手順 2:WSUS を構成する

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

サーバーに Windows Server Update Services (WSUS) サーバー ロールをインストールした後、それを適切に構成する必要があります。 また、WSUS サーバーから更新プログラムを受信するようにクライアント コンピューターを構成することも必要です。

この記事では、次の手順について説明します。

タスク 説明
2.1. ネットワーク接続を構成する ファイアウォールとプロキシの設定を構成して、サーバーが必要な接続を確立できるようにします。
2.2. WSUS 構成ウィザードを使用して WSUS を構成する WSUS 構成ウィザードを使用して、基本の WSUS 構成を実行します。
2.3. Secure Sockets Layer プロトコルを使用して WSUS をセキュリティで保護する WSUS を保護するために Secure Sockets Layer (SSL) プロトコルを構成します。
2.4. WSUS コンピューター グループを構成する 組織内の更新を管理するために、WSUS 管理コンソールでコンピューター グループを作成します。
2.5. WSUS サーバーとの SSL 接続を確立するようにクライアント コンピューターを構成する WSUS サーバーとのセキュリティで保護された接続を確立するようにクライアント コンピューターを設定します。
2.6. WSUS サーバーから更新プログラムを受信するようにクライアント コンピューターを構成する 2\.6. WSUS サーバーから更新プログラムを受信するようにクライアント コンピューターを設定します。

2.1. ネットワーク接続を構成する

構成プロセスを開始する前に、次の質問に対する回答を確認してください。

  • クライアントによるサーバーへのアクセスを許可するようにサーバーのファイアウォールが構成されているかどうか。

  • このコンピューターからアップストリーム サーバー (Microsoft Update から更新プログラムをダウンロードするように指定されているサーバーなど) に接続できるかどうか。

  • 必要な場合に、プロキシ サーバーの名前およびプロキシ サーバーのユーザー資格情報がわかるかどうか。

その後、次の WSUS ネットワーク設定の構成を開始できます。

  • 更新プログラム: このサーバーで更新プログラムを取得する方法 (Microsoft Update から、または別の WSUS サーバーから) を指定します。

  • プロキシ: WSUS でインターネットにアクセスするためにプロキシ サーバーを使用する必要があることが判明した場合、WSUS サーバー内でプロキシ設定を構成する必要があります。

  • ファイアウォール: WSUS が企業ファイアウォールの内側にあることが判明した場合、WSUS トラフィックを許可するためにエッジ デバイスで追加の手順を実行する必要があります。

重要

WSUS サーバーが 1 つしかない場合は、Microsoft から更新プログラムをダウンロードする必要があるため、インターネットにアクセスできる必要があります。 複数の WSUS サーバーがある場合、インターネット アクセスが必要なサーバーは 1 つだけです。 それ以外は、インターネットに接続された WSUS サーバーへのネットワーク アクセスだけが必要です。 クライアント コンピューターはインターネットにアクセスできる必要はありません。WSUS サーバーへのネットワーク アクセスだけが必要です。

ヒント

お使いのネットワークが "物理的に隔離されている" 場合 (インターネットへのアクセスが一切できない場合) でも、WSUS を使用してネットワーク上のクライアント コンピューターに更新プログラムを提供できます。 このアプローチには、2 つの WSUS サーバーが必要です。 インターネットにアクセスできる 1 つの WSUS サーバーにより、Microsoft から更新プログラムが収集されます。 保護されたネットワーク上の 2 つ目の WSUS サーバーにより、クライアント コンピューターに更新プログラムが提供されます。 更新プログラムは、1 つ目のサーバーからリムーバブル メディアにエクスポートされ、エア ギャップをまたいで伝達され、2 つ目のサーバーにインポートされます。 これは詳細構成であり、この記事では取り上げていません。

2.1.1. 最初の WSUS サーバーがインターネット上の Microsoft ドメインに接続できるようにファイアウォールを構成する

企業ファイアウォールが WSUS とインターネットの間にある場合は、WSUS で更新プログラムを取得できるようにそのファイアウォールを構成することが必要になることがあります。 WSUS サーバーでは、Microsoft Update から更新プログラムを取得するために、HTTP プロトコルと HTTPS プロトコルにポート 80 と 443 を使用します。 ほとんどの企業ファイアウォールではこの種類のトラフィックが許可されていますが、一部の企業では、セキュリティ ポリシーを理由に、サーバーからのインターネット アクセスが制限されています。 企業によってアクセスが制限されている場合は、WSUS サーバーが Microsoft ドメインにアクセスできるようにファイアウォールを構成する必要があります。

最初の WSUS サーバーには、次のドメインのポート 80 と 443 への送信アクセス権が必要です。

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

重要

最初の WSUS サーバーがこれらのドメイン内の任意の URL にアクセスできるようにファイアウォールを構成する必要があります。 これらのドメインに関連付けられている IP アドレスは絶えず変化しているため、IP アドレス範囲を代わりに使用しようとしないでください。

ファイアウォール構成が原因で WSUS で更新プログラムを取得できないシナリオについては、Microsoft サポート技術情報の記事 885819 を参照してください。

2.1.2. 他の WSUS サーバーが最初のサーバーに接続できるようにファイアウォールを構成する

複数の WSUS サーバーがある場合は、最初 ("最上位") のサーバーにアクセスするように他の WSUS サーバーを構成する必要があります。 他の WSUS サーバーは、最上位のサーバーからすべての更新情報を受け取ります。 この構成により、最上位のサーバー上で WSUS 管理コンソールを使用して、ネットワーク全体を管理できます。

他の WSUS サーバーには、2 つのポート経由での、最上位のサーバーへの送信アクセス権が必要です。 既定では、これらのポートは 8530 と 8531 です。 これらのポートは、この記事の後述の説明に従って変更できます。

注意

WSUS サーバー間のネットワーク接続の速度が遅い、または負荷が高い場合は、更新プログラムのペイロードを Microsoft から直接受信するように、他の 1 つ以上の WSUS サーバーを構成できます。 この場合、これらの WSUS サーバーから最上位のサーバーに送信されるデータの量はごくわずかです。 この構成を機能させるには、他の WSUS サーバーが最上位のサーバーと同じインターネット ドメインにアクセスできる必要があります。

注意

組織が大規模である場合は、他のすべての WSUS サーバーを直接最上位サーバーに接続するのではなく、接続された WSUS サーバーをチェーン状にして使用できます。 たとえば、最上位のサーバーに 2 つ目の WSUS サーバーを接続し、他の WSUS サーバーをその 2 つ目の WSUS サーバーに接続することができます。

2.1.3. 必要に応じてプロキシ サーバーを使用するように WSUS サーバーを構成する

企業ネットワークでプロキシ サーバーを使用する場合は、プロキシ サーバーによって HTTP および HTTPS プロトコルがサポートされる必要があります。 基本認証または Windows 認証を使用する必要もあります。 これらの要件は、次の構成のいずれかを使用して満たすことができます。

  • 2 つのプロトコル チャネルをサポートする 1 つのプロキシ サーバー。 この場合は、一方のチャネルは HTTP を使用するように設定し、もう一方のチャネルは HTTPS を使用するように設定します。

    注意

    WSUS サーバーのソフトウェアのインストール中に、WSUS の両方のプロトコルを処理する 1 つのプロキシ サーバーを設定することができます。

  • それぞれ 1 つのプロトコルをサポートする 2 つのプロキシ サーバー。 この場合は、一方のプロキシ サーバーは HTTP を使用するように構成し、もう一方のプロキシ サーバーは HTTPS を使用するように構成します。

2 つのプロキシ サーバーを使用するように WSUS を設定するには

  1. ローカル Administrators グループのメンバーであるアカウントを使用して、WSUS サーバーにするコンピューターにログオンします。

  2. WSUS サーバーの役割をインストールします。 WSUS 構成ウィザードでは、プロキシ サーバーを指定しません。

  3. 管理者としてコマンド プロンプト (Cmd.exe) を開きます。

    1. [スタート] メニューに移動します。
    2. [検索の開始] で、「コマンド プロンプト」と入力します。
    3. スタート メニューの上部にある [コマンド プロンプト] を右クリックし、 [管理者として実行] をクリックします。
    4. [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、適切な資格情報を入力し (要求された場合)、表示された操作が正しいことを確認してから、 [続行] を選択します。

  4. コマンド プロンプト ウィンドウで、C:\Program Files\Update Services\Tools フォルダーに移動します。 次のコマンドを入力します。

    wsusutil ConfigureSSLproxy [<proxy_server proxy_port>] -enable

    そのコマンドについて説明します。

    • proxy_server は、HTTPS をサポートするプロキシ サーバーの名前です。

    • proxy_port は、プロキシ サーバーのポート番号です。

  5. コマンド プロンプト ウィンドウを閉じます。

プロキシ サーバーを WSUS の構成に追加するには

  1. WSUS 管理コンソールを開きます。

  2. 左ペインで、サーバー名を展開し、 [オプション] を選択します。

  3. [オプション] ペインで、 [更新元および更新サーバー] を選択し、 [プロキシ サーバー] タブを選択します。

  4. [同期時にプロキシ サーバーを使用する] チェックボックスをオンにします。

  5. [プロキシ サーバー名] ボックスに、プロキシ サーバーの名前を入力します。

  6. [プロキシのポート番号] ボックスに、プロキシ サーバーのポート番号を入力します。 既定のポート番号は 80 です。

  7. プロキシ サーバーにより特定のユーザー アカウントを使用することが求められる場合は、 [ユーザーの資格情報を使用して、プロキシ サーバーに接続する] チェックボックスをオンにします。 必要なユーザー名、ドメイン、およびパスワードを対応するボックスに入力します。

  8. プロキシ サーバーで基本認証がサポートされる場合は、 [基本認証を許可する (クリア テキストでパスワードを送信する)] チェックボックスをオンにします。

  9. [OK] を選択します。

WSUS の構成からプロキシ サーバーを削除するには

  1. [同期時にプロキシ サーバーを使用する] チェックボックスをオフにします。

  2. [OK] を選択します。

2.1.4. クライアント コンピューターが WSUS サーバーにアクセスできるようにファイアウォールを構成する

クライアント コンピューターはすべて、WSUS サーバーのいずれかに接続します。 クライアント コンピューターには、WSUS サーバーの 2 つのポートへの送信アクセス権が必要です。 既定では、これらのポートは 8530 と 8531 です。

2.2. WSUS 構成ウィザードを使用して WSUS を構成する

次の手順では、WSUS 管理コンソールを初めて起動したときに表示される WSUS 構成ウィザードを使用していることを前提としています。 [オプション] ページを使用してこれらの構成を行う方法については、このトピックで後ほど説明します。

WSUS を構成するには

  1. サーバー マネージャーの左ペインで、 [ダッシュボード]>[ツール]>[Windows Server Update Services] を選択します。

    注意

    [WSUS インストールの完了] ダイアログ ボックスが表示されたら、 [実行] を選択します。 [WSUS インストールの完了] ダイアログ ボックスで、インストールが正常に完了したら、 [閉じる] を選択します。

  2. WSUS 構成ウィザードが開きます。 [開始する前に] ページで情報を確認し、 [次へ] を選択します。

  3. [Microsoft Update 品質向上プログラムにご参加ください] ページの指示を読みます。 プログラムに参加する場合は既定の選択を保持し、しない場合はチェックボックスをオフにします。 [次へ] を選択します。

  4. [アップストリームサーバーの選択] ページで、2 つのオプション ( [Synchronize the updates with Microsoft Update](Microsoft Update と更新を同期します) または [別の Windows Server Update Services サーバーから同期します] ) のいずれかを選択します。

    別の WSUS サーバーからの同期を選択する場合:

    • サーバー名と、このサーバーでアップストリーム サーバーとの通信に使用されるポートを指定します。

    • SSL を使用するには、 [更新情報の同期時に SSL を使用する] チェックボックスをオンにします。 サーバーは、同期にポート 443 を使用します (このサーバーおよびアップストリーム サーバーで SSL がサポートされていることを確認してください)。

    • これがレプリカ サーバーの場合は、 [これはアップストリーム サーバーのレプリカです] チェックボックスをオンにします。

  5. 展開のオプションを選択したら、 [次へ] を選択します。

  6. [プロキシ サーバーの指定] ページで、 [同期時にプロキシ サーバーを使用する] チェックボックスをオンにします。 次に、対応するボックスにプロキシ サーバー名とポート番号 (既定ではポート 80) を入力します。

    重要

    WSUS でインターネットにアクセスするためにプロキシ サーバーが必要であることが判明した場合は、この手順を完了する必要があります。

  7. 特定のユーザー資格情報を使用してプロキシ サーバーに接続する場合は、 [ユーザーの資格情報を使用して、プロキシ サーバーに接続する] チェックボックスをオンにします。 次に、対応するボックスにユーザーの名前、ドメイン、およびパスワードを入力します。

    プロキシ サーバーに接続しているユーザーに対する基本認証を有効にする場合は、 [基本認証を許可する (クリア テキストでパスワードを送信する)] チェックボックスをオンにします。

  8. [次へ] を選択します。

  9. [アップストリーム サーバーに接続] ページで、 [接続の開始] を選択します。

  10. WSUS がサーバーに接続されたら、 [次へ] を選択します。

  11. [言語の選択] ページでは、WSUS で受信する更新プログラムの言語として、すべての言語または一部の言語を選択できます。 一部の言語を選択すると、ディスク領域が節約されますが、重要なのは、この WSUS サーバーのすべてのクライアントで必要とされるすべての言語を選択することです。

    特定の言語の更新プログラムのみ取得することを選択する場合は、 [次の言語版の更新のみをダウンロードする] を選択し、更新プログラムが必要な言語を選択します。 それ以外の場合は、既定値を選択したままにします。

    警告

    [次の言語の更新プログラムのみをダウンロードする] オプションを選択し、このサーバーにダウンストリーム WSUS サーバーが接続されている場合は、このオプションにより、ダウンストリーム サーバーでも選択した言語しか使用できなくなります。

  12. 展開の言語オプションを選択したら、 [次へ] をクリックします。

  13. [製品の選択] ページでは、更新プログラムを必要とする製品を指定できます。 製品カテゴリ (Windows など) または特定の製品 (Windows Server 2012 など) を選択します。 製品カテゴリを選択すると、そのカテゴリに含まれるすべての製品が選択されます。

  14. 展開の製品オプションを選択したら、 [次へ] を選択します。

  15. [分類の選択] ページで、取得する更新プログラムの分類を選択します。 すべての分類か、それらのサブセットを選択し、 [次へ] を選択します。

  16. [同期スケジュールの設定] ページでは、同期を手動で行うか自動で行うかを選択できます。

    • [手動で同期する] を選択する場合は、WSUS 管理コンソールから同期プロセスを開始する必要があります。

    • [自動で同期する] を選択する場合は、設定した間隔で WSUS サーバーによって同期が行われます。

    [1 回目の同期] に時間を設定し、このサーバーで 1 日に実行する同期の回数を指定します。 たとえば、午前 3 時から開始する 1 日 4 回の同期を指定すると、同期は午前 3 時、午前 9 時、午後 3 時、および午後 9 時に実行されます。

  17. 展開の同期オプションを選択したら、 [次へ] を選択します。

  18. [完了] ページでは、 [初期同期を開始します] チェックボックスをオンにすると、同期を今すぐ開始することができます。

    このオプションをオンにしない場合は、WSUS 管理コンソールを使用して最初の同期を実行する必要があります。 追加の設定の詳細を確認する場合は [次へ] を選択します。または、 [完了] を選択してこのウィザードを終了し、WSUS の初期セットアップを完了します。

  19. [完了] を選択すると、WSUS 管理コンソールが表示されます。 このコンソールを使用して、後の説明に従って WSUS ネットワークを管理します。

2.3. Secure Sockets Layer プロトコルを使用して WSUS をセキュリティで保護する

WSUS ネットワークをセキュリティで保護できるように、SSL プロトコルを使用してください。 WSUS では、SSL を使用して接続を認証し、更新情報を暗号化および保護できます。

警告

SSL プロトコルを使用した WSUS のセキュリティ保護は、ネットワークのセキュリティのために重要です。 WSUS サーバーの接続を保護するために SSL が適切に使用されていない場合、重要な更新情報が WSUS サーバー間、または WSUS サーバーからクライアント コンピューターに送信されるときに、攻撃者がそれを変更できてしまうおそれがあります。 これにより、攻撃者は、クライアント コンピューターに悪意のあるソフトウェアをインストールできるようになります。

重要

トランスポート層セキュリティ (TLS) または HTTPS を使用するように構成されているクライアントとダウンストリーム サーバーは、アップストリーム WSUS サーバーの完全修飾ドメイン名 (FQDN) を使用するように構成する必要もあります。

2.3.1. WSUS サーバーの IIS サービスで SSL/HTTPS を有効にして SSL/HTTPS を使用する

このプロセスを開始するには、WSUS サーバーの IIS サービスで SSL のサポートを有効にする必要があります。 この作業のために、サーバーの SSL 証明書を作成する必要があります。

サーバーの SSL 証明書を取得するために必要な手順はネットワーク構成によって異なりますが、この記事では取り上げていません。 証明書をインストールしてこの環境を設定する方法の詳細および手順については、次の記事を参照してください。

2.3.2. 一部の接続に SSL を使用するように WSUS サーバーの IIS Web サーバーを構成する

WSUS には、他の WSUS サーバーおよびクライアント コンピューターへの接続用に 2 つのポートが必要です。 1 つのポートでは、SSL/HTTPS を使用して更新プログラムの "メタデータ" (更新プログラムに関する重要な情報) が送信されます。 既定では、このポートは 8531 です。 2 つ目のポートでは、HTTP を使用して更新プログラムのペイロードが送信されます。 既定では、このポートは 8530 です。

重要

WSUS Web サイト全体を、SSL を必要とする構成にすることはできません。 WSUS は、更新プログラムのメタデータのみを暗号化するように設計されています。 これは、Windows Update で更新プログラムが配布される場合と同じ方法です。

攻撃者による更新プログラムのペイロード改ざんを防止するために、すべての更新プログラムのペイロードは、特定の信頼された署名証明書のセットを通じて署名されます。 さらに、更新ペイロードごとに暗号化ハッシュが計算されます。 ハッシュは、セキュリティで保護された HTTPS メタデータ接続を使用して、更新プログラムの他のメタデータと共にクライアント コンピューターに送信されます。 更新プログラムがダウンロードされるときに、クライアント ソフトウェアではペイロードのデジタル署名とハッシュが検証されます。 更新プログラムが変更されている場合、それはインストールされません。

SSL を要求する必要があるのは、次の IIS 仮想ルートの場合のみです。

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

これらの仮想ルートの場合は SSL を要求しないでください。

  • コンテンツ

  • インベントリ

  • ReportingWebService

  • SelfUpdate

証明機関 (CA) の証明書は、各 WSUS サーバーのローカル コンピューターの信頼されたルート CA ストアか、WSUS の信頼されたルート CA ストア (存在する場合) にインポートする必要があります。

IIS で SSL 証明書を使用する方法の詳細については、 Secure Sockets Layer の要求 (IIS 7)に関するページを参照してください。

重要

必ずローカル コンピューターの証明書ストアを使用してください。 ユーザーの証明書ストアは使用できません。

通常、HTTPS 接続ではポート 8531、HTTP 接続ではポート 8530 を使用するように IIS を構成する必要があります。 これらのポートを変更する場合は、隣接する 2 つのポート番号を使用する必要があります。 HTTP 接続に使用するポート番号は、HTTPS 接続に使用するポート番号よりちょうど 1 小さくなければなりません。

サーバー名、SSL の構成、またはポート番号が変わっている場合は、ClientServicingProxy を再度初期化する必要があります。

2.3.3. クライアント接続に SSL 署名証明書を使用するように WSUS を構成する

  1. WSUS Administrators グループまたはローカル Administrators グループのメンバーであるアカウントを使用して、WSUS サーバーにログオンします。

  2. [スタート] を選択し、「CMD」と入力します。 [コマンド プロンプト] を右クリックし、 [管理者として実行] を選択します。

  3. %ProgramFiles%\Update Services\Tools\ フォルダーに移動します。

  4. コマンド プロンプト ウィンドウで、次のコマンドを入力します。

    wsusutil configuressl _certificateName_

    そのコマンド内の certificateName は、WSUS サーバーの DNS 名です。

2.3.4. 必要に応じてSQL Server 接続をセキュリティで保護する

WSUS でリモートの SQL Server データベースを使用する場合、WSUS サーバーとデータベース サーバーの間の接続は SSL を通じて保護されません。 これにより、攻撃ベクトルが生じるおそれがあります。 この接続を保護するには、次の推奨事項を検討してください。

  • WSUS データベースを WSUS サーバーに移動する。

  • リモート データベース サーバーと WSUS サーバーをプライベート ネットワークに移動する。

  • インターネット プロトコル セキュリティ (IPsec) を展開して、ネットワーク トラフィックをセキュリティで保護する。 IPsec の詳細については、「IPsec ポリシーの作成と使用」を参照してください。

2.3.5. 必要に応じてローカル発行用のコード署名証明書を作成する

WSUS では、Microsoft によって提供される更新プログラムの配布に加えて、ローカル発行もサポートされています。 ローカル発行を使用すると、独自のペイロードと動作を含む、自分自身で設計した更新プログラムを作成して配布できます。

ローカル発行を有効にし、構成する方法については、この記事では取り上げません。 詳細については、「ローカル発行」を参照してください。

重要

ローカル発行は複雑なプロセスであり、頻繁に必要になるものではありません。 ローカル発行を有効にする前に、ドキュメントを慎重に確認し、この機能を使用するかどうか、およびその方法を検討する必要があります。

2.4. WSUS コンピューター グループを構成する

コンピューター グループは、WSUS を効果的に使用するための重要な部分になります。 コンピューター グループでは、更新プログラムをテストし、特定のコンピューターを更新プログラムのターゲットに指定することを許可します。 既定のコンピューター グループとして、[すべてのコンピューター] と [割り当てられていないコンピューター] の 2 つがあります。 既定では、クライアント コンピューターが初めて WSUS サーバーに接続すると、サーバーによって、そのクライアント コンピューターがこれら両方のグループに追加されます。

カスタム コンピューター グループは、組織で更新プログラムを管理するのに必要な数だけ作成することができます。 更新プログラムを組織内の他のコンピューターに展開する前に、少なくとも 1 つのコンピューター グループを作成して更新プログラムをテストすることをお勧めします。

2.4.1. クライアント コンピューターをコンピューター グループに割り当てる方法を選択する

クライアント コンピューターをコンピューター グループに割り当てる方法は 2 つあります。 どの方法が組織に最適かは、クライアント コンピューターの通常の管理方法によって異なります。

  • サーバー側でのターゲット設定: これが既定の方法です。 この方法では、WSUS 管理コンソールを使用してクライアント コンピューターをコンピューター グループに割り当てます。

    この方法を使用すると、状況の変化に応じてクライアント コンピューターをグループ間で迅速に移動できるという柔軟性が得られます。 ただし、新しいクライアント コンピューターは、[割り当てられていないコンピューター] グループから適切なコンピューター グループに手動で移動する必要があります。

  • クライアント側でのターゲット設定: この方法では、クライアント コンピューター自体で指定されているポリシー設定を使用して、各クライアント コンピューターをコンピューター グループに割り当てます。

    この方法を使用すると、新しいクライアント コンピューターを適切なグループに割り当てるのが簡単になります。 これは、WSUS サーバーから更新を受信するためのクライアント コンピューターの構成の一部として行います。 ただし、WSUS 管理コンソールを使用して、クライアント コンピューターをコンピューター グループに割り当てたり、コンピューター グループ間で移動したりすることはできません。 代わりに、クライアント コンピューターのポリシーを変更する必要があります。

2.4.2. 必要に応じてクライアント側でのターゲット設定を有効にする

重要

サーバー側でのターゲット設定を使用する場合は、この手順をスキップしてください。

  1. WSUS 管理コンソールの [サービスの更新] で、WSUS サーバーを展開し、 [オプション] を選択します。

  2. [オプション] ペインの [全般] タブで、 [コンピュータのグループ ポリシーまたはレジストリを使用する] を選択します。

2.4.3. 必要なコンピューター グループを作成する

注意

クライアント コンピューターをコンピューター グループに追加するためにサーバー側でのターゲット設定とクライアント側でのターゲット設定のどちらを使用する場合でも、コンピューター グループは WSUS 管理コンソールを使用して作成する必要があります。

  1. WSUS 管理コンソールで、 [Update Services] の下の WSUS サーバーを展開し、 [コンピューター] を展開します。 [すべてのコンピューター] を右クリックし、 [コンピューター グループの追加] を選択します。

  2. [コンピューター グループの追加] ダイアログで、新しいグループの名前を [名前] に指定します。 その後、 [追加] を選択します。

2.5. WSUS サーバーとの SSL 接続を確立するようにクライアント コンピューターを構成する

SSL を使用してクライアント コンピューターの接続を保護するように WSUS サーバーを構成した場合は、それらの SSL 接続を信頼するようにクライアント コンピューターを構成する必要があります。

WSUS サーバーの SSL 証明書は、クライアント コンピューターの信頼されたルート CA ストア、またはクライアント コンピューターの自動更新サービスの信頼されたルート CA ストア (存在する場合) にインポートする必要があります。

重要

必ずローカル コンピューターの証明書ストアを使用してください。 ユーザーの証明書ストアは使用できません。

クライアント コンピューターでは、WSUS サーバーにバインドされている証明書を信頼する必要があります。 使用される証明書の種類によっては、クライアント コンピューターが WSUS サーバーにバインドされている証明書を信頼できるようにするサービスを設定する必要があります。

ローカル発行を使用する場合は、WSUS サーバーのコード署名証明書を信頼するようにクライアント コンピューターを構成することも必要です。 手順については、「ローカル発行」を参照してください。

2.6. WSUS サーバーから更新プログラムを受信するようにクライアント コンピューターを構成する

既定では、クライアント コンピューターは Windows Update から更新プログラムを受信します。 代わりに WSUS サーバーから更新プログラムを受信するように構成する必要があります。

重要

この記事では、グループ ポリシーを使用してクライアント コンピューターを構成するための一連の手順を示します。 こちらの手順は多くの状況に適しています。 ただし、クライアント コンピューターで更新プログラムの動作を構成する場合、モバイル デバイス管理を使用するなど、他にも多くのオプションがあります。 これらのオプションについては、「その他の Windows Update 設定の管理」を参照してください。

2.6.1. 編集する正しいポリシー セットを選択する

ネットワーク内で Active Directory をセットアップした場合は、1 つまたは複数のコンピューターを同時に構成できます。これを行うには、それらをグループ ポリシー オブジェクト (GPO) に含めてから、その GPO を WSUS の設定で構成します。

WSUS の設定のみを含む新しい GPO を作成することをお勧めします。 お使いの環境に適切な Active Directory コンテナーにこの WSUS GPO をリンクします。

単純な環境では、単一の WSUS GPO をドメインにリンクする場合があります。 環境が複雑になると、複数の WSUS GPO をいくつかの組織単位 (OU) にリンクする場合があります。 GPO を OU にリンクすると、WSUS ポリシー設定をさまざまな種類のコンピューターに適用できます。

ネットワークで Active Directory を使用しない場合は、ローカル グループ ポリシー エディターを使用して各コンピューターを構成します。

2.6.2. ポリシーを編集してクライアント コンピューターを構成する

注意

こちらの手順では、ポリシー編集ツールの最新バージョンを使用することが前提となっています。 以前のバージョンのツールでは、ポリシーが異なる方法で定められている可能性があります。

  1. 該当するポリシー オブジェクトを開きます。

    • Active Directory を使用している場合は、グループ ポリシー管理コンソールを開き、WSUS を構成する GPO を参照して、 [編集] を選択します。 次に、 [コンピューターの構成] を展開し、 [ポリシー] を展開します。
    • Active Directory を使用していない場合は、ローカル グループ ポリシー エディターを開きます。 ローカル コンピューター ポリシーが表示されます。 [コンピューターの構成] を展開します。

  2. 前の手順で展開したオブジェクトで、 [管理用テンプレート] を展開し、 [Windows コンポーネント][Windows Update] の順に展開して、 [Manage end user experience](エンド ユーザー エクスペリエンスの管理) を選択します。

  3. 詳細ペインで、 [自動更新を構成する] をダブルクリックします。 "自動更新を構成する" ポリシーが開きます。

  4. [有効] を選択し、 [自動更新の構成] 設定で必要なオプションを選択して、承認された更新プログラムが自動更新によってどのようにダウンロードおよびインストールされるかを管理します。

    [自動ダウンロードしインストール日時を指定] 設定を使用することをお勧めします。 これにより、WSUS で承認した更新プログラムがダウンロードされ、適切なタイミングでインストールされます。ユーザーが介入する必要はありません。

  5. 必要に応じて、「その他の Windows Update 設定の管理」の説明に従って、このポリシーの他の部分を編集します。

    注意

    [その他の Microsoft 製品の更新プログラムのインストール] チェックボックスは、WSUS から更新プログラムを受信するクライアント コンピューターには影響しません。 これらのクライアント コンピューターでは、WSUS サーバーで承認されたすべての更新プログラムが受信されます。

  6. [OK] を選択して [自動更新を構成する] ポリシーを閉じます。

  7. ツリーの [Windows Update] ノードに戻り、 [Manage updates offered from Windows Server Update Service](Windows Server Update Service から提供されている更新プログラムを管理する) を選択します。

  8. [Manage updates offered from Windows Server Update Service](Windows Server Update Service から提供されている更新プログラムを管理する) 詳細ペインで、 [イントラネットの Microsoft 更新サービスの場所を指定する] をダブルクリックします。 [イントラネットの Microsoft 更新サービスの場所を指定する] ポリシーが開きます。

  9. [有効] を選択し、 [更新を検出するためのイントラネットの更新サービスを設定する][イントラネット統計サーバーの設定] の両方のテキスト ボックスに WSUS サーバーの URL を入力します。

    警告

    URL には必ず正しいポートを含めてください。 推奨どおり SSL を使用するようにサーバーを構成した場合は、HTTPS 用に構成されているポートを指定する必要があります。 たとえば、HTTPS にポート 8531 を使用することを選択し、サーバーのドメイン名が wsus.contoso.com である場合、両方のテキスト ボックスに「 https://wsus.contoso.com:8531 」と入力する必要があります。

  10. [OK] を選択して [イントラネットの Microsoft 更新サービスの場所を指定する] ポリシーを閉じます。

必要に応じてクライアント側でのターゲット設定を構成する

クライアント側でのターゲット設定を使用することを選択した場合、この段階で、構成するクライアント コンピューターに適切なコンピューター グループを指定する必要があります。

注意

これらの手順では、ポリシーを編集してクライアント コンピューターを構成する手順を完了したことを前提としています。

  1. [Manage updates offered from Windows Server Update Service](Windows Server Update Service から提供されている更新プログラムを管理する) 詳細ペインで、 [クライアント側のターゲットを有効にする] をダブルクリックします。 [クライアント側のターゲットを有効にする] ポリシーが開きます。

  2. [有効] を選択します。次に、クライアント コンピューターを追加する WSUS コンピューター グループの名前を [このコンピューターのグループ名をターゲットにする] ボックスに入力します。

    現在のバージョンの WSUS を実行している場合は、グループ名をセミコロンで区切って入力すると、複数のコンピューター グループにクライアント コンピューターを追加できます。 たとえば、「Accounting;Executive」と入力すると、Accounting と Executive の両方のコンピューター グループにクライアント コンピューターを追加できます。

  3. [OK] を選択して [クライアント側のターゲットを有効にする] ポリシーを閉じます。

2.6.3. クライアント コンピューターから WSUS サーバーに接続できるようにする

クライアント コンピューターは、WSUS サーバーへの初回接続まで WSUS 管理コンソールに表示されません。

  1. クライアント コンピューターでポリシーの変更が有効になるまで待ちます。

    Active Directory ベースの GPO を使用してクライアント コンピューターを構成した場合は、グループ ポリシー更新メカニズムによってクライアント コンピューターに変更が配信されるまでに少し時間がかかります。 この処理を迅速化するには、昇格された特権でコマンド プロンプト ウィンドウを開き、コマンド「gpupdate /force」を入力します。

    ローカル グループ ポリシー エディターを使用して個々のクライアント コンピューターを構成した場合、変更は直ちに有効になります。

  2. クライアント コンピュータを再起動します。 この手順により、コンピューター上の Windows Update ソフトウェアによってポリシーの変更が検出されます。

  3. クライアント コンピューターで更新プログラムをスキャンします。 通常、このスキャンには多少の時間がかかります。

    次のいずれかのオプションを使用して、プロセスを高速化できます。

    • Windows 10 または 11 の場合は、設定アプリの [Windows Update] ページを使用して、更新プログラムを手動でチェックします。
    • Windows 10 より前のバージョンの Windows の場合は、コントロール パネルの [Windows Update] アイコンをして、更新プログラムを手動でチェックします。
    • Windows 10 より前のバージョンの Windows では、昇格された特権でコマンド プロンプト ウィンドウを開き、コマンド「wuauclt /detectnow」を入力します。

2.6.4 クライアント コンピューターが WSUS サーバーに正常に接続されていることを確認する

上記のすべての手順を正常に実行した場合は、次のような結果になります。

  • クライアント コンピューターによって更新プログラムが正常にスキャンされます。 (ダウンロードしてインストールする適用可能な更新プログラムが見つからない場合もあります。)

  • およそ 20 分以内に、WSUS 管理コンソールに表示されるコンピューターの一覧に、ターゲットの種類に基づいてクライアント コンピューターが表示されます。

    • サーバー側でのターゲット設定を使用している場合、クライアント コンピューターは、[すべてのコンピューター] と [割り当てられていないコンピューター] のコンピューター グループに表示されます。

    • クライアント側でのターゲット設定を使用している場合、クライアント コンピューターは、[すべてのコンピューター] コンピューター グループと、クライアント コンピューターの構成時に選択したコンピューター グループに表示されます。

2.6.5. 必要に応じてクライアント コンピューターのサーバー側でのターゲット設定を行う

サーバー側でのターゲット設定を使用している場合、この段階で、新しいクライアント コンピューターを適切なコンピューター グループに追加する必要があります。

  1. WSUS 管理コンソールで、新しいクライアント コンピューターを見つけます。 これは、WSUS サーバーのコンピューターの一覧の [すべてのコンピューター] と [割り当てられていないコンピューター] のコンピューター グループに表示されています。

  2. クライアント コンピューターを右クリックし、 [メンバーシップの変更] を選択します。

  3. ダイアログで、該当するコンピューター グループを選択し、 [OK] を選択します。