背景
以前、Windows Server2019で構築したことがありますが、
今回はEC2を使って、WSUSサーバ(Windows Server 2022)の構築を検証してみましたので、構築手順を残したいと思います。
前提条件
・検証用EC2(AMI名:Windows_Server-2022-Japanese-Full-Base-2023.11.15)が構築済みであること
手順
1.Windows Server Update Serviceの起動
サーバーマネージャから、「ツール」-「Windows Server Update Service」を選択します。
2.WSUS設定の条件確認
サーバ ファイアウォールは、クライアントサーバーにアクセスできるように設定されていますか?
このコンピューターは、アップストリームサーバー(Microsoft Updateなど)に接続できますか?
必要な場合、プロキシサーバーに対するユーザー証明書がありますか?
上記要件を満たしていることを確認し、「次へ」を選択します。
今回は、WSUSのマスターサーバになるので、Micosoft Updateから更新プログラムをダウンロードします。プロキシは使わないので、証明書もないです。
3.Microsoft Update 品質向上プログラムの参加
「はい、Microsoft Update品質向上プログラムに参加します」にチェックを外して、「次へ」を選択します。
4.アップストリームサーバの選択
今回は、マスターサーバを構築するので、「Microsoft Updateから同期する」にチェックを付け、「次へ」を選択します。
5.プロキシサーバの指定
今回は、プロキシサーバを使用しないので、そのまま「次へ」を選択しました。
6.アップストリームサーバーに接続
「接続の開始」を選択します。今回構築するのは、マスターサーバなので、Microsoftのサイトと同期します。ダウンストリームサーバを構築するなら、ここではアップストリームサーバのWSUSと同期が行われます。同期が完了するまで、20分くらい待ちます。
同期が完了したら、「次へ」を選択します。
7.言語の選択
更新プログラムの対象言語を選択します。「次の言語の更新プログラムのみをダウンロードする」にチェックを付け、「英語」と「日本語」を選択し、「次へ」を選択しました。設定完了後にも変更は行えるので、対象言語が分からなければ、「英語」と「日本語」を選択しておけば、とりあえずは大丈夫だと思います。
組織全体で必要な言語に加え、必ず英語を含めます。 すべての更新プログラムは英語の言語パックに基づいているためです。
8.製品の選択
今回は、Windows Server2022に対して更新プログラムを配布したいので、「Windows Server operating system-21H2」だけにチェックを付けました。
9.分類の選択
下記をチェックします。
10.同期スケジュールの設定
現在構築しているWSUSサーバとアップストリームサーバ(今回は、MSサイト)の同期間隔を設定します。今回は自動同期を行いたいので、「自動で同期する」にチェックを付け、「1回目の同期を01:00:00」にして、「1日単位の同期」を1にしました。(24時間に1回ですね。)
11.初期同期の開始
「初期同期を開始します」にチェックを付け、「次へ」を選択します。ここで、先ほど選択した言語や製品、分類情報をもとに、カタログ情報をダウンロードしてくるのだと思います。
12.WSUSの設定ウィザード完了
以下の画面が表示されたら、「完了」を選択します。
13.同期状態の確認
WSUSの画面が起動するので、「同期」を選択し、同期状態を確認します。
40分くらいかかりますので、しばらく待ちます。
同期が完了すると、以下のように表示されます。
14.コンピュータグループの新規作成
クライアントごとに、適用する更新プログラムを分けるため、コンピュータグループを作成します。
「すべてのコンピューター」-「コンピューターグループの追加」を選択します。
以下の画面が表示されたら、名前欄に分かりやすい名前を入力し、「追加」を選択します。
「すべてのコンピューター」配下に、追加したコンピューターグループが表示されることを確認します。
15.クライアントを自動でコンピュータグループへ追加
WSUSで管理するクライアントが多い場合、以下の設定を行うことで自動的に先に設定した、コンピュータグループに登録することが可能です。自動登録の設定を行わない場合、クライアントは「割り当てられていないコンピューター」に入ります。(後から手動でコンピュータグループに移動することが可能)
「オプション」-「コンピューター」を選択します。
「全般」タブから、「コンピュータのグループポリシーまたはレジストリ設定を使用します。」にチェックを付け、「OK」を選択します。
合わせてクライアントPC側(ドメインのポリシーを使う場合は、ドメインサーバ側)の設定が必要になりますが、他の設定と合わせて、別途、記載させて頂きます。
16.高速インストールの設定
WSUS配下のクライアントPCにおいて、更新プログラムのダウンロードとインストールを高速化するため、以下の設定を行います。
WSUSの画面より、「オプション」-「更新ファイルと更新言語」を選択し、「更新ファイル」タブより、「高速インストールファイルをダウンロードする」にチェックを付け、「OK」を選択する。
「高速インストールファイルをダウンロードする」にチェックを付けると、WSUSサーバに保存される更新プログラムサイズが、通常と比較し3倍くらい大きくなるみたいです。
17.IISの最適設定
何もしなくても、使えることは使えるのですが、WSUSサーバに対して、クライアントからの接続リクエストが多いと、WSUSへの接続がエラーになってしまう可能性があるのあるため、クライアントから沢山のリクエストがあっても、エラーが発生しないように設定します。
「サーバーマネージャー」を開き、「ツール」-「インターネットインフォメーションサービス(IIS)マネージャー」を選択します。
以下の画面が表示されたら、「アプリケーションプール」-「WSUS」を右クリックし、「詳細設定」を選択します。
以下の表を参照し、設定値を変更します。
18.LAN帯域制御(WSUSサーバ間-クライアント間)
WSUSサーバとクライアント間のLAN帯域を制御します。クライアント側のPCでBITSを使用した制御も行えますが、ここではIISの帯域制御機能を使用します。
IISの画面から、「WSUSの管理」-「制限」を選択します。
以下の画面が表示されたら、「帯域幅の使用を制限する」にチェックを付け、通信速度をバイト単位で入力します。以下の画面では、通信速度を50Mbpsに制御するため、設定値を「6,250,000」にしています。設定が完了したら、「OK」を選択します。
19.WAN帯域制御(Microsoftサイト-WSUSサーバ間)
MicrosoftサイトとWSUSサーバ間のネットワーク帯域を制御します。ここでは。BITSを使用して帯域の制御を行います。
「ファイル名を指定して実行」より、「gpedit.msc」を入力し「OK」を選択します。
以下の画面が表示されたら、「コンピューターの構成」-「管理用テンプレート」-「ネットワーク」-「バックグラウンドインテリジェント転送サービス(BITS)」を選択し、「BITSバックグランド転送の最大ネットワーク帯域幅を制限する」をダブルクリックします。
以下の画面が表示されたら、「有効」にチェックを付けます。
今回は、通信速度を10Mbpsで制御したいため、「バックグランド転送レート(Kbps)」に、「10000」と設定し、毎時10Mbpsにしたいため、開始、最大の時間はそのままにして、一番下の「バックグランド転送レート(Kbps)」も、「10000」にしました。また、「未使用で利用可能な帯域幅をすべて使用する」のチェックは外しました。
今回は、時間指定をせず一律10Mbpsで制御しましたが、業務時間帯は低速で制御を行い、業後は通信速度を上げても良いかもしれません。
設定したポリシーを適用するため、サーバを再起動します。
(コマンドプロンプトを管理者で起動し、gpupdate /forceコマンドでもOKです)
少し長くなりましたが、これでWSUSの設定は完了になります。
次回は、ドメインポリシーを使用してWSUSにクライアントを登録する手順(主にGPO)について、記載します。