Windows Server Update Services を使用した更新プログラムの展開
ベスト プラクティス
ここでは、Windows Server Update Services (WSUS) を使用して更新プログラムを管理するためのベスト プラクティスについて説明します。
グループ ポリシーを使用して複数のコンピュータを更新する
ネットワーク内に Active Directory をセットアップしている場合、1 台または複数のコンピュータを 1 つのグループ ポリシー オブジェクト (GPO) に含めて、WSUS 設定を使用してその GPO を構成することで、それらのコンピュータを同時に構成できます。WSUS 設定のみを含む新しいグループ ポリシー オブジェクト (GPO) を作成することをお勧めします。この WSUS GPO を環境に適した Active Directory コンテナにリンクさせます。単純な環境では、1 つの WSUS GPO をドメインにリンクさせます。より複雑な環境では、複数の WSUS GPO を複数の組織単位 (OU) にリンクさせることができます。これにより、異なる WSUS ポリシー設定を異なる種類のコンピュータに適用できます。
重要 : [既定のドメイン] GPO または [既定のドメイン コントローラ] GPO は編集しないことをお勧めします。 |
通常、(Active Directory ネットワーク環境で) グループ ポリシーを使用して WSUS を構成する場合、1 日 1 回 WSUS サーバーに接続して更新プログラムをダウンロードするようクライアント コンピュータを設定します。既定では、これは 22 時間ごとですが、この後で説明するランダムな時間のずれが差し引かれます。そのときに、新しい更新プログラムに対して指定した、インストール、検出、削除などの承認操作がクライアント コンピュータで実行されます。
ただし、セキュリティの脅威を認識し、直ちにセキュリティの脅威からコンピュータを保護する場合は、もっと頻繁にコンピュータが WSUS サーバーに接続して、更新プログラムをダウンロードおよびインストールするようスケジュールを設定することをお勧めします。
グループポリシーを使用してコンピュータを更新する方法と時期を指定するには
1. | グループ ポリシー オブジェクト エディタで、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント] の順に展開し、[Windows Update] をクリックします。 |
2. | グループ ポリシー オブジェクト エディタの詳細ペインで、適切なポリシーを構成します。設定することが考えられるポリシーの例については、次の表を参照してください。 |
自動更新動作を構成するためのポリシー
| ポリシー | 説明 | ||||||||
自動更新を構成する | この設定を有効にすると、コンピュータが自動更新を使用して 1 台のコンピュータまたはコンピュータ グループで更新プログラムを受信できるようになります。この設定を完了するには、次の 4 つのオプションのいずれかを選択する必要があります。
| ||||||||
スケジュールされた自動更新インストールに対しては自動再起動しない | スケジュールされたインストールを完了するため、コンピュータを自動的に再起動するのではなく、ログオンしているユーザーがコンピュータを再起動するのを自動更新が待つように指定します。 | ||||||||
自動更新の検出頻度 | コンピュータが WSUS サーバーに接続する頻度を構成します。接続間の正確な時間は、実際にはここで指定した時間から、指定した時間の 0 〜 20 % を差し引いた時間になります。たとえば、このポリシーを使用して 20 時間の接続頻度を指定する場合、このポリシーが適用されるすべてのクライアント コンピュータでは 16 〜 20 時間の間に更新プログラムが確認されます。このポリシーを [無効] または [未構成] に設定しておくと、Windows は既定の 22 時間間隔で利用可能な更新プログラムを確認します。 | ||||||||
自動更新を直ちにインストールすることを許可する | Windows サービスの中断や Windows の再起動が不要な特定の更新プログラムを、自動更新で自動的にインストールするかどうかを指定します。 |
新しく構成したポリシーが有効になるまで数分かかります。グループ ポリシーの更新後、クライアント コンピュータに新しい設定が適用されるまで約 20 分かかります。既定では、コンピュータのグループ ポリシーは、0 〜 30 分のランダムな時間のずれはありますが、バックグラウンドで 90 分ごとに更新されます。グループ ポリシーをもっと短い時間で更新する場合は、クライアント コンピュータのコマンド プロンプトで、「gpupdate /force」と入力します。
グループ ポリシーの詳細については、「グループ ポリシー」(http://go.microsoft.com/fwlink/?LinkID=14232) を参照してください。Active Directory および Active Directory 以外のネットワーク環境でクライアント コンピュータをセットアップおよび構成するオプションの詳細については、「Microsoft Windows Server Update Services 展開ガイド」を参照してください。
生産性が低下する可能性がほとんどない時間帯に更新プログラムのインストールをスケジュールする
コンピュータ (WSUS サーバーを含む) の更新プロセスを管理する際の主な目標の 1 つに、生産性を低下する可能性がほとんどないときに、計画的なダウンタイムを発生させることがあります。以下は、これを実行する際の提案事項です。
| • | WSUS サーバーや特定のコンピュータを効率的に更新するには、WSUS サーバーやコンピュータを独自のコンピュータ グループに配置し、WSUS サーバーやコンピュータがダウンしてもかまわない時刻 (日曜日の午前 3 時など) に期日を設定して、そのグループに展開します。 |
| • | 未来の期日を使用して更新プログラムを展開します。たとえば、短時間オフラインになってもかまわない時刻 (日曜日の午前 3 時など) にスケジュールされたインストールを行うよう WSUS サーバーやコンピュータを設定します。 |
| • | 再起動が必要でない更新プログラムを直ちにインストールするように、グループ ポリシーを使用してクライアント コンピュータや WSUS サーバーを構成します (更新プログラムのインストールを承認する前に、更新プログラムのプロパティの [説明] フィールドを読んで、更新プログラムでコンピュータを再起動する必要があるかどうかを判断できます。WSUS コンソールの [更新プログラム] ページの更新プログラムの一覧で、該当する更新プログラムを選択すると、そのプロパティを表示できます)。コンピュータの再起動を必要としない更新プログラムがあれば直ちにインストールするポリシーを有効にして、毎日更新プログラムがインストールされるようにします。これにより、インストールする準備ができたときに、サービスを中断しない更新プログラムをインストールできます (つまり、日曜日の朝にインストールするようにスケジュールする必要はありません)。このポリシーのタイトルは、[自動更新を直ちにインストールすることを許可する] です (詳細については、前半に記載した表を参照してください)。 |
更新プログラムのインストール後にサーバーの再起動が必要な場合に最大限の制御を行えるように、グループ ポリシーを [更新を自動的にダウンロードして、インストールの準備ができたら通知する] に設定し、更新プログラムを承認してインストールし必要に応じてコンピュータを再起動できるスクリプトを作成する
更新プログラムによっては、インストール後にコンピュータの再起動が必要になります (既定では、インストール後の再起動には 5 分かかります)。このような更新プログラムをインストールした後サーバーを再起動しないと、サーバーが危険にさらされます。ただし、ネットワークの構成によっては、ネットワーク上の他の多くのリソースが 1 台のサーバーに依存していることがあるので、サーバーを自動的に再起動することが危険な場合もあります。この場合、サーバーを自動再起動するようにスケジュールすることは適していない可能性があります。
コンピュータが再起動されるときに構成可能なグループ ポリシーの組み合わせがあります。ただし、サーバーについて説明するとき、これらのポリシーには制御するいくつかの制限があります。
| • | スケジュールされた自動更新に対しては自動再起動しない : このポリシーは、サーバーを自動適に再起動しないようにして、手動再起動を有効にします。ただし、サーバーにログオンしてから再起動を開始する必要があります。これは、サーバーが普段から無人で実行されている場合は、現実的でないと考えられます。 |
| • | スケジュールされたインストールの再起動を遅らせる : このポリシーは、更新プログラムがインストールされてからコンピュータが再起動されるまでの時間を遅らせることができます。ただし、ここで設定できる最大時間は 30 分です。 |
問題がある場合は、次の手順を実行することを検討してください。
1. | グループ ポリシーを使用して、更新プログラムの自動ダウンロードと手動インストールを構成します。この操作を行うには、[更新を自動的にダウンロードして、インストールの準備ができたら通知する] オプションを選択して [自動更新を構成する] グループ ポリシー設定を有効にします。 |
2. | 更新プログラムをインストールしてサーバーを再起動する動作を自動化するスクリプトを作成します。このスクリプトには、すべての操作を開始するときに押す "ボタン" のような効果があります。そのため、スクリプトを実行すると、更新プログラムがインストールされサーバーが再起動されます。この操作は最適なタイミングで行うことができます。自動更新タスク (サーバーやクライアント コンピュータに更新プログラムをダウンロードしてインストールするなど) を自動化するスクリプトの作成の詳細については、Windows Update エージェント ソフトウェア開発キット (英語) を参照してください。 |