシーの管理」を起動します

「グループポリシーオブジェクト」→「Default Domain Policy」を右クリックし「編集」を選択します

f:id:bfx62324:20190326170919p:plain

 

画面左ツリーから「コンピューターの構成」→「ポリシー」→「管理用テンプレート」→「Windowsコンポーネント」→「Windows Update」を選択します

「自動更新を構成する」をダブルクリックします

f:id:bfx62324:20190326170925p:plain

自動更新の構成を「有効」にし
ダウンロードとインストールのオプションを設定します

f:id:bfx62324:20190326170903p:plain

 

次に、「イントラネットMicrosoft更新サービスの場所を指定する」をダブルクリックします

f:id:bfx62324:20190326170910p:plain

 

有効」に設定し
WSUSサーバのIISサーバ設定で確認した値を入力します 

f:id:bfx62324:20190326171427p:plain

 

 これでGPO側の設定は完了です 

WSUSコンピュータグループの作成

 運用などを考え、WSUSコンピュータグループを作成しておきましょう 

f:id:bfx62324:20190326170732p:plain

f:id:bfx62324:20190326170736p:plain

 

こんな感じで「割り当てられていないコンピューター」に表示されているマシンを変更していきます

f:id:bfx62324:20190326170740p:plain

f:id:bfx62324:20190326170745p:plain

 

パッチ承認(ダウンロード、適用)

 ここまで来れば利用可能になっています

まず、パッチをダウンロードするためにWSUS管理コンソールで「今すぐ同期」をクリックします 

f:id:bfx62324:20190326180748p:plain

 

しばらく待つと同期が完了し、パッチ一覧が表示されます

f:id:bfx62324:20190326180752p:plain

 

セキュリティ更新プログラムのうち、未承認のものをリストアップし「承認」します

f:id:bfx62324:20190326180756p:plain

 

承認する対象のコンピュータグループを選択します
ここで選択していないグループにはパッチが適用できないのでご注意ください

f:id:bfx62324:20190326180800p:plain

 

あとはドメイン参加しているWindowsサーバなどからWindows Updateを試してみてください 

関連記事です

Hyper-V 仮想化基盤設計書を販売しています

note.com

 

VMware仮想化基盤設計書を販売しています

note.com

 

以上です