トレンド

WSUSとは?その利点と機能、導入手順をご紹介

Written by aki(あき)

ネットワークエンジニア
大手Nierでネットワークエンジニアとして最前線で戦う傍ら、個人運営のサイト「ネットワークエンジニアを目指して」を運営し、読者を「ネットワークトラブルに恐れることなく立ち向かえるネットワークエンジニア」へと導くことを信条に、ネットワーク技術の解説と自身のノウハウを広めている。著書に「見てわかるTCP/IP」など。Twitter:itbook

WSUSとは?その利点と機能、導入手順をご紹介


Windows10管理のポイントとレガシーOSのセキュリティ対策

【お役立ち資料】Windows10更新プログラムの配信方法を徹底解説!

Windows10管理のポイントとレガシーOSのセキュリティ対策

資料のダウンロードはこちら

WSUSとは

WSUS(Windows Server Update Services)を一言で説明するなら、「ローカルに設置するMicrosoft Updateサーバー」です。通常のMicrosoft アップデートサーバーはインターネット上にあり、Windows PCのMicrosoft Updateを実施する場合、各PCがインターネット上のMicrosoft アップデートサーバーにアクセスします。

企業などで複数のPCを管理している場合、どのPCがアップデートを実施していて、どのPCがアップデートしていないのかの管理が難しく、PCごとに更新プログラムの状態がバラバラになってしまう可能性があります。
その場合、業務アプリケーションの互換性問題を引き起こしたり、セキュリティ上の問題が発生するリスクもあります。

このような問題を解消するために開発されたのがWSUSで、WSUSはMicrosoft製品(Windows OSやOfficeソフトなど)やExchangeサーバーなどのWindowsサーバー、各種ドライバやツールなどの更新プログラムを集中管理できる無償の製品です。

WSUSによる更新プログラムの集中管理

WSUSを使用しない場合、クライアントPCはインターネット上のMicrosoft アップデートサーバーから更新プログラムをダウンロードします。

WSUSを導入すると、WSUSサーバーに更新プログラムが保存され、クライアントPCはWSUSサーバーから更新プログラムをダウンロードします。

WSUSは社内にMicrosoft Updateサーバーと通信するためのWSUSサーバーを設置し、WSUSサーバーがクライアントPCに適用する更新プログラムを指定して配布したり、更新の結果をレポートすることができます。

WSUSの導入メリット

適用する更新プログラムの管理が可能

WSUSでは、グループごとに適用する更新プログラムを指定することが可能です。企業独自の業務アプリケーションに影響を及ぼす更新プログラムがあれば、配信させないこともできます。

更新プログラムの適用状態の把握が可能

WSUSで管理しているクライアントごとに、更新プログラムの適用状態を確認することが可能です。適用状況は表やグラフで確認することができるほか、レポートとしてPDFやExcelでのダウンロードも可能です。

インターネットへのトラフィックを削減可能

企業内の複数のクライアントPCが、Windows Updateを行うと、台数分繰り返しダウンロードを実施することになり、インターネット回線を圧迫してしまいます。

WSUSサーバーは更新プログラムをローカルに保存することが可能です。各クライアントPCが更新プログラムをダウンロードする場合、インターネットにアクセスするのではなく、WSUSサーバーから更新プログラムを配信するため、インターネットにアクセスするトラフィックを削減できます。

WSUSの機能一覧

WSUSの主な機能には次のようなものがあります。

・更新プログラムの制御
・グループによる管理
・レポート機能
・配布する製品の管理

更新プログラムの制御

WSUSでは更新プログラムをどのように配布するのかを制御できます。制御方法は次の4つです。

  • ・インストール
    更新プログラムをクライアントPCがインストールすることを許可する。更新プログラムごとに設定が可能。
  • ・検出のみ
    クライアントPCに更新プログラムの存在は公開するが、ダウンロードは許可しない。
  • ・削除
    クライアントPCに、更新プログラムの削除を強制する。
  • ・拒否
    検出自体を拒否する。更新プログラムを拒否するとWSUSの管理コンソール上にも表示されない。
  • グループによる管理

    クライアントPCをグループで管理して、グループごとに更新プログラムの制御を行うことができます。
    例えば、ある部門で使用している業務アプリケーションの動作に影響がでてしまう更新プログラムがあった場合、グループを分けて管理することで、その部門に閉じて更新プログラムを管理することが可能になります。

    レポート機能

    更新プログラムごとにクライアントPCの適用状況を表示させたり、更新プログラムの同期レポートなど、様々なステータス状況を確認することができます。

    配布する製品の管理

    WSUSは配布する対象製品や種類、言語などを詳細に選択することが可能です。WSUSで更新可能な製品には、各Windows OSのほか、Office製品、Skypeなど多岐にわたります。

    WSUSの導入手順

    実際にWindows Server 2016にWSUSを導入する手順を見ていきましょう。

    WSUSのインストール

    Windows Server 2016にWSUSを構築する場合の主なシステム要件は以下の通りです。

    CPU Minimum 1.5GHz以上
    メモリ Minimum 2GB以上
    ネットワークアダプター 100Mbps以上
    ディスク容量 システムパーティションに1GB以上の空き容量
    データベースファイル格納用に2GB以上の空き容量
    コンテンツ格納用に30GB以上の空き容量

    ※参考:Determine capacity requirements | Microsoft Docs(英語ページ)

    サーバーマネージャーを起動し、「役割と機能の追加」 をクリックします。

    「次へ」をクリック。

    「役割ベースまたは機能ベースのインストール」を選択し次へ。

    「対象となるサーバー(現在操作しているサーバー)」を選択し次へ。

    「Windows Server Update Services」にチェックし次へ。

    「機能の追加」をクリック。

    「次へ」をクリック。

    「次へ」をクリック。

    ここからはWSUSの基本設定をしていきます。

    更新プログラムの保存先をしていします。今回は「C:¥wsus」に保存します。

    「次へ」 をクリック。

    「次へ」 をクリック。

    最終確認画面が表示されますので、 内容を確認し「インストール」をクリック。

    インストールが完了したら、「閉じる」をクリック

    インストールが完了すると、サーバーマネージャーの上部に注意マークが表示されます。注意マークをクリックして「インストール後のタスクを起動する」をクリック。

    「インストールが正常に完了しました」と表示されればインストール完了です。

    WSUSの基本設定

    続いて、WSUSの基本設定を行っていきます。

    サーバーマネージャーの上部メニュー「ツール」から、「Windows Server Update Services」をクリック。

    「次へ」をクリック。

    チェックは任意で「次へ」をクリック。

    更新プログラムのどのように同期するのかを設定します。今回はMicrosoft Updateから同期を行います。

    プロキシを設定する場合は、設定を適宜入力して「次へ」をクリック。
    プロキシを使用しない場合はそのまま「次へ」をクリック。

    WSUSの対象製品覧を取得します。「接続の開始」 をクリック。製品の取得までに数分程度かかります。

    対象とする言語を選択します。今回は日本語のみ選択します。

    更新プログラムの対象製品を選択します。ここで全てを選択すると、ダウンロード時間とディスク容量が膨大になりますので、使用している製品に限定することをお勧めします。

    対象とする更新プログラムの分類を選択します。ここも必要なものだけを選択します。

    WSUSサーバーが更新プログラムを取得する時間を指定します。通常はサーバーやネットワークの負荷が低い時間帯を指定します。

    「初期同期を開始します」にチェックを入れて「次へ」をクリック。

    「完了」をクリック。

    以上でWSUSの設定が完了し、更新プログラムのダウンロードが始まります。

    WSUSクライアントの設定

    WSUSサーバーの設定をしても、クライアントPC側の設定をしないと意味がありません。Windows Update時にWSUSサーバーを参照するためには、グループポリシーの変更が必要になります。
    変更はグループ ポリシー エディターを起動し、「[コンピューターの構成」 – 「管理用テンプレート」 – 「Windows コンポーネント」 – 「Windows Update」 を選択します。
    「イントラネットの Microsoft 更新サービスの場所を指定する」をダブルクリック。

    設定値を「有効」に、「更新を検出するためのイントラネットの更新サービスを設定する」と「イントラネット統計サーバーの設定」にWSUSサーバーのURLを設定します。
    詳細は以下のサイトをご確認ください。

    WSUS クライアントのグループ ポリシー : その 1 – 基本編 –
    WSUS クライアントのグループ ポリシー : その 2 – Windows 8 / Windows Server 2012 以降編 –
    WSUS クライアントのグループ ポリシー : その 3 – Windows 10 基本編 –

    WSUS利用時の注意点

    WSUS を企業で運用する場合、更新プログラムを配信するだけでは安定的に運用することはできません。
    最新の更新プログラムを全て配布した結果、ハードウェアや企業独自のアプリケーションの動作が不安定になる可能性があります。

    そのため、影響度が大きい更新プログラムを配布する前には検証環境や小規模な環境で、テストを実施することをおすすめします。事前に問題がないことを確認してから本番環境に導入するようにしましょう。

    WSUSは、クライアントPCをグループで管理することで、グループごとに更新プログラムの制御を行うことができます。
    このグループの機能を活用して、評価用グループを作成し効率良くテストを行うことができます。

    WSUS活用で効率良くWindows 10の管理を

    今回はWSUSの基本機能について紹介をしましたが、WSUSではより細かい設定やチューニングを行うことができます。
    特にWindows 10は従来のWindows OSと異なり、年2回、大型アップデートの提供が行われるようになりました。それに伴い、機能更新プログラムがリリースされる度にアプリケーションの動作検証が必要になります。
    ぜひWSUSを活用して、効率良く社内PCの管理を行いましょう。

    また、MicrosoftのサイトにはWSUSに関するTipsやフォーラムが用意されています。実運用に役立つTipsが多く紹介されていますので、あわせて参考にしてみてはいかがでしょうか。

    
Windows10管理のポイントとレガシーOSのセキュリティ対策

    【お役立ち資料】Windows10更新プログラムの配信方法を徹底解説!

    Windows10管理のポイントとレガシーOSのセキュリティ対策

    資料のダウンロードはこちら

    WSUSでのWindows 10管理まとめ – Japan WSUS Support Team Blog
    Technet フォーラム – Windows Server