Windows Server Update Services を使用したベスト プラクティス
ここでは、WSUS を使用して更新プログラムを管理するベスト プラクティスについて説明します。
生産性が低下する可能性がほとんどないときにコンピュータで更新プログラムをインストールするよう、スケジュールする
WSUS サーバーを含むコンピュータの更新プロセスを管理する際の主な目標の 1 つに、生産性が低下する可能性がほとんどないときに、計画的なダウンタイムを発生させることがあります。以下は、これを実行する際の提案です。
わずかのオフライン時間で効率的に WSUS サーバーや特定のコンピュータを更新するには、WSUS サーバーやコンピュータを独自のコンピュータ グループに配置し、たとえば、日曜日の午前 3 時など、WSUS サーバーやコンピュータがダウンしてもかまわない時刻に期日を設定して、そのグループに展開します。このオプションを使用する場合は、サーバーやコンピュータを通常管理する担当者と、WSUS を使用してコンピュータの更新を管理する担当者を同一人物にするか、別の人物の場合は、同じスケジュールで作業することをお勧めします。
2 週間後などの期日を使用して更新プログラムを展開します。日曜日の午前 3 時など、短時間オフラインとなってもかまわない時刻にスケジュールされたインストールを行うよう WSUS サーバーやコンピュータを設定します。このオプションを使用する場合は、通常サーバーやコンピュータを管理する担当者と、WSUS を使用したコンピュータの更新を管理する担当者が、異なるスケジュールで作業することをお勧めします。
更新プログラムのインストール後に再起動しないようにするか、または再起動が必要でない更新プログラムを直ちにインストールするように、グループ ポリシーを使用してクライアント コンピュータまたは WSUS サーバーを構成します。(更新プログラムのインストールを承認する前に、更新プログラムのプロパティの [説明] フィールドを読んで、更新プログラムでコンピュータを再起動する必要があるかどうかを判断できます。WSUS コンソールの [更新プログラム] ページの更新プログラム一覧で、該当する更新プログラムを選択すると、そのプロパティを表示できます。) たとえば、次のように操作します。
コンピュータの再起動を必要としない更新プログラムがあれば直ちにインストールするポリシーを有効にして、毎日更新プログラムがインストールされるようにします。これにより、インストールする準備ができたときに、サービスを中断しない更新プログラムをインストールできます。つまり、日曜日の朝にインストールするようスケジュールする必要はありません。このポリシーのタイトルは、[自動更新を直ちにインストールすることを許可する] です。詳細については、以降に記載する表を参照してください。
更新プログラムのインストール後にコンピュータを再起動しないようにするポリシーを有効にして、もっと頻繁にインストールをスケジュールします。このポリシーのタイトルは、[自動更新を構成する] です。詳細については、以降に記載する表を参照してください。
.gif){kind=icon}
複数のコンピュータに直ちに更新プログラムをインストールする必要がある場合に、グループ ポリシーを使用する
ネットワークで Active Directory をセットアップしている場合、1 つまたは複数のコンピュータを 1 つのグループ ポリシー オブジェクト (GPO) に含めて、その GPO を WSUS 設定で構成することで、それらのコンピュータを同時に構成できます。WSUS 設定のみを含む新しいグループ ポリシー オブジェクト (GPO) を作成することをお勧めします。この WSUS GPO を環境に適した Active Directory コンテナにリンクさせます。単純な環境では、1 つの WSUS GPO をドメインにリンクさせます。より複雑な環境では、複数の WSUS GPO を複数の組織単位 (OU) にリンクさせることができます。これにより、異なる WSUS ポリシー設定を異なる種類のコンピュータに適用できます。
重要
[既定のドメイン] または [既定のドメイン コントローラ] の GPO を編集しないことをお勧めします。
通常、Active Directory のネットワーク環境で、グループ ポリシーを使用して WSUS を構成する場合、1 日に 1 回 WSUS サーバーに接続して更新プログラムをダウンロードするようクライアント コンピュータを設定します。既定では、これは 22 時間ごとですが、この後で説明するランダムな時間のずれが差し引かれます。そのときに、新しい更新プログラムに対して指定した、インストール、検出、削除などの承認操作がクライアント コンピュータで実行されます。
ただし、セキュリティの脅威を認識し、直ちにセキュリティの脅威からコンピュータを保護する場合は、もっと頻繁にコンピュータが WSUS サーバーに接続して、更新プログラムをダウンロードおよびインストールするようスケジュールをセットアップしてください。
グループ ポリシーを使用してコンピュータを更新する方法と時期を指定するには
グループ ポリシー オブジェクト エディタで、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント] の順に展開し、[Windows Update] をクリックします。
グループ ポリシー オブジェクト エディタの詳細ペインで、適切なポリシーを構成します。設定する可能性のあるポリシーの例については、次の表を参照してください。
| コンピュータの接続頻度と自動更新の動作を構成するためのポリシー | |
|---|---|
| ポリシー | 説明 |
| 自動更新を構成する | 更新プログラムのインストール スケジュールを指定します。必要な場合は、コンピュータの再起動スケジュールを指定してください。 |
| スケジュールされた自動更新インストールでは自動再起動しない | スケジュールされたインストールを完了するため、コンピュータを自動的に再起動するのではなく、ログオンしているユーザーがコンピュータを再起動することを自動更新が待つように指定します。 |
| 自動更新の検出頻度 | コンピュータが WSUS サーバーに接続する頻度を構成します。接続間の正確な時間は、実際にはここで指定した時間から、指定した時間の 0 ~ 20 % を差し引いた時間になります。たとえば、このポリシーを使用して 20 時間の接続頻度を指定する場合、このポリシーが適用されるクライアント コンピュータはすべて 16 ~ 20 時間の間に更新プログラムが確認されます。このポリシーを \[無効\] または \[未構成\] に設定しておくと、Windows は既定の 22 時間間隔で利用可能な更新プログラムを確認します。 |
| 自動更新を直ちにインストールすることを許可する | Windows サービスを中断せず、Windows を再起動もしない特定の更新プログラムを、自動更新で自動的にインストールするかどうかを指定します。 |
グループ ポリシーの詳細については、グループ ポリシーについてのページ (https://go.microsoft.com/fwlink/?LinkID=14232) (英語情報) を参照してください。Active Directory および Active Directory 以外のネットワーク環境でクライアント コンピュータをセットアップおよび構成するオプションの詳細については、Microsoft Windows Server Update Services 展開ガイド (https://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/library/wsus/wsusdeploymentguidetc/ace052df-74e7-4d6a-b5d4-f7911bb06b40.mspx) を参照してください。