Windows Server 2019 で WSSU(Windows Server Update Services)を構築する手順について記載します
基本的には従来のWSUSと手順は同じで、画面イメージもほとんど変わりなく実施していけます
今回は仮想マシンでWSUSサーバを構築しました
昨今こういった管理系サーバを物理マシンで構築することは殆どなくなってきましたね
手順の流れ
大雑把に浸かるようになるまでには、次の流れで構築を進める必要があります
簡単ではありますが
とりあえず動作するレベルまではこのページ内で説明します
マシン準備、ドメイン参加
まず、WSUSサーバを準備しましょう
今回は仮想マシンとしてWindows Server 2019 を用意します
私は事前に作成しておいたWindows Server 2019仮想マシン(エキスポート済み)をインポートして用意しました
次に、ドメイン参加させます
WSUSサーバ自身はドメイン参加しておいたほうが何かと都合がいいです
WSUS保存用ディスクの準備
ここが案外いちばん重要な作業です・・・
WSUS保存先のディスクは実は変更とても大変なんです
ダウンロードしたパッチだけを別フォルダにすることは可能なんですが
同じフォルダに保存されているDBファイル保存先の変更が一苦労で、正直WSUS再インストールしたほうが楽です
とりあえずC:\ 以外でかつ別のHDD(RAID)で構成したドライブ上に保存すべく、仮想マシンも別VHDXを作成しておいてください
ここまで来れば準備は完了です
後続のWSUSインストール手順に移ります
役割機能のインストール
「サーバーマネージャー」から「役割と機能の追加」を選択します
「次へ」をクリックします
「役割ベースまたは機能ベースのインストール」を選択し、「次へ」をクリックします
対象サーバの選択で、「サーバープールからサーバーを選択」し自身のホスト名を選択した状態で「次へ」をクリックします
サーバー役割の選択で、「Windows Server Update Services」にチェックを入れます
「WSUSインストール」に必要な追加機能・役割の追加要否を確認されます
「機能の追加」をクリックします
すると、下のような画面が表示されます
2つの役割が同時に選択され、インストールされます
機能の選択で特に変更はせずに「次へ」をクリックします
Windows Server Update Services のインストール設定を行います
「次へ」をクリックします
役割サービスは デフォルトの2つを選択した状態で「次へ」をクリックします
- WID Connectivity: オン
- WSUS Services: オン
- SQL Server Connectivity: オフ
コンテンツ保存場所(パッチなどのダウンロード先)を選択します
デフォルトから変更したい場合はここにフォルダまでのパスを入力してください
※(繰り返しですが)ここで設定したフォルダを変更するのは大変なので恒久的(拡張可能)なフォルダにしておいてください
Webサーバの役割(IIS)役割インストール設定を行います
「次へ」をクリックします
役割サービスの選択を行います
WSUSに必要なのはデフォルトのままで問題ありません
「次へ」をクリックします
「必要に応じて対象サーバーを自動的に再起動する」をオンにして、「インストール」をクリックします
インストールが開始されます
進捗を確認しつつ「閉じる」をクリックします
しばらく待つと完了します
WSUSの構成ウィザード
インストールが完了すると、サーバマネージャーに通知が表示されます
「インストール後のタスクを起動する」をクリックします
しばらく待つと再び通知画面に次のように表示されます
次に、WSUSを起動します
自動的に「設定ウィザード」が開始されます
「次へ」をクリックします
アップストリームサーバを指定します
アップストリームサーバとは、WSUSの参照先のサーバです
組織内ではじめてのWSUSサーバであれば「Microsoft Updateから同期する」を選択、社内の別のWSUSサーバを参照先に指定する場合は「別のWindows Server Update Servicesサーバから同期します」を選択します
今回は「Microsoft Updateから同期する」を選択します
インターネット接続にプロキシサーバが必要な環境であればここで値を入力します
接続試験として「接続の開始」ボタンをクリックします
しばらく待ちます
接続試験が正常終了すると、「次へ」ボタンがクリックできるようになります
言語を選択します
必要な言語セットのみで十分だと思いますので「次の言語の更新プログラムのみダウンロードする」を選択し
必要な言語セットのみ選択します(「英語」「日本語」で十分でしょう)
更新対象のMicrosoft製品を指定します
デフォルトでは「Windows」にチェックが入っていますが、おそらく不要な物もたくさん含まれているので「Windows」のチェックを外します
必要なWindows製品のみにチェックを入れておいてダウンロード容量と時間の短縮を図りましょう
今回は「Windows Server 2016 / 2019」を一旦対象とすることとしました
次に分類を選択します
ここは一旦デフォルトのままで進めます
同期スケジュールを設定します
「手動で同期する」「自動で同期する」どちらでも構いません
多くの組織さんで月一回適用を採用されているのではないかと思います
月一程度なら私は手動実行でもいいかなと思ってここでは「手動で同期する」とします
お好みですね
初期設定が完了しました
初回同期を行ってもいいですが、同期はいつでも実施可能なので一旦チェックを外して進めます
「完了」をクリックします
以下図の通り、これだけでは使えないことに注意してください
WSUS管理コンソールが起動してきました
一旦ここで初期設定ウィザードは完了です
GPOの設定(ドメイン参加マシンがWSUS利用するように設定
WSUSサーバを構築しただけでは、社内の他のWindowsマシン(サーバなど)はWSUSの存在に気づいていません
またWSUSサーバを利用するように設定もされていません
どこで指定するかというとGPOです
ドメインコントローラーですね
ADサーバからGPO設定を行い、WSUSサーバを利用するように設定をしていきます
まず、WSUSのURLを確認する必要があります
WSUSサーバのIISを起動し、 「サイト」→「WSUSの管理」を右クリックして「Webサイトの管理」→「詳細設定」を選択します
ここでWSUSサーバのIIS URLなどを確認してください
次に、ADサーバからGPOを設定します
ドメインコントローラーにログインし、「グループポリシーの管理」を起動します
「グループポリシーオブジェクト」→「Default Domain Policy」を右クリックし「編集」を選択します
画面左ツリーから「コンピューターの構成」→「ポリシー」→「管理用テンプレート」→「Windowsコンポーネント」→「Windows Update」を選択します
「自動更新を構成する」をダブルクリックします
自動更新の構成を「有効」にし
ダウンロードとインストールのオプションを設定します
次に、「イントラネットのMicrosoft更新サービスの場所を指定する」をダブルクリックします
「有効」に設定し
WSUSサーバのIISサーバ設定で確認した値を入力します
これでGPO側の設定は完了です
WSUSコンピュータグループの作成
運用などを考え、WSUSコンピュータグループを作成しておきましょう
こんな感じで「割り当てられていないコンピューター」に表示されているマシンを変更していきます
パッチ承認(ダウンロード、適用)
ここまで来れば利用可能になっています
まず、パッチをダウンロードするためにWSUS管理コンソールで「今すぐ同期」をクリックします
しばらく待つと同期が完了し、パッチ一覧が表示されます
セキュリティ更新プログラムのうち、未承認のものをリストアップし「承認」します
承認する対象のコンピュータグループを選択します
ここで選択していないグループにはパッチが適用できないのでご注意ください
あとはドメイン参加しているWindowsサーバなどからWindows Updateを試してみてください
関連記事です
Hyper-V 仮想化基盤設計書を販売しています
VMware仮想化基盤設計書を販売しています
以上です