Windows 2012R2 で WSUS4.0へWSUS3.0環境から移行してみたら落とし穴あった!

Microsoft Windows Server といえば、企業ユースのサーバー用OSです。
このOSの機能の一つで、企業内のWindows PCへのupdate配布をコントロールする機能があり、WSUS (Windows Server Update Services)といいます。
これは、企業内のすべてのWindows PCが勝手にインターネットのMicrsoftサイトに直接updateをもらいにいかず、社内の指定されたサーバーに問い合わせて、管理者が許可したupdateをそこから受け取り、自分の適用状況を報告するという管理者にはうれしい機能です。
このWSUSの機能が、Windows2008世代の WSUS3.0 から、Windows2012世代のWSUS4.0に昇格しています。
世の中的には従業員のPCのOSはWindows8.xが登場してもWindows7が主流であったためあまり意識していなかったこともあり、いまいちシステム更新に至っていませんでしたが、Windows10配備が見えてきた現在ちゃんと構築しておこうと思い立ちやっつけてみました。だがしかし、罠が待っていました(号泣)。

1.親WSUSサーバーと、子WSUSサーバー(ダウンストリームサーバー)を構築する際の落とし穴(WSUS4.0に限らず)
親SUSサーバーの「コンピューターグループ設定」は自動で継承されるが、「オプション」設定の内容は自動的に継承されない。
画面上ではWSUS管理コンソールにダウンストリームサーバーが構築後ぶら下がり始め、その後親コンソール上で作成したコンピューターグループが同期後に子に反映されるため、『お利口さんだなぁ』と油断すると「オプション」設定の内容は子に反映されず、個別設定になっていることに気づかないです。つまり、親サーバーでWSUS-P1

このような「コンピューター」(コンピューターをグループに割り当てる方法~)の設定もデフォルト(上)のままとなり、グループポリシー制御したい場合(いや企業だと必須でしょう)、困ったことになります。
現象としては、子サーバーコンソールで、「割り当てられないコンピュータ」グループにPCが入れ込まれ、親サーバーコンソールでは行方不明になることもあります。
 対策:管理コンソールの「オプション」設定は、親と子の両方を必ず設定しましょう。

2.<重要>グループポリシーで「イントラネットの更新サービスの場所を指定する」設定が変わってます!
 (その1)ポート番号が8530,8531に変更されてます!
WSUS-P2
WSUS3.0以前の設定では、WSUSサーバーとクライアントPC間の通信プロトコルが、デフォルトでは通常通信のポート80,443でしたが、WSUS4.0では突如8530,8531に変更されてます。これ結構びっくりしました。だって、いつまでたっても情報が管理コンソールに上がってこないんですよ。
http://blogs.technet.com ←詳しくのってます。香取さんありがとうございます。
ちなみに、https://technet.microsoft.com/ja-jp だとちょっと間違いが残ってるみたいなので、混乱しますから先の香取さんのBLOGを見てください。
要するに、
・Microsoft Siteと通信をする親サーバーは、80,443を基本ポートで動作するけれども、
・イントラネット(社内)の親サーバーと子サーバー間および、すべてのWSUSサーバーとクライアントPC間の通信は、80,443ではなく、8530,8531に強制デフォルト変更されているわけです。
対策:上記の画面のように、サーバー名の後ろにポート番号8530(または8531)を付記する。

ポートが変わっても、サーバーが自動的にクライアントに伝達し、勝手に設定されるとうっかり信じていたばかりに気が付くのに3日かかっちゃいました。あほですね。

(その2)イントラネット統計サーバーの設定を更新サービスのサーバーと同一にするべき。
「イントラネット統計サーバーの設定」を「更新サービスのサーバー」と同一にしておくと、レポートのトラフィックもWSUS間のみで制御されるため幸せになりますが、SIerによっては「親サーバー」に直接向けてしまう構築を仕込む人もいるようです。これはたぶん私と同じ罠にはまったなどの理由から、直接レポート形式を採用したと考えられますが、別の副作用も発生します。
それは、企業内でWEB Proxy Server運用を実装している場合、IEの設定を頼りにクライアントPCが適用結果データをhttp(s)で投げる際、proxy経由で投げることになり、結果Proxy Serverに負荷がかかるということです。これを確認するには、WSUS管理画面のコンピューターグループに入った中央ペインで、カラム「IPアドレス」を表示してみるとよくわかります。Proxyは優しく使う必要がありますから、注意しましょうね。
とりあえず、Windows Server 2012 R2で WSUS4.0を今まで通りで作ろうと思ってもうまくいかなかった思い出話として、記録しておきました。

2015/8/11 初版

広告