WSUSサーバーのセットアップは、特にネットワークと連携させようとすると、少々面倒な作業になることがあります。同期がうまくいかなかったり、クライアントに更新プログラムが適切に配布されなかったりすることもあります。そんな時こそ、インストールと構成の詳細を知っておくことが役立ちます。このガイドでは、Windows ServerへのWSUSのインストール、環境に合わせた構成、そしてパフォーマンス向上のための設定の調整方法について解説します。最初は少し面倒かもしれませんが、一度セットアップしてしまえば、手間をかけずにコンピューターにパッチを適用できる堅牢な更新管理システムが完成します。再起動や微調整を数回繰り返し、すぐに同期しない場合には少し慌てることもあるでしょうが、この記事が少しでも不安を軽減してくれることを願っています。
一般的な WSUS セットアップとパフォーマンスの問題を解決する方法
Windows Server 2016/2019/2022 または 2012 R2 に WSUS ロールをインストールする方法
Windows Server 2008以降、WSUSはサーバーマネージャーまたはPowerShellからインストールできる独立した役割です。通常は、Windows Server 2022などの最新バージョンにインストールするのが最善策です。特に、最新の機能とセキュリティアップデートがすべてサポートされているためです。IISがインストールされていないサーバーや、競合する他の役割があるサーバーでWSUSをインストールしようとすると、問題が発生する場合があります。そのため、クリーンインストールを行うか、少なくとも前提条件を確認してください。
サーバーマネージャーを開き、「役割と機能の追加」を選択します。「Windows Server Update Services」を選択してください。ウィザードは必要なIISコンポーネントを自動的に選択します(Windowsは必要以上に複雑にするため、この設定は自動的に行われます)。そして、必要なWSUSサービスを選択します。「WSUSサービス」に必ずチェックを入れてください。データベースは重要なので、バックエンドのオプションも選択できます。
データベースについては以下を選択できます。
- Windows Internal Database (WID) — 小型の組み込みオプションです。SQL Server を扱いたくない場合に最適です。最大 524 GB までサポートされるため、ほとんどの小規模から中規模の環境には十分です。
- SQL Server — よりスケーラブルですが、ライセンスが必要で専用サーバーが必要です。SQL Server Expressは無料ですが、最大10GBまでしか利用できないので注意が必要です。
無料または懐かしい環境でこれを行う場合は、WIDのインストールは簡単です。PowerShell経由でもインストールできます。
Install-WindowsFeature -Name UpdateServices, UpdateServices-WidDB, UpdateServices-Services, UpdateServices-RSAT, UpdateServices-API, UpdateServices-UI -IncludeManagementToolsPowerShellで管理者権限で実行するだけで、準備完了です。SQLサーバーが別のマシンにある場合は、適切なネットワーク権限が必要です。また、そのデータベースはドメインコントローラーではないことに注意してください。Windowsは当然ながら、必要以上に難しく設定する必要があるためです。
WSUSの初期構成 – 最初の手順
インストールが完了したら、展開後の構成を実行する必要があります。これはWSUSのオンボーディングに似ています。「サーバーマネージャー」 > 「展開後の構成」に進み、ウィザードを起動してください。必要に応じて、WsusUtil.exe を使って手動で設定することもできます。
たとえば、更新プログラムの保存場所を変更するには、次のコマンドを実行します。
WsusUtil.exe PostInstall CONTENT_DIR=D:\WSUSまたは、データベースを外部の SQL サーバーに切り替える場合は、次のコマンドを実行します。
WsusUtil.exe postinstall SQL_INSTANCE_NAME="YOURSQLSERVER\WSUSDB" CONTENT_DIR=D:\WSUS_Content次に、WSUSコンソール(通常はhttp://localhostまたはショートカットwsus.msc)を開き、ウィザードに従います。同期元、製品言語、更新プログラムを適用する製品を設定します。Windows 7は使用していない場合は選択しないでください。データベースが乱雑になってしまうだけです。環境にとって重要なものだけを選択してください。
セットアップ中に、重要な更新プログラム、セキュリティ更新プログラム、サービス パックなどの必要な更新プログラムの分類を指定します。注意が必要です。選択する項目が多すぎると、特に多数の Microsoft 製品を同期している場合は、データベースが巨大化する可能性があります。
一つ注意すべき点は同期スケジュールです。ベストプラクティスとしては、夜間に実行するように設定し、勤務時間中に帯域幅を消費しないようにします。多くの製品を選択した場合、最初の同期には数日かかることがあります。ここでは忍耐が大切です。
Windows 10/11にWSUS管理コンソールをインストールする方法
管理コンソールはwsus.msc、更新プログラムの承認、グループの作成、レポートの確認に使用します。Windows 10 または 11 では、リモート サーバー管理ツール (RSAT) が必要です。WSUS ツールをインストールするには、次の PowerShell コマンドを実行します。
Add-WindowsCapability -Online -Name Rsat. WSUS. Tools~~~~0.0.1.0Windows Server で直接作業している場合は、次のコマンドでコンソールをインストールできます。
Install-WindowsFeature -Name UpdateServices-Uiインストールされると、レポートを管理および表示できるユーザーを制御するためのWSUS 管理者やWSUS レポーターなどの新しいグループが表示されます。
ローカルレポートを機能させるには、 Microsoft Report Viewerなどの追加コンポーネントのインストールが必要になる場合があります。インストールされていない場合、レポートを生成しようとしたときにエラーが表示されます。
WSUS をスムーズに実行し続ける方法 – パフォーマンスのヒント
WSUSは、クライアント数が多い場合(1500台以上)、またはハードウェアの性能が十分でない場合、動作が遅くなる可能性があります。いくつかの調整で改善される場合もありますが、基本的な考え方は、サーバーに十分なRAM(少なくとも4GB)とCPUパワー(2コア)を割り当て、IISが処理能力不足にならないようにすることです。
0x80244022などのエラーやコンソールのクラッシュに気付いた場合は、IIS アプリケーション プールの調整を検討してください。
Import-Module WebAdministration Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name queueLength -Value 2500 Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name cpu.resetInterval -Value "00.15:00" Set-ItemProperty -Path IIS:\AppPools\WsusPool -Name recycling.periodicRestart.privateMemory -Value 0 これらのコマンドは、IIS キューの長さとリセット間隔を長くすることで、過負荷を軽減します。さらに、パフォーマンスを向上させるには、WSUS コンテンツフォルダ(\WSUS\WSUSContent、%windir%\wid\data、\SoftwareDistribution\Download)をウイルス対策スキャンから除外してください。そうしないと、サーバーが数千ものファイルをスキャンしようとして処理能力を失ってしまいます。
また、Microsoft Defender の更新プログラムの自動承認を有効にすると、WSUS がバックグラウンドスキャンで処理を停滞させるのを防ぐことができます。プロキシを使用している場合は、セットアップ時またはWSUS コンソールの「構成」セクションでプロキシ設定を指定することを忘れないでください。
WSUSサーバーの運用には多少の手間がかかりますが、一度設定してしまえば、ネットワーク全体の更新管理の負担は大幅に軽減されます。ディスク容量、データベースのサイズ、サーバーの健全性に注意するだけで、スムーズに動作するはずです。