皆さま、こんにちは。
WSUS サポートチームです。
本記事では、ドメイン コントローラ上での WSUS サーバーの稼動についてご紹介いたします。
本記事は、以下の記事と関連する内容です。
ドメイン コントローラ上での WSUS サーバーの稼動について
https://blogs.technet.com/b/jpwsus/archive/2010/05/07/wsus.aspx
(概要)
Windows Server 2012 以降の環境においても、ドメイン コントローラーと WSUS サーバーを同一筐体に構築することはサポートされています。しかし、上記構成では意図しないトラブルが発生する可能性があるため、推奨はしておりません。上記ブログ記事にて説明されている WSUS 3.0 までのバージョンと同様のサポート方針となります。
本記事では、Windows Server 2012 以降の WSUS 環境での代表的な問題とその対処をご紹介します。
WSUS の役割追加に失敗する
(事象の概要)
WSUS のデータベースに Windows Internal Database (WID) を選択した場合、ドメイン コントローラー構築後に WSUS の役割追加に失敗し、システムの再起動が求められることがあります。
(発生要因)
ドメイン コントローラーの構築に伴って設定される [サービスとしてログオン] のポリシーの制限によって、WID のサービスがサービスとしてログオンすることが許可されず、サービス起動に失敗することが原因となります。
[コンピューターの構成] - [ポリシー] - [Windows の設定] - [セキュリティの設定] - [ローカル ポリシー] - [ユーザー権利の割り当て] - [サービスとしてログオン] のポリシー
本要因により、WID のサービス起動に失敗すると、WSUS の役割追加自体が失敗となり、システムの再起動が求められる動作となります。
~ 参考情報 ~
下記公開情報は、ADFS の役割追加時の事象の紹介となりますが、類似した事象となります。
“MSSQL$MICROSOFT##WID service was unable to log on as NT SERVICE\MSSQL$MICROSOFT##WID” error when you install WID in Windows Server 2012
https://support.microsoft.com/kb/2832204/en-us
(対処)
本事象が発生した場合は、インストールが失敗し、システムの再起動を実行する前に、上記のグループ ポリシー [サービスとしてログオン] のポリシーに、WID のサービス アカウント「NT SERVICE\MSSQL$MICROSOFT##WID」を追加して再起動を行い、WSUS の役割を再度追加すると成功します。