Q

パソコンへ適用する修正プログラム(パッチ)を一括管理するため,Software Update Services(SUS)の導入を検討しています。現在,動作を検証しているのですが,SUSサーバーからWindowsクライアントへパッチがなかなかダウンロードされず,実際に適用されるまでのプロセス検証が進みません。どのようにすれば,すぐにパッチをダウンロードさせられるのでしょうか?

A

SUSによるパッチ配布のソリューションは,クライアントが主導してサーバーに内容を問い合わせるプル型のアーキテクチャを採用しています。残念ながら,サーバーからパッチを強制的に配布することはできません。

自動更新は1日に1回強の頻度で動作
 Windowsに実装されている最新の自動更新クライアントは,マイクロソフトが「自動更新2.2」と呼んでいるバージョンです。Windows 2000以降のOSに対し,一定以上のサービス・パックを適用した環境に実装されており,サービスの名前としては「Automatic Update」になります。

 この自動更新クライアントは通常,Windows Updateサイトに対しておよそ17~22時間に1回の頻度で更新状況を問い合わせます。社内にSUSサーバーを導入した場合でも,自動更新クライアントのアクセス先が変わるだけで,この問い合わせを実行する間隔は変わりません。

 つまり,新しい更新が公開されても実際にダウンロードされるまで最大で約1日の待機時間が発生します。この待機時間を短縮したい場合は,レジストリの設定を変更します。


△ 図をクリックすると拡大されます
図1●SUSクライアントをすぐに動作させたい場合はレジストリを編集する

 レジストリ・エディタからHKEY_LOCAL_MACHINE\Software
\Microsoft\Windows
\CurrentVersion\WindowsUpdate
\Auto Updateというレジストリに設定されている[AUState]という値のデータをDWORD値の「2」に変更するとともに,[LastWait-Timeout]という値を削除します(図1)。設定したデータではなく,値そのものを削除することに注意してください。その後,Automatic Updateサービスを再起動すれば,SUSサーバーに対し最新パッチの確認を実行します。

 ただし,この方法は設定した直後の1回のみ有効です。設定をすれば,それ以後は常に最新の状況を確認してくれるというわけではないので注意してください。条件を変えながらテストする場合には,この設定を何度も繰り返さなければなりません。

 実際に新しいパッチのダウンロードが実施されているかどうかについては,クライアント側のWindows Updateのログや,サーバー側のIISログを確認するとよいでしょう。確認方法やログの内容については,各種Webサイトなどの情報をご確認ください。

 なお,Windows XPやWindows Server 2003がクライアントとして動作している場合はログに「Error 0x80190194」というエラーが記録されるようです。これは,現在のSUSがドライバの更新をサポートしていないためで,SUSで提供している各種機能を妨げるものではありません。

グループ・ポリシーはSUSには無効


△ 図をクリックすると拡大されます
図2●Windows XP Service Pack 2では自動更新の実行間隔を設定できる
 Windows XP Service Pack 2(SP2)では,グループ・ポリシーに更新頻度を指定するオプションが追加されています(図2)。しかし,SUSクライアントで試してみたところ,このグループ・ポリシーの設定は残念ながらWindows Updateサイトにアクセスする場合にのみ有効で,SUSサーバーに対しては無効のようです。

 これはWindows Updateのバージョンの違いが原因のようです。ログを見ている限り,XP SP2のグループ・ポリシーで設定した更新間隔は,Windows Update Version 5にのみ有効です。SUSを使った環境はWindows Update Version 4相当で動作しているため,このグループ・ポリシーで設定しても有効にならないようです。SUSの次期版であるWindows Update ServicesではWindows Updateのバージョンは5を使用する予定ですので,その時点では利用可能なオプションとなるでしょう。

山岸 真人