※<(日本酒大好き)>からの転載です。元の日付は2013-02-09です。
------------------------------------------------------------------------------------------------------------
※2017/1/24追記
下記の作業から数年が経ち、新たにWSUSを3.0SP2からWSUS2016へ移行する必要性がありました。今回の移行もなかなか難しくて苦労しましたが、その記録を下記の記事にしましたので、良かったら見てください。
珍しく、連続でシス管ネタです。
というか、単に自分の備忘録なんですが・・・・
パソコンでWindowsを使用されて いる方は多いかと思いますが、まぁどのOSでもセキュリティに穴があって、それを塞ぐための修正プログラムが開発元から提供されます。Windowsでは WindowsUpdateという形でほぼ毎月修正プログラムが提供されています。残念ながらインターネット上には悪意を持ったユーザ、プログラムが蔓延 しているためアンチウィルスプログラムの使用と共にWindowsUpdateを行う必要があります。
個人で使用しているパソコンであれば 不通にWindowsUpdateをすれば、いいのですが、会社に100台のパソコンがあるとして、もしその100台が一斉にWindowsUpdate を行うとどうなるでしょうか?その会社のインターネットアクセスは、WindowsUpdateだけで帯域を占領してしまい、他のサイトへのアクセスがま ともにできなくなるでしょう。
また、ダウンロードされる側のWindowsUpdateのサーバにしても世界中のパソコンから一斉にアクセスされたら、まともに動かなくなるでしょう。
そこで、Windows Server Update Services (WSUS)という物があります。簡単に言うと、会社の中にWindowsUpdateの中継サーバを設置し、社内のサーバはMicrosoftのサーバではなく、社内に設置されているWSUSサーバにアクセスするという物です。
私がシス管を務める会社でもWSUSを運用しているのですが、そのサーバ機が少々古いこともあり、微妙に調子が悪かったんです。そこで、サーバ移行の準備をしていたんですが、悲しいことに移行が完了する前に現行のWSUSが動かなくなってしまいました(T_T)
すぐさま、業務に影響するわけではありませんが、放置しておくとセキュリティが不安です。
現行サーバが稼働状態であれば、「WSUS3.0 SP2をデータベースごと移行する方法について」の 方法を取れるのですが、こうなったら新規に立てるしかありません。前回のLinuxサーバ同様、Hyper-Vで仮想マシンをインストールして、そこに WSUS3.0 SP2をインストール、Microsoftのサーバと同期を行い修正プログラムをダウンロードをしました。このダウンロードには時間がかるので、その日は 「WSUS君、ダウンロードよろしく!」とお願いして帰りました。
そして、月曜日の朝、同期が完了していることを確認。で、次にやることは 会社のパソコンがWindowsUpdateする際に新しいWSUSにアクセスするようにすることです。会社のパソコンはドメインで管理していますのでド メインのグループポリシーの設定を変更することになります。
ドメインコントローラ上でスタートボタンをクリックして、「プログラムとファイルの検索」欄にmmcと入力しエンターキーを押します。すると「コンソール1[コンソール ルート]というウィンドウが開きます。
次 に[ファイル]→[スナップインの追加と削除]をクリック、開いた「スナップインの追加と削除」で「利用できるスナップイン」から「グループポリシー管理 エディタ」を選択し、「追加」をクリックします。するとグループポリシーウィザードが開始されますので、「参照」をクリックします。ここで「WSUS」を 選択し「OK」をクリック。「完了」をクリック。「OK」をクリックして「スナップインの追加と削除を閉じます。
すると、コンソールルートの直下にWSUS[XXXXXX]ポリシーがあるかと思います。
[コンピュータの構成]→[ポリシー]→[管理用テンプレート]→[Windowsコンポーネント]→[Windows Update]まで進むと、コンソール1の真ん中のウィンドウにWSUSに関する設定項目が表示されます。
そ の中の「イントラネットのMicrosoft更新サービスの場所を指定する」をダブルクリックすると設定用のウィンドウが開きます。左上に未構成、有効、 無効の選択肢が有効になっていることを確認して、オプションの「更新を検出するためのイントラネットの更新サービスを設定する」と「イントラネット統計 サーバーの設定」を新規にWSUSをインストールしたサーバー名もしくはそのIPアドレスを設定し、「OK」をクリックします。「コンソール1」を閉じま す。
これで、各クライアントPCは新しいWSUSサーバにアクセスするはず・・・・ですが、自分のPCでWindowsUpdateをするとつながらない!!!
ここで、考えたのはクライアントPCが以前のWSUSサーバへアクセスしようとして失敗しているのか、新しいWSUSサーバが動いていないのか、あるいは、その両方か?
そこで、原因を切り分けるためにWSUSへの通信をキャプチャして確認することにしました。ここで使用したのはネットワーク屋さんなら、皆さんご存知のWireshark、昔はEtherealという名前で、その頃からフリーウェアでありがたく使わせていただいてます。これまでも、ネットワークがらみで問題が発生した時に、Wiresharkでパケットを解析することにより解決の糸口を見出してきました。
ま ずは、オプションでキャプチャするパケットを旧WSUS宛のみに限定してWindowsUpdateを開始すると、パケットはない。次に新WSUSのみに 限定してWindowsUpdateを行うと、おおっ!パケットがちゃんとあり、PCからは新WSUSにアクセスしている。
ということは問題はWSUSサーバ側ということ。サーバのイベントビューアを確認すると、WSUSのサービスが一旦起動するも、その後Failureとなり、落ちている。
問題はWSUSのプログラム自体のようなので、修正プログラムを探すと、・・・ありました!
x64ベースシステム用WindowsServer Update Services 3.0 SP2の更新プログラム(KB2734608)
Windows Updateを行うためのプログラムがアップデートしないと動かないなんて、なんとも皮肉な感じです。たのんますよ、マイクロソフトさん!
で、この更新プログラムをインストールするとWSUSは正常起動し、PCからのWindowsUpdateも無事接続できるようになりました。
ふうっ~、疲れた。
2017/1/24追記
上記の作業から数年が経ち、新たにWSUSを3.0SP2からWSUS2016へ移行する必要性がありました。今回の移行もなかなか難しくて苦労しましたが、その記録を下記の記事にしましたので、良かったら見てください。
「その1」から「その2」まであります(^_^;
良かったら、こちらもどうぞ!!