これから始めるWSUS 3.0入門(前編):パッチ管理ツール「WSUS 3.0」の導入(6/6 ページ)
使い勝手がよくなったパッチ管理ツール「Windows Server Update Services(WSUS)3.0」の新機能とインストール方法を解説する。
WSUSクライアントの設定
前述のとおりWSUS 3.0では、Windows OSに標準で装備されている自動更新をWSUSクライアントとして利用する。それには、グループ・ポリシーを使ってクライアントPC上の自動更新がデフォルトのMicrosoft UpdateサイトではなくWSUSサーバを参照するように設定する必要がある。
■グループ・ポリシーの編集手順
ここでは、ワークグループ環境でもドメイン環境でも利用できる、ローカル・グループ・ポリシーを編集する手順を解説しよう。
- クライアントPCに管理者としてログオンして、[スタート]−[ファイル名を指定して実行]で「Gpedit.msc」コマンドを実行する。
- [グループ ポリシー オブジェクト エディタ](GPOエディタ)の左ペインで、[コンピュータの構成]−[管理用テンプレート]−[Windows コンポーネント]−[Windows Update]を開く。
- GPOエディタの右ペインで、[自動更新を構成する]ポリシーのプロパティを開いて、このポリシーを有効にする(以下の画面)。パッチを指定日時に無人インストールするには、[自動更新の構成]ドロップダウン・リストで[4 - 自動ダウンロードしインストール日時を指定]を選択しよう。[2 - ダウンロードとインストールを通知]や[3 - 自動ダウンロードしインストールを通知]を選択すると、スケジュールの設定は無効になり、管理者ユーザーがクライアントPCにログオンして、ダウンロードやインストールを実行するように指示する必要がある。自動更新のバージョンによっては[5 - ローカルの管理者の設定選択を許可]を選ぶことができる。このオプションは、クライアントPCの管理者ユーザーが、コントロール・パネルの[自動更新]で自由にオプションを設定できる。
[自動更新を構成する]ポリシーを有効にする
GPOエディタで[自動更新を構成する]ポリシーを開くと、この画面が表示される。ここでは、自動更新すなわちWSUSクライアントの基本的な挙動を設定する。
(1)ポリシーを有効にして、自動更新を実行可能にする。
(2)ダウンロードとインストールの通知を選択する。
(3)[自動更新の構成]で[4 - 自動ダウンロードしインストール日時を指定]を選択したときだけ、この欄に設定したインストール日時が効果を発揮する。[自動更新の構成]が[4]以外の場合、この欄の設定は反映されない。
4. GPOエディタの右ペインで、[イントラネットの Microsoft 更新サービスの場所を指定する]ポリシーのプロパティを開いて、このポリシーを有効にする。エディット・ボックスは2つあるが、どちらもWSUSサーバのインストール時に表示されたURLを「http://<WSUSサーバ名>/」形式で入力する。「WSUSサーバ名」は、コンピュータ名、ホスト名、完全修飾ドメイン名(FQDN)、IPアドレスのいずれでもよい。TCPポートの80番以外のWebサイトを参照するには、「http://<WSUSサーバ名>:<ポート番号>/」と入力しよう。
[イントラネットの Microsoft 更新サービスの場所を指定する]ポリシーを有効にする
GPOエディタで[イントラネットの Microsoft 更新サービスの場所を指定する]ポリシーを開くと、この画面が表示される。ここでは参照先のWSUSサーバのURLを設定する。
(1)ポリシーを有効にして、自動更新がWSUSサーバを参照するように設定する。
(2)いずれの欄も同じWSUSサーバのURLを指定する。TCPポートの80番を使用する場合は「http://<WSUSサーバ名>/」、80番以外の場合は「http://<WSUSサーバ名>:<ポート番号>/」という形式で入力する。
■ドメイン環境では自動更新のポリシー・テンプレートを最新版に更新しておく
ドメイン環境でグループ・ポリシーを利用する場合は、以下の手順で最新のポリシー・テンプレート・ファイルを使ってグループ・ポリシー・オブジェクト(GPO)を作成するとよい。ドメイン・コントローラのポリシー・テンプレート・ファイルが古いと、WSUSクライアントがせっかく最新の自動更新を実行していても、十二分に活用できないためだ。
- WSUSサーバの「%SystemRoot%\inf」フォルダから「wuau.adm」ポリシー・テンプレート・ファイルを取り出して、ドメイン・コントローラの「%SystemRoot%\inf」フォルダにコピーする。
- [スタート]−[ファイル名を指定して実行]で「Gpedit.msc」コマンドを実行してGPOエディタを開き、[コンピュータの構成]−[管理用テンプレート]を右クリックする。
- [テンプレートの追加と削除]を実行して、読み込み済みの古い[wuau]ポリシー・テンプレートを削除する(以下の画面)。
古い[wuau]ポリシー・テンプレート・ファイルをいったん削除する
GPOエディタで[コンピュータの構成]−[管理用テンプレート]の[テンプレートの追加と削除]を実行すると、この画面が表示される。
(1)リストから古い[wuau]ポリシー・テンプレート・ファイルを選択する。
(2)[削除]ボタンをクリックして、ポリシー・テンプレート・ファイルを削除する。
4. GPOエディタを再起動して、[コンピュータの構成]−[管理用テンプレート]の[テンプレートの追加と削除]を実行する。
5. [追加]ボタンをクリックして、1.で保存した最新のポリシー・テンプレート・ファイル「%SystemRoot%\inf\wuau.adm」を読み込む。
管理用PCへのWSUS管理コンソールのインストール
WSUSサーバには自動的にWSUS管理コンソールもインストールされるが、別途用意した管理用PCからWSUSサーバをリモート管理したい場合は、まず次の手順でWSUS管理コンソールをインストールしよう。
- .NET Framework 2.0、MMC 3.0、Report Viewer 2005を順にインストールする。Windows Vistaでは、.NET Framework 2.0とMMC 3.0のインストールは不要だ。また、SP2を適用済みのWindows Server 2003では、MMC 3.0をインストールする必要はない。
- 管理用PCのWindows OSのアーキテクチャに応じて、「WSUS3Setupx86.exe」(32bit版)または「WSUS3Setupx64.exe」(64bit版)を実行する。
- [インストール モードの選択]画面で、[管理コンソールのみ]オプションを選択する(以下の画面)。これ以降のウィザード画面では入力や選択はないので[次へ]ボタンをどんどんクリックして完了しよう。
[インストール モードの選択]画面で、[管理コンソールのみ]オプションを選択する
設定が必要なのはこの画面だけなので、あとは[次へ]ボタンをクリックしてウィザードを完了させればよい。
(1)管理用PCでWSUSのインストーラを実行して、[管理コンソールのみ]オプションを選択する。
これでWSUS管理コンソールはインストールされたので、次にWSUS管理コンソールから管理対象のWSUSサーバへ接続する。その際、WSUSサーバの管理者権限を持たないユーザー・アカウントを利用する場合は、あらかじめWSUSサーバの[WSUS Administrators]グループにそのユーザー・アカウントを加えておこう。
- WSUSサーバの管理者かあるいは[WSUS Administrators]グループに登録されているユーザー・アカウントで管理用PCにログオンして、[管理ツール]−[Microsoft Windows Server Update Services 3.0]を開く。
- 左ペインで[Update Services]を右クリックして、[サーバーに接続]を実行する(以下の画面)。
[サーバーに接続]を実行する
WSUS管理コンソールを起動したら、管理したいWSUSサーバへ接続する必要がある。
(1)左ペインの[Update Services]を右クリックして、[サーバーに接続]を実行する。
3. WSUSサーバのコンピュータ名とポート番号を入力して、WSUSサーバに接続する(以下の画面)。ここで[この WSUS サーバーにアクセスするために必要なアクセス許可がありません]というエラーメッセージが表示される場合は、WSUSサーバで[WSUS Administrators]グループのメンバシップをチェックしよう。
後編では、WSUS管理コンソールの基本的な操作やWSUS 2.0からWSUS 3.0へのアップグレード手順について解説する予定だ。
Copyright© Digital Advantage Corp. All Rights Reserved.