オフライン環境でWindows Updateのパッチを適用する方法(MBSA)

Windowsを使うならクライアントもサーバーもできれば最新のパッチを当てておきたいもの。
特にインターネットを繋がなくてもパッチ(Windows Update)は構築時点で当てれるものはあてるべき。

だけど、パッチを適用するためにはインターネット環境が必要。
業務サーバは特にインターネットに繋がないので、オフライン環境でのパッチ適用はよく使う話。
メモとして残しておこう。


参考サイト
感謝!

必要なツール
  • インターネットにつながるPC
  • MBSA

対応バージョン
執筆時点では、以下のWindowsが対応している。
Windows XP ~ 8.1(RTは除く)
Windows Server 2003 ~ 2012R2

他にもOffice製品等も対応しているようだけど、ここでは割愛。

手順1.MBSAの導入
では早速手順を見ていこう。
PCにMBSAをインストールする。
Microsoft謹製のツールなのでご安心を。

手順2.カタログファイルのダウンロード
どのパッチが必要なのかの情報が入っているカタログファイルを以下のサイトよりダウンロードする。
http://go.microsoft.com/fwlink/?LinkId=76054
カタログファイル(wsusscn2.cab)をダウンロードしたら
どこか適当なフォルダに突っ込もう。

手順3.MBSAのモジュールとカタログをコピー
適用対象となるサーバ(PC)へ以下のファイルをコピーする。
  • C:\Program Files\Microsoft Baseline Security Analyzer 2\mbsacli.exe
  • C:\Program Files\Microsoft Baseline Security Analyzer 2\wusscan.dll
  • 手順2.でダウンロードしたwsusscn2.cab

MBSAを対象機器へインストールしてもいいんだけど、余計なツールをインストールしたくないよね。
だからこれらのモジュールをコピーする。
そのためにMBSAをインストールするわけ。

手順4.MBSAコマンド実行
対象機器のコマンドラインで以下のコマンドを実行しよう。
手順3.でコピーしたファイル類は全て同じディレクトリにあるものと仮定する。
cd <ファイルコピーしたディレクトリ>
mbsacli.exe /xmlout /unicode /catalog wsusscn2.cab > result.xml

処理が終わると、「result.xml」というXMLファイルができているはず。

手順5.必要なパッチのダウンロード
手順4.で生成したXMLファイルをExcelで開く。

「XMLテーブルとして開く」を選択。
mbsa1

そのまま「OK」。
mbsa2

なんかエラーが出た時は無視して「OK」。
mbsa3

XMLファイルが開かれる。
mbsa4

「IsInstalled」っていう列を探し、フィールド値が「FALSE」となっているものだけに絞り込む。
FALSEとなっているパッチが適用しないといけないパッチ。
この辺はExcelのフィルタが便利だね。
mbsa5

「DonwloadURL」列に適用すべきパッチのURLが書いているので、
ツールを使うなり、手動で落とすなりしてパッチをダウンロードする。
mbsa6

手順6.パッチ適用
さて、ダウンロードしたパッチを適用すればいいんだけど、
1つずつ適用するのもめんどくさい。
Windows Server 2008R2のパッチだと.cab形式なもんで、ちょっとややこしい。
コマンドラインで一括して適用すれば少しは効率化になる。

パッチの拡張子によってコマンドが違うので各々以下のように適用する。

■.msu
forfiles /p . /m *.msu /c "cmd /c wusa @path /quiet /norestart"

■.exe
forfiles /p . /m *.exe /c "cmd /c @path /quiet /norestart"

■.cab
forfiles /p . /m *.cab /c "cmd /c dism /online /add-package=@path /norestart"

適用後、再起動を行い、もう一度手順.4のmbsacliを実行。
「FALSE」が全て「TRUE」になっていればオッケー。

注意点とか
  • パッチが大量にあると、再起動時に適用失敗となる。
    その場合は小分けして順繰りに適用→再起動をすればよろし。
  • MBSAを適用して、更にWindows Updateを実行すると、
    何故か追加で適用パッチが表示される。
    そのため、確実にパッチを当てるにはWindows Update(もしくはWSUS)の方が良い。

いやー、オフライン環境でのパッチ適用は本当にめんどくさい。
台数が多くなればなるほどややこしい。
あと、Windowsをインストール直後にやるんじゃなくて、
必要なアプリやミドルウェアなどをインストールした後でやるのがオススメ。
アプリとかで勝手にSQL Server Expressとか.Net Frameworkとかがインストールされると、
それらに対してもセキュリティパッチが必要になってくるので。


2 件のコメント :

  1. đồng tâm
    game mu
    cho thuê nhà trọ
    cho thuê phòng trọ
    nhac san cuc manh
    số điện thoại tư vấn pháp luật miễn phí
    văn phòng luật
    tổng đài tư vấn pháp luật
    dịch vụ thành lập công ty trọn gói
    nước cờ trên bàn thương lượng
    mbp
    erg
    nghịch lý
    chi square test
    nghệ thuật nói chuyện
    coase
    thuyết kỳ vọng
    chiến thắng con quỷ trong bạn
    cân bằng nash

    Mà bên mình lại có vấn đề. Ủy ban kế hoạch phát triển dẫn đầu điều tra Cao tốc An Quế đã nói rõ vấn đề. Ủy ban kế hoạch phát triển do Phó chủ tịch thường trực Trương Nghiễm Lan trực tiếp phụ trách. Nếu muốn để Cao tốc An Du được chọn thì gây khó dễ cho Cao tốc An Quế là biện pháp đơn giản nhất. Như vậy cũng có nghĩa lần này chuyên môn tìm chỗ sai sót của Cao tốc An Quế. Chỉ cần tra ra vài vấn đề, về là có thể báo cáo lên. Chẳng qua việc này không tốt đối với Triệu Quốc Đống.

    - Thái ca, trên tỉnh có phải đã xác định Cao tốc An Du, cố ý muốn lấy lý do để bỏ Cao tốc An Quế?
    Triệu Quốc Đống muốn hỏi rõ vấn đề. Nếu là như vậy thì chuyến này sẽ không cần làm gì. Nếu không hắn cũng có thể chuẩn bị một chút.

    - lãnh đạo liên quan của tỉnh và Ủy ban kế hoạch phát triển đều nghiêng về Cao tốc An Du, nhưng có Bí thư và chủ tịch tỉnh chưa tỏ thái độ rõ ràng nên còn là ẩn số. Nhưng có thể khẳng định với tài chính của tỉnh chỉ có thể chọn một, mà Cao tốc An Du đầu tư và thu lại nhanh hơn Cao tốc An Quế nhiều.

    Thái Chánh Dương cũng biết vấn đề này khó giải quyết. Vừa truyền ra tin Cao tốc An Du sẽ thi công trước đã khiến Đường Giang cùng Tân Châu phản ứng rất mạnh. Đây không chỉ là vấn đề giao thông, mà là vấn đề kinh tế, chính trị, không ai dám dễ dàng quốc gia.

    返信削除

Related Posts Plugin for WordPress, Blogger...