none
SCCMとWSUSの構成について RRS feed

  • 質問

  • SCCMについてご教示いただきたいことがあります。

    現在以下のような構成のサーバーがあります。

    <システム構成>

    WSUSサーバー・・・①

    SCCMサーバー・・・②

    クライアントサーバー・・・③

    ①WSUSサーバーはMSサイトからWindows Defender の定義体を取得しています。

    ②SCCMサーバーはクライアントサーバーにWindows Defender の定義体を配布しています。

    ③クライアントサーバーはWindows Server 2016および2012R2です。

    今後、上記の構成に加えて、新たにWSUSサーバーを1台構築し、以下のような構成にできないか検討しています。

    新規WSUSサーバー・・・A

    クライアントサーバー・・・③

    ・新規WSUSサーバーではMSサイトからセキュリティ問題の修正プログラムを取得する。

    ・取得した修正プログラムはクライアントサーバーに配布する。

    ・クライアントサーバーは現在の構成のクライアントサーバーと同一である。

    この際、以下の構成が可能でしょうか?

    <パターン1>

    SCCMサーバーでソフトウェア更新ポイントを2つ作成し、「Windows Defender定義体」は①のWSUSサーバーから取得、

    「セキュリティ問題の修正プログラム」はAの新規WSUSサーバーから取得する。

    それぞれのパッチをクライアントサーバーに配布する。

    <パターン2>

    クライアントサーバーのGPOで新規WSUSサーバーから「セキュリティ問題の修正プログラム」を取得するように設定する。

    「Windows Defender定義体」は今までどおり、SCCMサーバーから配布するようにする。

    この際、クライアントサーバーは「Windows Defender定義体」と「セキュリティ問題の修正プログラム」の取得元サーバーが

    異なると思うので、設定が競合して、どちらか一方の動作に影響を及ぼすなどありますでしょうか?

    WSUS、SCCMについてまだ知識が浅いため、このような仕組みで構築した経験がある方などご教授いただけないでしょうか。

    よろしくお願いいたします。

    2020年5月17日 3:33

回答

  • 前提として・・・

     

    複数のソフトウェア更新ポイント

    SCCM のソフトウェア更新ポイントを複数構成しても、複数のアップストリームから同期できる訳では無く、アップストリームはSCCMサイト全体で1つとなります。(2つ目以降はレプリカとして構成される)

    https://docs.microsoft.com/ja-jp/mem/configmgr/sum/get-started/install-a-software-update-point

     

    WSUSとSCCMの併用

    双方ともにWindowsUpdateの仕組み(MSカタログを利用したスキャン等)を利用していますので、併用するといった事はできない認識です。

    例えば、参照先WSUSを指定する「イントラネットの Microsoft 更新サービスの場所を指定する」のポリシーは、SCCMクライアント側でローカルポリシーとして設定されソフトウェア更新ポイントが指定されていますので、別ポリシー (ADのGPOなど) で該当のポリシーを設定した場合は設定が競合し意図しない動作を引き起こしてしまいます。

    Windows Defender の定義ファイルについても、基本的にWindowsUpdateの仕組みを利用して更新されますので、これらに該当します。

     

     

    つまり、記載されているパターン12ともに実現できないと思われます。

    いま頂いている情報を基に簡易な方法を考えると、"既存WSUSサーバー①" "既存SCCMサーバー②" で必要な「セキュリティ問題の修正プログラム」を同期・ダウンロードする様に構成し、SCCMを利用してWindows Defender の定義ファイルとセキュリティ問題の修正プログラムの両方を配布するのが良いのではないでしょうか。

    2020年6月2日 10:23

すべての返信

  • pochinyanさん、こんにちは。フォーラムオペレーターのFarenaです。

    TechNetフォーラムにご投稿くださいましてありがとうございます。

     

    フォーラムのユーザーからの回答がつきにくいうようですので、問題を解決するためのより適切なチャネルである WSUSフォーラムにお問い合わせいただくことをお勧めします

    https://social.technet.microsoft.com/Forums/ja-JP/home?forum=wsusja

    適切な回答が得られやすくなること、後から検索で回答を探しやすくなる、といったメリットがあるためです。

     

    また、英語とはなりますが米国のフォーラムに投稿いただくこともご検討ください。

    私共でもご案内できる情報がないか確認いたします。


    Please remember to mark the replies as answers if they help.
    "Windows 10 Installation, Setup, and Deployment" forum will be migrating to a new home on Microsoft Q&A (Preview)!
    We invite you to post new questions in the "Windows 10 Installation, Setup, and Deployment" forum’s new home on Microsoft Q&A (Preview)!
    For more information, please refer to the sticky post.


    2020年6月2日 6:29
    モデレータ
  • 前提として・・・

     

    複数のソフトウェア更新ポイント

    SCCM のソフトウェア更新ポイントを複数構成しても、複数のアップストリームから同期できる訳では無く、アップストリームはSCCMサイト全体で1つとなります。(2つ目以降はレプリカとして構成される)

    https://docs.microsoft.com/ja-jp/mem/configmgr/sum/get-started/install-a-software-update-point

     

    WSUSとSCCMの併用

    双方ともにWindowsUpdateの仕組み(MSカタログを利用したスキャン等)を利用していますので、併用するといった事はできない認識です。

    例えば、参照先WSUSを指定する「イントラネットの Microsoft 更新サービスの場所を指定する」のポリシーは、SCCMクライアント側でローカルポリシーとして設定されソフトウェア更新ポイントが指定されていますので、別ポリシー (ADのGPOなど) で該当のポリシーを設定した場合は設定が競合し意図しない動作を引き起こしてしまいます。

    Windows Defender の定義ファイルについても、基本的にWindowsUpdateの仕組みを利用して更新されますので、これらに該当します。

     

     

    つまり、記載されているパターン12ともに実現できないと思われます。

    いま頂いている情報を基に簡易な方法を考えると、"既存WSUSサーバー①" "既存SCCMサーバー②" で必要な「セキュリティ問題の修正プログラム」を同期・ダウンロードする様に構成し、SCCMを利用してWindows Defender の定義ファイルとセキュリティ問題の修正プログラムの両方を配布するのが良いのではないでしょうか。

    2020年6月2日 10:23
  • 詳細にご回答いただきありがとうございます。

    勉強になりました。

    頂いた情報を元に構成を再検討しようと思います

    2020年6月9日 4:11