■「Windows Server Update Services(WSUS)」は,中小規模企業に向けた組織内でパッチを配布するためのツールである。従来の「Software Update Services(SUS)」と比較して,Windows以外のマイクロソフト製品のパッチ配布に対応,配布先をグループに分けて異なる適用ルールを使い分ける——など展開の自由度に特徴がある。このWSUSを2回に分けて紹介する。今回は,WSUSの概要とインストールまでを紹介する。
掲載した記事を,編集/再構成したものです。
[概要]
SUSに比べて
展開自由度が高まった
今やシステムをインストールしたての状態で,使い続けることはあり得ない。Windowsでは毎月のようにセキュリティ・パッチが発表され,それを適用し続けなければ,Blasterのようなワームに攻撃の隙を与えてしまう。Officeソフトなどのクライアント向けアプリケーションや,SQL Serverなどのサーバー・アプリケーションも事情は同じである。
マイクロソフトは「Windows Update」や「Office Update」など,インターネット経由で修正プログラムを適用するサービスを運営している。ユーザーは,これらのWebサイトにアクセスして,必要なパッチがどれなのか検出させ,適宜パッチを当てることになっている。
システム規模が小さい場合は,このようにユーザー各自がWindows Updateサイトへアクセスして,パッチを当てればよかった。ところが,システム規模が大きくなると,様々な問題が表面化してくる。
まず,すべてのクライアント・マシンが一斉にマイクロソフトのWebサイトにアクセスし始めると,企業内システムからインターネットへのゲートウエイがパンクすることがある。これに対処するためネットワークを流れるデータ量(トラフィック)を制限する必要が出てくる。
次に,パッチの内容によっては,全コンピュータが即座に適用すべきものと,社内システムとの相性により適用を避けた方がいいものに分かれる。そうなると,適用する/しないの判断はシステム管理者が行う必要が出てくる。
このように,システム規模が大きくなってくると,システム管理者がパッチ適用を集中管理する必要がある。
マイクロソフトはこのニーズにこたえるため,無償ツール「Software Update Services(SUS)」と,有償製品「Systems Management Server(SMS)2003」を用意している。このうち無償ツールSUSは,「Windows Server Update Services(WSUS)」としてバージョンアップされ,2005年6月に提供開始された。WSUSは,SUSに比べて大幅に機能強化され,システム展開の自由度が高くなり,よりパッチを配布しやすくなった。これに合わせて,Windows UpdateもMicrosoft Updateに切り替わり,Windows以外のマイクロソフト製品のパッチ管理までできるようになる。
この特集では,大きく様変わりしたWSUSに関して(1)概要,(2)構築方法,(3)運用方法——の順に解説していく。なお,WSUSではセキュリティ修正プログラム,バグ修正プログラム,サービス・パック,ツールなど様々な「更新プログラム」を扱えるが,記事中では「パッチ」と総称する。
大幅強化で本格利用に向く
最初にWSUSとSUSの共通点を見ていこう。どちらもWindows Serverの追加コンポーネントという位置付けで,無償でダウンロードできる(該当サイト)。また,基本的なシステム構成が同じである。どちらもパッチのダウンロードはマイクロソフトのWebサイトから行い,イントラネット内のWSUS/SUSサーバーに蓄積する。そして,クライアントがWSUS/SUSサーバーにアクセスすることで,パッチの配布とインストールを行う。これによりネットワーク負荷の増大を防ぎ,パッチの集中管理を行う。
△ 図をクリックすると拡大されます
|
|
図1●WSUSのシステム概要
|
第1に,アクセス先がWindows Updateではなく,Microsoft Updateに変わった。Microsoft Updateの特徴は,(1)対象製品がWindows 2000/XP,Windows Server 2003(同95/98/Me/NTは対象外)に加えて,Office XP/2003,SQL Server 2000/Exchange Serverなどの製品にも広がったこと,(2)適用するパッチが従来「重要な更新」とサービス・パックのみから,フィーチャー・パック,ツール,ドライバ,開発キット,通常の更新などに拡大したこと。これらの特徴は,そのままWSUSにも生かされている。
第2に,パッチの適用時刻が柔軟に設定できるようになった。SUSではクライアントのダウンロード・タイミングがおよそ17~22時間ごとで,ユーザーによる変更はできなかった。
第3に,パッチの配布先をグループ分けできるようになった。従来SUSは,1サーバーに1配布ルールであった。グループ分けによって,グループごとに配布の可否を選別したり,時刻をずらして適用したりできる。
第4に,WSUSサーバーとMicrosoft Updateサイトとの同期の意味が変わった。WSUSの同期は,パッチのリストだが,更新されるだけで,パッチのファイルをダウンロードするのは後回しにされる。デフォルト設定のダウンロードは,配布が許可された後だ。これによりトラフィックやディスク消費量の軽減が図れる。
第5に,WSUSサーバー同士の階層構造をサポートするようになった。本社に親WSUSサーバーを構築し,各支社にある子WSUSサーバーへ更新リストやパッチの配布を行うなど,柔軟な構成も可能である。このときにオフラインのWSUSサーバーに対して,CD-Rなどのメディアによる同期も行える。
第6に,詳細なレポート機能が搭載された。従来のSUSではログ・ファイルを分析したり,MBSA(Microsoft Baseline Security Analyzer)を使ってパッチの適用状況を把握するしかなかった。WSUSではMSDE(Microsoft Data Engine)やSQL Serverを併用することで,独自にデータベースを管理できるようになった。
これ以外にもWSUSには様々な機能強化が加えられており,企業システムに本格的に使えるものになって,魅力的なツールになった。
SMSとは棲み分ける
機能強化されたWSUSがあれば,マイクロソフトのパッチ管理製品SMS 2003は不要になるのかというと,そうではない。次にSMS 2003とWSUSの機能を比べてみよう。
SMS 2003はコンピュータの構成(インベントリ)管理を行うサーバー・アプリケーションである。そのためクライアント管理機能を数多く搭載している。
主要機能を大きく分けると(1)構成情報の収集,(2)高度なレポート機能,(3)リモート操作によるエンドユーザー・サポートの効率化,(4)ソフトウエアやパッチの配布——という4つの特徴を持つ。
これらの機能のうち,(1)構成情報の収集,(2)レポート機能に関しては,WSUSよりも詳しい情報が得られる。SMSが持つ構成情報は,クライアント端末のBIOS情報やハードディスクのコントローラ情報といったハードウエア情報から,適用済みのパッチ情報やインストール済みのアプリケーション情報といったソフトウエア情報まで,多岐にわたる。
それに比べ,WSUSで収集できる構成情報は,クライアント・コンピュータのホスト名,IPアドレス,OSバージョン,言語情報などの簡易情報のみである。リモート操作については,WSUS単体ではもちろん行えない。
パッチ管理機能についてSMS 2003ではさらに,Microsoft Updateで対応できないソフトウエアについても対応が可能である。修正プログラムの配布方法や適用状態を把握する機能も充実しており,クライアントに対する細かいケアが可能となる。
コストに関しては,無償のWSUSに軍配が上がる。ただし,環境によりSQL Serverのライセンスが必要になる。
小中規模程度のノード管理環境ではWSUSを使い,大規模環境ではSMS 2003を使うというように,規模に応じて使い分けるほうが,効率がいい。大規模なクライアント管理を行う場合,使いやすさのWSUSと細部に手が届くSMS 2003を連携させるソリューションもある。
