テレワークや業務効率化が推進される昨今において、機器のアップデート管理に対する重要度はますます高まっています。
セキュリティ脆弱性はひとつの機器でも放置されてしまうと、セキュリティ対策として意味をなさなくなってしまうものです。
管理者により、システムに接続する機器がもれなくアップデート管理されていることを確認できる環境は必要不可欠と言い切ってしまって良いでしょう。
「機器」とひとくちに言っても、その種類はたくさんあります。L2SWやL3SWなどのネットワーク機器であったり、FWやIPSといったセキュリティ機器であったり、ひとつのシステムにはたくさんの「機器」によって構成されます。
そうした機器の中で最も数が多くなるのがWindowsパソコン(端末)と言えるでしょう。
そして、Windowsのアップデート管理と言えば、「WSUS」です。
「WSUSサーバーの管理はそこまで難しくない」という声も聞かれますが、実際に運用してみるといろいろなことが起こります。
なかなかうまくいかず、苦労したところも多かったです。
では、どんなところに苦労したのが、今回の記事では、WSUSサーバー運用経験で苦労した点と、WSUSサーバーを運用する上で大事で基本的な考え方について考えていきます。
WSUSサーバーとは
WSUS(ダブルサス)とは、「Windows Server Update Services」の略であり、マイクロソフト製品の更新プログラム適用を制御するためのソフトウェアのことです。
WindowsOSをはじめとするマイクロソフトのさまざまな製品の更新プログラムをクライアントへ配信することができます。
WSUSサーバーについての詳細は以下の記事をご参照ください。
WSUSサーバーの運用管理で大変なこと
とあるシステムのWSUSサーバーの管理を任されてから1年と少し経過します。
その間、いろいろなことがありましたが、最も多く発生し、苦労したのがWindows Updateに失敗する端末が出てくることです。
Windows Updateとは、セキュリティホール (脆弱性) の修正プログラムや、不具合パッチ、新しい機能追加プログラムなどの更新プログラムを適用し、Windows OSのバージョンをアップデートすることです。
Windows Updateを行うことで、Windowsを最新の状態に保ち、より安全に使用することができます。
特に、セキュリティ対策として必須の作業であり、全端末に正しく更新プログラムが適用されているかどうかは正確に管理しなければなりません。
そのため、Windows Updateに失敗した端末を放置しておくことはできないわけです。
Windows Updateに失敗する原因
Windows Updateを実施して、同じ型番のパソコンであり、OSもインストールされているアプリケーションも同じであるのに関わらず、ある特定のパソコンだけ、なぜか特定のKB番号のアップデートに失敗するというケースに遭遇した経験はないでしょうか。
あくまで私の感覚ですが、数百台あれば、1台、2台、そのようなケースに直面してしまうように感じます。
Windows Updateに失敗する一般的な要因としては下記のようなものが挙げられます。
- インストールされているアプリケーションが邪魔している
- ドライバなどのプロセスがファイルをロックしていたことでファイルが削除されずに残っていて、そのファイルが邪魔をしている
- 前回のWindows Updateでレジストリの一部が不完全になっている
他にも要因はたくさんありますが、「何かが邪魔をしている」「ファイルが破損している」といった理由に最終的にたどり着くケースが多いように感じています。
WSUSはWindows Updateの失敗にはほとんど関係しない
WSUSはグループ単位での更新プログラム配信が可能ですが、同じグループの中で更新プログラムの適用に成功しているパソコンと失敗しているパソコンがあったとします。
WSUSサーバーの運用に関わって間もない頃の私は、成功しているパソコンもあるのだからWSUS側に問題があるのではないかと考えていました。
しかし実態は異なり、WSUSサーバーは更新プログラムを格納しておく「箱」に過ぎず、Windows Update(更新プログラム適用)に失敗するほとんどのケースで原因があるのは配布対象のWindowsパソコン(端末)側にあります。
WSUSサーバーから見たら、同じグループで1台でも更新プログラム適用に成功している端末があるのであれば、WSUSサーバー側ではなく、端末側に問題があると切り分けられると言っても過言ではありません。
Windows Updateに失敗した場合の対処方法
では、更新プログラム適用ができずにWindows Updateに失敗した場合、どのように対処すれば良いのでしょうか。
少なくとも事前に対処できるものではなく、このような場合はWindows Update失敗時に出力されるエラーコードから、その要因を特定し、マイクロソフトのWebページで案内されている手順に従い対処するしかありません。
大抵、Windows Updateに失敗したときは、トラブルシューティングツールを使用することを案内されます。
トラブルシューティングツールはWindowsに標準搭載されています。
対処方法の最終手段
どうやってもWindows Updateに失敗する場合は、最終手段はOSをクリーンインストールすること、つまり、再インストールすることです。
当たり前ですが、クリーンインストールすれば、これまでに使用して変化してきた内部ファイルの状態も一律初期状態に戻るため、失敗する要因がクリアされます。
私が管理していたシステムでは、インターネットにつながらない環境だったというのもあるとは思いますが、Windows Updateに失敗してしまった場合、ほとんどがこの最終手段による対処となりました。
まとめ
ついつい任されてしまったWSUSサーバーの管理。オフライン環境はとくにやっかいでWindows Updateに失敗したら原因がわからず、苦労し、片手間でやるものではないなとつくづく実感しました。
ただ、WSUSサーバーに対する考え方自体はとてもシンプルです。
WSUSサーバーはあくまで更新プログラムの置き場所に過ぎず、失敗する原因のほとんどはクライアント側にある。
まずはこの考え方が大事なのではないかと気づいた次第です。
