「MSの新パッチ適用サービスでウイルスからPCを守る」（第4回）

組織内でパッチを配布する「WSUS」（後編）

NTTデータ先端技術

2005.09.29

■前回に続いてマイクロソフトが無償で提供しているパッチ配布サーバー「Windows Server Update Services（WSUS）」をとりあげる。前回まででWSUSのインストールが終了したので。実際に運用する方法をSUSとの違いを中心に紹介する。

本記事は「日経Windowsプロ」2005年6月号に
掲載した記事を，編集/再構成したものです。　　

［運用方法］
5つのメニューから簡単に操作できる

△　図をクリックすると拡大されます

図4●WSUSの起動

　ここからは具体的な運用にあたっての操作方法をSUSとの違いを押さえながら解説していこう。

　インストールが完了すると，Internet Information Services（IIS）にWSUS用のサイトが組み込まれる。このサイトはスタート・メニューの［管理ツール］−［Microsoft Windows Server Update Services］を起動してたどれる（図4）。

　また，Internet Explorerからhttp://＜hostname＞/WSUSAdmin/へアクセスしてもよい。この管理サイトへアクセスした際は，アカウントの入力が求められるので，管理者権限を持ったアカウントを入力する必要がある。

△　図をクリックすると拡大されます

図5●WSUSのメイン画面

　さて，実際にアクセスした際の画面を見てほしい（図5）。画面上部に（1）ホーム，（2）更新プログラム，（3）レポート，（4）コンピュータ，（5）オプション——といった5つのアイコンが表示されている。これらの機能について，実際の操作を主体として解説したい。

パッチ・リストを同期する
　現在提供されているパッチ（更新プログラム）のリストを取得するときは，WSUSとMicrosoft Updateサイトとでパッチ・リストの同期を行う。この操作はオプション・メニューから呼び出された［同期のオプション］画面にて行う（図6-1）。とにかく実際に使ってみたい場合は，左側ペインに表示されている［タスク］から［今すぐ同期］を選べばよい。なお，インターネットの閲覧にプロキシ・サーバーが必要な場合は，画面の右側ペイン中央にある，プロキシ・サーバーの設定を行う必要があることに注意してほしい。

　まずはこれにより，SUSとほぼ同様の同期リストがダウンロードされる。ダウンロードの状態はホーム・メニューの右側ペインに表示されるため，状況の確認が必要な場合はその画面を開くことをお勧めする。

　実際に運用する場合には，若干決定しなければならない項目がある。具体的には次の通りである。

・同期のスケジュール
・同期する製品およびパッチの選択
・同期時に使用するプロキシ・サーバーの設定
・同期先サーバーの指定
・パッチの保存先
・管理するクライアント端末の言語

　それぞれの項目について，順番に説明しよう。同期のスケジュールでは，手動で同期するか，自動で同期するのかが指定できる。自動で同期する場合は，毎日何時に同期する，といったスケジュールを組める。通常は夜間のネットワーク・トラフィックの少ない時間帯でかつ，サーバーのバックアップやウイルス検索などの時間を避けてスケジュールするとよいだろう。

△　図をクリックすると拡大されます

図6●同期の設定

　パッチのリストは，製品とクラスの2つによって分類されている（図6-1）。「製品」では現在のところWindows 2000やWindows XPといったOSの種類が選べる。OfficeやSQL Serverなどが製品として追加されていれば，同期のオプションとして選択できる。「クラス」では，例えばサービス・パックやセキュリティ・パッチ，ドライバや［重要な更新］，といった更新プログラムの種別を選べる。これがWSUSによって大幅に強化された機能の1つである。このオプションにより，Windows Updateサイトでは提供されていたが，SUSではサポートされなかった各種のパッチを選択できるようになった。

　ファイルをダウンロードせず，リストだけを取得する場合は，これらのすべての項目についてリストを同期してもよいだろう。あるいは，同期時にプログラムのダウンロードも行う場合は，ここである程度項目を絞る必要があるかもしれない。

　プロキシ・サーバーについては，現在ネットワーク内でプロキシ・サーバーを指定しているのなら，そのアドレスを指定すればよい。また，更新元，すなわち同期先サーバーについては，インストール時に正しく指定していれば，ここでの設定変更は特に必要ない。

　更新ファイルと更新言語では，同期時に取得したリストに基づき，あらかじめパッチをダウンロードするのか，またはパッチを保存しないのか，高速インストール・ファイルと呼ばれる差分で構成されたファイルを追加でダウンロードするのか，といった同期時の動作条件を設定できる。

　また，ダウンロードする言語ファイルについてもあらかじめ指定できる。通常はデフォルトの設定でかまわないが，同期先サーバーも社内のWSUSサーバーであったり，管理するクライアントが限定されたりするならば，最適な設定を模索する必要があるかもしれない。

　これらの設定は，レポートとして表示することもできる。この機能を使用するには，レポート・メニューから設定の概要を選択する。この操作によって，様々なサーバーの設定が一目で確認でき，それを印刷することもできる（図6-2）。

クライアントのグループを構成する
　同期されたパッチのリストをダウンロードしても，パッチはそのままではクライアントには適用されない。適用するには，特定のグループを構成し，パッチの適用をそのグループに対して許可する必要がある。

△　図をクリックすると拡大されます

図7●クライアントのグループ分けの設定

　グループの操作をする場合は，［コンピュータ］メニューを選択すればよい。画面左側ペインを見ると，既定では［すべてのコンピュータ］および［割り当てられていないコンピュータ］の2つのグループが存在している（図7-1）。

　グループの作成を行うには，［コンピュータグループの作成］をクリックする。この操作により，ダイアログ・ボックスが表示され，グループ名を入力できる（図7-2）。ここでは「Windows XP Client Group」と入力した。

　さて，グループを作成したら，そのグループに所属するクライアントを設定する必要がある。この場合，所属するクライアントを画面の右側ペインより選択し，［選択したコンピュータの移動］をクリックする（図7-3）。

　ダイアログ画面が表示され，所属するグループを選択して，［OK］ボタンをクリックすると（図7-4），このグループにマシンが登録される（図7-5）。

△　図をクリックすると拡大されます

図8●コンピュータのグループ化をグループ・ポリシーで設定する

　一連の操作は，グループ・ポリシーによっても設定が可能である。前編（第3回）図3-1のグループ・ポリシー・オブジェクト・エディタの右側ペインで，［クライアント側のターゲットを有効にする］をダブル・クリックすると，そのプロパティ画面が現れて設定できる（図8-1）。

　この方法であれば，Active Directoryドメインに参加しているクライアントをグループ・ポリシー・オブジェクトから一括管理できるので，お薦めしたい。なお，この設定を有効にするには，［オプション］メニューから［コンピュータのオプション］を選択し，［コンピュータのグループポリシーまたはレジストリを使用する］という項目を，クリックしておく必要がある（図8-2）。

　また，WSUS側で対象のグループを作成しておく必要もある。ただし，「コンピュータのオプション」を設定したタイミングで，手動で設定したグループ情報は一度破棄されるので注意が必要だ。