- HOME
- >> コラム
- >> ウイルスからPCを守る
第4回
組織内でパッチを配布する「WSUS」(後編)
前回に続いてマイクロソフトが無償で提供しているパッチ配布サーバー「Windows Server Update Services(WSUS)」をとりあげる。前回まででWSUSのインストールが終了したので。実際に運用する方法をSUSとの違いを中心に紹介する。
中田 敦(日経Windowsプロ)
2005年9月30日
5つのメニューから簡単に操作できる
図4:WSUSの起動
スタート・メニューの[管理ツール]から[Microsoft Windows Server Update Services]を選択して実行する。
【クリックで拡大】
図5:WSUSのシステム概要
W画面上に(1)ホーム,(2)更新プログラム,(3)レポート,(4)コンピュータ,(5)オプション――という5つのメニューがある。画面下には,現在の状況が一覧できる。
【クリックで拡大】
ここからは具体的な運用にあたっての操作方法をSUSとの違いを押さえながら解説していこう。
インストールが完了すると,Internet Information Services(IIS)にWSUS用のサイトが組み込まれる。このサイトはスタート・メニューの[管理ツール]-[Microsoft Windows Server Update Services]を起動してたどれる(図4)。
また,Internet Explorerからhttp://<hostname>/WSUSAdmin/へアクセスしてもよい。この管理サイトへアクセスした際は,アカウントの入力が求められるので,管理者権限を持ったアカウントを入力する必要がある。
パッチ・リストを同期する
現在提供されているパッチ(更新プログラム)のリストを取得するときは,WSUSとMicrosoft Updateサイトとでパッチ・リストの同期を行う。この操作はオプション・メニューから呼び出された[同期のオプション]画面にて行う(図6-1)。とにかく実際に使ってみたい場合は,左側ペインに表示されている[タスク]から[今すぐ同期]を選べばよい。なお,インターネットの閲覧にプロキシ・サーバーが必要な場合は,画面の右側ペイン中央にある,プロキシ・サーバーの設定を行う必要があることに注意してほしい。
まずはこれにより,SUSとほぼ同様の同期リストがダウンロードされる。ダウンロードの状態はホーム・メニューの右側ペインに表示されるため,状況の確認が必要な場合はその画面を開くことをお勧めする。
実際に運用する場合には,若干決定しなければならない項目がある。具体的には次の通りである。
・同期のスケジュール
・同期する製品およびパッチの選択
・同期時に使用するプロキシ・サーバーの設定
・同期先サーバーの指定
・パッチの保存先
・管理するクライアント端末の言語
それぞれの項目について,順番に説明しよう。同期のスケジュールでは,手動で同期するか,自動で同期するのかが指定できる。自動で同期する場合は,毎日何時に同期する,といったスケジュールを組める。通常は夜間のネットワーク・トラフィックの少ない時間帯でかつ,サーバーのバックアップやウイルス検索などの時間を避けてスケジュールするとよいだろう。
図6:同期の設定
WSUSがMicrosoft Updateと同期を取るための設定画面。[オプション]メニュー画面の中から(1)[同期のオプション]画面に行く。
【クリックで拡大】
パッチのリストは,製品とクラスの2つによって分類されている(図6-1)。「製品」では現在のところWindows 2000やWindows XPといったOSの種類が選べる。OfficeやSQL Serverなどが製品として追加されていれば,同期のオプションとして選択できる。「クラス」では,例えばサービス・パックやセキュリティ・パッチ,ドライバや[重要な更新],といった更新プログラムの種別を選べる。これがWSUSによって大幅に強化された機能の1つである。このオプションにより,Windows Updateサイトでは提供されていたが,SUSではサポートされなかった各種のパッチを選択できるようになった。
ファイルをダウンロードせず,リストだけを取得する場合は,これらのすべての項目についてリストを同期してもよいだろう。あるいは,同期時にプログラムのダウンロードも行う場合は,ここである程度項目を絞る必要があるかもしれない。
プロキシ・サーバーについては,現在ネットワーク内でプロキシ・サーバーを指定しているのなら,そのアドレスを指定すればよい。また,更新元,すなわち同期先サーバーについては,インストール時に正しく指定していれば,ここでの設定変更は特に必要ない。
更新ファイルと更新言語では,同期時に取得したリストに基づき,あらかじめパッチをダウンロードするのか,またはパッチを保存しないのか,高速インストール・ファイルと呼ばれる差分で構成されたファイルを追加でダウンロードするのか,といった同期時の動作条件を設定できる。
また,ダウンロードする言語ファイルについてもあらかじめ指定できる。通常はデフォルトの設定でかまわないが,同期先サーバーも社内のWSUSサーバーであったり,管理するクライアントが限定されたりするならば,最適な設定を模索する必要があるかもしれない。
これらの設定は,レポートとして表示することもできる。この機能を使用するには,レポート・メニューから設定の概要を選択する。この操作によって,様々なサーバーの設定が一目で確認でき,それを印刷することもできる(図6-2)。
クライアントのグループを構成する
同期されたパッチのリストをダウンロードしても,パッチはそのままではクライアントには適用されない。適用するには,特定のグループを構成し,パッチの適用をそのグループに対して許可する必要がある。
図7:クライアントのグループ分けの設定
WSUSの[コンピュータ]メニュー画面から[コンピュータグループの作成]をクリックし,現れた画面でグループ名を入力する。
【クリックで拡大】
図8:コンピュータのグループ化をグループ・ポリシーで設定する
図3-1で[クライアント側のターゲットを有効にする]をダブル・クリックすると(1)プロパティ画面が現れる。ここで[有効]を選択し,先ほど作ったコンピュータ・グループ名を指定する。
【クリックで拡大】
グループの操作をする場合は,[コンピュータ]メニューを選択すればよい。画面左側ペインを見ると,既定では[すべてのコンピュータ]および[割り当てられていないコンピュータ]の2つのグループが存在している(図7-1)。
グループの作成を行うには,[コンピュータグループの作成]をクリックする。この操作により,ダイアログ・ボックスが表示され,グループ名を入力できる(図7-2)。ここでは「Windows XP Client Group」と入力した。
さて,グループを作成したら,そのグループに所属するクライアントを設定する必要がある。この場合,所属するクライアントを画面の右側ペインより選択し,[選択したコンピュータの移動]をクリックする(図7-3)。
ダイアログ画面が表示され,所属するグループを選択して,[OK]ボタンをクリックすると(図7-4),このグループにマシンが登録される(図7-5)。
一連の操作は,グループ・ポリシーによっても設定が可能である。前編(第3回)図3-1のグループ・ポリシー・オブジェクト・エディタの右側ペインで,[クライアント側のターゲットを有効にする]をダブル・クリックすると,そのプロパティ画面が現れて設定できる(図8-1)。
この方法であれば,Active Directoryドメインに参加しているクライアントをグループ・ポリシー・オブジェクトから一括管理できるので,お薦めしたい。なお,この設定を有効にするには,[オプション]メニューから[コンピュータのオプション]を選択し,[コンピュータのグループポリシーまたはレジストリを使用する]という項目を,クリックしておく必要がある(図8-2)。
また,WSUS側で対象のグループを作成しておく必要もある。ただし,「コンピュータのオプション」を設定したタイミングで,手動で設定したグループ情報は一度破棄されるので注意が必要だ。
この連載のバックナンバー
- 組織内でパッチを配布する「WSUS」(後編) (2005/09/30)
- 組織内でパッチを配布する「WSUS」(前編) (2005/09/29)
- Windowsマシンのぜい弱性をチェックする「MBSA」 (2005/09/28)
- MSの新パッチ適用サービスの概要とMicrosoft Update (2005/09/27)
