私はインフラ系のエンジニアとしてユーザーに納品するサーバーの初期構築をすることを生業としています。とはいえ年齢的にプロジェクトのリーダやマネージメントを任せて頂ける機会が増えてきてここ数年実機を触ったり検証する時間は格段に減っていますというか皆無です。もはやインフラエンジニアとは言えない水準まで知識が減退しているのを実感しています。私が新卒で仕事している頃、40代の先輩に飲みに連れて行っていただいた時にエンジニア35才限界説は本当にあると悲しそうな顔で話してもらったことを都度思い出します。
今日ユーザ先でWindowsUpdateの設定について議題に上がったので持ち帰り実機を確認したところWindows server 2016での設定項目がだいぶ変わっていたのですこし整理しようと思いました。昔は新しいOSが出れば情報収集して検証環境立ててパラメータの変更箇所を洗い出していたものですが今となってはWindows Server 2016全く触らないまま構築を進める有様です。
来週は構築を若手にお願いして単独でお客様先訪問なのでここで説明用の予習をしようと思います。(Windows10とほぼ一緒のようです。私の仕事用端末はWindows7なので確認してません泣)
スタートメニュー→設定→更新とセキュリティを選択します。
下記の画面で編集可能です。
アクティブ時間の変更・・・プログラムのダウンロードとインストールを実施する時間を指定可能です。
再起動のオプション・・・デフォルトでは再起動までは自動でしてくれません。ここでいつ再起動をかけるか設定可能です。ただし定期的なリブートはここではできません。
詳細オプション・・・Windowsの更新時にほかのMS製品の更新プログラムも入手するかと、昨日の更新を延期するかを設定可能です。
上記のユーティリティーではWindows Updateを無効にすることやインストール時間の変更ができないため、それらの要件がある場合はgpedit側で設定を変更する必要があります。
設定はgpeditで「管理用テンプレート」-「Windows コンポーネント」-「Windows Update」を選択し、右ペインで「自動更新を構成する」をダブルクリックして開きます。
via:Windows Server 2016 : 初期設定 : Windows Update : Server World
まず自動更新を構成するのラジオボタンですがパラメータについては下記の説明があります。
参照元:その他の Windows Update 設定の管理 (Windows 10) | Microsoft Docs
この設定が [有効] と指定されている場合、自動更新クライアントは Windows Update ではなく、指定されたイントラネットの Microsoft 更新サービス (または代替ダウンロード サーバー) に接続し、更新プログラムの検索およびダウンロードを実行します。 この設定を有効にすると、組織内のエンド ユーザーはファイアウォール経由で更新プログラムを入手する必要がなくなります。また、管理者は更新プログラムを展開した後でテストできるようになります。 この設定が [無効] または [未構成] と指定されており、ポリシーやユーザー設定で自動更新が無効になっていない場合は、自動更新クライアントは直接インターネットの Windows Update サイトにアクセスします。
無効と未構成の違いがよくわかりませんがここでは有効前で話しを進めます。男は細かいことを気にしないものです。
自動更新の構成で2〜4のパラメータを選択可能です。
(細かいことは気にしないと言いつつあれですがなんで1がないんだー!!!)
ヘルプにある文言は下記です。
このコンピューターで Windows の自動更新サービスを使用してセキュリティ更新プログラムやその他の重要なダウンロードを受け取るかどうかを指定します。
注: このポリシーは、Windows RT には適用されません。
この設定では、このコンピューターで自動更新の機能を有効にするかどうかを指定できます。サービスを有効にした場合は、グループ ポリシー設定の 4 つのオプションのうち 1 つを選択する必要があります。
2 = 更新プログラムをダウンロードする前、およびインストールする前に通知する
このコンピューターに適用する更新プログラムが見つかると、ユーザーには、ダウンロードできる更新プログラムがあることが通知されます。Windows Update にアクセスすると、使用可能なすべての更新プログラムをダウンロードしてインストールできます。
3 = (既定の設定) 更新プログラムを自動的にダウンロードし、インストールの準備ができたら通知する
コンピューターに適用できる更新プログラムが見つかると、これらの更新プログラムがバックグラウンドでダウンロードされます (ユーザーには通知されず、作業も中断されません)。ダウンロードが完了すると、ユーザーには、更新プログラムをインストールする準備ができたことが通知されます。Windows Update にアクセスすると、それらの更新プログラムをインストールできます。
4 = 更新プログラムを自動的にダウンロードし、以下に指定されたスケジュールでインストールする
グループ ポリシー設定のオプションを使用してスケジュールを指定します。スケジュールが指定されていない場合は、どのインストールにも既定値 (毎日、午前 3 時) が使用されます。インストールを完了するためにコンピューターの再起動が必要な更新プログラムがある場合、コンピューターは自動的に再起動されます (Windows の再起動が準備できた時点でユーザーがコンピューターにサインインしている場合は、ユーザーに通知が表示され、後で再起動するオプションが表示されます)。
Windows 8 以降では、特定のスケジュールではなく自動メンテナンス時にインストールするように更新プログラムを設定できます。自動メンテナンスにより、更新プログラムは、コンピューターを使用していないときにインストールされます。また、コンピューターがバッテリで動作している場合はインストールされません。自動メンテナンスで更新プログラムを 2 日間インストールできない場合は、Windows Update によってすぐに更新プログラムがインストールされます。その後、もうすぐ再起動されることがユーザーに通知されます。この再起動は、誤ってデータが失われる可能性がない場合にのみ実行されます。
[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [メンテナンス スケジューラ] でグループ ポリシー設定を使用することで、自動メンテナンスをさらに構成できます。
5 = ローカルの管理者が構成モードを選択し、自動更新による更新の通知とインストールを実行できるようにする
このオプションを使用すると、ローカルの管理者は Windows Update コントロール パネルを使用して構成オプションを選択できます。ローカルの管理者が自動更新の構成を無効にすることはできません。
このポリシーの状態が無効に設定されている場合は、Windows Update に利用できる更新プログラムがあれば、手動でダウンロードしてインストールする必要があります。これを行うには、スタート画面を使用して「Windows Update」を検索します。
状態が未構成に設定されている場合は、自動更新の使用はグループ ポリシー レベルでは指定されません。ただし、管理者はコントロール パネルを使用して自動更新を構成できます。
あとは自動インストールする日、時間が指定可能です。
(後日検証環境でキャプチャ取ってもうちょっと補足します。)
