運用
Microsoft Software Update Servicesの実力を探る

1.Software Update Servicesの概要

デジタルアドバンテージ
2002/07/09

 このような事態を少しでも改善し、修正プログラムの適用作業の負担を軽減する方法はいくつかある。例えばMicrosoft Systems Management Server(SMS)などで修正プログラムを「配布」するという方法があるが、SMSそのものがあまり一般的ではないし、小規模な組織ではSMSは手に余るだろう。もう1つの方法として、こちらは手軽だが、Windows Updateの自動更新機能を使うという方法がある。これはWindows Updateで重要な更新がリリースされると、それをユーザーに通知すると同時に、あらかじめ指定しておけばそのインストールや(必要なら)再起動までをも自動的に行うという機能である。もともとWindows XPで実装されていた機能をベースにしているが、現在ではWindows 2000マシンでも利用できる(2002年6月からWindows Updateで提供されている「Windows自動更新」を導入する)。

 だがこの自動更新では、Windows Updateサーバに接続してそこから修正プログラムをダウンロードしてインストールしているので、各マシンのWindows Updateの状況をシステムの管理者が把握できないという問題がある。つまり、修正プログラムをインストールしてしまうとアプリケーションが動かなくなるような場合でも、何の制約もなくインストールできてしまうのだ(ただし、実際のインストールには管理者権限が必要だが)。またこの方式では、各クライアント・マシンからWindows Updateのサイトに個別に接続を行うし、しかもその通信(HTTPによる通信)ではWebのキャッシュ機能などが働かないので(常に最新のモジュールをダウンロードさせるためであろう)、社内中の多数のマシンが同時にWindows Updateサイトへ接続しようとすると、インターネットへのアクセス回線の帯域が飽和してしまう可能性がある。

 このような問題を解決するため、そして企業内におけるWindows Updateの使い勝手を向上させてセキュリティ・パッチなどのインストール作業など補助するものとして、Microsoft Software Update Services(以下SUSと表記)というソフトウェアがMicrosoftから提供されている(SUSの詳細についてはこちらを参照)。これはWindows 2000 Server/.NET Serverに対する無料のアドオン・ソフトウェアであり、マイクロソフトの推進する「Strategic Technology Protection Program(STPP)」構想に基づいて開発が進められていたものである。STPP構想については「Insider's Eye―『信頼できるコンピューティング』への長い道のり」などを参照していただきたい。SUSは、STPP構想発表当時には“Federated Corporate Windows Update”や“Windows Update Corporate Edition”と呼ばれていた。

SUSサーバ管理画面
SUSサービスは、Windows Updateサービスを社内レベルで行えるようにした、Hotfixの自動配布サービス。続々とリリースされるHotfix管理の切り札になるか? SUSサーバの管理は通常のWebブラウザで行う。

 SUSは、次々と発表されるWindowsの修正プログラム(修正プログラムにはいくつか種類があるが、以下ではSUSの機能に合わせてHotfixと呼ぶ)を、安全に社内中のクライアント・マシンへ配布して、自動的にインストールするためのシステムである。マイクロソフト社のWindows Updateサーバから最新のHotfixモジュール類を定期的に収集して、それをユーザー組織内に用意したSUSサーバに蓄積しておく。そして各クライアントへは、このSUSサーバから直接Hotfixを配布し(送信し)、インストールすることができる。どのHotfixを、どのタイミングでクライアントへ配布するかは、Active Directoryのグループ・ポリシーを使って制御する。SUSを利用すれば、最大でも2日以内の遅れで(Windows UpdateサーバからSUSサーバへの同期作業に最長1日、そこからクライアントへの同期にさらに1日)、公開されているHotfixをクライアントへ適用することができる。Hotfixを適用後、必要ならば自動的にシステムの再起動も行う。

 ただし、マイクロソフト社のWindows Updateサーバ経由でWindows Updateを行う場合とまったく同じ機能が実現できるのかというと、残念ながらそうではない。まず最初にSUSでできることと、できないことについて簡単にまとめておこう。

■SUSでサポートされている修正プログラムの種類
 Windowsシステムのバグやセキュリティ・ホールを修正するためのモジュールには、(Windows Updateでいうところの)いくつかの種類があるが、そのうちSUSでサポートされているのは「重要な更新」と「Security Roll-up Package」だけである(本稿では、これらを総称してHotfixと呼ぶことにする)。これらは、いわゆるセキュリティ・ホールなどにかかわる重要なHotfix類であり、もう少し緊急度が低いService Packやデバイス・ドライバの修正プログラム、各種のアプリケーション(例えばOfficeなど)のパッチやService Releaseなどは含まれていない。また配布するモジュールをユーザーが用意することもできず、基本的にはマイクロソフト社がWindows Updateサービスでリリースしている、マイクロソフトのデジタル署名付きのHotfixだけに限られる。

項目
SUSで自動配布できるもの
重要な更新 各種のセキュリティ問題の修正プログラム、Microsoft .NET Framework Service Pack 1、重要な更新など
Security Roll-up Package IIS用のSecurity Roll-up Package 1など
SUSで自動配布できないもの
OS自体の更新プログラム 推奨修正プログラム、Microsoft Virtual Machine、Microsoft .NET Framework日本語版、DirectX 8.1、ユーザー移行ツールなど
Windows OSのService Pack Windows 2000 Service Pack 1/2など
デバイス・ドライバ類 デバイス・ドライバやその修正プログラム
アプリケーション Internet Explorer(IE5.0/5.5/6.0)の配布パッケージなど
アプリケーションのアップデート Microsoft OfficeのService Release、Windows Media Player 7.1など
SUSで配布可能な対象ソフトウェア

■SUSでサポートされているOS
 以下に示すとおり、SUSでHotfixを自動配布/インストール可能なクライアントOSにも制限がある。一般的には、今後はこれらのOSしか新規導入されないだろうから、将来だけを見るならばこれでも十分であろう。だが現在すでに導入されて広く使われている従来のOSについては、いままでどおり、手動でWindows Updateなどを実行する必要がある。

SUSでサポートされているクライアントOS
Windows XP Home Edition
Windows XP Professional
Windows 2000ファミリ
Windows .NET Serverファミリ
SUSでサポートされていないクライアントOS
Windows 95/98
Windows Me
Windows NT
SUSでサポートされているOS

関連記事(Windows Server Insider)
『信頼できるコンピューティング』への長い道のり

関連リンク
Microsoft Software Update Servicesのページ


 INDEX
  [運用]Microsoft Software Update Servicesの実力を探る
  1.Software Update Servicesの概要
    2.SUSの仕組み
    3.SUSで管理するHotfixの配布
    4.SUSサーバのインストール
    5.SUSサーバの設定
    6.SUSクライアントの制御
    7.SUSのクライアントの動作
    8.SUSの運用

 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間