WindowsUpdate配信(WSUS)で社内ネットワークが逼迫した時に対処したこと

みなさんこんにちは。ますのです。

WSUS(Windows Server Update Services)を利用してOfficeやWindows7、10の更新を行っていましたが、第2水曜日の始業から1時間程インターネットに接続出来ない事象が起きていました。。。
Proxyサーバが原因かと思いきや、拠点から外に出る時に死んでいる模様。
(tracertやpathpingでえらい遅延してますなぁ…とモニタリング)

これからWindows7の保守が終わり10が主流になり、よりWSUS配信の制御を対策せな…ということで対応したことを書いていきます。

※伴ってSCCMの需要が高まってるそうな。でも、お高いんでしょう??
 まずは出来ることからということでWSUS制御から入りました。

WSUS サーバーの IIS 帯域制御を設定する

参考:https://blogs.technet.microsoft.com/jpwsus/2012/03/15/wsus-4/
2012年と古い記事ですが2019年5月現在でも問題なく機能しています。

1.WSUSサーバ>Windows管理ツール>インターネットインフォメーション(IIS)サービスをクリック
2.IIS>サイト>WSUSの管理:制限をクリック
3.帯域幅の使用を制限するにチェックを入れ、制限値を入力
※値はバイト/秒となるため入力の値に注意する。

制限値:18350080(バイト)=140Mbpsを想定

クライアントのBIT帯域制御は設定しませんでした。
BIT帯域制御はクライアントがダウンロードする量を制御する設定となるため、1000台同時処理したら結局ネットワークが死んでしまい根本改善にはならないと判断しました。

WSUS>オプション:自動承認をPowerShellで任意の時間に実行させる

以下サイトの「2. 自動承認規則の「規則の実行」を行うスクリプト」を参照して設定を行う。

本スクリプトを用いますと自動承認規則の「規則の実行」をスクリプトから行うことが可能です。自動承認規則では拒否に設定されていない更新プログラムが自動承認の対象となります。このため、上述の「1」のスクリプトにて「セキュリティ マンスリー品質ロールアップ」を拒否済みに設定した後に、本スクリプトを実行することで、「セキュリティ マンスリー品質ロールアップ」以外の「セキュリティのみの品質更新プログラム」を含む更新を、全て自動で承認することが出来ます。

https://blogs.technet.microsoft.com/jpwsus/2016/11/01/rollup-scripting/

※勘違いしやすい点として、以下サイトの「承認の期日の設定」は、あくまでも「インストールする日」となります。そのため、各クライアントへの配布をずらすためには「規則の実行」のタイミングをずらす必要があります。

「同期により WSUS に更新プログラムが着信したその日を基準として、7 日後の日付の時刻 3:00」をその更新プログラムの「インストール期日」として設定したことなります。

 

https://blogs.technet.microsoft.com/jpwsus/2009/11/16/sp2-3/

PowerShellの細かな設定については少し長くなるので別途更新します!
※2019/5/7更新しました!

WSUSの自動承認規則をPowerShellで制御する方法【配信の分散化】

上記2つの設定を行ってからは、第2水曜日付近のネットワーク遅延が無くなりました。現在1000台以上がWindows10に切り替わりましたが、特に問題はなさそうなのでしばらく様子見ですね。

最新情報をチェックしよう!