みなさん、こんにちは。
日本マイクロソフト System Center Configuration Manager サポートの日下です。
今回は、System Center Configuration Manager Current Branch (以下、SCCM CB) を、非インターネット接続環境の、オフライン環境で SCCM CB を運用される場合に、ソフトウェア更新プログラムのカタログ情報とコンテンツを上位 WSUS サーバーから取得する方法をご紹介致します。
<はじめに>
ソフトウェア更新プログラムはカタログ情報とコンテンツ情報の 2 つがございます。
オフライン環境で更新プログラムの情報を入手する場合には、カタログ情報を同期してから、ソフトウェア更新プログラムの展開時に、コンテンツ情報をダウンロードする必要がございます。
今回は前提条件を基にシナリオ ベースで手順をご紹介致します。
<目次>
(1) 前提条件の確認
(2) カタログのインポート (HTTP or HTTPS 通信)
(3) コンテンツのダウンロード (SMB 通信)
======================================
(1) 前提条件の確認
======================================
・構成イメージ
※ 下位 WSUS の SCCM サーバーはプライマリ サイト サーバーとなります。
・名前付けについて
上位 WSUS サーバーは、以下 "Online WSUS" と名前付けします。
オフライン環境の SCCM CB は、ソフトウェアの更新ポイントとして、WSUS 機能が含まれておりますので、以下 "Offilne WSUS" と名前付けします。
・ポート要件について
-Offline WSUS から Online WSUS に対し、HTTP 80 もしくは 8530 ポートを介したアクセスが必要となります。
(HTTPS 構成の場合には、443 もしくは 8531 ポート)
-Offline WSUS から Online WSUS に対し、SMB 445 ポートを介したアクセスが必要となります。
・カタログとコンテンツのダウンロードについて
Online WSUS 上では、既にカタログの同期と、承認によるコンテンツのダウンロードが WsusContent フォルダーに行われている前提とします。
・Online WSUS の WsusContent のアクセス権について
こちらは既定で共有される項目であるため、アクセス権を変更する必要はございませんが、Offline WSUS からコンテンツをコピーしますので、読み取り権限があれば問題ございません。
・Offiline WSUS のパッケージ ソースのアクセス権について
Online WSUS からコンテンツをダウンロードする際の書き込み先の、Offline WSUS 上への書き込みするための共有フォルダー (パッケージ ソース フォルダー) の作成をします。
アクセス権には、共有アクセス権と NTFS アクセス権がございますが、共有フォルダーを作成すると、共有アクセス権は Everyone のフル コントロールが自動で付与されます。
変更する必要はございませんが、アクセス権を絞る必要がある場合には、最低限、以下のように構成頂くことで動作実績がございますのでご参考ください。
// 共有アクセス権:
SYSTEM (もしくは everyone):読み取り のみ
ダウンロードする際の実行ユーザー:フル コントロール
// NTFS アクセス権:
SYSTEM:フル コントロール
ダウンロードする際の実行ユーザー:フル コントロール
補足:
"ダウンロードする際の実行ユーザー" は、手順 (3) で実行するユーザーとなります。
アクセス権はファイルのプロパティからも参照可能ですが、共有アクセス権を変更する場合は、[コンピューターの管理 (compmgmt.msc)] コンソールの利用をお勧めします。
当コンソール上で、[システム ツール]-[共有フォルダー]-[共有] から該当の共有フォルダーのプロパティを開きます。
[共有アクセス権] タブ (共有アクセス権) と、[セキュリティ] タブ (NTFS アクセス) がそれぞれ確認できます。
例)
======================================
(2) カタログのインポート (HTTP or HTTPS 通信)
======================================
・Offline WSUS (SCCM CB サーバー) の設定となります。
-手順
- SCCM コンソールにて、[管理]-[サイトの構成]-[サイト] より、プライマリ サイトを右クリックし、[サイト コンポーネントの構成]-[ソフトウェアの更新ポイント] をクリックします。
- [同期設定] タブにて、[アップストリームのデータ ソースの場所 (URL) から同期する] を選択し、同期対象の Online WSUS を入力します。
- 当設定を行い、ソフトウェアの更新プログラムの同期が行われることで、カタログの同期が行われます。
例) 8530 ポートの場合の参考
![]()
参考)アップストリームのデータ ソースの場所から同期するhttps://docs.microsoft.com/ja-jp/sccm/sum/get-started/install-a-software-update-point#BKMK_wsussync
======================================
(3) コンテンツのダウンロード (SMB 通信)
======================================
・Offline WSUS (SCCM サーバー) の設定となります。
- SCCM コンソールより、該当の機能更新プログラムを右クリックし、[ダウンロード] をクリックします。
** コンテンツにより格納場所が異なります。
// Windows 10 の機能更新プログラム[ソフトウェア ライブラリ]-[Windows 10 のサービス]-[すべての Windows 10 更新プログラム]// 累積更新プログラムなどその他の更新プログラム[ソフトウェア ライブラリ]-[ソフトウェア更新プログラム]-[すべてのソフトウェア更新プログラム] - [展開パッケージ] 画面で、以下の項目を入力し、[次へ] をクリックします。
名前:パッケージの内容を説明する一意の名前を入力します。パッケージのソース:ソフトウェア更新プログラムをダウンロードする共有フォルダを指定します。※ ここでは、パッケージ ソースとして、"Offline WSUS" 上の共有フォルダーを作成し、指定します。※ "Online WSUS" のディレクトリは指定しませんのでご注意ください。 - [配布ポイント] 画面で、[追加] をクリックし、配布ポイントを選択し、[OK] をクリックします。その後、[次へ] をクリックします。
- [配布の設定] 画面で、既定の設定のまま、[次へ] をクリックします。
- [ダウンロード場所] 画面で、[ネットワーク上の場所からソフトウェア更新プログラムをダウンロードする] を選択し、この項目で、Online WSUS の WSUSContent フォルダーのパスを指定し、[次へ] をクリックします。
※ 共有フォルダーへのパスが通らないと、[次へ] ボタンから先に進むことはできません。
※ 相手先が別ドメインなどの場合には、資格情報が求められることがございます。※ 事前に当該フォルダーに対し、ネットワーク ドライブのマウント作業をしておくことで、資格情報が求められることなく進行が可能です。
参考例): \OnlineWSUSWSUSWSUSContent![]()
- その後の手順はウィザードに沿って進め、完了します。
- コンテンツのダウンロード (手順内では展開パッケージ作成も含む) が完了したあとは、該当のソフトウェア更新プログラムを右クリックし、[展開] をクリックし、作成した展開パッケージをして、コンテンツを展開するという流れとなります。
今回ご紹介の手順は、1 つの更新プログラムのダウンロードの手順となりますが、ソフトウェア更新プログラム グループとしてダウンロードする際も手順は同じですので、動作をお試し頂けますと幸いです。
参考)
切断されているソフトウェアの更新ポイントからのソフトウェア更新プログラムの同期
https://docs.microsoft.com/ja-jp/sccm/sum/get-started/synchronize-software-updates-disconnected
ソフトウェア更新プログラムの手動展開
https://docs.microsoft.com/ja-jp/sccm/sum/deploy-use/manually-deploy-software-updates
ソフトウェア更新プログラムのダウンロード
https://docs.microsoft.com/ja-jp/sccm/sum/deploy-use/download-software-updates