質問
工数削減も重要ですが、動作確認も重要ですよね。
引き継いだサーバ運用では、適当にパッチ適応しているので、
事故が起きたら、動作検証してから対応しようかと。
適当と言ってもアプリケーションサーバは、2台しかなく、
アプリケーションパッケージが動作しているだけなので、メーカーWebはチェックしてます。
また、
FWの内側なので、SP以外は適応しない運用を行なっている企業もあるのも現実
回答になってませんが、状況シェアします。
・WSUSでサーバに配布している企業はありますか?
ウチはサーバに関してのパッチやアップデートは手動にしています。よっぽどのことでも無い限りしないですね。特にアプリサーバはその結果でアプリが動かなくなったら大変ですから。
ベンダーさんに聞いても「サーバは自動更新しないほうがいいですよ」と言われました。
「そんなことでセキュリティが保てるのか!!」と怒った人も居ますが、アプリサーバではアプリが動いてナンボですから... もし止まったら非難轟々だけでは済みません、業務が停止しちゃいますからね。(特にNT4の頃は”更新すると止まる”と言われていました)
▼知りたいこと
・WSUSでサーバに配布している企業はありますか?
はい。配布していました。
現状は、WSUSの中心だったクライアントPCが Microsoft Intune 経由に変更されたため、サーバー向けは WSUS を停止して手動で実行しています。
・サーバへ配布する場合の注意点はありますか?
WSUS で自動的に配布する範囲をルール付けしておく
→例えば、「緊急と重要」だけは無条件に自動で配布。それ以外は、手動で配布するかどうか検討してから配布対象に加えるか?判断、等。
→ActiveDirectory のルールで、Server 用 OU のグループポリシーで、
「WindowsUpdate はダウンロードは自動で行うが、適用・再起動は手動で行う」設定にしていました。そうすれば、最終的に適用したい Update だけを選んで適用して再起動出来ます。
対象となる OS が増えると、WSUS で保存されるファイル容量が増えるため、WSUS用のストレージ容量に注意
少しでも参考になれば幸いです。
クライアントは、WSUSで自動化していますが、サーバー側は基本あげないです。
もちろん、公開サーバーなどに使っている場合は、定期的にあげる必要はありますが。
やっぱり、他のみなさんも書かれているように、UPDATEしたら動かなくなったということは、多々見聞きしてますので、おいそれと頻繁に上げられません。
ただ、今ではほとんど仮想化でスナップショットが取れるので、あげやすくはなっていますが、自動化はやらないですね。
>▼課題
>工数削減のため、自動化できるところは自動化したい
と課題があり、その改善案の一つとして
>WSUSを利用し、サーバに自動でパッチを配布することを検討
ということでよろしいでしょうか?
(WSUS利用は課題ではないですよね?)
あと、
>休日3時間程度かけ手動でインストールおよび再起動を行っている
これも課題なのでしょうか?
であれば改善された状態とはどのような状態なのでしょう?
3時間が2時間になればよいのか、
休日が平日の深夜になればよいのか、
それが現実的なのか。。。
質問の内容から推測すると全体的に
課題の深堀, 該当の業務手順の理解(なぜその手順が必要なのか)
が足りていないように思います。
質問として サーバでのWSUS利用に関して は良いですが
課題の解決 という観点から考えると手法や考え方に
見直す点があるように思います。
質問
現在、WSUSを利用してクライアントPCへセキュリティパッチを配布しております。
しかしながらサーバに対しては手動で更新を行っているため、WSUSを利用できないか検討中です。
皆様の知恵をお貸しください。
▼知りたいこと
・WSUSでサーバに配布している企業はありますか?
・サーバへ配布する場合の注意点はありますか?
▼現状
・クライアントPCへはWSUSを利用し、セキュリティパッチを配布している
・サーバのセキュリティパッチ当ては、休日3時間程度かけ手動でインストールおよび再起動を行っている
・サーバ台数は14台
▼課題
工数削減のため、自動化できるところは自動化したい
WSUSを利用し、サーバに自動でパッチを配布することを検討