Windows Server Update Services

  • Windows Update(または Microsoft Update)をサーバ側からかける。
    • クライアントは何もしなくてもWindows Updateがかかる。
    • 組織内のセキュリティ対策に役立ち

インストール

サーバ

  • もう忘れた。
  • 入れた覚えがあるもの(確かこの順番で)
    • NET Framework 2.0
    • MMC 3.0
    • Report Viewer 2005
    • WSUS3Setupx86.exe
  • なんかいろいろ設定した揚句、壊しかけたこともあったような。。。
    • 8530番ポートでアクセスできるようにした。

管理コンソール

  • サーバにインストールする方法と同じ。
    • 途中で「管理コンソールを含む完全なサーバーインストール」ではなくて、
      「管理コンソールのみ」を選ぶ。
  • 起動したら左ペインの Update Services を右クリックしてサーバーに接続

設定

サーバ

  • 自動承認はすべて無効にした
    • 勝手に承認されたらたまらん。。。
  • 製品クラスで最小限を選んだ
    • ディスク容量とか同期時の時間短縮とか

AD

  • 各クライアント PC が AD にぶら下がっているならば
    AD のグループポリシーをいじればすべてに適用できる
    • コンピュータの構成/管理用テンプレート/Windowsコンポーネント/Windows Update
    • 自動更新を構成する 有効
      • 4 更新を自動的にダウンロードし、以下に指定されたスケジュールでインストールします。
    • イントラネットの Microsoft 更新サービスの場所を指定する 有効
    • クライアント側のターゲットを有効にする 無効
      • WSUSコンソールのオプションのコンピュータで「コンピュータのグループポリシーを使用します。」が選択されている場合は、有効にすると WSUS のコンピュータの分類が自動的に振り分けられる。
    • 自動更新のインストールを再度スケジュールする 有効
      • 10分
      • PC起動〜WSUS起動までのタイムラグ
    • ログオンしているユーザーがいる場合はスケジュールされた自動更新のインストールに対してシステムを自動的に再起動しない 有効
      • 未構成・無効だと作業中に勝手に再起動することがあるので注意
    • 自動更新の検出頻度 有効
      • 8時間
    • 自動更新を直ちにインストールすることを許可する 有効
      • 勝手にバックグラウンドでインストールが始まるようにする
    • 非管理者による更新の通知の受信を許可する 無効
      • 管理者だろうが制限ユーザだろうが更新チェックする
    • 自動更新により、推奨される更新を有効にする 有効
      • 更新全部を対象にする

トラブルシューティング

  • クライアントのWindows Updateをこのサーバに向けさせる
    • グループポリシーで設定を変更した時に、即座に設定を反映させる
      • gpupdate /force
      • サーバ、クライアント双方にて行うとなお良い。
  • クライアントにWindows Updateを再認識させる
    • wuauclt /resetauthorization /detectnow
  • WSUS管理コンソールがフリーズした
    • アップデートを承認とか拒否するとマウスで操作ができなくなることがある。
    • とりあえず TAB キーでアップデートパッケージのペインにフォーカスを合わせて
      ショートカットキーで右クリックメニューを出す
    • 承認を選んで、画面を出し、ESC でキャンセル。
    • マウスが治る、、、とおもう。
  • クライアントの認証キーを再構築させる
    • クライアントにはWSUSの個別IDみたいなものがあり、WSUSがパソコン個体を認識している
    • 複数PCへのイメージ展開を単純に行ってしまうと全台同じパソコンとして認識される。
    • 同じパソコンなので、Windows Updateが最初の1台目にしか反映されない。
    • 対処方法
      • 方法1 sysprepする
      • 方法2 reset_SusClientIf.wsf
        <?xml version="1.0" encoding="Shift_JIS" standalone="yes" ?>
        <package>
        <job id="Registry">
        <?job error="True" debug="True" ?>
        <script language="VBScript">
        <![CDATA[
        Set WshShell=WScript.CreateObject("WScript.Shell")
        WshShell.RegDelete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\SusClientId"
        ]]>
        </script>
        </job>
        </package>