Windows Server Update Services のインストール

目次

• ＷＳＵＳサーバのインストール
  • インストール前の準備
  • ＭＳＤＥのインストール
  • ＷＳＵＳサーバのインストール
  • インストール完了の確認
  • アップグレードをする場合の手順
• 自動更新クライアントのインストール
  • 自動更新クライアントのインストール
• ＷＳＵＳサーバのアンインストール
• Windows Server Update Services(サーバ)の構成と管理
  • オプションの設定
  • ＷＳＵＳの一般的な管理作業
• 自動更新クライアントの構成

ＷＳＵＳサーバのインストール

ネットワーク環境

ファイルサーバ兼PDC　Windows2000 Server
クライアント WindowsXP/Pro Windows2000/Pro Windows98SE 混在 500台以下
ＷＳＵＳサーバのインストール先は Windows2000サーバ(ＰＤＣ)とし、前もって、Active Directoryをインストールし、 クライアントはすべてドメインに参加しているものとする。
ＳＵＳ(Software Update Services)が稼働しているものとする。

要　件
                                 最小            推奨
    CPU                         750MHz          1GHz以上
    RAM                         512MB           1GB
    データベース                MSDE (2003の場合WSUS付属のWMSDE)
    フォーマット                NTFS            NTFS
    システム・パーティション    1GB             1GB以上
    コンテンツ用ボリューム      6GB             30GB

インストール前の準備

• サーバに対して管理者権限があること。
• IIS(Internet Information Service)が稼働していること。 （匿名のログオンができるか・・・）
  
• 以下のマイクロソフト ダウンロード・センターより Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Release Aをダウンロード。
  (Windows 2000 ServerにWSUSをインストールする場合。2003用にはWSUSに Microsoft Windows SQL Server 2000 Desktop Engine (WMSDE）が付属している）
  
  • http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=413744D1-A0BC-479F-BAFA-E4B278EB9147#filelist
• ＭＳＤＥのセキュリティ・アップデートファイルのダウンロード
  • http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=9814AE9D-BD44-40C5-ADD3-B8C99618E68D
• Windows Updateを完全に行っていない場合は、以下の３ファイルもダウンロード
  • バックグラウンド インテリジェント転送サービス (BITS) 2.0
  • Microsoft .NET Framework Version 1.1 再領布可能パッケージ
  • Microsoft .NET Framework 1.1 Service Pack 1
• ＷＳＵＳのセットアップパッケージをつぎのURLからダウンロードする。
• http://www.microsoft.com/japan/windowsserversystem/updateservices/downloads/WSUS.mspx
  パスポートアカウントが必要。アンケート等に答える必要有り
• アップデートコンテンツの保存場所を指定したい場合は、前もってフォルダを作成しておく。
• E:\WSUS など（標準ではC:\WSUS）

以上の項目について検討し、準備する。

ＭＳＤＥのインストール

1. ダウンロードしたＭＳＤＥ圧縮ファイル(JPN_MSDE2000A.exe)をダブルクリックする。
2. インストール先のフォルダを指定(既定：C:\MSDE2000)して[完了]を押す。
3. コマンドプロンプトで、インストール先のフォルダに移動する。
4. 次のように入力する。

setup sapwd="password " instancename="WSUS"

5. MSDEのWSUSインスタンスがインストールされているか確認する。
• サービスの一覧を表示する。
  [ファイル名を指定して実行]で services.msc と入力し、[OK]を押す。
• 一覧の中に MSSQL$WSUS が存在するか確認する。
6. ＭＳＤＥを更新する。
• SQL Server 2000(32ビット)セキュリティ修正プログラム(SQL2000-KB815495-8.00.0818-JPN.exe)をダブルクリック。
• 「更新するインスタンス」のダイアログボックスで、ＷＳＵＳインスタンスを選択して[次へ]をクリック。
• 「認証モード」ダイアログボックスで、「Windows認証」を選択して、[次へ]。
• 「インストールの準備完了」ダイアログで、[インストール]をクリック。
• [完了]する。

ＷＳＵＳサーバのインストール

1. WSUSsetup.exeをダブルクリックしてインストールを開始する。
2. 「更新元の選択」ダイアログで[更新プログラムをローカルに保存する]にチェックし、 更新プログラムの格納場所を指定する。
   ローカルに保存しない(チェックしない)とMicrosoft Updateから直接、承認された更新プログラムを取得する
3. 次へをクリック。
4. 「データベースのオプション」ダイアログで、[次のコンピュータにある既存のデータベースサーバーを使用する]をチェックし、 前もってインストールしたMSDEのインスタンスを選択する。
   Windows2003 Serverの場合はここでWMSDEがインストールできる
5. 次へをクリック。
6. 「Webサイトの選択」ダイアログで、クライアントコンピュータをＷＳＵＳに関連付けるＵＲＬとＷＳＵＳコンソールのＵＲＬを指定する。
   ＳＵＳからの移行の場合、[ http://<サーバ名>:8530] が既定となるが、ＳＵＳ廃止後ポート80に変更できる。
7. 次へをクリック。
8. 「更新プログラムのミラー化の設定」はスキップする。
9. 次へをクリックし、ウィザード最後のページで完了をクリックする。

インストール完了の確認

• セットアップを実行した Windows の[スタート]メニュー[管理ツール]にショートカットが作成されている
• 管理コンソールに正常にログオンできる。
  http://<サーバ名>:8530/WSUSadmin

自動更新クライアントのインストール

自動更新クライアントのインストール

• スタンドアローンでインストールする
1. Windows Update の最新インターフェースまたは、Microsoft Update のインターフェースにアップデートする。
   Windows XP SP2 の場合すでにインストールされている。
2. グループ・ポリシー・オブジェクトでアップデートサイトへのリンクを禁止している場合、一旦解除する
   解除後ポリシーの反映を急ぐときは次のコマンドを用いる。

gpupdate /force                                     Windows XP の場合
secedit /refreshpolicy machine_policy /enforce      Windows 2000 の場合

• クライアントの自己更新機能
ＷＳＵＳはＩＩＳを使用して、ほとんどのクライアントコンピューターをＷＳＵＳ互換の自動更新ソフトウェアに自動的に更新する。


• 自動更新クライアントが正しくインストールされていることを確認する
ＷＳＵＳコンソールを立ち上げ、ツールバーの[コンピュータ]アイコンをクリックすると、 「割り当てられていないコンピュータ」グループに、正しくインストールされているコンピュータが表示される。
ただし、後述の「自動更新グループポリシー設定の構成」が完了している必要がある。

ＷＳＵＳのアンインストール

サーバの削除

再インストールしない場合は、 必ずすべてのクライアントのアップデートサイトへのリダイレクトを元に戻して下さい。


1. サーバのインストールを実行したコンピュータ上でアンインストールします。
2. [コントロールパネル] → [アプリケーションの追加と削除] を選択します。
3. Micorsoft Windows Server Update Servecesを選択して削除ボタンを押します。
4. サーバのファイルが削除されます。

Windows Server Update Services(サーバ)の構成と管理

オプションの設定 == 同期のオプション

• ＷＳＵＳコンソールを信頼済みサイトに加える(資格情報の入力を求められるときのみ)
1. インターネットオプションの「セキュリティ」タグを開く。
2. 「信頼済みサイト」の[サイト]ボタンをクリック。
3. [このゾーンのサイトにはすべてサーバーの確認(https:)を必要とする] のチェックを外す。
4. [つぎのWebサイトをゾーンに追加する] にＷＳＵＳコンソールのＵＲＬを追加する。
   http://<サーバー名>:8530/WSUSadmin


• スケジュール
毎日の同期時刻を設定する。
バックアップの時間帯、配布のタイミング、他のソフトのダウンロード時間帯などを考慮する。


• 製品とクラス
1. 製品の[変更]ボタンをクリックして、アップデートしたい製品をチェック。通常 Office の追加は必要と思われる。
2. 更新プログラムのクラス(種類)を同様に変更する。
   ドライバ以外すべてにチェックを入れる


• 更新元
1. このサーバーが唯一のＷＳＵＳである場合、または数台の内の最上位である場合
• [Microsoft Update から同期する]を選択する
2. 数台の内の下位にある場合
• [アップストリームの Windows Server Update Services サーバーから同期する]を選択
• この場合は、どの上位サーバーから同期するか入力する。
3. 更新ファイルと更新言語
• [詳細ボタン]をクリックして、「詳細な同期のオプション」ダイアログを表示する。
• [更新ファイルをこのサーバーにローカルで保存する] を選択。
• [承認された場合のみダウンロード] にチェック。
• 言語については、一般的には[このサーバーのロケールに・・・] を選択すれば海外支店でもない限りＯＫ。
• コンテンツの同期
1. 先ず、ここまでの設定を保存する。
• 左ペイン[タスク]ボックス内の「設定保存」をクリック
2. 最初の同期は手動で行う。
• 左ペイン[タスク]ボックス内の「今すぐ同期」をクリック
• 左ペイン[同期の状態]ボックス内の「現在の状態」が ％表示される
• 「現在の状態」が１００％になると、「アイドル状態」にもどる
• 上部ツールバーの[ホーム]アイコンをクリック全体の状況を確認する

初回の同期終了後、「ホーム」の「作業一覧」に下のようなメッセージが表示されることがある。
サーバーの構成を確認してください。1つ以上のUpdateServiceコンポーネントに接続できませんでした。サーバの状態を確認し、 WindowsServerUpdateServiceが実行されていることを確認してください。実行されていないサービス：SelfUpdate
原因
• Selfupdate(仮想ディレクトリ)は、IISの[Webサイト]内、[既定のWebサイト]と[WSUSの管理]の両方に無ければならない。
• かつ、どちらも「匿名アクセス権」を持っていなければならない。
• その他、SharePointとの併用には管理設定の調整が必要。
解決策
1. IISの[Selfupdate]にて、右クリックし[アクセス許可]を選択
2. インターネット ゲスト アカウント(IUSR_ComputerNave@Domain)を追加する

Administrators                                              フルコントロール
SYSTEM                                                      フルコントロール
Users                                                       読み取りと実行、フォルダの内容の一覧表示、読み取り
インターネットゲストアカウント(IUSR_ComputerName@Domain)    読み取りと実行、フォルダの内容の一覧表示、読み取り

3. IISの[Selfupdate]の、右クリックから[プロパティ]を選択
4. [ディレクトリ セキュリティ]タグ内の「認証とアクセス制御」を[編集]する
5. 「□匿名アクセスを有効にする」にチェックを入れる

オプションの設定 == 自動承認のオプション

• 検出の承認
• 次の規則で自動的に更新プログラムの検出を承認する(Default:チェック済み)
1. 「クラス」の内容を変更する。

[クラスの追加と削除]をクリック、ダイアログで下記の項目を選択する。
• Feature Packs : 新しく公開された機能など
• Service Packs : ホットフィックス、各種更新、バグ修正などのパッケージ
• ツール : 一連のタスクの実現を支援するユーティリティ・機能
• ドライバ : 新しいハードウェアをサポートするソフトウェアコンポーネント
これらの内容は、自動的にインストールすると動作不良を起こす可能性のあるものとして必要性の検出のみとする。


2. コンピュータグループの設定

[コンピュータグループの追加と削除]をクリック、ダイアログでグループを選択
• 後述の、ツールバー[コンピュータ]でのグループ作成をしておくと、個別に選択可能となる。
• (Default:すべてのコンピュータ)のままにする。


• インストールの承認
• 次の規則で自動的に更新プログラムのインストールを承認する(Default:チェックなし)→チェックする
1. 「クラス」の内容を変更する。

[クラスの追加と削除]をクリック、ダイアログで下記の項目を選択する。
• セキュリティ問題の修正プログラム : セキュリティ上の脆弱性を修正
• 更新 : 重要性が低いが不具合の修正を目的とする
• 修正プログラム集 : セキュリティパッチや重要な更新などを１パックにしたもの
• 重要な更新 : 重要性が高く不具合の修正を目的とする
• 定義更新プログラム : 製品の定義データベースを含み、特定の悪意を検出する
これらの内容は、インストールしなければ不具合を起こすべきものとして、自動的にインストールする。


2. コンピュータグループの設定

[コンピュータグループの追加と削除]をクリック、ダイアログでグループを選択
• 後述の、ツールバー[コンピュータ]でのグループ作成をしておくと、個別に選択可能となる。
• (Default:すべてのコンピュータ)のままにする。


• 更新プログラムの改訂版
• 「更新プログラムの最新の改訂版を自動的に承認する」を選択する
  過去に一度承認したものの改訂版は新たに承認を求めず自動承認となる。


• Windows Server Update Services の更新プログラム
• 「WSUS の更新プログラムを自動的に承認する」にチェックする
  WSUS自体が最新でなければ正しくコンピュータが更新されないため必須

これまでの[設定を保存]する。

オプションの設定 == コンピュータのオプション

• コンピュータをグループに割り当てる方法を指定できる。小規模な場合はWSUSの機能を使って手動でした方がベター。
  [Windows Server Update Services のコンピュータの移動タスクを使用する]を選択

WSUSの一般的な管理作業

• 同期設定の確認
過去 30 日間に xx個の新しい製品と xx個の新しいクラスが追加されました。
• このようなメッセージが表示されたら(初回同期の時も追加される)、次のような手順で作業する
1. 「ホーム」の「作業一覧」から[同期設定の確認]をクリック、または[オプション]から[同期のオプション]選択する。
2. 「製品とクラス」ペインの「製品」の[変更]をクリックする。
3. チェック無しの項目の中から、必要と思われる製品にチェックを付け追加する。
4. 同様に「更新プログラムのクラス」の[変更]をクリックする。
5. 必要なもの(ほとんど全部)にチェックを付ける
6. 左上ペインの「タスク」で[設定の保存]をする。


• セキュリティの更新プログラムと重要な更新プログラムの確認
セキュリティの更新プログラムと重要な更新プログラムで、インストールが承認されていない更新プログラムがxxx個あります。
1. 初回同期には、この個数が1000個近くなる。「自動承認のオプション」で「インストール」か「検出のみ」に設定済みであるが、 「インストール」は明示的に設定の変更をしなければ適用されない。
   従って「ホーム」の「更新プログラム」の詳細に示された承認済みは、ほとんど全部検出のみである。
   (メッセージ中の「承認されていない更新プログラム」とは、実は承認済みプログラムの中の「検出のみ」を指している)
2. また、上記の「自動承認オプション」のカテゴリーに抵触しなかったものが未承認として区分される。
3. 「拒否済み」については、通常は「検出のみ」の中から「拒否済み」に設定変更するが、初回には期限切れのものについて自動的に拒否される。


• 上記のうち、①検出のみと②未承認について、検索して「インストール」「拒否」に設定を変更していく。
1. ツールバーの[更新プログラム]をクリック
2. 左ペインの「ビュー」において「すべてのプログラム」＋「検出のみ」＋「すべての期間」を適用する
3. フィルタされたビューの中の[ i ]をクリックしソートする。

①空白　　　　　　　　　　　　　　　　即時インストールが必要なもの（すでにインストール済みのクライアントばかりの時検出済みに区分される）
②トーナメントマークの頂点がブルー　　同じ更新の中で最新最優先のもの
③トーナメントマークの右端がブルー　　同じ更新の中で他のものに優先されて、不要と思われるもの

4. 先ず①②について全部選択し、左ペイン[承認の変更]をクリック。
5. 承認ダイアログの「承認」が[未承認]になっている。→　[検出のみ]に変更
6. [OK]をクリックする。(初回は数百に及ぶので承認に１時間以上かかることもある)
7. 変更が完了したら、[ホーム]へ戻って、[今すぐ同期]をクリックする。
8. 終了したら「ホーム」の[コンピュータで必要な更新プログラム]をクリック。 (又は、[レポート]をクリックし、[更新の状態]を選択。左ペイン[□必要]にチェックして[適用]をクリックする)
9. 一覧の[タイトル]をクリックすると更新プログラムの詳細が表示されるので、 先ず優先されたものは放置し、優先するものの承認を「更新のタスク」で「インストール」に変更する。

自動更新クライアント ソフトウェアの構成

ポリシーの構成

ポリシーによる構成は、ローカルの管理者による設定変更ができない。
Active Directoryのグループポリシー設定によって行う。(クライアントのGPOでも可）
この設定は、ユーザ定義のオプションに優先する。
管理ポリシーが設定されている場合、対象となるクライアント上で、 コントロールパネルの自動更新オプションは無効となる。
グループポリシーの更新間隔を設定して、更新されたポリシーをチェックできる。
ポリシーが更新又は最新のものにされると、自動更新がすぐに変更を処理する。

• Active Directoryのグループポリシーを使用する
1. グループポリシーの定義ファイルとして「WUAU.adm」を取得
%windir$\inf\WUAU.adm　自動更新のインストール時に自動インストール
2. Active Directoryドメインコントローラで、[スタート] → [ファイル名をしてして実行]
3. DSA.msc と入力し、 Active Directoryユーザとコンピュータ スナップインを読み込みます。
4. OUあるいはポリシーを作成するドメインを右クリックして、[プロパティ]をクリックします。
5. [グループポリシー]タブ → [新規]をクリックします。
6. 新規ポリシーの名前を入力して、[編集]をクリックし、GPOエディタを開きます。
7. [コンピュータの構成]または[ユーザの構成]で、[管理用テンプレート]を右クリックします。
8. [テンプレートの追加と削除] → [追加]をクリックします。
9. 自動更新のADMファイル名、%windir%\inf\WUAU.admを入力し、[開く]をクリックします。


• 自動更新グループポリシー設定の構成
1. [コンピュータの構成]をクリックして、[管理用テンプレート]を拡大します。
2. [Windows コンポーネント] → [Windows Update] をクリックします。
1. [Windows シャットダウン]ダイアログ ボックスで[更新をインストールしてシャットダウン]オプションを表示しない
2. [Windows シャットダウン]ダイアログ ボックスの規定のオプションを[更新をインストールしてシャットダウン]に調整しない
3. 自動更新を構成する
4. イントラネットの Microsoft 更新サービスの場所を指定する
5. クライアント側のターゲットを有効にする
6. スケジュールされた自動更新インストールに対しては自動再起動しない
7. 自動更新の検出頻度
8. 自動更新を直ちにインストールすることを許可する
9. スケジュールされたインストールの再起動を遅らせる
10. スケジュールされたインストール時の再起動を再確認する
11. 非管理者による更新の通知の受信を許可する
3. (3)を開き [有効] を選択。ドロップダウンメニューから(４)を選択し、毎日 3:00 にスケジュールする
• 2-ダウンロードとインストールを通知する
• 3-自動的にダウンロードし、インストールを通知
• 4-自動的にダウンロードし、インストール日時を指定
• 5-ローカルの管理者の設定選択を許可
4. (4)を開き [有効] を選択。
• 「更新を検出するためのイントラネットの更新サービスを設定する」にＵＲＬを入力
  http://<サーバー名>:8530
• 「イントラネット統計サーバーの設定」ＵＲＬを入力
  http://<サーバー名>:8530
5. 他の項目については、環境に応じて設定する

• グループポリシーで自動更新を構成する場合、ポリシーはローカルの管理ユーザが設定した、 ユーザ設定を上書きします。後でポリシーを削除すると、ユーザ設定を再び使用できます。
• グループポリシーによる自動更新の構成は、 コントロールパネルのユーザインターフェースを無効にします。
• スケジュールされたインストールを設定する場合、 ダウンロード又はインストールの準備完了ダイアログで[後で通知する]ボタンは無効になります。
• このポリシーが無効になると、Microsoft Updeateサイトからの手動更新を除いて、 自動更新クライアントソフトウェアは更新を実行しません。
• [Windows Updateのすべての機能へのアクセスを削除する]というポリシーが有効になると、
• 自動更新はログオンユーザに通知しません。
• ローカルの管理ユーザは管理者でないユーザとして表示されます。
• このポリシーが有効でも、自動アップデーサービスは実行されます。
• このポリシーが有効でも、スケジュールされたインストールは実行できます。
• この機能は、Windows XPのみで使用可能

End