ノウハウ

2017年06月09日 16時22分
  • Windows Updateの警告、強制について

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

弊社では今Windows Updateをユーザーに一任しています。
月一の配信日には情シスから「適用してください」とメールを投げ
、周知しています。

最近これでは弱いという話があがっており、私もそう思います。
・強制する(強制的に再起動もかかる)
・警告する(未適用があったら資産管理ツールからダイアログ表示)
皆様の会社ではどういう運用をしておりますでしょうか?
規模間や手法も教えて頂けると助かります。

4件の回答があります

資産管理ツールでもUpdateの制御ができるものはあると思いますが、Microsoftの公式ツールでWSUSという管理ツールがあります。

前の職場(PC台数約400台)で構築したときに使用した日本語の公式構築ガイドがあったはずなのですが、リンクが切れていました。。。

翻訳っぽいですが、これでも構築できるかと思います。
https://msdn.microsoft.com/ja-jp/library/hh852344(v=ws.11).aspx

WSUSサーバはWindowsUpdateのアップデータを各クライアントPCに変わってダウンロードしたり、各クライアントPCに配信したりしてくれます。どのアップデータをどのPCへ配信する・しないの制御もできます。各クライアントPCはMSのアップデートサーバではなく、社内ネットワーク内に構築したWSUSサーバからアップデータをダウンロードするため、インターネット回線の帯域の節約にもなります。

アップデータの強制適用・再起動もできますが、前の職場ではPCスペックの低いものもあり、アップデートがかかると業務に支障がでるくらい遅くなったりしてしまうため、クライアントPCへはアップデータの自動配信までして、適用のタイミングはユーザ任せでした。

また、システム上常時起動させておかなければPCなどは自動再起動の対象外とするなど注意しなくてはいけません。

他、WSUSを構築するサーバは十分なディスク容量が必要です。サーバに溜め込むアップデータを選択することもできますが、設定次第では数百GBの容量が必要になります。インターネット回線が十分に太いならば、WSUSサーバはアップデータの配信制御だけさせて、各クライアントPCは直接MSのサーバからダウンロードさせることも可です。

ご参考までに。

WSUS、こちらでも使用していました。(PC台数 約2,500台)
さばかんこさんの説明にある通り、配信制御もできますし強制もできます。この台数が一斉に更新ファイルを落とそうとすると帯域をかなり食うので、台数が多い場合はおすすめです。構築は安くありませんが…
警告という意味だと、情シスから上長に、上長から使用者に…という形をうまく使うのが一番だと思います。
適用しなかったら部署名を上げるとか。
情シスから直接指導しても、なぜかあまり響かないですよね…(うちだけ?)

2017年06月12日 12時49分

>さばかんこさん
>takaseaさん
コメントありがとうございます。
WSUSの構築や利用規模感を把握できました。
ですが、恐らく構築(金銭面)でNGになってしまいます・・・
今のままだと恐らく資産管理ツールで促すような方法になるかと思います。

>情シスから直接指導しても、なぜかあまり響かないですよね…(うちだけ?)
非常によくわかりますw

ちなみに私のときはお払い箱になった古いサーバーを使って自分で構築しました。クライアント500台以下ならサーバー一台で負荷分散等も特に意識することなく。それ以上だとそのあたりも考慮しなくちゃかもですね。

あなたもコメントしましょう!