Microsoft Software Update Services のインストール ■目次 ＳＵＳサーバのインストール インストール前の準備 ＳＵＳサーバのインストール インストール完了の確認 アップグレードをする場合の手順 自動更新クライアントのインストール 自動更新クライアントのインストール ＳＵＳサーバのアンインストール Software Update Services(サーバ)の構成と管理 クライアントのアンインストール サーバのアンインストール ■ＳＵＳサーバのインストール ネットワーク環境 ファイルサーバ兼PDC　Windows2000 Server クライアント WindowsXP/Pro Windows2000/Pro Windows98SE 混在10台 ＳＵＳサーバのインストール先は Windows2000サーバ(ＰＤＣ)とし、前もって、 Active Directoryをインストールし、 クライアントはすべてドメインに参加しているものとする。 その他 ＳＵＳサーバをインストール後Active Directoryを導入すると、 ＳＵＳはアンインストールすることは出来なくなる。 インストールと構成は分けて考える ●インストール前の準備 インストールに要するハードディスクの空き容量は約50MB。 サーバに対して管理者権限があること。 IIS(Internet Information Service)が稼働していること。 （匿名のログオンができるか・・・） ＳＵＳのインストールによりIIS Lockdown toolが適用されます。(2000の場合) IIS Lockdown tool の最新版はこちら→ ＳＵＳのセットアップパッケージをつぎのURLからダウンロードする。 http://www.microsoft.com/japan/windowsserversystem/sus/default.mspx サーバソフトのダウンロードと同時に、クライアント・パッケージ「WUAU22.msi」も ダウンロードしておく。 http://www.microsoft.com/japan/windows2000/downloads/recommended/susclient/default.asp アップデートコンテンツの保存場所を指定したい場合は、前もってフォルダを作成しておく。 E:\SUS など 完全修飾ドメイン名(FQDN)に対する ping 確認。 -------------------------------------------------------------------------- Service Pack のインストールに関して、次のように動作する インストール先のコンピュータにSUS 1.0 サーバーがすでにインストールされている場合、 Service PackのインストールによりSUS 1.0 サーバーがアップグレードされます。 その際、SUS 1.0 サーバーに記録されていた設定内容は失われません。 インストール先のコンピュータにSUS 1.0 サーバーがインストールされていない場合、 Service Packの「slipstreamed」インストールによりSUS 1.0 SP1 (つまりSUS 1.0 + SP1) がインストールされます。 　　　　　以上の項目について検討し、準備する。 ●ＳＵＳサーバのインストール SUSSetup.msi(SP1の場合SUS10SP1.exe)をWindows2000 Serverの適当なフォルダに置きます。 ダブルクリックしてインストールを開始します。 カスタムインストールを選択し、保存先を明確にした方が良い ウィザードに従ってインストールします。 次のページで、クライアントがＳＵＳを参照するURLが表示されますので、これを記録します。 途中でコンテンツの保存場所を変更する場合は選択します。 セットアップが完了すると、管理用URLが表示されますので、これも記録しておきます。 ●インストール完了の確認 セットアップを実行した Windows の[スタート]メニューにショートカットが作成されている 管理コンソールに正常にログオンできる。 http://(FQDN)/SUSadmin ●アップグレードをする場合 最初のインストールと同じようにすれば、既存の設定を温存してアップグレードされる セットアップを実行。（既存フォルダを選択する以外は新規インストールと同じです。） ■自動更新クライアントのインストール ●自動更新クライアントのインストール スタンドアローンでインストールする WUAU22.msiを適当なフォルダにダウンロード又は、コピーします。 ファイルをダブルクリックしてインストールします。 Microsoft IntelliMirror(Active Directoryがある場合)による展開 Active DirectoryユーザとコンピュータMMCスナップインを使用し、 グループポリシーオブジェクト(GPO)を作成。 認証されているユーザにソースフォルダへのアクセス権が有ることを確認する。 グループポリシーオブジェクト エディタを起動します。 [コンピュータの構成]→[ソフトウェアの設定]をクリックします。 [ソフトウェア・インストール]を右クリックし、[新規作成]→[パッケージ]を選択します。 配布ポイントに「WUAU22.msi」のパスを入力し、[開く]をクリックします。 [割り当て]をクリックした後、[ＯＫ]をクリックします。 ポリシーがドメインから複製を作成するのを待ちます。 クライアントコンピュータを再起動します。 自動更新クライアントが正しくインストールされていることを確認する [ファイル名を指定して実行]をクリックします。 %windir%\system32\ と入力します。 wuaueng.dll ファイルのプロパティで[バージョン情報]を確認します。 バージョン番号 : 5.4.3626.2 以上 ■ＳＵＳのアンインストール ●サーバの削除 再インストールしない場合は、 必ずすべてのクライアントのアップデートサイトへのリダイレクトを元に戻して下さい。 サーバのインストールを実行したコンピュータ上でアンインストールします。 [コントロールパネル] → [アプリケーションの追加と削除] を選択します。 Micorsoft Software Update Servecesを選択して削除ボタンを押します。 サーバのファイルが削除されます。 ■Software Update Services(サーバ)の構成と管理 ●オプションの設定 クライアントコンピュータは、SUSの実行サーバに接続し、 コンテンツをダウンロードします。 DNS及びNetBIOS環境 NetBIOS名(http://SUSserver)で接続する場合標準設定でＯＫ。 DNS名を使用する場合(http://servername.domain) [この更新サーバを見つけるためにクライアントが使用する名前を指定してください] の[サーバ名]にDNS名を入力します。 コンテンツの同期先を指定 Microsoft Windows Update サーバと同期をとる場合、 [Microsoft Windows Updateサーバから直接同期する]をクリックします。 上位SUSサーバが存在する場合は、[次のローカルSoftware Update Servecesサーバから同期する] をクリックし、同期をとるサーバ名を入力します。 (http://SUSserver または http://servername.domain) 一度許可された項目の継続する更新の扱い 一度許可された更新は、その後の再更新時にも自動的に許可する。 [以前に許可された更新の新しいバージョンを自動的に許可する]をクリックします。 一度許可された更新であっても、その後のものは許可を要する設定 [許可された更新の新しいバージョンを自動的に許可せずに、 これらの更新を後に手動で許可する]をクリックします。 同期に関するコントロール 同期に含まれるデータは次の２つ 入手可能なパッケージとその適用性を記述したメタデータまたは 「ディクショナリ オブジェクト」。 更新を含む実際のパッケージ Microsoft Windows Updatesサーバで更新を維持する パッケージはMicrosoft Windows Updateサーバに残ります。 クライアントはSUSサーバから、 許可されたパッケージのリストのみをダウンロードします。 そのリストに基づいて、 Microsoft Windows Updatesサーバからパッケージをダウンロードします。 更新をローカル フォルダに保存する パッケージはダウンロードされ、ローカルのフォルダに保存されます。 コンテンツのサポートする言語を指定できます。 この設定は、いつでも追加・削除できます。 追加した場合、変更の後、直ちに同期をとり、 追加した言語のパッケージをダウンロードしておきます。 削除した場合、それまでのパッケージはサーバに残りますが、 クライアントは、またその言語が追加されない限りうけとりません。 サーバをWindows Updates からローカル フォルダに切り替えたときは 直ちに同期をとり、必要なパッケージをダウンロードしておきます。 [サーバーの同期] → [今すぐ同期] ●Software Update Services の一般的は管理作業 コンテンツの同期 自動同期を設定する ナビゲーションバーの[サーバーの同期] → [同期スケジュール] 同期のタイミングについては、 クライアントのアップデートスケジュールとの兼ね合いで後述。 更新の許可 クライアントに配布する更新を許可する 同期のタイミングおよび自動更新については、 クライアントのアップデートスケジュールとの兼ね合いで後述。 更新の状態 新規 更新が最近ダウンロードされたことを示す。許可されていないため、 クライアントには提供されません。 許可済み 更新が管理者によって許可され、 サーバに照会するクライアントで入手可能になります。 許可されていません 更新が許可されておらず、サーバに照会するクライアントで入手不可能となります。 更新済み 最近の同期の間に、更新が行われたことを示します。 一時的に利用できません 以下の場合、更新が一時的に利用できない状態になります。 更新のインストールに必要な関連する更新のパッケージファイルが入手できない 更新に必要な依存関係が得られない このメッセージは、コンテンツがローカルに保存されている場合のみ サーバの状態や動作を把握する方法 同期ログに含まれる情報 前回同期が行われた時刻 同期作業全体の成功／失敗の通知情報 スケジュールされた同期が終了した場合、次の同期の時刻 前回の同期以降、ダウンロード又は更新およびその両方が行われた更新パッケージ 同期に失敗した更新パッケージ 実行された同期のタイプ（手動又は自動） テキストエディタによるアクセスファイル: SUS Website\AutoUpdate\Administration\History-Sync.xml 許可ログに含まれる情報 許可されたパッケージのリストが変更された際の記録 変更された項目のリスト 許可された項目の新しいリスト 誰がこの変更を行ったかの記録（サーバの管理者又は同期サービス） テキストエディタによるアクセスファイル: SUS Website\AutoUpdate\Administration\History-Approve.xml イベント ログ メッセージ サーバが行うすべての同期に対して、または何らかの深刻なエラーが発生した場合に生成します。 サーバの監視ページ このページは以下の内容を表示するためのものです。 SUSは、入手可能な童心の情報をメタデータ・キャッシュに格納します。 この領域は、更新の管理に使用するメモリ内のデータベースのことです。 管理者が同期をとる度にテキストファイルを取得し、 メタデータ・キャッシュの更新をします。 安全な管理 SUSがインストールされたサーバで、 ローカルの管理者権限を持つユーザのみが管理Webサイトを使用できます。 http://Servername/SUSAdmin HTTPプロトコルでは、通信は暗号化されずプレーンテキストを使用します。 サーバをローカルのみで管理（リモートコンピュータを使用しない） サーバ管理に安全なHTTPS/SSLを使用（サーバ認証用にデジタル証明書を取得） 128ビット暗号化を使用 ■自動更新クライアント ソフトウェアの構成 ●ポリシーの構成 ポリシーによる構成は、ローカルの管理者による設定変更ができません。 Active Directoryのグループポリシー設定によって行います。(クライアントのGPOでも可） この設定は、ユーザ定義のオプションに優先します。 管理ポリシーが設定されている場合、対象となるクライアント上で、 コントロールパネルの自動更新オプションは無効となります。 グループポリシーの更新間隔を設定して、更新されたポリシーをチェックできます。 ポリシーが更新又は最新のものにされると、自動更新がすぐに変更を処理します。 Active Directoryのグループポリシーを使用する グループポリシーの定義ファイルとして「WUAU.adm」を取得 %windir$\inf\WUAU.adm　自動更新のインストール時に自動インストール Active Directoryドメインコントローラで、[スタート] → [ファイル名をしてして実行] DSA.msc と入力し、 Active Directoryユーザとコンピュータ スナップインを読み込みます。 OUあるいはポリシーを作成するドメインを右クリックして、[プロパティ]をクリックします。 [グループポリシー]タブ → [新規]をクリックします。 新規ポリシーの名前を入力して、[編集]をクリックし、GPOエディタを開きます。 [コンピュータの構成]または[ユーザの構成]で、[管理用テンプレート]を右クリックします。 [テンプレートの追加と削除] → [追加]をクリックします。 自動更新のADMファイル名、%windir%\inf\WUAU.admを入力し、[開く]をクリックします。 自動更新グループポリシー設定の構成 [コンピュータの構成]をクリックして、[管理用テンプレート]を拡大します。 [Windows コンポーネント] → [Windows Update] をクリックします。 自動更新を構成する イントラネットのMicrosoft 更新サービスの場所を指定する [自動更新を構成する]を開きます。 ドロップダウンメニューから、次の３つのオプションのうち１つを設定します。 ダウンロードの前、およびインストールの前に通知する 自動的にダウンロードし、インストールの前に通知する 自動的にダウンロードし、インストールのスケジュールをたてる グループポリシーで自動更新を構成する場合、ポリシーはローカルの管理ユーザが設定した、 ユーザ設定を上書きします。後でポリシーを削除すると、ユーザ設定を再び使用できます。 グループポリシーによる自動更新の構成は、 コントロールパネルのユーザインターフェースを無効にします。 スケジュールされたインストールを設定する場合、 ダウンロード又はインストールの準備完了ダイアログで[後で通知する]ボタンは無効になります。 このポリシーが無効になると、Windows Updeateサイトからの手動更新を除いて、 自動更新クライアントソフトウェアは更新を実行しません。 [Windows Updateのすべての機能へのアクセスを削除する]というポリシーが有効になると、 自動更新はログオンユーザに通知しません。 ローカルの管理ユーザは管理者でないユーザとして表示されます。 このポリシーが有効でも、自動アップデーサービスは実行されます。 このポリシーが有効でも、スケジュールされたインストールは実行できます。 この機能は、Windows XPのみで使用可能 [Windows Updateへのリンクとアクセスを削除する]というポリシーが有効になると、 SUSが許可していないWindows Update Webサイトからの他の更新を取得できません。 スタートメニューから[Windows Update]アイコンが消えます。 自動更新を Software Update Services の実行サーバへリダイレクトする [イントラネットのMicrosoft 更新サービスの場所を指定する]を開きます。 サービスを有効にして、「ダウンロードURL」や「統計情報サーバ」を指定します。 統計情報サーバは、ログが可能なIIS5.0以降のバージョンが必要です。