運用
|
 |
|
|
|
手軽な企業向けパッチ管理ソフトウェアとして歓迎されたSUSだったが、SUSの機能は極めて限定的であるとともに、SUSがパッチ・カタログやパッチのダウンロード先として使用するWindows Updateの機能も十分とはいえなかった。こうした欠点の多くを解消したのが新版のWSUSである。WSUSの公開に合わせて、サーバ側のサービスも従来のWindows UpdateからMicrosoft Updateにバージョンアップされた。
| コラム WSUSの入手先 WSUSは以下のサイトから無償でダウンロードできる。 |
以下は、WSUSで拡張された機能を分かりやすくするために、SUSとWSUSの主要な機能比較を行ったものだ。以下、この表を見ながら、WSUSでの機能強化点を確認していこう。
| SUS | WSUS | |
| 使用料金 | 無料*1 | 無料*1 |
| パッチ提供をサポートするソフトウェア | Windows 2000ファミリ Windows XPファミリ Windows Server 2003ファミリ |
Windows 2000ファミリ Windows XPファミリ Windows Server 2003ファミリ Windows Server 2003, Datacenter Edition Windows XP 64-Bit Edition Version 2003 Exchange 2000 Server Exchange Server 2003 SQL Server 2000 Office XP/2003 |
| 対応パッチクラス | ・重要な更新 ・セキュリティ更新 ・ロールアップ ・サービスパック |
・重要な更新 ・セキュリティ更新 ・ロールアップ ・サービスパック ・更新 ・Feature Packs ・ツール・ドライバ |
| パッチ適用状況のレポート | 簡単なIISのログファイル | WSUSコンソール上のHTMLレポート |
| パッチ適用状況の検出のみ実施 |
×
|
○
|
| クライアントPCのグループ化 |
×
|
○
|
| インターネット非接続環境での利用 | SUSサーバは必ずインターネットに接続する必要がある | 別のコンピュータでダウンロードしたメタ・データやパッチをエクスポートし、インターネット非接続環境のWSUSサーバにインポートすることができる |
| パッチのインストール期日指定 |
×
|
○
|
| クライアントからサーバへの接続周期設定 |
×
|
○
|
| サーバの階層化 | 上流サーバからのダウンロードのみ | SUSの機能に加え、設定を上流サーバで実施し、その複製を展開する機能などが拡充された |
| グループ・ポリシー・サポート | 少数のGPO設定のみサポート | 多数のGPO設定をサポート |
| パッチの高速インストール |
×
|
○
|
| パッチのアンインストール | 不可能 | パッチが対応していれば可能 |
 |
||
| SUS/WSUS主要機能比較 | ||
| *1 各クライアントはサーバにアクセスするためのCALが必要。 | ||
■パッチ提供をサポートするソフトウェア/対応パッチ・クラスの拡充
従来のWindows Update/SUSで適用できるパッチは、Windows OSやInternet Explorerなど一部のソフトウェアに限定されていた。例えばOffice製品はサポートされないので、Officeのセキュリティ更新が公開されたときには、Windows Updateとは別に用意されたOffice Updateサイトにアクセスして、Office向けパッチを適用する必要があった。SQL ServerやExchange Serverなどのサーバ製品群も対象外であり、これらのパッチを適用するには、手作業でダウンロード・サイトにアクセスし、各ソフトウェアのパッチを入手して適用するしかなかった。
これに対しWSUSでは、従来のSUSでの対応ソフトウェアに加え、Office(Office 2003とOffice XPのみ。Office 2000は対象外)やSQL Server 2000、Exchange Server 2003など、主要なサーバ・ソフトウェアのサポートが追加された。サポートされるサーバ・ソフトウェアはなお一部だけだが、今後対応製品は拡充される可能性がある。
またWindows Update/SUSでは、適用できるパッチのクラスはセキュリティ更新(セキュリティ・ホールをふさぐパッチ)とService Pack程度に限定されていた。これに対しWSUSでは、デバイス・ドライバや、セキュリティ以外のバグ修正パッチなども適用できる。
■レポート機能の大幅な機能強化
|
管理者としては、各クライアントが正しくSUSサーバにアクセスし、パッチの適用に成功したかどうかを確認する必要がある。しかし従来のSUSでは、SUSがベースとして使用するIIS(Internet Information Services=Webサーバ)のアクセス・ログが残される程度で、事実上SUS単独ではクライアントへのパッチの適用状況を確認することはできなかった。これらを確認するには、別途マイクロソフトが提供しているMBSA(Microsoft Baseline Security Analyzer)を組み合わせる必要があった。
これに対しWSUSでは、自身にレポート機能が追加され、コンピュータごと、グループごと(後述)、更新プログラムごとなどでパッチの適用状況を確認できる。
 |
| WSUSのレポート機能 |
| WSUSでは新たにレポート機能が追加され、コンピュータや更新プログラム単位などでパッチの適用状況を確認できる。画面はグループと状態でフィルタして表示したところ。 |
ただしこれらの情報は、レポート作成時点の情報をリアルタイムに調査、収集したものではなく、あくまで一定のタイミング(設定可能)で各クライアントが報告してきたものをサーバ側で収集した結果である。
■「適用状況の検出」のみ実行
前述したレポート機能と共通する部分もあるが、WSUSでは、特定のコンピュータのパッチ適用状況を確認することができる。「適用状況の検出」機能を使えば、そのパッチが現在インストールされているかどうかの情報を収集可能だ。ただし、レポート機能と同じく、クライアントの各種情報は、クライアントがサーバにアクセスした時点でサーバに通知される。この検出機能で確認できるのは、こうして収集、蓄積された情報であり、リアルタイムの最新情報ではない。とはいえ、これは従来のSUSにはなかった機能である。
■クライアントPCのグループ化
理想はともかく、パッチの互換性検証用として専用のテスト環境を用意している企業は多くない。従ってパッチの互換性検証は、通常の業務に使っている一部のコンピュータを利用することが多い。つまり、万一何らかの障害が発生しても影響の小さなグループのコンピュータなどに適用してしばらく様子を見て、問題がなければ徐々に展開対象を広げていくという手法である。
これは現実的なパッチ管理手法だが、残念ながら従来のSUSではこうした部分的な展開は困難だった。つまりSUSでは、パッチをすべてのコンピュータに展開するか、展開しないかというオール・オア・ナッシングの選択しか許されなかった。
これに対しWSUSでは、管理するコンピュータをグループ化する機能が追加され、グループごとにパッチの適用承認やインストール期日の設定(後述)、検出結果の閲覧ができるようになった。より柔軟なパッチ展開管理が可能である。
 |
| WSUSのグループ化機能 |
| WSUSでは、コンピュータをグループに分けて、パッチの適用承認や検出結果の閲覧などができるようになった。 |
■インターネット非接続環境での利用
データ・センターで運営されるサーバや、極めて機密性が高い情報(顧客の個人情報など)を保存するサーバなど、万一の事故が発生した際の影響が大きい環境では、できるだけ攻撃の可能性があるインターネットとの接続を遠ざけたいと考えるものだ。しかしこれまで述べてきたように、パッチのカタログ情報やパッチ本体は、インターネットを介して入手するしかない。
従来のSUSでは、SUSサーバは必ずインターネットに接続されている必要があった。クライアント側コンピュータは直接インターネットに接続する必要はないが、前記のとおり完全にインターネットから切り離された環境を望む場合には、SUSの利用を断念するしかなかった。
これに対しWSUSでは、パッチのカタログ情報やパッチ本体の情報をCD-Rなどのオフライン・メディアにコピーし、インターネットから遮断されたネットワーク環境にあるWSUSサーバにインポートする機能が追加された。これにより、クローズドなデータ・センターに設置されたサーバへのパッチ展開などにWSUSを応用できる。
 |
| インターネット非接続環境でのWSUS利用 |
| インターネット接続環境でパッチのカタログ情報、パッチ本体をダウンロードし、オフラン・メディアに情報をエクスポートする。その後メディアをインターネット非接続環境に持ち込み、環境内にあるWSUSサーバにデータをインポート、クライアントにパッチを適用する。 |
■パッチ適用のタイミング指定
緊急性の高いパッチなどは、いますぐにでも適用したいと思うものだ。しかし従来のSUSでは、クライアントがSUSサーバにアクセスしパッチを適用するタイミングはクライアント任せであり、管理者側で柔軟に制御することはできなかった。
これに対しWSUSでは、パッチ適用のタイミングをサーバ側で細かく制御できるように改良された。例えばWSUSでは、パッチごとに適用期日を設けたり、クライアントからサーバへのアクセス周期を任意に設定したりできる。
またWSUSで新バージョンになったwuauclt.exeコマンドを/detectnowオプションを付けてクライアント側で実行すれば、クライアントからWSUSサーバへのアクセスを即座に実行できる(通常は、あらかじめ設定されたタイミングでのみサーバにアクセスする)。スクリプトなどへの応用や、WSUSサーバ・セットアップ時のテスト用途などでは便利に使えるだろう。
■そのほか
WSUSでは、サーバの階層化構成の柔軟性向上や、サイズの大きなパッチ(Service Pack)などの高速インストール(クライアントに必要なモジュールのみを配布する機能。ただし対応したパッチのみ)、パッチのアンインストール(アンインストールに対応したパッチのみ)が可能になるなど、SUSに比較して数多くの機能が追加されている。
■
以上、SUSからの新機能追加、機能強化点を中心にしてWSUSを見てきた。次回は、WSUSを入手して実際にインストールし、主要機能を実際に試用してみることにする。
 |
 |
| INDEX | ||
| [運用]Windows Server Update Services(前編) | ||
| 1.マイクロソフトが提供するパッチ管理サービスの種類と特徴 | ||
 |
2.WSUSの新機能、機能強化点 | |
| [運用]Windows Server Update Services(後編) | ||
| 1.WSUSの基本機能 | ||
| 2.グループ管理機能 | ||
| 3.クライアントからのアクセス周期と期日指定インストール | ||
| 4.パッチを適用しない「検出のみ」機能 | ||
| 5.レポート機能 | ||
| 6.同期オプションとアンインストール機能 | ||
| 7.WSUSサーバのチェーン化とWSUSの注意点 | ||
 |
||
 |
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
