Windows Server Update Services サーバーの展開オプションの概要

  • 7 分

WSUS (Windows Server Update Services) サーバーをインストールして構成する前に、環境に WSUS を展開する方法を検討する必要があります。 WSUS の実装は、ネットワーク環境や更新プログラムを管理する方法によって、サイズと構成が異なります。 組織全体、個別に動作している複数の WSUS サーバー、または 1 つの階層内で相互に接続された複数の WSUS サーバーに対して、単一の WSUS サーバーを使用できます。

1 台の WSUS サーバー

WSUS の最も基本的な実装では、ネットワーク内に単一の WSUS サーバーを使用します。 このサーバーは Microsoft Update に接続し、ファイアウォール経由で更新プログラムをダウンロードします。 WSUS サーバーでは、既定の 80 と 443 ではなく、HTTP 通信にポート 8530、HTTPS にポート 8531 を使用します。 サーバーを Microsoft Update に接続できるようにするには、ファイアウォールに必要な規則があることを確認する必要があります。 この基本的なシナリオは、1 つの物理的な場所を持つ小規模なネットワークで一般的に使用されます。

複数の WSUS サーバー

環境が複数の分離された物理的な場所で構成されている場合は、各場所に WSUS サーバーを実装する必要がある場合があります。 このシナリオでは、各 WSUS サーバーは、Microsoft Update から更新プログラムをダウンロードするために、インターネットへの独自の接続を持っています。

これは有効なオプションですが、個々の WSUS サーバーを個別に管理する必要があるので、特に物理的な場所の数が増えるので、管理作業が必要になります。 更新プログラムを各サーバーに個別にダウンロードし、各サーバーで個別に更新プログラムを承認し、WSUS クライアントが正しい WSUS サーバーから更新プログラムを受信するように管理する必要があります。

個別の WSUS サーバーは、各物理的な場所に独自の IT 管理チームがいる、物理的な場所の数が少ない組織に適しています。 また、ネットワーク負荷分散 (NLB) クラスターに複数の WSUS サーバーを配置することで、1 台の WSUS サーバーで管理するクライアントの数が多すぎる 1 つの物理的な場所に対しても、このシナリオを使用できます。

切断された WSUS サーバー

切断された WSUS サーバーは、インターネット経由で Microsoft Update に接続したり、ネットワーク内の他のサーバーからその更新プログラムを受信したりしないサーバーです。 代わりに、このサーバーでは、別の WSUS サーバーで生成されたリムーバブル メディアから更新プログラムを受け取ります。

切断された WSUS サーバーは、一部の高セキュリティ環境など、インターネットにアクセスできない分離されたネットワーク環境で最も一般的です。 別の場所にある WSUS サーバーを使用して Microsoft Update と同期し、その更新プログラムをポータブル メディアにエクスポートした後、ポータブル メディアをリモートの場所に配送して、切断された WSUS サーバーにインポートすることができます。

WSUS サーバーの階層

これまでに説明したすべてのシナリオでは、独立して管理された WSUS サーバーを使用して、Microsoft Update に直接接続したり、切断された状態で更新プログラムを受け取ったりします。 ただし、複数の物理的な場所を持つ大規模な組織では、1 台のサーバーで Microsoft Update と同期する機能が必要になる場合があります。 また、ネットワーク上のさまざまな場所にあるサーバーに更新プログラムをプッシュし、1 つの場所からの更新プログラムを承認することもできます。

  • WSUS サーバー階層では、次のことを行えます。

  • ブランチ オフィスのサーバーなど、クライアントに近いサーバーに更新プログラムをダウンロードする。

  • 更新プログラムを 1 台のサーバーに 1 回ダウンロードし、ネットワーク経由で他のサーバーに更新プログラムをレプリケートする。

  • クライアントによって使用される言語に基づいて WSUS サーバーを分離する。

  • 1 台の WSUS サーバーで管理できる数より多くのクライアント コンピューターを持つ大規模な組織の WSUS サーバーを拡張します。

WSUS サーバー階層には、次の 2 種類のサーバーがあります。

  • アップストリーム サーバー。 アップストリーム サーバーでは、更新プログラムを取得するために Microsoft Update に直接接続します。または、切断されている場合、ポータブル メディアを使用して更新プログラムを受け取ります。

  • ダウンストリーム サーバー。 ダウンストリーム サーバーでは、WSUS アップストリーム サーバーから更新プログラムを受信します。

ダウンストリーム サーバーは、次の 2 つのモードのいずれかで構成できます。

  • 自律モード。 自律モード (分散管理) を使用すると、ダウンストリーム サーバーがアップストリーム サーバーから更新プログラムを受信できるようになりますが、管理者は更新プログラムの管理をローカルで行うことができます。 このシナリオでは、ダウンストリーム サーバーは独自のコンピューター グループのセットを保持し、アップストリーム サーバーの承認設定とは無関係に更新プログラムを承認することができます。 これにより、管理者の別のグループが自分の場所で更新プログラムを管理できるようになります。また、ダウンロード可能な更新プログラムのソースとして、アップストリーム サーバーのみを使用できます。

  • レプリカ モード。 レプリカ モードまたは集中管理により、ダウンストリーム サーバーでは、アップストリーム サーバーから更新プログラム、コンピューター グループのメンバーシップ情報、および承認を受信することができます。 このシナリオでは、1 つの管理者グループが組織全体の更新プログラムを管理できます。 さらに、ダウンストリーム サーバーを別の物理オフィスに配置し、アップストリーム サーバーからすべての更新プログラムと管理データを受信することができます。

WSUS 階層には複数のレイヤーを含めることができます。 一部のダウンストリーム サーバーは、自律モードを使用するように構成できますが、レプリカ モードを使用して他のサーバーを構成することもできます。 たとえば、1 台のアップストリーム サーバーを Microsoft Update に接続し、組織全体の更新プログラムをダウンロードすることができます。 自律モードでは、他に 2 台のダウンストリーム サーバーを使用できます。1 台は、英語版のソフトウェアを実行しているすべてのコンピューター用の更新プログラムを管理するサーバーで、もう 1 台はスペイン語版のソフトウェアを実行しているすべてのコンピューター用です。 最後に、レプリカ モードで構成された中間層の WSUS サーバーから、別の一連のダウンストリーム サーバーで更新プログラムを受信できます。 これらは、クライアントが更新プログラムを受信する実際のサーバーですが、すべての管理は中間層で行われます。

[注意] アップストリーム サーバーから更新情報メタデータをダウンロードするようにダウンストリーム サーバーを構成できますが、実際の更新プログラムは Microsoft Update からダウンロードしてください。 これは、ダウンストリーム サーバーで良好なインターネット接続があり、WAN トラフィックを減らす必要がある場合の一般的な構成です。