Insider's Eye

Service Packのサポートを始めたSUS

デジタルアドバンテージ
2003/09/26


 Software Update Services(以下SUSと略記)は、修正プログラム(Windows Updateにおいて、「重要な更新」やIEなどの「累積的な修正プログラム」)をクライアントへ配布するためのシステムである。小〜中規模の企業コンピューティング環境における、修正プログラムの自動配布システムとして急速に普及しつつある(Active Directoryを導入している必要があるので、個人やワークグループ・ネットワーク向けではない。そのような用途にはWindows Updateが勧められている)。

 しかしリリース当初のSUS(SUS 1.0。現在では2003年1月にSUS 1.0 SP1がリリースされている。SP1の詳細については「SUS Server with SP1 のリリース ノートとインストール手順」を参照)では、Windows OS自身のService Pack(以下SP)は配布することができなかった。SPはセキュリティの修正プログラムと異なり、その影響する範囲も大きいため、十分な調査や導入準備などが必要であり、各クライアントに自動的に(無条件に)インストールするのには向いていなかったためだと思われる。

 だが、度重なる重大な脆弱性の発覚や、それを使ったウイルス/ワームの蔓延により、マイクロソフトはSUSに対する従来の方針を変更したようだ。これらのワームは、最新のService Packを適用しているか、もしくはService Packを適用のうえ、さらに修正プログラムを適用していれば防ぐことができたものが多い。だが先般のMS Blasterワーム騒動により、現実の企業内のコンピュータ・システムでは、修正プログラムだけでなく、Service Packのインストールすら行われていないものが非常に多いということが露呈してしまった。これらに対する対策として、Service PackもSUSによる配布の対象とし、修正プログラムの適用を促進することにしたようである。実際には2003年9月中旬より、SUSサーバが参照する、SUSデータベースの更新が行われた(重大な脆弱性である「MS03-039 RPCSS サービスのバッファ オーバーランによりコードが実行される (824146)」などのリリースが済むのを待って、実行に移されたようだ。同時に発行すると、管理者が混乱するからだ)。現在のところ、「Windows 2000 Service Pack 4(IT 担当者向けネットワーク インストール)」と「Windows XP Service Pack 1」の2つのService Packが利用可能になっている。

SUSによるService Packの配布
2003年9月中旬以降は、このように、SUSでWindows OSに対するService Packも配布されるようになった。ただしそれぞれ100Mbytes以上もあるので、インターネットへの接続回線が細いと、ダウンロードに苦労することになるだろう。また、これらの分だけ(そして今後のSPの分だけ)多くディスク領域が必要になるので、SUS用のディスク領域の割り当てには注意が必要である。
  新たに提供されるService Pack。いずれもスタンドアロンでインストールすることができる「ネットワーク インストール」版である。

 ただしこれらは、SUSのサーバやクライアントを新しいバージョンに変更するものではなく、あくまでも、SUSの参照するデータベース(ダウンロードすべきパッチの情報データベース)の更新にすぎない。そのため、すでに導入しているSUSのサーバやクライアント(「自動更新」クライアント)プログラムを変更する必要はない。管理者は、SUS管理ツールの「更新の許可」設定において、適用したいSPのチェック・ボックス(上の画面参照)をオンにするだけである。

 ただし、SPは通常のセキュリティ関連の修正プログラムと違い、サイズも大きいし、インストールに失敗したりする確率も高いので(非常に多くのシステム・ファイルを変更するため)、その適用は慎重に行うべきである。以下に、いくつかの注意点を挙げておく。

SUSのService Packサポートにおける注意点

■細い回線ではダウンロードに時間がかかる
 SUSでは、いったんすべての修正プログラムをSUSサーバへダウンロードしてから、(指定されたものだけを)SUSクライアントへ配布している。これはSPの場合も同様である。ダウンロードされるSPは、いわゆる「ネットワーク・インストール版」という、必要なファイルがすべて1つにまとめられたバージョンである。Windows 2000 SP4もWindows XP SP1も、いずれも120M〜130Mbytesのサイズがあるので、ブロードバンド回線ならともかく、ISDNやアナログ電話モデムのような細い回線でインターネットに接続されている場合は、ダウンロードに非常に時間がかかることになる。SUSサーバの設定によって、Service Packファイルのダウンロードだけを無効にしたりすることはできないので、注意が必要である。

■SPの配布を選択的にオフにできない
 現在のSUS(SUS 1.0 SP1)では、各種の修整プログラムの配布を、Active DirectoryのOU(組織単位)ごとに有効にしたり、無効にしたりする。だが個別のコンピュータごとに配布を制御することはできない。そのため、OU全体のコンピュータに対してSPが適用されることになる。SPのインストールは、どのようなコンピュータでも確実に行えるという保証はなく、現実には、SPのインストールに失敗したりする場合もある(再起動をずっと繰り返すとか、ハングアップしてしまうなど。最悪の場合は、システムを最初からインストールし直す必要がある)。また、利用しているアプリケーションなどの都合により、SPをインストールしたくないコンピュータもあるだろう。このような環境に対応するためには、SUSを利用してSPをすべてのコンピュータに一律に適用するのではなく、従来どおり、各コンピュータごとに個別にSPをインストールする必要がある。

SUSの将来

 現在のSUSのバージョンはSUS 1.0 SP1であるが、大幅に機能を拡張したSUS 2.0のリリースが予定されている(この件に関するニュース・リリース「Microsoft Outlines Plans to Simplify Secure Computing(英語)」)。SUS 2.0は現在ベータ・テスト中となっており、正式なリリースは今年末から来年初頭とされている。詳細は不明であるが、以下のような機能拡張が予定されているようである。

  • OSやIE、IISだけでなく、OfficeやSQL Serverなどを含む、広範な修正プログラムのサポート。
  • 修正プログラムの展開結果のレポート。
  • パッチのアンインストール機能(アンインストール機能をサポートしているもののみ)。
  • マシン(のグループ)単位での修正プログラムの適用
  • より細かな配布スケジュールの管理

 いずれも、現在のSUS 1.0にも備わっているとありがたい(いままでなかったのおかしい?)機能ばかりともいえる。修正プログラムの適用に手を焼く管理者のためにも、ぜひとも早期に提供してほしいところだ。End of Article

 「Insider's Eye」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH