[Q&A]

そこが知りたい
Windows Server Update Services(第15回)

Q1 新しいWSUS 3.0 SP2は何が変わったのか?

Microsoft MVP
Windows Server System - Microsoft Update Services
創報 山近 慶一
2009/11/05

はじめに

 Windows OSやアプリケーションの脆弱(ぜいじゃく)性を修正し、ウイルスや不正アクセスなどからシステムを保護するためには、更新プログラムの適用と管理が重要だ。本連載では、更新プログラムの管理にWindows Server Update Services(WSUS)を実際に活用しているユーザーならではの、よくある疑問や質問をピックアップして回答する。なお、特にバージョンを示さない場合は、最新のWSUS 3.0を対象とする。WSUS 3.0の機能や操作方法については、別稿の「[運用]これから始めるWSUS 3.0入門(前編)」「[運用]これから始めるWSUS 3.0入門(後編)」も参照していただきたい。

Q&A

質問 新しいWSUS 3.0 SP2は何が変わったのか?

現象の詳細:

  2009年8月にWindows Server Update Services(WSUS)3.0 SP2がリリースされたが、従来のWSUS 3.0 SP1と比べてどのような変更や改良が行われたのか知りたい。

回答 改良点としては、レポート機能の強化やインストール期限の設定、新しいOSであるWindows 7やWindows Server 2008 R2への対応などがある。

 2009年8月25日にWindows Server Update Services(WSUS)3.0 SP2がリリースされた(入手先などの情報は稿末のリンクを参照)。バージョン番号が同じでService Packの番号だけが変わったところからも推測できるように、WSUS 3.0 SP2はSP1で確認されたいくつかの問題を修正したリリースだ。Windows OSやOfficeアプリケーション用のService Packと異なり、WSUS 3.0 SP2の実行ファイルには更新されたサーバ・コンポーネントやWindows Internal Database、WSUS管理コンソールなどがすべて収録されているので、先にWSUS 3.0 SP1をインストールしていなくても単独で導入できる。すでにWSUS 2.0以降を導入済みであれば、インプレース・アップグレードで簡単にWSUS 3.0 SP2に移行することもできる。

 WSUS 3.0 SP2の機能面では、IPv6対応などの小変更が多数あるが、主要な変更および改良点は次の3つだ。それぞれ詳しく見ていこう。

  • インストールを承認した更新プログラム限定のレポート機能が追加された
  • 自動承認でインストール期限を設定できるようになった
  • Windows Server 2008 R2とWindows 7に対応した

改良点1――レポート機能の改良

 [更新レポート]と[コンピュータ レポート]に、それぞれ[承認済み更新プログラムについての更新状態(表形式)]と[承認済み更新プログラムについてのコンピュータの状態(表形式)]レポートが追加された(画面1)。

画面1 インストールを承認した更新プログラムだけを抽出するレポートが、2種類追加された
追加された[承認済み更新プログラムについての更新状態(表形式)]レポートと[承認済み更新プログラムについてのコンピュータの状態(表形式)]レポートを実行すると、インストールを承認した更新プログラムだけを抽出して、更新レポートやコンピュータ・レポートを作成できる。不要な更新プログラムが含まれていない実用的なレポートになる。
[承認済み更新プログラムについての更新状態(表形式)]レポートを作成する。
[承認済み更新プログラムについてのコンピュータの状態(表形式)]レポートを作成する。

 従来の[更新の状態(表形式)]レポートや[コンピュータの状態(表形式)]レポートでは、クラス、製品、コンピュータ・グループ、更新プログラムの適用状態(インストール済みまたは該当しない、必要、失敗、状態の報告なし)、ダウンストリーム・サーバを含めるかどうかをレポートの作成条件として指定できるが、更新プログラムの承認状態については「拒否」状態以外のすべての更新プログラムが自動的に含まれていた。

 これに対して、WSUS 3.0 SP2で新たに搭載された[承認済み更新プログラムについての更新状態(表形式)]レポートと[承認済み更新プログラムについてのコンピュータの状態(表形式)]レポートでは、クラスや製品などの選択条件は同じだが、「未承認」状態と「拒否」状態の更新プログラムを除外してレポートを作成できる(画面2)。WSUSの運用方針として、不要な更新プログラムを「未承認」のまま放置する運用と、明示的に「拒否」状態に設定する運用が考えられる。新しいレポートを利用すれば、どちらの運用方針であっても「インストール」状態の更新プログラムだけを抽出してレポート化できる。

画面2 未承認や拒否状態の更新プログラムは、レポート対象から除外される
[承認済み更新プログラムについての更新状態(表形式)]レポートでは、未承認や拒否状態の更新プログラムを除外して、更新プログラムごとの適用状況を一覧表にまとめることができる。コンピュータ・レポートの場合は、インストールを承認した更新プログラムに限定して、コンピュータごとの更新プログラム適用状況を一覧表にする。
クラスや製品などのレポート作成条件を指定する。
[レポートの実行]でレポートを作成する。
作成された更新プログラムの一覧表には、の条件を満たしたうえで、インストールを承認された更新プログラムだけが表示される。

改良点2――自動承認におけるインストール期限の設定

 WSUS 3.0 SP1では、指定したクラスや製品に適合する更新プログラムが同期されたとき、自動的にインストールを承認する「自動承認」機能が搭載されていたが、WSUS 3.0 SP2ではインストールの期限も指定できるように機能が拡張された(画面3)。WSUSシステムでは、インストールの期限は強制適用と同じ意味を持つ。クライアントの自動更新がスケジュールに従って全自動適用を実行しているとき、インストールの期限を過ぎた更新プログラムを検出すると、たとえログオン中の管理者ユーザーがいても適用前の確認や再起動の延長確認なしで、有無をいわさず適用から再起動までを実行する。ゆえにWSUSでは最強の配布オプションである。

画面3 [規則の追加]ダイアログで[承認の期日の設定]をチェックして、[期日を以下に設定]で日数と時刻を指定する
自動承認によってインストールが承認されると同時に、指定日数後の指定時刻にインストール期限を設定することが可能になった。インストールの期限を過ぎた更新プログラムを検出すると、たとえログオン中の管理者ユーザーがいても適用前の確認や再起動の延長確認なしで、有無をいわさず適用から再起動までを実行する。
承認規則にインストールの期限を含めるには、[承認の期日の設定]をチェックする。
[期日を以下に設定]の右にあるリンクをクリックする。
承認規則に適切な名前を付けて保存する。

 新しい自動承認規則を作成してインストールの期限を設定するには、次の手順を実行すればよい。

  1. WSUS管理コンソールで、[オプション]−[自動承認]を開く。
  2. [新しい規則]をクリックして、[規則の追加]ダイアログを開く。
  3. [ステップ1:プロパティを選択します]で、[承認の期日の設定]をチェックする。ほかのチェックボックスも必要に応じてチェックする。
  4. [ステップ2:プロパティを変更します(下線付きの値をクリック)]で、[期日を以下に設定]の右にある「3:00の承認の7日後」をクリックする。
  5. 任意の日付と時刻を設定する(画面4)。日付は「n日後」の意味で、例えばインストールの期限を「7日後の21時」に設定しておくと、11月1日に同期して自動承認が行われた更新プログラムは、11月8日の21時がインストール期限となる。
  6. [ステップ3:名前を指定します]で承認規則に適切な名前を設定して、[OK]ボタンをクリックして保存する。
  7. [自動承認]ダイアログに戻って、作成した承認規則がチェックされていることを確認する。チェックされていない承認規則は実行されない。
画面4 [日付]は承認からn日後を表しており、画面では7日後の21時ちょうどにインストール期限が設定される
日付の設定は「n日後」という意味で、「自動承認を実行した日+n日」にインストールの期限が設定される。例えばインストールの期限を「7日後の21時」に設定しておくと、11月1日に同期して自動承認が行われた更新プログラムは、11月8日の21時がインストール期限となる。
日付(n日後)を、0日(即日)から365日の範囲で設定する。
時刻の設定は、インストール期限当日において、インストールの期限が切れる時刻となる。

 なお、[自動承認]ダイアログで[規則の実行]を実行すると、既存の同期済み更新プログラムに対しても自動承認規則を適用できるので、既存の更新プログラムにインストール期限を一括設定することも簡単にできる。

 ただし、自動承認規則によってインストール期限を設定した更新プログラムに対して、インストール期限の条件を設定していない自動承認規則を実行して承認状態を上書きしても、インストール期限がクリアされることはない。インストール期限をクリアするには、更新ビューから手動で承認状態を修正する必要がある。

改良点3――Windows Server 2008 R2とWindows 7への対応

 WSUS 3.0 SP2のx64版はWindows Server 2008 R2を正式サポートしており、[サーバー マネージャー]−[役割の追加]で[Windows Server Update Services]を選択するだけで、簡単にWSUS 3.0 SP2をインストールできる。もちろんサーバ・マネージャにWSUS管理コンソールが統合されるので、ほかの役割や機能と同時に管理タスクを実行することもできる。

画面5 [サーバー マネージャー]の[役割の追加]で、WSUSの役割を追加インストールする
WSUS 3.0 SP2はWindows Server 2008 R2と統合されており、[サーバー マネージャー]の[役割の追加]で簡単にインストールできる。このとき、[Webサーバー(IIS)]の役割も自動的にインストールされる。
役割の一覧で[Windows Server Update Services]をチェックすると、追加の役割サービスとして[Webサーバー(IIS)]も自動的に選択される。

質問 WSUS 3.0 SP2のインストール要件はどう変わったのか?

現象の詳細:

 WSUS 3.0 SP2は、どのバージョンのWindows OSをサポートしているか、必要なコンポーネントは何か知りたい。

回答 改良点としては、レポート機能の強化やインストール期限の設定、新しいOSであるWindows 7やWindows Server 2008 R2への対応などがある。

 基本的には従来のWSUS 3.0 SP1と同じであるが、サーバ・コンポーネントはWindows Server 2008 R2にもインストール可能になっている。

 WSUS 3.0は、サーバ・コンポーネント、WSUS管理コンソール、自動更新クライアントの3つで構成されているので、それぞれサポートされているWindowsのバージョンと必要コンポーネントを解説しよう。ただし、資料によって必要とされるService Packのレベルが異なっているので、ここでは複数の資料を総合的に判断して最も低いService Packレベルを記載したが、なるべく最新のService Packを適用することが望ましい。

サーバ・コンポーネントをインストール可能なOS

 WSUS 3.0 SP2のサーバ・コンポーネントは、以下のWindows OSにインストールできる。

  • Windows Server 2008 R2ファミリ
  • Windows Server 2008ファミリ(SP1以降)
  • Windows Server 2003ファミリ(SP1以降)
  • Windows Small Business Server 2008
  • Windows Small Business Server 2003

 必要メモリは1Gbytes以上で、システム用に1Gbytes以上、データベース用に2Gbytes以上、そして更新プログラム・ファイルのローカル保存用に20Gbytes以上の空きディスク容量を必要とする。これらのパーティションはすべてNTFSファイル・システムでフォーマットされている必要がある。この要求スペックはWSUS 3.0 SP1と同じだ。

 WSUS 3.0 SP1と異なるのは、レポート作成のために「Microsoft Report Viewer 2008」を必要とする点だ。WSUS 3.0 SP1では「Microsoft Report Viewer 2005」を利用していたが、WSUS 3.0 SP2ではバージョンアップしたReport Viewer 2008を利用する。これ以外にも、IIS 6.0以降、Microsoft .NET Framework 2.0以降、Microsoft管理コンソール3.0以降を必要とする点はWSUS 3.0 SP1と同じである。

 データベースとしては、従来どおりWindows Internal Databaseも利用できるほか、Microsoft SQL Server 2005 SP2以降とMicrosoft SQL Server 2008(Express/Standard/Enterprise Editionの各エディション)も利用できる。

WSUS管理コンソールをインストール可能なOS

 WSUS管理コンソールは以下のWindowsにインストールできる。WSUSサーバ・コンポーネントと同時にインストールすることもできるが、Windows 7などのクライアントPCにインストールすることで、WSUSサーバをリモート管理することもできる。WSUS 3.0 SP2の管理コンソールは下位互換性があるので、既存のWSUS 3.0 SP1サーバも管理できる。ただし、WSUS 3.0 SP1に対して新しいレポートや承認規則を適用することはできない。

  • Windows Server 2008 R2ファミリ
  • Windows Server 2008ファミリ
  • Windows Server 2003ファミリ(SP1以降)
  • Windows 7ファミリ
  • Windows Vistaファミリ
  • Windows XPファミリ
  • Windows Small Business Server 2008
  • Windows Small Business Server 2003

 WSUS管理コンソールのインストールには、Microsoft Report Viewer 2008とMicrosoft .NET Framework 2.0以降、Microsoft管理コンソール3.0以降が必要だ。

サポートされているWSUSクライアント

 WSUS 3.0 SP2のクライアントとして正式にサポートされているのは以下のWindows OSで、2010年7月13日まで延長サポート期間が残っているWindows 2000 ProfessionalおよびWindows 2000 Serverファミリも含まれている。Windows 2000クライアントのサポートは、「Microsoft Windows Server Update Services 3.0 SP2 リリース ノート」にはないものの、「Microsoft Windows Server Update Services 3.0 SP2 Deployment Guide」で明記されている。End of Article

  • Windows Server 2008 R2ファミリ
  • Windows Server 2008ファミリ
  • Windows Server 2003ファミリ
  • Windows 7ファミリ
  • Windows Vistaファミリ
  • Windows XPファミリ
  • Windows 2000ファミリ(SP3以降)
  • Windows Small Business Server 2008
  • Windows Small Business Server 2003
Windows Server Update Services 3. 0 Service Pack 2に関するリンク集


 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間