運用
Windows Server Update Services(前編)

1.マイクロソフトが提供するパッチ管理サービスの種類と特徴

デジタルアドバンテージ 小川 誉久
2005/06/30

 マイクロソフトが提供するパッチ管理システムとしては、個人向けのものから中小企業、大企業向けのものまで、さまざまなものが提供されている。最初にそれらについてまとめておこう。

■個人/SOHOユーザー向けのWindows Update

 マイクロソフトが提供するパッチ管理サービスとして、多くのユーザーがまず思い浮かべるのはWindows Updateだろう。Windows Updateは、マイクロソフトがインターネット上に用意したサーバに個々のクライアント・コンピュータから接続して、そのコンピュータに未適用のパッチを検索し、それらをサーバからダウンロードして適用するというものである。

Windows Updateによるパッチの適用
Windows Updateでは、各コンピュータがインターネットを経由してマイクロソフトのWindows Updateサイトに接続し、必要なパッチをダウンロードして適用する。ただしWindows Updateを実行するユーザーは管理者権限が必要になる。

 インターネット接続環境さえあれば利用できるWindows Updateは、最も手軽なパッチ管理方法だ。個人ユーザーや小規模なSOHO環境なら、このWindows Updateを利用するのが最も手軽である。しかし手作業でWindows Updateを利用する場合、ユーザーは、ローカル・コンピュータの管理者権限を持っている必要がある。管理者権限がないと、システム・ファイルの更新を伴うパッチの適用がエラーになってしまうためだ。

 このような場合には、Windows Updateの自動更新機能を有効にすれば、Windows Updateサイトの参照とパッチのダウンロードから適用までの一連の作業を完全に自動化することができる。この自動更新は、管理者が一度設定すれば、後はコンピュータの電源を入れておくだけで、1日1回、決まった時間(デフォルトでは午前3時)にコンピュータが自動的にWindows Updateサイトに接続し、未適用のパッチがあれば自動的に適用するようになる。基本的にこの方法なら、全ユーザーに管理者権限を与える必要はない。

 しかし多数のユーザーを抱える企業では、Windows Updateや自動更新によるパッチ管理はあまり現実的ではない。コンピュータ資源を中央で管理するドメイン環境では、特殊な事情がないかぎり、全ユーザーに管理者権限を与えることは考えにくい。従ってWindows Updateをユーザーに実行してもらうのは不可能だ。自動更新なら作業を自動化できるが、本当に正しく各コンピュータにパッチが適用されているかどうかを確認するには、別の手段を用意しなければならない。ユーザー数が多い場合には、パッチやService Packをユーザーごとにダウンロードするためのトラフィックもばかにならないだろう。

 何より決定的な問題は、パッチ適用時の互換性検証を管理できないことだ。一部には、パッチの適用により、不具合を発生するアプリケーションもある。特に業務アプリケーションはゼロから構築したカスタム・アプリケーションが多く、マイクロソフトなどが事前にパッチの互換性を検証するのは困難だ。最悪の場合、パッチ適用により不具合が発生し、業務が停止してしまう危険もある。このリスクを回避するには、全社的にパッチを展開する前に、一部のテスト環境でパッチをテストし、不具合が発生しないか確認することだ。しかしWindows Updateや自動更新では、パッチ適用の許可/不許可を管理者が制御することはできない。

■企業ユーザー向けパッチ管理ソフト、SUS

Microsoft Software Update Servicesの実力を探る

 こうした企業ユーザーの要求に対し、マイクロソフトが提供したのがSoftware Update Services(以下SUS)である。SUSは無償ソフトウェアで、誰でもマイクロソフトのサイトからダウンロードできる。SUSでは、各クライアント・コンピュータがLANの内部(社内)に設置されたSUSサーバにアクセスしてパッチを適用する。クライアント側は、Windows Updateと共通の自動更新コンポーネントを使用するが、インターネットのWindows Updateサイトではなく、SUSサーバにアクセスする。SUSサーバは、定期的にWindows Updateサイトにアクセスし、パッチのカタログ(一覧)やパッチそのものをWindows Updateサイトからダウンロード(同期)する(ただし必要なら、パッチ本体は各クライアントが適用時にダウンロードする設定も可能)。つまり、社内に設置したSUSサーバが、Windows Updateサイトの代わりを果たすわけだ。管理者は、SUSサーバで展開を許可するパッチと、そうでないパッチを分類可能で、展開を許可したパッチだけがクライアント・コンピュータに適用される。つまり、SUSサーバでパッチの展開を集中管理できる。

SUSによるパッチの適用
クライアント・コンピュータはWindows Updateと共通の自動更新コンポーネントを使用するが、インターネット上のWindows Updateサイトではなく、社内に設置されたSUSサーバにアクセスしてパッチを適用する。

Windowsシステム管理の近未来図
Microsoftがシステム管理製品のロードマップを大幅変更、System Centerへ一本化

 SUSを提供する一方でマイクロソフトは、同社のシステム管理製品(有償製品)であるSystems Management Server(SMS)にパッチ管理機能を追加した。SUSはパッチ管理しか行えないが、SMSを利用すれば、インベントリ管理(資産管理)やアプリケーション配布などとパッチ管理をSMSで統合的に実行できるという利点がある。ただし本稿では、SMSは扱わない。SMSの詳細については、マイクロソフトのサイト(SMSのホームページ)や関連記事を参照されたい。


 INDEX
  [運用]Windows Server Update Services(前編)
  1.マイクロソフトが提供するパッチ管理サービスの種類と特徴
    2.WSUSの新機能、機能強化点
 
  [運用]Windows Server Update Services(後編)
    1.WSUSの基本機能
    2.グループ管理機能
    3.クライアントからのアクセス周期と期日指定インストール
    4.パッチを適用しない「検出のみ」機能
    5.レポート機能
    6.同期オプションとアンインストール機能
    7.WSUSサーバのチェーン化とWSUSの注意点
 
 運用

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH