- - PR -
WSUSのポリシーについて
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2006-10-06 19:45
こんにちは。
現在、ActiveDirectoryのGPを使用してWSUSの運用を開始しました。 クライアントはWindows2000 SP4の環境です。 ちょっと技術的な部分で不明な点があるので、 皆様のお力をお貸しいただければと思います。 以下の設定でWSUSを運用しているとします。 ActiveDirectoryのGPは 4-自動ダウンロードしインストール日時を指定 インストールを実行する日を、金曜日の19時とします。 この環境にWindows2000 SP4のクライアントをドメインに参加させます。 このクライアントはSP4以降の更新が適用されていない状態です。 Wuauclt.exe /detectnow を実行してWSUSにクライアントマシンを通知させコンピューターグループに追加します。 SP4以降の更新が適用されていないので40個以上は更新があります。 暫くするとクライアントの端末にWindows Updateのアイコンが表示され プログラムがダウンロードされると、指定した曜日の時間にインストールされる ように設定されます。仮に10月6日(金)の19時にインストールとします。 そして、10月6日(金)の19時になり、はじめはBITS2.0およびWinHTTP5.1が スケジュールインストールされます。 インストールが完了してマシンを再起動、 暫くすると新しい更新がダウンロード(40個位の更新)されますが この更新がインストールされるのが、次週金曜日(10月13日)の19時に なってしまう為、困っています。 全ての更新を指定した曜日の時間にインストールする事は出来ないのでしょうか? WSUS上の更新プログラムから、指定したコンピューターグループに対して インストール承認を行い、期日を過去の日時にすれば強制的に全ての更新が ジャンジャンインストールされるのですが、この方法ですと更新がインストール された後、「後で再起動する」というボタンが押すことが出来ません。 GPで以下ポリシーは選択脈にないと考えてください。 2-ダウンロードとインストールを通知 3-自動ダウンロードしインストールを通知 理由としては社内ユーザーに事前通知をメールで出しても、 インストールを実行しないユーザーがいる為です。 その為、指定した曜日の時間に強制的にインストールを実行して、 尚かつユーザーにさせる操作は、プログラムのインストール後に表示される メッセージボックスで、「今すぐ再起動する」、「後で再起動する」 のみを選択出来るようにしたいと考えています。 何か良い方法はないでしょうか? ちなみにWSUSの更新プログラム承認の期日指定で以下のような選択がありますが、 選択した日時までに更新プログラムをインストールする このオプションは、クライアントの設定に優先します。 ここで指定出来る日付と時間というのは、 あくまでも指定した日付と時間を目標にしてインストールを 実行しなさい。という設定なのでしょうか? ここで設定した日付と時間にインストールが実行される という事ではないのでしょうか? また、クライアントの設定に優先する。というニュアンスがいまいち理解出来ません。 GPは無視されてクライアントの自動更新設定(レジストリキー)を優先して インストールするという意味なのでしょうか? 長文にて大変申し訳ございませんが、 宜しく御願い致します。 | ||||||||||||
|
投稿日時: 2006-10-06 23:53
こんばんわ.
と設定されているから,
という反応があったのですよね? そして翌週に
と install されたのですよね? 動きは矛盾していないと思うんですが? 最初の週の段階では「前提となるもの」が install されて, 「本来の hotfix」は翌週の予定された日に installされる. 設定どおりに動いているように思われますが? | ||||||||||||
|
投稿日時: 2006-10-07 00:48
こんばんは。
ご返答ありがとうございます。 Kazさんの言われる通りです。 動作は問題ないです。 ただ、私がやりたいことの説明不足でした。 私はWSUSでWindows2000関連のプログラム(重要な更新、更新など)を いっぺんにインストールの承認を設定して、10月6日(金)19時になったら 全てのプログラムがインストールされるようにしたいと思っています。 50個から60個くらいのプログラムを一斉にインストール承認しても、 SP4しか適用されていない端末は、はじめに数個のプログラム (BITS2.0およびWinHTTP5.1など)が検出されインストールが実行されます。 そして、インストールが完了してクライアントを再起動し、 再度、自動更新が更新プログラムを検出すると、次に数十個の更新を インストールするように設定されるのですが、1回目の更新適用後マシンを 再起動しているので、どうしても2回目の更新は翌週の金曜日になってしまいます。 自分は10月6日(金)19時から全てのプログラムがインストールされるように スケジュールしたいと考えています。 文才能力がない為、うまく説明できないのですが 何回か再起動を伴う更新や、どうしても個々にインストールしなくてならない 更新プログラムがある場合、WSUSは60-70個の更新をいっぺんにインストールは 出来ません、どうしても一回目の更新後、マシンを再起動すると二回目の インストールスケジュールが翌週になってしまうので困っています。 はじめにも書いたのですがWSUS上の更新プログラムから、 指定したコンピューターグループに対してインストール承認を行い、 期日を過去の日時にすれば強制的に全ての更新がジャンジャンインストール されるのですが(マシンの再起動を行っても更新プログラムが検出されると 強制インストールが行われる)、この方法ですと更新がインストールされた後、 「後で再起動する」というボタンが押すことが出来ません。 確かに50-60個の更新をいっぺんに適用しようとするのは 大変無謀な計画なのですが、何週間もかけてチマチマインストールする 事ができない環境の為、いっぺんにインストールを実行させたいと 考えています。 或いはインストール承認を過去の日付に設定して強制インストールを 夜中に実行させ、自動的に再起動させる設定でインストール計画を 立てればよいのでしょうか? しかし、自動再起動を行った後、数百台ある端末をどのようにドメインに ログインさせるか?(Bat? Script?) どなたかよいアイデアはございませんでしょうか? | ||||||||||||
|
投稿日時: 2006-10-07 08:23
の意味が わからないのですが ... どうしても更新をインストールしたいのなら 強制的に全ての更新がジャンジャンインストールするでは何故いけないのでしょうか? セキュリティーアップの為の更新なので、「後で再起動する」というのは許されないことなのでは? *私どもの所では 検疫システム導入に伴い すべてを強制的にインストール(更新が幾つ有っても)にして運用しております、またインストールされていないと、ネットワークに接続できませんのでクライアントからは文句が出ませんが。 ちなみにクライアントPCは700台ほどあります。 | ||||||||||||
|
投稿日時: 2006-10-07 22:11
wojisanさんこんばんは。
wojisanさんの言われる通りです。 私もそう思います。 セキュリティ上、穴が開いている端末がうじゃうじゃあることは あり得ない事です、しかし内情をお話ししますと私は出向の立場であり、 社員は技術に詳しくなく、尚かつセキュリティよりも業務優先です。 事前にIT部門から通知メールをしても、何故突然再起動なんだ?! と社員をスルーして我々が責め立てられます。 これらのやりとりを社員は見て見ぬふり。。。 社内から文句があってもしっかりと説得して社内に導入していくのが 自分の仕事と思っているのですが、私にはそこまでの権限もなく 最終的には社員の方針に従うしかありません。 しかし、セキュリティは最新の状態に維持し、再起動は最小限に抑え、 もし再起動が必要な場合には、後で再起動するという選択脈を用意しろ。 という注文が突きつけられています。 wojisanさんのいう通り 「後で再起動する」というのは許されないことなのでは。 というのは本当にそう思います。当然です! しかし、後で再起動するという選択ができない事が この会社では許されない事なのです。。。 また深夜の作業もあまり出来ません。 理由としては夜間バッチや会計システムで作業している人間もいる為、 クライアント端末を1時間程度止めることもできません。 ひじょーーーに苦しい環境で作業をしています。 どうにかダウンタイムを少なく、なおかつ再起動を少なく。。。 と考えているのですがうまくいきません。 そんな環境なのに、いざウイルスが蔓延したら いつ回復するんだ?IT部門はどうなっているんだ?! と文句の嵐です。。。 そもそも、SP4以降の更新を何でやっていなかったのか? と言われれば、それは前任者や社員がしっかりとした セキュリティポリシーを策定してシステム運用をしなかった為 今の環境となっています。 (こんな環境なので私のポジションにいる人間はみんな辞めていっている為、 ITの基盤が全然整っていません。) この現場に私が入ったのが半年前くらいで、 サーバーにサービスパックすら適用されていない とても残酷な環境でした。 ようやくWSUSのシステム運用に入れるようになった矢先に このような事態となっています。 私もWSUSはかなり勉強したので、たぶん手段はないのではないかと思っています。 個人的には今すぐにでも強制インストールの設定をしたいのですが、 グローバル企業の為、US本社のポリシーにも従わなければならない部分もあり 苦しんでいます。。。。 また、XPもSP1の状態で早くSP2にあげたいのですが ERPシステムでSP2の動作チェックが行えていないという事で 未だにSP1で運用しています。 社員に対しては、今度MSからSP1向けの更新が提供されませんよ。 と報告はしていますが、いまいち動きが鈍いです。 自分勝手に作業をするとUSからも注意されるし。。。 こんな環境がまだまだあるんですよ。。。 皆さんも知っているような企業で。 | ||||||||||||
|
投稿日時: 2006-10-08 13:15
ご愁傷様 としか いいようがありません _| ̄|○
弊社でも2年前はそんな状態でして、ウイルス騒ぎが発生し調査の為6時間ほど外部との接続を遮断したことがあります。 幸いにして弊社の中にはウイルスは居ませんでしたが。 その後クライアントを調査した所セキュリティーアップデートってなーに(苦笑)という方がほとんどでして .... そんなこんなが有りまして全社的に、検疫システムを導入するということになりました。 最初はWSASではなくてSUSで運用しておりましたがパッチのアップデートが何時始まるかが不明 ... な事もあり、システムのアップデートをきっかけにWSASにて即時実行に切り替え現在に至っております。 *PCの新規セットアップ時にwin2000ではやはり50個、XP(SP2)でも35個以上のアップデートが走ります。 幸いにして検疫機構が有りますのでそいつにアップデートはお任せで1時間はかからないで完了します。 *妥協案としてグループをもう少し小さなグループに分けて、お昼休みに順番に強制アップデートさせるというのはいかがでしょうか? 普通のLAN接続でしたらほとんど時間てきな問題は無いと思いますけど。 それとも何時何時までに自分でアップデートしてください、その日付を過ぎたら強制アップデートを行います。 というのは? 当然 社長命令としてこの通達を出して貰う必要が有りますが。 | ||||||||||||
|
投稿日時: 2006-10-09 03:55
とりあえず、逃げ出す準備を行ったうえで、ダメもとで徹底的に戦ってみる。
くらいしかないでしょう。 最終的に不利益を蒙るのは誰かって気づけないなら、とことん苦しんでもらいましょう。 # さっさと脱出するのが吉のような・・・ | ||||||||||||
|
投稿日時: 2006-10-09 23:21
こんばんは。
今回の展開は日本全国に拠点がある中で、 まず、本社である横浜から行うことになっています。 拠点毎にActiveDirectのサイトを作成している為、 このサイト毎に更新を流す予定となっています。 もっと細かくOUで分けるなどの方法もありますが、 USもJapan のドメインを管理している部分もある為、 あまり色々といじることが出来ません。 自分でアップデートしてください。 という通知をメールで流してもやらない人がいるんですよね。。。 結局、変な画面がでて再起動した!!とか言って電話かけてくる ユーザーばかり。。。 社長命令で通達。というのも無理ですね。 なんでそんなメールをわざわざ社長通達なの? という感じだし、そもそもJapan Allメール(日本の全拠点宛)で 文書を発信してもメール見てないユーザーもいるし。。。 この会社には疲れています。。。 ウイルス対策もM社の製品を入れていますが、 Epo ServerがUSにある為、わざわざUSのServerにログインしてから 色々操作をしている形になります。 しかし、Japan IT 管理者にはポリシーの変更権限がない為、 クライアントのアプリを消したり、入れたり。という事しか出来ません。
| ||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。