17.6K Views
September 21, 24
スライド概要
Windows 関連の勉強用資料です。
今回は 「Windows Server Update Services (WSUS) 」をまとめました。参考にしていただければ幸いです。🫡
ナガシヨミ Windows Windows Server Update Services (WSUS) 概要 2024 年 9 月 タクヤ オータ アイコン アイコン 自動的に生成された説 明 自動的に生成された説 明
勉強用資料として公開しています Microsoft の正式見解であったり、内容をコミットするものではございません。 仕様が変わったりサポートされる情報が変化することもあることをご了承ください。 シェアは自由にしていただいて構いませんがビジネス目的での使用はお控えください。m(_ _)m 2024 年 9 月 タクヤ オータ アイコン アイコン 自動的に生成された説 明 自動的に生成された説 明
Windows Server Update Services (WSUS) 概要 1. WSUS とは? 2. WSUS の動作と設定 3. ネットワーク負荷分散 4. まとめ
Windows Server Update Services (WSUS) とは? Microsoft 製品の更新プログラムの展開・管理のための Windows Server の機能 更新プログラムの管理 ◼ 組織の更新プログラムの適用状況を管理 ◼ 更新プログラムの配信をコントロール シンプルな設定・管理 ◼ 更新プログラムの管理に特化 ◼ 必要最低限の機能、設定、レポート 運用コスト削減 ◼ 無償利用可能 (サーバーライセンスと CAL のみ) ◼ 自動適用による運用負荷軽減
2024 年 9 月 20 日 WSUS は非推奨に Windows Server Update Services (WSUS) deprecation - Windows IT Pro Blog (microsoft.com)
Windows Server Update Services (WSUS) 動作概要 Microsoft Update WSUS クライアント ❶ 同期 ❷ 承認・配信 ❸ 検出・適用 ◼ 定期的な同期の実施 ◼ 製品や種類の選択 ◼ ファイルのダウンロード ◼ 更新プログラムの選択 ◼ 期日の設定 ◼ グループの選択 ◼ 更新プログラムのチェック ◼ インストール ◼ レポート
Windows Server Update Services の構成 自立モード (分散管理) 管理者 管理者 レプリカ モード (集中管理) 管理者 管理者
Windows Server Update Services (WSUS) 概要 1. WSUS とは? 2. WSUS の設定と動作 3. ネットワーク負荷分散 4. まとめ
WSUS のインストールと設定 WSUS のインストールや構成・設定に関しては、 Windows Server の使用、操作の経験があれば 数ステップの手順で構築することが可能です WSUS 展開の手順 1. WSUS のサーバーの役割をインストールする 2. WSUS サーバーの設定を行う 3. WSUS で更新プログラムの承認・展開をする 4. 自動更新のグループ ポリシー設定を構成する Windows Server の 「役割と機能の追加」 から構成するのみ WSUS 展開を計画する | Microsoft Learn
Windows Server Update Services (WSUS) 動作概要 Microsoft Update WSUS クライアント ❶ 同期 ❷ 承認・展開 ❸ 検出・適用 ◼ 定期的な同期の実施 ◼ 製品や種類の選択 ◼ ファイルのダウンロード ◼ 更新プログラムの選択 ◼ 期日の設定 ◼ グループの選択 ◼ 更新プログラムのチェック ◼ インストール ◼ レポート
❶ 同期 - 製品と分類 製品と分類 管理対象とする製品や分類を選択可能 管理対象を絞り込むことでストレージや運用負荷の軽減 製品 (例) ◼ Windows ◼ Office ◼ Exchange ◼ SQL Server ◼ System Center 分類 (例) ◼ Service Packs ◼ Upgrades ◼ セキュリティ問題の修正プログラム ◼ 修正プログラム集 ◼ 重要な更新 ◼ 定義更新プログラム
❶ 同期 - 更新ファイルの保存設定 更新ファイルと更新言語 更新ファイルのダウンロード有無と以下の設定が可能 ◼ 更新ファイルのダウンロードのタイミング ◼ 「高速インストール ファイル」 の使用有無 更新ファイルを保存しない場合は、配信設定後にクライアント はインターネット上の Microsoft Update からダウンロード Tips : 高速インストール ファイル 更新プログラムの差分配信機能。更新プログラムの差分のみをク ライアントがダウンロードし、大幅にダウンロード量を減らすことが可 能。(特定製品の更新プログラムのみ対応)
❶ 同期 – 更新元およびプロキシサーバー 更新元およびプロキシサーバー WSUS サーバーが更新プログラムの一覧を同期する元の選択 プロキシ サーバーを使用する場合は指定することも可能 Microsoft Update WSUS 間 Microsoft Update 上位 WSUS WSUS 下位 WSUS
Windows Server Update Services (WSUS) 動作概要 Microsoft Update WSUS クライアント ❶ 同期 ❷ 承認・展開 ❸ 検出・適用 ◼ 定期的な同期の実施 ◼ 製品や種類の選択 ◼ ファイルのダウンロード ◼ 更新プログラムの選択 ◼ 期日の設定 ◼ グループの選択 ◼ 更新プログラムのチェック ◼ インストール ◼ レポート
❷ 承認・展開 - 更新プログラムの選択 更新プログラムの承認 対象の更新プログラムを選択 WSUS に同期された更新プログラムの一覧より、 対象の更新プログラムを選択して承認・拒否を実施 これによりクライアントへ配信制御が行われる ◼ インストールの承認 適用先のグループを指定しインストール承認 必要に応じて期日指定 ◼ 未承認 検出は行われるがインストールは行われない ◼ 拒否 インストールおよび検出も行われない ◼ 削除の承認 一度承認してしまったものをアンインストールすることができる。 ※ 対応している更新プログラムの場合のみ
❷ 承認・展開 - グループを分けた配信 コンピューター グループの追加 グループを作成し、各コンピューターが所属するグ ループを指定することも可能 作成したグループに対して更新プログラムを配信す ることができる Tips : 事前のコンピューター グループ分け グループ ポリシーやレジストリ設定より、所属するコ ンピューター グループを事前に指定することも可能
❷ 承認・展開 – 自動承認 自動承認 承認作業を自動化することが可能 複数の規則を作成することも可能 以下の組み合わせで設定可能 ◼ 特定のグループ (自身で作成したグループ) ◼ 特定の分類 (修正プログラム集、重要な更新など) ◼ 特定の製品 (Windows Office など) ◼ 期日 (何日後の何時までにインストールするか) Tips : 自動承認による自動化 自動承認を設定することで、毎月リリースされる OS の更新プログラムの配信を自動化することができる
Windows Server Update Services (WSUS) 動作概要 Microsoft Update WSUS クライアント ❶ 同期 ❷ 承認・展開 ❸ 検出・適用 ◼ 定期的な同期の実施 ◼ 製品や種類の選択 ◼ ファイルのダウンロード ◼ 更新プログラムの選択 ◼ 期日の設定 ◼ グループの選択 ◼ 更新プログラムのチェック ◼ インストール ◼ レポート
❸ 検出・適用 – インストール動作 自動更新を構成する グループ ポリシーを用いてクライアントのインストール 動作 (ユーザーの操作) を指定可能 2 – ダウンロードとインストールを通知 3 – 自動ダウンロードしインストールを通知 4 – 自動ダウンロードし、インストール日時を指定 5 – ローカルの管理者の設定選択を許可 Tips : WSUS に必要なグループ ポリシー WSUS には 以下の 2 つのポリシーの設定が必要 [コンピューターの構成] - [Windows コンポーネント] - [Windows Update] ◼ ◼ 自動更新を構成する イントラネットの Microsoft 更新サービスの場所を指定する
❸ 検出・適用 – クライアントの検出頻度 自動更新の検出頻度 既定ではクライアントは約 22 時間に 1 回の周期で 更新プログラムの確認を行う 各クライアントは、更新周期の 0 ~ 20% のゆるぎで 毎回ランダムに時間を変動させ、負荷が集中しない 動作となっている Tips :自動更新の検出頻度 間隔を短くしたい場合、最短で 1 時間に 1 回まで変 更可能。ただし、サーバー、ネットワーク負荷を考慮する と短くとも 1 日 3 回 (8 時間) 程度を推奨
❸ 検出・適用 – 更新プログラムの適用状況 分類ごとの適用状況 WSUS の管理画面にて、更新プログラムの分類ごとや、 自身で作成したビューで適用状況が確認可能 更新プログラムの適用状況 管理画面の各更新プログラムの画面で、その更新 プログラムごとの適用状況を確認することが可能 コンピューターごとの適用状況 管理画面のコンピューター グループを選択することで、 各コンピューターやグループの適用状況を確認可能
❸ 検出・適用 – レポートでの確認 レポート レポート機能を用いて、別途レポートとして出力する ことも可能 (Excel や PDF 形式での保存も可能) 更新のレポート 特定の更新プログラムがインストールされていない PC の 一覧をリストアップなどの確認 コンピューター レポート 特定クライアントの更新プログラム適用状況の確認 やグループ別の更新プログラム適用状況の確認 同期レポート 同期が正しく完了したかどうかの確認や同期した 更新プログラムの一覧をリストアップ
Windows Server Update Services (WSUS) 概要 1. WSUS とは? 2. WSUS の設定と動作 3. ネットワーク負荷分散 4. まとめ
ネットワーク負荷分散 1 – グループを分けて展開 グループを分け展開 クライアントをグループに分け、段階的に展開を行う ダウンロードによるネットワーク集中を分散させる。 また更新プログラムの問題などのリスクを減らせる グループ A : 1 週目 グループ B : 2 週目 グループ C : 3 週目 グループ D : 4 週目
ネットワーク負荷分散 2 – BITS 帯域制御を設定 クライアントの BITS 帯域制御を設定する 更新プログラムのダウンロードには、OS に搭載されてい る ”Background Intelligent Transfer Service” (BITS) サービスを利用している BITS の設定でネットワーク帯域の制御が可能であり、 グループ ポリシーで設定を行うことが可能 [管理用テンプレート] - [ネットワーク] - [バックグラウンド インテリジェント転送サービス] ◼ BITS バックグラウンド転送の最大ネットワーク帯域幅を制限する Tips : 「配信の最適化」 を利用している場合 「配信の最適化側」 の設定でネットワーク帯域制御の 設定をすることが可能
ネットワーク負荷分散 3 – 高速インストール ファイルの使用 高速インストール ファイルが有効の場合 高速インストール ファイルの使用 対応している更新プログラムで使用可能 そのクライアントが必要とする差分のみの ファイルのダウンロード 通常よりもネットワーク トラフィックを削減可能 300 MB 30 MB WSUS Microsoft Update クライアント 高速インストール ファイルが無効の場合 Tips : 高速インストール ファイル WSUS サーバーの 「更新ファイルの保存設定」にて 設定することが可能 100 MB Microsoft Update 100 MB WSUS 注 : 上記の容量 (MB) は実際のサイズではなく説明用の例となります。 クライアント
ネットワーク負荷分散 4 – Peer to Peer 技術の利用 クライアント間 (Peer to Peer) でキャッシュを共有しサーバー - クライアント間のトラフィックを削減 更新プログラム WSUS WSUS では 2 種類の技術が利用可能 ◼ BranchCache ◼ 配信の最適化 (Delivery Optimization) クライアント同士で 更新プログラムの キャッシュを共有
参考 : 配信の最適化 vs BranchCache 配信の最適化 概要 Windows 10 以降の Peer to Peer を利用した新しい配信方 法。ローカルやインターネット上からもコンテンツ取得が可能 BranchCache Windows Server 2008 R2、Windows 7 以降で提供されている、 Peer to Peer を利用した帯域幅最適化テクノロジー。 Windows 10 / Windows 11 Windows 7 / Windows Server 2008 R2 Windows 8.1 / Windows Server 2012 Windows 10 / Windows Server 2016 使用可能 機能更新プログラム (FU)、品質更新プログラム (QU) 機能更新プログラム (FU)、品質更新プログラム (QU) (※ 更新プログラムの利用 (BITS) のみであれば Pro でも使用可能) また、Web サーバー、ファイルサーバー、アプリケーションサーバーなど様々な ファイルで使用可能。(※ Enterprise 以上が必要) 動作モード 分散型 分散型、ホスト型 (Windows Sever が必要) 範囲 インターネット、LAN、グループ LAN 設定方法 グループ ポリシー グループ ポリシー と サーバーで機能追加 帯域制御 配信の最適化のグループ ポリシー設定にて制御可能。 KB 単位でアップロードやダウンロードの帯域制御。 BITS のグループ ポリシー設定にて制御可能。 Kbps 単位での帯域制限や時間帯など キャッシュサイズ GB 単位でのサイズ指定やドライブの指定が可能 ディスクの何%を割り当てるか設定可能 ファイルサイズ 最小 1 ~ 100,000 MB で設定可能 最小 64 KB のブロック単位 サポート OS
番外編 – IIS (Internet Information Services) での制限 WSUS 上の IIS で制限を行う WSUS サーバーは IIS の機能を利用して配信を 行っている このため、IIS 設定を変更することで、ダウンロードの 帯域制限やセッション数の制限を行うことが可能 Tips : IIS の設定変更について IIS の設定変更は WSUS 側で想定されているもので はない。技術的には問題がなく実績もあるが、制限 がかかった際などは WSUS やクライアントでエラー出 力がされるなどの影響がある
Windows Server Update Services (WSUS) 概要 1. WSUS とは? 2. WSUS の設定と動作 3. ネットワーク負荷分散 4. まとめ
Windows Server Update Services (WSUS) とは? Microsoft 製品の更新プログラムの展開・管理のための Windows Server の機能 更新プログラムの管理 ◼ 組織の更新プログラムの適用状況を管理 ◼ 更新プログラムの配信をコントロール シンプルな設定・管理 ◼ 更新プログラムの管理に特化 ◼ 必要最低限の機能、設定、レポート 運用コスト削減 ◼ 無償利用可能 (サーバーライセンスと CAL のみ) ◼ 自動適用による運用負荷軽減
Windows Server Update Services (WSUS) 動作概要 Microsoft Update WSUS クライアント ❶ 同期 ❷ 承認・展開 ❸ 検出・適用 ◼ 定期的な同期の実施 ◼ 製品や種類の選択 ◼ ファイルのダウンロード ◼ 更新プログラムの選択 ◼ 期日の設定 ◼ グループの選択 ◼ 更新プログラムのチェック ◼ インストール ◼ レポート
WSUS のよくある質問 Q. AD は必須? ワークグループのクライアントは管理できる? A. AD は必須ではなく、ワークグループの管理も可能です。 ローカル ポリシーやレジストリで対象の WSUS サーバーを指定が可能です。 Q. Windows 機能更新プログラム (FU) をずっと適用させないことも可能? A. 可能です。 WSUS サーバーで承認しない限りは配信されません。ただしサポート ポリシーの範囲内での制御をおすすめします。 Q. 「配信の最適化」 と 「BranchCache」どちらがいいの? A. 新しい機能である 「配信の最適化」 をおすすめします。 オンプレミス環境であれば BranchCache の方が管理はし易いパターンもあります。 Q. Microsoft 365 Apps の更新は管理できますか? A. WSUS では管理できません。Microsoft Configuration Manager であれば管理は可能です。 Microsoft 365 Apps はインターネット経由での自動更新をおすすめしています。
2024 年 9 月 20 日 WSUS は非推奨に Windows Server Update Services (WSUS) deprecation - Windows IT Pro Blog (microsoft.com)
ナガシヨミ Microsoft 365 Windows Server Update Services (WSUS) 概要 END 2024 年 9 月 タクヤ オータ アイコン アイコン 自動的に生成された説 明 自動的に生成された説 明