みなさま、こんにちは。WSUS サポート チームです。
オフライン環境でも更新プログラムの管理を WSUS から行ないたい!と、弊サポート チームによくお問い合わせをいただきます。オフライン環境でも、もちろん WSUS を利用することは可能なのですが、オフライン WSUS サーバーの構築には、ちょっとしたコツや注意点がいくつかあるので、今回のブログではオフライン WSUS サーバーの構築手順と合わせて、そのような点を紹介します。
是非これから構築を行われる方や、試しに構築してみたけど上手くいかないという方の一助となれば幸いです。
必要な構成
オフライン環境に WSUS を用意するためには、下記の 2 台の WSUS サーバーを用意する必要があります。
- インターネットと接続できるオンライン WSUS サーバー
- オフラインネットワーク内のオフライン WSUS サーバー
構築手順の概要
オフライン WSUS サーバーの構築時には、オンライン WSUS サーバーから下記の 2 つのデータを移行し、オフライン WSUS サーバーへインポートします。
- カタログのメタデータ (更新プログラムのリスト)
- WsusContent フォルダ (更新ファイル)
具体的には下記の順に作業を進めていきます。
- インターネットと接続できる WSUS サーバーにて、Microsoft Update サイトよりカタログ情報やコンテンツデータをダウンロードします。
※ この時に、必ずオフライン側で配信したい更新プログラムをオンラインの WSUS サーバーでインストール承認して、ダウンロードしておく必要があります。この時点で、オフラインで必要なファイルをダウンロードしていない場合、構築に必ず失敗します。
- wsusutil コマンドにてカタログ情報をインターネットと接続できる WSUS サーバーからエクスポートします。
- インターネットと接続できる WSUS サーバーからリムーバブルメディアに、エクスポートした情報と、コンテンツデータをコピーします。
- オフラインネットワーク内の WSUS サーバーへリムーバブルメディアから、エクスポートされた情報と、コンテンツデータをペーストします。
- オフラインネットワーク内の WSUS サーバーにて wsusutil コマンドにてインポートします。
- オフラインネットワーク内の WSUS サーバーにて対象の更新プログラムを承認し、配布します。
さらに詳細な手順は下記にご案内します。
構築手順の詳細
オンライン WSUS サーバー、オフライン WSUS サーバーで共通の手順
- 下記の公開情報の手順に従い、オンライン WSUS サーバーとオフライン WSUS サーバーをインストールします。
- 手順 2: WSUS サーバーの役割をインストールする
※ WSUS に適用する更新プログラムはこちらのブログで紹介しています。オンライン WSUS サーバーとオフライン WSUS サーバーは更新プログラムの適用状況も含めて、バージョンは合わせる必要があるので、注意してください。
- 下記の手順に従い、オプション設定の変更を必要に応じて行います。
- 手順 3: WSUS を構成する
※ オフライン環境の WSUS につきましては、下記の通りオプションを設定してください。オフラインの WSUS では、オンライン環境からエクスポートしたコンテンツや メタデータをインポートするため、同期処理を行わないように、設定をする必要があります。
- [更新ファイルと更新言語] の [更新ファイル] タブおよび [言語の更新] タブの内容を、オンラインとオフライン WSUS サーバーにて相違のないように設定してください。
- [更新元およびプロキシサーバー] の [更新元] を [Microsoft Update から同期する] に設定してください。
- [同期スケジュール] を [手動で同期する] に設定してください。
オンライン WSUS サーバーでの実施手順
- Microsoft Update とオンライン WSUS サーバーを同期させ、メタデータを同期します。
- オンライン WSUS サーバーにて、オフライン WSUS サーバーにて配信する予定の更新プログラムを承認し、更新プログラム ファイルをダウンロードします。
※ インストール承認後は、WSUS 管理コンソールの下記の箇所からダウンロードが完了したことを必ず確認してください。ダウンロードが完了していない状態で手順を進めると構築に失敗します。
- オンライン WSUS サーバーから更新プログラムのメタデータをエクスポートします。
5.1 Microsoft Update と疎通できるオンライン WSUS サーバーにログインします。
5.2 管理者権限にてコマンドプロンプトを起動し、以下のコマンドを実行します。
※ Windows Server 2012 R2 より前の環境では更新プログラムの適用を行っていないと、下記のコマンドの実行が出来ません。詳細につきましては、このブログをご参照ください。
例) エクスポートするメタデータを export.cab として
C:\Program Files\Update Services\Tools に作成する場合
cd "C:\Program Files\Update Services\Tools"
wsusutil.exe export export.xml.gz export.log
- オンライン WSUS サーバーから更新プログラム ファイルが保管されている WSUSContents フォルダおよび、上記の手順で出力した export.xml.gz を USB ドライブや共有フォルダにコピーし、オフライン環境のWSUS サーバーへコピー出来るようにします。この時、WSUSContents フォルダについては、同じフォルダ構成にてコピーしてください。
オフライン WSUS サーバーでの実施手順
- オフライン WSUS サーバーにて WsusContent フォルダに関する以下のアクセス権限を設定/確認します。
7.1 ドライブのルート (例:C:\ など) に、最低でも Users グループ または Network Service アカウントに対して [読み取り] アクセス許可
7.2 WSUSContent フォルダが作成されるルートフォルダ (例: C:\WSUS など) に対し、最低でも Users グループならびに Network Service アカウントの両方に [読み取り] アクセス許可
- WSUSContents フォルダを、オフライン環境のWSUS サーバーへ同じフォルダ構成にてコピーします。この手順でコピーが完了してから、次の手順を実施しないと失敗いたしますので、ご注意ください。
- Microsoft Update と疎通できる WSUS サーバーからエクスポートした export.xml.gz ファイルを、オフライン環境 WSUS サーバーの任意の場所にコピーします。
- オフライン WSUS サーバーにてエクスポートされた更新プログラムのメタデータをインポートします。
9.1. オフライン環境の WSUS サーバーにログインします。
9.2. 管理者権限にてコマンドプロンプトを起動し、以下のコマンドを実行します。
※ Windows Server 2012 R2 より前の環境では更新プログラムの適用を行っていないと、下記のコマンドの実行が出来ません。詳細につきましては、このブログをご参照ください。
例) export.cab ファイルを C:\Program Files\Update Services\Tools にコピーした場合
cd "C:\Program Files\Update Services\Tools"
wsusutil.exe import import.xml.gz import.log
- オフライン WSUS サーバーにて、手順 4 にて承認した配信を行う更新プログラムの承認を実施し、WSUS クライアントへ配信を行います。
※ 手順 4 でインストール承認し、ダウンロードが完了していない更新プログラムは、オフライン WSUS サーバーでインストール承認することは出来ませんので、ご注意ください。