ソフトウェアの更新ポイントをインストールして構成する

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

重要

ソフトウェア更新ポイント サイト システムの役割 (SUP) をインストールする前に、サーバーが必要な依存関係を満たし、サイト上のソフトウェア更新ポイント インフラストラクチャを決定していることを確認する必要があります。 ソフトウェア更新プログラムを計画する方法と、ソフトウェアの更新ポイント インフラストラクチャを決定する方法の詳細については、「 ソフトウェア更新プログラムの計画」を参照してください。

ソフトウェア更新プログラムのコンプライアンス評価を有効にし、ソフトウェア更新プログラムをクライアントに展開するには、中央管理サイトとプライマリ サイトでソフトウェアの更新ポイントが必要です。 セカンダリ サイトでは、ソフトウェアの更新ポイントは省略可能です。 ソフトウェアの更新ポイント サイト システムの役割は、WSUS がインストールされているサーバーに作成する必要があります。 ソフトウェアの更新ポイントは WSUS サービスと対話して、ソフトウェア更新プログラムの設定を構成し、ソフトウェア更新プログラムのメタデータの同期を要求します。 Configuration Manager階層がある場合は、最初に中央管理サイト、次に子プライマリ サイト、および必要に応じてセカンダリ サイトにソフトウェアの更新ポイントをインストールして構成します。 中央管理サイトではなくスタンドアロン プライマリ サイトがある場合は、最初にプライマリ サイトにソフトウェアの更新ポイントをインストールして構成し、必要に応じてセカンダリ サイトにインストールして構成します。 一部の設定は、最上位サイトでソフトウェアの更新ポイントを構成する場合にのみ使用できます。 ソフトウェアの更新ポイントをインストールした場所に応じて、考慮する必要があるさまざまなオプションがあります。

重要

  • 1 つのサイトに複数のソフトウェア更新ポイントをインストールできます。 最初にインストールするソフトウェアの更新ポイントは同期ソースとして構成され、更新プログラムまたはアップストリーム同期ソースから更新プログラムMicrosoft同期されます。 サイト上の他のソフトウェア更新ポイントは、最初のソフトウェア更新ポイントのレプリカとして構成されます。 そのため、初期ソフトウェアの更新ポイントをインストールして構成した後は、一部の設定を使用できません。
  • スタンドアロン WSUS サーバーとして構成および使用されているサーバー、またはソフトウェア更新ポイントを使用して WSUS クライアントを直接管理するサーバーにソフトウェア更新ポイント サイト システムの役割をインストールすることはサポートされていません。 既存の WSUS サーバーは、アクティブなソフトウェア更新ポイントのアップストリーム同期ソースとしてのみサポートされます。 「アップストリーム データ ソースの場所からの同期」を参照してください

ソフトウェアの更新ポイント サイト システムの役割を既存のサイト システム サーバーに追加することも、新しいサイト システム サーバーを作成することもできます。 サイト システム サーバーの作成ウィザードまたはサイト システムの役割の追加ウィザードの [システムの役割の選択] ページで、サイト システムの役割を新しいサイト サーバーまたは既存のサイト サーバーに追加するかどうかに応じて、[ソフトウェアの更新ポイント] を選択し、ウィザードでソフトウェアの更新ポイントの設定を構成します。 設定は、使用するConfiguration Managerのバージョンによって異なります。 サイト システムの役割をインストールする方法の詳細については、「サイト システムの 役割をインストールする」を参照してください。

サイトのソフトウェア更新ポイントの設定については、次のセクションを参照してください。

プロキシ サーバーの設定

使用するConfiguration Managerのバージョンに応じて、サイト システム サーバーの作成ウィザードまたはサイト システムの役割の追加ウィザードのさまざまなページでプロキシ サーバーの設定を構成できます。

  • プロキシ サーバーを構成し、ソフトウェア更新プログラムにプロキシ サーバーを使用するタイミングを指定する必要があります。 以下の設定を構成します。

    • ウィザードの [ プロキシ ] ページまたは [サイト システムのプロパティ] の [ プロキシ ] タブでプロキシ サーバーの設定を構成します。 プロキシ サーバーの設定はサイト システム固有です。つまり、すべてのサイト システムの役割で、指定したプロキシ サーバー設定が使用されます。

    • Configuration Managerがソフトウェア更新プログラムを同期するとき、および自動展開規則を使用してコンテンツをダウンロードするときにプロキシ サーバーを使用するかどうかを指定します。 ウィザードの [ プロキシとアカウントの設定] ページ、または [ソフトウェアの更新ポイントのプロパティ] の [ プロキシとアカウントの設定] タブで、ソフトウェアの更新ポイント プロキシ サーバーの設定を構成します。

    • [ 自動展開規則を使用してコンテンツをダウンロードするときにプロキシを使用 する] 設定を使用できますが、セカンダリ サイトのソフトウェア更新ポイントには使用されません。 中央管理サイトとプライマリ サイトのソフトウェア更新ポイントのみが、Microsoft更新ページからコンテンツをダウンロードします。

    • 既定では、自動展開規則が作成されたサーバーの ローカル システム アカウントを使用して、インターネットに接続し、自動展開規則の実行時にソフトウェア更新プログラムをダウンロードします。 このアカウントがインターネットにアクセスできない場合、ソフトウェアの更新プログラムのダウンロードが失敗し、ruleengine.log に次のエントリが記録されます: インターネットから更新プログラムをダウンロードできませんでした。エラー = 12007。 ローカル システム アカウントにインターネット アクセス権がない場合にプロキシ サーバーに接続するように資格情報を構成します。

WSUS 設定

使用するConfiguration Managerのバージョンに応じて、サイト システム サーバーの作成ウィザードまたはサイト システムの役割の追加ウィザードのさまざまなページで WSUS 設定を構成する必要があります。場合によっては、ソフトウェア更新ポイントのプロパティ (ソフトウェア更新ポイント コンポーネントプロパティとも呼ばれます) でのみ構成する必要があります。 WSUS 設定を構成するには、次のセクションの情報を使用します。

重要

最適なセキュリティ プロトコルを確実に導入するには、TLS/SSL プロトコルを使用してソフトウェア更新プログラム インフラストラクチャを保護することを強くお勧めします。 2020 年 9 月の累積的な更新プログラム以降、HTTP ベースの WSUS サーバーは既定でセキュリティ保護されます。 HTTP ベースの WSUS に対して更新プログラムをスキャンするクライアントは、既定でユーザー プロキシを利用できなくなります。 セキュリティのトレードオフにもかかわらずユーザー プロキシが必要な場合は、これらの接続を許可するための新しいソフトウェア更新プログラムのクライアント設定を使用できます。 WSUS をスキャンするための変更の詳細については、「WSUS をスキャンする Windows デバイスのセキュリティを向上させるための 2020 年 9 月の変更」を参照してください。

WSUS ポートの設定

ウィザードの [ソフトウェア更新ポイント] ページまたは ソフトウェア更新ポイント のプロパティで WSUS ポート設定を構成する必要があります。 WSUS で使用されるポート設定を確認するには、次の手順に従います。

IIS で使用されるポート設定を決定する

  1. WSUS サーバーで、インターネット インフォメーション サービス (IIS) マネージャーを開きます。
  2. [サイト] を展開し、[WSUS 管理] サイトを選択し、[操作] ウィンドウから [バインド] を選択します。 [ サイト バインド ] ダイアログで、[ポート] 列に HTTP ポートと HTTPS ポート の値が表示されます。

WSUS への SSL 通信を構成する

最適なセキュリティ プロトコルを確実に導入するには、TLS/SSL プロトコルを使用してソフトウェア更新プログラム インフラストラクチャを保護することを強くお勧めします。 SSL 通信は、ウィザードの [ソフトウェア更新ポイント ] ページまたはソフトウェア更新ポイントのプロパティの [ 全般 ] タブで構成できます。 選択する前に、[SUP 用に WSUS サーバーへの SSL 通信を要求 する] オプションを選択し、WSUS サーバーで SSL 通信が有効になっていることを確認します。

SSL の使用方法の詳細については、「 SSL を使用するように WSUS を構成するかどうかを決定する 」および「 PKI 証明書で TLS/SSL を使用するようにソフトウェア更新ポイントを構成する」を参照してください。

クラウド管理ゲートウェイ のトラフィックを許可する

ソフトウェア更新ポイントを有効にして、クラウド管理ゲートウェイ (CMG) を介してインターネット上のクライアントからの通信を受け入れます。 この設定の詳細については、「 CMG トラフィックのクライアント向けロールを構成する」を参照してください。

未使用のネットワーク帯域幅を使用するようにダウンロード速度を調整する (Windows LEDBAT)

(バージョン 2203 で導入)

Configuration Manager バージョン 2203 以降では、Windows Server 2016 以降を実行するソフトウェア更新ポイントに対して Windows Low Extra Delay Background Transport (LEDBAT) を有効にすることができます。 LEDBAT は、WSUS に対するクライアント スキャン中のダウンロード速度を調整して、ネットワークの輻輳を制御します。

サイト システムに配布ポイントとソフトウェアの更新ポイントの両方の役割がある場合は、役割に対して LEDBAT を個別に構成できます。 たとえば、配布ポイントロールで LEDBAT のみを有効にした場合、ソフトウェアの更新ポイントロールは同じ構成を継承しません。

Windows Server 2016以降を実行する SUP に LEDBAT を使用するには、次のいずれかの場所から未使用のネットワーク帯域幅 (Windows LEDBAT) を使用するようにダウンロード速度を調整する設定を有効にします。

  • ソフトウェアの更新ポイントのインストール ウィザードの [ソフトウェアの更新ポイント] ページで
  • ソフトウェアの更新ポイントのプロパティの [ 全般 ] タブ

Windows LEDBAT の一般的な情報については、「 コンテンツ管理の基本的な概念」を参照してください。

WSUS サーバー接続アカウント

サイト サーバーがソフトウェアの更新ポイントで実行されている WSUS に接続するときに使用するアカウントを構成できます。 このアカウントを構成しない場合、Configuration Managerはサイト サーバーのコンピューター アカウントを使用して WSUS に接続します。 ウィザードの [プロキシとアカウントの設定] ページ、または [ソフトウェアの更新ポイントのプロパティ] の [ プロキシとアカウントの設定] タブで WSUS サーバー接続アカウントを構成します。 使用するConfiguration Managerのバージョンに応じて、ウィザードのさまざまな場所でアカウントを構成できます。

Configuration Manager アカウントの詳細については、「使用されているアカウント」を参照してください。

同期ソース

ソフトウェア更新プログラムの同期のアップストリーム同期ソースは、ウィザードの [同期ソース ] ページまたは [ソフトウェア更新ポイント コンポーネントのプロパティ] の [ 同期設定] タブで構成できます。 同期ソースのオプションは、サイトによって異なります。

サイトでソフトウェアの更新ポイントを構成するときに使用できるオプションについては、次の表を使用します。

サイト 使用可能な同期ソース オプション
- 中央管理サイト
- スタンドアロン プライマリ サイト		 - Microsoft Update Web サイトから同期する
- アップストリーム データ ソースの場所から同期する
- Microsoft Update またはアップストリーム データ ソースから同期しない
- サイトの追加のソフトウェア更新ポイント
- 子プライマリ サイト
- セカンダリ サイト		 - アップストリーム データ ソースの場所から同期する

次の一覧では、同期ソースとして使用できる各オプションの詳細を示します。

  • [Microsoft更新プログラムから同期する]: この設定を使用して、Microsoft Update からソフトウェア更新プログラムのメタデータを同期します。 中央管理サイトはインターネットにアクセスできる必要があります。それ以外の場合、同期は失敗します。 この設定は、最上位サイトでソフトウェアの更新ポイントを構成する場合にのみ使用できます。

    • ソフトウェアの更新ポイントとインターネットの間にファイアウォールがある場合は、WSUS Web サイトで使用される HTTP ポートと HTTPS ポートを受け入れるようにファイアウォールを構成する必要がある場合があります。 ファイアウォールのアクセスを制限されたドメインに制限することもできます。 ソフトウェア更新プログラムをサポートするファイアウォールを計画する方法の詳細については、「ファイアウォールの 構成」を参照してください。

    • WSUS データベースを共有している場合は、Configuration Managerがフロントエンド WSUS サーバー間のソフトウェア更新ポイントをランダムに選択することに注意してください。 WSUS サーバーごとに インターネット アクセスの要件 が満たされていることを確認します。 インターネット アクセスの要件が満たされていない場合は、同期エラーが発生する可能性があります。 最上位レベルのサイトでMicrosoftと同期しているさまざまなソフトウェアの更新ポイントが表示される場合があります。

  • アップストリーム データ ソースの場所から同期する: この設定を使用して、アップストリーム同期ソースからソフトウェア更新プログラムのメタデータを同期します。 子プライマリ サイトとセカンダリ サイトは、この設定の親サイト URL を使用するように自動的に構成されます。 既存の WSUS サーバーからソフトウェア更新プログラムを同期するオプションがあります。 などの https://WSUSServer:8531URL を指定します。ここで、8531 は WSUS サーバーへの接続に使用されるポートです。

  • Microsoft更新プログラムまたはアップストリーム データ ソースから同期しない: この設定を使用して、トップレベル サイトのソフトウェア更新ポイントがインターネットから切断されたときに、ソフトウェア更新プログラムを手動で同期します。 詳細については、「 切断されたソフトウェアの更新ポイントからソフトウェア更新プログラムを同期する」を参照してください。

また、ウィザードの [同期ソース ] ページまたは [ソフトウェア更新ポイント コンポーネントのプロパティ] の [ 同期設定] タブで WSUS レポート イベントを作成するかどうかを構成することもできます。 これらのイベントを使用しないConfiguration Managerは、通常、既定の設定 [WSUS レポート イベントを作成しない] を選択します。

同期スケジュール

ウィザードの [同期スケジュール] ページまたは [ソフトウェア更新ポイント コンポーネントのプロパティ] で 同期スケジュール を構成します。 この設定は、最上位サイトのソフトウェアの更新ポイントでのみ構成されます。

スケジュールを有効にした場合は、定期的な単純同期スケジュールまたはカスタム同期スケジュールを構成できます。 単純なスケジュールを構成する場合、開始時刻は、スケジュールを作成した時点でConfiguration Manager コンソールを実行するコンピューターの現地時刻に基づいています。 カスタム スケジュールの開始時刻を構成する場合、Configuration Manager コンソールを実行するコンピューターのローカル時刻に基づいています。

ヒント

  • 環境に適した時間枠を使用して、ソフトウェア更新プログラムの同期を実行するようにスケジュールします。 一般的なシナリオの 1 つは、毎月第 2 火曜日のMicrosoftの通常のセキュリティ更新プログラムリリースの直後に実行されるようにソフトウェア更新プログラムの同期スケジュールを設定することです。これは、一般的にパッチ 火曜日と呼ばれます。 もう 1 つの一般的なシナリオは、ソフトウェア更新プログラムを使用して Endpoint Protection の定義とエンジンの更新プログラムを配信するときに、ソフトウェア更新プログラムの同期スケジュールを毎日実行するように設定することです。
  • ソフトウェア更新プログラムの同期をスケジュールに従って有効にしない場合は、[ソフトウェア ライブラリ] ワークスペースの [すべてのソフトウェア 更新] ノードまたは [ソフトウェア更新プログラム グループ] ノードからソフトウェア更新プログラムを手動で同期できます。 詳細については、「 ソフトウェア更新プログラムの同期」を参照してください。

置き換え規則

置き換えの設定は、ウィザードの [ 置き換えルール ] ページまたは [ソフトウェア更新ポイント コンポーネントのプロパティ] の [ 置き換えルール ] タブで構成します。 置き換えルールは、最上位サイトでのみ構成できます。 機能更新プログラムの置き換えルールの動作は、機能以外の更新プログラムとは別に指定することもできます。

注:

ウィザードの [置き換え規則] ページは、サイトで最初のソフトウェア更新ポイントを構成する場合にのみ使用できます。 このページは、追加のソフトウェア更新ポイントをインストールするときに表示されません。

このページでは、置き換えられたソフトウェア更新プログラムがConfiguration Managerで期限切れになるタイミングを指定できます。これにより、新しい展開に含まれなくなり、置き換えられたソフトウェア更新プログラムに期限切れのソフトウェア更新プログラムが 1 つ以上含まれていることを示すフラグを既存の展開にフラグを設定できます。 置き換えられたソフトウェア更新プログラムの有効期限が切れるまでの期間を指定できます。これにより、引き続き展開できます。 詳細については、「 置き換えルール」を参照してください。

既定の設定では、置き換えられた更新プログラムの有効期限が切れるまで 3 か月待ちます。 3 か月の既定値は、更新プログラムがクライアント コンピューターで不要になっていることを確認する時間を提供することです。 置き換えられた更新プログラムは、新しいスーパーセディング更新プログラムを優先してすぐに期限切れになるとは想定しないことをお勧めします。 ソフトウェア更新プログラムのプロパティの [置き換え情報] タブに、ソフトウェア更新プログラムを 置き換える ソフトウェア更新プログラムの一覧を表示できます。

WSUS メンテナンス

Configuration Managerは、最も一般的な WSUS メンテナンス タスクを自動的に実行できます。 これらのタスクの詳細については、「 ソフトウェア更新プログラムのメンテナンス」を参照してください。

最大実行時間

ソフトウェア更新プログラムのインストールが完了するまでの最大時間を指定できます。 次の最大実行時間を指定できます。

  • Windows 機能更新プログラムの最大実行時間 (分)

    • 機能の更新 - 次の 3 つの分類のいずれかに含まれる更新プログラム。
      • アップグレード
      • 更新プログラムのロールアップ
      • サービス パック

  • windows のOffice 365更新プログラムと機能以外の更新プログラムの最大実行時間 (分)

    • 機能以外の更新プログラム - 機能のアップグレードではなく、その製品が次のいずれかとして表示される更新プログラム。
      • Windows 11
      • Windows 10 (すべてのバージョン)
      • Windows Server 2012 R2
      • Windows Server 2016
      • Windows Server 2019
      • Office 365

  • サード パーティの更新プログラム (分) など、これらのカテゴリ以外のすべてのソフトウェア更新プログラムの最大実行時間: これらの更新プログラムの既定の最大実行時間は、更新プログラムが最初に環境とConfiguration Managerバージョンに同期されたタイミングによって異なります。 以下のカートを使用して、これらの更新プログラムの最大ランタイム値を決定します。

    2203 以降 2103、2107、または 2111 2010
    他のすべてのソフトウェア更新プログラムの最大実行時間はカスタマイズ可能です。 既定値は 60 分です。 60 分 10 分

    重要

    • この設定では、SUP によって同期される新しい更新プログラムの最大ランタイムのみが変更されます。 ランタイムが変更される前に同期された既存の更新プログラムの実行時間は変更されません。 たとえば、最初に 2111 環境に同期された場合 Update 1 、最大実行時間は 60 分です。 次に、環境をバージョン 2203 にアップグレードし、最大実行時間を 30 分に設定します。 Update 1 は、60 分のランタイムを保持します。 ただし、新しい更新プログラム Update 2である が で同期されると、新しい 30 分の実行時間が与えられる。
    • 更新の最大実行時間を手動で変更する必要がある場合は、 そのソフトウェア更新プログラムの設定を構成 できます。

分類

ウィザードの [ 分類 ] ページ、または [ソフトウェア更新ポイント コンポーネントのプロパティ] の [分類] タブで 分類 設定を構成します。 ソフトウェア更新プログラムの分類の詳細については、「 更新プログラムの分類」を参照してください。

ヒント

  • ウィザードの [ 分類 ] ページは、サイトで最初のソフトウェア更新ポイントを構成した場合にのみ使用できます。 このページは、追加のソフトウェア更新ポイントをインストールするときに表示されません。
  • 最上位サイトにソフトウェア更新ポイントを最初にインストールするときは、すべてのソフトウェア更新プログラムの分類をクリアします。 最初のソフトウェア更新プログラムの同期後、更新された一覧から分類を構成し、同期を再開します。 この設定は、最上位サイトのソフトウェアの更新ポイントでのみ構成されます。

製品

ウィザードの [ 製品 ] ページ、または [ソフトウェア更新ポイント コンポーネントのプロパティ] の [ 製品 ] タブで製品設定を構成します。

ヒント

  • ウィザードの [ 製品 ] ページは、サイトで最初のソフトウェア更新ポイントを構成する場合にのみ使用できます。 このページは、追加のソフトウェア更新ポイントをインストールするときに表示されません。
  • 最上位サイトにソフトウェアの更新ポイントを最初にインストールするときは、すべての製品をクリアします。 最初のソフトウェア更新プログラムの同期後、更新された一覧から製品を構成し、同期を再開します。 この設定は、最上位サイトのソフトウェアの更新ポイントでのみ構成されます。

言語

ウィザードの [言語 ] ページ、または [ソフトウェア更新ポイント コンポーネントのプロパティ] の [ 言語 ] タブで言語設定を構成します。 ソフトウェア更新ファイルと概要の詳細を同期する言語を指定します。 [ソフトウェア更新ファイル] 設定は、Configuration Manager階層内の各ソフトウェア更新ポイントで構成されます。 [概要の詳細] 設定は、最上位のソフトウェアの更新ポイントでのみ構成されます。 詳細については、「 言語」を参照してください。

注:

ウィザードの [言語] ページは、中央管理サイトにソフトウェアの更新ポイントをインストールする場合にのみ使用できます。 ソフトウェア更新ポイント コンポーネントのプロパティの [言語] タブから、子サイトでソフトウェア更新ファイルの 言語 を構成できます。

サード パーティの更新プログラム

Configuration Manager クライアントに対してサード パーティの更新プログラムを有効にすることができます。 SUP コンポーネントのプロパティでサード パーティ製のソフトウェア更新プログラムを有効にすると、SUP は、サード パーティの更新プログラムに WSUS によって使用される署名証明書をダウンロードします。 このオプションは、ソフトウェアの更新ポイントのインストール中には使用できないため、SUP のインストール後に構成する必要があります。 サード パーティの更新プログラムのクライアント設定を有効にするには、 クライアント設定についてに関する 記事を参照してください。

次の手順

Configuration Manager階層内の最上位サイトからソフトウェアの更新ポイントをインストールしました。 この記事の手順を繰り返して、子サイトにソフトウェアの更新ポイントをインストールします。

ソフトウェアの更新ポイントをインストールしたら、 ソフトウェア更新プログラムの同期に移動します。