WSUS(Windows Server Update Services)とは、Microsoftが無償で提供する更新プログラムを配信するためのソフトウェアです。WSUSは、更新プログラムの適用漏れによるバグやぜい弱性を防ぐだけでなく、パソコン(PC)やサーバーが直接Microsoft Updateサーバーにアクセスすることによるインターネット回線のひっ迫回避、各PCの更新プログラム適用状況のレポートへのアウトプットなども行います。
本記事では、WSUSの概要やメリットのほかに、利用するための前提条件および導入手順を紹介します。
WSUSとは
WSUSが利用される理由(メリット)
WSUSのデメリット
WSUSを利用するには
WSUSを利用して効率的なPC管理を目指そう
WSUSとは、Microsoft Updateサーバーから更新プログラムをダウンロードしてWSUSサーバーへ保存するソフトウェアです。配信前にシステムへの影響を確認するため、テスト運用として更新プログラムを適用するパイロットグループを作成し、検証後に各PCに本配信するという方法も可能です。
WSUSを利用することで、エンドユーザーのPCやサーバーがMicrosoft Updateサーバーに直接アクセスすることなく、更新プログラムを取得、適用できます。WSUSサーバーが代表して、Microsoft Updateサーバーからダウンロードした更新プログラムを各PCへ配信するため、PCやサーバーが一斉にMicrosoft Updateサーバーへアクセスすることで起きるインターネットトラフィックの圧迫を避けられるのです。
特に何十、何百に及ぶ多くのクライアントPCやサーバーを運用する場合は、WSUSの利用は非常に有効です。また、更新プログラムを漏れなく配信するための適用の有無の確認のほか、適用タイミングのコントロールもできます。
また、グループポリシーとリンクし、特定のグループのみへ配信するという運用もできます。WSUSの使用により、自社のポリシーに従ってMicrosoftの更新プログラムを適切なタイミングで配信できるというメリットがあります。
WSUSを利用するデメリットは、Active Directoryやサーバー管理の知識をもつ人員が必要になることです。更新プログラムはActive Directoryのグループポリシー単位で適用するため、高度な設計スキルが必要になります。社内で運用する業務アプリケーションへの影響を考慮したテストグループも含めた、グループ設計が求められるといえます。
グループポリシーで更新プログラムが適用されない場合のトラブルシューティング、またActive Directory 管理範囲外のPCへの適用をするための対応も必要になります。
WSUSを利用するためには、以下のハードウェア要件を満たす必要があります。
| プロセッサ | 1.4GHzのx64プロセッサ(2GHz以上推奨) |
|---|---|
| メモリ | 2GB以上を推奨(WSUSのみに必要な領域) |
| ディスク容量 | 40GB以上を推奨 |
| ネットワーク | 100Mbps以上(1GBを推奨) |
WSUSは、Active Directoryと連携して使用することを前提としているため、上記のハードウェア要件を満たすWSUSサーバーのほかに、Active Directoryサーバーが必要になります。サーバーを運用するためには、WSUSやActive Directoryに関する知識やスキルを持つ人員が求められます。
クライアントPCがWSUSからの更新プログラムを受信するためには、Active Directoryに参加している必要があり、Windows Update、イントラネットのMicrosoft更新サービスのアドレスとして、WSUSサーバーが指定されていなければなりません。
上記に示した環境や体制を整備したうえで、WSUSを導入するために、以下の手順を実行します。今回はサーバーマネージャーを使用してWSUSの役割をインストールする方法を紹介します。
サーバーマネージャーの「役割と機能の追加ウィザード」で、インストール種類の選択から「役割ベースまたは機能ベースのインストール」を選択し、「次へ」をクリックします。次の「対象サーバーの選択」では、WSUSサーバーを「インストールするサーバー」として選択し、「次へ」をクリックします。
「サーバーの役割の選択」メニュー配下の「サーバーの役割」をクリックし、右側ウインドウ内の「役割」メニュー配下の「Windows Server Update Services」にチェックを入れ、「次へ」をクリックします。
「役割と機能の追加ウィザード」の画面で「機能の追加」をクリックすると、「サーバーの役割の選択」の画面に戻ります。戻った画面で「次へ」をクリックします。
「機能の選択」の画面では、何も選択せずに「次へ」をクリックします。
次の「Webサーバーの役割」「役割サービスの選択」「Windows Server Update Services」の画面でも「次へ」をクリックして進みます。
「コンテンツの場所の選択」の画面で、更新プログラムを保存する任意の場所を指定して、「次へ」をクリックします。
「インストールオプションの確認」画面で最終確認が行われます。確認し、「インストール」をクリックします。「インストールの進行状況」の画面で「完了後インストール後のタスクを起動する」をクリックし、「構成が正常に完了しました」と表示されたことを確認できたら、「閉じる」をクリックし、インストールを完了します。
1. サーバーマネージャーの上部メニューの「ツール」メニューの中の「Windows Server Update Services」をクリックします。
2. 「はじめに」の画面が表示されるので「次へ」をクリックします。
「Microsoft Update品質向上プログラムにご参加ください」の画面で、チェックボックスに任意でチェックを入れ「次へ」をクリックします。
3. 「アップストリームサーバーの選択」の画面で「Microsoft Updateから同期する」にチェックが入っていることを確認し「次へ」をクリックして進みます。
プロキシサーバーを経由する場合は、プロキシサーバーの設定を入力し、「次へ」で進みます。
4. 次の画面で「接続の開始」をクリックし、アップストリームサーバーへの接続を行います。
5. 接続完了後、「次へ」で進み、ダウンロードする更新プログラムの言語設定と更新プログラムの対象製品の選択を行い、次の画面では更新プログラムの「分類」として既定の「セキュリティ問題の修正プログラム」「重要な更新」「定義更新プログラム」にチェックが入っていることを確認し、「次へ」をクリックして進みます。
なお、「分類」では必要なものだけを選択することが推奨されています。
6.「同期スケジュールの設定」の画面で、「手動で同期する」もしくは「自動で同期する」のどちらかを選択し、「自動で同期する」を選択した場合は更新プログラムをダウンロードする時間を指定して、「次へ」をクリックします。ここでは、通常はネットワークの負荷が低い時間帯を指定します。
7.「終了」の画面で、「初期同期を開始します」にチェックを入れて「次へ」で進むと、「完了」が表示されるため、クリックして完了します。
WSUSのダッシュボード画面に移り、更新プログラムの同期状況が確認できます。
グループポリシーエディターを起動して、コンピューターの構成>管理用テンプレート>Windowsコンポーネントツリー配下の「Windows Update」を選択し、表示された右側の設定メニュー配下から「イントラネットのMicrosoft更新サービスの場所を指定する」をダブルクリックします。
設定値から「有効」を選択し、「更新を検出するためのイントラネットの更新サービスを設定する」および「イントラネット統計サーバーの設定」に、WSUSサーバーのパスを指定します。
ユーザの構成>管理用テンプレート>Windows コンポーネント配下の、Windows Update以下の「Windows Updateのすべての機能へのアクセスを削除する」を有効にすることで、クライアントPC自身が行う更新プログラムのアップデートを無効にできます。
WSUSを利用することで「更新プログラムを漏れなく適用し、PCを最新の状態に保ち、セキュリティーホールやバグによる不具合を防げる」「更新プログラムの適用状況の把握ができる」というメリットが得られ、PCの管理を一元化できます。しかし、運用するためにはActive Directoryやグループポリシー設計についての知識やスキルが必要になり、また更新プログラムを配信する前にテストが必要になる場合があります。
WSUSの導入が困難と感じた場合は、OSやそのほかのソフトウェアのライセンス管理、およびハードウェアの一元管理を行うIT資産管理ツール(システム)を導入するほかに、アウトソーシングするという選択肢もあります。
※本記事は、2023年3月時点の情報をもとに作成しています。Microsoft社の方針によっては、変更が生じる場合があります。
