運用
|
 
|
|
|
|
WSUSサーバの階層化(チェーン化)
WSUSでは、より大規模な環境でも円滑なパッチ管理を実行可能にするための機能が拡張されている。
大規模なネットワーク環境では、管理単位を分離し、管理単位ごとにWSUSサーバを配置し、上位のWSUSと下位のWSUSサーバを同期させることができる。こうすれば、インターネットからダウンロードしたデータを、社内で効率よく展開できる。各WSUSサーバ単位に管理者がおり、自身が管理するクライアントの承認作業はこの管理者が行う。WSUSではこれを「サーバのチェーン化」と呼んでいる。この形式のチェーン化は、従来のSUSでも可能だった。インターネット回線の利用効率は上がるが、グループの作成やパッチの承認作業は各WSUSサーバの管理者に委ねられており、管理の手間は小さくない。
 |
| WSUSサーバのチェーン化 |
| WSUSサーバの同期元をMicrosoft Updateではなく、社内の別のWSUSにすることで、WSUSサーバのチェーン化が可能となる。インターネット回線の利用効率は上がるが、グループの作成やパッチの承認作業は各WSUSサーバの管理者に委ねられており、管理の手間は少なくない。 |
WSUSのチェーン化を指定するには、WSUSサーバの設定で、更新元を選択すればよい。
 |
|||||||||
| WSUSサーバの更新元設定 | |||||||||
| WSUSサーバのチェーン化はここで設定する。 | |||||||||
|
従来のSUSでは、同期に使用するポートは80番から変更できなかったが、WSUSでは任意のポート番号を指定可能になった。社内のファイアウォール環境などに応じて、柔軟に設定を変更できる。
■管理を集中化するレプリカ・グループ
SUSと同等のチェーン化に加え、WSUSでは、レプリカ・グループという機能が用意され、複数のWSUSサーバをチェーン化させながら、すべてのグループに対するパッチ承認の管理を中央で実行できるようになった。WSUSでは、これを「ミラー化」と呼んでいる。WSUSサーバをミラー化するには、WSUSサーバのインストール時に承認情報を継承するサーバを指定する。ミラー化するかどうかは、インストール時に決定する必要がある。
 |
| WSUSのミラー化設定 |
| レプリカ・グループを作成するには、WSUSサーバのインストール時にミラー化を設定する。 |
レプリカ・グループを作成すると、パッチの同期だけでなく、グループと承認情報も継承され、これらの管理を中央で一元化できるようになる。前述した単純なチェーン化と比較すると、各WSUSサーバ単位で管理者が承認などを行う必要はないので、全体的な管理工数をいくらか削減できる。ただし、グループ一覧はアップストリーム・サーバから継承できても、グループに含まれるコンピュータの情報までは継承されない。グループにどのコンピュータが含まれるかは、各WSUSサーバで指定しなければならない(アップストリーム・サーバからは、最初は空のグループが継承される)。
これに加え、ミラー化を指定したWSUSサーバでは、サーバ管理機能が制限される。管理機能のうち利用できるのは次のものだけだ。
- グループへのコンピュータの追加と削除
- 同期のスケジュール
- Proxyサーバの設定
- 更新元の指定。アップストリーム・サーバ以外のWSUSサーバを指定可能
- 更新一覧の表示
- 更新の検出、同期、コンピュータの状態、WSUS設定の確認
- レポート機能
 |
| レプリカ・グループを利用した一元管理 |
| 通常のチェーン化に加え、ミラー化を指定してレプリカ・グループを作成すれば、すべてのグループに対する承認作業を中央で一元化できる。ただし、グループの情報を配布することはできるが、それらのグループにどのコンピュータが含まれるかは、WSUSサーバごとに設定しなければならない。 |
WSUSの注意点と難点
これまで前編と後編にわたり、主にWSUSの新機能を中心に説明してきた。管理可能なパッチが拡充したこと(OfficeやSQL Serverなど)、「検出のみ」のサポートやレポート機能の追加など、従来のSUSで不満の大きかった部分が大幅に改善されていることが分かるだろう。
すでにSUSを利用しているなら、WSUSへの移行を準備すべきだ。マイクロソフトは、SUSのサポートを2006年6月で終了すると公表しており、これ以降はSUSで新規のパッチを適用できなくなる。
しかしSUSサーバからWSUSへのアップグレード・インストールはサポートされていない。このため手順としては、SUSサーバとは別にWSUSサーバを構築し、段階的に移行することになるだろう。アップグレードはできないが、SUSで設定した承認情報などをWSUSに移行することは可能だ。これらの詳細については、以下のドキュメントを参照されたい。
そのほか、今回テストして気になったこと、不満に思ったことなどを最後にまとめよう。
■CPUへの負荷
同期を行ったり、パッチ一覧やレポートを表示したりする際のデータベース・アクセスでは、CPUへかなり負荷がかかる。数台で構成したテスト環境でも処理はもたつくことが多かった。多数のパッチやコンピュータの状況などを繰り返し調査するような運用では、サーバのリソースに注意が必要かもしれない。
■メタ・データとパッチ本体のダウンロードは別のタイミング
WSUSサーバで同期を実行したとき、デフォルト設定では、Microsoft Updateからはパッチに関する情報(メタデータ)のみがダウンロードされ、パッチ本体はダウンロードされない。パッチ本体がダウンロードされるのは、そのパッチを承認したときだ。慣れれば特に問題はないが、同期の段階でパッチ本体もダウンロードされると勘違いしやすいので注意しよう。
■レポートがエクスポートできない
レポート機能が追加され、パッチの適用状況をWSUSだけで把握できるようになったことは大きな前進である。レポートの結果を画面で確認するほかに、印刷することは可能だが、管理コンソールから簡単にデータとしてエクスポートすることはできない。場合によっては、スクリプトやほかの管理ツールなどでレポート結果を使いたいと考えるかもしれないが、現状では簡単にはできない。
■不要になったパッチを削除できない
ダウンロードして適用を完了したパッチは、WSUSサーバのハードディスクから削除してしまいたいと考えるかもしれないが、それはできない。WSUSではService Packなどの巨大なファイルも適用できるので、パッチ・ダウンロード用のディスク領域はあらかじめ十分に確保しておく必要がある。
■マイクロソフトのパッチしか適用できない
ある意味でしかたないことだと思うが、WSUSで適用できるのは、Microsoft Updateで提供されるパッチのみであり、他社製のパッチなどは適用できない。SMSやサードパーティ製パッチ管理製品では、任意のプログラムをパッケージ化して展開することができる。マイクロソフト以外のパッチも管理したいなら、WSUSとは別の手段を用意する必要がある。
■検出やインストールを「すぐに」実行できない
説明してきたとおり、WSUSのしくみは、あくまでWSUSクライアントからWSUSサーバにアクセスするというプル型である。検出結果などを一覧することはできるが、それは現時点の情報ではなく、各クライアントが最後にアクセスした時点の情報を集計したものだ。現時点の状況をリアルタイムに確認したい場合や、特定のパッチをすぐに、中央から強制的にクライアントに適用したいなら、SMSやサードパーティ製パッチ管理ツールの活用を検討するしかない。これらは二者択一ではなく、基本的にはWSUSを使いながら、必要な場面でのみSMS/サードパーティ製ツールを組み合わせて使うことができる。
■WSUSサーバの特定の管理権限だけを委譲することはできない
WSUSコンソールを利用する管理者は、Administratorsグループに属するか、WSUSの管理用に作成されるWSUS Administratorsグループのいずれかに属している必要がある。ただし、例えばグループの作成のみ、パッチの承認のみなど、WSUSサーバの特定の管理権限だけを一部の管理者に委譲するなどはできない。WSUS管理者は、WSUSサーバのすべての機能を制限なく利用できる。
■サーバ側からクライアントを強制再起動できない
パッチの中には、再起動して初めて機能するものが少なくない。従ってその種のパッチを適用したら、早期に、あるいは特定の時刻にシステムを再起動したいところだが、WSUSでは、サーバ側から強制的にクライアントを再起動する手段はない。クライアント側の自動更新がスケジュール化されていない場合、常時通電しているクライアント群を管理する場合には、何らかのしくみを用意するか、運用によって再起動の手段を確保する必要がある。
■デフォルトでは、各国語版のパッチが同期対象になっている
WSUSのデフォルトでは、各国語版のパッチが同期対象になっている。日本の多くのユーザーは、日本語版のパッチのみが必要だと思われるが、設定を変更しないと、無用な別言語版のパッチまで同期されてしまい、ネットワーク帯域やディスクの保存領域を無駄に消費してしまう。これらが必要なければ、設定を変更して、特定言語版のみを同期対象にする。
■パッチに関する詳細情報はWSUSとは別に収集する必要がある
WSUSのレポート画面でも、パッチに関する基本的な情報は確認できる。しかしパッチ適用によって発生する不具合やインストール時の注意点などについては、リンクとして表示されるサポート技術情報などを見ないと確認できない。
パッチの集中管理を始めよう
2回にわたり、WSUSの主要機能について見てきた。従来のSUSに比較すると、WSUSは大幅に機能が向上し、パッチ管理をより確実に、簡単に実行できるようにしている。あらゆる不正攻撃を封じる根本的な対策の1つは、パッチを定期的に適用し、システムを最新の状態に保つことだ。これらの重要な作業をユーザー任せにしておくのは安全とはいえない。WSUSを導入して、パッチの集中管理を始めよう。
 |
| INDEX | ||
| [運用]Windows Server Update Services(前編) | ||
| 1.マイクロソフトが提供するパッチ管理サービスの種類と特徴 | ||
| 2.WSUSの新機能、機能強化点 | ||
| [運用]Windows Server Update Services(後編) | ||
| 1.WSUSの基本機能 | ||
| 2.グループ管理機能 | ||
| 3.クライアントからのアクセス周期と期日指定インストール | ||
| 4.パッチを適用しない「検出のみ」機能 | ||
| 5.レポート機能 | ||
| 6.同期オプションとアンインストール機能 | ||
 |
7.WSUSサーバのチェーン化とWSUSの注意点 | |
 |
||
 |
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
