WSUS 展開を計画する
Windows Server Update Services (WSUS) を展開する最初の手順では、WSUS の展開シナリオの決定、ネットワーク トポロジの選択、システム要件の把握など、重要な決定を行います。 次のチェックリストは、展開の準備に必要な手順を説明します。
タスク | 説明 |
---|---|
1.1. 考慮事項とシステム要件を確認する | 考慮事項とシステム要件の一覧を確認して、WSUS の展開に必要なすべてのハードウェアとソフトウェアが揃っていることを確認します。 |
1.2. WSUS の展開シナリオを選択する | 使用する WSUS の展開シナリオを決定します。 |
1.3. WSUS 記憶域の戦略を選択する | 展開に最適な WSUS 記憶域の戦略を決定します。 |
1.4. WSUS 更新プログラムの言語を選択する | インストールする WSUS 更新プログラムの言語を決定します。 |
1.5. WSUS コンピューター グループを計画する | 展開に使う WSUS コンピューター グループのアプローチを計画します。 |
1.6. プラン WSUS のパフォーマンスに関する考慮事項: バック グラウンド インテリジェント転送サービス | パフォーマンスが最適になるように WSUS の設計を計画します。 |
1.7. 自動更新の設定を計画する | シナリオで自動更新の設定をどのように構成するかを計画します。 |
1.1. 考慮事項とシステム要件を確認する
システム要件
ハードウェアおよびデータベース ソフトウェアの要件は、組織内で更新されるクライアント コンピューターの台数によって決まります。 WSUS サーバーの役割を有効にする前に、サーバーがシステム要件を満たしていることを確認し、次のガイドラインに従ってインストールを完了するために必要なアクセス許可があることを確認します。
WSUS の役割を有効にする際に求められるサーバーのハードウェア要件は、ハードウェア要件にバインドされています。 WSUS の最小ハードウェア要件
- プロセッサ: 1.4 GHz の x64 プロセッサ (2 GHz 以上推奨)
- メモリ: WSUS では、サーバーおよびその他のすべてのサービスやソフトウェアで必要とされているものとは別に、2 GB の RAM が追加で必要です。
- 使用可能なディスク領域: 40 GB 以上を推奨。
- Unified Update Platform (UUP) を使ったオンプレミスの更新管理には、Windows バージョンごと、および各バージョンのプロセッサ アーキテクチャごとに、10 GB の領域が追加で必要です。 詳細については、「UUP に関する考慮事項」セクションを参照してください。
- ネットワーク アダプター: 100 メガビット/秒 (Mbps) 以上 (1 GB を推奨)
Note
これらのガイドラインでは、合計 30,000 のクライアントのために、WSUS クライアントが 8 時間ごとにサーバーと同期していることを前提としています。 これよりも頻繁に同期が行われる場合は、それに応じてサーバーの負荷が増大します。
必須のソフトウェア更新プログラム:
- Windows Server 2016、2019、2022: 2023-02 以降の累積的な更新プログラム
- Windows Server 2012 と 2012 R2: 2023-03 以降の累積的な更新プログラム
- これらの更新プログラムをインストールできない場合は、WSUS サーバーにUUP に必要な MIME の種類を手動で追加できます。
ソフトウェア要件:
- レポートを表示するため、WSUS には Microsoft Report Viewer Redistributable 2008が必要です。 Windows Server 2016 では、WSUS には Microsoft Report Viewer Runtime 2012 が必要です
インストールの完了時にサーバーの再起動を必要とする役割またはソフトウェア更新プログラムをインストールする場合は、サーバーを再起動した後、WSUS サーバーの役割を有効にしてください。
Microsoft .NET Framework 4.0 は、WSUS サーバーの役割をインストールするサーバーにインストールする必要があります。
WSUS のインストールに使用する予定のアカウントがローカルの Administrators グループのメンバーであることを確認します。
NT Authority\Network Service アカウントは、WSUS 管理スナップインが正しく表示されるように、次のフォルダーに対するフル コントロール アクセス許可を持つ必要があります。
%windir%\Temp
%windir%\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files
注意
このパスは、Internet Information Services (IIS) を含む Web サーバーの役割をインストールする前には存在しない場合があります。
インストールに関する考慮事項
WSUS のインストール処理中に、WSUS では、次の項目がインストールされます。
- .NET API と Windows PowerShell コマンドレット
- WSUS で使用される Windows Internal Database (WID)
- WSUS によって使用されるサービス:
- 更新サービス
- レポート Web サービス
- クライアント Web サービス
- 簡易 Web 認証 Web サービス
- サーバー同期 Web サービス
- DSS 認証 Web サービス
UUP に関する考慮事項
2023 年 3 月 28 日以降、オンプレミスの Windows 11 バージョン 22H2 デバイスは、Unified Update Platform (UUP) 経由で品質更新プログラムを受け取ります。 オンプレミスの UUP は、WSUS と Microsoft Configuration Manager と相互運用されます。 Windows 11 バージョン 22H2 の機能更新プログラムは、毎月更新されるため、最新のビルドをクライアントに簡単に展開できます。 UUP 品質更新プログラムは、継続して累積的であり、リリースされたすべての Windows 品質およびセキュリティ修正プログラムが含まれています。 UUP 更新プログラムは、WSUS 経由では削除できませんが、オンプレミスの UUP を使って更新するクライアントでは、次の機能を利用できます。
- エンド ユーザーが WSUS 環境または Configuration Manager 環境でオンデマンド機能と言語パックを取得する機能。
- 自動破損修復
- クライアントがダウンロードする品質更新プログラムの最小サイズ
オンプレミスの UUP 更新プログラムを準備するには、次の要件が満たされていることを確認します。
WSUS でコンテンツをローカルに保存する場合、WSUS サーバーでは、Windows バージョンごと、および各バージョンのプロセッサ アーキテクチャごとに約 10 GB のコンテンツがダウンロードされます。 たとえば、Windows 11 バージョン 22H2 の x64 と arm64 の両方で、20 GB のコンテンツが追加でダウンロードされます。
WSUS サーバーに次のいずれかの更新プログラムをインストールするか、UUP に必要な MIME の種類を手動で追加します。
- Windows Server 2016、2019、2022: 2023-02 以降の累積的な更新プログラム
- Windows Server 2012 と 2012 R2: 2023-03 以降の累積的な更新プログラム
ヒント
Cannot add duplicate collection entry of type 'mimeMap'
エラーが発生したら、WSUS のトラブルシューティングのヒントを参照してください。
UUP に必要な MIME の種類を手動で追加する
UUP を使ったオンプレミスの更新管理には、2 種類のファイルが必要です。 オンプレミスの UUP をサポートするには、.msu
と .wim
という MIME の種類を WSUS サーバーに追加する必要があります。 WSUS サーバーを更新できない場合は、次の手順に従って、必要なファイルの種類を手動で追加できます。
- [インターネット インフォメーション サービス (IIS) マネージャー] を開きます。
- WSUS サーバーの名前を [接続] ペインから選択します。 WSUS サーバー名が表示されない場合は、[ファイル] メニューから [サーバーへの接続] を選択して、サーバー名を入力します。
- [機能ビュー] で、[MIME の種類] を選択し、[アクション] ペインから [機能を開く] を選択します。
重要
MIME の種類を追加するときは、サイトではなく、必ずサーバーを選択してください。 WSUS 管理サイトでは、MIME の種類を、ローカルに入力するのではなく、継承する必要があります。
- [MIME の種類] の [アクション] ペインから、[追加] を選択します。
- 次の情報を [MIME の種類を追加] ウィンドウに入力します。
- ファイル名の拡張子:
.wim
- MIME の種類:
application/x-ms-wim
- ファイル名の拡張子:
- MIME の種類の追加が完了したら、[OK] を選択します。
- もう一度 [追加] を選択し、別の MIME の種類を追加して、次の情報を入力します。
- ファイル名の拡張子:
.msu
- MIME の種類:
application/octet-stream
- ファイル名の拡張子:
- MIME の種類の追加が完了したら、[OK] を選択します。
オンデマンド機能に関する考慮事項
WSUS を使用して更新できるように (サーバーを含む) クライアント コンピューターを構成する場合は、次の制限に注意してください。
オンデマンド機能を使ってペイロードを削除したサーバーの役割は、Microsoft Update からオンデマンドでインストールすることはできません。 そのようなサーバーの役割をインストールする際にインストール ソースを提供するか、グループ ポリシー内のオンデマンド機能のソースを構成する必要があります。
Windows クライアントの各エディションでは、Web からオンデマンドで .NET 3.5 をインストールすることはできません。 .NET 3.5 には、サーバーの役割と同じ考慮事項が適用されます。
注意
必要に応じてインストール ソースで、機能の構成では、WSUS は関与しません。 機能を構成する方法については、「 Windows Server でのオンデマンド機能の構成」を参照してください。
Windows 10 バージョン 1709 またはバージョン 1803 が実行されている企業向けデバイスでは、WSUS からオンデマンド機能を直接インストールすることはできません。 オンデマンド機能をインストールするには、機能ファイル (サイド バイ サイド ストア) を作成するか、次のいずれかのソースからオンデマンド機能パッケージを取得します。
ボリューム ライセンス サービス センター (VLSC) - VL のアクセス権が必要です
OEM ポータル - OEM のアクセス権が必要です
MSDN ダウンロード - 有効な MSDN サブスクリプションが必要です
個別に取得したオンデマンド機能パッケージは DISM コマンド ライン オプションを使用してインストールできます。
WSUS データベースの要件
WSUS では、次のいずれかのデータベースが必要です。
- Windows Internal Database (WID)
- サポートされている任意の Microsoft SQL Server バージョン。 詳細については、「Microsoft ライフサイクル ポリシー」を参照してください。
WSUS は、次のエディションの SQL Server をサポートしています。
- Standard
- Enterprise
- Express
注意
SQL Server Express 2008 R2 では、データベース サイズが 10 GB に制限されています。 このデータベース サイズは WSUS にとって十分であると考えられますが、WID ではなくこのデータベースを使用するほどの利点はありません。 WID データベースには、標準の Windows Server のシステム要件より 2 GB の最小 RAM メモリ要件があります。
WSUS の役割は、データベース サーバー コンピューターとは別のコンピューターにインストールできます。 この場合、次に示す追加の条件が適用されます。
データベース サーバーは、ドメイン コントローラーとして構成することはできません。
WSUS サーバーでは、リモート デスクトップ サービスを実行することはできません。
データベース サーバーが WSUS サーバーと同じ Active Directory ドメインに存在するか、データベース サーバーと WSUS サーバーの Active Directory ドメインとの間に信頼関係がある必要があります。
WSUS サーバーとデータベース サーバーは、タイム ゾーンが同じであるか、同じ協定世界時 (グリニッジ標準時) のソースに同期される必要があります。
1.2. WSUS の展開シナリオを選択する
ここでは、すべての WSUS 展開の基本的な機能について説明します。 また、1 台の WSUS サーバーでの単純な展開だけでなく、WSUS サーバーの階層や分離されたネットワーク セグメント上の WSUS サーバーなど、より複雑なシナリオについても確認します。
単純な WSUS 展開
最も基本的な WSUS の展開は、プライベート イントラネットのクライアント コンピューターを所属企業のファイアウォールの内側のサーバーで構成されます。 WSUS サーバーは Microsoft Update に接続して更新プログラムをダウンロードします。 これは 同期と呼ばれます。 同期中、WSUS は、前回の同期以降に新しい更新プログラムが利用可能になったかどうかを確認します。 初めて WSUS を同期するときは、すべての更新プログラムをダウンロードできます。
注意
最初の同期には 1 時間以上かかる場合があります。 その後のすべての同期にかかる時間は大幅に短縮されます。
既定では、WSUS サーバーでは、Microsoft から更新プログラムを取得するために、HTTP プロトコルにはポート 80、HTTPS プロトコルにはポート 443 を使用します。 ネットワークとインターネットの間に企業ファイアウォールがある場合、これらのポートは、Microsoft Update と直接通信しているサーバーで開く必要があります。 この通信に対してカスタム ポートの使用を計画している場合は、代わりにこれらのポートを開く必要があります。 複数の WSUS サーバーを、親 WSUS サーバーと同期するように構成できます。 既定では、WSUS サーバーでは、クライアント ワークステーションに更新プログラムを提供するために、HTTP プロトコルにはポート 8530、HTTPS プロトコルにはポート 8531 を使用します。
複数の WSUS サーバー
管理者は、組織のイントラネット内のすべてのコンテンツを同期する WSUS を実行する複数のサーバーを展開できます。 1 台のサーバーのみをインターネットに公開することがあります。その場合はこれが、Microsoft Update から更新プログラムをダウンロードする唯一のサーバーになります。 このサーバーがセットアップされて、アップ ストリーム サーバーとダウン ストリーム サーバーが同期ソースです。 すべてのクライアント コンピューターに最適な接続を提供するために、必要に応じて、サーバーを地理的に離れたネットワーク全体に配置することができます。
接続されていない WSUS サーバー
企業のポリシーまたは他の条件によってコンピューターのインターネットへのアクセスが制限されている場合、管理者は WSUS を実行するように内部サーバーをセットアップできます。 この例は、イントラネットには接続されていて、インターネットからは分離されているサーバーを示しています。 このサーバーで更新プログラムのダウンロード、テスト、および承認を行った後、管理者は更新メタデータとコンテンツを DVD にエクスポートします。 更新メタデータとコンテンツは、DVD から、イントラネット内で WSUS を実行しているサーバーにインポートされます。
WSUS サーバーの階層
WSUS サーバーの複雑な階層を作成できます。 1 台の WSUS サーバーは Microsoft Update ではなく別の WSUS サーバーと同期できるため、Microsoft Update に接続されている WSUS サーバーが 1 台だけ必要です。 WSUS サーバーどうしをリンクする場合は、アップストリーム WSUS サーバーとダウンストリーム WSUS サーバーが存在しています。 WSUS サーバー階層の展開には、次のような利点があります。
インターネットから更新プログラムを一度ダウンロードした後、ダウンストリーム サーバーを使用してクライアント コンピューターに更新プログラムを配布できます。 この方法では、企業のインターネット接続の帯域幅が節約されます。
ブランチ オフィスなど、クライアント コンピューターの物理的に近くにある WSUS サーバーに更新プログラムをダウンロードできます。
個々の WSUS サーバーは、異なる言語の Microsoft 製品を使用するクライアント コンピューターに対して機能するようにセットアップできます。
WSUS は、1 台の WSUS サーバーで効率的に管理できる台数よりも多くのクライアント コンピューターが含まれている大規模な組織向けに拡張できます。
注意
作成する WSUS サーバーの階層は 3 階層までにすることをお勧めします。 各レベルでは、接続されたサーバー全体に更新プログラムを伝達するのに時間がかかります。 理論上、階層に制限はありませんが、Microsoft では階層の深さが 5 レベルの展開のみのテストを行いました。
また、ダウンストリーム サーバーは、アップストリーム サーバーの同期ソースと同じバージョンまたは以前のバージョンの WSUS である必要があります。
WSUS サーバーには、自律モード (分散管理を実現) またはレプリカ モード (集中管理を実現) で接続できます。 1 つのモードのみを使うサーバー階層を展開する必要はありません。つまり、自律モードとレプリカ モードの両方の WSUS サーバーを使う WSUS ソリューションを展開できます。
自律モード
自律モードは、分散管理とも呼ばれ、WSUS の既定のインストール オプションです。 自律モードでは、アップストリーム WSUS サーバーは、同期中に更新プログラムをダウンストリーム サーバーと共有します。 ダウンストリーム WSUS サーバーは、個別に管理され、アップストリーム サーバーから更新プログラムの承認状態やコンピューター グループの情報を受け取りません。 各 WSUS サーバー管理者は、分散管理モデルを使用することで、更新プログラムの言語の選択、コンピューター グループの作成、コンピューターのグループへの割り当て、および更新プログラムのテストと承認を行い、適切な更新プログラムが適切なコンピューター グループにインストールされるようにします。
レプリカ モード
レプリカ モードは、集中管理とも呼ばれ、更新プログラム、承認状態、およびコンピューター グループをダウンストリーム サーバーと共有するアップストリーム WSUS サーバーを使用します。 レプリカ サーバーは、更新プログラムの承認状態を継承しますが、アップストリーム WSUS サーバーとは別に管理されるわけではありません。
Note
複数のレプリカ サーバーを 1 台のアップストリーム WSUS サーバーに接続するようにセットアップする場合、同期を各レプリカ サーバーで同時に実行するようにスケジュールを設定しないでください。 これにより、帯域幅の使用量が急増するのを防ぐことができます。
ブランチ オフィス
Windows のブランチ オフィス機能を活用して、WSUS 展開を最適化できます。 この種類の展開には、次の利点があります。
WAN リンク使用量を減らすとともに、アプリケーションの応答性を向上させることができます。 WSUS サーバーで扱われるコンテンツについて、BranchCache による高速化を有効にするには、サーバーとクライアントに BranchCache 機能をインストールし、BranchCache サービスが開始されたことを確認します。 それ以外の手順は必要ありません。
セントラル オフィスに対しては低帯域幅接続、インターネットに対しては高帯域幅接続を使用しているブランチ オフィスでは、ブランチ オフィス機能も使用できます。 この場合、ダウンストリーム WSUS サーバーを、中央の WSUS サーバーからインストールする更新プログラムについての情報を取得し、更新プログラムは Microsoft Update からダウンロードするように構成できます。
Network Load Balancing
ネットワーク負荷分散 (NLB) を使用すると、WSUS ネットワークの信頼性とパフォーマンスが向上します。 SQL Server が実行されている 1 つのフェールオーバー クラスターを共有する複数の WSUS サーバーを設定できます。 この構成では、WSUS によって提供される Windows Internal Database のインストールではなく、SQL Server の完全インストールを使用する必要があります。また、すべての WSUS フロントエンド サーバーにデータベース ロールをインストールする必要があります。 すべての WSUS サーバーでは、分散ファイル システム (DFS) を使用してコンテンツを保存することもできます。
NLB 用の WSUS のセットアップ: NLB 用の WSUS 3.2 のセットアップと比較すると、NLB 用に WSUS を構成するために特別なセットアップの呼び出しとパラメーターは必要ありません。 各 WSUS サーバーのセットアップだけが必要となります。次の考慮事項に留意してください。
- WID ではなく SQL データベースのオプションを使用して WSUS をセットアップする必要があります。
- 更新プログラムをローカルに保存している場合は、同じ SQL データベースを共有している WSUS サーバー間で、同じコンテンツ フォルダーを共有する必要があります。
- WSUS セットアップはシリアルに実行する必要があります。 同じ SQL データベースを共有する場合は、インストール後のタスクを同時に複数のサーバーで実行することはできません。
- 各フロントエンド WSUS サーバーでは、同じレベルの累積的な更新プログラムを含め、同じオペレーティング システムのバージョンを実行する必要があります。
ローミング クライアント コンピューターを使用した WSUS 展開
ネットワークに、さまざまな場所からネットワークにログオンするモバイル ユーザーが含まれている場合、移動ユーザーが地理的に最も近い WSUS サーバーからクライアント コンピューターを更新できるように WSUS を構成できます。 たとえば、リージョンごとに 1 つの WSUS サーバーを展開し、リージョンごとに異なる DNS サブネットを使用することができます。 すべてのクライアント コンピューターは、同じ WSUS サーバーに転送されます。これにより、各サブネットでは、物理的に最も近い WSUS サーバーに解決されます。
1.3. WSUS 記憶域の戦略を選択する
Windows Server Update Services (WSUS) では 2 種類の記憶域システムが使用されます。1 つは WSUS の構成と更新メタデータを保存するデータベース、もう 1 つは更新ファイルを保存するオプションのローカル ファイル システムです。 WSUS をインストールする前に、記憶域を実装する方法を決定する必要があります。
更新プログラムは、更新プログラム自体についての情報を記述したメタデータと、更新プログラムのインストールに必要なファイルの 2 つの部分で構成されています。 一般に、更新メタデータは、実際の更新プログラムよりもサイズがかなり小さく、WSUS データベースに保存されます。 更新ファイルは、ローカルの WSUS サーバーまたは Microsoft Update Web サーバーに保存されます。
WSUS データベース
WSUS では WSUS サーバーごとに 1 つのデータベースが必要です。 WSUS では、WSUS サーバーとは別のコンピューターに存在するデータベースの使用がサポートされていますが、いくつか制限があります。 サポートされているデータベースとリモートのデータベースの制限事項の一覧を参照してください「1.1 の検討事項とシステム要件は、」をこのガイドをセクションします。
WSUS データベースには次の情報が格納されます。
- WSUS サーバーの構成情報
- 各更新プログラム自体についての情報を記述したメタデータ
- クライアント コンピューター、更新プログラム、および対話式操作に関する情報
複数の WSUS サーバーをインストールする場合は、自律サーバーかレプリカ サーバーかに関係なく、WSUS サーバーごとに個別のデータベースを保持する必要があります。 SQL Server フェールオーバーを使うネットワーク負荷分散 (NLB) クラスターを除き、SQL Server の 1 つのインスタンスに複数の WSUS データベースを格納することはできません。
SQL Server、SQL Server Express、および Windows Internal Database では、データベースと WSUS サービスが同じコンピューターに存在する単一サーバー構成で同じパフォーマンス特性が実現します。 単一サーバー構成では、数千に及ぶ WSUS クライアント コンピューターをサポートできます。
注意
データベースに直接アクセスして WSUS を管理しないでください。 データベースを直接操作すると、データベースが破損する可能性があります。 破損はすぐには明らかにならない可能性がありますが、次のバージョンの製品にアップグレードできなくなることがあります。 WSUS は、WSUS コンソールまたは WSUS アプリケーション プログラミング インターフェイス (API) を使用して管理できます。
Windows Internal Database を使用した WSUS
既定では、インストール ウィザードによって、SUSDB.mdf という名前の Windows Internal Database が作成され、使用されます。 このデータベースは %windir%\wid\data\ フォルダーにあります。この場合、%windir% は WSUS サーバー ソフトウェアがインストールされているローカル ドライブです。
注意
Windows Internal Database (WID) は、Windows Server 2008 で導入されました。
WSUS では、データベースに対して Windows 認証のみをサポートしています。 WSUS で SQL Server 認証を使うことはできません。 WSUS データベースに Windows Internal Database を使用する場合、WSUS セットアップで、server\Microsoft##WID という名前の SQL Server インスタンスが作成されます (server はコンピューターの名前です)。 いずれかのデータベース オプションを使用すると、WSUS セットアップでは SUSDB という名前のデータベースが作成されます。 このデータベースの名前は構成できません。
次の場合は Windows Internal Database を使用することをお勧めします。
- 組織が他のアプリケーション用の SQL Server 製品をまだ購入していないか必要としていない。
- 組織が NLB WSUS ソリューションを必要としていない。
- (ブランチ オフィスなどに) 複数の WSUS サーバーを展開する予定がある。 この場合、ルート WSUS サーバーに SQL Server を使う場合でも、セカンダリ サーバーで Windows Internal Database を使うことを検討してください。 各 WSUS サーバーには SQL Server の個別のインスタンスが必要であるため、SQL Server の 1 つのインスタンスのみで複数の WSUS サーバーを処理する場合は、データベースのパフォーマンスに関する問題がすぐに発生します。
Windows Internal Database には、ユーザー インターフェイスもデータベース管理ツールも用意されていません。 WSUS にこのデータベースを選択する場合、外部ツールを使用してデータベースを管理する必要があります。 詳細については、次のドキュメントを参照してください。
SQL Server を使用した WSUS
次の場合は WSUS で SQL Server を使用することをお勧めします。
- NLB WSUS ソリューションが必要である。
- 少なくとも 1 つの SQL Server インスタンスがインストールされている。
- ローカルの非システムアカウントで、または SQL Server 認証を使って、SQL Server サービスを実行できない。 WSUS では Windows 認証のみがサポートされています。
WSUS 更新プログラムの保存場所
更新プログラムを WSUS サーバーと同期すると、メタデータと更新ファイルは別々の場所に保存されます。 メタデータは WSUS データベースに保存されます。 更新ファイルは、同期オプションをどのように構成したかに応じて、WSUS サーバーまたは Microsoft Update サーバーに保存できます。 WSUS サーバーに更新ファイルを保存する場合、クライアント コンピューターは、ローカルの WSUS サーバーから承認済み更新プログラムをダウンロードします。 そうでない場合は、クライアント コンピューターは Microsoft Update から直接承認済みの更新プログラムをダウンロードします。 組織にとって最適なオプションは、インターネットへのネットワーク帯域幅、イントラネットでのネットワーク帯域幅、およびローカル記憶域によって異なります。
展開する WSUS サーバーごとに異なる更新プログラムの保存場所ソリューションを選択できます。
ローカルの WSUS サーバー記憶域
更新ファイルのローカルの記憶域は、WSUS をインストールして構成する場合の既定のオプションです。 このオプションを使用すると、クライアント コンピューターはローカルの WSUS サーバーから直接更新プログラムをダウンロードするため、インターネットへの企業ネットワークの帯域幅を節約できます。
このオプションでは、必要なすべての更新プログラムを保存するのに十分なディスク領域がサーバーにあることが必要です。 WSUS では更新プログラムをローカルに保存するのに少なくとも 20 GB 必要です。ただし、テスト済みの変数に基づいて 30 GB をお勧めします。
Microsoft Update サーバー上のリモート記憶域
更新プログラムは、Microsoft Update サーバーにリモートで保存できます。 このオプションは、ほとんどのクライアント コンピューターが WSUS サーバーには低速 WAN 接続を介して接続し、インターネットには高帯域幅接続を使用して接続する場合に役立ちます。
この場合、ルート WSUS サーバーは Microsoft Update と同期して、更新メタデータを受け取ります。 更新プログラムの承認後に、クライアント コンピューターは Microsoft Update サーバーから承認済みの更新プログラムをダウンロードします。
1.4. WSUS 更新プログラムの言語を選択する
WSUS サーバー階層を展開するとき、組織全体で必要な更新プログラムの言語を決定する必要があります。 ルート WSUS サーバーは、組織全体で使用されるすべての言語の更新プログラムをダウンロードするように構成する必要があります。
たとえば、メイン オフィスでは英語とフランス語の更新プログラム、あるブランチ オフィスでは英語、フランス語、およびドイツ語の更新プログラム、別のブランチ オフィスでは英語とスペイン語の更新プログラムが必要であるとします。 この場合、ルート WSUS サーバーは、英語、フランス語、ドイツ語、およびスペイン語の更新プログラムをダウンロードするように構成します。 その後、最初のブランチ オフィスの WSUS サーバーを、英語、フランス語、およびドイツ語のみの更新プログラムをダウンロードするように構成し、2 番目のブランチ オフィスの WSUS サーバーを、英語とスペイン語のみの更新プログラムをダウンロードするように構成します。
WSUS 構成ウィザードの [言語の選択] ページを使用すると、すべての言語または一部の言語から更新プログラムを取得できます。 一部の言語を選択するとディスク領域を節約できますが、WSUS サーバーのすべてのダウンストリーム サーバーとクライアント コンピューターで必要なすべての言語を選択することが重要です。
このオプションを構成する前に、更新プログラムの言語に関して、注意が必要な重要事項を次に示します。
- 組織全体で必要な言語に加え、必ず英語を含めます。 すべての更新プログラムは英語の言語パックに基づいているためです。
- アップストリーム サーバーに必要な言語の一部を選択しなかった場合、ダウンストリーム サーバーとクライアント コンピューターで必要な更新プログラムの一部が取得されません。 すべてのダウンストリーム サーバーに関連付けられているすべてのクライアント コンピューターで必要なすべての言語を選択していることを確認してください。
- 通常は、Microsoft Update と同期するルート WSUS サーバーですべての言語の更新プログラムをダウンロードする必要があります。 この選択によって、すべてのダウンストリーム サーバーとクライアント コンピューターで必要な言語の更新プログラムを取得することが保証されます。
ローカルに更新プログラムを保存していて、限られた数の言語の更新プログラムをダウンロードするように WSUS サーバーを設定した場合、指定した以外の言語の更新プログラムが含まれていることがあります。 多くの更新ファイルは、複数の異なる言語のバンドルであり、サーバーで指定した言語の少なくとも 1 つが含まれています。
アップストリーム サーバー
注意
ダウンストリーム レプリカ サーバーに必要なすべての言語の更新プログラムを同期するようにアップストリーム サーバーを構成します。 同期されていない言語では、必要な更新プログラムが通知されません。
更新プログラムは、その言語を必要とするクライアント コンピューターで [適用できません] と表示されます。 この問題を回避するには、すべてのオペレーティング システムの言語が WSUS サーバーの同期のオプションに含まれていることを確認してください。 WSUS 管理コンソールの [コンピューター] ビューに移動して、オペレーティング システムの言語に基づいてコンピューターを並べ替えることによって、すべてのオペレーティング システムの言語を確認できます。 ただし、複数の言語の Microsoft アプリケーションがある場合は、より多くの言語を含めることが必要となる場合があります (英語バージョンの Windows を利用しているコンピューターにフランス語バージョンの Microsoft Word がインストールされている場合など)。
アップストリーム サーバーの言語の選択は、ダウンストリーム サーバーの言語の選択とは異なります。 その相違点について、次の手順で説明します。
Microsoft Update を通じてサーバー同期を行う場合に、更新プログラムの言語を選択するには
WSUS 構成ウィザード:
- すべての言語の更新プログラムを取得するには、[新しい言語を含むすべての言語で更新プログラムをダウンロードする] を選択します。
- 特定の言語の更新プログラムのみを取得するには、[次の言語版の更新のみをダウンロードする] を選択し、更新プログラムの対象となる言語を選択します。
ダウンストリーム サーバーの更新プログラムの言語を選択するには
一部の言語の更新プログラム ファイルのみをダウンロードするようにアップストリーム サーバーが構成されている場合: WSUS 構成ウィザードで、[次の言語版の更新のみをダウンロードする (アップストリーム サーバーで、アスタリスクが付いている言語のみがサポートされます)] を選択し、更新プログラムの対象となる言語を選択します。
Note
ダウンストリーム サーバーでアップストリーム サーバーと同じ言語をダウンロードする必要がある場合でも、この操作は必要です。
すべての言語の更新プログラム ファイルをダウンロードするようにアップストリーム サーバーが構成されている場合: WSUS の構成ウィザードで、[アップストリーム サーバーでサポートされているすべての言語の更新プログラムをダウンロードする] を選択します。
Note
ダウンストリーム サーバーでアップストリーム サーバーと同じ言語をダウンロードする必要がある場合でも、この操作は必要です。 この設定を選んだ場合は、アップストリーム サーバーにすべての言語の更新プログラムがダウンロードされます (アップストリーム サーバーに対して構成されていなかった言語を含む)。 アップストリーム サーバーに言語を追加する場合は、そのレプリカ サーバーに新しい更新プログラムをコピーする必要があります。
アップストリーム サーバーでのみ言語のオプションを変更すると、セントラル サーバーで承認されている更新プログラムの数とレプリカ サーバーで承認されている更新プログラムの数が一致しなくなるおそれがあります。
1.5. WSUS コンピューター グループを計画する
WSUS では、クライアント コンピューターのグループを更新プログラム展開の対象とすることができるため、特定のコンピューターは常に最も適切な時間に適切な更新プログラムを取得できます。 たとえば、ある部署 (経理チーム) 内のすべてのコンピューターが特定の構成になっている場合、そのチームのグループを設定し、コンピューターで必要な更新プログラムと更新プログラムをインストールするタイミングを決定し、WSUS レポートを使用してチームの更新プログラムを評価できます。
Note
WSUS サーバーがレプリカ モードで実行されている場合、そのサーバーにはコンピューター グループを作成できません。 レプリカ サーバーのクライアント コンピューターに必要なすべてのコンピューター グループは、WSUS サーバー階層のルートである WSUS サーバーに作成する必要があります。 レプリカ モードの詳細については、WSUS レプリカ モードを実行するに関する記事を参照してください。
コンピューターは常に All computers グループに割り当てられ、別のグループに割り当てるまでは Unassigned computers グループに割り当てられたままになります。 コンピューターは複数のグループに所属することができます。
コンピューター グループは階層化できます (たとえば、経理用の Accounting グループの下に給与関連の Payroll グループと支払勘定関連の Accounts Payable グループを設定できます)。 上位グループ向けとして承認された更新プログラムは、上位のグループだけでなく、下位のグループにも自動的に展開されます。 この例では、Accounting グループに更新プログラム 1 を承認した場合、その更新プログラムは Accounting グループのすべてのコンピューター、Payroll グループのすべてのコンピューター、および Accounts Payable グループのすべてのコンピューターに展開されます。
コンピューターは複数のグループに割り当てることができるため、同じコンピューターで 1 つの更新プログラムを何度も承認することができます。 ただし、その更新プログラムが展開されるのは一度だけです。競合が発生した場合は WSUS サーバーで解決されます。 引き続き前の例を使用すると、コンピューター A が Payroll グループと Accounts Payable グループに割り当てられていて、更新プログラム 1 が両方のグループに対して承認されている場合、更新プログラム 1 は一度だけ展開されます。
コンピューター グループにコンピューターを割り当てる方法は 2 つあり、サーバー側でのターゲット指定とクライアント側でのターゲット指定が可能です。 各方法の定義を次に示します。
- サーバー側でのターゲット指定:1 つ以上のクライアント コンピューターを複数のグループに同時に手動で割り当てます。
- クライアント側でのターゲット指定:グループ ポリシーを使用するかクライアント コンピューターでレジストリ設定を編集して、作成済みのコンピューター グループにそれらのコンピューターが自動的に追加されるようにします。
競合の解決
サーバーは次の規則を適用して競合を解決し、その結果としてクライアントに対する処理を決定します。
優先順位
インストール/アンインストール
期限
優先順位
優先順位が最高のグループに関連付けられている処理は、他のグループの処理をオーバーライドします。 グループの位置がグループの階層内で深いほど、優先順位は高くなります。 優先順位は、深さに基づいてのみ割り当てられます。すべての分岐において、優先順位は等しくなります。 たとえば、Desktops 分岐の 2 レベル下のグループは、Server 分岐の 1 レベル下のグループより高い優先順位を持ちます。
次に示す Update Services コンソール階層ウィンドウのテキストの例における WSUS-01 という名前の WSUS サーバーの場合、Desktop Computers および Server という名前のコンピューター グループが既定の All Computers グループに追加されています。 Desktop Computers グループと Server グループの階層レベルは同じです。
- Update Services
- WSUS-01
- 更新内容
- コンピューター
- All computers
- Unassigned computers
- Desktop computers
- Desktops-L1
- Desktops-L2
- Desktops-L1
- サーバー
- Servers-L1
- All computers
- Downstream Servers
- Synchronizations
- レポート
- [オプション]
- WSUS-01
この例で、Desktop Computers 分岐の 2 レベル下のグループ (Desktops L2) の優先順位は、Server 分岐の 1 レベル下のグループ (Servers L1) より高くなります。 したがって、Desktops-L2 グループと Servers-L1 グループの両方のメンバーであるコンピューターの場合、Desktops-L2 グループに対するすべての処理の方が、Servers-L1 グループに対して指定されている処理よりも優先されます。
インストールとアンインストールの優先順位
インストールの処理は、アンインストールの処理をオーバーライドします。 必須のインストールは、オプションのインストールをオーバーライドします (オプションのインストールは API によってのみ使用可能です。WSUS 管理コンソールで更新プログラムに対する承認を変更すると、オプションの承認がすべてクリアになります)。
期限の優先順位
期限のある処理は、期限のない処理をオーバーライドします。 期限の早い処理は、期限が後の処理をオーバーライドします。
1.6. WSUS のパフォーマンスに関する考慮事項を計画する
最適なパフォーマンスを得られるように、WSUS を展開する前に注意深く計画する必要のある分野がいくつかあります。 主要な分野は次のとおりです。
- ネットワークのセットアップ
- 遅延ダウンロード
- フィルター
- インストール
- サイズの大きな更新プログラムの展開
- バックグラウンド インテリジェント転送サービス (BITS)
ネットワークのセットアップ
WSUS ネットワークのパフォーマンスを最適化するには、次の提案事項を検討します。
WSUS ネットワークを階層トポロジではなくハブ スポーク トポロジでセットアップします。
ローミング クライアント コンピューターに DNS ネットマスクの順序を使用して、ローカルの WSUS サーバーから更新プログラムを取得するようにローミング クライアント コンピューターを構成します。
遅延ダウンロード
更新プログラムを承認し、更新ファイルをダウンロードする前に更新メタデータをダウンロードできます。この方法は 遅延ダウンロードと呼ばれています。 ダウンロードを保留すると、更新プログラムは承認を受けた後にのみダウンロードされます。 ネットワーク帯域幅とディスク領域を最適化するために、ダウンロードを遅延することをお勧めします。
WSUS サーバーの階層では、WSUS によって、ルート WSUS サーバーの遅延ダウンロードの設定を使用するようにすべてのダウンロード サーバーが自動的に設定されます。 この既定の設定は変更できます。 たとえば、すぐに完全な同期を実行するようにアップストリーム サーバーを構成してから、ダウンロードを遅延するようにダウンストリーム サーバーを構成できます。
接続済みの WSUS サーバーの階層を展開する場合は、サーバーを深く入れ子にしないことをお勧めします。 ダウンロードの保留を有効にしており、アップストリーム サーバーで承認されていない更新プログラムがダウンストリーム サーバーで要求されている場合は、ダウンストリーム サーバーの要求を実行するとダウンロードが強制的に実行されます。 その後、ダウンストリーム サーバーが後続の同期でその更新プログラムをダウンロードします。 WSUS サーバーの階層が深い場合、更新プログラムが要求され、ダウンロードされ、サーバー階層全体に渡されるときに、遅延が発生することがあります。 既定では、更新プログラムをローカルに保存するときに、遅延ダウンロードが有効になります。 このオプションは手動で変更できます。
フィルター
WSUS では、言語、製品、および分類別に更新プログラムの同期をフィルター処理できます。 WSUS サーバーの階層では、WSUS によって、ルート WSUS サーバーで選択されている更新プログラムのフィルター オプションを使用するようにすべてのダウンストリーム サーバーが自動的に設定されます。 ダウンロード サーバーは、一部の言語のみを取得するように再構成できます。
既定では、更新対象の製品は Windows と Office で、既定の分類は重要な更新プログラム、セキュリティ更新プログラム、および定義の更新です。 帯域幅とディスク領域を節約するために、実際に使用する言語に限定することをお勧めします。
インストール
通常、更新プログラムは、更新中のコンピューターに既に存在するファイルの新しいバージョンで構成されています。 バイナリ レベルでは、これらの既存のファイルは更新後のバージョンとそれほど違わない場合があります。 高速インストール ファイル機能は、バージョン間の正確なバイト数を特定し、それらの差異のみの更新プログラムを作成して配布した後、既存のファイルと更新後のバイト数を統合します。
この機能はデルタ配信と呼ばれる場合があります。これは、ファイルの 2 つのバージョン間のデルタ (差異) のみをダウンロードするためです。 高速インストール ファイルのサイズは、クライアント コンピューターに配布される更新プログラムよりも大きくなります。更新対象の各ファイルの考えられるすべてのバージョンが含まれているためです。
WSUS は特定のバージョンの更新されたコンポーネントに適用できるデルタのみを送信するので、高速インストール ファイルを使用して、ローカル ネットワークで使用される帯域幅を制限できます。 ただし、WSUS サーバー、すべてのアップストリーム WSUS サーバー、Microsoft Update の間の帯域幅や、ローカル ディスク領域が追加で必要になります。 既定では、WSUS には高速インストール ファイルが使われません。
すべての更新プログラムが高速インストール ファイルを使用した配布に向いているとは限りません。 このオプションを選択した場合、すべての更新プログラムの高速インストール ファイルを取得します。 更新プログラムをローカルに保存しない場合は、Windows Update エージェントが、高速インストール ファイルまたは完全なファイルでの更新プログラムの配布のどちらをダウンロードするかを決定します。
サイズの大きな更新プログラムの展開
サイズの大きな更新プログラム (Service Pack など) を展開する場合は、次の方法を使用して、ネットワークが飽和状態になるのを防ぐことができます。
バックグラウンド インテリジェント転送サービス (BITS) の調整を使用します。 BITS の帯域幅の制限は時刻で管理できますが、BITS を使用しているすべてのアプリケーションに適用されます。 BITS の調整を管理する方法については、グループ ポリシーに関するページを参照してください。
インターネット インフォメーション サービス (IIS) の調整を使用して、調整を 1 つ以上の Web サービスに制限します。
コンピューター グループを使用して、ロールアウトを制御します。 クライアント コンピューターは、WSUS サーバーに情報を送信するときに、特定のコンピューター グループのメンバーとしてそれ自体を識別します。 WSUS サーバーはこの情報を使用して、このコンピューターに展開する必要のある更新プログラムを判断します。 複数のコンピューター グループを設定して、それらのグループのサブセットに対してサイズの大きな Service Pack のダウンロードを順番に承認します。
バックグラウンド インテリジェント転送サービス
WSUS はすべてのファイル転送タスクにバックグラウンド インテリジェント転送サービス (BITS) プロトコルを使用します。 これには、クライアント コンピューターへのダウンロードと、サーバーの同期が含まれます。 BITS では、プログラムが予備の帯域幅を使用してファイルをダウンロードできます。 BITS は、ネットワークの切断やコンピューターの再起動が発生しても、ファイルの転送を維持します。 詳細については、次のドキュメントを参照してください。バックグラウンド インテリジェント転送サービス。
1.7. 自動更新の設定を計画する
WSUS サーバーで更新プログラムを承認する期限を指定できます。 この期限により、クライアント コンピューターでは特定の期間に更新プログラムがインストールされますが、期限を過ぎているかどうか、インストール対象のコンピューターのキューに他の更新プログラムがあるかどうか、および更新プログラム (またはキューに含まれている他の更新プログラム) が再起動を必要とするかどうかによって、さまざまな状況があります。
既定では、自動更新は 22 時間からランダム オフセットを差し引いた間隔で、承認済みの更新プログラムの有無について WSUS サーバーをポーリングします。 新しい更新プログラムをインストールする必要がある場合は、ダウンロードが実行されます。 各検出サイクルの時間は、1 ~ 22 時間で操作できます。
次のように通知オプションを操作できます。
インストールの準備ができている更新プログラムについてユーザーに通知するように自動更新を構成している場合、その通知はシステム ログと、クライアント コンピューターの通知領域に送信されます。
適切な資格情報を持つユーザーが通知領域のアイコンをクリックすると、インストールできる更新プログラムが自動更新で表示されます。 ユーザーが [インストール] を選択すると、インストールが開始します。 更新プログラムのインストールを完了するためにコンピューターの再起動が必要な場合は、メッセージが表示されます。 再起動が要求された場合は、コンピューターが再起動するまで、自動更新を実行しても、その他の更新プログラムは検出されません。
指定したスケジュールで更新プログラムをインストールするように自動更新を構成している場合、適切な更新プログラムがダウンロードされ、インストールの準備ができているものとしてマークされます。 自動更新は通知領域のアイコンを使用して適切な資格情報を持っているユーザーに通知します。また、イベントがシステム ログに記録されます。
ローカル管理者がログオンしていない場合でも、自動更新はスケジュールが設定された日時に更新プログラムをインストールし、コンピューターを再起動 (必要な場合) します。 ローカル管理者がログオンしていて、コンピューターが再起動を要求された場合、自動更新は再起動の警告とカウントダウンを表示します。 それ以外の場合、インストールはバックグラウンドで行われます。
コンピューターの再起動が必要な場合で、ユーザーがログオンしている場合は、同様のカウントダウン ダイアログ ボックスが表示され、もうすぐ再起動が行われることについての警告がユーザーに表示されます。 コンピューターの再起動は、グループ ポリシーを使用して操作できます。
新しい更新プログラムがダウンロードされた後、自動更新が承認済みの更新プログラムの一覧について WSUS サーバーをポーリングし、ダウンロード済みのパッケージが依然として有効で承認済みであることを確認します。 つまり、自動更新による更新プログラムのダウンロード中に WSUS 管理者が承認済みの更新プログラムの一覧から更新プログラムを削除した場合、実際には、承認されている更新プログラムのみがインストールされます。