[Q&A]
そこが知りたい
Windows Server Update Services(第6回)

Q1 WSUS 3.0のメリットは何?(2)

Microsoft MVP
Windows Server System - Microsoft Update Services
創報 山近 慶一
2007/11/08

改善点その2:自動承認が合理的で便利になった

 更新プログラムをルールに従って自動的に承認する「自動承認」機能は、WSUS 2.0で初めて搭載され、WSUS 3.0にも継承されている。更新プログラムを1つずつチェックするのが面倒になってきた管理者にとっては、とてもありがたい機能だ。

 WSUS 2.0では、[オプション]−[自動承認のオプション]でクラスとコンピュータ・グループを指定して、更新プログラムの要不要を診断する[検出の承認]と、更新プログラムの適用を許可する[インストールの承認]を設定する(画面3)。

画面3 WSUS 2.0の[オプション]−[自動承認のオプション]の設定
WSUS 2.0では、更新プログラムの検出とインストールを異なる規則で承認するが、承認規則に製品を含めることができない。
更新プログラムの適用可否チェックを自動的に許可するときは、[次の規則で自動的に更新プログラムの検出を承認する]をチェックして、[クラスの追加と削除]および[コンピュータ グループの追加と削除]でクラスとコンピュータ・グループを指定する。
更新プログラムのインストールを自動的に許可するときは、[次の規則で自動的に更新プログラムのインストールを承認する]をチェックして、クラスとコンピュータ・グループを指定する。

 しかし[同期のオプション]で製品とクラスを別々に選択できるのに、[自動承認のオプション]では製品を選べないという、よく考えればおかしな仕様になっている。しかも[検出の承認]と[インストールの承認]は完全に分離されているため、どちらにも含まれないクラスの更新プログラムはチェックされないし、適用対象から漏れるコンピュータ・グループもできてしまう。特に、新設されたクラスは2つの承認規則から確実に漏れるので、自動承認を設定していても油断はできない。

 WSUS 3.0では、すべての更新プログラムは既定で検出状態に設定されるので、[検出の承認]に相当する承認作業は不要になった。つまり、網から漏れる更新プログラムやコンピュータ・グループが現れる心配がなくなった。もちろん、製品やクラスが新設されたときは[オプション]−[製品とクラス]であらためて選択しなければならないが、同期で得た更新プログラムは少なくとも検出可能になるので、自動承認の規則が「防御フィルタ」になって、新しい製品やクラスを完全に遮断してしまうことはない。

 WSUS 3.0の[オプション]−[自動承認]では、任意のクラス、製品、コンピュータ・グループを指定して、[インストールの承認]に相当する承認規則を複数作成できる(画面4)。使用目的やシステム環境に最適な承認規則を複数作成すれば、きめ細かなクライアントのサポートを実現できる。[任意のクラス][任意の製品][すべてのコンピュータ]を条件に指定すれば、製品やクラス、コンピュータ・グループが新設されてもすべてカバーできる。

画面4 WSUS 3.0で自動承認の規則を編集する
任意のクラス、製品、コンピュータ・グループを指定して、オリジナルのインストール承認規則を作成できる。
条件にクラスを含める場合にチェックする。
条件に製品を含める場合にチェックする。
[任意のクラス][任意の製品][すべてのコンピュータ]リンクをクリックして、詳細な条件を設定する。
規則に名前を付けて保存する。

 また、承認規則を既存の更新プログラムに適用できる点も見逃せない。WSUS 2.0では、自動承認の規則が適用されるのはMicrosoft Updateとの同期時のみだったので、承認規則を変更しても、ローカルに保存済みの更新プログラムは1つずつ手動で承認するしかなかったが、WSUS 3.0では[規則の実行]で既存の更新プログラムにも新しい承認規則を適用できる。

画面5 WSUS 3.0の[オプション]−[自動承認]画面の設定
WSUS 3.0では、複数の承認規則を作成できるだけでなく、必要な規則を選択適用できる。
作成した承認規則から、必要な規則をチェックして選択する。
[規則の実行]をクリックすると、で選択した承認規則をローカルに保存された更新プログラムに適用する。

改善点その3:メンテナンスが簡単になった

 WSUS 2.0とWSUS 3.0は、更新プログラムの一覧やクライアントの適用状況と、更新プログラム・ファイルを、それぞれデータベースとファイル・システムに分離して格納している。更新プログラムは次々とリリースされるので、更新プログラムの一覧と更新プログラム・ファイルは増加する一方だが、クライアントは増減したり、システム構成の変化に伴って適用されることのない更新プログラムが現れたりする。

 そのため、データベースとファイル・システムを適宜クリーンアップして維持する必要がある。特に、WSUS 2.0をSQL Server 2000 Desktop Engine(MSDE2000)と組み合わせて利用すると、データベース・サイズは最大2Gbytesまでという制限があるため、いつかはクリーンアップする必要がある。

 WSUS 2.0では、データベースのクリーンアップは標準搭載の「Wsusutil deleteunneededrevisions」コマンドで実行できるが、ファイル・システムのクリーンアップは別途Microsoft Windows Server Update Services Tools and Utilities[英語](マイクロソフトWSUSツール)から「Server Diagnostic Tool」を入手して、「WsusDebugTool /Tool:PurgeUnneededFiles」コマンドを実行する必要があった。簡単にいえば、WSUS 2.0だけでは不完全なメンテナンスしかできないということだ。

 その点、WSUS 3.0では[オプション]−[サーバー クリーンアップ ウィザード]が搭載されたので、裏技的なコマンド操作なしで更新プログラム情報、クライアント情報、更新プログラム・ファイルを一括削除できる(画面6)。しかもWindows Internal Databaseにはデータベース・サイズの上限がないので、パフォーマンス・ダウンを気にしなければ、ディスクがいっぱいになるまで放置しておいても構わない。

画面6 WSUS 3.0の[オプション]−[サーバー クリーンアップ ウィザード]画面の設定
WSUS 3.0では、ウィザード形式で簡単にクリーンアップ処理を実行できる。
実行したいクリーンアップ操作をチェックする。

改善点その4:すべてのクライアントの状態を把握できる

 WSUS 2.0とWSUS 3.0では、1台のWSUSサーバを「マスタ・サーバ」として、複数の「レプリカ(複製)サーバ」をツリー状に配置する大規模システムを構築できる。

 しかし、WSUS 2.0ではクライアント情報はあくまでWSUSサーバ単位で管理しており、レプリカ・サーバが管理するクライアントの情報はマスタ・サーバに伝わらないため、クライアントの状態をチェックしたければ、そのクライアントがアクセスしたことのあるWSUSサーバを1台ずつチェックするしかなかった。

 WSUS 3.0では、「ロールアップ」というクライアント情報の収集機能を搭載しており、ツリー下層のレプリカ・サーバから上層のWSUSサーバにクライアント情報が伝達される(画面7)。最終的にすべてのクライアントとレプリカ・サーバの情報がマスタ・サーバに集まるので、マスタ・サーバで全クライアントの状態を把握することができる。

画面7 WSUS 3.0の[オプション]−[ロールアップのレポート]画面の設定
WSUS 3.0では、既定でレプリカ・サーバからクライアント情報がロールアップされて、最終的にマスタ・サーバにクライアント情報が集約される。
ロールアップ機能を有効にする場合は、[レプリカ ダウンストリーム サーバーから状態をロールアップする]オプション(既定値)を選択する。

 また、WSUS 3.0はクライアントの設置場所移動に伴って、アクセスするWSUSサーバを変更する「ローミング環境」をサポートしている。ここでもロールアップ機能を活用して、複数のWSUSサーバに分散されたクライアントの状態情報を、マスタ・サーバに集約することができる。

サポート期限と将来性について

 Microsoft Windows Server Update Services 2.0(マイクロソフト)で告知されているとおり、WSUS 2.0(Service Packなし版)のサポートはすでに終了している。現行のWSUS 2.0 SP1についても2009年4月30日でサポートが終了する。

 また、WSUS 3.0とWindows Internal Databaseの組み合わせはWindows Server 2008でもサポートされる予定なので、これから運用を始めるなら将来性を考えてWSUS 3.0を利用するのが望ましい。End of Article


 INDEX
  [Q&A]そこが知りたい Windows Server Update Services(第6回)
    Q1 WSUS 3.0のメリットは何?(1)
  Q1 WSUS 3.0のメリットは何?(2)

 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間