クライアントのWindowsUpdateサイトをSCEに向けたいのですが。

すべての返信

• 

  

  0

  サインインして投票

   

  haru1ban 様

  こんにちは、forknife と申します。

   

  私は SCE 自体の運用経験はないのですが、自動更新のグループ ポリシーについては多く手にかけてきましたので、そちらの視点からいくつか申し上げます。

   

  1. GPO の設定項目について

  ＞GPMCから、system centere Essentials ALL Computers policyにて
  ＞コンピュータの構成→管理用テンプレート→Windowsコンポーネント→WindowsUpdate→イントラネットのMicrosoft
  ＞更新サービスの場所を指定する→有効（宛先をSCEに向ける）。

   

  WSUS を利用する場合、以下の2つの項目について設定されていることが条件となります。

  ・自動更新を構成する

  ・イントラネットの Microsoft 更新サービスの場所を指定する

  これは「イントラネットの Microsoft 更新サービスの場所を指定する」ポリシーの動作の前提条件が、「自動更新を構成する」ポリシーが構成されていること、であるためです。(ポリシーの「説明」欄をご参照ください)

  「自動更新を構成する」ポリシーが構成されていることをご確認ください。

   

   

  2. GPO の適用対象について

  「system centere Essentials ALL Computers policy」GPO の適用対象のオブジェクトは何になっていますでしょうか。

  自動更新の構成は、ポリシーの「コンピュータの構成」で定義されているため、このGPOがWSUSを参照させたいコンピュータ アカウントの配置されているOU、もしくはその上位オブジェクト(ドメイン、サイト、上位階層OUのいずれか) に対して適用されている必要があります。

  「system centere Essentials ALL Computers policy」GPO の適用対象オブジェクトに対象コンピュータのアカウントが含まれていることをご確認ください。

   

  3. Windows XP クライアントのポリシー適用時の挙動について

  これはおそらく原因ではないものと思われますが、Windows XP では高速ログオン機能が既定で有効化されており、GPOの適用に複数回の再起動 (コンピュータの構成を適用する場合)、またはログオン (ユーザーの構成を適用する場合) が必要になる場合があります。

  http://support.microsoft.com/kb/305293/ja

   

  すでに複数回の再起動を試されているかとは思いますが、ご参考までにお知らせします。

   

  以上、ご参考まで。

  2008年6月11日 23:50
• 

  

  0

  サインインして投票

  forknife様

   

  はじめまして、haru1banです。

  情報のご提供、誠にありがとうございます。

   

  教えていただいた内容を確認しようと思いましたが、SCE2007へのSP1適用後

  正常にSCE2007が起動しなくなってしまったため、現在再インストールを行っております。

   

  再インストール後、再度実施させていただきたいと思います。

   

  ありがとうございました。

   

  ※また、その際にご質問させていただくかもしれませんので

  　お時間のあるときにご教授のほど、宜しくお願いいたします。

   

  2008年6月13日 11:13
• 

  

  0

  サインインして投票

   

  forknife様

  こんにちわ。haru1banです。

   

  やっと、SCE2007の再構築が終わり、ご教授いただいた内容を確認しております。

   

  まず、現在のGPOのリンク内容をドメコン上のＧＰＭＣで確認しました。

   

  ■ドメインのリンク内容

  １．SCE Managed Computers Group Policy (SCE07_MG)　　強制：いいえ　GPOの状態：有効　場所：ドメイン

  ２．System Center Essentials All Computers Policy（有効）　　強制：いいえ　GPOの状態：有効　場所：ドメイン

  ３．Default Domain Policy(有効）　　強制：いいえ　GPOの状態：有効　場所：ドメイン

   

  ■コンテナのリンク内容

  GPOを適用したいコンテナ（今回はsalesというコンテナです）のリンクを確認したところ

  「Default Domain Policy」だけが、「リンクされたグループポリシーオブジェクト」に登録されておりました。

  ただし、「グループポリシーの継承」タブを確認すると以下のうような優先順位でした

   

  １．Default Domain Policy　場所：sales(コンテナ）　GPOの状態：有効　

  ２．SCE Managed Computers Group Policy (SCE07_MG)　場所：ドメイン　　GPOの状態：有効　

  ３．System Center Essentials All Computers Policy（有効）　場所：ドメイン　　GPOの状態：有効　

  ４．Default Domain Policy(有効）　場所：ドメイン　　GPOの状態：有効　

   

  GPOのリンク的には問題ないようです。

   

   

  また、

  「グループポリシーオブジェクト」→「System Center Essentials All Computers Policy」

  →「スコープ」→「リンク」には、ドメインがリンクされておりました。

   

  次に、System Center Essentials All Computers Policyの設定について、以下２箇所を設定しました。

  「自動更新を構成する」　：未構成→有効

  「イントラネットMicrosoft更新サービスの場所を指定する」　：未構成→有効（SCEサーバを指定）

   

  ちなみに、「Default Domain Policy」において上記２箇所については「未構成」でした。

   

  その後、ドメインユーザの端末側で「gpupdate　/force」を実行しました。

   

  さて、ここで質問ですが、

  ドメインユーザの端末側にて、GPO設定が反映されたかを確認するにはどのようにすれば良いのでしょうか？

  gpupdateを実行した、ドメインユーザの端末側で「gpedit.msc」によりグループポリシーオブジェクトエディタを

  開き、該当の２箇所の設定を確認すると「未構成」でした。

  MicrosoftUpdateを手動で実行しても、アクセス先はMicrosoftのようです。

  という

   

  お忙しいところ、お手数ですが、お時間のあるときにご教授ください。

   

   

   

   

  2008年6月17日 1:59
• 

  

  0

  サインインして投票

  forknife様

   

  こんにちわ。haru1banです。

   

  クライアント側のレジストリを確認すると以下のようになっておりました。

   

  . [HKEY_LOCAL_MACHINE]→[Software]→[Policies]→[Microsoft]→[Windows]→[WindowsUpdate]の以下パラメータに

  SCE2007サーバへのURLが記載されておりました。

   

  WUServer：https://sce07.ドメイン名:8531

  WUStatusServer：https://sce07.ドメイン名:8531

   

  ありがとうございました。

  実際にアップデートも行われているようでした。

   

  ただ、アップデートがあるとインストールまで行われてしまうのです。

  インストールは利用者に操作させる。という設定に変更したいのですが、これは可能でしょうか？

   

   

  2008年6月19日 8:40
• 

  

  0

  サインインして投票

  haru1ban 様

  こんにちは、forknifeです。

   

  無事 SCE サーバーからの更新までは実現できたとのことで良かったです。

   

  ご質問頂いた「クライアントのダウンロードは自動、インストールは手動で実行させる方法」ですが、

  以下の方法で実現することができます。

   

  「system centere Essentials ALL Computers policy」GPO の項目を以下の通り編集します。

  • [Windows シャットダウン] ダイアログ ボックスで [更新をインストールしてシャットダウン] オプションを表示しない
  • [Windows シャットダウン] ダイアログ ボックスで既定のオプションを [更新をインストールしてシャットダウン] に調整しない
  • 自動更新を構成する
    • 自動ダウンロードしインストールを通知
  • イントラネットの Microsoft の更新サービスの場所を指定する
    • https://sce07.ドメイン名:8531 (イントラネット統計サーバーの設定も同じ)
  • クライアント側のターゲットを有効にする
  • 自動更新のインストールを再度スケジュールする
  • スケジュールされた自動更新インストールに対しては自動再起動しない
    • 有効 or 未構成 (インストールまで自動化、再起動を手動とする場合に「有効」にします。未構成だとユーザーが手動でインストールおよび再起動を実行できます)
  • 自動更新の検出頻度
  • 自動更新を直ちにインストールすることを許可する
  • スケジュールされたインストールの再起動を遅らせる
  • スケジュールされたインストール時の再起動を再確認する
    • 有効 or 未構成 (再起動を確認するダイアログが表示される間隔が、未構成だと10分です。「有効」とし、1分～24時間までの範囲で変更することができます)
  • 非管理者による更新の通知の受信を許可する
    • 有効
  • 自動更新により推奨される更新を有効にする
  • Windows Update の電源管理を有効にして、システムのスリープ状態が自動的に解除され、スケジュールされた更新がインストールされるようにする
  • イントラネットの Microsoft 更新サービスの保存場所にある署名済みコンテンツを許可する

  なお、「自動更新を構成する」ポリシーを「自動ダウンロードしインストール日時を指定」に調整した場合は、ローカルの管理者権限を持たないユーザーは強制的な再起動 (カウントダウンあり) を回避できなくなります。

   

  ただしクライアント コンピュータを利用するユーザー アカウントに対して「Windows Update へのリンクとアクセスを削除する」が有効となっていると、ご要望の動作を実現できませんので、未構成、または無効としてください。

  このポリシーのパスについては、「◆参考◆」に記載したリンクをご参照ください。

   

  また、クライアントに適用されている設定値を確認する方法については、「GPResult.exe」コマンドを実行する方法があります。

  そのほか、既にご確認いただいているレジストリ エントリでも確認することができます。

   

  ◆参考◆

  ▼グループ ポリシーを使用して自動更新を構成する

  http://www.microsoft.com/japan/technet/windowsserver/2003/library/wsus/wsusdeploymentguidetc/51c8a814-6665-4d50-a0d8-2ae27e69ca7c.mspx?mfr=true

   

  ▼Active Directory 以外の環境で自動更新を構成する
  http://www.microsoft.com/japan/technet/windowsserver/2003/library/wsus/wsusdeploymentguidetc/75ee9da8-0ffd-400c-b722-aeafdb68ceb3.mspx?mfr=true

  2008年6月20日 3:44
• 

  

  0

  サインインして投票

  Forknife様

   

  お忙しい中、詳細な情報のご教授誠にありがとうございます。

  ご教授いただいた内容を元にsystem centere Essentials ALL Computers policyの確認を行ったのですが

  設定の項目名などに若干の違いがございましたので、変更前に調べた内容をご報告させていただきます。

   

  その前に、今回いただいた情報を元に現在の設定、動作などを確認した上で、新たに湧き上がった疑問を先に書かせていただきます。

   

  ■新たなる疑問

  ・「ダウンロードだけで、インストールはしない」という制御はできず、「ダウンロード、インストールは自動で行われるが、インストール後の再起動を制御できる」というものなのかな、と思いました。

  　

  　ダウンロードまでは自動実施させて、インストールの可否、実施タイミングは利用者に選択させたいのですが、

  　ポリシーの説明を読むとそんな理解となるのですが…

  　（別の言い方であると「ダウンロードの手間だけ、自動でWSUS経由にしたい。インストールは利用者各自の作業とする」という要望になるでしょうか。SCE導入後、SP3などが自動で適用されてしまう事象が出ておりまして悩んでおります）

   

  　そもそも、そんな管理は想定されていないのでしょうか。

   

  ■現状の設定

  とりあえず、現在のSCE内にGPMCをインストールし、調べてみたところ以下のように設定されておりました。

  SCE Managed Computers Group Policy (SCE07_MG)については、私の方で設定した覚えがないので自動でポリシーが作成されていたようです。

   

  [Windows シャットダウン] ダイアログ ボックスで [更新をインストールしてシャットダウン] オプションを表示しない

  　　　　　system centere Essentials ALL Computers policy：未構成

  　　　　　SCE Managed Computers Group Policy (SCE07_MG)：未構成

  • [Windows シャットダウン] ダイアログ ボックスで既定のオプションを [更新をインストールしてシャットダウン] に調整しない

  　　　　　system centere Essentials ALL Computers policy：未構成

  　　　　　SCE Managed Computers Group Policy (SCE07_MG)：未構成

   

  • 自動更新を構成する
    • 自動ダウンロードしインストールを通知

  　　　　　system centere Essentials ALL Computers policy：有効(3-自動ダウンロードしインストールを通知）　

  　　　　　SCE Managed Computers Group Policy (SCE07_MG)：有効 (4-自動ダウンロードしインストールを日時指定：毎日3時)

   

  　　　　　　※グループポリシーの継承では、以下優先順位ですので、現在は、SCE Managed Computers Group Policy の設定が有効になっているということですね。

  　　　　　　　　１．Default Domain Policy

  　　　　　　　　２．SCE Managed Computers Group Policy

  　　　　　　　　３．system centere Essentials ALL Computers policy

  • イントラネットの Microsoft の更新サービスの場所を指定する
    • https://sce07.ドメイン名:8531 (イントラネット統計サーバーの設定も同じ)

  　　　　　system centere Essentials ALL Computers policy：有効：https://sce07.ドメイン名:8531 (イントラネット統計サーバーの設定も同じ)

  　　　　　SCE Managed Computers Group Policy (SCE07_MG)：有効：https://sce07.ドメイン名:8531 (イントラネット統計サーバーの設定も同じ)

  • クライアント側のターゲットを有効にする

  　　　　　system centere Essentials ALL Computers policy：未構成

  　　　　　SCE Managed Computers Group Policy (SCE07_MG)：未構成

  • 自動更新のインストールを再度スケジュールする

  　　　　　system centere Essentials ALL Computers policy：未構成

  　　　　　SCE Managed Computers Group Policy (SCE07_MG)：未構成

  • スケジュールされた自動更新インストールに対しては自動再起動しない
    • 有効 or 未構成 (インストールまで自動化、再起動を手動とする場合に「有効」にします。未構成だとユーザーが手動でインストールおよび再起動を実行できます)

  　　　　　system centere Essentials ALL Computers policy：未構成（というか、「ログオンしているユーザがいる場合は、スケジュールされた自動更新インストールに対しては自動再起動しない」という内容でした。

  　　　　　SCE Managed Computers Group Policy (SCE07_MG)：有効：

  • 自動更新の検出頻度

  　　　　　system centere Essentials ALL Computers policy：未構成

  　　　　　SCE Managed Computers Group Policy (SCE07_MG)：未構成

  • 自動更新を直ちにインストールすることを許可する

  　　　　　system centere Essentials ALL Computers policy：未構成

  　　　　　SCE Managed Computers Group Policy (SCE07_MG)：未構成

  • スケジュールされたインストールの再起動を遅らせる

  　　　　　system centere Essentials ALL Computers policy：未構成

  　　　　　SCE Managed Computers Group Policy (SCE07_MG)：未構成

  • スケジュールされたインストール時の再起動を再確認する
    • 有効 or 未構成 (再起動を確認するダイアログが表示される間隔が、未構成だと10分です。「有効」とし、1分～24時間までの範囲で変更することができます)

  　　　　　system centere Essentials ALL Computers policy：未構成

  　　　　　SCE Managed Computers Group Policy (SCE07_MG)：未構成

  • 非管理者による更新の通知の受信を許可する
    • 有効

  　　　　　system centere Essentials ALL Computers policy：未構成

  　　　　　SCE Managed Computers Group Policy (SCE07_MG)：未構成

   

  • 自動更新により推奨される更新を有効にする

  　　　　　system centere Essentials ALL Computers policy：未構成

  　　　　　SCE Managed Computers Group Policy (SCE07_MG)：未構成

   

  • Windows Update の電源管理を有効にして、システムのスリープ状態が自動的に解除され、スケジュールされた更新がインストールされるようにする

  　　　　　system centere Essentials ALL Computers policy：未構成

  　　　　　SCE Managed Computers Group Policy (SCE07_MG)：未構成

  • イントラネットの Microsoft 更新サービスの保存場所にある署名済みコンテンツを許可する

  　　　　　system centere Essentials ALL Computers policy：未構成

  　　　　　SCE Managed Computers Group Policy (SCE07_MG)：有効

   

   

  以上です。

   

  2008年6月23日 3:12
• 

  

  1

  サインインして投票

  forknife です。

   

  申し訳ありません。余計な選択肢を持たせたのでややこしくなってしまいましたね。

   

  >ダウンロードまでは自動実施させて、インストールの可否、実施タイミングは利用者に選択させたい

  こちらのご要望についてですが、結論から申し上げますと以下のポリシー設定が適用されていれば実現できます。

  • [Windows シャットダウン] ダイアログ ボックスで [更新をインストールしてシャットダウン] オプションを表示しない
  • [Windows シャットダウン] ダイアログ ボックスで既定のオプションを [更新をインストールしてシャットダウン] に調整しない
  • 自動更新を構成する
    • 自動ダウンロードしインストールを通知
  • イントラネットの Microsoft の更新サービスの場所を指定する
    • https://sce07.ドメイン名:8531 (イントラネット統計サーバーの設定も同じ)
  • クライアント側のターゲットを有効にする
  • 自動更新のインストールを再度スケジュールする
  • スケジュールされた自動更新インストールに対しては自動再起動しない
    • 未構成
  • 自動更新の検出頻度
  • 自動更新を直ちにインストールすることを許可する
  • スケジュールされたインストールの再起動を遅らせる
  • スケジュールされたインストール時の再起動を再確認する
    • 未構成
  • 非管理者による更新の通知の受信を許可する
    • 有効
  • 自動更新により推奨される更新を有効にする
  • Windows Update の電源管理を有効にして、システムのスリープ状態が自動的に解除され、スケジュールされた更新がインストールされるようにする
  • イントラネットの Microsoft 更新サービスの保存場所にある署名済みコンテンツを許可する

  従って、ご提供頂いた情報から、期待する動作とならない原因は「SCE Managed Computers Group Policy (SCE07_MG)」の設定値であると言えます。

  クライアント コンピュータに対して上記の各ポリシー設定が反映されるようすれば、ご要望を満たすことは可能ですので、条件次第で以下の対処法を講じてはいかがでしょうか。

   

  • 「SCE Managed Computers Group Policy (SCE07_MG)」と「system centere Essentials ALL Computers policy」の対象クライアントが同じ場合
    • 「SCE Managed Computers Group Policy (SCE07_MG)」を正しく構成し直します。

  • 「SCE Managed Computers Group Policy (SCE07_MG)」と「system centere Essentials ALL Computers policy」の対象クライアントが異なる場合
    • 対象クライアントが正しいほうのポリシーを正とし、設定値を正しく構成します。対象クライアントが正しくないほうのポリシーはOUに対するGPOのリンクを解除します。

  ただし、「system centere Essentials ALL Computers policy」が手動で作成されたものである場合は、システムによって自動作成された「SCE Managed Computers Group Policy (SCE07_MG)」を正として扱うことをお勧めします。

  理由は自動更新以外にも SCE で必要な設定値が自動的に構成されている可能性があるためです。

   

  以上、ご参考まで。

  2008年6月24日 0:41
• 

  

  0

  サインインして投票

  forknife様

   

  haru1banです。

  お忙しい中、ご対応いただきまして誠にありがとうございます。

   

  いただいた情報から「非管理者による更新の通知の受信を許可する：有効」が今回の設定のポイントではないかと理解しました。

  有効にしておかないとインストールまでが自動で実行されてしまう。ということでしょうか。

  （あっているか不安ですが、早速設定してみます）

   

  ついでに質問なのですが、WSUS経由での動作でいくつか疑問があります。

  ※別スレッドで質問した方が良いでしょうか。

   

  こんなものです。

   

  １．WSUS経由でのupdateをするようになってから利用者側の端末が頻繁にアップデートを実施されているようです。

  　これまでMSの月例パッチリリース時（第2週の木曜日）のみのアップデートをしていたのが、頻度が多く利用者側での戸惑いがあります。

  　現在、自動更新の頻度ですが、毎日になっております。これは頻繁にアップデートがリリースされているということでしょうか？

   

  ２．SP3は適用したくない。

    SP3を適用したくないユーザへはどのように対処を行うのか？

  　WSUS側で更新について「承認」を行えば、自動更新のタイミングで設定していれば、強制的にダウンロード、インストールまで行われるという認識ですが

  　基本SPの承認だけは、手動で行う、それ以外はすべて自動で承認としたいのですが、そのようなことを設定で実現できますでしょうか？

  　また、一旦承認してしまったものを「未承認」のステータスにすることはできますでしょうか？設定項目として「拒否」もなんだが意図とは違う動作をしそうなので、わかりかねています。

   

   

  　などです。

   

   

  すみません、お時間のあるときでかまいませんので、ご教授いただければ幸いです。

  何卒宜しくお願いいたします。

   

  ３．

   

   

   

   

   

  2008年6月24日 1:36
• 

  

  1

  サインインして投票

  forknife です。

   

  まず前回の投稿の続きのご質問にお答えします。

  焦点は「ダウンロード／インストール／再起動がそれぞれ自動で行われるか否かの設定ポイント」についてです。

   

  ケース①

  • 自動更新を構成する
    • 3-自動ダウンロードしインストールを通知
  • 非管理者による更新の通知の受信を許可する
    • 未構成 or 無効

  この構成の場合、クライアントの動作は次のようになります。

  ダウンロード：自動

  インストール：シャットダウン時のみインストール可能

  アイコン通知：なし

   

  ケース②

  • 自動更新を構成する
    • 3-自動ダウンロードしインストールを通知
  • 非管理者による更新の通知の受信を許可する
    • 有効

  この構成の場合、クライアントの動作は次のようになります。

  ダウンロード：自動

  インストール：任意で手動インストール可能

  アイコン通知：あり

  再起動：任意で手動再起動可能

  ※これがご要望の動作かと思います。

   

  ケース③

  • 自動更新を構成する
    • 4-自動ダウンロードしインストールを日時指定
  • 非管理者による更新の通知の受信を許可する
    • 未構成 or 無効

  この構成の場合、クライアントの動作は次のようになります。

  ダウンロード：自動

  インストール：スケジュールした時刻に自動実行

  アイコン通知：なし

  再起動：自動インストール完了後、5分のカウントダウン ダイアログが表示された後に強制再起動

   

  ケース④

  • 自動更新を構成する
    • 4-自動ダウンロードしインストールを日時指定
  • 非管理者による更新の通知の受信を許可する
    • 有効

  この構成の場合、クライアントの動作は次のようになります。

  ダウンロード：自動

  インストール：スケジュールした時刻に自動実行

  アイコン通知：あり(ダウンロード中のみ。ダウンロード完了と同時に消えます。)

  再起動：自動インストール完了後、5分のカウントダウン ダイアログが表示された後に強制再起動

   

  他のご質問については WSUS スレッドのほうにご投稿頂いたほうが良いかもしれないですね。

  ※本日は時間がないため改めてご回答させて頂きます。

   

  以上、宜しくお願い致します。

  2008年6月24日 9:32
• 

  

  0

  サインインして投票

  forknife様

   

  haru1banです。

  お忙しいところ、詳細な解説いただき、誠にありがとうございました。

  理解ができました。

  まさに、ケース②が実施したい内容でした。

   

  その他の質問についてはWSUSのフォーラムにてあげさせていただきます。

   

  本当にありがとうございました。とても助かりました。

   

   

   

  2008年6月25日 2:24