たーきょん & やまにょん http://www.admintech.jp 2005/8/28 WSUS のこれを知っておきたい! たーきょん & やまにょん http://www.admintech.jp 2005/8/28.

Slides:



Advertisements
Similar presentations
Internet Explorer 障害解析 最初の一歩 - IE のトラブルを理解する -. 概要 Internet Explorer を使用中に発生するトラブルの 種類と、調査のための切り分け方法を紹介します! (以降は IE と略称で表記します) よくあるお問い合わせ Web ページの表示が白画面のまま完了しない.
Advertisements

1 Layout Utilities の紹介 Layout Utilities とは、お客様のプログラムに 流し込み印刷を簡単に組み込めるソフトウエア開発ツールです 無償 流し込み印刷の例.
1 会社名: 氏名: 日付: 会社名: 氏名: 日付:. 2 内容 企業のセキュリティ対策状況 ユーザー管理の重要性 ユーザー管理製品 市場状況 Active Directory とは Active Directory 利用に最低限必要な準備 ユーザー管理のご提案内容 最初の取り組み:ユーザー情報の統合管理.
SAP 環境における Active Directory 導入のメリット
BOM for Windows セキュリティログ監視キット ファイル・アクセスログ収集ソリューション
IIS 4.0で開発をするコツ Webアプリケーション構築.
Virtual Editionのご紹介 2012年12月12日.
Windows HPC Server を使ってみる
ご使用の前に 使用可能なPC環境 Windows XP SP2 以上
PROCESS 14:一般情報(2) InstallShieldLecture
安全なログオン手順 2004/08/26 Port139 伊原 秀明.
マイクロソフト スクール アグリーメント 3.3 スクール アグリーメント 3.3 ご説明資料 マイクロソフト株式会社.
「電子レセプトビューア - RECEVIEW - 」
.NET テクノロジー を利用した SAP ソリューションの拡張 (3階層化) (評価環境構築ガイド)
Virtual Editionのご紹介 (株)ネットジャパン 法人営業部 2012年7月18日 1.
Novell ZENworks Desktop Management Starter Campaign
SMART/InSightのセキュリティ機能と設計
ISCCD7.5構築 その2 Middleware 導入
表紙 Windows用起動画面集        ~劇場版 v.1,00~ 作成:カズキング 場所:ブログ「俺らしいブログ」
SharePoint Server において 構成ウィザードが失敗する場合の トラブルシューティング
電子社会設計論 第11回 Electronic social design theory
「絵葉書を通じてのハルビンの 街の印象調査」システムUIの iPadアプリ化 谷研究室  飯 祐貴.
Microsoft Office Project 2007
既存のBPOS のお客様のBPOS から Office 365 への切替
会社名: 氏名: 日付:.
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
F5 を押すか、または [スライド ショー] > [最初から] をクリックして、コースを開始してください。
さとりすと Satori Ghost Editor 里々ゴーストの統合開発環境を作ったよ page: 1/25
サーバー立ち上げ記 2009/5/23
.NET テクノロジー を利用した SAP ソリューションの拡張 (3階層化) (評価環境構築ガイド)
マイクロソフト株式会社 SAP/Microsoft コンピテンスセンター
Oracle APEX Forms変換の概要
初めてのTSF 囚人.
Virtual Editionのご紹介 2012年7月26日.
“バンドルプラス(ROK)” “バンドルプラス(ROK)” 販売店様 のための OEM Server OS の新しい形 ツルっと丸わかり!
SharePointによるSQL BI 2012年8月4日.
プロジェクト演習Ⅱ インタラクティブゲーム制作 イントロダクション2
Office IME 2010 を使う.
ウイルスについて I98N044 久野耕介 I98N114 藤田和久
Cisco Router GUI設定 CCPE3.2 紹介 本資料に記載の各社社名、製品名は、各社の商標または登録商標です。
MDC Special Session Report tk-engineering.com
Windows Azure (CTP) 触ってみた
わんくま同盟・techbank.jp 夏椰 Insight Technology, Inc. 今川 美保
Emoneαプログラミング入門 初音 玲.
「OSで儲けない」 Microsoftの新戦略
実行時情報に基づく OSカーネルのコンフィグ最小化
オペレーティングシステムⅡ 第13回 講師 松本 章代 VirtuaWin・・・仮想デスクトップソフト.
RD セッション ホストにおける RDC クライアントの シングル サインオン (SSO) について
すぐできるBOOK -基本設定編-.
Web - 01 IIS を インストールしよう.
Office 2010 ボリュームライセンス認証の概要と KMS認証のトラブルシューティング
初めてのTSF 囚人.
Windows Azure (CTP) 触ってみた
インタラクティブ・ゲーム制作 プログラミングコース 補足資料
<前提条件> iSeriesSite ワークフロー 実行環境 構成イメージ
個人の動画配信のためのWebサーバ構築 06A1058 古江 和栄.
インターネットに接続できない環境下にあるLAN DISKも LAN内で状態管理可能に! 新登場!
一歩進んだ Views の使い方 スタジオ・ウミ 山中.
SQL Server 2008 および 更新プログラムの一括セットアップ
~目次~ Ⅰ.動作環境 Ⅱ.ファイルのダウンロード Ⅲ.システムのインストール Ⅳ.初期設定 Ⅴ.アンインストール
iSeries Site 人事・給与C/S版のハードウェア・ソフトウェア要件
「拝啓、さかもとと申します」 2008年6月28日 わんくま同盟 勉強会初参戦。 ※最重要 -質問はご遠慮願います-
「拝啓、さかもとと申します」 2008年6月28日 わんくま同盟 勉強会初参戦。 ※最重要 -質問はご遠慮願います-
Microsoft® Office® 2010 トレーニング
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
マイクロソフトのライセンス: 貴社に最適なオプション
Microsoft Office Project Server 2007
SYSVOL複製 を DFS レプリケーションに移行する
プロジェクト演習Ⅱ インタラクティブゲーム制作
<前提条件> C/S Bridge(C/S版)
Presentation transcript:

たーきょん & やまにょん http://www.admintech.jp 2005/8/28 WSUS のこれを知っておきたい! たーきょん & やまにょん http://www.admintech.jp 2005/8/28

おしながき WSUS って何なのか (おさらいコーナー) WSUS をインストールするには WSUS を管理する WSUS API で骨の髄まで使い倒そう

WSUS って何なのか (おさらいコーナー)

WSUS とは Windows Server Update Services の略 Microsofty には Update Services と言ったほうが通用するかも しれない Software Update Services (SUS) 1.0 の後継 組織内の “更新プログラム” (いわゆる修正パッチとか Hotfix、 修正プログラムとかのMicrosoft 的な正式名称) を管理します Microsoft Update (MU) サイトと連携します WSUS と MU は切っても切り離せない関係です サーバーと CAL さえ持っていれば使用可能

おさらい: SUS と WSUS の違い 項目 SUS WSUS 同期先 Windows Update サイト Microsoft Update サイト 更新プログラムの種類 セキュリティ修正プログラムのみ (後に Service Pack もサポート) Service Pack、Feature Pack、セキュリティ修正プログラム、機能拡張プログラム等に対応 対応製品 Windows 2000 / XP / Server 2003 SQL Server / Exchange Server Office 配布ポリシー 1 サーバーで 1 ポリシー さまざまなポリシーを設定可能 配布結果の記録 SUS サーバーの IIS に記録されたアクセス ログとクライアントの Windows Update ログが頼りだが、どちらもただのテキスト インストールされたかどうか、何の更新プログラムがインストール可能か、WSUS サーバー単体でさまざまな表示が可能 MBSA 1.1 にて対応 2.0 にて対応

おさらい: 導入のメリット 更新プログラムを管理できます クライアントの管理もある程度できます ぶっちゃけ更新プログラムの管理に必要性を感じない 組織 (すなわち古い OS を平気で使い続ける組織) には 必要ありません 某所で「なぜ更新プログラム管理しなくちゃいけないの?」と 言われました orz (この仕組みは利益を生みませんから・・・) そんな御社はじゃんじゃんウイルスやらバックドアやらに 感染してください クライアントの管理もある程度できます コンピュータ名、IP アドレス、BIOS 情報くらいなら 収集できますが、おまけ程度に考えてください

対象となるユーザー層 更新プログラムを管理したい組織向け SUS を導入している企業は WSUS へ移行が必要 無償で提供されるので、サーバーと CAL の予算さえ都合がつけば 何とかなります 特に、更新プログラムの管理を実施していない場合、うってつけ Systems Management Server (SMS) を構築している環境に おいても、連携した更新プログラム管理が可能 SMS に WSUS と同じエンジンが搭載できます SUS を導入している企業は WSUS へ移行が必要 SUS は 2006/6/6 にサポート終了します あと 10 ヶ月弱! SUS 上での更新プログラムの提供はそれ以降ありません

WSUS の欠点 その 1 WSUS は SUS と同様にプル型で動作します プッシュ型ではないので、サーバー側から強制的にインストール させることは出来ません 事実上グループ ポリシー ( = Active Directory) 必須です プル型の弱点を補うため、グループ ポリシーによる設定の強制や、 クライアントからのポーリング間隔の設定などが必要となります もちろんアクセス権などの問題もあります この問題はクライアントに特別な Agent をインストール しないことに起因します (長所でもありますが・・・) 別の方法でこの弱点を補うためには、SMS や UpdateEXPERT などの別製品が必要でしょう もちろん WUA API を使ってプログラムを作っても OK

WSUS の欠点 その 2 なぜかレポート ログの出力機能が欠落しています コンピュータの登録情報管理は手動になります 図ったな、Microsoft! もしかしたら System Center Reporting Manager 2005 で 実装され・・・たらいいなぁ (淡い期待) コンピュータの登録情報管理は手動になります ウイルスバスター Corporate Edition のように、通知の無い コンピュータを勝手に削除してくれません レガシー OS はサポートされません この問題は WSUS 側にあります 回避するにはやっぱり SMS や UpdateEXPERT などが必要? WSUS API を使って誰かがレポート ツール作るしかないか

WSUS をインストールするには

WSUS のコンポーネント Microsoft Update サイト (Microsoft で提供) WSUS サーバー 更新プログラムのダウンロードをするための大元 Windows Update ではありません WSUS サーバー WSUS のコア コンポーネントはもちろん必要 IIS や SQL Server のコンポーネントも要求します WSUS クライアント 新しい Windows Update Agent (WUA) がインストールされている コンピュータ (すなわち 2005/6/7 の段階でメインストリーム サポート の範囲内にある OS) は、すべて WSUS クライアントとして動作する 可能性があります

WSUS サーバーのインストール要件 (ハードウェア編) 台数 ~500 ~10,000 ~15,000 構成 最小構成 推奨構成 CPU 750 MHz 1 GHz 以上 3 GHz 以上 3 GHz 以上のデュアル構成 RAM 512 MB 1 GB HDD システム: 1 GB 更新プログラム保存領域: 6~30 GB その他、DB 用の領域が必要 DB WMSDE / MSDE SQL Server 2000 ( / WMSDE) 大規模/小規模の分かれ目 とりあえず x64 には対応していないようです 一部ツールは明示的に 32 bit のみ対応とドキュメントで謳っています

WSUS サーバーのインストール要件 (ソフトウェア編) OS Windows 2000 Server Windows Server 2003 OS の Service Pack 4 なし もしくは 1 以降 IIS 5.0 6.0 SQL Server 大規模 SQL Server 2000 Service Pack 4 小~中規模 MSDE 2000a Service Pack 4 (*1) WMSDE (WSUS 標準コンポーネント) BITS 2.0 (*1) .NET Framework 1.1 ServicePack 1 (*2) 1.1 ServicePack 1 (*2) (*3) *1 … http://www.microsoft.com/windowsserversystem/updateservices/ evaluation/trial/default.mspx からダウンロード可能 *2 … Windows Update サイトより入手可能 *3 … Windows Server 2003 Service Pack 1 では標準で適用済み

WSUS クライアントになるための OS 条件 Windows Server 2003 Windows XP Windows XP Home Edition はサポート終了間近!? Windows 2000 Service Pack 3 以降をサポート、しかし SP3 の 新規更新プログラムの提供は終了 既に延長サポート フェーズ突入、MS 非推奨につき注意 2007/6/30 をもって Windows Update / Microsoft Update からの更新プログラム提供は終了する・・・予定 それをもって WSUS でのサポートも打ち切られる可能性大

WSUS クライアントになるために必要な コンポーネント Windows インストーラ Version 3.1 (Windows Update Agent もこのモジュールで更新されている様子) BITS 2.0 and WinHTTP 5.1 Windows Update Version 6 かMicrosoft Update へ アクセスした際にインストールされます WSUS からも自動配布が可能です 更新プログラムの流れ

対応するアプリケーション 対応する OS (Windows Server 2003、XP、2000) に搭載された以下の製品 Office XP、Office 2003 Exchange 2000 Server、Exchange Server 2003 SQL Server 2000、MSDE2000a 基本 Microsoft Update と同等です 製品は増加される予定です

環境設計・・・の前に Windows Server 2003 を使いましょう CAL の問題をクリアしてください もちろん、延長サポート フェーズの問題もあります WMSDE は DB サイズの制限が無いらしい! わざわざ SQL Server 2000 買うのももったいないです もしハードウェアも一緒に購入するのであれば、Windows Server 2003 を採用しましょう Windows 2000 Server で構築された既存サーバーを流用する場合は、 アップグレードを検討しましょう CAL の問題をクリアしてください Windows Server 2003 がネットワークに存在するのに、未だに Windows NT 4.0 CAL をそのまま使っていませんか? CAL だけは Software Assurance の購入をお勧めします (だって サーバー買うだけなのに CAL を xxx 個、っていうのは辛いですから) これ、ボディーブローのようにじわじわ効いてきます

改めて、環境設計 シングル サイト・シングル Admin の場合 マルチ サイト・シングル Admin の場合 マルチ Admin の場合 サーバー 1 台で十分でしょう マルチ サイト・シングル Admin の場合 インターネットのアクセス ポイント数に併せてサーバーを設置 出来ればインターネット口は 1 つ、そこに中央サーバーを設置し、 ツリー状の構成を取りたい マルチ Admin の場合 組織の関係で Admin が複数居る場合・・・政治的な配慮が必要です ルートの WSUS を構築し、 パターンファイルはそこから配布 それぞれの組織の管理者が、 更新プログラムの許可設定を実施

シングル サイト・シングル Admin の環境例

マルチ サイト・シングル Admin の環境例 注: ごちゃごちゃしていますが、シングル サイトの環境とほとんど変化ありません

マルチ Admin の環境例 注: 正直勘弁してください (もしくは好きにしてください)

環境設計は自由自在です 図まで使って説明しましたが、要するにどんな 環境でも構成することができます そんな設計するよりも、Windows Server 2003 を 選択するほうが重要です 設計自由度は明らかに Windows 2000 の方が低い ドキュメントに書いてあること守っても正しくインストール できません、いい思い出ありません SQL Server 2000 に Service Pack 4 をインストールしても、 MDAC 2.8 Service Pack 1 が適用されなかったり リブート要求が正しく出されず、インストールにトラぶったり SQL Server 2000 や MSDE2000a を正しく検出できなかったり

移行のために SUS と混在させる場合 既に SUS を導入している環境であれば、 WSUS への移行がサポートされます SUS サーバーへ WSUS をインストールすると、SUS へ 新しい WUA が自動的に登録されます すなわち、クライアントの WU は自動的に新しい WUA へアップグレード SUS へアクセスする場合は、WU が Version 4 エミュレータとして動作

SUS 移行のための手順 SUS サーバーへ WSUS をインストール コマンドを実行 Port 8530 を使用するオプションを選択 コマンドを実行 “wsusutil.exe migratesus (以下オプションが続く)” 最終的には SUS サイトを停止し、WSUS サイトのポートを 80 番 (もしくは 443 番) へ変更

複数の SUS サーバーを 1 つの WSUS に まとめるケース 別途 WSUS を構築し、そこから wsusutil.exe を 使用し、集約することもできます SUS ではグループ管理ができなかったため、 止む無く複数の SUS を構築していた企業もあると 思います そのような組織には朗報ですね!

SQL Server 2000 を使用する場合 インスタンス名は WSUS とすると便利かもしれません WSUS と SQL Server をひとつの サーバーに混在させる場合 特に問題ありません 既存の SQL Server に新規の WSUS サーバーを接続させる場合 Front-end WSUS (WSUS サーバー側) および Back-end WSUS (SQL Server 側) として構築します Setup.exe に “-F” / “-B” オプションを付与してセットアップしてください ひとつの SQL Server に複数の WSUS を接続することはできません Windows 2000 Server の場合、 Active Directory と混在させてはいけません MSCS 環境不可! 一対一の関係である必要があります このあたりの要件確認が必要

セットアップの流れ (Windows 2000 編) Internet Explore 6.0 Service Pack 1 Internet Information Services 5.0 Windows 2000 Service Pack 4 .NET Framework 1.1 + Language Pack .NET Framework 1.1 Service Pack 1 BITS 2.0 MSDE2000a もしくは SQL Server 2000 SQL Server 2000 Service Pack 4 WSUS 注: かなりめんどうくさいです

セットアップの流れ (Windows Server 2003 Gold 編) Internet Information Services 6.0 .NET Framework 1.1 Service Pack 1 BITS 2.0 (SQL Server 2000 + Service Pack 4) WSUS ( + WMSDE)

セットアップの流れ (Windows Server 2003 Service Pack 1 編) Internet Information Services 6.0 (SQL Server 2000 + Service Pack 4) WSUS ( + WMSDE) WMSDE を使う場合は本当に簡単。 何も考えずにするするっとインストールできます。

構築が完了したら・・・ Active Directory を使用して、グループ ポリシー オブジェクトを定義します

よく使いそうなポリシー WSUS サーバーへの 通知間隔を設定 この二つが無いと 始まらない この二つが無いと 始まらない 再起動の必要ない 更新プログラムを 強制インストールする

承認設定の変更 このままでは Service Pack は認識してくれない このあたりの話はデモで・・・ 手動で設定変更する 自動的に認識する このあたりの話はデモで・・・

WSUS を管理する

WSUS を管理するための一連の流れ クライアントをグルーピング WSUS サーバーと Microsoft Update を同期 ひたすら手動で設定してもよし グループ ポリシーを使ってグループ割り当てを自動で行うもよし WSUS サーバーと Microsoft Update を同期 更新プログラムの一覧を取得 テスト クライアントで更新プログラムのテスト テスト用のクライアント グループに更新プログラムを配布し、 インストールと動作に問題が無いか確認 更新プログラム配布を許可 グルーピングしたクライアントへ更新プログラムの配布を許可 適用の確認 最後にインストールの失敗が無いか確認

グルーピング (手動の場合) まず WSUS サーバーへグループを作成する クライアントから通知が来るのをひたすら待つ

グルーピング (グループ ポリシーの場合) WSUS サーバーへグループを作る (これは同じ) WSUS サーバーがグループ名を GPO から受け取れるように設定する GPO へグループ名を設定する クライアントから 通知が来るのを ひたすら待つ

WSUS サーバーと Microsoft Update の同期 更新プログラムのリリースを確認して手動で更新するもよし 自動で更新するようにスケジュールを組むもよし

テスト クライアントで更新プログラムのテスト テスト グループを定義 更新プログラムは自動で配布するもよし テストするときに更新プログラムを手動で許可するもよし

配布を許可し、適用を確認 テストに合格した更新プログラムを配布 適用を確認

WSUS 使い倒す

WSUS のカスタマイズ WSUS API と WUA API によるカスタマイズが可能 WSUS、WUA ともこの API を元に開発 WSUS API ・・・ WSUS サーバー用 API WUA API ・・・ クライアント (WUA) 用 API WSUS、WUA ともこの API を元に開発 WSUS の API はサンプルが豊富 特に手を加えなくてもそのままで利用が可能 WSUS API のマニュアルはこちら http://msdn.microsoft.com/library/en-us/wus/wus/portal.asp

WSUS API で何ができるのか? 情報収集 WSUS サーバーの設定 クライアントの情報の収集 更新プログラムの情報の収集 グループ設定 コンピュータ名、IP アドレス、BIOS 情報・・・ 更新プログラムのインストール状況・・・ 更新プログラムの情報の収集 リリース情報、現在のステータス・・・ インストール済みコンピュータの一覧・・・ WSUS サーバーの設定 グループ設定 更新プログラムの状態変更 クライアント コンピュータの登録・削除 ダウンロード設定

WUA API はどうか クライアントの情報収集 クライアントの設定 更新プログラムのインストール一覧 WSUS への通知制御 WinHTTP に設定された Proxy の設定変更

おまけ

Appendix WSUS 展開ガイド (Japanese) WSUS 操作ガイド (Japanese) http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/library/wsus/wsusdeploymentguidetc/ace052df-74e7-4d6a-b5d4-f7911bb06b40.mspx WSUS 操作ガイド (Japanese) http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/library/wsus/wsusoperationsguidetc/29cfa815-991a-4f71-bd44-11c708d0aabc.mspx SUS から WSUS への移行の FSG (Japanese) http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/library/wsus/wsustosustc/c86e95dc-381f-47a2-b761-1fe0f13ad3f4.mspx

おしまい ご清聴ありがとうございました