なんか2018年の5月上旬はWindowsUpdateが忙しいらしいですよ!
- 日本時間で5/1頃に、Windows10 の機能アップデートが来るらしい
- 日本時間で5/9頃に、Windows7,8.1,10 あとWindows Server の定例アップデートが来るが、
アップデートの一部(CredSSPの設定変更)でRDPやHyper-Vのコンソールの挙動が変わるらしい(山市…もとい山内さん記事)
https://yamanxworld.blogspot.jp/2018/04/2018-5-9-rdp.html
→実際には2018/03,04の月例アプデでサーバ側のアップデートが終わっている前提で、2018/05にアップデートに対応したパラメータでのRDP接続をデフォルトにする設定がはいる..っぽい。なので、Windows Server(というか被操作側)に2018/03のアプデが入っていたら、RDP操作不能はないよー(と、読める)
https://blogs.technet.microsoft.com/askcorejp/2018/05/02/2018-05-rollup-credssp-rdp/
というわけで、簡単ですがWindowsUpdateで遊んでみます。
WSUSを入れてない環境の場合
WSUS を入れてない環境の場合は、結構横着な手段になるかなーと思います。
- コマンドラインでブン殴る
Windows7/8.1と、そのサーバ版のWindows Server 2008/12 の場合は
wuauclt /detectnow
wuapp.exe
の組み合わせを延々と繰り返すか、MBSAで情報採取してよしなにバッチ処理でそこそこいけます。めんどくせえけど。
https://gplains.wordpress.com/2014/10/25/cmdline/
…Windows 10はGUIだっけか。(おい - 月例ロールアップを取ってきてぶっこむ
流石にMBSAで100-200個とかアップデートはやってられないのもあるのか、ここ1-2年前くらいから、月例ロールアップが出るようになりました。やったぜ。
以下のURIにほしいKB番号を入れて、対象のOS/アーキテクチャ(x86かx86_64か)を選択して、ダウンロードして、複数で使いまわすならそれなりの方法で配布して(NTFSで初期化したようなUSBデバイスとか?)よしなに実行しましょう。あ、ウィルスチェックは念のため受信時実行時の2回やろうね!
https://www.catalog.update.microsoft.com/Home.aspx
Windows10 の場合は機能アップデート(昔で言うサービスパックみたいなもの)もコレを使えばよいです。
Windows10のスペシャルな機能、「P2Pでアップデート配布」は今のとこウチ(の貧弱安Wi-Fi)ではうまくいった試しがないので、MSKBカタログで受信したのを使ってます。はい。
WSUSを入れてみる!
Windows2012の評価版複数台と、Windows10の評価版1台でWSUS環境を作って遊んでみました。
- 導入
Windows Server 2012の場合、「役割/機能の追加」でWSUSを追加します。
途中でディレクトリ(フォルダ?)を選択するところで、「システムドライブと別の」ドライブレター配下に掘ったフォルダを指定しておくと、システムドライブのバックアップとかで幸せになれます。 - 登録
WSUSを利用する側のクライアントで、グループポリシーを変更します。
gpedit.msc
「コンピュータの管理」→「管理用テンプレート」→「Windowsコンポーネント」→「Windows Update」の順に遷移。
「イントラネットのMicrosoft更新サービスの場所を指定する」にて、「有効」にチェックを入れ、「 https://IPADDR:8530 」形式でアップデートサーバを指定。サーバが複数台構成の場合はアレですが、うちはWSUSサーバ1台だぜ!という漢気ある場合は更新サーバと統計サーバを一緒にしておきましょう。
「自動更新を構成する」では、「有効」にチェックした後、「2.ダウンロードと自動インストールを通知」もしくは「3.自動ダウンロードしインストールを通知」のどっちかを選ぶとよいでしょう。
個人的には、「2.ダウンロードと自動インストールを通知」のほうかな。すでに承認済みだったら別に3.でもいいじゃん!って思うんですが、一応ダウンロード前とインストール前の2回、確認を出させるようにしています。 - 承認と配信
WSUSサーバとクライアントの間で更新情報データベースが構成されると、WSUSサーバの持っている情報をもとに配布対象のアップデータが「承認待ち」になります。
ここで個別に適用時のリスク(benefit/threat/attention)を考える必要は、あります。
アップデートの配信を承認したら、あとは普段のWindows Updateと同じで、WSUSサーバが一時データとしてアップデータをため込んで、それを各クライアントに配布します。 - WIndows10 対応でハマったこと
予め「KB3159706」を導入しておく(Windows2012/R2に限る、あと追加手順が結構めんどくさい)
“WSUSのオプション「製品と分類」にて、製品として「Windows 10」、分類として「Upgrades」が同期対象として選択されている”
IISの「content」に、.esd ファイルに対する扱いを追加する(Windows 2012/R2には、既定で .esdに対するmime設定が存在しない)
https://blogs.technet.microsoft.com/jpwsus/2018/01/26/win10-matome/
WSUSでのアップデータ管理、ワクワクするなぁ…。
おまけ:お掃除
Windows Serverの場合、「デスクトップエクスペリエンス」の機能を追加しないと明示的に「ディスクのクリーンアップ」が行えませんが、コマンドラインからdismコマンドを発行してWinSXS領域をお掃除できる模様です。企業内ではなるべく使わない(C:をがっつり確保するとか)、もしくはリリース管理でここまではOKの枠組をつくりませう。はい。
以下、MSDNの記事、hebikuzureさんの記事を参照。
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-8.1-and-8/dn251565(v=win.10)
https://hebikuzure.wordpress.com/2015/03/28/winsxs-%E3%83%95%E3%82%A9%E3%83%AB%E3%83%80%E3%83%BC%E3%81%AE%E3%82%AF%E3%83%AA%E3%83%BC%E3%83%B3%E3%82%A2%E3%83%83%E3%83%97/