|
 |
|
[Q&A]
そこが知りたい
Windows Server Update Services(第1回)
Microsoft MVP
Windows Server System - Microsoft Update Services
創報 山近 慶一
2006/08/11 |
|
はじめに
Windowsやアプリケーションのぜい弱性を修正し、ウイルスや不正アクセスなどからシステムを保護するためには、更新プログラムの適用と管理が重要だ。個人用途のコンピュータでは、自動更新による適用や、Windows Update/Microsoft Updateサイトでの適用が一般的だが、これらの方法では、ユーザーに更新プログラムの取捨選択と適用タイミングを任せるため、ユーザーのスキルとセキュリティ意識に依存した運用になりがちで、更新プログラムの適用を管理者が中央で集中管理することはできない。場合によっては、更新プログラムを適用すると、既存の業務アプリケーションの実行に支障をきたすなど、互換性問題を生じる可能性があるが、こうしたリスクを管理できないのだ。
この問題を回避し、適用すべき更新プログラムを管理者が管理可能な方法として、マイクロソフトはWindows Server Update Service(以下WSUS)というソフトウェアを無償提供している。WSUSシステムでは、クライアント側は自動更新のしくみを使いながら、インターネット上のマイクロソフトのサーバではなく、LAN内部で管理者が管理するWSUSのサーバにアクセスさせることで、クライアントが適用する更新プログラムを集中管理できるようにしている。WSUSの詳細については、以下の記事を参照されたい。
本連載では、更新プログラムの管理にWSUSを実際に活用しているユーザーならではの、よくある疑問や質問をピックアップして回答する。なお、特にバージョンを示さない場合は、最新のWSUS SP1を対象とする。
「オプション」画面で設定できる項目が少ない |
|
現象の詳細:
WSUSサーバをインストールして、Web管理コンソールの[オプション]-[同期のオプション]-[製品とクラス]を開くと、選択できる製品や更新プログラムのクラスが少ない。Windows以外のマイクロソフト製品(Exchange ServerやSQL Serverなど)についても更新プログラムを管理できる点がWSUSの特長だが、[製品]ではWindows製品の一部しか選択できない。
回答 |
|
この現象は、WSUSサーバの仕様に基づく制限事項だ。最初にWSUSサーバをインストールした時点では、WSUSの[オプション]-[製品とクラス]のオプションは表1、表2のように設定されている。[製品]には[Microsoft Corporation]というチェック・ボックスもあるが、デフォルトではチェックされていない(画面1、画面2)。
製品 |
□Microsoft Corporation |
■Windows |
■Windows 2000ファミリ |
■Windows Server 2003ファミリ |
■Windows Server 2003, Datacenter Edition |
■Windows XPファミリ |
 |
表1 デフォルトの[製品]オプション設定 |
デフォルトのオプション設定の状態。「□」はチェック・ボックスがオフの状態、「■」はチェック・ボックスがオンの状態をそれぞれ表す。 |
更新プログラムのクラス |
□Feature Packs |
□Service Pack |
■セキュリティ更新プログラム |
□ツール |
□ドライバ |
□更新 |
□更新プログラムのロールアップ |
■重要な更新 |
 |
表2 デフォルトの[更新プログラムのクラス]オプション設定 |
 |
画面1 WSUSインストール直後の[製品の追加と削除]ダイアログ |
WSUSのインストール直後に[製品オプション]を表示しても、Windows製品以外の選択肢は表示されない。 |
 |
画面2 WSUSインストール直後の[クラスの追加と削除]ダイアログ |
例えばWSUSを利用して「悪意のあるソフトウェアの削除ツール」などを展開することもできるのだが、インストール直後にはそのための選択項目(更新プログラムのクラス)は表示されない。 |
実は、[製品とクラス]で選択できるオプションは、Microsoft Update WebサイトやアップストリームのWSUSサーバ(複数のWSUSサーバをツリー状に構成したときの、ツリー上位のWSUSサーバ)と同期を行うと自動的に改訂される。2006年7月15日現在、表3および表4のオプションを選択可能だ(画面3、画面4)。従って、Windows以外の製品の更新プログラムを管理したければ、同期後に再度[製品とクラス]を設定すればよい。
製品 |
□Microsoft |
□Exchange |
□Exchange 2000 Server |
□Exchange Server 2003 |
□Exchange Server 2007 Hygiene |
□Exchange Server 2007 |
□Forefront |
□Forefront Client Security |
□Internet Security and Acceleration Server |
□Internet Security and Acceleration Server 2004 |
□Microsoft Codename Max |
□Max |
□Microsoft System Center Data Protection Manager |
□Data Protection Manager 2006 |
□Office |
□Office 2002/XP |
□Office 2003 |
□SQL |
□SQL Server 2005 |
□SQL Server |
□Windows Live |
□Windows Live Toolbar |
□Windows Small Business Server |
□Windows Small Business Server 2003 |
□Windows |
□Windows 2000 |
□Windows Defender |
□Windows Internet Explorer 7.0 Dynamic Installer |
□Windows Media Dynamic Installer |
□Windows Server 2003, Datacenter Edition |
□Windows Server 2003 |
□Windows Vista Dynamic Installer |
□Windows XP 64-Bit Edition Version 2003 |
□Windows XP x64 Edition |
□Windows XP |
 |
表3 同期後の[製品]オプション設定 |
更新プログラムのクラス |
□Feature Packs |
□Service Packs |
□セキュリティ問題の修正プログラム |
□ツール |
□ドライバ |
□更新 |
□修正プログラム集 |
□重要な更新 |
□定義更新プログラム |
 |
表4 同期後の[更新プログラムのクラス]オプション設定 |
 |
画面3 同期実行後の[製品の追加と削除]ダイアログ |
一度同期を実行すると、このようにWindows以外の製品も表示されるようになる。 |
 |
画面4 同期実行後の[クラスの追加と削除]ダイアログ |
同期実行後は、この[定義更新プログラム]が追加される。これを選択すると、「Forefront Client Security」や「Windows Defender」などのパターンファイルもWSUSでの展開が可能になる。
|
 |
同期によって追加された項目。 |
|
最新の[製品]のオプションで目をひくのは、Windows Internet Explorer 7.0やWindows Vista、Windows Live、Exchange Server 2007などの、現在ベータテスト中または一部リリース済みの製品や、Microsoft ForefrontおよびSystem Center Data Protection Manager 2006といった戦略製品が対象としてリストアップされていることだ。ちなみに、Microsoft Codename Maxは、ニュースの閲覧や写真の共有などができるサービスで、Windows
Vistaで搭載が予定されている「WinFX*1」のランタイム・コンポーネントを利用している。「Max」という開発コードネームが示すとおりベータ製品だが、すでに日本語版Windows XPに対応している。
*1 当初マイクロソフトは、Windows Vistaに搭載する新しいアプリケーション・インターフェイスをWinFXと呼んでいたが、混乱をきたすという理由から、WinFXも含めたアプリケーション・プラットフォーム全体を.NET Framework 3.0と呼ぶことに決定した。 |
一方、[更新プログラムのクラス]オプションでは、「Service Pack」「セキュリティ問題の修正プログラム」「更新プログラムのロールアップ」が、それぞれ「Service Packs」「セキュリティ更新プログラム」「修正プログラム集」に変更されている。新たに追加された「定義更新プログラム」には、Forefront Client SecurityやWindows Defenderのウイルスデータベース更新データなどが含まれている。
なお、初めて同期を実行する前に、[製品]オプションで[Microsoft Corporation]チェック・ボックスをオンにしておけば、Windowsを含めてすべての製品の更新プログラムを管理できるようになるのだが、次のような制約がある。
このように、結局どのように設定しても同期後に[製品とクラス]オプションの再設定が必要になる。
Windows Server Insider フォーラム 新着記事