連載
» 2013年06月13日 15時49分 UPDATE

Windows Server 2012クラウドジェネレーション:第12回 更新プログラム配布プラットフォームWSUS 4.0

Windows OSの脆弱性を修正したり、機能の強化や改善を図るためには、修正プログラムやセキュリティ・パッチの適用作業は欠かせない。Windows Server Update Services(WSUS)サーバを利用すれば、ネットワークの負荷を抑えたり、何を配布するかなどを制御できる。Windows Server 2012のWSUS 4.0について解説する。

[打越浩幸,デジタルアドバンテージ]
Windows Server 2012クラウドジェネレーション
Windows Server Insider


「Windows Server 2012クラウドジェネレーション」のインデックス

連載目次

WSUS 4.0

 Windows OSに対する更新プログラムやセキュリティ・パッチなどを適用する場合、マイクロソフトが運営している「Windows Update」というサービスを利用して、自動的に適用するのが一般的である。だが会社など、多数のPCがある環境では、すべてのPCがある特定の時期にいっせいにWindows Updateサイトにアクセスすると、ネットワークの帯域を大幅に消費し、通常の業務が滞る可能性がある。このような場合は、組織内に「Windows Server Update Services(以下WSUS)」サービスを実行するサーバを用意し、このサーバ経由で更新プログラムなどを配布するとよい。WSUSではWindows Updateサイトから更新プログラムなどを取得してWSUSサーバ内に保存し、そこから組織内のクライアントへ配布する。これにより、インターネットへアクセスするためのネットワーク帯域を大幅に抑制できるほか、どの更新プログラムを配布するかを選択/スケジューリングしたり、更新プログラムの適用状況をレポートしたりできる。WSUSの詳しい使い方やQ&Aなどについては、以下の連載も参照していただきたい。

 WSUSには現在2つのバージョンがある。「WSUS 3.0 SP2」は、Windows Server 2008 R2より前のサーバOS向けのバージョンである。WSUSは基本的にはWindows Server OSとは独立したパッケージであり(無償)、ユーザーがマイクロソフトのサイトからダウンロードしてインストールするようになっている。

 Windows Server 2008 R2ではあらかじめOSの役割としてWSUS 3.0 SP2が組み込まれており、サーバの管理ツールで「Windows Server Update Services」という役割を追加するだけで、自動的に必要なコンポーネントなどもインストールされるなど、導入が容易になっている。

 Windows Server 2012ではこのWSUS役割の機能も更新され、「WSUS 4.0」というバージョンになっている。

 WSUS 4.0における変更点を次にまとめておく。

機能改善/変更点 内容
サーバ・マネージャによる管理 Windows Server 2012の標準管理ツールであるサーバ・マネージャで管理可能。ほかの役割やサービスと統合して管理できる
PowerShellコマンドレット・サポート WSUSをコマンドラインから制御するために、12個の新しいPowerShellコマンドレットが用意されている
セキュリティの強化 ダウンロードした更新プログラムの改ざん防止/検出などのために、より暗号強度の高いSHA-256メッセージ・ダイジェスト値を使った検査をサポート(従来はSHA-1)
異なるバージョンのエージェントのサポート サーバ側とクライアント側のWindows Updateエージェント(WUA)のバージョンを独立して変更可能にした
使用するポート番号の変更 WSUSサーバ(IIS)が使用するポートが、デフォルトでは80番だったのが、8530番(HTTP)に変更された
WSUS 4.0の主な変更点

 以下ではWSUS 3.0 SP2からの変更点に注目して解説する。WSUS 3.0 SP2の機能や設定については前述の記事を参照していただきたい。

WSUS 4.0のインストール

 Windows Server 2012にWSUS 4.0を導入するには、Windows Server 2008 R2でWSUS 3.0 SP2を導入するのと同様に、サーバの役割として「Windows Server Update Services」を追加すればよい。なおWSUSのレポート機能を利用するためには、「Microsoft Report Viewer 2010」というパッケージが必要になるので、WSUSの導入前に、あらかじめダウンロードしてインストールしておく。

WSUS役割のインストール WSUS役割のインストール
WSUS役割と必要なサービス(IISなど)をインストールする。
  (1)これを選択すると、IISやデータベース、管理ツールなどもインストールされる。

 WSUS役割をインストールしようとすると、IISなどの関連役割のインストールも促されるので、同時にインストールしておく。インストールの途中でWSUSのデータを保存するフォルダの場所を問い合わせる画面が出てくるが、D:\WSUSなど、適当なフォルダを指定しておく。

 役割のインストール後にサーバ・マネージャを起動すると、「通知」領域にWSUSサービスの初期設定タスクを実行するように促すメッセージが表示されるので、それを起動する。

WSUS役割追加後の初期設定タスクの起動要求 WSUS役割追加後の初期設定タスクの起動要求
WSUSのインストールしたら、最初に初期設定のためのタスクを実行する。
  (1)ここでWSUSを選択すると、WSUSのサービスの稼働状況などを確認できる。
  (2)ユーザーに知らせるべきメッセージがあると、このように色が変わって通知する。
  (3)WSUS役割のインストール後には、この初期化タスクを1度実行する必要がある。

 WSUSの設定ウィザードでは、WSUSサーバの使用するポート番号やアップストリーム・サーバ(更新プログラムを受け取る、上位のWSUSサーバのこと)などを指定したり、インストールする更新プログラムの言語(英語版か日本語版か)、製品、分類(Service Pack、ドライバ、重要な更新、ドライバ)、同期スケジュール(更新プログラムをダウンロードするスケジュール)などを選択する。デフォルトでは、全言語の更新プログラムをダウンロードするようになっているので、必要な言語(通常は日本語)だけに限定するとよいだろう。対象製品は、デフォルトではOffice製品とWindows OSのみとなっているが、こちらは組織の事情に合わせて、もっと多くの製品を選択してもよいだろう。

WSUSの初期設定ウィザード WSUSの初期設定ウィザード
WSUS役割のインストール後、最初にこのウィザードを1回実行しておく。ネットワーク環境の設定や、ダウンロードする更新プログラムの種類などを指定する。
  (1)これは「製品」の選択画面の例。
  (2)デフォルトでは「Office」と「Windows」のみが選択されている。必要に応じて、ほかの製品も選択しておくとよい。

設定後のWSUS管理画面

 初期設定ウィザードを終了させると、最初に指定した更新プログラムのダウンロード作業が行われる。設定にもよるが、すべての更新プログラムをダウンロードするので、数十分から数時間と、かなり時間がかかる(ディスクの空き容量は40Gbytes以上を推奨)。一度ダウンロードしてしまえば、以後は差分のみのダウンロードになるのであまり時間はかからない。

 初期ダウンロード終了後のWSUSの管理画面を次に示しておく。このツールはサーバ・マネージャの[管理]メニューから呼び出せる。

WSUSの管理画面 WSUSの管理画面
WSUSの管理コンソール画面。以前のWSUS 3.0 SP2のものとほとんど同じである。
  (1)更新プログラムの一覧がここに表示される。種類や許可状態などに応じて分類、表示できる。
  (2)更新プログラムの配布対象PCの情報。
  (3)上位のサーバから更新プログラムを取得する「同期」処理関連の設定。
  (4)適用状況などのレポート作成。
  (5)取得した更新プログラムなどの状態。
  (6)接続先ポート番号などの情報。なおレポートを作成しようとすると、「Microsoft Report Viewer再配布可能パッケージ2008が必要です」というメッセージが出ることがある。その場合は指示のリンク先にあるパッケージをダウンロードして、インストールしておく([.NET Framework 3.5 Features]−[.NET Framework 3.5 (.NET 2.0 および 3.0を含む]機能もインストールしておくこと)。

 この管理画面を見ると分かるように、WSUS 4.0になっても、機能的には以前のWSUS 3.0 SP2とほとんど同じである。せいぜいWSUSサーバ(IIS)のポート番号が異なるぐらいである。従来はTCPの80番ポートが利用されていたが、WSUS 4.0ではデフォルトで8530番と8531番(httpとhttps用)になっている。またこれに伴い、(自動的に作成された)WSUS用のファイアウォール規則でも、これらのポートが通るように変更されている。

IISのWSUS用ポートのバインド情報 IISのWSUS用ポートのバインド情報
WSUS 4.0で使用するポート番号が変更されており、ファイアウォールなどでWSUSの通信を識別してフィルタリングしやすくなった。
  (1)WSUS用サイト。
  (2)このサイトにバインドされているポート番号。

 WSUSサーバの設定が完了したら、後はクライアント側の設定を行い、WSUSのサーバから更新プログラムをダウンロードするようにする。ワークグループ構成のPCの場合はローカル・グループ・ポリシーで、ドメイン環境のPCの場合はActive Directoryのグループ・ポリシーでそれぞれ設定を行う。このあたりの方法はWSUS 3.0 SP2の場合と同じなので、詳細は以下の記事などを参照していただきたい。

 なお、ポート番号が変更されたことにより、更新プログラムのダウンロードの場所(WSUSサーバの指定)は、「http://wsusserver/」ではなく、「http://wssuserver: 8530/」のように指定する。

Windows 8からWSUSサーバを管理する

 WSUSのサービスはWindows 8には導入できないが、WSUSの管理ツールを使うことは可能である。Windows Server 2012をリモートから管理するRSATツールをWindows 8に導入すると、[コントロール パネル]の[管理ツール]の下に[Windows Server Update Services]というツールが導入されるので、これを起動し、WSUSサーバへ接続すればよい。

PowerShellによる管理

 WSUS 4.0は、PowerShellのコマンドレットで管理できるのも機能強化点の1つである。以前のWSUS 3.0 SP2にはwsusutil.exeというコマンドがあり、これはWSUS 4.0でも引き続き提供されているが(WSUS役割インストール後の設定を行うpostinstallなど、いくつかサブコマンドが追加されている)、PowerShellによる操作も可能になっている。

コマンドレット 機能
Add-WsusComputer 指定されたターゲット・グループへのクライアント・コンピュータの追加
Approve-WsusUpdate 更新プログラムのクライアントへの適用の承認
Deny-WsusUpdate 更新プログラムの拒否
Get-WsusClassification WSUSの「分類」の取得
Get-WsusComputer WSUSのクライアント・コンピュータ・リストの取得
Get-WsusProduct WSUSのサポートしている「製品」リストの取得
Get-WsusServer WSUSのサーバのリストの取得
Get-WsusUpdate WSUSのサーバ上の更新プログラムの詳細情報の取得
Invoke-WsusServerCleanup WSUSサーバのクリーンアップの起動
Set-WsusClassification WSUSサーバの「分類」の有効/無効のセット
Set-WsusProduct WSUSサーバの「製品」の有効/無効のセット
Set-WsusServerSynchronization WSUSの同期先の設定(Microsoft Updateを使用するか、アップストリーム・サーバを使用するかの設定)
WSUS操作用のPowerShellコマンドレット


 今回は新しくなったWSUS 4.0について取り上げた。機能的にはこれでもう十分なためか、大幅な機能強化は行われていない。だが更新プログラムのダウンロードのためのネットワーク帯域の抑制や、パッチ適用のスケジューリングなどの管理を行うためにはWSUSは欠かせないだろう。ぜひ活用していただきたい。


「Windows Server 2012クラウドジェネレーション」のインデックス

Windows Server 2012クラウドジェネレーション

Copyright© 1999-2017 Digital Advantage Corp. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。