Q


△ 図をクリックすると拡大されます
図1●Software Update Services(SUS)では,「AUState」や「LastWaitTimeout」といったレジストリ・キーの設定を変更すれば対処できた
組織内に存在するコンピュータのセキュリティ・パッチなどを集中管理するため,マイクロソフトが提供しているWindows Server Update Services(WSUS)の導入を検討しています。導入に先立って適用テストを実施したいと考えていましたが,WSUSサーバーにパッチを追加して数日たたないとクライアントにダウンロードされず,テストがなかなか進みません。

 ちなみにWSUSの前バージョンSoftware Update Services(SUS)では,2005年2月号p.83のトラブル解決Q&A(既出)にあるように,「AUState」や「LastWaitTimeout」といったレジストリ・キーの設定を変更すれば対処できました(図1)。それと同じ設定はWSUS環境ではうまく機能しません。どうすればパッチがすぐにダウンロードされるのでしょうか。

A

WSUSは2005年6月にマイクロソフトが提供を開始したパッチ管理システムです。同時期にWindows UpdateやOffice Updateなどのパッチ適用サービスが大幅に変更されています。そのため,SUSの後継であるWSUSも様々な部分で挙動や設定項目が変更されているようです。いずれのパッチ適用システムも仕組みは,クライアントがサーバーからパッチなどをダウンロードするプル型で実装されています。そのため,今回のようなパッチ適用に関する動作はクライアント・コンポーネントの仕組みに大きく依存します。つまり,SUSの設定がうまく機能しない事象はWSUSが用いるクライアント・コンポーネントに変更が加えられたために発生します。

クライアント側が2つのモードで動作
 最新のWindows Updateのクライアントでは「Automatic Updates」サービスが稼働しています。このサービスの背後ではWindows Update Agent(WUA)というコンポーネントが動作しています。


△ 図をクリックすると拡大されます
図2●WSUS環境ではクライアント・コンポーネントが2つのモードで動作する
 このコンポーネントは,SUSサーバーに接続するときは,以前と同様にSUS互換モード,すなわちWindows Update Version 4(WUv4)モードで動作します。一方,WSUSサーバーに接続した場合,このコンポーネントはWSUSに対応した仕様であるWindows Update Version 6(WUv6)モードで動作するようになります(図2)。

 SUSでパッチなどをすぐダウンロードするときの対応方法として提供されていた,「AUState」や「LastWaitTimeout」といったレジストリ・キーは,WUv4モードでは有効ですが,それ以外では使用できません。そのため,WSUSサーバーに接続する場合はもちろん,Windows Update Version 5/6サイト,Microsoft Updateサイトなどの利用においても別の方法で対応する必要があります。

グループ・ポリシーに設定がある
 次にWSUSでパッチなどをすぐダウンロードする設定について説明します。

 WUv6モードで動作するWUAに対しては,Windows XP Service Pack 2以降で提供される,様々なグループ・ポリシーが利用可能です。

 項目の一覧は,グループ・ポリシーの編集ツールのウインドウの左側のツリーの[コンピュータの構成]−[管理用テンプレート]−[Windowsコンポーネント]−[Windows Update]にあります。

 サーバーに導入したパッチなどをすぐダウンロードするタイミングは,この中の[自動更新の検出頻度]というポリシーで調整します。これによりWUv6モードのWUAが,WSUSを含めたUpdate Servicesサーバーから情報を収集する間隔を指定することができます。

 デフォルトでは「22時間」ですが,実際にはこれより20%早い時間から設定時間までの間で,ランダムに実行されます。WUAはこの間隔で更新プログラムの状態をサーバーに確認しにいきます。


△ 図をクリックすると拡大されます
図3●WUv6モードで動作するWUAはグループ・ポリシーで設定する
 ご質問のケースでも,この設定を変えてパッチなどのダウンロード開始までの間隔を短くできます。設定可能な最短の値は1時間なので,48分~1時間の間隔で確認可能になります(図3)。

 Windows 2000など以前のバージョンのOSからもこの項目の設定は可能です。最新のWindowsに含まれる%systemroot%\inf\wuau.admファイルを以前のバージョンのOSへコピーし,グループ・ポリシー・オブジェクト・エディタに読み込ませてください。新しいポリシーをWindows 2000 Service Pack 4の環境でも有効にできるようになります。


NTTデータ先端技術 SE部アシスタント