第12回 更新プログラム配布プラットフォームWSUS 4.0:Windows Server 2012クラウドジェネレーション
Windows OSの脆弱性を修正したり、機能の強化や改善を図るためには、修正プログラムやセキュリティ・パッチの適用作業は欠かせない。Windows Server Update Services(WSUS)サーバを利用すれば、ネットワークの負荷を抑えたり、何を配布するかなどを制御できる。Windows Server 2012のWSUS 4.0について解説する。
WSUS 4.0
Windows OSに対する更新プログラムやセキュリティ・パッチなどを適用する場合、マイクロソフトが運営している「Windows Update」というサービスを利用して、自動的に適用するのが一般的である。だが会社など、多数のPCがある環境では、すべてのPCがある特定の時期にいっせいにWindows Updateサイトにアクセスすると、ネットワークの帯域を大幅に消費し、通常の業務が滞る可能性がある。このような場合は、組織内に「Windows Server Update Services(以下WSUS)」サービスを実行するサーバを用意し、このサーバ経由で更新プログラムなどを配布するとよい。WSUSではWindows Updateサイトから更新プログラムなどを取得してWSUSサーバ内に保存し、そこから組織内のクライアントへ配布する。これにより、インターネットへアクセスするためのネットワーク帯域を大幅に抑制できるほか、どの更新プログラムを配布するかを選択/スケジューリングしたり、更新プログラムの適用状況をレポートしたりできる。WSUSの詳しい使い方やQ&Aなどについては、以下の連載も参照していただきたい。
WSUSには現在2つのバージョンがある。「WSUS 3.0 SP2」は、Windows Server 2008 R2より前のサーバOS向けのバージョンである。WSUSは基本的にはWindows Server OSとは独立したパッケージであり(無償)、ユーザーがマイクロソフトのサイトからダウンロードしてインストールするようになっている。
Windows Server 2008 R2ではあらかじめOSの役割としてWSUS 3.0 SP2が組み込まれており、サーバの管理ツールで「Windows Server Update Services」という役割を追加するだけで、自動的に必要なコンポーネントなどもインストールされるなど、導入が容易になっている。
Windows Server 2012ではこのWSUS役割の機能も更新され、「WSUS 4.0」というバージョンになっている。
WSUS 4.0における変更点を次にまとめておく。
| 機能改善/変更点 | 内容 |
|---|---|
| サーバ・マネージャによる管理 | Windows Server 2012の標準管理ツールであるサーバ・マネージャで管理可能。ほかの役割やサービスと統合して管理できる |
| PowerShellコマンドレット・サポート | WSUSをコマンドラインから制御するために、12個の新しいPowerShellコマンドレットが用意されている |
| セキュリティの強化 | ダウンロードした更新プログラムの改ざん防止/検出などのために、より暗号強度の高いSHA-256メッセージ・ダイジェスト値を使った検査をサポート(従来はSHA-1) |
| 異なるバージョンのエージェントのサポート | サーバ側とクライアント側のWindows Updateエージェント(WUA)のバージョンを独立して変更可能にした |
| 使用するポート番号の変更 | WSUSサーバ(IIS)が使用するポートが、デフォルトでは80番だったのが、8530番(HTTP)に変更された |
| WSUS 4.0の主な変更点 | |
以下ではWSUS 3.0 SP2からの変更点に注目して解説する。WSUS 3.0 SP2の機能や設定については前述の記事を参照していただきたい。
WSUS 4.0のインストール
Windows Server 2012にWSUS 4.0を導入するには、Windows Server 2008 R2でWSUS 3.0 SP2を導入するのと同様に、サーバの役割として「Windows Server Update Services」を追加すればよい。なおWSUSのレポート機能を利用するためには、「Microsoft Report Viewer 2010」というパッケージが必要になるので、WSUSの導入前に、あらかじめダウンロードしてインストールしておく。
- Microsoft Report Viewer 2010 再頒布可能パッケージ(マイクロソフト ダウンロード センター)
WSUS役割をインストールしようとすると、IISなどの関連役割のインストールも促されるので、同時にインストールしておく。インストールの途中でWSUSのデータを保存するフォルダの場所を問い合わせる画面が出てくるが、D:\WSUSなど、適当なフォルダを指定しておく。
役割のインストール後にサーバ・マネージャを起動すると、「通知」領域にWSUSサービスの初期設定タスクを実行するように促すメッセージが表示されるので、それを起動する。
WSUS役割追加後の初期設定タスクの起動要求
WSUSのインストールしたら、最初に初期設定のためのタスクを実行する。
(1)ここでWSUSを選択すると、WSUSのサービスの稼働状況などを確認できる。
(2)ユーザーに知らせるべきメッセージがあると、このように色が変わって通知する。
(3)WSUS役割のインストール後には、この初期化タスクを1度実行する必要がある。
WSUSの設定ウィザードでは、WSUSサーバの使用するポート番号やアップストリーム・サーバ(更新プログラムを受け取る、上位のWSUSサーバのこと)などを指定したり、インストールする更新プログラムの言語(英語版か日本語版か)、製品、分類(Service Pack、ドライバ、重要な更新、ドライバ)、同期スケジュール(更新プログラムをダウンロードするスケジュール)などを選択する。デフォルトでは、全言語の更新プログラムをダウンロードするようになっているので、必要な言語(通常は日本語)だけに限定するとよいだろう。対象製品は、デフォルトではOffice製品とWindows OSのみとなっているが、こちらは組織の事情に合わせて、もっと多くの製品を選択してもよいだろう。
WSUSの初期設定ウィザード
WSUS役割のインストール後、最初にこのウィザードを1回実行しておく。ネットワーク環境の設定や、ダウンロードする更新プログラムの種類などを指定する。
(1)これは「製品」の選択画面の例。
(2)デフォルトでは「Office」と「Windows」のみが選択されている。必要に応じて、ほかの製品も選択しておくとよい。
設定後のWSUS管理画面
初期設定ウィザードを終了させると、最初に指定した更新プログラムのダウンロード作業が行われる。設定にもよるが、すべての更新プログラムをダウンロードするので、数十分から数時間と、かなり時間がかかる(ディスクの空き容量は40Gbytes以上を推奨)。一度ダウンロードしてしまえば、以後は差分のみのダウンロードになるのであまり時間はかからない。
初期ダウンロード終了後のWSUSの管理画面を次に示しておく。このツールはサーバ・マネージャの[管理]メニューから呼び出せる。
WSUSの管理画面
WSUSの管理コンソール画面。以前のWSUS 3.0 SP2のものとほとんど同じである。
(1)更新プログラムの一覧がここに表示される。種類や許可状態などに応じて分類、表示できる。
(2)更新プログラムの配布対象PCの情報。
(3)上位のサーバから更新プログラムを取得する「同期」処理関連の設定。
(4)適用状況などのレポート作成。
(5)取得した更新プログラムなどの状態。
(6)接続先ポート番号などの情報。なおレポートを作成しようとすると、「Microsoft Report Viewer再配布可能パッケージ2008が必要です」というメッセージが出ることがある。その場合は指示のリンク先にあるパッケージをダウンロードして、インストールしておく([.NET Framework 3.5 Features]−[.NET Framework 3.5 (.NET 2.0 および 3.0を含む]機能もインストールしておくこと)。
この管理画面を見ると分かるように、WSUS 4.0になっても、機能的には以前のWSUS 3.0 SP2とほとんど同じである。せいぜいWSUSサーバ(IIS)のポート番号が異なるぐらいである。従来はTCPの80番ポートが利用されていたが、WSUS 4.0ではデフォルトで8530番と8531番(httpとhttps用)になっている。またこれに伴い、(自動的に作成された)WSUS用のファイアウォール規則でも、これらのポートが通るように変更されている。
IISのWSUS用ポートのバインド情報
WSUS 4.0で使用するポート番号が変更されており、ファイアウォールなどでWSUSの通信を識別してフィルタリングしやすくなった。
(1)WSUS用サイト。
(2)このサイトにバインドされているポート番号。
WSUSサーバの設定が完了したら、後はクライアント側の設定を行い、WSUSのサーバから更新プログラムをダウンロードするようにする。ワークグループ構成のPCの場合はローカル・グループ・ポリシーで、ドメイン環境のPCの場合はActive Directoryのグループ・ポリシーでそれぞれ設定を行う。このあたりの方法はWSUS 3.0 SP2の場合と同じなので、詳細は以下の記事などを参照していただきたい。
- 連載「これから始めるWSUS 3.0入門」
- Windows Server Update Services を組織に展開する(TechNetサイト)
なお、ポート番号が変更されたことにより、更新プログラムのダウンロードの場所(WSUSサーバの指定)は、「http://wsusserver/」ではなく、「http://wssuserver: 8530/」のように指定する。
Windows 8からWSUSサーバを管理する
WSUSのサービスはWindows 8には導入できないが、WSUSの管理ツールを使うことは可能である。Windows Server 2012をリモートから管理するRSATツールをWindows 8に導入すると、[コントロール パネル]の[管理ツール]の下に[Windows Server Update Services]というツールが導入されるので、これを起動し、WSUSサーバへ接続すればよい。
- Windows 8 用のリモート サーバー管理ツール(マイクロソフト ダウンロード センター)
PowerShellによる管理
WSUS 4.0は、PowerShellのコマンドレットで管理できるのも機能強化点の1つである。以前のWSUS 3.0 SP2にはwsusutil.exeというコマンドがあり、これはWSUS 4.0でも引き続き提供されているが(WSUS役割インストール後の設定を行うpostinstallなど、いくつかサブコマンドが追加されている)、PowerShellによる操作も可能になっている。
| コマンドレット | 機能 |
|---|---|
| Add-WsusComputer | 指定されたターゲット・グループへのクライアント・コンピュータの追加 |
| Approve-WsusUpdate | 更新プログラムのクライアントへの適用の承認 |
| Deny-WsusUpdate | 更新プログラムの拒否 |
| Get-WsusClassification | WSUSの「分類」の取得 |
| Get-WsusComputer | WSUSのクライアント・コンピュータ・リストの取得 |
| Get-WsusProduct | WSUSのサポートしている「製品」リストの取得 |
| Get-WsusServer | WSUSのサーバのリストの取得 |
| Get-WsusUpdate | WSUSのサーバ上の更新プログラムの詳細情報の取得 |
| Invoke-WsusServerCleanup | WSUSサーバのクリーンアップの起動 |
| Set-WsusClassification | WSUSサーバの「分類」の有効/無効のセット |
| Set-WsusProduct | WSUSサーバの「製品」の有効/無効のセット |
| Set-WsusServerSynchronization | WSUSの同期先の設定(Microsoft Updateを使用するか、アップストリーム・サーバを使用するかの設定) |
| WSUS操作用のPowerShellコマンドレット | |
今回は新しくなったWSUS 4.0について取り上げた。機能的にはこれでもう十分なためか、大幅な機能強化は行われていない。だが更新プログラムのダウンロードのためのネットワーク帯域の抑制や、パッチ適用のスケジューリングなどの管理を行うためにはWSUSは欠かせないだろう。ぜひ活用していただきたい。
Copyright© Digital Advantage Corp. All Rights Reserved.