WSUSについて

教えてください。

WSUS2.0からWSUS3.0SP1にアップグレードしました。

新しいコンソール画面なのでまだ理解できていないことがいくつかあります。

教えていただけますでしょうか。

(1)管理画面の左側にあるツリーのメニューですべてのコンピュータを選択した状態にすると、

　画面中央にアップデート対象のコンピュータ一覧が表示されます。

　その下に各コンピュータそれぞれのアップデート状況が表示されています。

　"必要な更新プログラム"をクリックすると、それぞれのコンピュータレポートの画面が表示されます。

　２ページ目を見ると未承認のプログラムの一覧が表示されます。

　この未承認というのはWSUSのサーバ側で何か設定をしているのでしょうか？

　各コンピュータで承認をしない種類のプログラムの情報をWSUS上で設定しているのでしょうか？

　それともそれぞれの各コンピュータの側で、承認しないものをあらかじめ設定していて、
　
　拒否しているというステータスを意味しているのでしょうか？

　でも未承認ということは拒否ではない為、保留しているということなのでしょうか。

　それを手動で承認というようにすれば適用開始されるのでしょうか？
　
(2)WindowsUpdateする各クライアントは何らかの通知を待って、WSUSに取りに行ってダウンロードするという動きをするのでしょうか？

　それとも一方的にWSUSサーバ側から各コンピュータ側にダウンロード開始させているという動きなのでしょうか


いずれもWSUSの基本的な仕組みの質問で申し訳ありません。

教えてください。

宜しくお願い致します。

No.2 ベストアンサー 回答者： maesen 回答日時： 2012/08/15 17:58

WSUSは更新プログラムの適用を管理するソフトウェアと言って良いと思います。

そのため、更新プログラムは承認することによってはじめてコンピュータに適用される仕組みになっています。

未承認とは、
クライアント側は必要な更新プログラムだと認識しているが、管理者が承認していない状態ということになります。

ではクライアントが必要な更新プログラムをどのように認識しているかですが、クライアントが定期的（デフォルトで22時間＋α）にWSUSサーバに接続して状態通知を行うことによって認識するようになっています。

個別のどの更新プログラムが必要かについてはOSのバージョンやOfficeなどのMSアプリケーションのインストール状態、IEのバージョンなど情報から判断しています。
これはMSのWindows Updateサイトに接続して必要な更新が自動的に判断されるのと同じです。

拒否とは、
その更新プログラムを適用しないと宣言（設定）したものです。
従って未承認とは違います。

＞でも未承認ということは拒否ではない為、保留しているということなのでしょうか。
＞　それを手動で承認というようにすれば適用開始されるのでしょうか？

この記述が近いですね。
基本的に未承認の状態を続けることは運用上あまりありません。
適用するものは承認、適用しないものは拒否するのが一般的だと思います。


＞(2)WindowsUpdateする各クライアントは何らかの通知を待って、WSUSに取りに行ってダウンロードするという動きをするのでしょうか？

これは上で説明した通りです。
Windows OSならば必ずこの仕組みになっています。
WSUSを元々導入されていたようですので、グループポリシーは設定していると思いますがWSUSサーバへの接続周期もグループポリシーで変更することが出来ます。

＞　それとも一方的にWSUSサーバ側から各コンピュータ側にダウンロード開始させているという動きなのでしょうか

WSUSに置いてはこの方向へのトリガはありません。

この回答へのお礼

ありがとうございました。理解しました。

お礼日時：2012/08/16 09:47

No.1 回答者： naana2 回答日時： 2012/08/15 17:39

先ずWSUSというのはMS updateを一元管理するためのサーバーです。

つまりWSUSが親分になり　MSサイトに定期的にupdateを確認しに行き、updateがあった場合にはそれらをダウンロードして溜め込み、クライアントコンピュータからWSUSに対してアクセスがあった場合にそれをクライアントに配布して、レポートを残します。

まず1点目
WSUSというのはMS updateの親分です。つまり、基本的に親分が子分に対して承認、未承認を決める必要があります。ですので、デフォルトの設定ではWSUSはupdateのファイルを取ってくるだけです。
WSUS管理者が手動で承認を決めてはじめて配布→適用となります。

ちなみにupdateのファイルもMS全製品にしていると、半端ない数のupdateが表示されるので基本的には自社で使っているアプリケーションを絞って設定します。
※左ペイン→オプション→製品とクラス


またWSUS管理者が一々、承認をしないとupdateされないのでは緊急のセキュリティホールに対応出来ない場合もありますので、自動承認の設定をかけれます。
※左ペイン→オプション→自動承認
この設定をすることによりグループ単位での更新設定や、例えばサービスパックなどの適用は承認が必要だけど重要な更新や、セキュリティ修正プログラムは自動的に承認する・・・
というような設定ができます。

2点目

前者ですね。
基本的にWSUSではない環境のクライアントPCと同じです。

WSUSを適用させるためにはグループポリシーにてMSupdateを全てWSUSへ矛先を向けるように設定します。ですので、通常のクライアントコンピュータはそのグループポリシーに従い、アイドル時間やシステム稼働中の一定間隔でwsusへアップデート情報を取得しにいきます。

ちなみにグループポリシーでupdateをwsusに利用するように設定されているクライアントコンピュータはms updateのサイトからは一切updateは出来ません。※アクセスするとWSUSで管理されているため出来ないと言われます。

これがWSUSの一元管理です。

この回答へのお礼

分かりやすいご説明ありがとうございました。

お礼日時：2012/08/16 09:42