チョコ煮

チョコ煮

いろんな素材をチョコで煮ます

WSUS 2012R2覚え書 ~導入編~

最近はWSUSサーバの立ち上げに向けて、調べものと検証の日々を送っています。

が、とにかく情報が少なく、あっても微妙に古かったりします。

とはいえ一応形になりつつあるので、今回はWebで調べた内容をご紹介。

 

一通りのことはMicrosoftのサイト(英語含む)に書いてある、と言えばそれはそうなのですが、文字ばっかりで分かりにくかったりするので他のサイトを参照しました。

 

インストール(サーバ)

こちらに一通りのことは書いてあります。

blog.putise.com

キャプチャが豊富で分かりやすいです。

 

ただ、どの製品の更新プログラムを扱うか、どの分類のを扱うかといった、運用に関する決めごとは導入前に検討する必要があります。

そして実はそこがけっこうな沼地だったりするわけで……苦労しました(汗

その辺はこちらのサイトが多少は役に立つかも。

 

WSUS で選択する Windows 10 の製品分類について – Japan WSUS Support Team Blog

 

WSUS 更新プログラムのクラス分類 - wiki.yottun8.com

 

他のサイトも見ましたが、大体は似たり寄ったりですね。

 

あと、WSUSのインストール時にIISもインストールされますが、IISを使ってアクセス制限をかけたい場合は、追加で役割サービスをインストールする必要があります。

上記ブログで言えば「10、IISの役割サービスの選択」で”IPおよびドメインの制限”にチェックをつけておく必要があります。

WSUSサーバに社内LANからはアクセスできるけど、VPN経由では拒否したいとか、そういった運用の場合に使えます。

WSUSサーバにアクセスしたPCの情報は取得できるけど、更新プログラムは落とせないようにしたい、とかいう無茶ぶりにも対応できる……かな?

 

IISでアクセス制限する以外に、Windowsファイアウォールで管理するという方法も考えられますね。個人的に試してみましたが、IISだとクライアント側でエラーと映るのに対し、ファイアウォールだとそうならないようです。もちろん設定によるんでしょうが。

 

セットアップ(クライアント)

ADを使ってるなら、グループポリシーで設定するのが無難でしょうか。

設定が必要なのは、

あたり。後は好みで

  • インターネット上のWindows Updateに接続しない
  • クライアント側のターゲットを有効にする
  • 自動更新の検出頻度

を設定しとけばよいかと思います。余談ですが、微妙に設定の名前が違うことがあるので説明をよく確認してください。

注意点として、上記ブログにあるとおり、イントラネットの場所ではポート番号まで指定する必要があります。

blog.putise.com

 

オプション(WIDのWSUSデータベースの位置を変更する)

Windows Internal Database(WID)を使う場合、デフォルトではC:\Windows\WIDにインストールされるため、運用時にシステム領域を圧迫する可能性があります。

そこで、WSUSのデータベースを移動し、更新プログラム格納ドライブあたりに一緒に置いておけば、DBが肥大化しても影響が少なくなるはずです。

そのための方法ですが、WIDは内部的にMicrosoft SQL Serverとほぼ同等だそうで、SQL Server Management Studio(SSMS)をインストールし、その他必要なツールも入れてやればGUICUIでの操作が可能です。なお、SSMSは

SQL Server 2014からは製品版と同一の管理ツールが無償で入手できるようになった

Wikipediaに書いてあったので、無償で利用できるはずです。

Microsoft SQL Server Management Studio - Wikipedia

 

WSUSのDBは「SUSDB」という名前で管理されているため、DBを移動する手順も

  • SUSDBをデタッチ
  • SUSDBの実体ファイルを移動
  • SUSDBを再アタッチ

で完了です。

 

ですが、移動先のセキュリティ設定を変更しておかないと、WIDがSUSDBにアクセスできなくなります。

その設定方法が若干トリッキーで、設定不可視なプリンシパル

NT SERVICE\MSSQL$MICROSOFT##WID

を登録する必要があります。

 

Microsoftフォーラムに情報があったので、下記のチャブーンさんのやり方を参考にしてみてください。

ActiveDirectoryのグループポリシーにNT SERVICE¥MSSQLSERVERに関連するユーザが追加できない

ドメインコントローラ上にWSUSをインストールする場合にも似たような操作が必要になるようです。

https://blogs.technet.microsoft.com/jpwsus/2015/05/11/wsus-15/

合わせてご覧ください。

 

以上、WSUSの導入について書いてみましたが、実際の設定はくれぐれも自己責任でお願いいたします。私は責任を取らないこと、お含みおきください。