• ベストアンサー
  • すぐに回答を!

GPO、WSUSの連携

現在、クライアントPCのWSUS参照先を、本社にあるWSUSサーバを見に行くようにグループポリシで設定しております。 支店などから本社WSUSサーバへのWAN超え通信が多くなってきた為、支店にWSUSのレプリカを置いて、支店のユーザーだけLAN内で配信させようと考えております。 そこで、GPOのWMIフィルターで以下条件を考えてみました。 1.IPアドレスが、10.2.% の場合、http://wsustest2(支店) のGPOが適用される。 2.IPアドレスがマッチングしない場合、http://wsustest1(本社) のGPO適用される。 2のマッチング無しについては、現在のGPOを1のGPOの下に配置することで実現できるのではないかと考えております。 1のGPOに、次のWQLを書いて、IPアドレスから判断するようにしてみたのですが、どうにもうまくいきません。 select * from win32_networkadapterConfiguration where IPAddress Like '10.2.%' 質問の内容は ・WMIフィルタの書き方は、これであっておりますか? ・この環境で他に方法はありますか? です。 事情によりOUを分けるわけにはいかないため、なんとかグループポリシーのフィルターで乗り越えたいところなのですが・・・ どうぞ、宜しくお願いいたします。

共感・応援の気持ちを伝えよう!

  • 回答数1
  • 閲覧数2696
  • ありがとう数1

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.1
  • maesen
  • ベストアンサー率81% (646/790)

WMIの記述は間違っていないように見えますが、うまくいかない原因及び状態が書かれていないため判断が難しいです。 WMIが正しいかは、実際にクライアントで確かめて見るのが良いと思います。 ただ、やりたいことから判断すると選択した手法はベストでは無いと思います。 Active Directoryでは、今回のようなロケーションの違いにより異なるグループポリシーを適用する機能が元々ありますのでそちらを使用するほうが良いと思います。 Active Directoryの「サイト」について調べて見て下さい。 サイトはIPアドレス(サブネット)で分割することになります。 具体的な例ですが ADではデフォルトでDefault-First-Site-Nameというサイトが1つ存在します。 全てはこのサイトに所属しています。 ここでxxxShitenという支店用のサイトを作成し、10.2.0.0/16のサブネットに関連付けます。 するとこの範囲のIPアドレスのクライアントはxxxShitenの所属になります。 Default-First-Site-Name及びxxxShitenにそれぞれのWSUSに対応する異なるGPOをリンクします。 こんな感じです。 もちろん本社のサイトをきちんと作成してもいいです。 サイトにはDCの優先にも影響するので本来はサイト毎にDCを置くのが理想です。 サイトについて不明点があればまた質問して頂ければと思います。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

サイト連携について、調べて実施してみたところ 要求どおりの動作をしてくれました。 ありがとうございます。

関連するQ&A

  • WSUSでクライアントが認識されない

    初歩的なところでつまずいております。どうかご教授ください。 WSUS: Windows 2000 Server SP4 クライアント: Windows XP Proffessional SP2 という構成で検証しています。 設定内容は、 WSUS: ・「クライアントがターゲットグループを構成する」 ・"SUSC"という名前のグループをWSUSコンソールで作成 AD側: ・"SUSC"という名前のOUを作成し、ドメイン参加しているクライアントを 移動 ・作成したOUにWSUS用のグループポリシーを適用 「更新を検出するためのイントラネットの更新サービスを設定する」で "http://wsus1"と指定(WSUSサーバの名前)するなど・・・ クライアントのレジストリを見るとグループポリシーが適用できている のは分かるのですが、WSUSコンソールに現れてくれません。。 間にファイアウォールなどはありません。 何かやり方がおかしいのでしょうか?ご存知の方よろしくお願いします。

  • ADでのWSUSの運用について

    現在ActiveDirectoryでのWSUS運用を計画していて、 ADにOUを作成してOU毎にWindowsupdateの管理を分けて 運用をしたいと思っています。 現在はADに特にOUはないのですが、新たに「WSUS_TEST」という OUを作成して、このOUのグループポリシーにWSUSの設定をしたい と考えています。 その際にOU「WSUS_TEST」に所属させるのは、AD内のComputersにある コンピュータを移動して所属させればよいのでしょうか? (Users内のユーザーは参加させる必要なし?) Domain名 |-Computers |-Uses |-WSUS_TEST(←新しく作ったOU。ここにComputersから移動させる?) |-etc… またこのOUのグループポリシーのWindowsUpdateの箇所の設定 (参照サーバの指定やWSUSのグループ指定、再起動の設定等) をしてあげれば、このOUにだけWSUSの設定が反映される 認識でよいでしょうか? すいませんがご教授くださいませ。

  • GPOについて教えてください。

    ドメインでOUなどにグループポリシーを適用するにはどうすればよいのでしょうか?Windwosサーバーでgpedit.mscなどとやるのでしょうか? またXPでgpedit.mscとやるのと違いはあるのでしょうか?

  • Active Directory のGPOリンク

    Windows server 2003のADを勉強中です。 下記のサイトの中段部分のGPOのリンクの説明って間違ってませんか? http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy02/gpolicy02_02.html 例) 「A」と言う名前のOUに 「a」というGPOをリンクしている。 ここに「B」という新しいOUをつくり、このOUには「A」と同じグループポリシーを与えたい場合。 そんなときは「B」OUに「a」GPOをリンクさせてやるだけでよい。 この考え方であっていますか?

  • WSUSについて

    Windows2003のAD環境で、WSUSを導入しようと思いサーバにインストールし設定をはじめています。 いろいろとネット上の情報等を調べてはいますが、いまいち理解しきれません。 理解できないのは、 1. PCをグループ毎に登録するわけですが、その際に、「このグループだけに適用する」ということをしたい場合の手順がわかりません。 2. AD環境なので、当然各種サーバもドメインに参加しています。サーバは勝手にアップデートして再起動でもしたら大変なことになるので、それを完全に止めて置きたいのですが、その方法がわかりません。 というところです。 ADのグループポリシーとの連動で設定するという概念的なことはわかるのですが、実際に設定しようとすると、いまいちわからず・・・。 参考となるURL等、教えて頂けませんでしょうか?または、この本に書いてあるので、この本を購入せよということでも結構です。 よろしくお願い致します。

  • WSUSの設定方法・確認方法について

    こんばんわ。 自宅でテスト用にWin2k3ServerにWSUSを構築してみたく検証中ですが、クライアントの動作がうまくいきません。 まず環境は以下の通り。 サーバ:Win2k3サーバSP1 ソフトウェア:WSUS SP1 クライアント:WinXP SP2 アクティブディレクトリ環境で、クライアントのログインは正常です。 インストール手順はMicroSoftTecNetに記載してある手順どおりに実施。 http://technet2.microsoft.com/WindowsServer/ja/Library/29733254-b3e2-43d6-aaa6-4ba5df50e9611041.mspx?mfr=true WSUS管理コンソールで同期およびクライアントPCの認識は確認できています。 検証結果: (1) クライアントがスタート→すべてのプログラム→WindowUpdateを行ってもWSUSサーバ(Win2k3)に接続に行っていない。 通常のインターネットのサイトに接続にいっている。 (2) クライアントPCの自動更新が灰色になっていて変更できない。 確認事項: (1) WSUSのクライアントの動作。 ・スタート→すべてのプログラム→Windows Updateを行った場合はWSUSにリダイレクトされるのかされないのか。 ・自動更新のときのみ可能な動作なのか。 (2) Win2k3(WSUSサーバ)側でグループポリシーを設定したが、それが正常にクライアントに設定されているかどうかの確認手段。 グループポリシー設定後、クライアント側では gpupdate /forceを事項し、強制的に反映はせてはいるのですが・・・ (3) WSUSクライアント側(WinXP)側の設定方法。 他になにか設定する必要がありますか? また正常動作を確認する方法があります? WSUS構築経験者様、またWSUS、サーバに詳しい方、お分かりになる方、ご教授願えないでしょうか? よろしくお願い致します。

  • WSUSサーバクライアント管理について

    現在WSUSサーバを構築して運用準備を行っております。 当環境にはドメイン環境のほかにワークグループ環境下のクライアントが数台あります。 ワークグループのクライアントについては、下記レジストリの変更により 設定できると認識しておりましたが、変更後もWSUSサーバ上に検出できない状態となっております。 ■ WSUSの設定 HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate WUServer http://172.16.24.100" ' WSUSサーバのIPアドレス WUStatusServer ElevateNonAdmins = 1 TargetGroup = test 'WSUSで作成したグループ TargetGroupEnabled = 1 ■ WindowsUpdateの設定 HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\    RescheduleWaitTimeEnabled = 1 RescheduleWaitTime = 10 IncludeRecommendedUpdates = 1 NoAutoRebootWithLoggedOnUsers = 1 NoAUShutdownOption = 1 NoAUAsDefaultShutdownOption = 1 AutoInstallMinorUpdates = 1 NoAutoUpdate = 0 AUOptions = 0 ScheduledInstallDay = 0 ScheduledInstallTime = 12 DetectionFrequencyEnabled = 1 DetectionFrequency = 22 UseWUServer = 1 RebootRelaunchTimeout = 1440 当レジストリ変更の内容をVBSにて作成後、クライアントのコマンドプロンプトにて wuauclt.exe /resetauthorization /detectnow を実行していますが、時間をおいても反映されません。 また、クライアントの下記レジストリキーを削除しても試行しておりますが 検出されず、困っております。 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdat      SusClientId   SusClientIdValidation 同じようなご経験をされた方、または何か手順に間違いがあればご指摘頂ければ 幸いです。 申し訳ありませんが、アドバイスの程頂けますでしょうか。

  • Win2003グループポリシーが別サイトのクライアントに適用されません

    教えてください。 Windows2003で1ドメインを3つのサイトにわけ、各サイトは、NTTのグループアクセスにてVPN接続しています。 各サイトはサイトリンクを行い、各サイトにグローバルカタログサーバを配置(サイトリンク)しています。 このドメイン内のOUにグループポリシーを設定したのですが、最初にドメインコントローラを設置したサイト(元々のグローバルカタログサーバがあるサイト)内のクライアントには、グループポリシーが適用されるのですが、他のサイトのクライアントには適用されません。 グループポリシーを設定しているOUには、各サイトのクライアントとなるユーザーを設定しています。 サイトリンクが上手くできていないのでしょうか。 教えてください。宜しくお願い致します。

  • windows updateの設定

    自社Windowsサーバ数台をWSUSにてセキュリティパッチの管理をしています。 イントラネット内のクライアントとなるサーバはホストサーバから配布されたパッチ等を手動適用させるようにしているつもりなのですが、パッチ配布や適用のタイミングとは別の時間帯にCPUの使用率が高くなることがあります(ここ数か月は毎月一度は必ず)。 CPU使用率が高まる時間帯はサーバにより違いますが、日付は同じです。 2015年4月は15日朝、2015年3月は11日朝であり、このキーワード的にはMicrosoftの月例の定期更新日と重なります。 ここで知りたいことなのですが、イントラネット内で形成されたWSUSでクライアントサーバはインターネット上に更新ファイルの有無を確認しに行こうとするのでしょうか? 仮にする場合は設定で確認しないようにすることは可能なのでしょうか? 私としてはクライアントはホストからの配信のみ待つようにできればと思っているのですが…。 グループポリシー等の設定でも構いませんのでご存知の方がいらっしゃいましたら教えていただけると幸いです。

  • グループポリシーでFirewall ポリシー管理

    いつも勉強させて頂いております。 Windows Server 2008 R2でドメインを構成しております。 グループポリシーを利用して、各メンバーサーバでのWindowsファイアウォール設定を一元管理したいのですが、すべてのメンバーサーバに同一の設定内容を割り当てるのではなく、 複数のサーバ単位で、Windowsファイアウォール設定を管理したいと考えております。 (例) サーバA,B,Cは、同一のWindowsファイアウォール設定ポリシー#1を割り当てる。 サーバD,Eは、Windowsファイアウォール設定ポリシー#1ではなく、Windowsファイアウォール設定ポリシー#2を割り当てる。 グループポリシーで、Windowsファイアウォール設定ポリシーを複数作成して、 そのポリシーが該当するそれぞれのサーバに割り当てることは可能でしょうか。 デフォルトですと、メンバーサーバは、"Servers"(?)とかのビルトインOUに組み込まれてしまうため、 グループポリシーを作成しても、Windowsファイアウォール設定ポリシーは、全メンバーサーバに 適用されてしまいそうな気がします。 それとも、メンバーサーバについて、デフォルトで所属する"Servers(?)"以外のOU(運用形態に応じて手動作成したもの)に移動して、OU単位で、メンバーサーバにWindowsファイアウォール設定ポリシーを割り当てることが出来るのでしょうか。 ご教示のほど、宜しくお願い申し上げます。