Windows Service Update Service(WSUS)の導入～WSUSの日常運用～

さて、クライアント端末側の設定も終わり、
初めてのパッチも無事配信され適用してみました。

この状態でWSUSサーバ側ではなにがおきているのでしょうか？
ちょっと確認をして見ましょう。

WSUSサーバであらかじめ作成した管理用のグループを確認すると
無事該当のグループに振り分けられていることがわかります。

しかし、状態をよく確認すると、
「インストール済みまたは該当しない更新プログラム」が1561件で91%となっており、
100%にはなっていません。
さらによく見ると、「必要な更新プログラム」が158件も残っています。

しかし、クライアント端末側ではどんなにまっても新たな更新ファイルは配信されてきません。
さて、これはどうしたことでしょうか？

ここからが日常運用で対応すべき項目になります。

基本的に、取得対象となっている製品やクラスの設定にもよりますが、
更新が必要となっているファイルは配信しそれが適用されていることが望ましいのは
いうまでもありません。

でも、すべてを必ず配信するのかといえば必ずしもそうではないでしょう。
例えば、InternetExplorer7の配信が始まったとき、
社内システムがIE7に対応していない場合等、対応が完了するまで配信はすべきではありません。

こういったその更新ファイルを必要としているクライアント端末の有無。
そして、配信が必要なファイルの配信可否等を管理者は判断し設定する必要があります。

この設定を行うのが「更新」内のツリーになります。
ためしに「重要な更新」を見てみましょう。

上図では、承認を「未承認」状態を「すべて」に設定し一覧を表示しました。
すると、226件が該当しています。

また、ためしに一番上に表示されている「WindowsXP用の更新プログラム(KB916595)」
を選択し状態を確認してみると「この更新プログラムが必要なコンピュータ」に
「1」と表示されています。

これは、WSUSサーバで管理しているクライアント端末の中に
選択した更新ファイルを必要としているクライアント端末が1件いるが、
管理者が未承認状態にしている為配信されていないということを表しています。

この未承認状態の合計が先ほどクライアント端末側で
「必要な更新プログラム」の158件となるわけです。

もちろん「重要な更新」以外の未承認状態で、
且つ、クライアント端末が必要としているものの合計が158件です。
そして、適用済み（または該当しない）件数の1561件と上記の件数を足したもので
適用済み（または該当しない）件数を割ると90.8%となり、
四捨五入すると先ほどの91%が算出される仕組みになります。

管理者はこの残り9%を構成する更新プログラムを確認し、
必要なものは承認し、不要なものは拒否しその結果
必要な更新プログラムを未適用のクライアント端末を確認し、
管理者として適用を促すわけです。

さて、これでWSUSサーバの構築について基本的な解説を終了します。
今回のエントリはいかがだったでしょうか。
少しWSUSサーバを利用したクライアント端末の管理のイメージがつかめましたでしょうか。

なお、Windows2008からはさらに便利なNAP(Network Access Protection)という機能があります。
実際はWindows2003から搭載されていた機能の進化版なのですが、
この機能とWSUSサーバ、としてActiveDirectoryの組み合わせは今後よく活用されると思います。

機会があれば上記の環境についても投稿したいと思います。

お疲れ様でした。