読者です 読者をやめる 読者になる 読者になる

なんでもシステム管理者(IT大好き?)

なんでもシステム管理者(日本酒大好き)が実質的日本酒のブログになったのでIT関連を分離しました。

WSUS移行で苦戦しました

<(日本酒大好き)>からの転載です。元の日付は2013-02-09です。

------------------------------------------------------------------------------------------------------------

※2017/1/24追記

 下記の作業から数年が経ち、新たにWSUSを3.0SP2からWSUS2016へ移行する必要性がありました。今回の移行もなかなか難しくて苦労しましたが、その記録を下記の記事にしましたので、良かったら見てください。

「WSUS3.0SP2からWSUS2016への移行」

 

 

珍しく、連続でシス管ネタです。

というか、単に自分の備忘録なんですが・・・・

パソコンでWindowsを使用されて いる方は多いかと思いますが、まぁどのOSでもセキュリティに穴があって、それを塞ぐための修正プログラムが開発元から提供されます。Windowsでは WindowsUpdateという形でほぼ毎月修正プログラムが提供されています。残念ながらインターネット上には悪意を持ったユーザ、プログラムが蔓延 しているためアンチウィルスプログラムの使用と共にWindowsUpdateを行う必要があります。

個人で使用しているパソコンであれば 不通にWindowsUpdateをすれば、いいのですが、会社に100台のパソコンがあるとして、もしその100台が一斉にWindowsUpdate を行うとどうなるでしょうか?その会社のインターネットアクセスは、WindowsUpdateだけで帯域を占領してしまい、他のサイトへのアクセスがま ともにできなくなるでしょう。
また、ダウンロードされる側のWindowsUpdateのサーバにしても世界中のパソコンから一斉にアクセスされたら、まともに動かなくなるでしょう。

そこで、Windows Server Update Services (WSUS)という物があります。簡単に言うと、会社の中にWindowsUpdateの中継サーバを設置し、社内のサーバはMicrosoftのサーバではなく、社内に設置されているWSUSサーバにアクセスするという物です。

私がシス管を務める会社でもWSUSを運用しているのですが、そのサーバ機が少々古いこともあり、微妙に調子が悪かったんです。そこで、サーバ移行の準備をしていたんですが、悲しいことに移行が完了する前に現行のWSUSが動かなくなってしまいました(T_T)

すぐさま、業務に影響するわけではありませんが、放置しておくとセキュリティが不安です。

現行サーバが稼働状態であれば、「WSUS3.0 SP2をデータベースごと移行する方法について」の 方法を取れるのですが、こうなったら新規に立てるしかありません。前回のLinuxサーバ同様、Hyper-V仮想マシンをインストールして、そこに WSUS3.0 SP2をインストール、Microsoftのサーバと同期を行い修正プログラムをダウンロードをしました。このダウンロードには時間がかるので、その日は 「WSUS君、ダウンロードよろしく!」とお願いして帰りました。

そして、月曜日の朝、同期が完了していることを確認。で、次にやることは 会社のパソコンがWindowsUpdateする際に新しいWSUSにアクセスするようにすることです。会社のパソコンはドメインで管理していますのでド メインのグループポリシーの設定を変更することになります。

ドメインコントローラ上でスタートボタンをクリックして、「プログラムとファイルの検索」欄にmmcと入力しエンターキーを押します。すると「コンソール1[コンソール ルート]というウィンドウが開きます。
次 に[ファイル]→[スナップインの追加と削除]をクリック、開いた「スナップインの追加と削除」で「利用できるスナップイン」から「グループポリシー管理 エディタ」を選択し、「追加」をクリックします。するとグループポリシーウィザードが開始されますので、「参照」をクリックします。ここで「WSUS」を 選択し「OK」をクリック。「完了」をクリック。「OK」をクリックして「スナップインの追加と削除を閉じます。

すると、コンソールルートの直下にWSUS[XXXXXX]ポリシーがあるかと思います。

[コンピュータの構成]→[ポリシー]→[管理用テンプレート]→[Windowsコンポーネント]→[Windows Update]まで進むと、コンソール1の真ん中のウィンドウにWSUSに関する設定項目が表示されます。

そ の中の「イントラネットMicrosoft更新サービスの場所を指定する」をダブルクリックすると設定用のウィンドウが開きます。左上に未構成、有効、 無効の選択肢が有効になっていることを確認して、オプションの「更新を検出するためのイントラネットの更新サービスを設定する」と「イントラネット統計 サーバーの設定」を新規にWSUSをインストールしたサーバー名もしくはそのIPアドレスを設定し、「OK」をクリックします。「コンソール1」を閉じま す。

これで、各クライアントPCは新しいWSUSサーバにアクセスするはず・・・・ですが、自分のPCでWindowsUpdateをするとつながらない!!!

ここで、考えたのはクライアントPCが以前のWSUSサーバへアクセスしようとして失敗しているのか、新しいWSUSサーバが動いていないのか、あるいは、その両方か?

そこで、原因を切り分けるためにWSUSへの通信をキャプチャして確認することにしました。ここで使用したのはネットワーク屋さんなら、皆さんご存知のWireshark、昔はEtherealという名前で、その頃からフリーウェアでありがたく使わせていただいてます。これまでも、ネットワークがらみで問題が発生した時に、Wiresharkでパケットを解析することにより解決の糸口を見出してきました。

ま ずは、オプションでキャプチャするパケットを旧WSUS宛のみに限定してWindowsUpdateを開始すると、パケットはない。次に新WSUSのみに 限定してWindowsUpdateを行うと、おおっ!パケットがちゃんとあり、PCからは新WSUSにアクセスしている。

ということは問題はWSUSサーバ側ということ。サーバのイベントビューアを確認すると、WSUSのサービスが一旦起動するも、その後Failureとなり、落ちている。

問題はWSUSのプログラム自体のようなので、修正プログラムを探すと、・・・ありました!

x64ベースシステム用WindowsServer Update Services 3.0 SP2の更新プログラム(KB2734608)

Windows Updateを行うためのプログラムがアップデートしないと動かないなんて、なんとも皮肉な感じです。たのんますよ、マイクロソフトさん!

で、この更新プログラムをインストールするとWSUSは正常起動し、PCからのWindowsUpdateも無事接続できるようになりました。

ふうっ~、疲れた。

 

2017/1/24追記

 上記の作業から数年が経ち、新たにWSUSを3.0SP2からWSUS2016へ移行する必要性がありました。今回の移行もなかなか難しくて苦労しましたが、その記録を下記の記事にしましたので、良かったら見てください。