Fujitsu Cloud Direct ブログ

初心者エンジニア向け技術ブログ

リージョンをまたいだWSUSの階層化(チェーン化)構成を検証してみた

この記事は、ニフクラブログで2019-04-03に公開された記事を移転したものです。

こんにちは、ニフクラテクニカルアカウントチームです。

Windowsサーバーで構成されるシステムにおいて、WindowsUpdateによる更新プログラムの適用は、セキュリティ上の問題点(脆弱性)の修正という重要な目的のためとはいえ極めて煩雑な手順が必要であり、多くの工数を伴います。
そのため、更新プログラムの適用を集中管理する目的で、Windows Server Update Services(以降:WSUS)を使用している方も多いのではないでしょうか。
今回は、ニフクラの拠点間VPNゲートウェイという機能を使用してリージョンをまたいだWSUSの階層化(チェーン化)構成を検証してみました。
WSUSアップストリームサーバー障害時のリストアや、グローバルIPのないWSUSサーバーに対して、オフラインで更新プログラムを適用する方法を紹介します。

前提条件

本ブログは、以下の前提知識がある方を想定しています。

  • ニフクラの基本的なコントロールパネルの操作、サービスを利用する知識
    (サーバー作成、ネットワーク構築など)
  • Windowsサーバーの基本的な操作、知識

検証概要

WSUSを階層化(チェーン化)し、2環境を構成しています。

  • Microsoft Updateに対し、更新プログラムをダウンロードし、システム全体のWindowsサーバーのパッチの集中管理を行うメイン環境。
  • メイン環境とは別リージョンでVPN接続したサブ環境。サブ環境のWSUSサーバーはメイン環境のWSUSサーバー(アップストリーム)と同期し、サブ環境内のパッチを管理。

本ブログでは、以下の検証を実施しました。
1)WSUS(アップストリーム)に障害が発生した場合、WSUS(ダウンストリーム)からWSUSデータのリストアができることを確認

2)インターネットに接続しているWSUS(アップストリーム)からカタログ情報や更新プログラムをエクスポートし、オフラインのWSUS(ダウンストリーム)に更新プログラムが適用できることを確認

利用リソース

本検証を実施するにあたり、利用したニフクラのリソース情報に関して以下に記載します。
※各リソースのアクセス制限に関しては、ニフクラのファイアウォール等を用いて適切に設定の上実施しています。

リソース 数量
仮想サーバー(サーバーOS:Windows Server 2016) 4
プライベートLAN 2
ルーター 1
VPNゲートウェイ 2
カスタマーゲートウェイ 2

今回の検証で各リソースのコンピュータ名、IPアドレスは以下で設定しています。

リージョン リソース コンピュータ名 IPアドレス
east-11 WSUSサーバー
(アップストリーム)
WSUSSV01 192.168.10.10
クライアント① WSUSCL01 192.168.10.20
VPNゲートウェイ① 192.168.10.250
webプロキシ
(ルーター)
192.168.10.254
west-12 WSUSサーバー
(ダウンストリーム)
WSUSSV02 192.168.20.10
クライアント② WSUSCL02 192.168.20.20
VPNゲートウェイ② 192.168.20.250

各リソースのファイアウォールのINルールは以下のように設定しています。
※作業用のリモートデスクトップ接続等は適切な許可設定が必要です。
※本検証では、OUTルールの設定は行っていません。(制限していません。)

リソース 許可IPアドレス ポート番号 備考
WSUSサーバー
(アップストリーム)
192.168.20.10 8530 WSUS通信用
192.168.10.20 8530 WSUS通信用
WSUSサーバー
(ダウンストリーム)
192.168.20.20 8530 WSUS通信用

検証環境構築

1)WSUSサーバー(アップストリーム)の構築

■ルーティング設定
コマンドプロンプトを起動し、west-12環境に構築するWSUSサーバーと通信するためのルーティングを設定します。

route -p add 192.168.20.0 mask 255.255.255.0 192.168.10.250 metric 1

■WSUSインストール

① サーバーマネージャーで「役割と機能の追加」をクリックします。
② 「次へ」をクリックします。
③ 「次へ」をクリックします。
④ 対象サーバーが選択されている状態で「次へ」をクリックします。
⑤ 「Windows Server Update Services」にチェックを入れます。
⑥ WSUS に必要な追加機能が表示されるため、「機能の追加」をクリックします。
⑦ 「次へ」をクリックします。
⑧ 「次へ」をクリックします。
⑨ 「次へ」をクリックします。
⑩ 「役割サービスの選択」画面で「次へ」をクリックします。
⑪ パスには今回は「C:\wsus」と入力し、「次へ」をクリックします。
⑫ 「次へ」をクリックします。
⑬ 「役割サービスの選択」画面で「次へ」をクリックします。
⑭ 「インストール」をクリックします。
⑮ インストールが正常に完了したことを確認し、「閉じる」をクリックします。
⑯ サーバーマネージャー画面に戻り、「インストール後のタスクを起動する」をクリックします。
⑰ 正常に完了したことを確認します。


















■WSUS(アップストリーム)の設定

※本サーバーは直接Microsoft Updateと同期しますが、グローバルIPを付与していないため、ルーターの「Webプロキシ」機能で通信するように設定します。

① サーバーマネージャーで「ツール」の「Windows Server Update Services」をクリックします。
② 「次へ」をクリックします。
③ 任意でチェックを入れ、「次へ」をクリックします。
④ Microsoftのサーバーから更新プログラムを取得するため、「Microsoft Updateから同期する」を選択し、「次へ」をクリックします。
⑤ プロキシサーバの設定として、ルーターのプライベートIPとWebプロキシの受け側ポートを設定し、「次へ」をクリックします。
⑥ 「接続の開始」をクリックします。
⑦ 「次へ」をクリックします。
⑧ 任意の言語をチェックし、「次へ」をクリックします。
⑨ 対象の製品をチェックします。今回は「Windows Server 2016」および「Windows Server 2016 and Later Servicing Drivers」をチェックし、「次へ」をクリックします。
⑩ 対象とする更新プログラムの分類を選択し、「次へ」をクリックします。
⑪ 更新プログラムを同期する時刻と周期を選択し、「次へ」をクリックします。
⑫ 「初期同期を開始します」にチェックし、「次へ」をクリックします。
⑬ 「完了」をクリックします。
⑭ WSUSを起動し、同期が開始されたことを確認します。















インストールされた更新プログラムを承認します。

① WSUS の左ペインから「WSUSSV01」-「更新プログラム」-「すべての更新プログラム」をクリックし、更新プログラムを全件選択後、右クリックから「承認」をクリックします。
② 「更新プログラムの承認」画面で「すべてのコンピューター」を右クリックし、「インストールの承認」をクリックします。
③ 「OK」をクリックします。
④ 承認が完了したことを確認し、「閉じる」をクリックします。





■WSUSに関するグループポリシーの設定

① 「ファイル名を指定して実行」を起動し「gpedit.msc」と入力し、グループポリシーエディタを起動します。
② 左ペインから 「コンピュータの構成」-「管理用テンプレート」-「Windowsコンポーネント」を選択します。
③ 左ペインの「Windows Update」を選択し、「自動更新を構成する」「イントラネットのMicrosoft更新サービスの場所を指定する」「インターネット上のWindows版Updateni接続しない」を設定します。
④ 「イントラネットのMicrosoft更新サービスの場所を指定する」設定を「有効」にし、画面赤枠2箇所に「http://127.0.0.1:8530」を指定し、「OK」をクリックします。
⑤ 「自動更新を構成する」設定を「有効」を選択し、「OK」をクリックします。
⑥ 「インターネット上のWindows Updateに接続しない」設定を「有効」を選択し、「OK」をクリックします。
⑦ 上記3つのグループポリシー設定が変更されたことを確認します。
⑧ 管理者権限でコマンドプロンプトを起動し、gpupdateコマンドでグループポリシー設定を反映します。









自サーバー(WSUSサーバー(アップストリーム))を対象にWindows Updateを実施します。




自サーバー(WSUSサーバー(アップストリーム))が登録されていることを確認します。

2)WSUSサーバー(ダウンストリーム)の構築

■ルーティング設定
コマンドプロンプトを起動し、east-11環境に構築したWSUSサーバーと通信するためのルーティングを設定します。

route -p add 192.168.10.0 mask 255.255.255.0 192.168.20.250 metric 1

■WSUSインストール
前述と同じ手順で「役割と機能の追加」からWSUSをインストールします。

■WSUS(ダウンストリーム)の設定
続いてWSUSの設定も前述の通りに設定していき、以下の「アップストリームサーバーの選択」画面からダウンストリームサーバーとしての設定をします。
① アップストリームサーバのIP、ポート番号を指定し、「これはアップストリームサーバのレプリカです」にチェックを入れ、「次へ」をクリックします。
② 「次へ」をクリックします。
③ 更新プログラムを同期する時刻と周期を選択し、「次へ」をクリックします。




■WSUSに関するグループポリシーの設定
前述と同じ手順でグループポリシーの設定をしていきます。
ダウンストリームサーバは「イントラネットのMicrosoft更新サービスの場所を指定する」の設定のみアップストリームサーバと設定が異なります。

①「イントラネットのMicrosoft更新サービスの場所を指定する」設定を「有効」にし、画面赤枠2箇所に「http://192.168.20.10:8530」を指定し、「OK」をクリックします。
②「自動更新を構成する」設定を「有効」を選択し、「OK」をクリックします。
③「インターネット上のWindows Updateに接続しない」設定を「有効」を選択し、「OK」をクリックします。




前述と同様に自サーバー(WSUSサーバー(ダウンストリーム))を対象にWindows Updateを実施します。

自サーバー(WSUSサーバー(ダウンストリーム))が登録されていることを確認します。

3)クライアントの構築

各リージョン毎に1台ずつWSUSのクライアントを構築します。

■グループポリシーの設定
前述と同じ手順でグループポリシーの設定をしていきます。
クライアントは「イントラネットのMicrosoft更新サービスの場所を指定する」の設定のみWSUSサーバーと設定が異なります。 本検証では、クライアント毎に同期先のWSUSサーバーを表の通り設定しています。

コンピュータ名 同期するWSUSの設定
WSUSCL01 http://192.168.10.10:8530
WSUSCL02 http://192.168.20.10:8530

①「自動更新を構成する」設定を「有効」を選択し、「OK」をクリックします。
②「インターネット上のWindows Updateに接続しない」設定を「有効」を選択し、「OK」をクリックします。



4)WSUS管理の登録確認

WSUSサーバー(アップストリーム)の「Update Services」画面には全4台、WSUSサーバー(ダウンストリーム)の「Update Services」画面には全2台の管理対象コンピュータが表示されていることを確認します。



検証内容

1)WSUSサーバー(アップストリーム)の障害検証

WSUSサーバー(アップストリーム)に障害が発生した場合に、WSUSサーバー(ダウンストリーム)からデータのリストアができることを確認していきます。

初めに障害前のWSUSSV01(アップストリーム)とWSUSSV02(ダウンストリーム)のサーバーの統計情報を確認します。

WSUSSV01
WSUSSV02

■WSUSサーバー(アップストリーム)の削除(WSUSSV01)
WSUSサーバー(アップストリーム)に障害が発生した場合を想定し、サーバー(WSUSSV01)を削除します。
サーバー削除については、以下のヘルプを参照してください。
クラウドヘルプ(サーバーの削除)

■ダウンストリームからアップストリームへ変更(WSUSSV02)
WSUSSV02(ダウンストリーム)を(アップストリーム)へ変更します。
①サーバーマネージャーで「ツール」の「Windows Server Update Services」をクリックします。
②左ペインから「オプション」-「更新元およびプロキシサーバー」をクリックします。
③「このサーバーはアップストリームサーバーのレプリカです」のチェックを外します。
④「Microsoft Updateから同期する」を選択し、「OK」をクリックします。
⑤「オプション」-「ロールアップのレポート」をクリックします。
⑥「レプリカダウンストリームサーバーから状態をロールアップしない」を選択し、「OK」をクリックします。







■サーバー再作成(WSUSSV01)
WSUSサーバーを再作成します。サーバー作成については、以下のヘルプを参照してください。
クラウドヘルプ(サーバーの作成)
※リストア実施には、WSUSSV02のファイアウォールに以下のINルール設定が必要です。

リソース 許可IPアドレス ポート番号 備考
WSUSSV02 192.168.10.10 8530 WSUSリストア用

■WSUSのインストールと設定(WSUSSV01)
前述と同じ手順でWSUSのインストールとダウンストリームサーバーとしての設定をします。
※ここではグループポリシーの設定は実施しません。
※以下の設定が異なります。
①アップストリームサーバーの選択画面では、サーバー名にWSUSSV02のIPアドレスを入力します。
②同期スケジュールの設定画面の「1回目の同期」は、WSUSSV01作成時の値を入力します。



初期同期の終了後、更新プログラムの数が初めに確認したものと一致していることを確認します。

■アップストリームサーバーへ変更(WSUSSV01)
前述と同じ手順でWSUSSV01をアップストリームサーバーに変更します。
※以下の設定が異なります。
・「オプション」-「ロールアップのレポート」-「レプリカダウンストリームサーバーから状態をロールアップする」を選択し、「OK」をクリックします。

■グループポリシーの設定(WSUSSV01)
前述と同じ手順でグループポリシーの設定と自サーバーを対象にWindows Updateを実施します。

■クライアント同期(WSUSCL01)
WSUSクライアントでWindows Updateを実施します。

■ダウンストリームサーバーへ変更(WSUSSV02)
前述と同じ手順でダウンストリームサーバーとしての設定をします。
※ここではグループポリシーの設定は実施しません。

WSUSSV02(ダウンストリーム)と同期後、WSUSSV01(アップストリーム)のサーバーの統計情報が、障害発生前の状態と一致していることを確認します。

以上でリストア検証は終了となります。

2)WSUSサーバー(ダウンストリーム)へ更新プログラムのオフライン適用

インターネットに接続しているWSUS(アップストリーム)からカタログ情報や更新プログラムをエクスポートし、オフラインのWSUS(ダウンストリーム)に更新プログラムが適用できることを確認していきます。
※オフライン適用に使用する更新プログラムは下記となります。
・ 更新プログラム(KB3150513)
・ 累積更新プログラム(KB4051963)

■更新プログラムのエクスポート
※前提として、エクスポート対象の更新プログラムをインストール済みであること。

①WSUSサーバー(アップストリーム)にログインし、管理者権限でコマンドプロンプトを起動します。
適切なディレクトリに移動後、下記コマンドを実行しカタログのメタデータ (更新プログラムのリスト) をエクスポートします。

cd "C:\Program Files\Update Services\Tools"
wsusutil.exe export export.xml.gz export.log

②「export.xml.gz」(メタデータ)と「export.log」(ログ)が出力されたことを確認します。
③下記2点をコピーします。
1.)WSUSサーバー(アップストリーム)の構築 - ⑪ で設定したディレクトリにある 「WSUSContents」フォルダ(更新ファイル)
・②でエクスポートした「export.xml.gz」(メタデータ)




■更新プログラムをインポート
①WSUSサーバー(アップストリーム)にログインし、「更新プログラムのエクスポート」- ③でコピーした「WSUSContents」フォルダを「1.)WSUSサーバー(アップストリーム)の構築 」- ⑪ で設定したディレクトリに配置します。
※ここではWSUSサーバー(ダウンストリーム)への配置方法は割愛させて頂きます。
②「更新プログラムのエクスポート」- ③でコピーした「export.xml.gz」(メタデータ)を「C:\Program Files\Update Services\Tools」フォルダ配下へ配置します。
③管理者権限でコマンドプロンプトを起動し、適切なディレクトリに移動後、下記コマンドを実行しカタログのメタデータ (更新プログラムのリスト) をインポートします。

cd "C:\Program Files\Update Services\Tools"
wsusutil.exe import import.xml.gz import.log

④インポート後、「import」(ログ)が出力されます。
⑤「WSUS」を起動し、「WSUSSV02」の画面から「承認された更新プログラム」を確認します。
⑥「WSUSSV02」-「更新プログラム」-「すべての更新プログラム」から対象の更新プログラムを選択し、「右クリック」-「承認」をクリックします 。
⑦「更新プログラムの承認」から対象のサーバーを選択して「OK」をクリックします。
⑧「承認の進行状況」から「承認が正常に完了しました」を確認して「閉じる」をクリックします。
⑨「WSUSSV02」の画面から「承認された更新プログラム」を確認し、統計数が増えていることを確認します。










以上で、WSUSサーバー(ダウンストリーム)へ更新プログラムのオフライン適用の検証は終了となります。 特に問題なく実施が出来たことを確認できました。

まとめ

VPN接続を用いてリージョンを跨いだWSUS構成を検証しました。
WSUSはチェーン化し、WSUSサーバー(アップストリーム)障害時を想定したリージョン単位の冗長化についても検証・確認ができました。
複数台のWindowsサーバーシステムでのパッチ管理方式の参考になれば幸いです。

注意事項

  • WSUSサーバーとクライアント間および同期するWSUSサーバー間の通信はSSL通信にすることも可能です。システムごとの要件に応じて設定してください。
  • 本記事については検証結果の1つとなります。実際に検討される場合は、事前にそれぞれの要件を鑑みて実装するか確認してください。
  • 本記事ではOS上の操作についても記載していますが、ニフクラではOS以上はご利用者様の責任範囲となりますのでご留意ください。