先日の週末、私がお世話になっている某所のクライアントPCを一部入れ替えが行われました。その週明け、某所のインターネット回線が輻輳によりダウン状態になってしまいました!!
原因は入れ替えたクライアントPCが(自動で)一斉に「Microsoft Update」を行おうとして大量のネットワーク・トラフィックが発生したためということでした。
某所はActiveDirectoryのサービスを導入しているのですが、「Windows Server Update Service(以下WSUS)」を適用していなかったらしいです。何故?という感じがしますが、ネットワーク管理者が設定していない例が意外と多いのかも知れません。
そういえば今度お手伝いする某機関のサーバー群再構築のお仕事においても、その仕様書に「WSUS導入」が明示されていました。Windows10とかアップデートが半端なく行われますからね。
ということで、今回はWSUSの導入の話です。
WSUSとは
Windows Server Update Service(WSUS)とは、クライアントPC(Windows)の更新プログラムの適用を管理するサービスの事です。皆さんおなじみの「Microsoft Update」を「実施するタイミング」「適用する更新プログラムの選択(適用・非適用)」をクライアントPCやそのグループ単位で設定できる機能です。また、当サービス自体がアップデートモジュールを事前にネットワーク経由で取得してストックしていますので、クライアントPCは本サービスを実施しているサーバからモジュールを取得すれば良いことになります。これは、インターネット回線を流れるトラフィックの削減効果があります(前述のインターネット回線が輻輳でダウン状態になることも回避できるはずです)。さらに、LAN回線(イントラネット)内においてもネットワーク帯域を独占しないようにトラフィックの調整を図ってくれる仕組みです。
ちなみに「Micorsoft Update」は従前は「Windows Update」と呼ばれていました。随分前から「Microsoft Update」という名前に変わっています。
WSUSのメリット
組織内のクライアントPCに関する「更新プログラムの適用状況」を把握することができ、任意の更新プログラムを適用させることができることで、適用漏れを防ぎ、セキュリティのレベルを維持することができます。
また、組織内で稼働しているアプリケーションには、WindowsのOSやファームウェアにパッチが当たってバージョンアップすることで動作がおかしくなることがあります(俗に言う「相性が悪い」ということ)。その場合は、アップデートが組織内の運用に重大な影響を及ぼします。つまり、組織内のクライアントPC(もちろんサーバー)には勝手にアップデートを当てることを避けなければなりません。ちゃんとした組織であれば、検証チームがバージョンアッププログラムを適用した状態で縮退テスト(レグレッションテスト)を実施して問題がないことが分かった段階で組織内に適用しなければなりません。組織内のクライアントPCが勝手にアップデートしてしまうのは好ましくありません。
とうことで、Microsoft Update等の実施を制御するためにWSUSが必要と言うことです。
もちろん、WSUSを適正に運用するには、システム管理者など組織内でシステムを適正に管理できる体制が整っていなければなりません(WSUSは完全自動ではなく、Updateを適用するかどうかは人の判断に任されます)。
きちんと管理することが、WSUS運用の第一条件と言うことになります。
WSUSのメリットはもう一つあります。組織内のネットワークは今ではギガビットのイーサネットになっているところも多いのではないでしょうか?しかしながら、インターネット回線は帯域が狭い状況も多いと思われます。そんなときに、クライアントPCが一斉にUpdateをかけると、インターネット回線を塞いでしまいます。WSUSはパッチファイルのキャッシュ機能もありますので、クライアントPCはWSUSのサーバーからパッチを取得して適用します。だから、Micorsoftの大本のサーバーからパッチをダウンロードするのは一つの組織に対して1回で済むということになります。
WSUSを適用しておけば、一番最初に書いた組織内のネットワークダウンという現象を引き起こさなくても済むと言うことになります。
インターネットの回線を塞ぐことなく、安定した運用を図りつつ、Microsoftの最新パッチを適正に適用していくためには、WSUSの設置は必須と言うことになります。
