Written by aki(あき)
ネットワークエンジニア
大手Nierでネットワークエンジニアとして最前線で戦う傍ら、個人運営のサイト「ネットワークエンジニアを目指して」を運営し、読者を「ネットワークトラブルに恐れることなく立ち向かえるネットワークエンジニア」へと導くことを信条に、ネットワーク技術の解説と自身のノウハウを広めている。著書に「見てわかるTCP/IP」など。Twitter:itbook
目 次
・WSUSとは
WSUSによる更新プログラムの集中管理の仕組み
WSUSの3つの導入メリット
・WSUSの機能一覧
更新プログラムの制御
グループによる管理
レポート機能
配布する製品の管理
・WSUSの導入手順
WSUSのインストール
WSUSの基本設定
WSUSクライアントの設定
・WSUS利用時の注意点
・WSUS活用で効率良くWindowsの管理を
WSUS(ダブルサス)とは
WSUS(Windows Server Update Services)を一言で説明するなら、Microsoft 社が企業向けに提供する「ローカルに設置するMicrosoft Updateサーバー」です。通常のMicrosoft アップデートサーバーはインターネット上にあり、Windows PCのMicrosoft Updateを実施する場合、各PCがインターネット上のMicrosoft アップデートサーバーにアクセスし更新プログラムをダウンロードするという流れになります。
しかし、このように企業内のPC端末で一斉にアクセスを行うと、通信回線が圧迫され「ネットワークに繋がらない」「回線が遅い」といった支障をきたす可能性があります。
また企業などで複数のPCを管理している場合、どのPCがアップデートを実施していて、どのPCがアップデートしていないのかの管理が難しく、PCごとに更新プログラムの状態がバラバラになってしまう可能性があります。
その場合、業務アプリケーションの互換性問題を引き起こしたり、セキュリティ上の問題が発生するリスクもあります。
このような問題を解消するために開発されたのが WSUS(ダブルサス)です。、WSUS は Microsoft製品( Windows OS や Officeソフトなど)やExchangeサーバーなどのWindowsサーバー、各種ドライバやツールなどの更新プログラムを集中管理し、各端末へ適切に更新プログラムを配布するための無償ツールです。
WSUS サーバーを社内で構築すれば、更新プログラムを自動で受け取り、社内端末へ柔軟に配布することが可能に。
また各端末は Microsoft ではなくWSUS 経由で更新を行うため、外部との通信はWSUSサーバーの分のみとなり、通信回線の圧迫を防ぐことができます。あらかじめ端末ごとに更新スケジュールを指定できるため、仕事に支障のない深夜や休日の時間帯に設定することで、ネットワークの負荷を軽減することも可能です。
WSUSによる更新プログラムの集中管理の仕組み
WSUSを使用しない場合、クライアントPCはインターネット上の Microsoft アップデートサーバーから更新プログラムをダウンロードします。
一方、WSUSを導入すると、WSUSサーバーに更新プログラムが保存され、クライアントPCはWSUSサーバーから更新プログラムをダウンロードします。
社内にMicrosoft Updateサーバーと通信するためのWSUSサーバーを設置することで、WSUSサーバーがクライアントPCに適用する更新プログラムを指定して配布したり、更新の結果のレポートを作成したりすることができます。
WSUSの3つの導入メリット
企業が 各端末のWindows 管理を行う上で、WSUSを導入するメリットは以下3つです。
・適用する更新プログラムの内容・配布先が指定できる
・更新プログラムの適用状態を一括で把握できる
・トラフィックを削減し、インターネットの負荷を軽減できる
1. 適用する更新プログラムの内容・配布先が指定できる
WSUSでは、グループごとに適用する更新プログラムを指定することが可能です。例えば「部署Aは本日中にこのプログラムを、部署Bは明日中にこのプログラムを各自PCに配信しよう」といった具合です。
仮に、企業独自の業務アプリケーションに影響を及ぼす更新プログラムがあれば、配信させないこともできます。
2. 更新プログラムの適用状態を一括で把握できる
WSUSで管理しているクライアントごとに、更新プログラムの適用状態を確認することが可能です。適用状況は表やグラフで確認することができるほか、レポートとしてPDFやExcelでのダウンロードも可能です。
3. トラフィックを削減し、インターネットの負荷を軽減できる
企業内の複数のクライアントPCが、Windows Updateを行うと、台数分繰り返しダウンロードを実施することになり、インターネット回線を圧迫してしまいます。
この点、WSUSサーバーは更新プログラムをローカルに保存することが可能です。各クライアントPCが更新プログラムをダウンロードする場合、WSUSサーバー(ローカル)から更新プログラムを配信するため、インターネットにアクセスする必要がなくトラフィックを軽減できます。
WSUSの機能一覧
WSUSの主な機能には次のようなものがあります。
・更新プログラムの制御
・グループによる管理
・レポート機能
・配布する製品の管理
更新プログラムの制御
WSUSでは更新プログラムをどのように配布するのかを制御できます。制御方法は次の4つです。
更新プログラムをクライアントPCがインストールすることを許可する。更新プログラムごとに設定が可能。
クライアントPCに更新プログラムの存在は公開するが、ダウンロードは許可しない。
クライアントPCに、更新プログラムの削除を強制する。
検出自体を拒否する。更新プログラムを拒否するとWSUSの管理コンソール上にも表示されない。
グループによる管理
クライアントPCをグループで管理して、グループごとに更新プログラムの制御を行うことができます。
例えば、ある部門で使用している業務アプリケーションの動作に影響がでてしまう更新プログラムがあった場合、グループを分けて管理することで、その部門に閉じて更新プログラムを管理することが可能になります。
レポート機能
更新プログラムごとにクライアントPCの適用状況を表示させたり、更新プログラムの同期レポートなど、様々なステータス状況を確認することができます。
配布する製品の管理
WSUSは配布する対象製品や種類、言語などを詳細に選択することが可能です。WSUSで更新可能な製品には、各Windows OSのほか、Office製品、Skypeなど多岐にわたります。
WSUSの導入手順
実際にWindows Server 2016にWSUSを導入する手順を見ていきましょう。
WSUSのインストール
Windows Server 2016にWSUSを構築する場合の主なシステム要件は以下の通りです。
| CPU | Minimum 1.5GHz以上 |
| メモリ | Minimum 2GB以上 |
| ネットワークアダプター | 100Mbps以上 |
| ディスク容量 | システムパーティションに1GB以上の空き容量 データベースファイル格納用に2GB以上の空き容量 コンテンツ格納用に30GB以上の空き容量 |
※参考:Determine capacity requirements | Microsoft Docs(英語ページ)
サーバーマネージャーを起動し、「役割と機能の追加」 をクリックします。
「次へ」をクリック。
「役割ベースまたは機能ベースのインストール」を選択し次へ。
「対象となるサーバー(現在操作しているサーバー)」を選択し次へ。
「Windows Server Update Services」にチェックし次へ。
「機能の追加」をクリック。
「次へ」をクリック。
「次へ」をクリック。
ここからはWSUSの基本設定をしていきます。
更新プログラムの保存先をしていします。今回は「C:¥wsus」に保存します。
「次へ」 をクリック。
「次へ」 をクリック。
最終確認画面が表示されますので、 内容を確認し「インストール」をクリック。
インストールが完了したら、「閉じる」をクリック
インストールが完了すると、サーバーマネージャーの上部に注意マークが表示されます。注意マークをクリックして「インストール後のタスクを起動する」をクリック。
「インストールが正常に完了しました」と表示されればインストール完了です。
WSUSの基本設定
続いて、WSUSの基本設定を行っていきます。
サーバーマネージャーの上部メニュー「ツール」から、「Windows Server Update Services」をクリック。
「次へ」をクリック。
チェックは任意で「次へ」をクリック。
更新プログラムのどのように同期するのかを設定します。今回はMicrosoft Updateから同期を行います。
プロキシを設定する場合は、設定を適宜入力して「次へ」をクリック。
プロキシを使用しない場合はそのまま「次へ」をクリック。
WSUSの対象製品覧を取得します。「接続の開始」 をクリック。製品の取得までに数分程度かかります。
対象とする言語を選択します。今回は日本語のみ選択します。
更新プログラムの対象製品を選択します。ここで全てを選択すると、ダウンロード時間とディスク容量が膨大になりますので、使用している製品に限定することをお勧めします。
対象とする更新プログラムの分類を選択します。ここも必要なものだけを選択します。
WSUSサーバーが更新プログラムを取得する時間を指定します。通常はサーバーやネットワークの負荷が低い時間帯を指定します。
「初期同期を開始します」にチェックを入れて「次へ」をクリック。
「完了」をクリック。
以上でWSUSの設定が完了し、更新プログラムのダウンロードが始まります。
WSUSクライアントの設定
WSUSサーバーの設定をしても、クライアントPC側の設定をしないと意味がありません。Windows Update時にWSUSサーバーを参照するためには、グループポリシーの変更が必要になります。
変更はグループ ポリシー エディターを起動し、「[コンピューターの構成」 – 「管理用テンプレート」 – 「Windows コンポーネント」 – 「Windows Update」 を選択します。
「イントラネットの Microsoft 更新サービスの場所を指定する」をダブルクリック。
設定値を「有効」に、「更新を検出するためのイントラネットの更新サービスを設定する」と「イントラネット統計サーバーの設定」にWSUSサーバーのURLを設定します。
詳細は以下のサイトをご確認ください。
・WSUS クライアントのグループ ポリシー : その 1 – 基本編 –
・WSUS クライアントのグループ ポリシー : その 2 – Windows 8 / Windows Server 2012 以降編 –
・WSUS クライアントのグループ ポリシー : その 3 – Windows 10 基本編 –
WSUS利用時の注意点
WSUS を企業で運用する場合、更新プログラムを配信するだけでは安定的に運用することはできません。
最新の更新プログラムを全て配布した結果、ハードウェアや企業独自のアプリケーションの動作が不安定になる可能性があります。
そのため、影響度が大きい更新プログラムを配布する前には検証環境や小規模な環境で、テストを実施することをおすすめします。事前に問題がないことを確認してから本番環境に導入するようにしましょう。
WSUSは、クライアントPCをグループで管理することで、グループごとに更新プログラムの制御を行うことができます。
このグループの機能を活用して、評価用グループを作成し効率良くテストを行うことができます。
WSUS活用で効率良くWindows管理を
今回はWSUSの基本機能について紹介をしましたが、WSUSではより細かい設定やチューニングを行うことができます。
特にWindows 10 以降、従来のWindows OSと異なり、年2回、大型アップデートの提供が行われるようになりました。それに伴い、機能更新プログラムがリリースされる度にアプリケーションの動作検証が必要になります。
ぜひWSUSを活用して、効率良く社内PCの管理を行いましょう。
また、MicrosoftのサイトにはWSUSに関するTipsやフォーラムが用意されています。実運用に役立つ情報が多く紹介されていますので、あわせて参考にしてみてはいかがでしょうか。
・WSUSでのWindows 10管理まとめ – Japan WSUS Support Team Blog
・Technet フォーラム – Windows Server
またエムオーテックスの提供する「LANSCOPE エンドポイントマネージャー クラウド版」を活用すれば、WSUS の弱点を補完した、さらに効率的でわかりやすい Windows アップデート管理が可能となります。ぜひ以下もご活用ください。
関連する記事
