人に聞けない痔の悩み、これでスッキリ >>

教えてください。

WSUS2.0からWSUS3.0SP1にアップグレードしました。

新しいコンソール画面なのでまだ理解できていないことがいくつかあります。

教えていただけますでしょうか。

(1)管理画面の左側にあるツリーのメニューですべてのコンピュータを選択した状態にすると、

 画面中央にアップデート対象のコンピュータ一覧が表示されます。

 その下に各コンピュータそれぞれのアップデート状況が表示されています。

 "必要な更新プログラム"をクリックすると、それぞれのコンピュータレポートの画面が表示されます。

 2ページ目を見ると未承認のプログラムの一覧が表示されます。

 この未承認というのはWSUSのサーバ側で何か設定をしているのでしょうか?

 各コンピュータで承認をしない種類のプログラムの情報をWSUS上で設定しているのでしょうか?

 それともそれぞれの各コンピュータの側で、承認しないものをあらかじめ設定していて、
 
 拒否しているというステータスを意味しているのでしょうか?

 でも未承認ということは拒否ではない為、保留しているということなのでしょうか。

 それを手動で承認というようにすれば適用開始されるのでしょうか?
 
(2)WindowsUpdateする各クライアントは何らかの通知を待って、WSUSに取りに行ってダウンロードするという動きをするのでしょうか?

 それとも一方的にWSUSサーバ側から各コンピュータ側にダウンロード開始させているという動きなのでしょうか


いずれもWSUSの基本的な仕組みの質問で申し訳ありません。

教えてください。

宜しくお願い致します。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

WSUSは更新プログラムの適用を管理するソフトウェアと言って良いと思います。


そのため、更新プログラムは承認することによってはじめてコンピュータに適用される仕組みになっています。

未承認とは、
クライアント側は必要な更新プログラムだと認識しているが、管理者が承認していない状態ということになります。

ではクライアントが必要な更新プログラムをどのように認識しているかですが、クライアントが定期的(デフォルトで22時間+α)にWSUSサーバに接続して状態通知を行うことによって認識するようになっています。

個別のどの更新プログラムが必要かについてはOSのバージョンやOfficeなどのMSアプリケーションのインストール状態、IEのバージョンなど情報から判断しています。
これはMSのWindows Updateサイトに接続して必要な更新が自動的に判断されるのと同じです。

拒否とは、
その更新プログラムを適用しないと宣言(設定)したものです。
従って未承認とは違います。

>でも未承認ということは拒否ではない為、保留しているということなのでしょうか。
> それを手動で承認というようにすれば適用開始されるのでしょうか?

この記述が近いですね。
基本的に未承認の状態を続けることは運用上あまりありません。
適用するものは承認、適用しないものは拒否するのが一般的だと思います。


>(2)WindowsUpdateする各クライアントは何らかの通知を待って、WSUSに取りに行ってダウンロードするという動きをするのでしょうか?

これは上で説明した通りです。
Windows OSならば必ずこの仕組みになっています。
WSUSを元々導入されていたようですので、グループポリシーは設定していると思いますがWSUSサーバへの接続周期もグループポリシーで変更することが出来ます。

> それとも一方的にWSUSサーバ側から各コンピュータ側にダウンロード開始させているという動きなのでしょうか

WSUSに置いてはこの方向へのトリガはありません。
    • good
    • 1
この回答へのお礼

ありがとうございました。理解しました。

お礼日時:2012/08/16 09:47

先ずWSUSというのはMS updateを一元管理するためのサーバーです。


つまりWSUSが親分になり MSサイトに定期的にupdateを確認しに行き、updateがあった場合にはそれらをダウンロードして溜め込み、クライアントコンピュータからWSUSに対してアクセスがあった場合にそれをクライアントに配布して、レポートを残します。

まず1点目
WSUSというのはMS updateの親分です。つまり、基本的に親分が子分に対して承認、未承認を決める必要があります。ですので、デフォルトの設定ではWSUSはupdateのファイルを取ってくるだけです。
WSUS管理者が手動で承認を決めてはじめて配布→適用となります。

ちなみにupdateのファイルもMS全製品にしていると、半端ない数のupdateが表示されるので基本的には自社で使っているアプリケーションを絞って設定します。
※左ペイン→オプション→製品とクラス


またWSUS管理者が一々、承認をしないとupdateされないのでは緊急のセキュリティホールに対応出来ない場合もありますので、自動承認の設定をかけれます。
※左ペイン→オプション→自動承認
この設定をすることによりグループ単位での更新設定や、例えばサービスパックなどの適用は承認が必要だけど重要な更新や、セキュリティ修正プログラムは自動的に承認する・・・
というような設定ができます。

2点目

前者ですね。
基本的にWSUSではない環境のクライアントPCと同じです。

WSUSを適用させるためにはグループポリシーにてMSupdateを全てWSUSへ矛先を向けるように設定します。ですので、通常のクライアントコンピュータはそのグループポリシーに従い、アイドル時間やシステム稼働中の一定間隔でwsusへアップデート情報を取得しにいきます。

ちなみにグループポリシーでupdateをwsusに利用するように設定されているクライアントコンピュータはms updateのサイトからは一切updateは出来ません。※アクセスするとWSUSで管理されているため出来ないと言われます。

これがWSUSの一元管理です。
    • good
    • 0
この回答へのお礼

分かりやすいご説明ありがとうございました。

お礼日時:2012/08/16 09:42

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QWSUSの動作後のクライアント側の確認について

WSUSの動作後のクライアント側の確認について

はじめまして。最近、自社でWSUSを使うことになり現在調査中です。
インストール、設定、クライアントの認識、動作を終え動作確認の段階ですが
クライアントマシンのC\WindowsにWindowsUpdateというログを確認したところ

SuccessSoftware Synchronization
Windows Update Client successfully detected 0 updates.
AutomaticUpdatesSuccessPre-Deployment CheckReporting client status.
ReportUploading 2 events using cached cookie,
reporting URL = http://testSRV/ReportingWebService/ReportingWebService.asmx
Reporter successfully uploaded 2 events.

とありました。
しかし、その後クライアントマシンを再起動しても、
更新する準備が整いましたと出てしまうので動作が正常に行われているか不安です。

実際にクライアント側に更新プログラムが反映されているかを確認するには
どうすれば良いでしょうか。ログだけで判断していいものか不安でして
また、皆様は動作確認はどのような手順で行ってますか。
(追伸・WSUS側のコンソールでは99%になっています。
ポリシーの設定がたりないのか、
セキュリティ関係の更新がすべてはじかれているようですが)

よろしければ、参考までで良いので、教えてください。

WSUSの動作後のクライアント側の確認について

はじめまして。最近、自社でWSUSを使うことになり現在調査中です。
インストール、設定、クライアントの認識、動作を終え動作確認の段階ですが
クライアントマシンのC\WindowsにWindowsUpdateというログを確認したところ

SuccessSoftware Synchronization
Windows Update Client successfully detected 0 updates.
AutomaticUpdatesSuccessPre-Deployment CheckReporting client status.
ReportUploading 2 events using cached cookie,
reporting URL = http://tes...続きを読む

Aベストアンサー

WSUSのレポート画面で、更新プログラムの適用状況をある程度トレースできます。
インストールされているのかいないのか、されたけどその後再起動していないのか。

その情報が信用できない、という状況であればPCの「アプリケーションの追加と削除」画面で更新プログラムが適用されているかどうかを確認すればよいと思います。

QWSUSサーバから特定のPCだけ承認インストール

WSUSについて教えてください。

WSUS3.0のコンソールを開くと
現在、コンピュータ⇒すべてのコンピュータ⇒割り当てあられていないコンピュータに、
全てのアップデート対象となるコンピュータが表示されている状態です。

その中で特定のコンピュータのみ"必要な更新プログラム"が当っていなく
その残っているプログラムを当てるようにしたいです。

そのコンピュータを右クリック→状態レポートをクリックすると
プログラム一覧が表示されます。
その中で「未承認」となっているところをクリックすると
"更新の承認"という別画面が表示され、コンピュータグループの列に
ツリー状にすべてのコンピュータ、その下に割り当てられていないコンピュータが表示され、
いずれかを右クリックすると"インストールの承認"をクリックするとインストールが始まるようなのですが、
特定のコンピュータだけでなく、その他のグループ内のコンピュータにもインストールが開始されるようなのですが
特定のコンピュータだけインストールできるようにできないでしょうか。

宜しくお願いします。

Aベストアンサー

普通にグループを作ってPCを分類して、その上で特定グループに対してのみ「インストール」すればよいです。
グループは複数作れますし、1台のPCを複数のグループに分類することもできたはず。

QWSUS構築について

WSUS構築について新規にハードを購入し
候補1)Windows2008 32bit
候補2)Windows2008 R2 64bit
で迷ってます。

OS導入費用だけでも8万ほど32bitのほうが安く
WSUS自体はCPU2GB/HD500GBほどあれば十分ということで
64bit機は必要ないかなと考えています。
当然64bitのほうがスペックはいいでしょうが、イニシャルコスト削減が目標です。

またWSUSを使ってUpdateをする端末は以下の種類があります。
Windows2008R2
Windows2008
Windows2003(32bit/64bit有)
Windows7(32bit/64bit有)
WindowsXP(32bit/64bit有)
全台数300台~400台

以上、どなたかアドバイスよろしくお願いします。

Aベストアンサー

>候補1)Windows2008 32bit
>候補2)Windows2008 R2 64bit

何でこんな比較になるのかわかりませんが…
パソコンにインストールするならまだしも、現行のハードウェアを新規導入するのであれば候補1はあり得ません。
導入費用はどこかから見積を受けたのでしょうか?

また、台数が300~400となると「CPU2GB/HD500GBほどあれば十分」ではないのでそれなりのスペックを用意する必要があります。(容量は200GBも要りませんが)

WSUSを使用するにはWSUS本体の他にSQL Serverを稼働させなければいけないため、その分も計算に入れてください。
また、複数のクライアントが同時にアップデート要求を行うこともありますのでネットワーク帯域を圧迫しないようにするのと、ディスクの転送速度を確保した方が良いでしょう。
ネットワーク設計によっては複数のWSUSを運用した方が効率的な場合もあります。

今から導入するのであれば、WS2012をおすすめします。

QDirコマンドでフォルダ内ファイルの合計サイズをだすには?(コマンドプロンプトにて)

いろいろ調べましたが不明な点があり、質問します。

WindowsのDOSプロンプトでdirコマンドを打つとフォルダ・ファイルの一覧が表示されますが、その中にファイルサイズが表示されています。
このサイズを合計できるコマンドはありませんか?
DIRコマンドのオプションを調べましたがそれらしいものが見当たりません。
具体的には
C:\xxx\配下に50個程度のファイルがあります。
その50個の合計サイズを知りたいです。
xxxフォルダの親フォルダにはアクセス不可です。

ずーっと悩んでいます。よろしくお願いします。

なお、OSはWindowsNTか2000で使用予定です。

Aベストアンサー

カレントドライブ、カレントフォルダを
C:\xxx\
にした状態で、

dir /s /a-d

/sパラメータででサブディレクトリすべてを検索
/a-dパラメータでディレクトリ以外のファイル(つまり属性に関係なくすべてのファイル

これを実行すると最後にファイルの個数とファイルサイズの合計を表示します。

もし、隠し属性のファイルは合計しないのであれば、

dir /s

だけで良いと思われます。

Q起動しているサービスを確認するコマンド

初歩的な質問で恐縮ですが、ご教示いただけますと幸いです。

起動しているサービスを確認するために以下の2つのコマンドを打ってみるのですが、結果(出て来るサービス名)が違います。
このコマンドの違いについてご教示いただけますでしょうか。

(1)service --status-all
(2)chkconfig --list

Aベストアンサー

(1)service --status-all

サービスの現在のステータスを調べるコマンド

(2)chkconfig --list

OSのブート時に自動起動するサービスを調べるコマンド

違いが出るのは、
・ブート後に手動あるいは他のコマンドから起動したサービス
・ブート後に手動あるいは他のコマンドから、あるいはエラーで停止したサービス
・ブート後に実行はされるがすぐに停止して常駐しないサービス (ntpdate とか)

あるいは、(1)ではサービス名が表示されない物もあるので、どのサービスがどんなステータス出力をするのか知っておく必要もありますね。(service network statusとか)

Qsysprep、WSUSのID重複可能性について

Sysprep、WSUSのID重複可能性についてお聞きしたいことがあります。

1.Sysprepでのid重複回避。
・共通の設定項目を設定をし、ドメインに参加させる前の準備まで行い、
 sysprep実行により、id重複がなくなる?

2.WSUS id重複回避
・WSUSのIDは、レジストリ:SusClientId 等を使用しており、
 WindowsUpdateサービスをとめて、sysprepでは削除できないためレジストリ情報を削除する。
 再起動後、WindowsUpdateサービスが、削除したレジストリの再作成を行う。

<疑問>
sysprepで作成したイメージを別の端末で展開したとき。
WSUSのレジストリを再作成するために再起動したとき。

「両方に考えられるのですが、SIDやWSUSIDが被ることはないのか?」
ということなのです。

sysprepをするにも、WSUSIDの削除を行う際にも
基本ローカル環境で実行し、マスターイメージを作成する。
と調べてわかりました。

ただ、SIDにしろWSUSIDにしろ、「ランダム生成」だと思うのです。
つまり、ローカルで別端末に展開をしていくと、いずれか端末でIDが被るのでは
ないかと考えております。
(ただ、ADに参加させても同じSIDで、クライアントイメージを展開してしまうため
ローカルイメージで作成するとどこかで見た覚えがあるのですが。)

<極端な考えですが>
a端末で、イメージ展開後SID:1001 WUSUID:2000
b端末で、イメージ展開後SID:1004 WUSUID:2000
c端末で、イメージ展開後SID:1001 WUSUID:3000

SIDが、a端末とc端末のSIDが重なり、
WSUSIDが、aとbで重複する といったことがあるのではないかと
考えております。

もしかして、ハードから生成し、IDが被ることはないとか
そのようなシステムになっているのでしょうか。

どなたか、良い情報を知っている方がいられましたら
宜しくお願いします。

Sysprep、WSUSのID重複可能性についてお聞きしたいことがあります。

1.Sysprepでのid重複回避。
・共通の設定項目を設定をし、ドメインに参加させる前の準備まで行い、
 sysprep実行により、id重複がなくなる?

2.WSUS id重複回避
・WSUSのIDは、レジストリ:SusClientId 等を使用しており、
 WindowsUpdateサービスをとめて、sysprepでは削除できないためレジストリ情報を削除する。
 再起動後、WindowsUpdateサービスが、削除したレジストリの再作成を行う。

<疑問>
sysprepで作成したイメージを別の端末...続きを読む

Aベストアンサー

おっしゃる通り、SIDの生成アルゴリズムは限りなくランダムに近いと思われますので、SIDの衝突事故は起こりえます。

ただし、WSUSにしろADのオブジェクトSIDにしろ30桁以上のランダム数値ですので、衝突事故が発生する可能性は「まあ0ではないですよ」というレベルで、ほとんど気にすることはないように思います。(というか、10年近くADに携わってますが、今まで出会ったことがありません。)

余談ですが、ADオブジェクトのSID衝突事故が起こった場合、ntdsutil.exeを使って修復できるのですが、このようなツールが用意されていることからも、あらかじめSIDの衝突は想定されている事象であると言えるのかもしれません。^^;

QWSUS クライアントへの適用方法

たびたび見かける方には失礼いたします。

WSUSでダウンロードした更新ファイルは、クライアントへエクスポート出来ないことがわかりました。
その後、WSUSの参考ページ等を確認したのですが、わからなかったのでまた質問させてください。

WSUSでダウンロードした更新ファイルはエクスポートできないので、バッチを作成するために更新ファイルを抽出できる方法をご存知の方がいらっしゃれば、ご指導いただければと思います。

よろしくお願いいたします。

Aベストアンサー

なぜ更新ファイルを抽出する必要があるのかよくわからないのですが、
更新ファイルを取得する方法としては、

1.マイクロソフトダウンロードセンターからダウンロードする
2.マイクロソフトアップデートカタログからダウンロードする
3.SP+メーカーを使用する

こんなところでしょうか。

1、2は必要な更新プログラムがなにかを自身で調べる必要があり運用がちょっと大変ですね。

3.はフリーソフトなのでユーザーさんに導入するのでちょっとハードルがあるため、試に使用したことぐらいしかありませんが、結構使えるような気がします。
「HotFix専用インストールCD」をインターネットに接続しているPCで作成して対象のPCに適用するという運用が出来そうです。

公式サイト
http://www.ak-office.jp/software/winsppm.html

FAQ
http://wikiwiki.jp/faqwinsppm/?SP%2B%A5%E1%A1%BC%A5%AB%A1%BC%20FAQ%2F2.%A4%E8%A4%AF%A4%A2%A4%EB%BC%C1%CC%E4%2F01.%B0%EC%C8%CC%BB%F6%B9%E0

コストが掛かってもよければ、インターネット接続できないPC用に別途WSUSサーバを導入というのが理想だと思います。

なぜ更新ファイルを抽出する必要があるのかよくわからないのですが、
更新ファイルを取得する方法としては、

1.マイクロソフトダウンロードセンターからダウンロードする
2.マイクロソフトアップデートカタログからダウンロードする
3.SP+メーカーを使用する

こんなところでしょうか。

1、2は必要な更新プログラムがなにかを自身で調べる必要があり運用がちょっと大変ですね。

3.はフリーソフトなのでユーザーさんに導入するのでちょっとハードルがあるため、試に使用したことぐらいしかありませんが、結構使...続きを読む

QWSUSサーバの移行について

リプレイスに伴い現行WSUSサーバを新しいサーバにします。
通常その際に、WSUSサーバのデータベースの移行は必要なのでしょうか?
それともクライアント側に情報が残っているのでWSUSサーバ側ではWSUSサーバの
インストール、設定をするだけで特にデータベースの移行は必要ないのでしょうか?

ご教授お願い致します。

Aベストアンサー

>通常その際に、WSUSサーバのデータベースの移行は必要なのでしょうか?

かならずしも必要ではありません。
再構築して、旧サーバと同じ設定に出来ればいいわけです。
同じ設定に出来れば、データベースもほぼ同じ内容のものが出来ることになります。
ただ、いろいろ設定をカスタマイズしていると同じ設定にするのも案外簡単ではなかったりしますが。

>それともクライアント側に情報が残っているのでWSUSサーバ側ではWSUSサーバの
>インストール、設定をするだけで特にデータベースの移行は必要ないのでしょうか?

概ねそういうことです。
クライアント側の設定をADのグループポリシーかローカルポリシーで設定しているかと思いますが、設定を見ればわかるようにサーバの指定を「http://サーバ名」のように指定しているので、ここで指定しているサーバがWSUSをサービスしていればクライアントは問題なく、あとはサーバ側の設定しだいということになります。

現行のWSUSと新サーバを平行に稼働することが出来ればレプリカを作成し同期したら独立させサーバ名を変更するほうが簡単かもしれません。

参考サイト
http://bbs.hotfix.jp/ShowPost.aspx?PostID=8099
http://www.atmarkit.co.jp/fwin2k/operation/wsusqa02/wsusqa02_02.html

>通常その際に、WSUSサーバのデータベースの移行は必要なのでしょうか?

かならずしも必要ではありません。
再構築して、旧サーバと同じ設定に出来ればいいわけです。
同じ設定に出来れば、データベースもほぼ同じ内容のものが出来ることになります。
ただ、いろいろ設定をカスタマイズしていると同じ設定にするのも案外簡単ではなかったりしますが。

>それともクライアント側に情報が残っているのでWSUSサーバ側ではWSUSサーバの
>インストール、設定をするだけで特にデータベースの移行は必要ないのでしょ...続きを読む

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

QWSUSでクライアントが認識されない

初歩的なところでつまずいております。どうかご教授ください。
WSUS: Windows 2000 Server SP4
クライアント: Windows XP Proffessional SP2
という構成で検証しています。

設定内容は、
WSUS:
・「クライアントがターゲットグループを構成する」
・"SUSC"という名前のグループをWSUSコンソールで作成

AD側:
・"SUSC"という名前のOUを作成し、ドメイン参加しているクライアントを
移動
・作成したOUにWSUS用のグループポリシーを適用
「更新を検出するためのイントラネットの更新サービスを設定する」で
"http://wsus1"と指定(WSUSサーバの名前)するなど・・・

クライアントのレジストリを見るとグループポリシーが適用できている
のは分かるのですが、WSUSコンソールに現れてくれません。。

間にファイアウォールなどはありません。
何かやり方がおかしいのでしょうか?ご存知の方よろしくお願いします。

初歩的なところでつまずいております。どうかご教授ください。
WSUS: Windows 2000 Server SP4
クライアント: Windows XP Proffessional SP2
という構成で検証しています。

設定内容は、
WSUS:
・「クライアントがターゲットグループを構成する」
・"SUSC"という名前のグループをWSUSコンソールで作成

AD側:
・"SUSC"という名前のOUを作成し、ドメイン参加しているクライアントを
移動
・作成したOUにWSUS用のグループポリシーを適用
「更新を検出するためのイントラネットの更新サ...続きを読む

Aベストアンサー

「クライアントがターゲットグループを構成する」
という部分がうまく動いていないんじゃないでしょうか?
サーバ側のターゲットを使用するオプションに変更してみて、コンソールに現れるか試してみたらどうですか。
コンピュータのオプションで、「Windows Server Update Servicesのコンピュータの移動タスクを使用する」に変更してみてください。


人気Q&Aランキング