パッチの適用

よろしくお願いします。

今後赴任した職場のサーバルームで、
WindowsOSの管理状況を整理しています。

そこでサーバのサービスパックなどの適用状況が
サーバ毎にバラバラで、適用方針もこれまでは、特に無いとのことでした。
※OSも2003、2008、R2やRTMなど一貫性が無く・・

パッチの適用を標準化すべく、以下を考えています。

１．手動で不足分を適用する
　サーバがイントラのため、パッチをCDROMにインストールし、各サーバに個別インストール

２．WSUSを導入する

「１．」の場合、現状と最新との不足分（差分）を洗い出すのに骨が折れそうです。
例えば「最終適用日」以降にMS社から発表されたパッチ・・など個別にサイトを検索することを
イメージしていました。

そいった意味では「２．」の方が以後の運用も容易でしょうか？。

ご意見を頂けると助かります。

No.1 回答者： parts 回答日時： 2013/05/18 21:38

質問者さまは、オープン及びクローズドネットワークの監視歴は何年ありますか？

読む限りでは、監視、管理は素人の域を出ないように思えますが・・・。一元管理ばかりに目が向いていますし、イントラ管理に対する知識も甘いように見えます。

まずすべきことは、
何に使っているサーバか、そしてそれらの環境がどのように連携するか、それぞれのサーバに対して、どういうミドルが適用されているかと、さらに環境それぞれがどういう役割で、どういうログを残し、どういうバックアップ体制を持つか、全てまたは要点を把握されていますか？

それができていないなら、まずはそこ（それらを把握すること）からです。
その上で、最適な判断を下します。一概に全てのサーバを一元的に管理すればOKでもないです。むしろ、一元管理はログなどの管理を行う側に集中させ、サーバの更新管理は、それぞれに対して最適な手段を検討するのが妥当であり、今の段階で喫緊の問題がないならその後でも構いません。場合によっては、一部のサーバは対象外にするケースもあります。

そのサーバのイントラは、外部ネットワーク（インターネット）に接続されているのでしょうか？その場合は、確かにセキュリティ上の脆弱性は出来る限り埋める必要がありますが・・・。とはいっても、全自動化は気をつけた方が良いですよ。

それらに採用されているミドルウェアなどがあれば、それらとのバリテーション（相性）を確認してから、導入する必要があるかもしれません。運用管理規定がないなら、まずはそれをどのように決めるかを、部門担当者や社内の会議などで決めるのが最優先でしょう。

出来る限り最短で・・・。

基本的にシステム監視を行う管理者は、ただアップデートを当てていればOKではありません。
まあ、何も起きない状況で監視してきた人は、きっと理解できないでしょうけど、一度関連トラブルが起きれば分かると思います。特にアップデート系は、マニュアルやそれなりの経験者がいないなら、トラブルが起きれば、長時間の恒常的なトラブルを要するただのリスクです。


もしも、サーバーが社内だけで完結するイントラ網なら、やるべきことは社内でのウィルス感染や障害対応、そしてルールに該当しないUSBメモリや、外部デバイスによるデータの取り出しなどに対して、規定を設けることに専念すべきでしょう。

アップデートは原則として、定期的な規定の管理と監視を行っていれば、しなくとも影響はない可能性が高いですから。常用でのトラブルも予期せぬ例外処理やハードの故障がなければ、安定的に推移しトラブルも避けられます。
後は、管理者として最新のシステム情勢に耳を傾けるぐらいでしょう。（これが必要な理由は、次期システム更新などにおいて、構築を主体的に行うこと。セキュリティ概念などは、今後のシステム変更や現行の機能強化、信頼性向上のために常にトレースしておくことが必要なためです）

何故アップデートを推奨しないのかというと、外に繋がらない前提なら、コストロスによるリスクファクターの選定が出来た後にアップデートしなければ、リスクの方が高くなる恐れがあるからです。特に、長期間のアップデート履歴のない場合、特別なミドルが適用されている場合などは、アップデートによって、潜在的な不具合が露呈する恐れがありますから・・・。

それらまで、想定してやるなら別ですが、単に自動アップデートやCDによる一括更新が有効ならOKではないのです。まあ、環境に対する責任を全面的にご自身が負う覚悟があるなら別です。私は、負っていましたけど、その代わり、ローテーションバックアップと環境状態の確認はしていましたし、夜間や祝祭日、休日でも数十分以内に自分が動くような体制でした。（今年度から離れましたが・・・）


私の回答を言えば、管理者であるなら、楽を最初から望まないことです。むしろ、一歩後ろに下がり、時間を掛けてリスクをカウントしてください。それらの多くは、予期しない潜在的なリスクですから、きっと経験即で図るものです。経験が無い場合は、まあ自分の感情にまかせたいなら好きにしても結構ですが、それをするのは、自分ですから、赤の他人に質問するより、上司や近場の人に確認した方が良いですよ。

１と２の選択肢は個人的には、うまくいけば最適地ですが、起きればハイリスクとなります。適用するだけでOKではなく、それに対して担保があるかどうかをまず最初に確認することです。

まあ、悪い例を書いておきます。
最近起きた例で言えば、KDDIのiPhoneのトラブルかな？
あの辺りは、管理者なら参考になるかと。Impress（PC Watch）などが詳細を書いています。アップデートや機能更新によるトラブルは最も管理者が警戒すべきものですから・・・。


担保というのは、もしもそれによって、トラブルが生じた場合、最短で何分あれば回復が可能かということです。その最短は、Windowsのシステムの復元ではなく、一般にはWindows BackupやArcServe、Acronis、Nortonなどのフル環境回復ツールでどれだけ掛かるかまでを想定してください。

環境が、クラスタの場合は、クラスタに対するアップデート規約はしっかり決めておく必要があるでしょう。

後は、何故適用されていないのかを、全て洗い出すことです。
間違っても、一括で全て適用など素人のお遊びのような楽観作業はしないこと。適用するにしても、自動化などではなく、大規模な更新なら一つ一つのサーバに対して、必要な動作確認時間を考慮して、停止時間などを予め開示しておく必要があります。
もしミッションクリティカル環境（基本的に定期点検など規定されたルールを除けば、停止が許されないサーバ）で行われることであれば、もう少し慎重になるべきでしょう。


以上のようになります。
アップデートは適用するほど良いというのは、家族や家庭で使うには確かに言われることです。そのリスクも低いですしね。それがビジネスでもない。要は、やることが受動的に決まっているのです。
もし、多少の問題があっても、大半は個人的な運用に膨大なお金の問題や、従業員の能率の問題が生じることはありません。要は、個人や家族の問題なのです。そして何より大きいのは、トラブルがあれば、メーカーの責任にも出来ることです。即ち、自分が管理者ではないのですよ。


それに対して、事業や仕事として管理する場合は、それに対するリスクがどこまであるか、何故適用されていないのか、適用したらどうなるか、適用する場合のリスクはどの程度かのリスクファクターを計算する必要があり、尚かつ想定できないなら、想定できるまで考慮を巡らす必要があります。これは、受動的ではなく能動的な仕事としてそれを行う人が考えて行うことです。即ち、質問者さまがその判断でアップデートという作業を行います。

たとえ、トラブルがあっても、質問者さまはマイクロソフトに文句を言えても、質問者さまに今度は社内からトラブルに対する苦情が来ます。
それらをマ社の責任してもそうなるのです。


質問のケースでは、イントラと書かれていますから、私の経験上では上級の管理者なら、その判断を下すまでに、最低でも数週間から一ヶ月程度の社内での調整と、運用チェック、場合によってはバリテーションが必要と思われます。まあ、思い切ってやるなら、運用リスクの低いものから順番に、最小限で最も有効なアップデートを適用するでしょう。


管理者に任命されたのであれば、自動化や楽を考えるのは、自分自身がそのリスクを理解した後にしましょう。トラブルが起きたときに、最短で対策でき、自分がその責任を負えるなら、やることができます。
世間に質問しなければ判断が下せないなら、１も２も妥当ではありません。むしろ、危険な賭を管理を知らないような赤の他人に聞くようなものです。その中には、プロも居るでしょうが、逆にただの自宅のパソコンを触っている程度のものもいるでしょう。
経験も、昨日始めたか、10年以上のベテランかは分かりません。


以上のようになります。私の回答は仕事上での経験から答えており、ミッションクリティカルを含むサーバ一般に対する運用管理の回答です。質問の答えとは異なり、少し厳しいものとなっています。まあ、私自身サーバにパッチを当てて、トラブルを経験したことがある身なので、回答しているのですけど、特に複数台があり、長年アップデートをしていない場合、そして何よりサーバ管理の経験が希薄なら、パソコンと同じ目線でみるのは、止めましょう。

まずは、トラブル対応（リスク）のルールを決めること、次に作業手順（トラブルも適用も含む）を決めることです。

この回答へのお礼

詳細なご回答を頂き感謝しておりますが、

一方では短絡的な視点と解釈から、「素人の粋」とジャッジされていることは、
単なる「無礼者」の粋を出ていないと感じます。

私の文面からどういったイメージが働いたか知る由もありませんが、
勝手な推測と、頼んでも居ない上から目線の経験談は辞めた方がよいとお伝えします。

「統合的な管理しか記載が無いから、運用管理の意識が少ない」、
「世間に質問しなければ判断が下せない」

そう思われたのは何故でしょうか？。

どこに判断すると書きました？。

統合的な管理についてこういったフォーラムで意見を聞きたいのは駄目ですか？。

せっかく記載頂いたのに、全て貴方の「思い込み（結論）」であり、
ロジカルシンキングの無い、単なる「事実と異なる偏見」です。

要件定義などで、漏れの発生しやすい、一番まずいパターンですよ。

私からの回答者様へのアドバイスとしては、「何故こういった質問をしているのか？」と「Why」で
ロジカルシンキングをした方が良いと思います。経験（結論）に頼りすぎで、偏った判断しか下せない
ようであれば、回答は辞めた方が良いと思います。
決められた手順や指示で業務をするのであれば、問題は無いですが。

事前にそういった質問を含んだ回答であれば、せっかくの長文のご回答も無駄にはなりませんし、
建設的な議論ができると思います。

ちなみにミッションクリティカルだの回答の経験などは私も経験があり、
そういった経験から課題提起をし、現在社内の100以上の課題に立ち向かっています。

言われている構成管理や運用手順の面など、当の以前に把握しており、
別途整理や検討をしている最中です。

更に補足をしますと、各サーバの役割や物理的なサーバの構成（RAID、冗長化）など
何も資料化されておらず、そもそも運用管理の軌道に載せられるよう、
多方面から集約をしている途中となっています。

パッチ適用や監視も、回答者様などのご担当に任せられるよう、運用設計も見直しています。

私自身も今後は素人に見られないよう、文面は気をつけたいと思います。

お礼日時：2013/05/18 23:24