運用
|
 
|
|
|
|
クライアントからサーバへのアクセス周期設定
従来のSUSでは、クライアントがサーバにアクセスするタイミングを変更することはできない。このためサーバ側でパッチ適用の承認設定を行っても、いつになったらクライアントに適用されるのか、まったく予想ができなかった。SUS自体にパッチ適用の成否を確認する手段が提供されなかったことと合わせ、こうした仕様に不安を抱いた管理者も少なくなかったようだ。
これに対しWSUSでは、グループ・ポリシーを利用することで、WSUSクライアント側の設定を変更し、クライアントがWSUSサーバにアクセスするタイミングを変更できるようになった。これには、グループ・ポリシーの[コンピュータの構成]−[管理用テンプレート]−[Windowsコンポーネント]−[Windows Update]の「自動更新の検出頻度」オプションの設定を変更する(最新の管理用テンプレートが組み込まれていない場合には、この設定項目が表示されない場合がある。このときには、最新のwuau.adm管理用テンプレートを追加する)。
 |
|||||||||
| 自動更新の検出頻度 | |||||||||
| グループ・ポリシーを設定することにより、WSUSクライアントからWSUSサーバへの接続頻度を変更できるようになった。 | |||||||||
|
ただし、ここで指定した時間ちょうどに接続が開始されるわけではない。ドキュメントによれば、指定した時間の80〜100%までの間に接続が実施される。例えばここで20時間を指定すると、16〜20時間の間に接続が開始される。このポリシーを「未構成」もしくは「無効」にした場合のデフォルト値は22時間である。
WSUSクライアントからWSUSサーバへの即時接続
WSUSでは、WSUSクライアントからWSUSサーバへの接続を直ちに開始するコマンドが提供されている。これには、WSUSクライアントのコマンド・プロンプトで、次のコマンドを実行する。
wuauclt.exe /detectnow |
こうすると、すぐにWSUSクライアントからWSUSサーバへの接続が開始される。これは、WSUSの初期設定時にWSUSクライアントからの接続テストを行う場合などに便利である。またケースによっては、システムのログオン時など、決まったタイミングでWSUSサーバへのアクセスを実行させたいと思うかもしれない。そのような場合には、ログオン・スクリプトでこのコマンドを実行すればよい。
パッチの強制インストール(期日の設定)
従来のSUSでは、SUSサーバ側でいくらパッチ適用を承認していても、クライアント側の設定によっては、ユーザーがパッチのダウンロードとインストールを許可しないかぎり、思いどおりにパッチを適用できない場面があった(自動更新の設定が「通知のみ」や「ダウンロードして通知」などに設定されている場合)。これに対しWSUSでは、WSUSサーバの管理者によるパッチの強制インストールが可能になった。
具体的には、パッチの適用を承認する際に、適用期日を指定できるようになっている。
 |
|||||||||
| パッチの適用承認ダイアログ | |||||||||
| パッチの適用承認ダイアログでパッチの適用期日を指定できる。 | |||||||||
|
こうしてインストール期日を指定すると、指定日以降にWSUSクライアントがWSUSサーバにアクセスしたときに、クライアント側の設定状態によらず(適用前にユーザーが確認するなどの設定を行っていても)、強制的にパッチを適用できるようになる。注意してほしいのは、指定日時ちょうどに適用が開始されるわけではないということだ。WSUSのしくみは、WSUSクライアントがWSUSサーバにアクセスして初めてさまざまな処理が実行される、「プル型」のメカニズムである。従っていくらWSUSサーバ側で期日を指定しても、WSUSクライアントからのアクセスがなければ、何も起こらない(パッチ・プログラムを「プッシュ」して送り込んでいるわけではない)。
 |
| パッチ適用期日と実際の適用実施タイミング |
| 期日を指定すると、それ以後のクライアントのアクセス時に強制的にパッチが適用されるようになる。 |
期日として、過去の日時を指定することも可能だ。この場合には、設定時間以後にアクセスされたすべてのWSUSクライアントに対し、強制的にパッチを適用することになる。
期日指定は、WSUSの管理グループ単位で設定を切り替えることができる。この機能を使えば、グループごとにインストール期日を変更できるわけだ。この機能を使えば、緊急性が高いパッチなどを、クライアント側の設定とは無関係に、強制的に適用することが可能である。
なおごく少数ではあるが、適用に当たり、ユーザーの入力を必要とするようなパッチについては、期日指定はできない(期日指定のリンクが“N/A”になり、操作できなくなる。例えば、KB888162「セキュリティ更新プログラム MS04-038 のインストール後、エラー メッセージ "Explorer.EXE - エントリ ポイントが見つかりません - プロシージャ エントリ ポイント SHCreateThreadRef がダイナミック リンク ライブラリ Shlwapi.dll から見つかりませんでした" が表示される」のパッチなどがこれに当たる)。
 |
 |
| INDEX | ||
| [運用]Windows Server Update Services(前編) | ||
| 1.マイクロソフトが提供するパッチ管理サービスの種類と特徴 | ||
| 2.WSUSの新機能、機能強化点 | ||
| [運用]Windows Server Update Services(後編) | ||
| 1.WSUSの基本機能 | ||
| 2.グループ管理機能 | ||
 |
3.クライアントからのアクセス周期と期日指定インストール | |
| 4.パッチを適用しない「検出のみ」機能 | ||
| 5.レポート機能 | ||
| 6.同期オプションとアンインストール機能 | ||
| 7.WSUSサーバのチェーン化とWSUSの注意点 | ||
 |
||
 |
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
