運用

Windows Server Update Services(後編)

― 機能を大幅に強化した企業向け無償パッチ管理ソフトの最新版 ―

1.WSUSの基本機能

デジタルアドバンテージ 小川 誉久/DA Lab
2005/08/31


 前編では、マイクロソフトが提供するパッチ管理サービスの概要と、新しいWindows Server Update Services(以下WSUS)の主要な機能について概観した。後編では、WSUSの新機能や拡張された機能について、もう少し詳しく探ってみよう。

WSUSの基本機能

 個別の機能を詳しく見る前に、WSUSの基本機能を確認しておく。

 WSUSを利用するには、サーバとなるコンピュータ(以下WSUSサーバ)にWSUSをインストールし、管理される側のコンピュータ(以下WSUSクライアント)側には自動更新コンポーネントをインストールする。Active Directory環境なら、各クライアントの設定にはグループ・ポリシーが利用でき、中央から一括管理が可能だ。Active Directory環境でない場合には、何らかの方法でコンポーネントと設定情報(レジストリ情報)をクライアントに展開する。自動更新コンポーネント自体はWindows Update/Microsoft Updateを利用する場合と同じものだが、同期先はインターネット上のWindows Update/Microsoft Updateサーバではなく、イントラネット内のWSUSサーバを指定する。WSUSサーバ側では、インターネット上のMicrosoft Updateと同期して、新しいパッチ情報やパッチそのものを定期的にダウンロードするように設定する(手動での同期も可能)。

WSUSの構成
WSUSでは、各クライアントに自動更新コンポーネントをインストールし、インターネット上のMicrosoft Updateサイトではなく、イントラネット内のWSUSサーバにアクセスするように設定を変更する。

 WSUSサーバは、Microsoft Updateサイトに定期的にアクセスして(同期して)、パッチ・カタログ(メタ・データと呼ばれることもある)とパッチ本体(必要なもののみ)をダウンロードする。管理者は、それらのパッチのうち、どれをクライアントに適用するか、適用しないかなどをあらかじめ設定しておく(この作業はパッチ適用の「承認」と呼ばれる)。

 各WSUSクライアントは、定期的にWSUSサーバにアクセスし、自身のパッチ適用状況をWSUSサーバ側に報告するとともに、管理者によって設定された承認状態と、自身のパッチ適用状態を比較し、適用すべきパッチ(管理者が「インストール」を指定したパッチ)で、まだ適用されていないものがあれば、それを自動的に適用する。

 WSUSサーバの初期画面は次のとおり。

WSUSサーバのホーム画面(初期起動画面)
この画面には、WSUSサーバの現在の状態やメニューが表示される。
  WSUSサーバの機能を選択するためのメニュー・アイコン。
  同期してMicrosoft Updateから取得した更新プログラムの数。
  管理しているWSUSクライアントの数。
  更新でエラーが発生したコンピュータの数。
  更新を完了していないコンピュータの数。
  最後にMicrosoft Updateと同期した日時。
 
WSUSサーバのメニュー
WSUSで行う管理作業の種類をここから選択する。
  WSUSサーバの初期画面を表示する。
  現時点でMicrosoft Updateから取得した更新プログラム情報を一覧し、承認作業を行う。
  各WSUSクライアントへのパッチ適用状況の確認、WSUSとMicrosoft Update間の同期の結果など(どのようなパッチ情報をダウンロードしたかなど)をレポートする。
  WSUSで管理するグループの作成、グループへのWSUSクライアント・コンピュータの移動などを行う。
  WSUSのオプション設定を変更する。

 更新プログラムを管理するには、上記メニューの[更新プログラム]をクリックする。すると次のように、同期で取得した更新プログラム一覧が表示される。

[更新プログラム]メニューをクリックしたところ
[更新プログラム]では、Microsoft Updateから同期で取得したパッチを一覧し、それらをインストールするか、しないかなどを設定する。
  パッチ一覧。ここから設定したいパッチを選択し、左側の[更新のタスク]メニューで承認状態を変更する。
  各パッチの取り扱い方法をここで選択する。[更新プログラムの拒否]を選択すると、そのパッチ情報はデフォルト状態では非表示になる。
  パッチ一覧のフィルタ設定。多数のパッチ情報から目的の情報だけを絞り込んで表示することができる。
  上で選択したパッチの情報、WSUSクライアントへの適用状態などをここで確認できる。

 パッチ一覧()から設定したいパッチを選択し、[更新のタスク]()で承認状態を設定する。[インストールの承認]ならWSUSクライアントへの適用が実施され、[検出の承認]なら、パッチは適用されず、そのパッチの適用状態だけが検出される(これはWSUSの新機能なので、後で詳しく述べる)。

 上の画面の()の部分で[状態]タブをクリックすれば、そのパッチに関するWSUSクライアントへの適用状況を確認できる。

パッチの適用状況を確認する
前出の画面右下にあるペインで[状態]タブをクリックすれば、特定のパッチに関するWSUSクライアントの適用状況を確認できる。
  全WSUSクライアントの集計。
  特定のグループ(この画面では営業部、開発部、総務部)に属していないWSUSクライアントの集計。
  グループ(営業部)に属しているWSUSクライアントの集計。
  パッチの承認状態。
  パッチ適用期日。
  インストール済みのWSUSクライアントの数。
  インストールが必要だが、まだインストールされていないWSUSクライアントの数。
  インストールが不要なWSUSクライアントの数。
  状況が不明なWSUSクライアントの数。
  インストールに失敗したWSUSクライアントの数。

 前版のSUSユーザーなら、パッチの適用状況が確認できることや、グループ単位にパッチ適用を管理できることなど、WSUSでは、パッチ管理を円滑かつ確実に実施するための機能が大幅に充実していることが分かるだろう。

Microsoft Baseline Security Analyzer 2.0日本語版

 WSUSで利用可能になった新機能や拡張機能は、Microsoft UpdateやMBSA 2.0でも利用される、新しい自動更新クライアントの機能によるところが少なくない。この自動更新クライアントや、Microsoft Update、MBSA 2.0、WSUSにおけるマイクロソフトのパッチ管理プラットフォームの統合については、別稿「Microsoft Baseline Security Analyzer 2.0日本語版」が詳しいので併せて参照されたい。

 それでは、WSUSで利用可能になった新機能や機能拡張点について詳しく見てみよう。


 INDEX
  [運用]Windows Server Update Services(前編)
    1.マイクロソフトが提供するパッチ管理サービスの種類と特徴
    2.WSUSの新機能、機能強化点
 
  [運用]Windows Server Update Services(後編)
  1.WSUSの基本機能
    2.グループ管理機能
    3.クライアントからのアクセス周期と期日指定インストール
    4.パッチを適用しない「検出のみ」機能
    5.レポート機能
    6.同期オプションとアンインストール機能
    7.WSUSサーバのチェーン化とWSUSの注意点
 
 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間