Written by aki(あき)
LANSCOPE
エンドポイントマネージャークラウド版で
効率的なWindowsアップデートを実現
WSUS との併用でさらにスムーズな運用が可能。具体的なWindows 管理の方法とは?
目 次
WSUS(Windows Server Update Services)とは、Microsoft 社が企業向けに提供しているMicrosoft Updateサーバーです。
WSUS サーバーを社内で構築することで、更新プログラムを自動で受け取り、企業が管理する各端末へ適切に配布することが可能になります。
本記事では、WSUSの機能や導入手順、クライアントの設定方法を解説します。
▼本記事でわかること
- WSUSとはなにか
- WSUSの機能
- WSUSの導入手順
- クライアントPC側の設定方法
WSUS(ダブルサス)とは
「WSUS」とは、Windows Server Update Servicesの略称で、Windows OSやMicrosoft製品などの更新プログラムを管理・配布する無償のサーバーアプリケーションです。
WSUSは、Windows Serverの機能のひとつとして提供されており、組織内のPCに対して、適切なタイミングで安全にアップデートを配布することが可能です。
通常のMicrosoft アップデートサーバーはインターネット上にあるため、Windows PCのMicrosoft Updateを実施する場合、各PCがインターネット上のMicrosoft アップデートサーバーにアクセスし、更新プログラムをダウンロードする必要があります。
この場合、組織内のPCが一斉にサーバーにアクセスするため、通信回線が圧迫されてしまい、「ネットワークに繋がらない」「回線が遅い」といった問題が発生しやすいです。
また、通常のアップデートでは、「どのPCがアップデートを実施しているのか」「更新プログラムの状態はどうなっているのか」など、管理が行き届かなくなり、セキュリティリスクが高まる懸念もあります。
このような懸念を払拭する方法として、WSUSを活用する企業が多くあります。
WSUSを導入すると、WSUSサーバーに更新プログラムが保存され、クライアントPCはWSUSサーバーから更新プログラムをダウンロードすることができます。
| WSUSを導入していない場合 | WSUSを導入した場合 |
|---|---|
|
 |
また、WSUSサーバーがクライアントPCに適用する更新プログラムを指定して配布したり、更新の結果のレポートを作成したりすることもできます。
さらに、各端末は MicrosoftではなくWSUS 経由で更新をおこなうため、通信回線の圧迫を防ぐこともできます。
WSUSが廃止になる?
2024年9月、Microsoft(マイクロソフト)社はWSUSを廃止する計画を発表しました。
既存の機能は維持され、更新プログラムの提供も継続されますが、今後、WSUSに対する新しい機能の開発や追加は行われなくなります。
廃止される背景には、Microsoft Endpoint ManagerやWindows Update for Businessなどのクラウドベースの更新管理ツールの普及が挙げられます。
WSUSが廃止されると、前述したようなサーバー負荷の懸念やセキュリティリスクの増加が予想されるため、将来的には移行も検討しておいた方がよいでしょう。
WSUSの機能一覧
WSUSの主な機能には次のようなものがあります。
更新プログラムの制御
WSUSでは更新プログラムをどのように配布するのかを制御できます。制御方法は次の4つです。
| インストール | ・更新プログラムをクライアントPCがインストールすることを許可する ・更新プログラムごとに設定が可能 |
|---|---|
| 検出のみ | ・クライアントPCに更新プログラムの存在は公開するが、ダウンロードは許可しない |
| 削除 | ・クライアントPCに、更新プログラムの削除を強制する |
| 拒否 | ・検出自体を拒否する ・更新プログラムを拒否するとWSUSの管理コンソール上にも表示されない |
グループによる管理
クライアントPCをグループで管理して、グループごとに更新プログラムの制御を行うことができます。
例えば、ある部門で使用している業務アプリケーションの動作に影響がでてしまう更新プログラムがあった場合、グループを分けて管理することで、その部門に閉じて更新プログラムを管理することが可能になります。
レポート機能
更新プログラムごとにクライアントPCの適用状況を表示させたり、更新プログラムの同期レポートなど、様々なステータス状況を確認することができます。
配布する製品の管理
WSUSは配布する対象製品や種類、言語などを詳細に選択することが可能です。WSUSで更新可能な製品には、各Windows OSのほか、Office製品、Skypeなど多岐にわたります。
WSUSの3つの導入メリット
Windows端末のアップデート配布・管理に、WSUSを導入するメリットを3つ紹介します。
WSUSを導入することで、どのようなメリットが期待できるのか確認していきましょう。
適用する更新プログラムの内容・配布先が指定できる
WSUSは、グループごとに適用する更新プログラムを指定することが可能です。
たとえば、「営業はx日にこのプログラムを、人事部にはこのプログラムをx日に各自PCに配信しよう」と指定することができます。
そのため、仮に、企業独自の業務アプリケーションに影響を及ぼす更新プログラムがある場合は、配信させないように指定が可能です。
更新プログラムの適用状態を一括で把握できる
WSUSで管理しているクライアントごとに、更新プログラムの適用状態を確認することができます。適用状況は表やグラフで確認することができるほか、レポートとしてPDFやExcelでのダウンロードも可能です。
トラフィックを削減し、インターネットの負荷を軽減できる
組織内の複数のクライアントPCが、Windows Updateをおこなうと、台数分繰り返しダウンロードを実施することになり、インターネット回線が圧迫されます。
回線が圧迫されると、「ネットワークに繋がらない」「回線が遅い」などの問題が発生してしまいますが、この点、WSUSサーバーは更新プログラムをローカルに保存することが可能です。
各クライアントPCが更新プログラムをダウンロードする場合、WSUSサーバー(ローカル)から更新プログラムを配信するため、インターネットにアクセスする必要がなくトラフィックを軽減させることができます。
WSUSの導入手順
実際にWindows Server 2016にWSUSを導入する手順を見ていきましょう。
WSUSのインストール
Windows Server 2016にWSUSを構築する場合の主なシステム要件は以下の通りです。
| CPU | Minimum 1.5GHz以上 |
|---|---|
| メモリ | Minimum 2GB以上 |
| ネットワークアダプター | 100Mbps以上 |
| ディスク容量 | システムパーティションに1GB以上の空き容量 データベースファイル格納用に2GB以上の空き容量 コンテンツ格納用に30GB以上の空き容量 |
※参考:Determine capacity requirements | Microsoft Docs(英語ページ)
WSUSのインストール
サーバーマネージャーを起動し、「役割と機能の追加」 をクリックします。
「次へ」をクリック。
「役割ベースまたは機能ベースのインストール」を選択し次へ。
「対象となるサーバー(現在操作しているサーバー)」を選択し次へ。
「Windows Server Update Services」にチェックし次へ。
「機能の追加」をクリック。
「次へ」をクリック。
「次へ」をクリック。
ここからはWSUSの基本設定をしていきます。
更新プログラムの保存先をしていします。今回は「C:wsus」に保存します。
「次へ」 をクリック。
「次へ」 をクリック。
最終確認画面が表示されますので、 内容を確認し「インストール」をクリック。
インストールが完了したら、「閉じる」をクリック
インストールが完了すると、サーバーマネージャーの上部に注意マークが表示されます。注意マークをクリックして「インストール後のタスクを起動する」をクリック。
「インストールが正常に完了しました」と表示されればインストール完了です。
WSUSの基本設定
続いて、WSUSの基本設定を行っていきます。
サーバーマネージャーの上部メニュー「ツール」から、「Windows Server Update Services」をクリック。
「次へ」をクリック。
チェックは任意で「次へ」をクリック。
更新プログラムのどのように同期するのかを設定します。今回はMicrosoft Updateから同期を行います。
プロキシを設定する場合は、設定を適宜入力して「次へ」をクリック。
プロキシを使用しない場合はそのまま「次へ」をクリック。
WSUSの対象製品覧を取得します。「接続の開始」 をクリック。製品の取得までに数分程度かかります。
対象とする言語を選択します。今回は日本語のみ選択します。
更新プログラムの対象製品を選択します。ここで全てを選択すると、ダウンロード時間とディスク容量が膨大になりますので、使用している製品に限定することをお勧めします。
対象とする更新プログラムの分類を選択します。ここも必要なものだけを選択します。
WSUSサーバーが更新プログラムを取得する時間を指定します。通常はサーバーやネットワークの負荷が低い時間帯を指定します。
「初期同期を開始します」にチェックを入れて「次へ」をクリック。
「完了」をクリック。
以上でWSUSの設定が完了し、更新プログラムのダウンロードが始まります。
WSUSクライアントの設定
WSUSを導入するには、サーバーの設定だけでなく、クライアントPC側の設定も必要です。
Windows Update時にWSUSサーバーを参照するためには、グループポリシーの変更が必要です。
変更は次の手順で実施してください。
設定方法の詳細については、下記のサイトをご確認ください。
出典: Microsoft Learn「手順 4 – グループ ポリシーで自動更新の設定を構成する」
WSUS利用時の注意点
WSUS を企業で運用する場合、更新プログラムを配信するだけでは安定的に運用することはできません。
たとえば、最新の更新プログラムをすべて配布した結果、ハードウェアや企業独自のアプリケーションの動作が不安定になる可能性があります。
そのため、影響度が大きい更新プログラムを配布する前には検証環境や小規模な環境で、テストを実施することが好ましいです。
事前に問題がないことを確認してから、本番環境に導入するようにしましょう。
WSUSは、クライアントPCをグループで管理することで、グループごとに更新プログラムの制御を行うことができます。
このグループの機能を活用して、評価用グループを作成し効率良くテストを実施することができます。
「LANSCOPE エンドポイントマネージャー クラウド版」でWindowsアップデートの効率的な管理を
前述の通り、WSUSは廃止が計画されていることから、代替ツールの導入を検討している企業も多いのではないでしょうか。
MOTEX(エムオーテックス)が提供するIT資産管理・MDMツール「LANSCOPE エンドポイントマネージャー クラウド版」では、Windowsアップデートの効率的な管理の実現をサポートします。
具体的には、Windowsアップデート管理に関して、以下のような機能を備えています。
アップデートの適用状況把握から配信までをワンストップで管理
LANSCOPE エンドポイントマネージャー クラウド版では、Microsoft社が提供する「機能更新プログラム」(Feature Update[FU])や「品質更新プログラム」(Quality Update[QU])の適用状況を管理画面より把握し、パッチ・更新プログラムを配信するまでをワンストップで実施できます。
▼LANSCOPE エンドポイントマネージャー クラウド版で「未適用デバイス」を一括確認
▼更新プログラム・パッチの配信日時・メッセージを設定し、配布を実行
管理者側でアップデートの配信・適用まで一括で操作できるため、従業員のリテラシーに左右されないパッチ管理が可能です。
まとめ
本記事では、WSUSの基本機能について紹介をしましたが、WSUSではより細かい設定やチューニングを行うことができます。
特にWindows 10 以降、従来のWindows OSと異なり、年2回、大型アップデートの提供が行われるようになりました。それに伴い、機能更新プログラムがリリースされる度にアプリケーションの動作検証が必要になります。
ぜひWSUSを活用して、効率良く社内PCの管理を行いましょう。
また、MicrosoftのサイトにはWSUSに関するTipsやフォーラムが用意されています。実運用に役立つ情報が多く紹介されていますので、あわせて参考にしてみてはいかがでしょうか。
出典:Archived MSDN and TechNet Blogs | Microsoft Learn
出典:Windows Server – Microsoft Q&A
またエムオーテックスの提供する「LANSCOPE エンドポイントマネージャー クラウド版」を活用すれば、WSUS の弱点を補完した、さらに効率的でわかりやすい Windows アップデート管理が可能となります。ぜひ以下もご活用ください。
LANSCOPE
エンドポイントマネージャークラウド版で
効率的なWindowsアップデートを実現
WSUS との併用でさらにスムーズな運用が可能。具体的なWindows 管理の方法とは?
おすすめ記事
