展開の種類を選択する
ここでは、あらゆる WSUS の展開の基本となる構成ブロックを説明します。この項を読めば、1 台の WSUS サーバーを展開する場合の単純な展開方法を理解できます。ここではまた、さまざまなコンピュータのグループを更新対象とする場合に使用するコンピュータ グループの機能や、複数の WSUS サーバーを "チェーン化" したり、分離されたネットワーク セグメントに WSUS サーバーをセットアップしたりする複雑なシナリオについても説明します。
単純な WSUS の展開
最も基本的な WSUS の展開は、次図「単純な WSUS の展開」に示すように、プライベート イントラネット上のサーバー クライアントを処理する 1 台のサーバーを、企業のファイアウォールの内側にセットアップする方法です。この WSUS サーバーは、Microsoft Update に接続して更新プログラムをダウンロードします。これを "同期" と呼びます。同期の際、WSUS は、前回の同期以降に新しく利用可能になった更新プログラムがあるかどうかを確認します。WSUS の同期を初めて行う場合は、すべての更新プログラムが承認可能な状態になります。
WSUS サーバーは、ポート 80 とポート 443 を使用して、Microsoft から更新プログラムを取得します。これは構成可能ではありません。ネットワークとインターネットの間に企業のファイアウォールが配置されている場合は、ポート 80 を HTTP プロトコル用に、ポート 443 を HTTPS プロトコル用に開く必要があります。
Microsoft Update と WSUS の間の接続ではポート 80 とポート 443 を開く必要がありますが、複数の WSUS サーバーを、1 つのカスタム ポートを使用して親の WSUS サーバーと同期するように構成することができます。WSUS サーバーをチェーン化する方法、および WSUS のカスタム ポートを構成する方法については、後述します。
.gif)
単純な WSUS の展開
自動更新は、WSUS のクライアント コンポーネントです。自動更新には、Microsoft インターネット インフォメーション サービス (IIS) で WSUS の Web サイトに割り当てられたポートを使用する必要があります。WSUS をインストールするサーバーに実行中の Web サイトがない場合は、既定の Web サイトまたはカスタム Web サイトを使用できます。既定の Web サイトに WSUS をセットアップした場合、WSUS はポート 80 で自動更新をリッスンします。カスタム Web サイトを使用した場合は、ポート 8530 でリッスンします。
カスタム Web サイトを使用する場合は、従来の自動更新クライアント ソフトウェアの更新に対応できるよう、ポート 80 にも Web サイトをセットアップして実行する必要があります。また、カスタム Web サイトを使用する場合は、自動更新を WSUS サーバーに関連付ける際に、URL にポート番号を含める必要があります。WSUS の Web サイトにカスタム ポートを使用する場合の他の考慮事項については、後述の「IIS をインストールして構成する」の「WSUS のカスタム Web サイトの使用」を参照してください。
コンピュータ グループの使用
コンピュータ グループは、基本的な展開でも、WSUS の展開の重要な部分です。コンピュータ グループを使用すると、更新プログラムを特定のコンピュータにターゲットすることができます。すべてのコンピュータと割り当てられていないコンピュータの 2 つの既定のコンピュータ グループがあります。既定では、各クライアント コンピュータが初めて WSUS サーバーに接続したときに、サーバーが両方のグループにクライアント コンピュータを追加します。
.gif)
コンピュータ グループを使用した単純な WSUS の展開
"割り当てられていないコンピュータ" グループのコンピュータは、管理者が作成したグループに移動できます。"すべてのコンピュータ" グループのコンピュータは移動できません。"すべてのコンピュータ" グループを使用すると、グループのメンバシップに関係なく、ネットワーク上のすべてのコンピュータを簡単に更新の対象とすることができます。"割り当てられていないコンピュータ" グループを使用すると、グループのメンバシップがまだ割り当てられていないコンピュータのみを対象とすることができます。
コンピュータ グループを作成する 1 つの利点は、更新プログラムをテストできることです。図「コンピュータ グループを使用した単純な WSUS の展開」には、"すべてのコンピュータ" グループと共に、"テスト" グループと "経理" グループという 2 つのカスタム グループが描かれています。"テスト" グループには、"経理" グループに含まれているすべてのコンピュータを代表する少数のコンピュータが属しています。更新プログラムは、最初に "テスト" グループに対して承認されます。テストに成功した場合は、その更新プログラムを "経理" グループに展開できます。作成できるカスタム グループの数に制限はありません。カスタム コンピュータ グループの作成手順については、後述の「コンピュータのコンピュータ グループを作成する」を参照してください。
注意
組織内のライセンス契約のないクライアント コンピュータには、WSUS を使用して更新プログラムを配布しないでください。このような行為は、WSUS のライセンス契約で明確に禁止されています。
.gif){kind=icon}
WSUS サーバーのチェーン
単純な WSUS の展開とは対照的に、複数のサーバーを使用した複雑な WSUS の展開も作成できます。この種類の展開の基本的な構成ブロックは、Microsoft Update ではなく、別の WSUS サーバーを使用して WSUS サーバーを同期する機能です。WSUS サーバーを 1 つの "チェーン" にすると、下図「チェーン化された WSUS サーバー」に示すように、"アップストリーム" WSUS サーバーと "ダウンストリーム" WSUS サーバーが作成されます。このように構成した場合、WSUS は、同期時に更新プログラムとメタデータだけをダウンストリーム サーバーと共有します。コンピュータ グループの情報や、どの更新プログラムが承認されたかという情報は共有しません。承認された更新プログラムの情報を配布するように WSUS をセットアップする場合は、「管理形態を選択する」で、レプリカ モードの使用方法に関する記述を参照してください。
.gif)
チェーン化された WSUS サーバー
この構成は、さまざまな展開の種類に活用できます。たとえば、この構成を使用すると、更新プログラムをインターネットからいったんダウンロードし、その後でダウンストリーム サーバーを持つ支店に配布して、インターネット接続の帯域幅を節約することができます。1 台の WSUS サーバーでは処理しきれないほど多数のクライアント コンピュータを持つ大規模な組織では、この構成を使用して、WSUS の機能を拡張できます。また、更新プログラムをネットワークに展開する場合は、そのエッジまで更新プログラムを配布できます。
このような階層アーキテクチャで WSUS サーバーを展開する場合は、階層の深さを最大 3 レベルに制限することをお勧めします。これは、チェーン全体に更新プログラムが伝播されるまでに、各レベルで遅延時間が生じるからです。理論的には階層の深さに制限はありませんが、テストで確認されているのは 5 階層の展開のみです。
ダウンストリーム サーバーは、常にアップストリーム サーバーに対して同期されている必要があります。たとえば、上図「チェーン化された WSUS サーバー」の場合、サーバー B はサーバー A から同期されます。このようにして、ダウンストリーム方向への同期が維持されます。アップストリーム サーバーをダウンストリーム サーバーから同期する場合は、閉じたループを作成するのが効果的ですが、この方法はサポートされていません。WSUS サーバーを同期する手順の詳細については、後述の「WSUS サーバーをチェーン化する」を参照してください。
複数の WSUS サーバーが含まれるチェーンを使用する場合は、サーバー間の通信プロトコルを中断する変更が更新プログラムと共に伝播されないように、次の技法を使用することをお勧めします。
WSUS 管理者は、すべての WSUS サーバーの自動更新が、階層の最下層のダウンストリーム WSUS サーバーに関連付けられるように構成する必要があります。これにより、自動更新を通じて、中断されたアップストリーム WSUS サーバーをダウンストリーム WSUS サーバーを使用して更新できるようになるため、サーバー間のプロトコルを中断する変更からチェーン全体を保護できます。
インターネットに接続されていないネットワーク
WSUS を展開するためにネットワーク全体をインターネットに接続する必要はありません。インターネットに接続されていないネットワーク セグメントがある場合は、下図「分離セグメントでの更新プログラムの配布」に示す方法で WSUS を展開することを検討します。この例では、インターネットには接続されていても、イントラネットには接続されていない WSUS サーバーを作成します。このサーバーに更新プログラムをダウンロードしたら、それをメディアにエクスポートして、WSUS を実行している接続されていないサーバーに持ってゆき、更新プログラムをインポートできます。
.gif)
分離セグメントでの更新プログラムの配布
エクスポートとインポートは、インターネットに費用がかかりすぎたり、インターネットへのリンクの帯域幅が制限されている組織に適しています。組織内のすべての Microsoft 製品の更新プログラムを完全にダウンロードするには、後述の帯域幅を節約するためのオプションをすべて使用したとしても、帯域幅を大量に消費する可能性があります。更新プログラムのインポートとエクスポートを使用すれば、更新プログラムのダウンロードは 1 回で済み、安価なメディアを使用して配布することができます。更新プログラムのエクスポートおよびインポートの方法については、「接続されていないネットワークをセットアップする (更新プログラムのインポートとエクスポート)」を参照してください。