皆さま こんにちは。WSUS サポート チームです。
WSUS サーバーを長期的に運用していただいている管理者より、「レプリカ WSUS サーバーの同期がタイムアウトにて失敗する」 というお問い合わせをいただくことがあります。
レプリカとして構成されている WSUS サーバーは 自律の WSUS サーバーと異なり、承認情報は親 WSUS サーバーが保持しています。
親 WSUS サーバーで大量の「拒否済み」の更新プログラムがある状態で、レプリカの WSUS サーバーが同期を行うとタイムアウトが発生し、同期が失敗する可能性があることが判っています。
目安としましては、親 WSUS サーバーにて一度に約 1,000 件ほどの更新プログラムを手動で「拒否済み」に変更し、レプリカ WSUS サーバーで同期を行いますと、タイムアウト発生に至る場合があることを確認しております。同期の条件 (初回か2回目以降か等) や 性能面の条件 (データベースの状態、サーバー スペック、WSUS
サーバーの全体的な負荷等) によっても変動いたします。
また、多数の「拒否済み」データをレプリカ同期において取り扱えないという点は、WSUS サーバーの設計上の問題として認識しております。
「拒否済み」 の更新プログラムが大量にあることでレプリカの WSUS サーバーで同期が失敗する主な要因
拒否済みの更新プログラムの件数が多くなりやすく、この事象が特に顕著に出やすいパターンは以下の 3 点です。
WSUS サーバーの構築後、長期間にわたりサーバー クリーンアップ ウィザードを実施していないこと。
定義更新ファイル (※) をクラスとして選択していること。
定義更新プログラムは、下記の弊社サイトにてご紹介しているとおり、1 日に複数回の頻度で古い更新プログラムを置き換える、新しい更新プログラムが公開されます。
置き換えられた古い更新プログラムは、期限切れ(配信停止の設定)となり、この更新プログラムの承認ステータスは、自動的に「拒否済み」 となります。(既定のオプション設定の場合に限ります。)
そのため、定義更新プログラムを同期対象としている場合には、拒否済みの更新プログラムが蓄積されやすい構成といえます。
なお、期限切れとなった更新プログラムは、サーバー クリーンアップ ウィザードで削除する事ができます。
(※)
<参考情報>
Title: Microsoft Defender ウイルス対策更新プログラムのソースを管理する
URL: //docs.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/manage-protection-updates-microsoft-defender-antivirus?view=o365-worldwide
————— 一部抜粋 ———————-
セキュリティ インテリジェンス更新プログラムにはエンジンの更新プログラムが含まれており、月単位でリリースされます。 セキュリティ インテリジェンスの更新プログラムも 1 日に複数回配信されますが、このパッケージにはエンジンは含まれていません。
—————————————————-WSUS サーバー管理者様が配信不要と判断し、手動にて 「拒否済み」 にステータスを変更した更新プログラムが大量にあること。
レプリカの WSUS サーバーで同期エラーの対処方法
対処方法といたしましては、「拒否済み」の更新プログラムの件数を、減らす事となります。
拒否済みの更新プログラムの件数を削減する、3 点の方法をご紹介いたします。
【手順 A】サーバー クリーンアップ ウィザードにて、 「不要な更新および更新のリビジョン」 を実行します。
これによって、期限切れとなった結果、拒否済みのステータスとなっている更新プログラムを、WSUS データベースから削除する事ができます。
<注意点>
クリーンアップは 子 WSUS サーバー ⇒ 親 WSUS サーバーの順番に実行します。
Title: レプリカ構成では サーバー クリーンアップ ウィザード にご注意ください
URL: //jpmem.github.io/blog/wsus/2012-06-07_01/
<補足事項>
WSUS
サーバーを長期的に運用され、一度もサーバー クリーンアップ ウィザードを実施されていない場合には、クリーンアップがタイムアウトしてしまう可能性がございます。
インデックスの再構成を実行して、WSUS データベースをメンテナンスする事によって、タイムアウトを軽減する事が可能です。
手順は、以下の情報もご参照下さい。
Title: WSUS DB インデックスの再構成の手順について
URL: //jpmem.github.io/blog/wsus/2014-03-05_01/
【手順 B】 手順 A. にて解消せず、また WSUS 管理者様が明示的 (手動作業) に、手動で「拒否済み」に設定した更新プログラムが多い場合には、手動で「拒否済み」のステータス設定した更新プログラムを「未承認」に戻します。更新プログラムのステータスを「未承認」に変更することで「拒否済み」の件数が減少し、同期の失敗は解消されることが期待されます。
【手順 C】手順 A. および 手順 B. を実施して現象が改善した後にも、直ぐに現象が再発する場合や、手順 B の実施が運用ポリシー上、難しい場合には、親 WSUS サーバーの再構築を検討します。
配信不要な「製品」および「クラス」を同期対象から削除して再構築して頂く事によって、不要なデータが蓄積されていないクリーンな状態で運用して頂け、その結果として、レプリカ同期失敗の事象発生を回避する事が可能です。
Windows Update の “更新履歴の表示” が示す内容について
前の記事オフライン WSUS サーバーの構築方法
Windows Server Update Services
マイクロソフト |
2005年8月15日 |
10 / 2016年9月26日 (6年前) |
Windows Server
2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 SP1以上 Windows Server 2003 SP2以上 Windows Small Business Server(英語版) 2011 Windows Small Business Server 2008 Windows Small Business Server 2003[1] |
ハードウェア: IA-32,
x86-64 ソフトウェア:.NET Framework 2.0とMicrosoft 管理コンソール |
リモート管理 |
www.microsoft.com/wsus |
テンプレートを表示 |
Windows Server Update Services(ウィンドウズサーバーアップデートサービス、以下WSUS ダブルサス)は、Microsoft社が提供する更新プログラム適用制御用のサーバ・アプリケーションである。
リリース履歴[編集]
- WSUS 2.0(2005年8月15日)
- WSUS 2.0 SP1(2006年6月1日)
- WSUS 3.0(2007年5月30日)
- WSUS 3.0 SP1(2008年2月7日)
- WSUS 3.0 SP2(2009年8月25日)
- WSUS 4.0(2012年10月26日) - Windows Server 2012に内包
- WSUS 6.3(2013年10月18日) - Windows Server 2012 R2に内包
- WSUS 10(2016年9月26日) - Windows Server 2016に内包。Windows Server 2019では同じくバージョン10であるが、ビルド番号が2016と異なる。[2]
WSUS 2.0はSoftware Update Servicesの後継製品であり、配布可能な更新プログラムの種類やクライアントPCの管理能力が大幅に強化されている。2007年6月1日をもってサポートが終了し、WSUS 2.0 SP1も2009年4月30日でサポートが終了した[3]。
WSUS 3.0 SP2では、WSUS 2.0 SP1と比較して、プラットホームとしてWindows 2000 Serverがサポートから外され、管理画面がWEBからMMCに変更された、管理画面がWSUSのサーバ機能と分離された、レポート機能を大幅に充実させた、承認状態を簡略化した。WSUS 3.0 SP2を対象とした同期サービスは2022年1月10日に終了した[4]。
機能[編集]
Microsoftが提供する、Windows OSやアプリケーションの更新プログラム、デバイスドライバ等(以降「更新プログラム」と表記する)をクライアントPCの「自動更新」コンポーネントを利用して配布する、クライアント・サーバ・モデルのアプリケーションである。
WSUSのサーバ・コンポーネントをインストールしたサーバ機を「WSUSサーバ」と呼称し、Microsoft Updateサーバよりダウンロードした更新プログラムをWSUSサーバ内に保管する事が可能である。更新プログラムの情報(メタデータ)は、定期的または手動でMicrosoft UpdateサーバとWSUSサーバ間で同期が取られており、WSUSの管理者は、同期されたメタデータを元に更新プログラムをクライアントPCに布するか否かを設定する。インストールの承認時に適用期限(インストール期日)を指定する事も可能である。
WSUSは更新プログラムを「配布」すると説明されていることが多いが、正確にはWSUSサーバに蓄積された更新プログラムを、クライアントPCから能動的に取得しに来る「プル」方式である。
クライアントPCは、グループポリシーまたはレジストリによって指定されたWSUSサーバに対して、指定された時間間隔(既定値は約22時間間隔)でアクセスし、自身に適用可能な更新プログラムのうち、管理者によってインストールを承認されたものを認識するとともに、ローカルにダウンロードする。ダウンロードのタイミングは指定できない。
ローカルにダウンロード済みで、すぐにも適用可能な更新プログラムは、グループポリシーまたはレジストリのスケジュール設定に従って、自動または手動で適用される。スケジュール指定による自動インストールの場合でも、クライアントPCに管理者ユーザーがログオン中であれば、更新プログラムが適用可能であることを通知される。
更新プログラムの適用が完了すると、クライアントPCは適用ステータスをWSUSサーバ(グループポリシーの設定では「イントラネット統計サーバ」という)に報告する。WSUSサーバでは、このステータス報告をもとに更新プログラムやクライアントPCごとのレポートを作成する。
更新プログラムのダウンロードはBackground Intelligent Transfer Service (BITS) が実行しており、利用可能なネットワーク帯域に応じて回線がパンクしないように、また更新データの配布によって回線を独占し、ネットワークが使用不可になるような状況にならないように、通信量が自動的に調整される。
更新プログラムの承認[編集]
WSUS管理者は、管理コンソール上で更新プログラムをどのように配布するか制御する事ができる。配布を許可する場合、更新プログラムに対して「承認」の作業を行う事が必要になる。WSUS 2.0 (SP1) においては、承認には以下の4つの状態がある。
更新プログラムは当初「未承認」の状態にあるが、WSUSサーバの「自動承認」オプションの設定により、更新プログラムの種類別に自動的に「検出のみ」または「インストール」状態に設定できる。WSUS 2.0 (SP1) サーバの既定のインストールでは、以下の2種類の更新プログラムについて自動的に「検出のみ」のステータスになるようになっている。
- 重要な更新
- セキュリティ問題の修正プログラム
WSUS 3.0およびWSUS 3.0 SP1では、未承認状態の既定値が「検出のみ」の承認状態となり、承認状態は「インストール」「削除」「拒否」の3状態に整理・統合されている。また、自動承認オプションが強化されており、「製品」「クラス」「コンピュータ・グループ」に応じてインストールまたは拒否状態を設定できる。
クライアントPCのグループ分け[編集]
WSUSでは、クライアントPCを「コンピュータ・グループ」という任意の管理グループに分類して、グループ毎に更新プログラムの承認を行う事が可能である。コンピュータ・グループの登録とグループ分けは、管理画面で管理者が手動で行うか、グループポリシーまたはレジストリによってクライアントPCに対して設定することで行う。
コンピュータ・グループによって、きめ細かな更新プログラムの適用管理が可能になる。例えば、更新プログラムをまず適用試験用のPCに適用して評価を行い、安全を確認した後に一般のクライアントPCに対して配布する、といった適用制御が容易に可能になる。
レポート[編集]
クライアントPCから報告されるステータス情報やWSUSサーバ自身のステータス情報を元に、WSUS 3.0 (SP1) では、次の7種類のレポートを作成できる。レポート作成機能は、外部コンポーネントである「Microsoft Report Viewer 2005」(またはSP1)を使用しており、作成したレポートは Microsoft Excelのブック型式やPortable Document Format型式のファイルに出力可能である。
更新レポート更新プログラム毎に、クライアントPCの適用状況を表示する。- 更新の状態の概要
- 更新の詳細な状態
- 更新の状態(表形式)
- コンピュータの状態の概要
- コンピュータの詳細な状態
- コンピュータの状態(表形式)
配布可能な製品と更新プログラムのクラス[編集]
WSUSでは、制御する更新プログラムの対象製品と種類(クラス)、言語を任意に選択できる。選択されなかった製品または種類、言語の更新プログラムは、メタデータも含めてMicrosoft Updateサーバからダウンロードされる事はない。
製品[編集]
以下の製品に対する更新プログラムを配布する事ができる(2008年7月末日現在)。ただし、WSUS 2.0 (SP1) では、WSUSサーバのインストール直後はWindowsの一部製品しか選択できないので、インストール後にMicrosoft Updateサーバと同期を取ってWSUSを更新する必要がある。WSUS 3.0 (SP1) においては、インストール後に自動起動する「WSUSサーバ設定ウィザード」での操作によって最新の製品とクラスの一覧をダウンロードする。
- Computer Cluster Pack
- Exchange (2000以降)
- Expression
- Forefront
- Internet Security and Accelaration Server (2004以降)
- Microsoft Codename Max
- Microsoft Core XML Services
- Microsoft System Center Data Protection Manager (2006以降)
- Network Monitor
- Office Communication Server (2007以降)
- Office (2002以降)
- SDK Components
- Silverlight
- SQL Server (2000以降)
- System Center Virtual Machine Manager (2007以降)
- System Management Server (2003以降)
- Virtual Server (Virtual PC 2004以降、Virtual Server 2005以降)
- Visual Studio (2005以降)
- Windows Live
- Windows Small Business Server (2003以降)
- Windows (2000以降)
- Zune
クラス[編集]
以下の種類の更新プログラムを配布する事ができる(2008年7月末日現在)。
- Feature Packs : 新しく公開された機能。通常は時期リリース製品に含まれる。
- Service Packs
- セキュリティ問題の修正プログラム : 製品のセキュリティホールを修正する更新プログラム。
- ツール : ユーティリティ類
- ドライバ : デバイスドライバ
- 更新 : 重要性が低く、セキュリティに関連しない不具合を修正するための更新プログラム。
- 修正プログラム集 : 複数のホットフィックスやセキュリティ修正プログラムなどを集約した更新プログラム。
- 重要な更新 : 重要性が高く、セキュリティに関連しない不具合を修正するための更新プログラム。
- 定義自動更新プログラム : Windows DefenderやForefront Client Securityなどの定義ファイル。
インストール要件[編集]
サーバ[編集]
基本的にそれほどハイスペックなハードウェアは要求されないが、WSUSサーバのトポロジによっては、かなりのポテンシャルを要求される。ハードディスク容量は旧版のSUSと比べるとより多くの空き容量が必要となっている。
Microsoft社が提示する、WSUS 3.0 (SP2) サーバの要件は以下の通り[5]。
- ソフトウェア
- Windows Server 2003 Service Pack 1 (SP1) 以上の各エディション、あるいはWindows Server 2008の各エディション(いずれも32ビット版と64ビット版の両方をサポート)
- Microsoft IIS 6.0 以上
- Microsoft .NET Framework 2.0
- Microsoft 管理コンソール 3.0
- Microsoft Report Viewer 再頒布可能パッケージ 2008
- ハードウェア
- システムパーティションに1GB以上の空き領域
- WSUSのコンテンツ保存用に20GB以上の空き領域(推奨30GB)
- WMSDEインストール先ボリュームに2GB以上の空き領域
クライアント[編集]
WSUS用のクライアントは、以下のOS[5]で自動更新機能が有効になっており、かつネットワークに接続されている必要がある。自動更新クライアントはWSUSサーバに接続することで自動的に自分自身を更新するため、ユーザが特別な作業を行う必要はない。
- Microsoft Windows 2000 Service Pack 4 (SP4) の各エディション
- Microsoft Windows XP Professional
- Microsoft Windows Server 2003 Service Pack 2 (SP2) 以降の各エディション
- Microsoft Windows Vistaの各エディション
- Microsoft Windows Server 2008 Service Pack 1 (SP1) 以降の各エディション
- Microsoft Windows 7の各エディション
管理コンソール[編集]
WSUSではWSUSサーバと管理コンソールが分離されており、クライアントPCに管理コンソールのみをインストールしてリモート管理が可能である。管理コンソール実行用のクライアントの要件は以下の通り[5]。
- Microsoft Windows XP Service Pack 2 (SP2) 以降の各エディション
- Microsoft Windows Server 2003 Service Pack 2 (SP2) 以降の各エディション
- Microsoft Windows Vistaの各エディション
- Microsoft Windows Server 2008の各エディション
使用環境[編集]
一般的に、企業などインターネットに接続する回線に対して複数のPCが接続されている環境で利用される。特に、以下のような環境のネットワークでは有効に機能する。
- インターネット接続回線の帯域に対して、PCの台数が多い
- 組織内のルールや独自アプリケーションなどの存在のため、PCに対して無条件にMicrosoftが提供する更新プログラムをインストールすることが出来ない
- 更新プログラムの適用状況を監査する必要がある
一般的なコンシューマユーザのような、PCから直接インターネットに接続する環境ではあまり利用価値がないが、家庭内でもLANを組んで複数のPCが存在するような場合、インターネット接続回線の帯域節約などを目的として導入することには価値がある。ただし、Windows Serverおよび適切な数量の CALが必要であること、クライアントPCがWSUSサーバを参照するために、グループポリシー(Active Directoryのグループポリシーまたはローカルグループポリシー)またはレジストリの編集を行う必要があることから、家庭内ではハードルが高い。
関連項目[編集]
- Internet Information Services
脚注[編集]
- ^ “Download Windows Server Update Services 3.0 SP2”. Microsoft Download Center. Microsoft Corporation (2009年8月25日). 2011年5月4日閲覧。
- ^ //social.technet.microsoft.com/Forums/windowsserver/en-US/8a00d47c-f473-4295-9108-1677eeb59648/
- ^ “WSUS 2.0 SP1 サポート終了のお知らせ”. マイクロソフト (2009年4月14日). 2013年5月29日閲覧。
- ^ “End of synchronization for WSUS 3.0 SP2” (英語). TECHCOMMUNITY.MICROSOFT.COM (2021年5月20日). 2022年5月31日閲覧。
- ^ a b c “Windows Server Update Services 3.0 SP2 リリース ノート”. マイクロソフト. 2013年5月29日閲覧。
外部リンク[編集]
- Windows Server Update Services ホーム(マイクロソフト)
- WSUS TechNet フォーラム
- WSUS.DE Microsoft CLIP Community
| |||
| |||
| |||
| |||
| |||
| |||
| |||
| |||
| |||
| |||
| |||
|