Remove From My Forums

WSUS解説の詳しい書籍（またはサイト）をお教えください。

質問
0

サインインして投票
WSUS構築し、Windwos10のFUに対応したいと考えております。

書籍「山内和朗氏著　Windows Server 2016 テクノロジ入門完全版」

購入しましたが、より踏み込んだ内容を知りたいと考えております。

漠然としておりますが、今クリアしたい内容は以下のとおりとなります。　

　　
　　自動承認の考え方
→パッチやドライバ類すべて承認しても、ＷＳＵＳクライアント側で要・不要を自動認識できるか

　　旧CB,CBB,LTSBを同じメンバシップに登録してよいか
　　　　→たとえば、１８０３を適用してもＣＢＢは４ヶ月遅れで適用されるのか、LTSBは無視するのか

　　ＷＳＵＳコンソールでの”インストール済みまたは該当しない割合”とは

　　ＷＳＵＳコンソールでの状態のロールアップのアイコンが黄色の警告となっている場合の対応
　　　　→特に、適用したくないパッチがあった場合

　　「更新プログラムの別の更新に優先しました」メッセージが出ている場合の対処

　

ＭＳテックネットより送信「だぶるすちーる」
- 移動栗下望Microsoft employee, Moderator 2018年3月12日 0:14 Windows Server > Windows Server 2016
2018年3月9日 11:03

返信

|

引用

回答

1

サインインして投票
●自動承認の考え方

WSUSクライアント（イントラネットの場所の設定ポリシーが設定されたクライアント）は、WSUSサーバー側で“利用可能”な更新プログラムで、自分に必要な（インストール可能な）更新プログラム（例えば、x64 OS には x64 向け更新、v1607 OSなら v1607 向け品質更新プログラム）をチェックしてダウンロードおよびインストールします。個別の更新を WSUS クライアント側で選択/非選択する機能はありません。

●旧CB,CBB,LTSBを同じメンバシップに登録してよいか

WSUS で Windows 10 を管理するなら、CB/CBB は構成しないでください。LTSB は1つのOS製品と考えればいいと思います。グループは、単に承認して配布する際の対象化のためのものです。例えば Windows 8.1/10/Server が混在するのを1グループで管理することもできます。ただ、同じバージョン（ビルド）でグループ化しておくと、管理がしやすくなると思います。

WSUSクライアントとして構成する場合は、CB/CBBは構成するべきではありません。CB/CBBの延期ポリシーは、WSUS上の更新を検索する際にはまったく評価されません。CB/CBBの延期ポリシーは常にMicrosoft Updateに接続しようとし、接続できる環境にある場合、WSUSの承認状況に全く関係なく、CB/CBBの延期ポリシーに従って更新プログラムを取得します。

つまり、WSUSクライアントとCB/CBB延期ポリシーの両方が構成されている場合、まず、WSUSクライアントとしてWSUSで自分に対して利用可能な更新をすべて検出して、適用します。それに加えて、Microsoft Update に接続可能であれば、CB/CBBの延期ポリシーに従ってMicrosoft Updateで利用可能な更新を検出して、適用します。後者の検索は「Windows Updateに対するスキャンを発生させる更新遅延ポリシーを許可しない」というバージョン1607の途中で追加された新しいポリシーでさせないようにすることはできます。本来、CB/CBB延期ポリシーとWSUSクライアントの併用は、OSの更新をMicrosoft Updateから取得し、それ以外（ドライバー、Office MSI 製品の更新、サードベンダーのソフトの更新など）をWSUSから提供するという用途を想定したものです。このあたりはかなり複雑な話になります。以下を参考にしてください。

https://yamanxworld.blogspot.jp/2018/02/wsus-wufb-kb4023057.html

●ＷＳＵＳコンソールでの”インストール済みまたは該当しない割合”とは

WSUSクライアントにその更新が既にインストール済みであるか、不要（異なるOSバージョン向け、製品が存在しないなど）。

●ＷＳＵＳコンソールでの状態のロールアップのアイコンが黄色の警告となっている場合の対応

警告の内容によると思います。

●　→特に、適用したくないパッチがあった場合

特定の更新を「拒否」して適用させないことはできます。自動承認の対象になっていない種類の更新なら、「承認」しない限りクライアントに提供されることはありませんが、「拒否」することでWSUSのパフォーマンスが改善すると思います。

ただし、Windows 10 の品質更新は基本的に累積更新（ロールアップ）です。特定の累積更新をスキップした場合、より新しい累積更新に、スキップした更新の内容は含まれることになります。（前の更新に問題があった場合はその修正版が含まれることで先の更新の問題が解消されることはあります）。累積更新でないもの（Adobe Flash の更新、Defender の定義、ドライバー、Office MSI 更新など）は、そのようなことはありません。

●「更新プログラムの別の更新に優先しました」メッセージが出ている場合の対処

特に対処しなくても問題はないと思います。WSUS側で優先したほうと優先されたほうの両方が「承認」状態になっていても、インストールが必要か必要でないかは、WSUSクライアント側で判断してくれるはずです。ただし、優先されたほうを「拒否」しておくことで、無駄なダウンロード（Microsoft UpdateからWSUSへの）やディスク領域の使用を避けることができると思いますし、WSUSのメンテナンスでクリーンアップされるので良いかと思います。

なお、書籍「Windows Server 2016 テクノロジ入門完全版」の当時から、WSUS 関連はいろいろ変更がありますのでご注意ください。例えば、更新のカテゴリだとか名称だとかは、たびたび変更されています。Windows Server 2016 の WSUS は、ほぼほぼ 2012/2012 R2 の WSUS と同じバージョン（WSUS 4.0）であり、Windows 10への対応は後追いで行われているような状況です。公式ドキュメントとWSUS Support Teamのブログが、最も詳しくて新しい情報を得られると思います。

Windows Server Update Services (WSUS) を使った Windows 10 更新プログラムの展開
https://docs.microsoft.com/ja-jp/windows/deployment/update/waas-manage-updates-wsus
WSUS での Windows 10 管理まとめ (Japan WSUS Support Team Blog）
https://blogs.technet.microsoft.com/jpwsus/2018/01/26/win10-matome/
- 回答としてマークひめちん 2018年3月10日 10:04
2018年3月10日 9:24

返信

|

引用

すべての返信

1

サインインして投票
●自動承認の考え方

WSUSクライアント（イントラネットの場所の設定ポリシーが設定されたクライアント）は、WSUSサーバー側で“利用可能”な更新プログラムで、自分に必要な（インストール可能な）更新プログラム（例えば、x64 OS には x64 向け更新、v1607 OSなら v1607 向け品質更新プログラム）をチェックしてダウンロードおよびインストールします。個別の更新を WSUS クライアント側で選択/非選択する機能はありません。

●旧CB,CBB,LTSBを同じメンバシップに登録してよいか

WSUS で Windows 10 を管理するなら、CB/CBB は構成しないでください。LTSB は1つのOS製品と考えればいいと思います。グループは、単に承認して配布する際の対象化のためのものです。例えば Windows 8.1/10/Server が混在するのを1グループで管理することもできます。ただ、同じバージョン（ビルド）でグループ化しておくと、管理がしやすくなると思います。

WSUSクライアントとして構成する場合は、CB/CBBは構成するべきではありません。CB/CBBの延期ポリシーは、WSUS上の更新を検索する際にはまったく評価されません。CB/CBBの延期ポリシーは常にMicrosoft Updateに接続しようとし、接続できる環境にある場合、WSUSの承認状況に全く関係なく、CB/CBBの延期ポリシーに従って更新プログラムを取得します。

つまり、WSUSクライアントとCB/CBB延期ポリシーの両方が構成されている場合、まず、WSUSクライアントとしてWSUSで自分に対して利用可能な更新をすべて検出して、適用します。それに加えて、Microsoft Update に接続可能であれば、CB/CBBの延期ポリシーに従ってMicrosoft Updateで利用可能な更新を検出して、適用します。後者の検索は「Windows Updateに対するスキャンを発生させる更新遅延ポリシーを許可しない」というバージョン1607の途中で追加された新しいポリシーでさせないようにすることはできます。本来、CB/CBB延期ポリシーとWSUSクライアントの併用は、OSの更新をMicrosoft Updateから取得し、それ以外（ドライバー、Office MSI 製品の更新、サードベンダーのソフトの更新など）をWSUSから提供するという用途を想定したものです。このあたりはかなり複雑な話になります。以下を参考にしてください。

https://yamanxworld.blogspot.jp/2018/02/wsus-wufb-kb4023057.html

●ＷＳＵＳコンソールでの”インストール済みまたは該当しない割合”とは

WSUSクライアントにその更新が既にインストール済みであるか、不要（異なるOSバージョン向け、製品が存在しないなど）。

●ＷＳＵＳコンソールでの状態のロールアップのアイコンが黄色の警告となっている場合の対応

警告の内容によると思います。

●　→特に、適用したくないパッチがあった場合

特定の更新を「拒否」して適用させないことはできます。自動承認の対象になっていない種類の更新なら、「承認」しない限りクライアントに提供されることはありませんが、「拒否」することでWSUSのパフォーマンスが改善すると思います。

ただし、Windows 10 の品質更新は基本的に累積更新（ロールアップ）です。特定の累積更新をスキップした場合、より新しい累積更新に、スキップした更新の内容は含まれることになります。（前の更新に問題があった場合はその修正版が含まれることで先の更新の問題が解消されることはあります）。累積更新でないもの（Adobe Flash の更新、Defender の定義、ドライバー、Office MSI 更新など）は、そのようなことはありません。

●「更新プログラムの別の更新に優先しました」メッセージが出ている場合の対処

特に対処しなくても問題はないと思います。WSUS側で優先したほうと優先されたほうの両方が「承認」状態になっていても、インストールが必要か必要でないかは、WSUSクライアント側で判断してくれるはずです。ただし、優先されたほうを「拒否」しておくことで、無駄なダウンロード（Microsoft UpdateからWSUSへの）やディスク領域の使用を避けることができると思いますし、WSUSのメンテナンスでクリーンアップされるので良いかと思います。

なお、書籍「Windows Server 2016 テクノロジ入門完全版」の当時から、WSUS 関連はいろいろ変更がありますのでご注意ください。例えば、更新のカテゴリだとか名称だとかは、たびたび変更されています。Windows Server 2016 の WSUS は、ほぼほぼ 2012/2012 R2 の WSUS と同じバージョン（WSUS 4.0）であり、Windows 10への対応は後追いで行われているような状況です。公式ドキュメントとWSUS Support Teamのブログが、最も詳しくて新しい情報を得られると思います。

Windows Server Update Services (WSUS) を使った Windows 10 更新プログラムの展開
https://docs.microsoft.com/ja-jp/windows/deployment/update/waas-manage-updates-wsus
WSUS での Windows 10 管理まとめ (Japan WSUS Support Team Blog）
https://blogs.technet.microsoft.com/jpwsus/2018/01/26/win10-matome/
- 回答としてマークひめちん 2018年3月10日 10:04
2018年3月10日 9:24

返信

|

引用
0

サインインして投票

大変長いテキストをいただきましてありがとうございます。
これから熟読しまして理解を進めたいと思います。

取り急ぎお礼まで
ＭＳテックネットより送信「だぶるすちーる」

2018年3月10日 10:02

返信

|

引用

製品

Resources

Solutions

更新プログラム

評価版

関連サイト

トレーニング

認定資格

その他のリソース

製品別サポート

その他のサポート

IT 担当者以外の方へ

トップ回答者

WSUS解説の詳しい書籍（またはサイト）をお教えください。

質問

回答

すべての返信