行政機関向け Microsoft® Windows Server Update Services 運用ガイド 著作: Microsoft Corporation 掲載日: 2005 年 9 月 運用ガイド 概要 本書では、Microsoft Windows Server Update Services の運用方法について説明しています。 Microsoft Windows Server Update Services は Microsoft Windows 2000、Windows® XP、および Windows Server™ 2003 オペレーティング システムにおいて、既に知られているセキュリティの脆弱 性やその他の安定性の問題を解決する、セキュリティ更新プログラムやサービス パックを管理し配布 するツールです。 本書の目的は、セキュリティ ポリシー ガイドラインに則ってセキュリティ ポリシーを作成し、運用 を行なうにあたり、Windows Server Update Services ソリューションを利用してどのように運用計画を 立てるべきか、記述します。 本書が対象としている読者は、セキュリティ 修正プログラムやその他の重要な更新によってネットワ ーク上の Windows コンピュータを自動的かつ安全に更新を行なうために、Windows Server Update Services のソフトウェアの運用を行なう行政機関のシステム管理者です。 行政機関向け Windows Server Update Services 運用ガイド 本書に記載されている情報は、このドキュメントの発行日における Microsoft Corporation の見解を示すものです。Microsoft は市場の変化に 対応する必要があるため、本書の内容に関する責任を問われないものとし ます。Microsoft はまた、掲載日以降に発表される情報の正確性を保証で きません。 本書は情報目的のみで作成されています。Microsoft は本書に記載された 情報について、明示的、暗示的を問わず、一切の保証を行いません。 該当するすべての著作権法に従うことは、ユーザーの責任です。著作権を 制限することなく、Microsoft Corporation からの書面による明確な許可な しに、本書のどの部分も複製したり、検索システムに保存または導入した り、さらに、いかなる形式、手段 (電子的、機械的、コピー、録音など) ま たは目的によっても送信したりすることはできません。 Microsoft は本書に記載されている内容について、特許、特許申請、著作 権、またはその他の知的所有権を持っている可能性があります。Microsoft からの書面によるライセンス契約書が明確に提供された場合を除いて、本 書の提供はこれらの特許、商標、著作権、またはその他の知的所有物に対 するライセンスを許諾するものではありません。 本文で言及される会社、組織、製品、人、および出来事の例は架空のもの です。実際に存在するいかなる会社、組織、製品、人、および出来事との 関係も意図されておらず、それを推測されないものとします。 © 2005 Microsoft Corporation. All rights reserved. Microsoft、Active Directory、Windows、Windows Server、MSDN は米国 Microsoft Corporation の米国およびその他の国における登録商標または 商標です。 その他、記載されている会社名および製品名は、各社の商標または登録商 標です。 このドキュメントは Microsoft Word XP または Microsoft Word 2003 の 「印刷レイアウト」あるいは「Web レイアウト」で画面に最適表示され ます。 行政機関向け Windows Server Update Services 運用ガイド 目次 はじめに .................................................................................................................................................................... 1 関連文書 .................................................................................................................................................................... 1 情報セキュリティ ポリシーについて .......................................................................................................................................1 Windows Server Update Services について..................................................................................................................................1 前提条件 .................................................................................................................................................................... 3 1. 情報セキュリティ ポリシーについて .......................................................................................................... 4 1-1. 情報セキュリティとは ................................................................................................................................. 4 1-2. 情報セキュリティ ポリシーの概要とポリシー策定の必要性................................................................ 4 1-3. 情報セキュリティ ポリシーの実施サイクル ........................................................................................... 5 1-4. 情報セキュリティ ポリシーの策定手続き ............................................................................................... 5 ( 1 ) 組織 ・ 体制の確立 ..............................................................................................................................................................5 ( 2 ) 基本方針の策定 ....................................................................................................................................................................6 ( 3 ) リスク分析............................................................................................................................................................................6 ( 4 ) 対策基準の策定 ....................................................................................................................................................................6 ( 5 ) ポリシーの決定 ....................................................................................................................................................................6 ( 6 )実施手順の策定......................................................................................................................................................................6 2. マイクロソフト ソリューション .................................................................................................................. 7 2-1. マイクロソフトのセキュリティに対する取り組み ................................................................................. 7 SD³ + Communication ....................................................................................................................................................................7 2-2. セキュリティ ライフサイクルに対するセキュリティ ソリューション .............................................. 7 セキュリティ情報の入手と分析.................................................................................................................................................8 現状把握と分析 ............................................................................................................................................................................8 テストと本番環境への展開 ........................................................................................................................................................8 展開後の確認とフォローアップ.................................................................................................................................................9 3. Windows Server Update Services 3-1. Windows Server Update Services 3-2. Windows Server Update Services 3-3. Windows Server Update Services を利用したポリシーの運用 ................................................................ 10 の概要 ................................................................................................... 10 の利点 ................................................................................................... 11 を利用した運用の計画........................................................................ 12 Windows Server Update Services の実行サーバーの配置や構成に対する検討 ....................................................................12 各クライアント PC に関する検討..........................................................................................................................................14 日常の運用業務に対する検討...................................................................................................................................................15 ( 1 ) コンテンツのダウンロード ..............................................................................................................................................15 ( 2 ) コンテンツの確認 ..............................................................................................................................................................15 ( 3 ) クライアント PC へのコンテンツの適用 ......................................................................................................................16 ( 4 ) 動作状況の確認 ..................................................................................................................................................................16 障害発生時の回復プランの検討...............................................................................................................................................17 4. Windows Server Update Services の操作ガイド ........................................................................................ 18 4-1. システム要件 ............................................................................................................................................... 18 4-2. このガイドでの構成 ................................................................................................................................... 19 4-3. 管理ツールを利用する ............................................................................................................................... 20 管理ツールからアクセスする...................................................................................................................................................20 4-4. コンテンツを管理する ............................................................................................................................... 21 手動でコンテンツ情報を同期する...........................................................................................................................................21 スケジューリングによりコンテンツ情報を同期する ...........................................................................................................23 ダウンロードするコンテンツの製品、クラスを指定する ...................................................................................................25 Microsoft Update サイトへプロキシ サーバーを経由するかどうか指定する ...................................................................27 コンテンツの更新元を指定する...............................................................................................................................................27 コンテンツを保管する場所を指定する ...................................................................................................................................28 ダウンロードするコンテンツの言語を指定する ...................................................................................................................30 コンテンツの同期状況を確認する...........................................................................................................................................30 特定のコンテンツの更新情報についての詳細情報を確認する ...........................................................................................32 製品別に利用可能なコンテンツを参照する ...........................................................................................................................33 4-5. 自動更新クライアントを設定する ........................................................................................................... 35 行政機関向け Windows Server Update Services 運用ガイド 自動更新を設定する ..................................................................................................................................................................35 自動更新クライアントが接続する Windows Server Update Services の実行サーバーを指定する ....................................37 自動更新の検出頻度 ..................................................................................................................................................................38 クライアント側のターゲットを有効にする ...........................................................................................................................39 コンテンツのダウンロード後、直ちにインストールするように設定する........................................................................40 コンテンツをインストールするスケジュールを変更する ...................................................................................................41 コンテンツのインストール時にシステムを自動的に再起動しないように設定する ........................................................42 コンテンツのインストール後、再起動までの時間を設定する ...........................................................................................42 コンテンツのインストール後、再起動を再確認するまでの時間を設定する....................................................................44 非管理者による通知の受信を許可する ...................................................................................................................................45 更新をインストールしてシャットダウンの表示を設定する ...............................................................................................46 4-6. コンピュータをグループに割り当てる ................................................................................................... 48 コンピュータ グループを作成する .........................................................................................................................................48 手動でクライアント PC をコンピュータ グループに移動する ..........................................................................................49 4-7. クライアントの状態を確認する ............................................................................................................... 50 クライアント PC へのコンテンツ適用状況を確認する ........................................................................................................50 特定のコンテンツの更新についての詳細情報を確認する ...................................................................................................53 4-8. 通知された更新プログラムを評価する ................................................................................................... 54 4-9. 適用するコンテンツを承認する ............................................................................................................... 54 同期時に自動的に検出の承認を行なう ...................................................................................................................................54 同期時に自動的にインストールの承認を行なう ...................................................................................................................55 承認済みの更新プログラムの改訂版の承認を行なう ...........................................................................................................56 Windows Server Update Services の更新プログラムの承認を行なう .....................................................................................56 コンテンツの承認状況を確認する...........................................................................................................................................57 4-10. クライアント PC にコンテンツを適用する........................................................................................... 58 クライアント PC に適用するコンテンツのインストールの許可を行なう ......................................................................58 自動更新クライアントによるダウンロード、インストールの通知 ...................................................................................59 4-11. クライアントの状態を再確認する ......................................................................................................... 62 4-12. サーバーのバックアップおよび障害回復 ............................................................................................. 62 Windows Server Update Services の実行サーバーを復元する ................................................................................................65 5. トラブル シューティング ............................................................................................................................ 70 5-1. Windows Server Update Services に関するトラブルシューティング .................................................... 70 5-2. 自動更新クライアントに関するトラブルシューティング.................................................................... 71 5-3. FAQ ............................................................................................................................................................... 72 動作について ..............................................................................................................................................................................72 サーバーについて ......................................................................................................................................................................72 クライアントについて ..............................................................................................................................................................72 5-4. その他注意事項 ........................................................................................................................................... 73 6. 付録 : チェックシート .............................................................................................................................. 74 7. お問い合わせ先 .............................................................................................................................................. 76 行政機関向け Windows Server Update Services 運用ガイド はじめに 現在のインターネット上ではサイトの規模、個人や法人、または行政機関に限らず様々な脅威にさらさ れています。情報システムのセキュリティを脅かすのは、コンピュータ ウイルスやワーム、ネットワー クの盗聴や不正アクセス、正規ユーザーへのなりすまし、機密情報の流出など、多岐・多様化していま す。 また、2005 年 4 月より完全施行された個人情報保護法により、組織内の個人情報の取り扱いにも組織 的な対応が必要です。 現在、セキュリティ対策を講じていない、あるいは、情報セキュリティ ポリシーを策定したが徹底され ていない・効果が見えてこない、とお悩みのお客様に、情報セキュリティ ポリシーを策定するための方 法と、Windows Server Update Services を利用した運用方法について、ご紹介します。 関連文書 本書に加え、以下のドキュメントを参照してください。 情報セキュリティ ポリシーについて 本書は、以下のドキュメントをもとに記述しています。 行政機関における情報セキュリティ ポリシーに関するガイドライン (平成 13 年 3 月 30 日 策定、平成 15 年 3 月 18 日 一部改定・総務省告示) http://www.soumu.go.jp/c-gyousei/daityo/pdf/030512_1_5.pdf なお、特に明記しない限り、情報セキュリティ ポリシーに関する記載は、上記ガイドラインをもとに記 述したものです。 Windows Server Update Services について 本書のほかに、Windows Server Update Services の導入、展開する助けとなる以下のドキュメントや Web サイトを参照してください。 Windows Server Update Services のホームページ http://www.microsoft.com/japan/windowsserversystem/updateservices/default.mspx ホワイト ペーパー - Windows Server Update Services 製品概要 http://www.microsoft.com/japan/windowsserversystem/updateservices/evaluation/overview.mspx Windows Server Update Services レビュアーズ ガイド http://www.microsoft.com/japan/windowsserversystem/updateservices/evaluation/revguide.mspx Windows Server Update Services データシート http://www.microsoft.com/japan/windowsserversystem/updateservices/evaluation/datasheet.mspx Microsoft Windows Server Update Services の展開に関するドキュメント http://www.microsoft.com/japan/windowsserversystem/updateservices/techinfo/deployment.mspx ホワイト ペーパー - Windows Server Update Services 操作ガイド http://www.microsoft.com/japan/windowsserversystem/updateservices/techinfo/operations.mspx Software Update Services から Windows Server Update Services への移行のファースト ステップ ガイド http://www.microsoft.com/japan/windowsserversystem/updateservices/techinfo/stepbystep.mspx Windows Server 2003 グループ ポリシーの概要 http://www.microsoft.com/japan/windowsserver2003/techinfo/overview/gpintro.mspx ホワイト ペーパー - Windows 2000 グループ ポリシー Page 1 行政機関向け Windows Server Update Services 運用ガイド http://www.microsoft.com/japan/windows2000/techinfo/howitworks/management/grouppolwp.asp Microsoft Windows Update Web サイト http://windowsupdate.microsoft.com Microsoft Security Web サイト http://www.microsoft.com/japan/security/ Page 2 行政機関向け Windows Server Update Services 運用ガイド 前提条件 本書では、既に Windows Server Update Services を導入済みの環境を前提に記述しています。 Windows Server Update Services を未導入の場合は、「Windows Server Update Services 製品概要」 「ホワイト ペーパー - Windows Server Update Services 操作ガイド」および「Microsoft Windows Server Update Services の展開に関するドキュメント」を参考に、導入および展開を実行してくださ い。 自動更新クライアントの展開方法については、以下を参照してください。 Microsoft Windows Server Update Services の展開に関するドキュメント「自動更新クライアント コ ンポーネントを更新および構成する ( 50 ページ) 」 Active Directory® 環境の場合 : Microsoft Windows Server Update Services の展開に関するドキ ュメント 「自動更新クライアントの構成方法を決定する ( 52 ページ) 」 非 Active Directory 環境の場合 : Microsoft Windows Server Update Services の展開に関するドキ ュメント「Active Directory 以外の環境で自動更新を構成する ( 62 ページ) 」 なお、特に明記しない限り、「Windows Server Update Services」を「WSUS」と記述します。 Page 3 行政機関向け Windows Server Update Services 運用ガイド 1.情報セキュリティ ポリシーについて 現在、インターネットの急速な普及、電子商取引の実用化の動き等に見られる社会経済の情報化の発展 に伴い、申請・届け出等の各種手続きのオンライン化やコミュニケーションの活性化など、行政の情報 化を取り巻く環境は急速に変化してきています。 そんな中、情報資産に対する脅威はますます複雑化・多様化し、セキュリティ対策は不可欠となってい ます。しかしながら、実際に対策を実施しようとしても、何から手を付けてよいのか分からない、ある いは、組織の壁や職員同士での意識の違いといった様々な障害のために、なかなか実施に至らないとい った現状があります。 また、2005 年 4 月より完全施行された個人情報保護法により、組織内の個人情報の取り扱いにも組織 的な対応が必要です。 「行政機関における情報セキュリティ ポリシーに関するガイドライン (以下、 「ガイドライン」という) 」 では、行政機関での情報セキュリティ ポリシー策定を目的とした、行政機関における情報セキュリティ 対策を推進するために必要となる情報セキュリティ ポリシーに関する基本的な考え方、策定、運用およ び見直し方法について、記述されています。 各行政機関では、このガイドラインを参考にしながら、自らの問題に置き換え、セキュリティの水準を 向上させていく必要があります。 1-1.情報セキュリティとは 「情報セキュリティ」とは、ガイドラインにおいて「情報資産の機密の保持および正確性、完全性の維 持ならびに定められた範囲での利用可能な状態を維持すること」と定義されています。 なぜ単に「セキュリティ」ではなく、「情報セキュリティ」というのでしょうか? 例えば、1 台のコンピュータが盗まれたと仮定し、その損害について考えてみましょう。ここで本当に 損害が大きいのは、コンピュータ自体よりもむしろコンピュータの中に入っているもの、すなわち「情 報資産」を盗まれたことにあるはずです。 つまり、本当に守るべきものは「情報資産」なのです。 「情報資産」とは、業務上生じるすべての情報を指し、コンピュータやネットワークの装置のような物 理的な資産をはじめに、データベースなどの電子化された情報はもちろんのこと、紙などに出力された 情報を指します。また、組織内に限らず、外部との情報も含まれます。 また個人情報保護法により、「情報資産」には氏名や住所など、特定の個人を特定できる個人情報デー タも含まれます。 1-2.情報セキュリティ ポリシーの概要とポリシー策定の必要性 情報セキュリティ ポリシー (以下、「ポリシー」という) とは、各行政機関などの組織において「情報 資産」を守り、セキュリティを確保するために必要な方針や対策、各自が守るべきルールのことをいい ます。 なぜポリシーを策定する必要があるのでしょうか? ポリシーが未整備の場合、行政機関内のシステムが外部からの攻撃にさらされるだけではなく、第三者 が受けた被害の責任を問われることもあり得ます。また個人情報保護法により、個人情報の取り扱いに 関して対策が義務付けされており、罰則が科せられる場合もあります。 また、策定することに意味あるのではなく、策定したポリシーを運用することにこそ意味があるという ことを、十分に認識する必要があります。いくらポリシーを策定しても、それを全員が確実に守る体制 を整備しない限り、セキュリティは確保できません。 実際に被害が発生した後に対策を講じたのでは、被害を未然に防止することもできなければ、被害を最 小限に抑えることもできず、第三者を含め思わぬ損失を被る可能性が高くなる一方です。 そのような事態を防ぐためにも、ポリシーを策定し、全員で守る体制の整備が必要です。 Page 4 行政機関向け Windows Server Update Services 運用ガイド 1-3.情報セキュリティ ポリシーの実施サイクル IT の発展速度は極めて速いため、ある時点では最適なセキュリティ対策を講じていたとしても、永続的 に最適である保証はありません。そのため、PDCA (Plan – Do – Check – Action) マネジメント サイク ルなどに基づいた情報セキュリティ ポリシーの実施サイクルを作り上げ、そのサイクルを日々運用して いくといった日常的な取り組みによって、初めてセキュリティが確保されることを十分に認識する必要 があります。 情報セキュリティ ポリシーの実施サイクルでは、まず情報資産とはどのようなものかを定義し、それを 守るためのルール、つまりポリシーを策定します。そして、導入を行ない、運用しながら状況を確認し、 見直しを行ないます。 図 1 : 情報セキュリティ ポリシーの実施サイクル 1-4.情報セキュリティ ポリシーの策定手続き では実際にポリシーを策定するためにはどのようなことが必要なのでしょうか? ポリシーを策定するために必要な手続きと考慮事項を以下に示します。 図 2 : 情報セキュリティ ポリシーの策定手続き ( 1 ) 組織 ・ 体制の確立 最初に、策定のための組織、体制を確立する必要があります。 情報セキュリティ対策を行なうためには、対象となる情報資産を明確にする必要があります。しかし、 これはある一部門だけで行なえる内容ではありません。情報資産を保有するそれぞれの部門が協力して 行なう必要があります。そのため、部門を横断した体制を形成する必要があります。また、部門を横断 するため、上長などの関与も不可欠となります。 特定の人に作業を任せきりにしたり、保護すべき情報資産が抜け落ちたりしないためにも、策定責任者 や承認フロー、役割分担を明確にし、策定責任者と各部門の責任者の意思疎通を行なえるようにします。 Page 5 行政機関向け Windows Server Update Services 運用ガイド ( 2 ) 基本方針の策定 情報セキュリティ対策における目的、対象となる情報資産の範囲、維持管理を行なう体制・義務、罰則 といった基本的な考え方を決定します。 ( 3 ) リスク分析 情報資産の漏えいといった情報資産の損失につながる「脅威」と、情報システムや管理体制などの落と し穴といった「脆弱性」が結びつくポイントを洗い出し、影響度合いを見積り、対策すべきポイントに 優先順位を付けます。 ( 4 ) 対策基準の策定 リスク分析の結果をもとに、各情報資産に対する個々のリスクについて、具体的な対策を考え、体系化 した上で対策基準を決定します。 ( 5 ) ポリシーの決定 ここまでで策定したポリシー案について、各々の行政機関における正式なポリシーを決定します。 ここで注意しなければならないのは、職員が理解でき、なおかつ過度の負担を強いることがないポリシ ーを策定する、ということです。 業務を優先するばかりに緩すぎるポリシーを策定した場合は情報資産が保護されず、逆に厳しすぎるポ リシーでは、業務に支障がきたしたり、あるいは職員が理解できなかったり、結果的にはポリシーを守 れないという事態に陥りかねません。 また、情報セキュリティの専門家や情報セキュリティ委員会といった第三者の客観的な意見を踏まえた 上で策定することも重要です。 ( 6 )実施手順の策定 決定したポリシーに記述された内容をネットワークおよび情報システムや業務においてどのような手順 で実施していくか決定します。これはポリシーの運用を行なう上でのマニュアルに該当します。 どんなに優れた体制を作り、適切にリスク分析し、職員にも優しいポリシーを策定したところで、職員 がポリシーを守らなければ本末転倒です。そのため、一番重要なのは、職員への周知および教育です。 また、職員に周知し同意させることで、情報セキュリティに関して「自分に責任がある」ということを 意識させるきっかけにもなります。 こうして策定したポリシーに則ったセキュリティ対策を行ない、各行政機関でセキュリティの水準を向 上させていきます。 運用を行なう上では、すべてを手作業で行なう必要はありません。単調な作業の繰り返しなど、時間や 労力が非常にかかるような作業は、製品やツールを利用することで、大幅に作業を簡素化できます。 このようなことをご検討中の行政機関に対して、具体的にマイクロソフトはどのような製品やサービス を提供しているのかを次項で説明します。 Page 6 行政機関向け Windows Server Update Services 運用ガイド 2.マイクロソフト ソリューション 不正進入、ワームの増加は、セキュリティ対策の常識を大きく変えました。いまや、ファイアーウォー ルやウイルス対策ソフトの導入だけでは不十分です。 マイクロソフトは、「Trustworthy Computing – 信頼できるコンピューティング」という理念をもとに、 様々な側面からセキュリティ対策をサポートします。 2-1.マイクロソフトのセキュリティに対する取り組み Trustworthy Computing の中でもセキュリティは最重要事項として掲げております。 ただし、セキュリティは一朝一夕に実現できるものではありません。マイクロソフトでは、短期計画・ 中期計画・長期計画を立て、現在は「 SD³ + Communication 」と称し大きく四つに分類し、積極的に セキュリティに対する取り組みを行なっています。 SD³ + Communication SD³ とは、 「 Secure by Design (セキュアな設計)、Secure by Default (セキュアな既定の設定) and Secure in Deployment (セキュアな展開) 」の略です。 Secure by Design (セキュアな設計) セキュリティを考慮した機能の実装 セキュアなアーキテクチャ コードに内在する脆弱性の排除 Secure by Default (セキュアな既定の設定) 攻撃対象となるコンポーネントの削除 利用しない機能は既定で無効化 必要最小限の権限付与 Secure in Deployment (セキュアな展開) 展開後のシステムをセキュアに維持管理 セキュリティに関するガイドライン、アーキテクチャ ガイダンスのご提供 トレーニングの実施 Communications (コミュニケーション) セキュリティに関する情報の正確な告知、伝達 セキュリティ関連コミュニティとの協調作業 お客様、パートナーとの意見交換 また、計画的な取り組みに限らず、日々のセキュリティ管理についても、トータルなセキュリティ対策 を実施するために、様々な側面から取り組んでいます。 2-2.セキュリティ ライフサイクルに対するセキュリティ ソリューション マイクロソフトでは、情報セキュリティ ポリシーの実施サイクルの各フェーズにおいて、お客様を強力 にサポートします。 PC ・TechNet セキュリティセンター ・プロダクト セキュリティ 警告サービス ・TechNet サブスクリプション ・Microsoft Baseline Security Analyzer ・Microsoft Windows Server Update Services ・Systems Management Server ・Microsoft Baseline Security Analyzer ・Microsoft Windows Server Update Services ・Systems Management Server ・Microsoft Windows Server Update Services ・Systems Management Server ・MSDN 図 3 : マイクロソフトのセキュリティ ソリューション Page 7 行政機関向け Windows Server Update Services 運用ガイド セキュリティ情報の入手と分析 セキュリティ対策を実施するには、一体どのような危険が潜んでいるのかを理解する必要があるために、 まずはセキュリティ情報を収集します。 参照すべき情報を定め、新着情報のチェックや情報の整理を行ないます。 このフェーズでマイクロソフトが提供するツール・製品は以下の通りです。 TechNet セキュリティ センター : 最新のセキュリティ技術情報とセキュリティ修正プログラムの 入手を行なうことができるワンストップ ポータル サイトです。セキュリティ情報は緊急を要するセ キュリティ・ホールに対する更新プログラムを除き、通常毎月第 2 水曜日にリリースされます。 プロダクト セキュリティ 警告 サービス : いつ公開されるか分からない脆弱性の情報を、見逃さ ないように告知するための無料のメール通知サービスです。 参考 : 案内サイト http://www.microsoft.com/japan/technet/security/bulletin/notify.asp TechNet サブスクリプション : 毎月マイクロソフトの最新技術情報を CD-ROM で購読していた だく有償サービスです。情報システムの計画、導入、運用、トラブルシューティングに必要なすべて の情報を、安価に毎月確実にお届けすることによって、システムの構築や稼動後のトラブル解決にか かる時間の短縮を実現するだけでなく、様々なコストの軽減にも大きな効果を発揮します。 現状把握と分析 次に、収集したセキュリティ情報に対し、庁内のシステムと照らし合わせて、分析を行ないます。 セキュリティ更新プログラム適用状況の収集や、セキュリティ更新プログラム未適用クライアント PC のリスト作成することにより、具体的に各々の環境において、どのような危険性があるのか理解し、影 響度はどの程度かを把握します。 このフェーズでマイクロソフトが提供するツール・製品は以下の通りです。 Microsoft Baseline Security Analyzer : セキュリティの脆弱性を分析する無償のツールです。複 数台のコンピュータに対して、一般的なセキュリティの脆弱性やセキュリティ関連のソフトウェアの 更新の不足を検出します。 Microsoft Windows Server Update Services : セキュリティの脆弱性の評価と更新プログラムの 展開が行なえる、Windows Server の追加コンポーネントです。このフェーズでは、「レポート機能」 によって、クライアント PC のセキュリティ更新プログラムの構成情報を自動収集し、分析をする ことができます。 Microsoft Systems Management Server 2003 : 脆弱性評価と合理的な修正プログラム展開が行な える製品です。このフェーズでは「インベントリ管理機能」によって、クライアント PC のセキュ リティ更新プログラムの展開に必要なすべての構成情報を自動収集し、分析することができます。 テストと本番環境への展開 セキュリティ更新プログラムや修正プログラムを各々の環境に適用し、実際のセキュリティ対策を行な います。また、セキュリティ更新プログラムを適用する前に検証を行なうことで思わぬトラブルを予防 することができます。 このフェーズでマイクロソフトが提供するツール・製品は以下の通りです。 Microsoft Windows Server Update Services : 無償で提供されるイントラネット用セキュリティ 更新プログラム配布サーバーです。Windows 2000、Windows XP Professional、または Windows Server 2003 を実行しているすべてのコンピュータへの、マイクロソフト 製品のセキュリティ修正 プログラム、更新のロールアップやドライバ、およびサービスパックの展開をより迅速かつ容易に行 なえるようになります。 Microsoft Systems Management Server 2003 : このフェーズでは「ソフトウェア配布機能」を活 用することで、Windows 関連の修正プログラムのインストールを自動展開するだけでなく、毎日特 定の時刻にアンチ ウイルス ソフトウェアを強制実行するといったようなセキュリティ対策を実施 することができます。 MSDN サブスクリプション : Windows 対応ソフトウェアの開発環境を整備するために必要なリソ ースを統合的に提供する有償サービスです。セキュリティ更新プログラムを適用する前に、独自のア プリケーションに影響がでないかどうかなどの検証を行なうために、テスト環境を構築するのに役立 ちます。 Page 8 行政機関向け Windows Server Update Services 運用ガイド 展開後の確認とフォローアップ セキュリティ更新プログラムを適用した後は、適用状況の確認や万が一トラブルが発生した場合などの ヘルプデスク対応などを行ないます。 このフェーズでマイクロソフトが提供するツール・製品は以下の通りです。 Microsoft Baseline Security Analyzer : セキュリティ更新プログラムの展開後にスキャンするこ とにより、各コンピュータについてセキュリティ レポートを確認することができます。 Microsoft Windows Server Update Services :セキュリティ更新プログラムの適用状況について、 各コンピュータやセキュリティ更新プログラムごとにレポートを確認することができます。 Microsoft Systems Management Server 2003 : クライアント PC へリモートから直接コントロ ールしてトラブルシューティングを行なうといった、Windows ネットワークの維持 / 管理に必要な 機能を提供します。 このように、マイクロソフトでは、お客様のセキュリティ対策に役立つ様々な製品やツールを提供して います。 この中でも、Windows Server Update Services は低コストで導入が行なえ、管理者にとって非常に手間 と労力のかかるセキュリティ更新プログラムの配布や適用といった管理作業の負荷を軽減します。 次項では、この Windows Server Update Services をポリシーの運用に取り入れることにより、どのよ うな効果が得られるのか、また、運用に取り入れるにあたり考慮すべき事項としてどのようなことが挙 げられるのかを説明します。 Page 9 行政機関向け Windows Server Update Services 運用ガイド 3.Windows Server Update Services を利用したポリシーの運用 近年、イントラネット内のセキュリティ対策が重要視されています。中でもクライアント PC には様々 な脅威があります。セキュリティ更新プログラムを提供していない、ウイルス対策ソフトの定義ファイ ルを更新していないなどの原因により、ウイルスやワームに感染してしまうことがあります。 クライアント PC のセキュリティ対策と一言にいっても、その対策方法は多様です。一般的に「万全」 がないといわれるセキュリティにおいては、最低限やるべきことを見極め、なおかつ、それを確実に実 施することが重要です。 現実問題として、いざ取り組もうとしても、増加するウイルスに対する対策として行なう Windows 向 けのセキュリティ更新プログラムや各種の修正プログラムの管理、クライアント PC へのインストール といった作業は、管理者にとっては負担がかかり、管理も非常に困難です。 実際に各クライアント PC にセキュリティ更新プログラムを適用するには、管理者自身が各クライアン ト PC の設置されているところまで赴き、クライアント PC にログオンし、適切なセキュリティ更新プ ログラムを適用し、必要に応じてクライアント PC を再起動するなどといった作業を、クライアント PC の台数分だけ行なう、といったように大変な手間がかかります。 このようなセキュリティ更新プログラムや各種の修正プログラムの適用作業を、いかに管理者の負荷を かけずにどのようにして効率的に適用するか、および、考慮事項について説明します。 3-1.Windows Server Update Services の概要 セキュリティ更新プログラムや各種の修正プログラムを効率的に適用する仕組みとして、Microsoft Update は非常に有効です。 Microsoft Update とは、使用されているコンピュータの状態を診断して、マイクロソフト製品を更新し、 システムを最新の状態に保つためのオンライン サポート機能です。 Microsoft Update を実行すると、 製品の発売以降に見つかった問題の修正や、新しく追加された機能を自動的にダウンロードしてシステ ムが更新されます。こまめに Microsoft Update を行なうことで、Windows を最新の状態に保ち、ウイ ルスが忍び込むセキュリティ・ホールをなくしたり、悪質な攻撃に負けない頑丈な環境を構築したりす るなど、セキュリティを強化することができます。 しかしながら、Microsoft Update を使うだけでは、いくつかの問題点もあります。 z Microsoft Update では適用するセキュリティ更新プログラムや各種の修正プログラムを選択す ることはできますが、その判断は職員任せとなります。 z 管理者は各クライアント PC へのセキュリティ更新プログラムや各種の修正プログラムの適 用情報を把握することができないため、組織全体として適用状況にはばらつきがでてしまう可能 性があります。 z Microsoft Update はマイクロソフトのサイトよりセキュリティ更新プログラムや各種の修正プ ログラムをダウンロードしますが、キャッシュサーバーによるキャッシング機能を利用すること ができないため、帯域負荷が問題となることがあります。 z インターネットに接続できない環境では Microsoft Update は使えません。行政機関においては、 様々な理由からインターネットにアクセスできない場合があります。その結果、セキュリティ更 新プログラムの適用に緊急を要するにも関わらず、セキュリティ更新プログラムを入手できない という状況に陥りかねません。 このような Microsoft Update の問題は、庁内に Windows Server Update Services を導入することによ り解決することができます。 Windows Server Update Services とは、マイクロソフトが無償で提供するイントラネット用セキュリテ ィ更新プログラム配布サーバーで、庁内に Microsoft Update と同期された環境を構築することができま す。これにより、庁内のクライアント PC を最新の状態に維持するプロセスを大幅に簡素化します。 実際にセキュリティ更新プログラムや各種の修正プログラムのダウンロードおよびインストールを実施 するのは、各クライアント PC に搭載されている自動更新クライアントと呼ばれるクライアント モジ ュールです。自動更新クライアントでは、職員に負担をかけることなく、クライアント PC を常に最新 の情報に保つことが可能になります。 Page 10 行政機関向け Windows Server Update Services 運用ガイド Windows Server Update Services は、Web ベースの管理ツールが提供されており、操作も極めてシン プルです。したがって、管理者は管理操作を短時間で習得することが可能です。 図 4 : Windows Server Update Services の概念図 特に、以下のような環境の場合は導入および管理コストを非常に低く抑えられる Windows Server Update Services を利用することにより、クライアント PC を最新の状態に維持でき、最大限の効果が 得られます。 z Windows 2000 / XP クライアント PC が存在している z セキュリティ修正プログラムなどを管理者が随時手動でインストールする必要がある z 現在クライアント PC に一括して修正プログラムを配布する体制がない z 各クライアント PC が個々に Microsoft Update サイトを使っているため、インターネット接 続回線の帯域を圧迫している z 各クライアント PC が個々に Microsoft Update サイトを使っているため、確認を行なってい ないセキュリティ更新プログラムも適用され、業務アプリケーションが誤作動を起こすことを防 止できない 3-2.Windows Server Update Services の利点 Windows Server Update Services を行政機関に導入する主なメリットは以下の通りです。 z 管理者による一元的なコントロール 適用するセキュリティ更新プログラムやサービス パック、および適用するクライアント PC を 管理者が個別にコントロールできます。また、セキュリティ更新プログラムを配布するグループ を分けることもでき、1 台でセキュリティ更新プログラムのテスト用のコンピュータへの配布と、 システム全体へ配布を行なうことができます。これにより、セキュリティ更新プログラムを検証 した後に配布するなどして、セキュリティ更新プログラム適用時のトラブルを未然に防ぐことが できます。 z セキュリティ更新プログラムの適用状況のレポート クライアント PC に対するセキュリティ更新プログラムの適用状況を示すレポートが作成され、 セキュリティ更新プログラムが適用されていない、インストールが失敗したコンピュータの検出 を確認できます。 Page 11 行政機関向け Windows Server Update Services 運用ガイド z z ネットワーク トラフィックの軽減 インターネットを利用したセキュリティ更新プログラムや各種の修正プログラムの入手を、 Windows Server Update Services の実行サーバーのみとすることにより、帯域負荷が大幅に軽減 されます。 インターネットに接続されていない環境への対応 インターネット上の Microsoft Update サイトに接続する必要があるのは、最低限 1 台の Windows Server Update Services の実行サーバーだけです。 クライアント PC がインターネットに接続されていない環境でも、庁内に構築した Windows Server Update Services の実行サーバーからセキュリティ更新プログラムを入手することができ ます。 3-3.Windows Server Update Services を利用した運用の計画 Windows Server Update Services の主な利用目的は、情報セキュリティ ポリシーの実施サイクル上で は、運用フェーズに位置付けられます。Windows Server Update Services を利用した運用を計画するに あたり、主に検討すべき事項を表 1 に示します。 実際に計画を行なう際は、「付録 : チェックシート ( 78 ページ) 」などを参考に、必要な項目につい て漏れがないかなどの確認を行なってください。 表 1 運用計画における主な検討事項 Windows Server Update Services の実行サー バー の配置や構成に対する検討 ● Windows Server Update Services の実行サー バーの台数、ネットワーク構成 ● 同期のスケジューリング、ホストするサーバー の決定 ● Windows Server Update Services の実行サー バーの各種設定項目 ● 自動更新クライアントの展開方法 ● ダウンロードの設定 各クライアント PC に関する検討 ● インストールの設定 ● 更新手順 ● 失敗時の対策 日々の管理タスクに対する検討 ● 監視 ● ヘルプデスク対応 ● 緊急時の対応プロセスの確立 障害発生時の回復プランの検討 ● Windows Server Update Services の実行サー バーのバックアップ計画 ● Windows Server Update Services の実行サー バーの復旧手順の策定 Windows Server Update Services の実行サーバーの配置や構成に対する検討 Windows Server Update Services の実行サーバーを庁内ネットワーク上のどこにどのように配置する のか、実行サーバーが使用するデータベースをどこに作成するのか、あるいは、Windows Server Update Services の実行サーバーの各種設定項目をどのように行なうかを、運用する環境に応じた適切な構成を 検討します。 Windows Server Update Services の実行サーバーの台数とネットワーク構成 Windows Server Update Services の実行サーバーは、ネットワーク帯域の問題で分散構成したり、大量 のアクセスを処理するために負荷分散構成したりと、柔軟な配置を行なうことが可能ですので、環境に 応じた適切な構成を検討します。 Page 12 行政機関向け Windows Server Update Services 運用ガイド クライアント PC からのアクセス負荷だけでなく、庁内でのインターネット接続に関する制限事項も考 慮し、1 台の Windows Server Update Services の実行サーバーだけをインターネット上の Windows Update サイトに接続し、残りの Windows Server Update Services の実行サーバーはそこからコンテン ツなどをダウンロードするように設定することもできます。 また、運用開始後も、ネットワーク トラフィックやサーバー負荷の状況に応じて、適宜見直しを行ない ます。 Windows Server Update Services が使用するデータベース サーバーの選択 Windows Server Update Services が使用するデータベースをネットワーク上の既存の Microsoft SQL Server™ 上に作成するか、実行サーバー上で Microsoft SQL Server 2000 Desktop Engine (MSDE) を使 用するか、環境に応じた適切な構成を検討します。 Windows Server Update Services の実行サーバーの同期設定 同期とは Microsoft Update サイトにあるセキュリティ更新プログラムのリストを、Windows Server Update Services の実行サーバーへダウンロードし、クライアント PC に適用するための準備作業のこ とです。 同期をスケジュールで行なうのか、手動で行なうのか、決定します。この二つの選択肢により、管理者 はサーバーがインターネットに接続する方法を柔軟に設定できます。スケジューリングを行なう場合、 管理者はサーバーをインターネット上の Microsoft Update サイトと同期する日時をあらかじめ設定で きます。 また同期を実行するタイミングで、未適用のセキュリティ更新プログラムの検出や、インストールを自 動的に承認することにより、夜間など比較的ネットワーク トラフィックに影響を与えない時間帯を設定 しておくことで、業務に支障をきたすことなく常に最新の情報をダウンロードしておくことや、緊急を 要するセキュリティ更新プログラムはインストールを自動的に承認するといった動作が可能です。 設定方法および操作手順については、 「4. Windows Server Update Services の操作ガイド」 - [4-4. コンテンツを管理する] – [手動でコンテ ンツ情報を同期する]、 「4. Windows Server Update Services の操作ガイド」 - [4-4. コンテンツを管理する] – [スケジューリ ングによりコンテンツ情報を同期する]、 「4. Windows Server Update Services の操作ガイド」 - [4-9. 適用するコンテンツを承認する] – [同期 時に自動的に検出の承認を行なう]、 「4. Windows Server Update Services の操作ガイド」 - [4-9. 適用するコンテンツを承認する] – [同期 時に自動的にインストールの承認を行なう]、 を参照してください。 ダウンロードするセキュリティ更新プログラムの種類 Windows Server Update Services で同期するセキュリティ更新プログラムの製品や、クラス、言語を設 定できます。 Windows や Office、Microsoft Exchange Server 等のサーバー アプリケーション、緊急、重要となって いるクラス、使用する言語等、運用環境に導入されている複数のマイクロソフト製品、言語のセキュリ ティ更新プログラムを設定でき、使用言語が異なる環境でも一箇所で管理することができます。 クライアント環境、ネットワーク帯域、ディスク容量に応じて、ダウンロードするセキュリティ更新プ ログラムを決定します。基本的には、必要な項目のみを選択することにより、ダウンロード時間および コンテンツの量を大幅に削減できます。 設定方法および操作手順については、 「4. Windows Server Update Services の操作ガイド」 -[4-4. コンテンツを管理する] – 【ダウンロー ドするコンテンツの製品、クラスを指定する】 - 【ダウンロードするコンテンツの製品を指定する】、 「4. Windows Server Update Services の操作ガイド」 -[4-4. コンテンツを管理する] – 【ダウンロー ドするコンテンツの製品、クラスを指定する】 - 【ダウンロードするコンテンツのクラスを指定する】、 「4. Windows Server Update Services の操作ガイド」 -[4-4. コンテンツを管理する] - 【ダウンロ ードするコンテンツの言語を指定する】、 を参照してください。 Page 13 行政機関向け Windows Server Update Services 運用ガイド ダウンロードしたコンテンツの保管場所 コンテンツをダウンロードして Windows Server Update Services の実行サーバーのローカルに保管す るかどうかを選択できます。Windows Server Update Services の実行サーバーのディスク容量およびネ ットワーク トラフィックを考慮して、ローカルに保管するかどうかを決定します。 コンテンツをダウンロードしないように選択した場合 : Windows Server Update Services の実行 サーバーはコンテンツのリストのみを Microsoft Update サイトからダウンロードします。自動更新 クライアントは、Windows Server Update Services の実行サーバーから適用すべきコンテンツをチ ェックし、実際のコンテンツのダウンロードは Microsoft Update サーバーから適用するコンテンツ のみをダウンロードします。このオプションにより、世界中からアクセスできる Microsoft Update サ ーバーを利用し、組織のクライアントがインストールする更新に対するコントロールを維持できます。 コンテンツをダウンロードしてローカルに保管するように選択した場合 : コンテンツは Windows Server Update Services の実行サーバーに保存されます。自動更新クライアントは Windows Server Update Services の実行サーバーから適用すべきコンテンツのチェックおよび実際のコンテンツの ダウンロードを行ないます。 設定方法および操作手順については、「4. Windows Server Update Services の操作ガイド」 -[4-4. コ ンテンツを管理する] – 【コンテンツを保管する場所を指定する】 を参照してください。 各クライアント PC に関する検討 自動更新の動作に関する検討 Windows Server Update Services では、各クライアント PC が Windows Server Update Services の実 行サーバーからコンテンツを取得するため、クライアント側でも Windows Server Update Services の 実行サーバーを利用するための設定が必要となります。 Active Directory グループ ポリシーを利用したり、ローカル ポリシーなどを利用したりして自動的に設 定することができます。いずれの場合も、設定する項目は同じですが、Active Directory を導入済か、あ るいはワークグループで運用中か、などによって利用できる設定方法が異なります。一般的には、Active Directory グループ ポリシーを利用して設定を行なう方法が、管理コストが最も低く抑えられます。 コンテンツを適用する際のクライアント PC の動作として、ユーザーのログオン状態、クライアント PC に対する管理者権限、再起動といった環境と管理の方針により、様々な動作設定を行なうことがで きます。 自動更新クライアントがコンテンツを適用する際は、ダウンロードとインストール、再起動のプロセス があります。ダウンロード プロセスは、自動更新の検出のタイミングで、未適用のセキュリティ更新プ ログラムがあれば、空いているネットワーク帯域を使用してダウンロードを実行します。そのため、ダ ウンロードにはネットワークやシステムに大きな負荷がかかりません。 クライアント PC にインストールする方法やスケジュールについて、業務に支障がない日時などを検討 します。コンテンツの中には、インストール後に再起動が必要となるものもあります。この場合、ログ オン中のユーザーに何も通知せずにインストール完了後に自動で再起動が行なわれてしまうと、編集中 のファイルが破棄されるなどの問題が発生する可能性があります。このような問題が発生しないように 運用に注意する必要があります。 再起動が必要なコンテンツであった場合でも、インストールの前にユーザーに通知を行なうことや、再 起動の確認を行なうことや、自動的に再起動を行なわないように設定しておくことで、ログオン中のユ ーザーが作業中のデータを失うことを回避できます。 また、インストールには、ログオン中のユーザーがクライアント PC に管理者権限が必要です。ログオ ン中のユーザーに管理者権限がない場合にも、通知を許可することでインストールを実施することがで きます。 自動更新の検出頻度についても、緊急度の高いセキュリティ更新プログラムに備えて 1 時間ごとに確認 し、ダウンロード後、直ちにインストールするといった動作も可能です。 このほかにも、ネットワーク構成や負荷状況により、自動更新クライアントがアクセスする Windows Server Update Services の実行サーバーについて検討します。また、クライアント PC の動作状況を把 握したい場合は動作ログを記録するための統計サーバーも指定するようにします。 設定方法および操作手順については、「4. Windows Server Update Services の操作ガイド」 - [4-5. 自 動更新クライアントを設定する] を参照してください。 Page 14 行政機関向け Windows Server Update Services 運用ガイド コンピュータのグループに関する検討 Windows Server Update Services では、クライアント PC をグループとして取り扱います。コンピュ ータ グループごとにインストールの承認を分けることができるため、動作確認用のテスト コンピュー タ グループと職員のコンピュータ グループを分離し、テスト コンピュータ グループにて動作を確認 してから、展開を行なうといったことができます。 また業務アプリケーションが導入されたサーバー等で適用すると誤作動が発生するセキュリティ更新プ ログラムがある場合、コンピュータ グループを分けることで、その他のコンピュータと分別してセキュ リティ更新プログラムを適用することができます。 設定方法および操作手順については、「4. Windows Server Update Services の操作ガイド」 - [4-6. コンピュータをグループに割り当てる] を参照してください。 日常の運用業務に対する検討 Windows Server Update Services を導入した環境での日常の運用業務で行なわれるステップは以下の 通りです。 図 5 : Windows Server Update Services を利用した運用のステップ この中において、「(1) コンテンツのダウンロード」および「(3) クライアント PC へのコンテンツの 適用」については、ポリシーに則った設定が行なわれているため、自動処理あるいは定型業務となりま す。 したがって、基本的には、新規コンテンツがダウンロードされるたびに検証を行ない、クライアント PC への適用を許可するかどうかを判断して設定することと、サーバーの状態の監視や緊急時の対応になり ます。 ( 1 ) コンテンツのダウンロード 管 理 者 が 設 定 し た オ プ シ ョ ン に 基 づ い て 、 Windows Server Update Services の 実 行 サ ー バ ー は Microsoft Update サイトと同期を行ない、新しいコンテンツをダウンロードします。 通常時以外で緊急を要するコンテンツなどの場合は、必要に応じて手動で同期を行なうことも可能です。 ( 2 ) コンテンツの確認 同期が完了したら、各コンテンツの内容を確認します。クライアント PC に適用する前に、事前に検証 を行ない、不具合が発生しないか確認するようにします。 コンテンツの評価、検証 影響を受けている製品や、深刻度、緩和される要素について評価を行ないます。 Page 15 行政機関向け Windows Server Update Services 運用ガイド Windows Server Update Services の管理ツールを利用すると、実行サーバーで利用できる更新プログラ ムのリストが表示され、名前、コンテンツのリリース日時、サイズ、各コンテンツの状態 (未承認、承 認済、検出のみなど)、製品や緊急度等でビューを設定でき、必要な項目について迅速に検索することが できます。またセキュリティ更新プログラムの内容について、詳細な情報についても確認することがで きます。 また、テスト環境を用い、クライアント PC に適用した場合にアプリケーションなどに不具合が生じな いか、事前に検証を行ないます。特に、セキュリティ更新プログラムの場合は、マイクロソフトでは製 品レベルのテストだけを行ない、ユーザー アプリケーションのテストは行なっていませんので、特に注 意が必要です。 サービスパックの場合 : 過去すべてのセキュリティ問題を修正し、広範囲なテストを実施 セキュリティ更新プログラムの場合 : 特定の問題のみを修正し、局所的なテストだけを実施。セキ ュリティ更新プログラムの適用により、ユーザー アプリケーションや特定デバイスの動作不良が想 定されます。 セキュリティ問題のリスクと修正による影響度の比較、修正を適用するまでの一時手段など、回避策 の検討も同時に行なう必要があります。 検証および評価とともに、インストールに要する時間の見積りなども同時に行なっておくことで、職員 に適切なアナウンスを行なえます。 コンテンツの承認 コンテンツのダウンロードが終了すると、Windows Server Update Services の管理ツールを利用して、 どのコンテンツをどのコンピュータ グループに配布するかをコンテンツのリストから選択して許可す ることが可能になります。この操作により、管理者はコンテンツの配布を制御できるため、検証および 評価結果をもとにした適切なコンテンツを、適切なルールに基づいてクライアント PC に配布できます。 コンテンツのリストでは、対象となるオペレーティング システムの種類や再起動が必要かどうかなどを 把握することが可能なため、コンテンツのインストールの承認を行なう前に、コンテンツを適用するこ とによりクライアント PC を再起動する必要がある旨などを事前に該当する職員にアナウンスする、と いった適切な計画を立てることが可能になります。 また事前に動作確認用のテスト コンピュータ グループに対してインストールを実施し、アプリケーシ ョンに影響がないか検証を実施してから、クライアント コンピュータに展開することも容易で、より安 全性を高めることが可能です。 また、コンテンツの同期、承認の状態なども確認できます。 設定方法および操作手順については、「4. Windows Server Update Services の操作ガイド」 - [4-9. 適 用するコンテンツを承認する] を参照してください。 ( 3 ) クライアント PC へのコンテンツの適用 自動更新クライアントでは、管理者が選択した設定オプションに基づいて、コンテンツのダウンロード およびインストールを行ないます。 ( 4 ) 動作状況の確認 Windows Server Update Services の実行サーバーおよびクライアントの状態を監視します。 Windows Server Update Services の管理コンソール、レポートやログをはじめとし、IIS ログやシステ ム イベント、あるいは Microsoft Baseline Security Analyzer などといったほかのツールを利用すること によって、より効果的に監視を行なえます。 また、更新が適切に行なわれていないことを確認した場合の対応手順も確立しておきます。 コンテンツの同期状況を確認する Windows Server Update Services の実行サーバーで行なわれたコンテンツの同期情報が同期の結果レ ポートに記録されています。この同期の状態を確認することにより、同期作業が正常に行なわれている のか、更新されたコンテンツは何か、あるいは緊急時の対応として手動で同期を行なったのはいつか、 といった情報を確認することができます。 設定方法および操作手順については、「4. Windows Server Update Services の操作ガイド」 - [4-4. コ ンテンツを管理する] - 【コンテンツの同期状況を確認する】を参照してください。 Page 16 行政機関向け Windows Server Update Services 運用ガイド コンテンツの承認状況を確認する Windows Server Update Services の実行サーバーで承認されたコンテンツまたは未承認のコンテンツ が更新プログラム画面に記録されています。この画面を確認することにより、承認がおこなわれたコン テンツはどれか、未承認のコンテンツはどれか、展開が必要なコンテンツがどれか、といった情報を確 認することができます。 設定方法および操手順については、「4. Windows Server Update Services の操作ガイド」 - [4-9. 適 用するコンテンツを承認する] - 【コンテンツの承認状態を確認する】を参照してください。 クライアント PC の状態を確認する Windows Server Update Services の実行サーバーに対する自動更新クライアントの状態を把握するに はコンピュータの状態レポートを利用します。 これにより、管理者は各クライアントへの適用されたコンテンツが何か、必要なコンテンツが何かとい った配布状況を把握することができます。 設定方法および操作手順については、「4. Windows Server Update Services の操作ガイド」 - [4-7. ク ライアントの状態を確認する] を参照してください。 自動更新クライアントの動作状況を確認する クライアント PC から Windows Server Update Services の実行サーバーへの接続自体が行なわれて いないといったトラブルなど、自動更新クライアント自体の動作に問題が発生した時は、クライアント PC 自体のシステム イベント ログを確認します。 設定方法および操作手順については、設定方法および操作手順については、「4. Windows Server Update Services の操作ガイド」 - [4-7. クライアントの状態を確認する] を参照してください。 障害発生時の回復プランの検討 Windows Server Update Services の実行サーバーに起動エラーが生じた場合、あるいは、サーバーのオ ペレーティング システムや Windows Server Update Services を再インストールする必要がある場合 など、障害が発生した場合のために、回復プランを検討します。 障害後に Windows Server Update Services の実行サーバーが完全に機能するようにするために、管理 サイトが作成された Web サイトのホームディレクトリ、コンテンツが含まれる Windows Server Update Services のディレクトリ、および IIS メタベース、データベースのバックアップを作成してお く必要があります。 Windows Server Update Services の実行サーバーでは頻繁に新しいコンテンツの同期が行なわれるた め、定期的にバックアップを作成することをお奨めします。 設定方法および操作手順については、 「4. Windows Server Update Services の操作ガイド」 - [4-12. サ ーバーのバックアップおよび障害回復] を参照してください。 また、サーバーの障害に限らず、緊急を要する場合の対応プロセスについても、検討しておきます。 次項「4. Windows Server Update Services の操作ガイド」より、実際の Windows Server Update Services の実行サーバーやクライアント PC の操作方法について説明します。 Page 17 行政機関向け Windows Server Update Services 運用ガイド 4.Windows Server Update Services の操作ガイド Windows Server Update Services では、操作性の高いシンプルな Web ベースの管理ツールが提供され ています。Windows Server Update Services の実行サーバーに対する運用業務のほとんどを、この管理 ツールから行なうことができます。 4-1.システム要件 Windows Server Update Services の実行サーバーとして使用するコンピュータは、以下のシステム構成 が必要です。 ソフトウェア要件 z Windows 2000 Server または Windows 2000 Advanced Server Service Pack 4 以降 z Windows Server 2003 Standard または Enterprise Edition z Internet Information Services 5.0 以降 z Background Intelligent Transfer Service (BITS) 2.0 以降 z Internet Explorer 6.0 SP1 以降 z .NET Framework 1.1 Service Pack 1 以降 また、Windows Server Update Services をインストールするパーティションは NTFS でフォーマット されている必要があります。 ハードウェア要件 z クライアント数が 500 以下の場合 要件 z z 最小 推奨 CPU 750 MHz 1 GHz 以上 RAM 512 MB 1 GB データベース WMSDE/MSDE WMSDE/MSDE クライアント数が 500 ~ 15,000 の場合 要件 最小 推奨 CPU 1 GHz 以上 3 GHz 以上のデュアル プロ セッサ コンピュータ (クライアント数が 10,000 を超える場合はデュアル プ ロセッサを使用) RAM 1 GB 1 GB データベース SQL Server 2000 SP3a SQL Server 2000 SP3a セットアップおよびセキュリティ パッケージ用に 6GB のハードディスク容量 Windows Server Update Services の自動更新クライアントは、以下のプラットフォーム上で使用できま す。 自動更新クライアントのシステム要件 z Windows 2000 Professional / Server / Advanced Server Service Pack 3 以降 z Windows XP Professional / Home Edition z Windows Server 2003 Page 18 行政機関向け Windows Server Update Services 運用ガイド 4-2.このガイドでの構成 本書では、組織内のファイアフォール内で、Windows Server 2003 上で Windows Server Update Services を実行し、Windows XP Professional コンピュータから自動更新を行なう方法を示しています。 図 6 : 本書における構成 Page 19 行政機関向け Windows Server Update Services 運用ガイド 4-3.管理ツールを利用する 管理ツールは Web ベースなので、Internet Explorer 5.5 以降を使用して、Windows Server Update Services の実行サーバーあるいはリモートから管理を行なえます。 また、Windows Server 2003 では、管理用の Web サイトへのアクセスに問題が生じる場合があります。 この場合、[信頼済みサイト] または [イントラネット] の [Web サイト] に http://<Servername> を追 加してください。 注: この Web サイトを表示するには、Windows Server Update Services を実行しているローカルコ ンピュータの管理者権限が必要です。 管理ツールからアクセスする 1. [スタート] メニューから、[管理ツール] - [Microsoft Windows Server Update Services] を選択すると、 Windows Server Update Services のホームページが表示されます。 図 7 : Windows Server Update Services のホームページ Page 20 行政機関向け Windows Server Update Services 運用ガイド 4-4.コンテンツを管理する コンテンツの管理を行ないます。 注 : コンテンツをローカル フォルダで保管するように設定している場合は、この作業を行なう前にダ ウンロードする言語が必要な言語のみが選択されていることを確認してください。設定方法および操作 手順については、[4-4. コンテンツを管理する] - 【ダウンロードするコンテンツの言語を指定する】 を 参照してください。 手動でコンテンツ情報を同期する 1. Windows Server Update Services のホームページで、[状態] セクションの [今すぐ同期] をクリックしま す。 図 8 : Windows Server Update Services のホームページ 2. [現在の状態] に [実行中] と表示されます。 図 9 : Windows Server Update Services のホームページ Page 21 行政機関向け Windows Server Update Services 運用ガイド 3. 同期が完了すると、[前回の同期] が最新の日時に更新され、[前回の同期の結果] に [成功] と表示されま す。 図 10 : Windows Server Update Services のホームページ Page 22 行政機関向け Windows Server Update Services 運用ガイド スケジューリングによりコンテンツ情報を同期する 1. Windows Server Update Services のホームページで、[オプション] をクリックします。 図 11 : Windows Server Update Services のホームページ 2. [同期のオプション] をクリックし、設定画面を表示します。 図 12 : [オプション] ページ Page 23 行政機関向け Windows Server Update Services 運用ガイド 3. [スケジュール] セクションから [毎日の同期時刻] をクリックし、時刻を指定します。 図 13 : [同期のオプション] ページ 4. 左ペインの [タスク] セクションから [設定の保存] をクリックします。 図 14 : [同期のオプション] ページ Page 24 行政機関向け Windows Server Update Services 運用ガイド ダウンロードするコンテンツの製品、クラスを指定する ダウンロードするコンテンツの製品を指定する 1. [同期のオプション] ページで、[製品とクラス] セクションから [製品] の [変更] をクリックし、[製品の 追加と削除] ダイアログを開きます。 図 15 : [同期のオプション] ページ 2. [製品の追加と削除] ダイアログで、更新する製品を選択し、[OK] をクリックします。 図 16 : [製品の追加と削除] ダイアログ 注 : [Exchange]、[Office]、[SQL] の各製品項目については、Windows Server Update Services の更 新後に表示されます。 Page 25 行政機関向け Windows Server Update Services 運用ガイド 1. ダウンロードするコンテンツのクラスを指定する [同期のオプション] ページで、[製品とクラス] セクションから [更新プログラムのクラス] の [変更] をク リックし、[クラスの追加と削除] ダイアログを開きます。 図 17 : [同期のオプション] ページ 2. [クラスの追加と削除] ダイアログで、更新するクラスを選択し、[OK] をクリックします。 図 18 : [クラスの追加と削除] ダイアログ Page 26 行政機関向け Windows Server Update Services 運用ガイド Microsoft Update サイトへプロキシ サーバーを経由するかどうか指定する 1. プロキシ サーバーを使用する場合は、[同期のオプション] ページで、[プロキシ サーバー] セクションか ら [同期時にプロキシ サーバーを私用する] のチェックボックスをオンにして各項目を設定します。 図 19 : [同期のオプション] ページ 2. 左ペインの [タスク] セクションから [設定の保存] をクリックします。 コンテンツの更新元を指定する 1. 別の Windows Server Update Services サーバーからコンテンツを同期する場合は、[同期のオプション] ページで、[更新元] セクションから[アップストリームの Windows Server Update Services サーバーから 同期する]をクリックし、[サーバー名]、[ポート番号]、SSL 使用の有無を指定します。 図 20 : [同期のオプション] ページ 2. 左ペインの [タスク] セクションから [設定の保存] をクリックします。 Page 27 行政機関向け Windows Server Update Services 運用ガイド コンテンツを保管する場所を指定する 1. [同期のオプション] ページで、[更新ファイルと更新言語] セクションから [詳細] をクリックします。 図 21 : [同期のオプション] ページ 2. 次の警告メッセージが表示されたら [OK] をクリックし、[詳細な同期のオプション] ダイアログを開きま す。 図 22 : 警告 メッセージ ボックス 図 23 : [詳細な同期のオプション] ダイアログ Page 28 行政機関向け Windows Server Update Services 運用ガイド 3. コンテンツをローカルに保存する場合は、[詳細な同期のオプション] ダイアログの [更新ファイル] セク ションで、[更新ファイルをこのサーバーにダウンロードする] をクリックします。 図 24 : [詳細な同期のオプション] ダイアログ 注 : [更新プログラムが承認された場合のみ、更新ファイルをダウンロードする] を選択すると、更新 プログラム本体はダウンロードされず、更新情報のみ同期されるためハードディスク容量が節約できま す。[Office]、[SQL]、他の各製品項目については、Windows Server Update Services の更新を行なうと 表示されます。 Page 29 行政機関向け Windows Server Update Services 運用ガイド ダウンロードするコンテンツの言語を指定する 1. コンテンツの言語を指定する場合には、[詳細な同期のオプション] ダイアログの [言語] セクションで、 ダウンロードするコンテンツの言語を選択して、[OK] をクリックします。 図 25 : [詳細な同期のオプション] ダイアログ 注 : Microsoft Update サイトで更新を維持するように設定されている場合は、ダウンロードする言語 の選択は行なえません。 注 : ダウンロードする言語を変更する場合には、その変更の後直ちに同期を取り、追加した言語への 適切なコンテンツを必ずダウンロードするようにします。 コンテンツの同期状況を確認する 1. Windows Server Update Services のホームページで、[レポート] をクリックします。 図 26 : Windows Server Update Services のホームページ Page 30 行政機関向け Windows Server Update Services 運用ガイド 2. [レポート] ページで [同期の結果] をクリックします。 図 27 : [レポート] ページ 3. [同期の結果] ページが表示されます。 表示する結果の範囲や、前回同期が行なわれた時刻や、実行された同期のタイプ、同期作業の成功/失敗の通 知情報、同期に失敗した更新パッケージなどを参照できます。 図 28 : [同期の結果] ページ 参考 : 左ペインの [ビュー] セクションから、同期の期間を指定して、フィルタリングされた結果を表 示することができます。 Page 31 行政機関向け Windows Server Update Services 運用ガイド 特定のコンテンツの更新情報についての詳細情報を確認する 1. [同期の結果] ページを表示し、[新しい更新プログラム] セクションから詳細情報を表示したい更新プログ ラムをクリックします。 図 29 : [同期の結果] ページ 2. [更新プログラムのプロパティ] ダイアログが表示されます。 図 30 : [更新プログラムのプロパティ] ダイアログ 3. [詳細] タブをクリックすると、コンテンツの概要、インストール情報などが表示されます。 4. [状態] タブをクリックすると、更新状態が表示されます。 5. [改訂版] タブをクリックすると、改訂版がリリースされている場合は 2 つ以上の更新プログラムが表示 されます。 参考 : 左ペインの [更新のタスク] セクションから、承認の変更、更新プログラムの拒否、状態レポー トの印刷が行なえます。 Page 32 行政機関向け Windows Server Update Services 運用ガイド 製品別に利用可能なコンテンツを参照する 1. Windows Server Update Services のホームページで、[更新プログラム] をクリックします。 図 31 : Windows Server Update Services のホームページ 2. [更新プログラム] ページが表示されます。 左ペインの [ビュー] セクションで、[製品とクラス] を [カスタム] に設定し、[カスタム ビューの変更] を クリックします。 図 32 : [更新プログラム] ページ Page 33 行政機関向け Windows Server Update Services 運用ガイド 3. [ビューのカスタマイズ] ダイアログ ボックスが表示されます。 保存する [カスタム ビュー名] を入力します。 コンテンツを表示する製品のみ、およびクラスのみを選択して [保存] をクリックします。 図 33 : [ビューのカスタマイズ] ダイアログ 4. [更新プログラム] ページの左ペインの [ビュー] セクションで、[製品とクラス] に作成したカスタム ビュ ーを選択し、[適用] をクリックします。 図 34 : [更新プログラム] ページ Page 34 行政機関向け Windows Server Update Services 運用ガイド 4-5.自動更新クライアントを設定する Active Directory 環境の場合はグループ ポリシーを、非 Active Directory 環境の場合はローカル コンピ ュータ ポリシーを使用して、自動更新を構成します。 注 : グループ ポリシー オブジェクトの作成および自動ポリシー テンプレートの設定については Microsoft Windows Server Update Services の展開に関するドキュメント 「自動更新クライアントの構 成方法を決定する ( 52 ページ) 」 および 「Active Directory 以外の環境で自動更新を構成する ( 62 ペ ージ) 」を参照してください。 1. Active Directory 環境の場合は [グループ ポリシー オブジェクト エディタ] から、非 Active Directory 環境の場合は [グループ ポリシー] スナップインから、[コンピュータの構成] - [管理用テンプレート] - [Windows コンポーネント] - [Windows Update] の順にクリックします。 2. 設定可能な 12 のポリシーが右ペインに表示されます。 図 35 : Windows Update テンプレートの表示 3. それぞれに必要な設定を以下に示します。 自動更新を設定する このポリシーでは、クライアント PC の自動更新機能を有効にするかどうかを指定します。 自動更新を構成すると、ログオン中のユーザーにダウンロードの前およびインストールの前に通知を行 なうのか、インストールの前だけ通知を行なうのか、あるいは、スケジューリングによるインストール を行なうのかを設定できます。 1. 右ペインから、[自動更新を構成する] をダブルクリックします。 図 36 : 自動更新を構成する Page 35 行政機関向け Windows Server Update Services 運用ガイド 2. [自動更新を構成するのプロパティ] ダイアログ ボックスが表示されます。 [設定] タブの [有効] をクリックして、自動更新機能を有効にします。 図 37 : [自動更新を構成するのプロパティ] ダイアログ ボックス 注 : [無効] を選択した場合は、自動更新の使用はグループ ポリシー レベルでは指定されません。ク ライアント PC は Windows Update サイトにアクセスし、自動更新の構成はコントロールパネルから手 動で行なう必要があります。 3. [自動更新の構成] コンボ ボックスより、適切な構成を選択します。 各クライアント PC の管理を各ユーザーに委任している場合は 2 もしくは 3 を、ユーザーの操作を最 小限に抑えたい場合は 4 を、各メンバーサーバーのように、自動更新を個別に設定する必要がある場合 は 5 を選択します。 図 38 : 自動更新の構成 z z z [2-ダウンロードの前、およびインストールの前に通知する] : クライアント PC 上で、コン テンツのダウンロードを実行する前、およびインストール前にユーザーに通知します。このオプ ションでは、管理者権限を持つユーザーがログオンしている必要があります。 [3-自動的にダウンロードし、インストールの前に通知する] : クライアント PC 上で、コン テンツは自動的にダウンロードされ、インストールする前にユーザーに自動更新を通知します。 このオプションでは、管理者権限を持つユーザーがログオンしている必要があります。 [4-自動的にダウンロードし、インストールのスケジュールをたてる] : クライアント PC 上 でインストールを実行する曜日および実行時間を指定します。このオプションでは、再起動が必 要なコンテンツを適用する場合に、ログオン中のユーザーが管理者権限を持っているかいないか によって動作が異なります。詳細は [コンテンツのインストール時にシステムを自動的に再起動 しないように設定する] を参照してください。 Page 36 行政機関向け Windows Server Update Services 運用ガイド z [5-ローカルの管理者の設定選択を許可] : クライアント PC 上で自動更新の方法、およびイ ンストールを実行する曜日および実行時間の設定を各クライアント PC のユーザーに委任します。 このオプションでは、管理者権限を持つユーザーがログオンしている必要があります。 4. [OK] ボタンをクリックし、設定ダイアログを閉じます。 自動更新クライアントが接続する Windows Server Update Services の実行サーバーを指定する 1. 右ペインから、[イントラネットの Microsoft の更新サービスの場所を指定する] をダブルクリックします。 図 39 : イントラネットの Microsoft 更新サービスの場所を指定する 2. [イントラネットの Microsoft 更新サービスの場所を指定するのプロパティ] ダイアログ ボックスが表示 されます。 [設定] タブの [有効] をクリックして、Windows Server Update Services の実行サーバーと統計サーバー の指定を有効にします。 [無効] または、[未構成] を選択した場合は、Windows Update サイトにアクセスします。 図 40 : [イントラネットの Microsoft 更新サーバーの場所を指定するのプロパティ] ダイアログ ボックス 3. [更新を検出するためのイントラネットの更新サービスを設定する] テキスト ボックスに、Windows Server Update Services の実行サーバー名 <http://WSUSServer> を入力します。 [イントラネット統計サーバーの設定] テキスト ボックスに、統計サーバー 名 <http://WSUSServer> を 入力します。 Page 37 行政機関向け Windows Server Update Services 運用ガイド 図 41 : [イントラネットの Microsoft 更新サービスの場所を指定するのプロパティ] ダイアログ ボックス 4. [OK] ボタンをクリックし、ダイアログ ボックスを閉じます。 自動更新の検出頻度 このポリシーは自動更新がスケジュールされた更新のインストールを行なうように構成されている場合 ( [自動更新を構成する] ポリシー を 4 に設定している場合) 、およびイントラネットの Microsoft 更新 サービスを利用するように構成されている場合にのみ適用されます。 1. 右ペインから、[自動更新の検出頻度] をダブルクリックします。 図 42 : 自動更新の検出頻度 2. [自動更新の検出頻度のプロパティ] ダイアログ ボックスが表示されます。 更新を確認する間隔を指定する場合は、[設定] タブの [有効] をクリックします。 [未構成] または [無効] を選択すると、既定の間隔である 22 時間で更新が確認されます。 図 43 : [自動更新の検出頻度のプロパティ] ダイアログ ボックス Page 38 行政機関向け Windows Server Update Services 運用ガイド 3. [次の間隔 (時間) で更新を確認する] に更新を確認する間隔を 1 ~ 22 時間で指定します。 実際の組織では、セキュリティ レベル、ネットワーク トラフィック等を考慮して決定してください。 図 44 : [自動更新の検出頻度のプロパティ] ダイアログ ボックス 4. [OK] ボタンをクリックし、ダイアログ ボックスを閉じます。 クライアント側のターゲットを有効にする このポリシーは自動更新がイントラネットの Microsoft 更新サービスを利用するように構成されている 場合にのみ適用されます。 1. 右ペインから、[クライアント側のターゲットを有効にする] をダブルクリックします。 図 45 : クライアント側のターゲットを有効にする 2. [クライアント側のターゲットを有効にするのプロパティ] ダイアログ ボックスが表示されます。 グループの情報を使って、各クライアントに必要な更新を決定する場合は、[設定] タブの [有効] をクリ ックします。 [未構成] または [無効] を選択すると、グループの情報は使用されません。 図 46 : [クライアント側のターゲットを有効にするのプロパティ] ダイアログ ボックス Page 39 行政機関向け Windows Server Update Services 運用ガイド 3. [このコンピュータのグループ名をターゲットにする] に、情報を使用するグループ名を指定します。 図 47 : [クライアント側のターゲットを有効にするのプロパティ] ダイアログ ボックス 4. [OK] ボタンをクリックし、ダイアログ ボックスを閉じます。 コンテンツのダウンロード後、直ちにインストールするように設定する 1. 右ペインから、[自動更新を直ちにインストールすることを許可する] をダブルクリックします。 図 48 : 自動更新を直ちにインストールすることを許可する 2. [自動更新を直ちにインストールすることを許可するのプロパティ] ダイアログ ボックスが表示されます。 更新のダウンロード後、準備ができしだいインストールする場合には、[設定] タブの [有効] をクリック します。 [未構成] または [無効] を選択すると、すぐにはインストールされません。 図 49 : [自動更新を直ちにインストールすることを許可するのプロパティ] ダイアログ ボックス 3. [OK] ボタンをクリックし、ダイアログ ボックスを閉じます。 Page 40 行政機関向け Windows Server Update Services 運用ガイド コンテンツをインストールするスケジュールを変更する このポリシーは自動更新がスケジュールされた更新のインストールを行なうように構成されている場合 ( [自動更新を構成する] ポリシー を 4 に設定している場合) にのみ適用されます。 1. 右ペインから、[自動更新のインストールを再度スケジュールする] をダブルクリックします。 図 50 : 自動更新のインストールを再度スケジュールする 2. [自動更新のインストールを再度スケジュールするのプロパティ] ダイアログ ボックスが表示されます。 スケジュールされた自動更新が何らかの理由により実行されなかった場合に、システム起動後、自動更新 するまでの時間を指定するためには、[設定] タブの [有効] をクリックします。 [無効] または、[未構成] を選択した場合は、実行されなかった更新は、次回のスケジュールされた時間に 実行されます。 図 51 : [自動更新のインストールを再度スケジュールするのプロパティ] ダイアログ ボックス 3. [システム起動後の待ち時間] に、スケジュールされた自動更新が何らかの理由により実行されなかった場 合にシステム起動後、自動更新を実行するまでの時間を指定します。 図 52 : [自動更新のインストールを再度スケジュールするのプロパティ] 画面 4. [OK] ボタンをクリックし、ダイアログ ボックスを閉じます。 Page 41 行政機関向け Windows Server Update Services 運用ガイド コンテンツのインストール時にシステムを自動的に再起動しないように設定する このポリシーは自動更新がスケジュールされた更新のインストールを行なうように構成されている場合 ( [自動更新を構成する] ポリシー を 4 に設定している場合) にのみ適用されます。 再起動が必要なコンテンツをインストールした場合に、強制的に再起動されないようにするには、この ポリシーを有効にします。 管理者権限を持つユーザーは今すぐ再起動を行なうか、後で行なうかを選択することができます。 管理者権限を持たないユーザーは再起動をキャンセルすることはできませんが、再起動を保留すること が可能なため、作業中のデータが失われることはありません。 1. 右ペインから、[スケジュールされた自動更新インストールに対しては自動再起動しない] をダブルクリッ クします。 図 53 : スケジュールされた自動更新インストールに対しては自動再起動しない 2. [スケジュールされた自動更新インストールに対しては自動再起動しないのプロパティ] ダイアログ ボッ クスが表示されます。 自動更新を完了するためにコンピュータの再起動が必要な場合、自動的に再起動されることをユーザーに 通知するために、[設定] タブの [有効] をクリックします。 [無効] または、[未構成] を選択した場合は、インストールを完了するためにコンピュータが 5 分以内に 自動的に再起動されることがユーザーに通知されます。 図 54 : [スケジュールされた自動更新インストールに対しては自動再起動しないのプロパティ] ダイアログ ボックス 3. [OK] ボタンをクリックし、ダイアログ ボックスを閉じます。 コンテンツのインストール後、再起動までの時間を設定する このポリシーは自動更新がスケジュールされた更新のインストールを行なうように構成されている場合 ( [自動更新を構成する] ポリシー を 4 に設定している場合) にのみ適用されます。 再起動が必要なコンテンツをインストールした場合に、再起動するまでの時間を指定するには、このポ リシーを有効にします。 Page 42 行政機関向け Windows Server Update Services 運用ガイド 1. 右ペインから、[スケジュールされたインストールの再起動を遅らせる] をダブルクリックします。 図 55 : スケジュールされたインストールの再起動を遅らせる 2. [スケジュールされたインストールの再起動を遅らせるのプロパティ] ダイアログ ボックスが表示されま す。 自動更新を完了するためにコンピュータの再起動が必要な場合、自動的に再起動するまでの時間を構成す る場合には、[設定] タブの [有効] をクリックします。 [無効] または、[未構成] を選択した場合は、インストールを完了するためにコンピュータが 5 分以内に 自動的に再起動されることがユーザーに通知されます。 図 56 : [スケジュールされたインストールの再起動を遅らせるのプロパティ] ダイアログ ボックス 3. [スケジュールされた再起動を再度確認する前に、次の時間待機する (分)] に、自動更新を完了するため にコンピュータの再起動が必要な場合の、自動的に再起動するまでの時間を指定します。 図 57 : [スケジュールされたインストールの再起動を遅らせるのプロパティ] ダイアログ ボックス 4. [OK] ボタンをクリックし、ダイアログ ボックスを閉じます。 Page 43 行政機関向け Windows Server Update Services 運用ガイド コンテンツのインストール後、再起動を再確認するまでの時間を設定する このポリシーは自動更新がスケジュールされた更新のインストールを行なうように構成されている場合 ( [自動更新を構成する] ポリシー を 4 に設定している場合) にのみ適用されます。 再起動が必要なコンテンツをインストールした場合に、再起動を再確認するまでの時間を指定するには、 このポリシーを有効にします。 1. 右ペインから、[スケジュールされたインストール時の再起動を再確認する] をダブルクリックします。 図 58 : スケジュールされたインストール時の再起動を再確認する 2. [スケジュールされたインストール時の再起動を再確認するのプロパティ] ダイアログ ボックスが表示さ れます。 自動更新を完了するためにコンピュータの再起動が必要な場合、再起動の確認メッセージを再度表示する までの時間を構成する場合には、[設定] タブの [有効] をクリックします。 [無効] または、[未構成] を選択した場合は、インストールを完了するためにコンピュータが 5 分以内に 自動的に再起動されることがユーザーに通知されます。 図 59 : [スケジュールされたインストールの再起動を遅らせるのプロパティ] ダイアログ ボックス Page 44 行政機関向け Windows Server Update Services 運用ガイド 3. [スケジュールされた再起動を再度確認する前に、次の時間待機する (分)] に、自動更新を完了するため にコンピュータの再起動が必要な場合の、自動的に再起動するまでの時間を指定します。 図 60 : [スケジュールされたインストールの再起動を遅らせるのプロパティ] ダイアログ ボックス 4. [OK] ボタンをクリックし、ダイアログ ボックスを閉じます。 非管理者による通知の受信を許可する 1. 右ペインから、[非管理者による更新の通知の受信を許可する] をダブルクリックします。 図 61 :非管理者による更新の通知の受信を許可する 2. [非管理者による更新の通知の受信を許可するのプロパティ] ダイアログ ボックスが表示されます。 非管理者に対しても更新を通知する場合には、[設定] タブの [有効] をクリックします。 [無効] または、[未構成] を選択した場合は、ログオンしている管理者のみに通知されます。 図 62 : [非管理者による更新の通知の受信を許可するのプロパティ] ダイアログ ボックス 3. [OK] ボタンをクリックし、ダイアログ ボックスを閉じます。 Page 45 行政機関向け Windows Server Update Services 運用ガイド 更新をインストールしてシャットダウンの表示を設定する クライアントが Windows Server Update Services から更新の確認を行なうように構成すると、既定では、 新しい更新が利用できる場合にクライアントの [Windows シャットダウン] ダイアログには [更新をイ ンストールして再起動] オプションが表示されるようになります。 [更新をインストールして再起動] オプションを非表示とする場合、もしくは既定としない場合は、以下 のポリシーを有効にします。 1. 更新をインストールしてシャットダウンを非表示にする 右ペインから、 [ [Windows シャットダウン] ダイアログ ボックスで [更新をインストールして再起動] オ プションを表示しない] をダブルクリックします。 図 63 : [Windows シャットダウン] ダイアログ ボックスで [更新をインストールして再起動] オプションを表示しない 2. [[Windows シャットダウン] ダイアログ ボックスで [更新をインストールして再起動] オプションを表 示しないのプロパティ] ダイアログ ボックスが表示されます。 新しい更新が利用できる場合でも、クライアントの [Windows シャットダウン] ダイアログに [更新をイ ンストールして再起動] オプションを表示しない場合には、[設定] タブの [有効] をクリックします。 [無効] または、[未構成] を選択した場合は、[更新をインストールして再起動] が既定となります。 図 64 : [非管理者による更新の通知の受信を許可するのプロパティ] ダイアログ ボックス 3. [OK] ボタンをクリックし、ダイアログ ボックスを閉じます。 更新をインストールしてシャットダウンを既定にしない このポリシーは[ [Windows シャットダウン] ダイアログ ボックスで [更新をインストールして再起動] オプションを表示しない] ポリシーが無効、または未構成に設定されている場合のみ適用されます。 Page 46 行政機関向け Windows Server Update Services 運用ガイド 1. 右ペインから、[ [Windows シャットダウン] ダイアログ ボックスの既定のオプションを [更新をインス トールして再起動] に調整しない] をダブルクリックします。 図 65 : [Windows シャットダウン] ダイアログ ボックスの既定のオプションを [更新をインストールして再起動] に調整しない 2. [[Windows シャットダウン] ダイアログ ボックスの既定のオプションを [更新をインストールして再起 動] に調整しないのプロパティ] ダイアログ ボックスが表示されます。 クライアントの [Windows シャットダウン] の既定のオプションを、前回選択したオプションに設定する 場合は、[設定] タブの [有効] をクリックします。 [無効] または、[未構成] を選択した場合は、[更新をインストールして再起動] が既定のオプションをなり ます。 図 66 : [[Windows シャットダウン] ダイアログ ボックスの既定のオプションを [更新をインストールして再起動] に調整しないのプロパティ] ダイアログ ボックス 3. [OK] ボタンをクリックし、ダイアログ ボックスを閉じます。 Page 47 行政機関向け Windows Server Update Services 運用ガイド 4-6.コンピュータをグループに割り当てる 適用するコンテンツを定めたコンピュータ グループに各クライアント PC を割り当てます。 コンピュータ グループを作成する 1. Windows Server Update Services のホームページで、[コンピュータ] をクリックします。 図 67 : Windows Server Update Services のホームページ 2. [コンピュータ] ページが表示されます。 左ペインの [タスク] セクションから、[コンピュータ グループの作成] をクリックします。 図 68 : [コンピュータ] ページ Page 48 行政機関向け Windows Server Update Services 運用ガイド 3. [コンピュータ グループの作成] Web ページ ダイアログが表示されます。 追加するコンピュータ グループの名前を入力して、[OK] をクリックします。 図 69 : [コンピュータ グループの作成] ダイアログ 手動でクライアント PC をコンピュータ グループに移動する 1. 表示されているクライアント PC を選択し、左ペインの [タスク] セクションから [選択したコンピュー タの移動] をクリックします。 図 70 : [コンピュータ] ページ 注 : [コンピュータ] オプションにクライアント PC を表示させるには、クライアント PC で、イン トラネットの Microsoft 更新サービスに接続するよう設定されている必要があります。 2. [コンピュータの移動] Web ページ ダイアログが表示されます。 選択したコンピュータを移動するコンピュータ グループを選択して [OK] をクリックします。 図 71 : [コンピュータの移動] ダイアログ 参考 : ポリシーの管理テンプレートを設定することにより、クライアント PC を自動的にコンピュー タ グループに移動することができます。 Page 49 行政機関向け Windows Server Update Services 運用ガイド 4-7.クライアントの状態を確認する クライアント PC へのコンテンツ適用状況を確認する 1. Windows Server Update Services のホームページで、[レポート] をクリックします。 図 72 : Windows Server Update Services のホームページ 2. [レポート] ページから [コンピュータの状態] をクリックします。 図 73 : [レポート] ページ Page 50 行政機関向け Windows Server Update Services 運用ガイド 3. [コンピュータの状態] ページが表示されます。 左ペインの [ビュー] セクションで [コンピュータ グループ] プルダウン ボックスで [すべてのコンピュ ータ] を選択し、[状態] のすべてのチェックボックスをオンにして [適用] をクリックします。 図 74 : [コンピュータの状態] ページ 4. 右ペインにクライアント PC とコンテンツの適用状況一覧が表示されます。 クライアント PC の [+] をクリックします。 図 75 : [コンピュータの状態] ページ Page 51 行政機関向け Windows Server Update Services 運用ガイド 5. 更新の一覧と、承認状況、クライアント PC に対する状態が表示されます。 図 76 : [コンピュータの状態] ページ 参考 : [状態] タブに表示される状態の一覧です。 表 2 更新プログラムの状態一覧 状態 意味 インストール 更新プログラムは既にコンピュータにインストールされています。 ・更新プログラムのインストールを承認しましたが、この変更を行なった後、クライ ント コンピュータが WSUS サーバーに問い合わせていません。 ・検出のみの操作は実行済みですが、更新プログラムのインストールを承認していま ん。 必要 ・更新プログラムをダウンロードしてインストール済みですが、更新プログラムがイ ストールされた後、クライアント コンピュータが WSUS サーバーに問い合わせてい せん。 ・更新プログラムは、ダウンロードされインストール済みですが、更新プログラムを 効にするには、クライアント コンピュータを再起動する必要があります。クライアン コンピュータはまだ再起動されていません。 ・更新プログラムはコンピュータにダウンロードされていますが、インストールされ いません。 不要 更新プログラムはコンピュータに必要ありません。 不明 コンピュータ上で更新プログラムの検出プロセスが完了していません。通常は、同期後 新しい更新プログラムが利用可能になってから、コンピュータが WSUS サーバーに い合わせていないためです 失敗 コンピュータ上での更新プログラムの検出またはインストールのいずれかでエラーが 生しました。 Page 52 行政機関向け Windows Server Update Services 運用ガイド 特定のコンテンツの更新についての詳細情報を確認する 1. Windows Server Update Services のホームページで、[更新プログラム] をクリックします。 図 77 : Windows Server Update Services のホームページ 2. [更新プログラム] ページが表示されます。 詳細情報を確認したいコンテンツを選択します。 図 78 : [更新プログラム] ページ 3. 右ペイン下段の [詳細] タブに詳細情報が表示されます。 Page 53 行政機関向け Windows Server Update Services 運用ガイド 4-8.通知された更新プログラムを評価する 新しい更新プログラムが公開されたら、庁内に適用する前に、更新プログラムの評価を行ないます。 1. 「プロダクト セキュリティ 警告 サービス」メーリング リスト等から、新しい更新プログラムの内容を 確認します。 2. 組織に所属しているサーバー、クライアントの種類から、適用の必要があるかどうかを検討します。 3. 更新プログラムの緊急度を評価し、インストール期日やテスト適用を行なうかどうか、 などを決定します。 4-9.適用するコンテンツを承認する 同期時に自動的に検出の承認を行なう 1. Windows Server Update Services のホームページで、[オプション] をクリックします。 図 79 : Windows Server Update Services のホームページ 2. [オプション] ページから [自動承認のオプション] をクリックします。 図 80 : [オプション] ページ Page 54 行政機関向け Windows Server Update Services 運用ガイド 3. [自動承認のオプション] ページが表示されます。 [更新] セクションで [検出の承認] チェックボックスをオンにして、自動的に検出を行なうクラスと対象 となるコンピュータ グループを指定します。 図 81 : [自動承認のオプション] ページ 4. 左ペインの [タスク] セクションから [設定の保存] をクリックします。 同期時に自動的にインストールの承認を行なう 1. [自動承認のオプション] ページの [更新] セクションで [インストールの承認] チェックボックスをオン にして、自動的に検出を行なうクラスと対象となるコンピュータ グループを指定します。 図 82 : [自動承認のオプション] ページ 2. 左ペインの [タスク] セクションから [設定の保存] をクリックします。 Page 55 行政機関向け Windows Server Update Services 運用ガイド 承認済みの更新プログラムの改訂版の承認を行なう 1. 自動的に承認済みの更新プログラムの改訂版を承認するには、[自動承認のオプション] ページの [更新プ ログラムの改訂版] セクションで [更新プログラムの最新の改訂版を自動的に承認する] を選択します。 図 83 : [自動承認のオプション] ページ 2. 左ペインの [タスク] セクションから [設定の保存] をクリックします。 Windows Server Update Services の更新プログラムの承認を行なう 1. 自動的に Windows Server Update Services の更新プログラムを承認するには、[自動承認のオプション] ページの [ Windows Server Update Services の更新プログラム] セクションで [WSUS の更新プログラ ムを自動的に承認する] チェック ボックスをオンにします。 図 84 : [自動承認のオプション] ページ 2. 左ペインの [タスク] セクションから [設定の保存] をクリックします。 Page 56 行政機関向け Windows Server Update Services 運用ガイド コンテンツの承認状況を確認する 1. Windows Server Update Services のホームページで、[更新プログラム] をクリックします。 図 85 : Windows Server Update Services のホームページ 2. [更新プログラム] ページが表示されます。 左ペインの [ビュー] セクションで、[承認状態] を [すべての更新プログラム] に設定し、[適用] をクリッ クします。 図 86 : [更新プログラム] ページ 3. [i] セクションのコンテンツ一覧の [承認] 列に各コンテンツの承認状況が表示されます。 [ビュー] を適用することで、製品、クラス、承認状態、期間などの条件でコンテンツを抽出できます。 参考 : コンテンツ一覧の [承認] をクリックすると、承認の種類でコンテンツをソートすることができ ます。 Page 57 行政機関向け Windows Server Update Services 運用ガイド 4-10.クライアント PC にコンテンツを適用する クライアント PC に適用するコンテンツのインストールの許可を行なう 1. Windows Server Update Services のホームページで、[更新プログラム]をクリックします。 図 87 : Windows Server Update Services のホームページ 2. [更新プログラム] ページが表示されます。 クライアント PC に配布したい更新を選択し、左ペインの [更新のタスク] セクションから [承認の変更] をクリックします。 図 88 : [更新プログラム] ページ Page 58 行政機関向け Windows Server Update Services 運用ガイド 3. [更新プログラムの承認] ダイアログ ボックスが表示されます。 すべてのコンピュータに適用する承認を選択します。 例外の承認を設定する場合は、コンピュータ グループごとに承認の設定を行ないます。 [OK] をクリックします。 図 89 : [更新プログラムの承認] ダイアログ 注 : 承認を [インストール] とした場合には、[期日] も設定します。 自動更新クライアントによるダウンロード、インストールの通知 コンテンツを適用するには、自動的にインストールを実行することや、シャットダウン時にインストー ルする等、[4.5 自動更新クライアントを設定する]にて設定した内容に従って、適用が実施されます。こ こでは、ダウンロードとインストールの前に通知するよう設定した場合の手順について記述します。 1. 更新のダウンロード準備が完了すると、通知エリアに通知されます。 注 : ダウンロードする前に通知を行なうように設定している場合のみ、表示されます。 図 90 : 通知エリアの表示 2. バルーンまたは通知エリア アイコンをクリックし、[自動更新] ダイアログを表示します。 3. ダウンロードする更新一覧より、ダウンロードする更新のチェック ボックスをオンにします。 図 91 : 更新のダウンロード画面 Page 59 行政機関向け Windows Server Update Services 運用ガイド 4. [ダウンロード開始] ボタンをクリックし、ダウンロードを開始します。 5. ダウンロードが完了すると、通知エリアに通知されます。 注 : インストールする前に通知を行なうように設定している場合のみ表示されます。 図 92 : 通知エリアの表示 6. バルーンまたは通知エリア アイコンをクリックし、[自動更新] ダイアログを表示します。 7. [カスタム インストール] を選択し、[インストール] をクリックします。 図 93 : インストール準備完了画面 8. [詳細] ボタンをクリックし、インストールする更新一覧より、インストールする更新のチェックボック スをオンにします。 図 94 : インストールする更新の選択画面 Page 60 行政機関向け Windows Server Update Services 運用ガイド 9. [インストール] ボタンをクリックし、更新のインストールを開始します。 図 95 : インストール画面 10. 更新のインストールを完了するために再起動が必要な場合、管理者ユーザーでログインしているか構成オ プションで通知するように設定している場合は、再起動するかを選択するメッセージが表示されます。 図 96 : インストール完了画面 11. このタイミングで再起動しなかった場合でも、一定時間毎に次の再起動要求メッセージが表示されます。 図 97 : 再起動再確認画面 Page 61 行政機関向け Windows Server Update Services 運用ガイド 4-11.クライアントの状態を再確認する 設定したインストール期日後や、セキュリティ ポリシーに基づき定期的に、[4-7 クライアントの状態 を確認する] と同様の手順でクライアントへのコンテンツの適用状況を確認します。 4-12.サーバーのバックアップおよび障害回復 Windows Server Update Services のインストール直後、および、ネットワーク構成や Windows Server Update Services のオプション設定などに変更が生じた場合に設定を行ないます。 Windows Server Update Services の実行サーバーのバックアップを行なう Internet Information Services 6.0 のバックアップ コピーには、メタベース構成とスキーマのみが格納さ れ (Internet Information Services 5.0 はメタベース のみ)、Web サイトのコンテンツは格納されません。 Internet Information Services 6.0 (または、Internet Information Services 5.0 ) のバックアップを作成した 後、バックアップ ユーティリティ を実行してデータのバックアップを作成します 以下の画面は Windows Server 2003 および Internet Information Services 6.0 の場合を示しています。 1. Internet Information Services 6.0 のバックアップの作成 インターネット インフォメーション サービス マネージャでバックアップを作成するサーバーを右クリ ックし、[すべてのタスク] から [構成のバックアップまたは復元] を選択します。 図 98 : インターネット インフォメーション サービス マネージャ 2. [構成のバックアップ/復元] ダイアログ ボックスが表示されます。 [バックアップの作成] をクリックします。 図 99 : 構成のバックアップ/復元 Page 62 行政機関向け Windows Server Update Services 運用ガイド 3. [構成のバックアップ] ダイアログ ボックスが表示されます。 構成のバックアップ名を入力し、[OK] をクリックします。 図 100 : 構成のバックアップ 4. 作成したバックアップが [構成のバックアップ/復元] ダイアログ ボックスに表示されていることを確認 し、[閉じる] をクリックします。 図 101 : [構成のバックアップ/復元] ダイアログ ボックス 1. z z z データのバックアップ バックアップ ユーティリティを起動し、[バックアップ] タブをクリックし、バックアップを作成する以 下のデータを選択します。 既定の Web サイト <C:¥Inetpub¥wwwroot> コンテンツの保存場所 <E:¥WSUS¥content> IIS メタベース構成とスキーマ <C:¥WINDOWS¥system32¥inetsrv¥MetaBack¥WSUSBack.MD0> <C:¥WINDOWS¥system32¥inetsrv¥MetaBack¥WSUSBack.SC0> 注 : Internet Information Services 5.0 の場合は <C:¥WINNT¥system32¥inetsrv¥MetaBack¥WSUSBack.MD0> 図 102 : バックアップ ユーティリティ を使用したのバックアップの作成 Page 63 行政機関向け Windows Server Update Services 運用ガイド 2. [バックアップ先] および [バックアップを格納するメディア名またはファイル名] を選択します。 これはテープ ドライブ (推奨) またはローカル ディスクに保存されるファイルです。 図 103 : バックアップ先の選択 3. [バックアップの開始] をクリックします。 4. [バックアップ ジョブ情報] ダイアログ ボックスが表示されます。 バックアップおよびメディアの定義をカスタマイズしたり、バックアップのスケジュールを設定したりす ることができます。 これらの設定の入力が終了したら、[バックアップの開始] をクリックします。 図 104 : [バックアップ ジョブ情報] ダイアログ ボックス 5. [バックアップの進行状況] ダイアログ ボックスが表示されます。 図 105 : [バックアップの進行状況] ダイアログ ボックス Page 64 行政機関向け Windows Server Update Services 運用ガイド 6. バックアップが完了すると、バックアップが完了したことを示すダイアログ ボックスが表示されます。 [閉じる] をクリックします。 図 106 : バックアップの完了 7. バックアップ ユーティリティを終了します。 Windows Server Update Services の実行サーバーを復元する Internet Information Services 5.0 の手順 Internet Information Services 5.0 サーバーはそのサーバーに固有の SID を使用することによって、メタ ベースを同じハードウェア上の新しいインストールや別のコンピュータに復元できなくしています。オ ペレーティング システムを再インストールしないで Internet Information Services 5.0 をアンインスト ールすることが可能な場合、以下の手順を行なうことができます。 1. Windows Server Update Services をアンインストールします。 2. サーバーをネットワークから物理的に切断して、サーバーにウイルスがないことを確認します。 3. IIS コンポーネントをアンインストールします。 4. IIS コンポーネントを再インストールします。 5. 必要に応じて、最新のサービスパックやセキュリティ関連の Internet Information Services 5.0 修正プロ グラムなどを再適用します。 6. Windows Server Update Services を再インストールします。 7. 後述の [Windows Server Update Services のインストール後の操作] の手順に進みます。 障害発生後に Windows 2000 を再インストールする必要がある場合、管理者は Windows Server Update Services を再インストールし、コンテンツの再同期を取り、さらに更新を再許可する必要があ ります。このシナリオでは、データを復元するためのサポートされた方法はありません。 Internet Information Services 6.0 の手順 オペレーティング システムを再インストールする必要があるような障害が発生した場合、サーバーにデ ータを復元するには以下の手順に従ってください。 オペレーティング システムを再インストールする必要がない場合は、以下の手順 2 を省略してくださ い。 これらの手順は Internet Information Services 6.0 でのみ有効です。 1. サーバーをネットワークから物理的に切断し、Windows Server Update Services ソフトウェアを再イン ストールする前にサーバーにウイルスがないことを確認します。 2. サーバーに障害前と同じオペレーティング システムをインストールします。 z 必ずサーバーに障害前と同じコンピュータ名をつけます。 Page 65 行政機関向け Windows Server Update Services 運用ガイド 3. サーバーに障害前と同じ IIS コンポーネントをインストールします。 少なくとも、これには WWW およびそれが依存するすべてのコンポーネントが含まれている必要があり ます。 4. オペレーティング システムがインストールされたら、最新のサービスパックやセキュリティの修正プロ グラムなどがインストールされていることを確認します。 これらの作業のためにサーバーがネットワークに接続されている必要がある場合、サーバーをネットワー クに接続する前に必ず IIS LockDown Wizard を実行します。 5. Windows Server Update Services を障害前にインストールしたのと同じディレクトリに場所にインスト ールします。 6. 後述の [Windows Server Update Services のインストール後の操作] の手順に進みます。 Software Update Services のインストール後の操作 バックアップ ユーティリティを実行して、障害が発生する前に行なわれた、Windows Server Update Services の実行サーバーの最後のバックアップを回復します。 以下の画面は Windows Server 2003 および Internet Information Services 6.0 の場合を示しています。 1. バックアップ ユーティリティ を開き、[メディアの復元と管理] タブを選択します。 図 107 : バックアップ ユーティリティ を使用した復元 Page 66 行政機関向け Windows Server Update Services 運用ガイド 2. 復元するデータを選択して復元します。 これらのデータは、Windows Server Update Services のコンテンツ フォルダ、既定の Web サイト、IIS メタベース構成とスキーマ のバックアップを含むバックアップ データです。 図 108 : バックアップ ユーティリティ を使用した Software Update Services の復元 3. [ファイルの復元先] で [元の場所] を選択し、[復元の開始] をクリックします。 [復元の確認] ダイアログ ボックスが表示されます。[OK] をクリックして復元を開始します。 図 109 : [復元の確認] ダイアログ ボックス 4. データがバックアップから復元される間、[復元の進行状況] ダイアログ ボックスが表示されます。 図 110 : [復元の進行状況] ダイアログ ボックス Page 67 行政機関向け Windows Server Update Services 運用ガイド 5. 復元が完了すると、復元が完了したことを示すダイアログ ボックスが表示されます。 復元の間にエラーがあったかどうかを確認するには、[レポート] をクリックします。 復元を完了するには [閉じる] をクリックします。 図 111 : 復元の完了 6. データをハードディスクに復元したら、IIS メタベース構成およびスキーマを復元する必要があります。 インターネット インフォメーション サービス マネージャを開き、復元を行なうサーバーを選択し、右 クリックして[すべてのタスク] から [構成のバックアップまたは復元] を選択します。 図 112 : インターネット インフォメーション サービス マネージャ 7. [構成のバックアップ/復元] ダイアログ ボックスが表示されます。 復元されたばかりのバックアップ構成を選択し、[復元] をクリックします。 図 113 : [構成のバックアップ/復元] ダイアログ ボックス Page 68 行政機関向け Windows Server Update Services 運用ガイド 8. 次のようなダイアログ ボックスが表示されます。 [はい] をクリックします。 図 114 : 復元の直前に表示されるダイアログ ボックス 9. 数分後、復元が成功または失敗したことを示すメッセージ ダイアログ ボックスが表示されます。 図 115 : 復元完了のダイアログ ボックス 10. これで、Windows Server Update Services の実行サーバーは障害前の状態に復帰して稼動しているはず です。Windows Server Update Services の管理サイトから状態を確認します。 z z [オプションの設定] ページで設定情報を確認し、必要に応じて再設定します。 [更新の許可] ページで以前に許可した更新が同様に許可されているかを確認します。 Page 69 行政機関向け Windows Server Update Services 運用ガイド 5.トラブル シューティング 5-1.Windows Server Update Services に関するトラブルシューティング サーバーと同期を取ったが、新しい更新が [更新の許可] ページに表示されない。 サーバーと同期を取ってから新しい更新がまったくないか、メモリ キャッシュに新しい更新が正しく読 み込まれていません。メモリ キャッシュを再読み込みするには、管理ツールから [サーバーの監視] - [最新の情報に更新] をクリックします。 Windows Server Update Services 管理 Web サイトが正しく機能していない。 以下のような場合、同期サービスが正しく動作していない可能性があります。 z サーバーと同期を図ろうとしても何も起こらない。 z [Windows Server Update Services ] 管理ページで、[サーバーの構成を確認してください] エラ ーが表示される。 同期サービスを再起動するには 1. [スタート] メニューから [管理ツール] - [サービス] をクリックします。 2. [Background Intelligent Transfer Service] を右クリックし、[再起動] をクリックします。または BITS サ ービスが実行されていないか無効になっている場合は、[開始] をクリックします。 3. [Update Service] を右クリックし、[再起動] をクリックします。 4. 同期を再試行します。WSUS コンソールで、[オプション]、[同期のオプション] の順にクリックし、[タ スク] の [今すぐ同期] をクリックします。 管理 Web サイトにアクセスできない、自動更新クライアント から Windows Server Update Services の実行サーバーに接続できない。 IIS (Web サーバー) の再起動が必要な場合があります。 IIS を再起動するには 1. [スタート] - [ファイル名を指定して実行] をクリックします。 2. iisreset と入力し、[OK] をクリックします。 Page 70 行政機関向け Windows Server Update Services 運用ガイド 5-2.自動更新クライアントに関するトラブルシューティング 自動更新クライアントが更新されているかどうかを判断したい Windows XP Service Pack 2 が適用済みのコンピュータは、自動的に WSUS を使用できるように自動 更新クライアントが更新されていますが、Windows 2000 クライアントや Windows XP Service Pack 1 が適用されたクライアントでは、WSUS サーバーが使用できるよう、自動更新クライアントを更新する 必要があります。WSUS サーバーへ接続した後、自動的に WSUS が使用できるよう更新が実行されま す。 SUS クライアントと WSUS クライアントを区別するには、自動更新ユーザー インターフェイス (UI) を使用してください。 Windows 2000 の場合 1. [スタート] メニューから、[設定] – [コントロール パネル] をクリックします。 2. [自動更新] をダブルクリックします。 3. 下記の[WSUS に対応した自動更新クライアント]のインターフェイスとなっていることを確認します。 Windows XP の場合 1. [スタート] メニューから、[マイ コンピュータ] を右クリックし、[自動更新] をクリックします。 2. 下記の[WSUS に対応した自動更新クライアント]のインターフェイスとなっていることを確認します。 WSUS に対応していない自動更新クライアント WSUS に対応した自動更新クライアント Page 71 行政機関向け Windows Server Update Services 運用ガイド 5-3.FAQ 動作について Q. WSUS は、コンピュータに必要な更新プログラムのスキャンと評価に何を使用しますか? A. 現在およびリリースの時点では、WSUS は独自のスキャン エンジンを使用します。MBSA コード は使用されません。 Q. "マスタ" または上位 WSUS サーバーのデータベースは、すべての下位サーバーのデータベースにな りますか? それとも SQL Server データベースを各下位サーバー向けに個別にセットアップする必要 がありますか? A. 各 WSUS サーバーでは、独自のデータベースとして MSDE または SQL Server データベースのい ずれかが必要となります。 Q. WSUS では、同じフォレスト上の複数のドメイン全体に更新プログラムを展開できますか? A. WSUS はドメイン階層にとらわれず、更新プログラムを展開することができます。ただし、あるド メイン内のコンピュータが別のドメイン内の WSUS サーバーにネットワーク アクセスできないケース に対応した WSUS 実装を計画する必要があります。 サーバーについて Q. WSUS で、コンピュータに更新プログラムが必要かどうかがわかりますか? A. すべての更新プログラムについて、"検出のみ" の承認オプションを使用して、検出を承認することが できます (重要な更新プログラムおよびセキュリティ更新プログラムは、既定で検出が承認されていま す) 。これにより、クライアント コンピュータで更新プログラムが必要かどうかがわかります。 Q. WSUS サーバー上のすべての更新プログラムを自動的にダウンロードしてローカルに保存するには どうすればよいですか? A. 既定では、更新プログラムは、インストールが承認されている場合にのみ WSUS サーバーにダウン ロードされます。承認に関係なくすべての更新プログラムをダウンロードして保存するよう選択するこ とも、どの更新プログラムもローカルにダウンロードして保存しないよう選択することもできます。更 新プログラムは、インストールが承認されると、直ちに Microsoft Update の Web サイトから直接コン ピュータにダウンロードされます。既定の設定を変更するには、WSUS コンソールの [オプション]、[同 期のオプション] の順にクリックし、[更新ファイルと更新言語] の [詳細] をクリックして、[詳細な同期 のオプション] ダイアログ ボックスで [更新プログラムが承認された場合のみ、更新ファイルをダウン ロードする] のチェックボックスをオフにします。 クライアントについて Q. WSUS からの更新プログラムをインストールする準備が整ったときに表示されるバルーン警告を無 効にする方法はありますか? A.バルーン警告を無効にする方法はありません表示頻度は構成できます。警告がエンド ユーザーの邪魔 にならないようにするには、更新プログラムを予定が、表示頻度は構成できます。警告がエンド ユーザ ーの邪魔にならないようにするには、更新プログラムをスケジュールした時間にインストールするよう 構成します。こうすると、関連するバルーン警告は表示されません。 参考 : その他のよく寄せられる質問については、以下を参照してください。 http://www.microsoft.com/japan/windowsserversystem/updateservices/evaluation/faqs.mspx Page 72 行政機関向け Windows Server Update Services 運用ガイド 5-4.その他注意事項 お使いのプロキシ サーバーが認証を必要とする場合は、[更新をローカル フォルダに保存する] を選択 する必要があります。これは、自動更新が認証を必要としないプロキシ サーバーのみをサポートしてい るため、認証を必要とするプロキシ サーバーを経由する必要がある場合に Windows Update のダウン ロード サーバーから更新をダウンロードできなくなるからです。 Windows Server Update Services 管理用 Web サイトを閲覧するには、Windows Server Update Services を実行しているコンピュータのローカルの管理者でなければなりません。 Windows Server Update Services 管理用 Web サイトに移動しようとして「HTTP エラー 500-12 – ア プリケーションを再起動しています。」というエラー メッセージが表示された場合は、F5 キーを押し てブラウザを更新します。 バージョン 5.5 以前の Internet Explorer で Windows Server Update Services 管理用 Web サイトに 接続しようとすると、Internet Explorer ソフトウェアをアップグレードするようにというエラー ページ が表示されます。 Page 73 行政機関向け Windows Server Update Services 運用ガイド 6.付録 : チェックシート Windows Server Update Services を利用した運用を計画するためのチェックシートの例です。 No. 項目 Windows Server Update Services の実行サーバーの配置や構成に対する検討 1 Windows Server Update Services の実行サーバーの台数は何台ですか? 2 構成を保管するデータベースを決定しましたか? 3 インターネットに接続するサーバーを決定しましたか? 同期のタイミング 4 を決定しました 手動で行ないます か? 手動で行ないます 同期のタイミング 4 を決定しました スケジューリングで行な 時刻を決定します か? います 更新情報のみを保管し ます ローカル フォルダに保 コンテンツの保管 存します 5 更新プログラム本体を 場所を決定しまし 保管します たか? Windows Update サイトで保管します インストールの承認を行なった後、直ちに保管しま す 更新プログラムを すべての更新プログラ 保管するタイミン 6 ムを保管します グを決定しました 同期と同じタイミングで か? 保管します クラス、製品の一部のみ 選択的に保管します コンテンツを同期 Windows Update サイトと同期を行ないます 7 する場所を決定し ローカル にあるサーバーと同期を行ないます ましたか? 8 同期するコンテンツの製品とクラスを決定しましたか? 9 ダウンロードする言語を決定しましたか? 10 ダウンロードする言語を決定しましたか? 11 コンピュータ グループの構成方針を決定しましたか? 各クライアント PC に関する検討 1 クライアント PC の管理台帳を作成しましたか? 2 クライアント PC は Windows 自動更新に対応していますか? Active Directory を 導入 グループポリシーを使 済みです 用します 自動更新クライア ローカル ポリシーを使 3 ントの設定方法を 用します Active Directory を 導入 決定しましたか? していません レジストリを編集しま す 4 シャットダウン時に更新をインストールできるように設定しますか? クライアント PC にコンテンツをインストールする時にユーザーに通知し 5 ますか? 6 接続先のサーバーを決定しましたか? 7 接続先のサーバーを決定しましたか? 自動的にダウンロード/インストールを行なう場合、インストールを行なう 8 日時を設定しましたか? 自動的にダウンロード/インストールを行なう場合、何らかの理由で実行さ 9 れなかった場合に再実行するように設定しますか? 設定内容 Page 74 行政機関向け Windows Server Update Services 運用ガイド 自動インストール後に再起動を行なうまでの待機時間を決定しましたか? 強制的に再起動を行なわないように設定しますか? クライアント コンピュータをコンピュータ グループに自動的に振り分け 12 るように設定しますか? 日々の管理タスクに対する検討 1 コンテンツを適用するかどうかの判断基準を確立しましたか? 2 コンテンツのテスト環境は構築しましたか? 3 コンテンツの検証手順は確立しましたか? 4 コンテンツの許可を行なうための手順を確立しましたか? コンテンツを許可する場合に、職員へアナウンスする方法などを確立しまし 5 たか? 6 サーバーの監視手順を確立しましたか? 7 コンテンツのダウンロードに失敗した場合の手順を確立しましたか? 8 クライアント PC の監視手順を確立しましたか? 9 職員へのヘルプデスク対応のための手順を確立しましたか? 障害発生時の回復プランの検討 Windows Server Update Services の実行サーバーのバックアップ計画を行 1 ないましたか? Windows Server Update Services の実行サーバーの復旧手順を確立しまし 2 たか? 3 緊急時の対応手順を確立しましたか? 10 11 Page 75 行政機関向け Windows Server Update Services 運用ガイド 7.お問い合わせ先 このホワイトペーパーに対するフィードバックは、下記までご連絡ください。 マイクロソフト株式会社 公共ソリューション本部 システムソリューション推進部 E-Mail : gov.net@microsoft.com Page 76
© Copyright 2024 Paperzz