たーきょん & やまにょん http://www.admintech.jp 2005/8/28 WSUS のこれを知っておきたい! たーきょん & やまにょん http://www.admintech.jp 2005/8/28
おしながき WSUS って何なのか (おさらいコーナー) WSUS をインストールするには WSUS を管理する WSUS API で骨の髄まで使い倒そう
WSUS って何なのか (おさらいコーナー)
WSUS とは Windows Server Update Services の略 Microsofty には Update Services と言ったほうが通用するかも しれない Software Update Services (SUS) 1.0 の後継 組織内の “更新プログラム” (いわゆる修正パッチとか Hotfix、 修正プログラムとかのMicrosoft 的な正式名称) を管理します Microsoft Update (MU) サイトと連携します WSUS と MU は切っても切り離せない関係です サーバーと CAL さえ持っていれば使用可能
おさらい: SUS と WSUS の違い 項目 SUS WSUS 同期先 Windows Update サイト Microsoft Update サイト 更新プログラムの種類 セキュリティ修正プログラムのみ (後に Service Pack もサポート) Service Pack、Feature Pack、セキュリティ修正プログラム、機能拡張プログラム等に対応 対応製品 Windows 2000 / XP / Server 2003 SQL Server / Exchange Server Office 配布ポリシー 1 サーバーで 1 ポリシー さまざまなポリシーを設定可能 配布結果の記録 SUS サーバーの IIS に記録されたアクセス ログとクライアントの Windows Update ログが頼りだが、どちらもただのテキスト インストールされたかどうか、何の更新プログラムがインストール可能か、WSUS サーバー単体でさまざまな表示が可能 MBSA 1.1 にて対応 2.0 にて対応
おさらい: 導入のメリット 更新プログラムを管理できます クライアントの管理もある程度できます ぶっちゃけ更新プログラムの管理に必要性を感じない 組織 (すなわち古い OS を平気で使い続ける組織) には 必要ありません 某所で「なぜ更新プログラム管理しなくちゃいけないの?」と 言われました orz (この仕組みは利益を生みませんから・・・) そんな御社はじゃんじゃんウイルスやらバックドアやらに 感染してください クライアントの管理もある程度できます コンピュータ名、IP アドレス、BIOS 情報くらいなら 収集できますが、おまけ程度に考えてください
対象となるユーザー層 更新プログラムを管理したい組織向け SUS を導入している企業は WSUS へ移行が必要 無償で提供されるので、サーバーと CAL の予算さえ都合がつけば 何とかなります 特に、更新プログラムの管理を実施していない場合、うってつけ Systems Management Server (SMS) を構築している環境に おいても、連携した更新プログラム管理が可能 SMS に WSUS と同じエンジンが搭載できます SUS を導入している企業は WSUS へ移行が必要 SUS は 2006/6/6 にサポート終了します あと 10 ヶ月弱! SUS 上での更新プログラムの提供はそれ以降ありません
WSUS の欠点 その 1 WSUS は SUS と同様にプル型で動作します プッシュ型ではないので、サーバー側から強制的にインストール させることは出来ません 事実上グループ ポリシー ( = Active Directory) 必須です プル型の弱点を補うため、グループ ポリシーによる設定の強制や、 クライアントからのポーリング間隔の設定などが必要となります もちろんアクセス権などの問題もあります この問題はクライアントに特別な Agent をインストール しないことに起因します (長所でもありますが・・・) 別の方法でこの弱点を補うためには、SMS や UpdateEXPERT などの別製品が必要でしょう もちろん WUA API を使ってプログラムを作っても OK
WSUS の欠点 その 2 なぜかレポート ログの出力機能が欠落しています コンピュータの登録情報管理は手動になります 図ったな、Microsoft! もしかしたら System Center Reporting Manager 2005 で 実装され・・・たらいいなぁ (淡い期待) コンピュータの登録情報管理は手動になります ウイルスバスター Corporate Edition のように、通知の無い コンピュータを勝手に削除してくれません レガシー OS はサポートされません この問題は WSUS 側にあります 回避するにはやっぱり SMS や UpdateEXPERT などが必要? WSUS API を使って誰かがレポート ツール作るしかないか
WSUS をインストールするには
WSUS のコンポーネント Microsoft Update サイト (Microsoft で提供) WSUS サーバー 更新プログラムのダウンロードをするための大元 Windows Update ではありません WSUS サーバー WSUS のコア コンポーネントはもちろん必要 IIS や SQL Server のコンポーネントも要求します WSUS クライアント 新しい Windows Update Agent (WUA) がインストールされている コンピュータ (すなわち 2005/6/7 の段階でメインストリーム サポート の範囲内にある OS) は、すべて WSUS クライアントとして動作する 可能性があります
WSUS サーバーのインストール要件 (ハードウェア編) 台数 ~500 ~10,000 ~15,000 構成 最小構成 推奨構成 CPU 750 MHz 1 GHz 以上 3 GHz 以上 3 GHz 以上のデュアル構成 RAM 512 MB 1 GB HDD システム: 1 GB 更新プログラム保存領域: 6~30 GB その他、DB 用の領域が必要 DB WMSDE / MSDE SQL Server 2000 ( / WMSDE) 大規模/小規模の分かれ目 とりあえず x64 には対応していないようです 一部ツールは明示的に 32 bit のみ対応とドキュメントで謳っています
WSUS サーバーのインストール要件 (ソフトウェア編) OS Windows 2000 Server Windows Server 2003 OS の Service Pack 4 なし もしくは 1 以降 IIS 5.0 6.0 SQL Server 大規模 SQL Server 2000 Service Pack 4 小~中規模 MSDE 2000a Service Pack 4 (*1) WMSDE (WSUS 標準コンポーネント) BITS 2.0 (*1) .NET Framework 1.1 ServicePack 1 (*2) 1.1 ServicePack 1 (*2) (*3) *1 … http://www.microsoft.com/windowsserversystem/updateservices/ evaluation/trial/default.mspx からダウンロード可能 *2 … Windows Update サイトより入手可能 *3 … Windows Server 2003 Service Pack 1 では標準で適用済み
WSUS クライアントになるための OS 条件 Windows Server 2003 Windows XP Windows XP Home Edition はサポート終了間近!? Windows 2000 Service Pack 3 以降をサポート、しかし SP3 の 新規更新プログラムの提供は終了 既に延長サポート フェーズ突入、MS 非推奨につき注意 2007/6/30 をもって Windows Update / Microsoft Update からの更新プログラム提供は終了する・・・予定 それをもって WSUS でのサポートも打ち切られる可能性大
WSUS クライアントになるために必要な コンポーネント Windows インストーラ Version 3.1 (Windows Update Agent もこのモジュールで更新されている様子) BITS 2.0 and WinHTTP 5.1 Windows Update Version 6 かMicrosoft Update へ アクセスした際にインストールされます WSUS からも自動配布が可能です 更新プログラムの流れ
対応するアプリケーション 対応する OS (Windows Server 2003、XP、2000) に搭載された以下の製品 Office XP、Office 2003 Exchange 2000 Server、Exchange Server 2003 SQL Server 2000、MSDE2000a 基本 Microsoft Update と同等です 製品は増加される予定です
環境設計・・・の前に Windows Server 2003 を使いましょう CAL の問題をクリアしてください もちろん、延長サポート フェーズの問題もあります WMSDE は DB サイズの制限が無いらしい! わざわざ SQL Server 2000 買うのももったいないです もしハードウェアも一緒に購入するのであれば、Windows Server 2003 を採用しましょう Windows 2000 Server で構築された既存サーバーを流用する場合は、 アップグレードを検討しましょう CAL の問題をクリアしてください Windows Server 2003 がネットワークに存在するのに、未だに Windows NT 4.0 CAL をそのまま使っていませんか? CAL だけは Software Assurance の購入をお勧めします (だって サーバー買うだけなのに CAL を xxx 個、っていうのは辛いですから) これ、ボディーブローのようにじわじわ効いてきます
改めて、環境設計 シングル サイト・シングル Admin の場合 マルチ サイト・シングル Admin の場合 マルチ Admin の場合 サーバー 1 台で十分でしょう マルチ サイト・シングル Admin の場合 インターネットのアクセス ポイント数に併せてサーバーを設置 出来ればインターネット口は 1 つ、そこに中央サーバーを設置し、 ツリー状の構成を取りたい マルチ Admin の場合 組織の関係で Admin が複数居る場合・・・政治的な配慮が必要です ルートの WSUS を構築し、 パターンファイルはそこから配布 それぞれの組織の管理者が、 更新プログラムの許可設定を実施
シングル サイト・シングル Admin の環境例
マルチ サイト・シングル Admin の環境例 注: ごちゃごちゃしていますが、シングル サイトの環境とほとんど変化ありません
マルチ Admin の環境例 注: 正直勘弁してください (もしくは好きにしてください)
環境設計は自由自在です 図まで使って説明しましたが、要するにどんな 環境でも構成することができます そんな設計するよりも、Windows Server 2003 を 選択するほうが重要です 設計自由度は明らかに Windows 2000 の方が低い ドキュメントに書いてあること守っても正しくインストール できません、いい思い出ありません SQL Server 2000 に Service Pack 4 をインストールしても、 MDAC 2.8 Service Pack 1 が適用されなかったり リブート要求が正しく出されず、インストールにトラぶったり SQL Server 2000 や MSDE2000a を正しく検出できなかったり
移行のために SUS と混在させる場合 既に SUS を導入している環境であれば、 WSUS への移行がサポートされます SUS サーバーへ WSUS をインストールすると、SUS へ 新しい WUA が自動的に登録されます すなわち、クライアントの WU は自動的に新しい WUA へアップグレード SUS へアクセスする場合は、WU が Version 4 エミュレータとして動作
SUS 移行のための手順 SUS サーバーへ WSUS をインストール コマンドを実行 Port 8530 を使用するオプションを選択 コマンドを実行 “wsusutil.exe migratesus (以下オプションが続く)” 最終的には SUS サイトを停止し、WSUS サイトのポートを 80 番 (もしくは 443 番) へ変更
複数の SUS サーバーを 1 つの WSUS に まとめるケース 別途 WSUS を構築し、そこから wsusutil.exe を 使用し、集約することもできます SUS ではグループ管理ができなかったため、 止む無く複数の SUS を構築していた企業もあると 思います そのような組織には朗報ですね!
SQL Server 2000 を使用する場合 インスタンス名は WSUS とすると便利かもしれません WSUS と SQL Server をひとつの サーバーに混在させる場合 特に問題ありません 既存の SQL Server に新規の WSUS サーバーを接続させる場合 Front-end WSUS (WSUS サーバー側) および Back-end WSUS (SQL Server 側) として構築します Setup.exe に “-F” / “-B” オプションを付与してセットアップしてください ひとつの SQL Server に複数の WSUS を接続することはできません Windows 2000 Server の場合、 Active Directory と混在させてはいけません MSCS 環境不可! 一対一の関係である必要があります このあたりの要件確認が必要
セットアップの流れ (Windows 2000 編) Internet Explore 6.0 Service Pack 1 Internet Information Services 5.0 Windows 2000 Service Pack 4 .NET Framework 1.1 + Language Pack .NET Framework 1.1 Service Pack 1 BITS 2.0 MSDE2000a もしくは SQL Server 2000 SQL Server 2000 Service Pack 4 WSUS 注: かなりめんどうくさいです
セットアップの流れ (Windows Server 2003 Gold 編) Internet Information Services 6.0 .NET Framework 1.1 Service Pack 1 BITS 2.0 (SQL Server 2000 + Service Pack 4) WSUS ( + WMSDE)
セットアップの流れ (Windows Server 2003 Service Pack 1 編) Internet Information Services 6.0 (SQL Server 2000 + Service Pack 4) WSUS ( + WMSDE) WMSDE を使う場合は本当に簡単。 何も考えずにするするっとインストールできます。
構築が完了したら・・・ Active Directory を使用して、グループ ポリシー オブジェクトを定義します
よく使いそうなポリシー WSUS サーバーへの 通知間隔を設定 この二つが無いと 始まらない この二つが無いと 始まらない 再起動の必要ない 更新プログラムを 強制インストールする
承認設定の変更 このままでは Service Pack は認識してくれない このあたりの話はデモで・・・ 手動で設定変更する 自動的に認識する このあたりの話はデモで・・・
WSUS を管理する
WSUS を管理するための一連の流れ クライアントをグルーピング WSUS サーバーと Microsoft Update を同期 ひたすら手動で設定してもよし グループ ポリシーを使ってグループ割り当てを自動で行うもよし WSUS サーバーと Microsoft Update を同期 更新プログラムの一覧を取得 テスト クライアントで更新プログラムのテスト テスト用のクライアント グループに更新プログラムを配布し、 インストールと動作に問題が無いか確認 更新プログラム配布を許可 グルーピングしたクライアントへ更新プログラムの配布を許可 適用の確認 最後にインストールの失敗が無いか確認
グルーピング (手動の場合) まず WSUS サーバーへグループを作成する クライアントから通知が来るのをひたすら待つ
グルーピング (グループ ポリシーの場合) WSUS サーバーへグループを作る (これは同じ) WSUS サーバーがグループ名を GPO から受け取れるように設定する GPO へグループ名を設定する クライアントから 通知が来るのを ひたすら待つ
WSUS サーバーと Microsoft Update の同期 更新プログラムのリリースを確認して手動で更新するもよし 自動で更新するようにスケジュールを組むもよし
テスト クライアントで更新プログラムのテスト テスト グループを定義 更新プログラムは自動で配布するもよし テストするときに更新プログラムを手動で許可するもよし
配布を許可し、適用を確認 テストに合格した更新プログラムを配布 適用を確認
WSUS 使い倒す
WSUS のカスタマイズ WSUS API と WUA API によるカスタマイズが可能 WSUS、WUA ともこの API を元に開発 WSUS API ・・・ WSUS サーバー用 API WUA API ・・・ クライアント (WUA) 用 API WSUS、WUA ともこの API を元に開発 WSUS の API はサンプルが豊富 特に手を加えなくてもそのままで利用が可能 WSUS API のマニュアルはこちら http://msdn.microsoft.com/library/en-us/wus/wus/portal.asp
WSUS API で何ができるのか? 情報収集 WSUS サーバーの設定 クライアントの情報の収集 更新プログラムの情報の収集 グループ設定 コンピュータ名、IP アドレス、BIOS 情報・・・ 更新プログラムのインストール状況・・・ 更新プログラムの情報の収集 リリース情報、現在のステータス・・・ インストール済みコンピュータの一覧・・・ WSUS サーバーの設定 グループ設定 更新プログラムの状態変更 クライアント コンピュータの登録・削除 ダウンロード設定
WUA API はどうか クライアントの情報収集 クライアントの設定 更新プログラムのインストール一覧 WSUS への通知制御 WinHTTP に設定された Proxy の設定変更
おまけ
Appendix WSUS 展開ガイド (Japanese) WSUS 操作ガイド (Japanese) http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/library/wsus/wsusdeploymentguidetc/ace052df-74e7-4d6a-b5d4-f7911bb06b40.mspx WSUS 操作ガイド (Japanese) http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/library/wsus/wsusoperationsguidetc/29cfa815-991a-4f71-bd44-11c708d0aabc.mspx SUS から WSUS への移行の FSG (Japanese) http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/library/wsus/wsustosustc/c86e95dc-381f-47a2-b761-1fe0f13ad3f4.mspx
おしまい ご清聴ありがとうございました