Windows Updateのグループポリシーをスムーズに動作させる方法
グループポリシーを使ったWindows Updateの管理は、慣れていないと面倒な作業になることがあります。アップデートが期待通りに配信されなかったり、クライアントがWSUSサーバーからオフラインのままになったりすることがあります。このガイドでは、サーバーとワークステーション向けのポリシー設定の基本を、実際のトラブルから得た実践的なヒントとともに解説します。基本的には、サーバーがバックグラウンドで静かにパッチを取得し、ユーザーのPCがコアタイム中に煩わされることなく最新の状態を維持できるようにしたいものです。これらの設定を少し調整すれば、集中管理された更新フローが実現します。まるでパッチの交通整理をするようなものです。
🎯 WSUS クライアントの Windows Update GPO 設定を構成する方法
まずWSUSが正しく設定されていることを確認してください
ネットワーク上にローカルのWSUSサーバーをインストールしたら、次のステップは、ドメインコンピュータにMicrosoftのサーバーではなくWSUSサーバーから更新プログラムを取得するように指示することです。ここでグループポリシーが役立ちます。サーバー上でWSUS管理コンソール(`wsus.msc`)を開き、 「Computers」の下に2つの配信グループを作成します。1つはワークステーション用、もう1つはサーバー用です。これにより、パッチを整理しやすくなります。
次に、WSUSコンソールで「オプション」に移動し、 「コンピューター」で「グループポリシーまたはコンピューターのレジストリ設定を使用する」を設定します。なぜでしょうか?これは、クライアントがレジストリ経由でグループ情報を取得するためです。この情報はGPOで設定します。クライアントグループに基づいて更新プログラムが自動的に割り当てられるようにすることで、後で手動で調整する手間を大幅に省くことができます。
サーバーとワークステーションのポリシーの作成
gpmc.msc(グループポリシー管理コンソール)で、2つの新しいGPO(ServerWSUSPolicyと )を作成しますWorkstationWSUSPolicy。まずはサーバーポリシーに注目しましょう。サーバーは再起動と自動インストールに対してより慎重になる必要があるためです。このGPOで、「コンピューターの構成」>「ポリシー」>「管理用テンプレート」>「Windowsコンポーネント」>「Windows Update」に移動します。
私と同じように、サーバーはデフォルトでアップデートをダウンロードする傾向がありますが、自動的に再起動する可能性があることに気付くでしょう。本番環境に支障をきたさないように、この設定を調整する必要があるでしょう。以下のポリシーを設定してください。
- 自動更新を構成する:
Enabled— を選択します3 – Auto download and notify for install。この方法では、更新はサイレントにダウンロードされますが、準備ができるまでインストールされないため、ユーザーが制御できます。 - イントラネットのMicrosoft更新サービスの場所を指定:
Enabled— WSUSサーバーのURLを入力します(例: )http://hq-wsus.woshub.com:8530。これにより、クライアントは更新プログラムを検索する場所を明示的に知ることができます。 - ログオン中のユーザーによる自動再起動を禁止:
Enabled— サーバーの予期せぬ再起動を防ぎます。特に本番環境のサーバーでは、この機能が必須です。 - クライアント側のターゲティングを有効にする:
Enabled—を に 設定します。すると、WSUS でサーバーが自動的にそのラベルの下にグループ化されます。Target group nameServers
ワークステーションのGPOにも同様の原則が適用されますが、よりユーザーフレンドリーな設定が必要です。以下の点を考慮してください。
- 自動更新の即時インストールを許可する:
Disabledこれにより、更新が即時にインストールされることがなくなり、ユーザーに休憩を与えることができます。 - 管理者以外のユーザーが更新通知を受信できるようにする:
Enabledユーザーに更新について通知し、予期せぬ事態を回避します。 - 自動更新を構成する:
Enabled—4 — Auto download and schedule the installとScheduled install day: 0 (every day)を設定しますtime: 05:00 AM。ユーザーが寝ている間にパッチが適用されるように、早めに設定します。 - クライアント側のターゲティングを有効にする:
Workstationsこれにより、適切なグループに自動的に分類されます。 - アクティブ時間中の自動再起動なし:
Enabled日中に作業が中断されないように時間を定義します。 - クライアントに WSUS ソースを強制的に認識させます。レジストリに正しい URL を設定し、クライアントが正常に動作するように指定します
Use WUServer。1
ああ、両方のGPOでWindows Updateサービス(wuauserv)が自動的に開始されるように設定してください。そうしないと、これまでの努力がすべて無駄になってしまいます。
GPOを強制的に適用し、状況を確認する
これらのポリシーを次回の更新まで待たずにすぐに有効にしたい場合は、gpupdate /forceクライアントマシンで実行してください。この簡単なコマンドは、ポリシーを強制的に更新します。ポリシー設定がレジストリに隠れていないかどうかを確認するには(Windowsはレジストリに情報を隠すことが多いため)、HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdateを確認してください。
クライアントからのレポートやWSUSダッシュボードへの表示に時間がかかる場合があります。待ちきれない場合やトラブルシューティングが必要な場合は、以下のコマンドを実行してください。
wuauclt /detectnow /reportnow— クライアントに今すぐアップデートの確認を強制するwuauclt /resetauthorization /detectnow— WSUSに再登録させる
理由は定かではありませんが、一部の設定では最初の検出が失敗する場合があります。これらのコマンドを再実行すると、多くの場合、問題が解決します。
オプションで、インターネットから更新を受信するためにクライアントを切り替える方法
社内にWSUSサーバーがない場合でも、GPO経由で更新を管理することは可能ですが、クライアントにMicrosoftから直接パッチを取得するように指示する必要があります。そのためには、「イントラネットのMicrosoft更新サービスの場所を指定する」を「未構成」に設定してください。 「対象グループ」も同様です。こうすることで、コンピューターがWindows Updateサーバーに自らアクセスするようになります。ただし、WSUSを使用しない場合、展開プロセスをある程度制御できなくなることに注意してください。これは、小規模な環境であれば問題ないかもしれません。
まとめ
WSUSとグループポリシーを正しく設定するには多少の手間がかかりますが、一度調整してしまえば、パッチ管理はそれほど面倒ではなくなります。更新ログを常に確認し、クライアントがパッチを受け取る前にWSUSサーバーでパッチを承認することを忘れないでください。更新が表示されない場合は、GPOリンクとWMIフィルターを再確認してください。場合によっては、再起動やポリシーの更新だけで問題が解決することもあります。
まとめ
- 適切なポリシーを使用して、サーバーとワークステーションに個別の GPO を設定します。
- クライアントが適切な WSUS サーバーをターゲットにしていることを確認するか、WSUS が存在しない場合はインターネット更新を有効にします。
- 変更を加えた後、ポリシーの更新を強制します
gpupdate /force。 - 更新が期待どおりに適用されない場合は、レジストリ キーを確認してください。
- クライアントが更新プログラムを確認する前に、WSUS での承認が重要であることに注意してください。
これが役に立つことを祈る
正直なところ、WSUSポリシーの管理は面倒な作業になることがあります。特に、更新プログラムが届かなかったり、クライアントが停止したりする場合はなおさらです。しかし、一度整理してしまえば、パッチ管理は劇的に変わります。ログを常に監視し、必要に応じて強制的に更新プログラムやポリシーの更新を実行してください。頑張ってください!