2007年11月07日
Windows Server 2008ではもっと簡単にWSUSを利用可能に [B. Microsoft] [WSUS]
先ほどの記事に引き続き、WSUSがらみの話をもう一件。
【WSUS will become optional role for Windows Server 2008 Server Manager】
http://www.activewin.com/awin/comments.asp?HeadlineIndex=41470
Windows Server 2008新機能の一つに、Server Manager というものがあることはご存知でしょうか?
サーバーを管理する上で必要となる、役割や機能の追加、管理ツールの起動などを一元的に行うための新しいGUIです。Windows Server 2003でも同じようなものはありますが…
このServer Managerの主機能の一つが、ADやDNS, DHCP, Windows Backupといった様々な役割や機能をウィザードで追加/削除するというものなのですが、このたびOS標準の機能や役割だけではなく、Microsoft Download Centerなどで公開されている一部アドイン機能も、同一画面から導入することができるようになりました。
その第一弾がWSUS 3.0 with Service Pack 1になります。
実ワークロード時間としては従来とそれほど大差ないのですが、わざわざブラウザを立ち上げて、インストーラーをダウンロードするという作業を省略できるようになります。
今後もメジャーなアドインツールに関しては、この形式で気軽に導入できるようになってくるかもしれません。
WSUS 3.0 SP1のRC版が提供開始に [B. Microsoft] [SMS] [WSUS]
シェアを着実に伸ばしている WSUS 3.0 (Windows Server Update Services 3.0)ですが、最初のアップデート版となる Service Pack 1の製品候補版(Release Candidate 1, RC1)が提供開始されました。
いつものように Microsoft Connectで申し込むことが可能です。
SP1は細かいフィックスの適用が中心であり、機能上の変更はそれほど多くありませんが、Windows Server 2008上での稼動が正式サポートされる最初のバージョンになります。
---
記事が短めなので、検索中に見つけた資料を一点おまけで。
【WSUS 3.0 versus ConfigMgr (SCCM) 2007】
http://myitforum.com/cs2/blogs/rtrent/archive/2007/10/15/wsus-3-0-versus-configmgr-sccm-2007.aspx
WSUSは2.0, 3.0とバージョンをあげるにつれて劇的に利便性や安定性を高めていきましたが、それでも有償サーバー製品である System Center Configuration Manager (SCOM, 旧SMS)とは差別化されるようになっています。上記ページは、そんな2製品の機能比較を表でまとめたもの。
要件に応じて適切なソリューションを選択するようにしましょう。
2007年08月14日
[EnterpriseZine] WSUS の記事: Part 3 (最終話) が公開されました [B. Microsoft] [WSUS]
ちょっとタイミング外しちゃいましたが、8月10日付で EnterpriseZine.jp に寄稿している WSUS の連載第3回が公開されました。
最終話になりますので、今までの分とまとめてリンク張っておきます。
【第1回 WSUS 3.0が求められる背景と製品概要】
http://enterprisezine.jp/article/detail/2
【第2回 最も基本的な構成をもつWSUSの導入手順】
http://enterprisezine.jp/article/detail/18
【第3回 さまざまな環境でWSUSを導入するための考え方】
http://enterprisezine.jp/article/detail/19
---
個人的には第1話&第2話は前振りであって、今回の第3話がメインだと考えています。
他はぶっちゃけホワイトペーパーや他誌でも似たような内容があるわけですが、意外と第3話のようにケーススタディ形式で導入設計を考えた資料というものはありません。
ご興味ある方はぜひアクセスを。
ということで、一般向けの物書き作業はちょっと一息。
しばらくは締め切りが迫っている某論文に注力しないと… まだテーマさえ浮かんでいないのに(´・ω・`)
また落ち着いたら継続的に記事は書いていきたいと考えています。
「こんなネタどうよ?」というものがありましたら、メールなりSLなりIMなりでお知らせくださいませ。
2007年08月08日
[EnterpriseZine] WSUS の記事: Part 2 が公開されました [B. Microsoft] [WSUS]
先日宣伝させていただいた WSUS の記事 @ EnterpriseZine.jpですが、8月7日付けで Part 2 が公開されました。
【Windows Updateの管理を効率化する「WSUS」導入手順の基本】
第2回 最も基本的な構成をもつWSUSの導入手順: http://enterprisezine.jp/article/detail/18
タイトルのとおり、Part 2 はひたすら WSUS 3.0 の導入手順を追っていく手順書になっています。一度でも導入したことがある方には退屈な内容ですが、これから導入してみようと考えている方の参考になれば。。。
ちなみに Part 3 も今週末には公開されると思いますので、しばしお待ちを。
2007年08月01日
ITPro向け新ポータルサイト: EnterpriseZine [A. IT全般] [B. Microsoft] [WSUS]
7月30日、翔泳社から新しいIT総合ポータルサイトである EnterpriseZine がオープンしました。
当面はβ版という形でのプレオープンで、正式オープンは9月25日に予定されています。
【EnterpriseZine】
http://enterprisezine.jp/
---
で宣伝になってしまいますが、私も記事を寄稿させていただいております。
【社内のWindows更新処理を集中管理、「WSUS 3.0」とは】
第1回 WSUS 3.0が求められる背景と製品概要: http://enterprisezine.jp/article/detail/2
WSUS 3.0に関する記事で全三部構成ですが、現時点では第一部のみ公開されているみたいです。
いやぁー、本当に久しぶりに“一般向け”の執筆というものをしたんですが、改めて読むとかなりの乱文ですね… はずかしぃ く(*´ー`)
まぁせっかくなので、お時間あるときに読んであげてくださいませ。
今後もまとまったネタができたら新しい記事を書いていきたいと考えていますので、(期待はしない程度に)楽しみにしておいてください。
2007年07月20日
WSUS で Windows Server 2003 SP2 を正しく配信できないことがある [B. Microsoft] [WSUS]
タイトルのとおり、Windows Server 2003 Service Pack 2 を WSUS から自動インストールさせようとすると、途中でユーザーアクションが求められて自動インストールに失敗してしまうようです。
【WSUS and Windows Server 2003 Sp2 】
http://blogs.technet.com/mu/archive/2007/07/18/wsus-and-windows-server-2003-sp2.aspx
現在修正に向けて動いているようなので、しばらくはWSUSを使ったSP2の自動インストールは行わないほうが賢明かと思います。
サーバーOS用Service Packを、WSUSとかでがりがり自動適用している方ってどのくらいいるんですかね。私はちょっと怖くて、自分でやったことがないのです。。。
2007年07月14日
SUS 1.0 がついにサポート切れに [B. Microsoft] [WSUS]
何度も延長されてきた SUS 1.0 のサポートですが、2007年 7月 10日をもって完全終了しました。
手持ちに環境が無いので試していませんが、パッチのダウンロードも一切できなくなっているはずです。
【Microsoft Software Update Services 1.0 のサポート ライフサイクル】
http://support.microsoft.com/kb/905682
ほとんど世間で話題になっていない気がしますが、さすがにもう SUS を使い続けている企業はほとんどなかったということなんでしょうかね。もうちょっと騒動になるものかと思っていました。
もし現時点でSUSが現役活躍している環境がある場合、今月以降パッチの新規ダウンロードができませんので、早急に別の更新プログラム管理製品に乗り換える必要があります。
SUSの使い勝手に馴染んでいるのであれば、正統後継製品であるWSUSが良いでしょう。WSUSは2.0と3.0がありますが、将来的な観点を考えると3.0まで一気に移行しておくのがベストです。
ただし、 SUS 1.0 ⇒ WSUS 3.0 への直接移行パスは提供されていませんので、内容を引き継ぎつつ移行する必要がある場合は一旦 WSUS 2.0 を経由する必要があります。
二段階移行はやや面倒な作業ですので、場合によってはSUSの構成情報を捨て、新規でWSUS 3.0を作ってしまったほうが良い(早くて楽)かもしれません。
2007年05月05日
WSUS 3.0 の導入モジュールと関連ガイド一式 [B. Microsoft] [WSUS]
少し間が空いてしまいましたが、SMS 2003 SP3 (EN) に続いて連休中にリリースされた第2弾は、Windows Server Update Services 3.0 (WSUS 3.0) です。
セットアップモジュールおよび現時点で入手可能な関連資料の一覧を記載しておきます。
【Windows Server Update Services 3.0】
http://www.microsoft.com/downloads/details.aspx?familyid=e4a868d7-a820-46a0-b4db-ed6aa4a336d9&displaylang=en&tm
とりあえずメインのモジュール。64bit版もこちらからダウンロード可能です。
見た目は英語のみですが、WSUS 2.0 同様に言語モジュールもすべて含まれています。
そのためPC(ユーザー)のロケールが日本語になっていれば、自動的に日本語のセットアップ画面や管理画面が表示されます。
【Readme for Microsoft Windows Server Update Services 3.0】
http://www.microsoft.com/downloads/details.aspx?familyid=093f89c5-a887-4fcd-9b98-47d898b5295f&displaylang=en&tm
Readme です。めずらしくHTMLではなく、Wordドキュメント形式です。
【Microsoft Windows Server Update Services 3.0 Overview】
http://www.microsoft.com/downloads/details.aspx?familyid=1b5eac37-bd48-41fd-869b-f9b06fa64a61&displaylang=en&tm
WSUS 3.0 のオーバービューを記載したWordファイル。概要を把握したい場合はこちらを最初にどうぞ。
【Microsoft Windows Server Update Services 3.0 のファースト ステップ ガイド】
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=c8fa2fd1-72f6-4f19-a1b0-f689dae14be6
その名の通り、とりあえず導入前に一通り理解しておいたほうが良い内容をを記載したガイド。
上記リンクにある日本語版を含め、すでに各国語にローカライズされたファイルをダウンロード可能です。
【Deploying Microsoft Windows Server Update Services 3.0】
http://www.microsoft.com/downloads/details.aspx?familyid=208e93d1-e1cd-4f38-ad1e-d993e05657c9&displaylang=en&tm
実際の導入手順などを記載したWordファイルです。
【Microsoft Windows Server Update Services 3.0 Operations Guide】
http://www.microsoft.com/downloads/details.aspx?familyid=66d250fa-670f-4a49-95ec-2ffda7691f55&displaylang=en&tm
WSUS 3.0 導入後の具体的な使い方(運用手順)を記載したWordドキュメントです。
---
以下、関連・参考情報。
【Where to check out the WSUS 3.0 community】
http://blogs.technet.com/wsus/archive/2007/05/01/where-to-check-out-the-wsus-3-0-community.aspx
【Update on svchost/msi performance issue and 3.0 Client distribution plan】
http://blogs.technet.com/wsus/archive/2007/04/28/update-on.aspx
【WSUS 3 Developer's Blog - API samples...】
http://blogs.technet.com/wsus/archive/2007/04/27/wsus-3-developer-s-blog-api-samples.aspx
2007年02月14日
WSUS 3.0 管理パック for MOM 2005 [B. Microsoft] [MOM] [WSUS]
ここ最近 WSUS ネタばかりになってしまっていますが、もう一本。
先ほど書いたように、WSUS 3.0 RC の配布が始まったのですが、合わせて WSUS 3 RC MOM Pack for MOM 2005 も Microsoft Connect にあがってきていました。
MOM 管理パックの形式である"AKM ファイル"1つだけの形でダウンロード可能です。
# たぶんβ2のときもあったのだと思いますが、ぜんぜん気づいていませんでした…(・∀・)
今までのバージョン (SUS 1.0 や WSUS 2.0) に関しては MOM管理パックが提供されることは無かったのですが、ようやく今回から WSUS 単体としての管理パックも提供されることになります。
これまでは、「WSUS サーバーに関してはとりあえず IIS の管理パックで対応」といった感じでざっくりとやり繰りしていた方も多いと思いますが、今後は他の Windows Server Systems 製品同等に管理することができるようになります。
個人的には WSUS 3.0 の機能変更そのものよりも、1つの Microsoft Product として他の製品と肩を並べられるようになったことのイメージ効果の方が大きかったりします。
WSUS 3.0 が RC に [B. Microsoft] [WSUS]
今年2Q中のリリースが予定されている WSUS の最新バージョン、WSUS 3.0 が Release Candidate (Public Beta) になったようです。
【WSUS 3.0 Release Candidate now available!】
http://blogs.technet.com/wsus/archive/2007/02/12/wsus-3-0-release-candidate-now-available.aspx
いつものとおり、Microsoft Connect からレジスト & ダウンロード可能です。
WSUS 3.0 は今年リリースが予定されている他のシステム管理製品(SCOM 2007, SCCM 2007, System Center Service Desk など)に比べると、バージョン変更による大幅な変化/強化というものがあまりないのですが、MMC 形式の管理コンソールの採用や複数サーバーの一元管理など、細かいレベルで管理効率を高めてくれる改善点がいくつか見受けられます。
WSUS 2.0 も更新プログラム管理としては十分な機能を持っていると思いますが、サポートライフサイクル等の観点からいつまでも使い続けることができるわけではありません。概念的なところは特に変わっていませんし、移行作業もかなり単純化されていますので、早め早めの移行を検討しましょう。
---
あと WSUS 3.0 に関する“日本語”の資料はまだまだこれからという感じですが、早期評価される方は Connect にある情報に加えて、TechNet の内容が参考になると思います。
【Windows Server Update Services (WSUS) Technical Library】
http://technet2.microsoft.com/WindowsServer/en/library/a68a19d2-630e-45d6-b596-d24dac987b641033.mspx?mfr=true
2007年02月10日
WSUS のよくあるエラー対処方法 Part.5 [まとめ] [B. Microsoft] [WSUS]
これまで4回にわたって「WSUS サーバー ⇔ クライアント」の間で発生するトラブルとその対処方法を書いてきました。できる限り分かりやすいように書いてこようと努力したんですが、改めて読み返してみると相当の乱文ですね。。。
というわけで、Part.5 (最終回) として今までの内容を振り返って箇条書きしてみます。
【確認すべき場所】
WSUS 関連固有の問題を調査する場合に確認すべき箇所は3点。
- WSUS 管理コンソール
- クライアントの %Windir%\WindowsUpdate.log
- クライアントの %Windir%\SoftwareDistribution\ReportEvents.log
【よくある解決案】
とりあえず困ったら、ここに書いてる10か条をひとつずつ試してみると良い結果が生まれるかもしれません。
# 詳細については各回(Part.1, Part.2, Part.3, Part.4)をご参照ください。
- クライアントの設定(サーバーアドレスやポーリングスケジュールなど)が正しいか確認する。
グループ ポリシーまたはレジストリで設定している項目です。
- Automatic Updates (wuauserv) と Background Intelligent Transfer Service (BITS) の2つのサービスが起動できることを確認する。
通常停止していることはないと思いますが、Windows Management Instrumentation (winmgmt) サービスなどもスキャンプロセスで必要です。
稀にサービスそのものが corruption を起こしているケースがありますので、Part.3 で紹介したコマンドとかを使ってサービスの解除と再登録をしてあげるのもよいでしょう。
- 上記サービス へのアクセス権が不適切に設定されていないかを確認する。
グループポリシーでサービスの起動状態を構成している場合は、意図せず必要な権限を剥奪してしまっていることがあります。(特に多いのが、Automatic Updates サービスへの Authenticated Users - Modify の権限が失われているケース)
グループ ポリシーでサービスのアクセス権も設定してあげるか、SC sdset コマンド (参照:KB555336) を使って権限を付与してあげてください。
- 念のため、最新版の Windows Update Agent 2.0 をクライアント側に手作業で導入してみる。
Web (http://go.microsoft.com/fwlink/?LinkId=43264) から最新版をダウンロードし、 WindowsUpdateAgent20-x86.exe /wuforce とオプションをつけて再インストールします。
- IIS の anonymous access (virtual Self Update ディレクトリ) が許可されていることを確認する。
許可されていないと、構成によっては適切にスキャンできなくなります。
- HTTP (80/tcp) または HTTPS(443/tcp)で通信できていることを確認する。
通信の方向は、「WSUS クライアント => WSUS サーバー」の一方向でOKです。
なお、WSUS はユーザーレベルではなくコンピュータレベルでアクセスを試みるため、プロキシ構成は proxycfg を使って設定してあげる必要があります。
- 0x8024400a のエラーコードが表示される場合は、Hotfix (KB898708)を適用する。
Hotfix 適用以外の代替策がないわけではありませんが、純粋なIISの仕様ですのでおとなしく適用しましょう。
- ダウンロードキャッシュを消去して再実行する。
パッチは、インストール前に %windir%\softwaredistribution にキャッシュとして保存されます。このキャッシュが破損しているとうまく進まなくなってしまうケースがあります。
- クライアントに導入されているアプリケーションが悪さをしていないか疑う。
クライアントファイアウォールなどの製品が、更新の実行ファイルである wuauclt.exe や実行モジュール (update.exe) の起動を拒否していないか確認してみましょう。
- どのような設定変更を行ったときでも、変更の都度 wuauclt /resetauthorization /detectnow と入力して進展を確認する。
クライアント/サーバー間に対象を絞った上でいろいろ書きましたが、それでもすべてを書ききれたわけではありません。
ここまで書いておいて何ですが、もっと広く深くトラブル対応したい場合は WSUS Wiki を参照されることをお奨めします。
【WSUS Wiki】
http://www.wsuswiki.com
もし需要がありそうであれば、クライアント/サーバー間以外の部分を焦点としたトラブル対応リストなんかもいずれ書いてみようと思います。
2007年01月31日
WSUS のよくあるエラー対処方法 Part.4 [B. Microsoft] [WSUS]
WSUS クライアント関連のトラブル対策 Part.4 です。
前回までで、WSUS の基本的なサイクルに沿った対応方法を紹介してきました。
今回はその他に思いついたものをざっくばらんに。
【事象E: エラーコード 0x8024400a が表示される】
WSUS を使って実運用を開始した当初など、WSUS の管理コンソールや WindowsUpdate.log, ReportEvents.log などあらゆる場所でこのエラー番号を見ることになる場合があります。
これは WSUS (というかそのコンポーネントである IIS) の既知のエラーです。
エラーコードが同じ 0x8024400a でも、エラーメッセージは「エージェントの検出に失敗」だったり「ダウンロードエラー」だったりといろいろありますが、コードが同じであれば原因もほぼ間違いなく同じです。
詳細は下記KBに記載されています。
で実際に何をするかですが、下記KB内 にある hotfix を適用(要リブート)すればOKです。
[FIX] POST 要求を送信すると、IIS 6.0 が応答ストリームの途中で "HTTP 100 Continue" 応答を送信する
【事象F: 特定の端末だけ、どうしてもインストールや検出に失敗する】
これまで紹介したすべての事項を確認しても問題がないのに、特定の端末だけインストールや検出がまったくできないといった場合、Windows や WSUS としての問題ではなく、導入されているアプリケーションが原因である可能性があります。
すでに何度か書いていますが、たとえば ISA Server を導入している端末では、ISA 自身の構成として WSUS を許可してあげる必要があります。手元に英語版の ISA しかないので日本語表記の確認ができないのですが、英語の場合は HTTP Connectivity verifiers が有効になっている必要があります。
またサードパーティのソフトウェアでも WSUS の動作を拒否してしまうものがあります。特に多いのがセキュリティ構成管理系の製品で、予め許可していない通信や実行ファイルの起動を拒否してしまうような構成をとっているケースが多いです。
アプリケーションの性質によって何を有効化してあげなければいけないかは違うのですが、比較的失敗の原因として多いものをあげると、
- wuauclt.exe の起動が拒否されている。
- %Windir%\SoftwareDistribution\サブフォルダ にダウンロードされる update.exe (パッチひとつにつき、ひとつのサブフォルダと実行ファイルが存在します) の実行が拒否されている。
- %Windir%\SoftwareDistribution\Download に対して一時ファイルを書き込めないように構成されている。
WSUS を邪魔しているアプリケーションが明確な場合は、その製品のログファイルを見たほうが原因を掴みやすいかもしれません。
【事象G: なぜかダウンロードに失敗し続けるパッチがある】
今回はWSUSサーバーとクライアント間での障害をテーマとして扱ってきましたが、少しだけ脇道に入って WSUSサーバーと Microsoft Update サイトとの間で発生する問題をひとつ取り上げておきます。
こっちの方面もいろいろとトラブルのバリエーションがあるんですが、今回は大半のパッチがダウンロードできているのに、なぜかいつまで待っても「ダウンロード」が完了せず、タイムアウトになってしまうパッチが存在するというケースを取上げます。この場合 WSUS サーバー上のイベントログに、具体的にどのパッチのダウンロードに失敗したかのメッセージが表示されます。
私個人の経験ですと、IEの累積パッチや一部のファイルサイズが大きいパッチでこの問題が発生するパターンが多いです。
対応策ですが、本来はネットワークの経路とかきちんと見てあげて滞っているポイントを探し出すべきです。とはいえ、それが簡単にいかない場合もあるでしょう。
その場合、あまりきれいな方法ではありませんが、対象のパッチを(WSUSのシステムを使わずに)マニュアルでダウンロードし、適切なフォルダに放り込んであげるというやり方があります。
具体的な方法ですが、詳細な手順を記載した blog がありましたのでリンクだけ張っておきます。
WSUSでどうしても同期ができないパッチを回復させる方法 (http://messiah-annex.at.webry.info/200506/article_3.html)
---
これまで長々と書いてきましたが、この4回分の内容が一通り頭の中に入っていれば、WSUS の障害ということで突然呼び出されてもオドオドすることはないかと。。。
次回 Part.5 という形で、いちおうまとめ的なものを書こうと思います。
2007年01月28日
WSUS のよくあるエラー対処方法 Part.3 [B. Microsoft] [WSUS]
少し間が開いてしまいましたが、Part.1, Part.2 の続きです。
【事象C: 承認したパッチのダウンロード/インストールが始まらない】
事象B の「いつまで経っても Status Report がサーバーに上がってこない」 を無事に乗り越えると、その端末に対するパッチの承認&適用プロセスに入ることができます。
ここで発生し得る問題としては「承認したはずのパッチが何時まで経ってもインストールされない(ダウンロードされない)」というものです。
この問題に関しては まずはクライアント側で、WSUS サーバーに対する “ポーリング間隔” がどのように設定されているのかを確認しましょう。 グループ ポリシーであれば [Windows コンポーネント] - [Windows Update] - [自動更新の検出頻度] という項目で、未構成の場合は 22 時間間隔(前後ブレあり)になります。
WSUS はあくまでもクライアント側からの polling によってパッチ適用の必要性を判断しますので、パッチの承認を行っても、その後でクライアントからの検出が行われなければ次のステップに進みません。もしデフォルトのまま22時間という設定であれば、承認後に最長22時間検出が行われないというのは正常動作の範囲内になります。
トラブル対応時などでそのような悠長なことを言っていられない場合は、クライアント側で wuauclt /detectnow と入力し、直ちに検出を開始させましょう。
事象B の問題にあった「ステータスレポート」が問題なく送信できている状態であれば、数分以内に“自動更新の検出”が行われ、承認したパッチのダウンロードが試行されます。
# 検出の具体的なプロセスを確認したい場合は、WindowsUpdate.log を見るとよいでしょう。
---
検出までのプロセスが適切に行われると、必要なパッチのダウンロードが始まります。
# クライアント側の設定によっては、自動ダウンロードする代わりに、通知領域にダウンロードの準備ができたことを示すメッセージが表示されます。
パッチのダウンロードですが、一時保管領域として %Windir%\SoftwareDistribution\Download が使用されます。詳細なところは WindowsUpdate.log 等で確認する必要がありますが、ここに順次新しいファイルが作られていることを確認できれば、ダウンロード・プロセスは問題なく開始されていると考えてよいでしょう。
「検出はされているのに、ダウンロードが開始されない」という場合はいろいろな原因が考えられますが、大抵は Part.1 や Part.2 で紹介したトラブルシューティングのいずれかで解決できるはずです。
落ち着いてひとつひとつ確認していきましょう。
特に原因になっているケースが多いのが、自動更新サービスやデータベースファイルなどの必要機能が何らかの理由で停止/破損してしまっている場合です。
Part.1 や Part.2 でも類似のケースをご紹介しましたが、とりあえず一連の基本確認作業をバッチ化するとこんな感じです。
net stop wuauserv
net stop bits
regsvr32 /u wuaueng.dll /s
rmdir /S /Q %windir%\softwaredistribution
del /Q %windir%\windosupdate.log
regsvr32 wuaueng.dll /s
net start wuauserv
net start bits
wuauclt.exe /resetauthorization /detectnow
ここまでのすべてを実施してもダウンロードが開始されないいとなると、、、
少々一般的ではない障害である可能性がありますので、ログファイルをじっくり見る必要がありそうです。
【事象D: ダウンロードが始ったが完了しない】
さて次の関門は、ダウンロードは始まったぽい(=「SoftwareDistribution\Download フォルダに何かしらのファイルはある)のに、通知領域にはずっとダウンロード中のメッセージが表示され続け、ダウンロードが完了しないというケースです。
この場合は、Automatic Updates サービスのアクセス権設定(DACL)に問題がある可能性が高いです。Part.1 のときも紹介しましたが、グループポリシーで中途半端に Automatic Updates サービスの動作を設定してしまっていると、予期せず必要な権限を削除してしまっていたという事例が多くみられます。
グループポリシーで設定している場合は、できる限り Automatic Updates サービスの起動状態だけではなく、明示的にアクセス権の設定も合わせてしてあげたほうが無難でしょう。通常は、SYSTEM & Administrators に Full Control, Authenticated Users に Modify 以上の権限があれば WSUS 的には十分です。
なお、グループポリシー以外の方法でサービスに対するアクセス権を設定したい場合ですが、Windows 標準コマンドである SC sdset を利用するのが一般的です。
セキュリティ記述子定義言語 (SDDL) を使用するためパラメータの指定に少々癖がありますが、とりあえず Automatic Updates サービスの権限を正しいものに変更したい場合はこんな感じです。
# 以下を1行で入力します。詳細は KB555336 に記載されています。
sc sdset wuauserv "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)"
自分で書いていてイヤになるほどの散文乱文ですが、ここまでの3回に渡った内容を熟知していただければ、WSUSサーバー/クライアント間で発生する問題の大半は解決できるはずです。
次回は、ここまでで紹介しきれなかった個別の事象/既知の問題/参考情報なんかを書いてみたいと思います。
2007年01月16日
WSUS のよくあるエラー対処方法 Part.2 [B. Microsoft] [WSUS]
前回の続編です。
【事象B: いつまで経っても Status Report がサーバーに上がってこない】
事象Aの「特定の端末が WSUS クライアントとして認識されない」という問題が解消されると、WSUS 管理コンソール上にそのコンピュータ名が表示されるようになり、さらにしばらく待つとスキャン結果(どの更新プログラムが適用されているか/いないか)が報告されてきます。
WSUS では、このスキャンレポートの情報を基準に、承認された更新プログラムのうち未適用のパッチが自動選別/適用される仕組みになっています。
しかし、待てども待てどもスキャンレポートが検出/報告されないというケースがあります。
また、当初は報告されていたが、いつの間にか報告されなくなっているというケースもあるでしょう。
# 長期間(デフォルトでは30日間)報告がないと、管理コンソール上にその旨を示すメッセージが表示されます。
この場合に疑うべき項目ですが、まずは事象Aのときの問題が再度発生していないか、です。
具体的には「WSUSサーバーアドレスの指定がいつの間にか変わってしまっていないか」「必要なサービス (Automatic Updates / BITS) は起動できているか」「WSUS サーバーに HTTP or HTTPS 通信できているか」「ファイアうウォールなどの障害になり得るアプリケーションが後から追加されていないか」の4点を確認します。
特に、一度はスキャンレポートがされているのに、ある日から出来なくなってしまったという場合にはこれらいずれかが該当する可能性が高いです。
次に、上記いずれでもない場合で、かつ該当クライアントが Windows Server 2003 SP1 または Windows Serer 2003 R2 の場合、下記KBに該当する可能性があります。
タイトルのとおり、0x8024400a のエラーコードが WindowsUpdate.log や WSUS 管理コンソールに表示されている場合、上記KB に記載のとおり更新プログラム (KB898708) を適用して再チャレンジしてみましょう。この更新プログラムは、http://support.microsoft.com/kb/898708/ からダウンロード可能です。
# 更新プログラムの適用を有効にするためには、再起動が必要です。
それ以外に考えられる原因として、Windows Update Agent や関連サービスが conflict を起こしている可能性があります。
Windows Update Agent はその名のとおり、 Windows Update や WSUS サーバーへのアクセスを行う実行ファイルですが、あまり作りがよくないのか、まれに破損している場合があります。
その場合ですが、Web (http://go.microsoft.com/fwlink/?LinkId=43264) から最新版の Windows Update Agent 2.0 をダウンロードし、
WindowsUpdateAgent20-x86.exe /wuforce
とオプションをつけて再インストールしてみます。
# /wuforce オプションは、現在インストールされていても上書き強制インストールするためのものです。
再インストール後に、Windows Updates サービスと BITS サービスも再起動させておきます。
万が一それらサービス自体が破損している場合を考えて、regsvr32 を使ってサービスの再導入も合わせて実施すれば万全です。regsvr32 を使った必要サービスの再導入は、SMS 2003 ITMU で patch 適用に失敗する場合の対処 batch の記事を参考にしてください。
いずれの対応を実施した場合でも、最後にクライアントでコマンドプロンプトを立ち上げて、
wuauclt /resetauthorization /detectnow
と入力して、直ちにスキャンが開始されるようにします。
問題が解消されていれば、5分程度で WSUS 管理コンソールにスキャン結果が表示されれくるようになります。
Part.3 に続きます。
2007年01月13日
WSUS のよくあるエラー対処方法 Part.1 [B. Microsoft] [WSUS]
昨日は SMS 2003 ITMU を使って更新プログラム管理する場合のトラブルシューティング例を書いたんですが、本日は WSUS でパッチ配信するときに発生する問題とその対処方法を書いてみようと思います。
# WSUS サーバーそのものは、とりえあず問題なく動いているケースを前提としています。
本当は綺麗にまとめたいんですが、とりあえず記憶にある範囲内で思いつくままに書いていきます。
なお文章量が多くなりそうなので、数回に分けて書く予定です。
【基本事項: 最初に確認すべきこと】
まず基本的なところとして、WSUS の動作が期待通りではないときに何を確認するかですが、
- WSUS 管理コンソール
- クライアントの %Windir%\WindowsUpdate.log
- クライアントの %Windir%\SoftwareDistribution\ReportEvents.log
WSUS 管理コンソールで大雑把にクライアント全体の挙動(“WSUS クライアントとして認識されているか”, “更新プログラムの適用状態スキャンが行われているか”, “許可したパッチが期待通り適用されているか”など)を確認し、問題の発生している端末を特定します。
次に、問題の発生している端末上のログファイル2つを確認し、何が原因なのかを突き止めます。場合によってはイベントログにも有用な情報が出ているかもしれません。
どのような問題であってもこの流れは同じです。
ではここから具体的な事象を。
【事象A: 特定の端末が WSUS クライアントとして認識されない】
Group Policy やレジストリを使って WSUS クライアントの指定をしたにもかかわらず、いつまで経ってもWSUS 管理コンソール のコンピュータ一覧に表示されない端末があるというケースです。
適切に動作している場合は、クライアント上で
wuauclt /detectnow
とコマンド入力すれば、即座に WSUS サーバーとの通信が行われ、適用状態のスキャンが開始されます。
さて まず疑うべきは、グループポリシーやレジストリで WSUS サーバーのアドレスを入力ミスしていないか、です。グループポリシーの場合は、「イントラネットの WSUS 更新サービスの場所を指定する」という項目になります。
ここを入力ミスしてしまっていると、どんなに他を頑張っても WSUS サーバーとのコミュニケーションは取れません。 http://WSUSserver の形式で間違いなく指定されているか、目を凝らしてよーく確認しましょう。
# WSUSServer のところは、WSUS サーバーの FQDN/NetBIOS/IPアドレスのいずれでもOKです。
なおサーバーアドレスが間違っている場合、WindowsUpdate.log にサーバーが見つからないことを示す warning が記録されます。
---
WSUS サーバーのアドレスが確かに合っているのに問題が解消されない場合ですが、大きく2つの原因が考えられます。
ひとつは、クライアント上で必要なサービスが起動していないことです。 WSUS は Automatic Updates サービス (wuauserv) と Background Intelligent Transfer Service サービス (BITS) の2つを利用しますので、この2つが稼動している/稼動できることを確認します。スタートアップタイプは必ずしも“自動”である必要はありませんが、環境やセキュリティレベルによっては両方とも“自動”かつ“開始”の状態になっていないと上手く動かないケースがあります。
なおセキュリティ設定等が corrupt し、Automatic Updates サービスを起動しようとしてもアクセスエラーが発生する場合も考えられます。
その場合は、
regsvr32 /u wuaueng.dll
regsvr32 wuaueng.dll
とコマンドラインから入力して、 Windows Updates サービスの再導入を行ってから再チャレンジすると、上手くいくケースが多いです。
ただし、Group Policy で Automatic Updates のスタートアップの種類を指定している場合は、これだけで解消できない場合があります。 これは Automatic Updates サービスに対するアクセス権が不足していることが理由ですので、同時にサービスへのアクセス権として Authenticated Users - Modify の権限を付与しておくと正常稼動するようになります。
# この設定が必要になるのは環境次第であり、必ず行わなければいけないものではないようです。
サービスの起動設定と並んで考えられるもうひとつの原因は、WSUS サーバーとクライアント間のネットワーク通信が適切に行われていないことです。
WSUS はクライアント側から WSUS サーバーに対して、HTTP (80/tcp) で通信を試みます。そのため最低限の条件として、「From クライアント To WSUS サーバー」の関係で 80番が開いている必要があります。
Netsh diag あたりのコマンドを使って、確実に通信ができることを確認しましょう。
# WSUS サーバーの設定により、HTTP ではなく HTTPS(443/tcp) を使用することは可能です。
さらに Proxy が存在する環境の場合、80番が開いているにもかかわらず通信できていないといった症状が発生する場合があります。
具体的には、クライアント上のブラウザから http://WSUSserver/WSUSAdmin と入力すると WSUS 管理コンソールが問題なく表示できる(=80番でアクセスできている)にも関わらず、Windows Updates サービス的には通信ができていないという現象です。WindowsUpdate.log にはスキャンの開始に失敗していることを示すメッセージなどが記録されます。
これは、Windows Updates サービスが参照する Proxy 設定が、ブラウザ(IE)で指定するプロキシの設定とは違うところを見ている仕様にあるためです。Windows Updates サービスは、ユーザー単位ではなく、コンピュータベースで一意のプロキシ設定情報を持っており、その設定はコマンドラインから
proxycfg
と入力することで確認できます。
WSUS サーバーにアクセスするために Proxy 設定が必要な場合は、この Proxycfg.exe を使って指定してあげましょう。
参考:
- http://support.microsoft.com/kb/417468/ja
- http://msdn2.microsoft.com/en-us/library/aa384069.aspx
---
ここまでやっても駄目な場合は、クライアント側で何か特殊なアプリケーションが稼動していて、そいつが邪魔をしている可能性を考えてみます。たとえば Microsoft 製品を例にとると、 ISA Server が導入されている端末は、ISA Server 自身のファイアウォール機能で WSUS への通信を遮断してしまいます。ISA Server のケースでは、 System Policy で WSUS サーバーへの HTTP通信ができるように許可することで問題が解消されるはずです。
他にも、ネットワーク構成アプリケーションやファイアウォール・マネージメント系のアプリケーションが乗っている端末の場合、それらアプリケーションを疑ってみる価値があります。
---
サービスは動いている。通信も行われている。それでもリストに表示されてこない場合は、環境依存であり一般論が通じない可能性が高いです。
そのため、WindowsUpdate.log をじっくり確認していく必要があります。ログファイル内で、warning というキーワードで検索をかけていき、何が起こっているのかを調べてみると、いつかは苦労が報われる!かもしれません。。。
とりえあず Part.1 はここまで。
2006年12月12日
WSUSのトラブルシューティング [WSUS]
お仕事の方で、本当に久々に WSUS の導入部分を担当しています。ここ最近は SMS や MOM といったプロダクトのお話を優先的に引き受けていたので、自分で真面目に WSUS を担当するのは1年半ぶりぐらいかと・・・
# WUS と呼ばれていたころのα版から触っているので、長い付き合いではあるのですが。
さて WSUS は「誰でも簡単に導入・管理することが出来る無償製品」というのがコンセプトなわけでして、実際 クリーンな状態の Windows Server に導入するのは目をつぶっていても出来るほどです。複雑なことをやろうとするとそれなりに制限はありますが、やはりこの容易性は捨てがたいものがあります。
が、逆にそれが仇となっているのか、あまり細かい情報が Microsoft から提供されていない気がするんですよね。特にセキュリティにうるさい環境でいれようとするとちょっとした構成変更が原因で導入・管理エラーが発生しまくります。
そんなときに特に役立つのが Windows Server Update Services Wiki のトラブルシューティング・ページです。
【WSUS Wiki: WSUS Troubleshooting】
http://www.wsuswiki.com/WSusTroubleshooting
いろいろとカテゴリごとにトラブル対応策がリストアップされていますが、特に Troubleshooting WSUS In Production のページが秀逸。
今回の私は、このページに書かれている項目のほぼすべてを経験しました( ̄▽ ̄)
どれも決して難しいトラブルではないんですが、とにかく一個解決しては次の問題という感じの連続攻撃だったため、かなり疲れました。
備忘録を兼ねて、比較的問題判別に時間がかかった項目をあげておきます。
- プロキシを使っている環境で EVENT ID 364 が(同期のタイミングで)発生した場合、“%programfiles%\Update Services\tools\osql\osql.exe” -S servername\WSUS -E -b -n –Q “USE SUSDB update tbConfigurationC set BitsDownloadPriorityForeground=1”とコマンドラインから入力して BITS をフォアグラウンドで実行するように変更すると、動くようになる。若干安定性は悪くなりますが。。。
# ちなみに BitsDownloadPriorityForeground のデフォルト値は 0 です。 なお、Firewall or Proxy 側を変更する方法もあります。 - 通信は出来ているのにファイルを落とせない場合、WSUS Content ディレクトリのアクセス権設定が書き換えられている可能性がある。多少環境に依存しますが、少なくとも Network Services に Read の権限が必要です。
# 特にセキュリティ設定をしていない環境であれば、WSUS のインストール中に勝手に適切な権限が付与されます。 - WSUS に対応するためには、各クライアントにおける Wuaueng.dll のバージョンが 5.8.0.2469 以降である必要がある。
- WSUS のクライアント側で間違ったコンフィグをしてしまった場合、その変更をサーバー側に直ちに反映させるためには wuauclt.exe /resetauthorization /detectnow とクライアント側で入力する。
# /resetauthorization オプションをつけないと、cookie に残った情報がしばらく使用されつづけてしまいます。 - 何かおかしくなったら再インストールもひとつの手。構成情報やDBを残したままアンインストールできるので、たとえば管理用Webサイトの起動がおかしくなったら WSUS のアンインストール & 再インストールをするのが一番スピーディーな解決方法になるケースもある。
- 設定次第ですが、原則として IIS の anonymous access (virtual Self Update ディレクトリ) を許可する必要がある。
# 普通に IIS を入れた場合は、勝手に適切な権限が付与されます。
今回は Wiki のおかげでどうにか大きく止まることもなく進んだ感じです。
うーん、どうもここ最近 エンジニアとしての勘が鈍ってきているように感じます…(´・ω・`)
2006年12月09日
WSUS の [今すぐ同期] ボタンをコマンドラインから実行したい [B. Microsoft] [WSUS]
とりあえず今まさに表題の件をしたくて、その方法を探しているところなんですが、意外と簡単にはいきそうにない感じです。
WSUSutil.exe とかのコマンドライン オプションに普通に入っていてもよさそうなんですが・・・
で、軽く探してみた現時点で見つけた方法がこれ。
【Synchronize WSUS Replica (slave) Server from the Command Line】
http://msmvps.com/blogs/athif/archive/2005/11/21/76100.aspx
どうやら標準機能としてはコマンドラインから [今すぐ同期] / [Synchronize Now] ボタンを実行する方法はないようで、WSUS API の StartSynchronization を使う方法が紹介されています。
リンク先の記事では単純に StartSynchronization を紹介しているだけではなく、記事どおり作業すると StartSynchronization.exe というモジュールを生成してくれます。 とりあえずこのモジュールを使えば、表題の件である“コマンドラインから[今すぐ同期] の処理を行う”という要件を満たせます。
なんかもっときれいな方法がありそうな気がするのですが、とりあえず今日のところはこの方法で凌ぐことにしようかと。
# 只今 某所にて WSUS の PD 中です。眠い(つ_-*)。οΟ
2006年11月22日
Automatic Updates サービスを起動すると エラー 0x80004015 が発生する [B. Microsoft] [Vista/XP] [WSUS]
自分用 memoφ(.. )
【現象】
Windows XP や Windows Server 2003 で Automatic Updates サービス (wuauserv) を開始させようとすると、次のようなメッセージが出てサービスを起動することができないことがあります。
- Error 0x80004015: 呼び出し元とは別のセキュリティ ID で実行するように、クラスが構成されています。
- Error 0x80004015: The class is configured to run as a security id different from the caller.
【原因】
原因はたいていの場合、セキュリティ・レベルの厳しいグループ ポリシーやセキュリティ テンプレートを適用して、サービス起動のための権限まで奪ってしまうことにあります。
【回避策】
本来は、適用したセキュリティ テンプレートとかで正しい権限を付与しなおすことが最適解ですが、とりえあずサービスをあげれれば良い(たとえば Windows Update したい)というときにはもっと簡単な回避策があります。
コマンドラインから
regsvr32 /u wuaueng.dll
regsvr32 wuaueng.dll
と続けて入力し、DLL (Windows Update AutoUpdate Engine) の再登録を行います。
ほとんどの場合はこれだけで、再度 Automatic Updates サービスの開始を試みるとうまくいきます。
ただし原因が"アクセス権"にある場合、一度は修復されたように見えてもしばらくするとまたエラーが発生する可能性があります。 Automatic Updates サービスは Authenticated Users での実行権限が必要になるケースがあるのですが、Group Policy でこのサービスのスタートアップの種類を指定した場合などに、この権限が予期せず削除されてしまうという仕様があるのです。
この場合、Group Policy であればスタートアップの種類を指定すると同時にサービスのアクセス権で Authenticated Users - Modify の権限を付与します。
Group Policy では指定できない事情がある場合は、sc sdset コマンドやセキュリティテンプレートを使用して構成することができます。
---
KB 上にも類似した情報はいろいろあったんですがドンピシャなものがなかったので、KB風に書いてみました。
2006年11月15日
SUS 1.0 のサポート期間延長決定と WSUS 3.0 への移行プラン [B. Microsoft] [WSUS]
今年12月でのサポート終了が予告されていた SUS 1.0 ですが、サポート期間が再延長される旨の発表がありました。
【MSRC Blog: November 2006 Monthly Security Bulletin Release】
http://blogs.technet.com/msrc/archive/2006/11/14/november-2006-monthly-security-bulletin-release.aspx
On final bit of SUS information: we had announced that SUS 1.0 would be retired on December 6, 2006. In response to customer feedback, and to provide customers with additional time to migrate off Software Update Services (SUS) 1.0, we’ve gone ahead and announced an extension to the end of support date to Tuesday, July 10, 2007. So we want to encourage anyone still running SUS 1.0 to migrated to Windows Server Update Services, (WSUS) before July 2007.これによると、2007年7月の月例リリースまで、 SUS 1.0 のサポートが延長されることになります。
当初は 2006年6月でサポート終了予定となっていましたらから、結果的に1年以上延長されたことになります。
まぁ今回の延長決定は ほぼ以前の予想通りです。
さらに再々延長が行われる可能性は、今のところ30%程度ぐらいではないかと思います。これ以上の延長が行われない可能性のほうが、若干高いと想定しています。
---
さて、これまで SUS ユーザーは少しでも早く WSUS へ移行することが推奨されてきていたわけですが、2007年7月まで利用できることが確定したことによって、多少取るべき戦略に幅が出てきます。
というのも、WSUS の次期バージョンである WSUS 3.0 のリリースが2007年上半期中(つまり SUS 1.0 のサポート終了前)に計画されているからです。
SUS 1.0 から WSUS 3.0 への直接の移行パスが提供されることはないでしょうし、Microsoft としては一旦 WSUS 2.0 にアップグレードした上で WSUS 3.0 への移行を検討するように推奨するでしょう。
しかし、それでも SUS 1.0 => WSUS 2.0 => WSUS 3.0 という段階を踏んだ移行(アップグレード)を行うよりも、現行の SUS をそのまま使い続けて WSUS 3.0 を別途新規に構築するという選択肢のほうが、結果として容易かつ安価に実施できるケースも出てくるかと思います。
もちろん特に問題が無いのであれば、今すぐにでも WSUS 2.0 に移行しておくほうが better です。
2006年08月16日
WSUS 3.0 β2 リリース [B. Microsoft] [WSUS]
8月14日付けで、WSUS (Windows Server Update Services) の次期バージョン、WSUS 3.0 Beta 2 プログラムが開始されました。お馴染み Microsoft Connect から申し込み・ダウンロード可能です。
【WSUS 3.0 Beta 2 Released!】
http://connect.microsoft.com/site/sitehome.aspx?SiteID=110
もうひとつ、WSUS Product Team Blog の記事も合わせてリンク張っておきます。
【Announcing the release of WSUS 3.0 beta 2 public beta】
http://blogs.technet.com/wsus/archive/2006/08/14/446775.aspx
WSUS は国内でも相当数のユーザーがいる Microsoft 無償製品で、さまざまな立場から関係してくる方も多いかと思います。現在 SUS もしくは WSUS を利用しており、今後もその流れを汲んだパッチ・マネジメント・システムを継続利用する意向がある方には、ぜひβ版からの参加をお奨めします。
というのも、ご存知のように初期製品である SUS は、今年 12月でサポートが終了します。
=> KB 905682: Microsoft Software Update Services 1.0 のサポート ライフサイクル
SUS/WSUSの場合、「サポート終了=新規パッチ入手不可=事実上システムの無力化」という構図になっているため、一般的な製品における“サポート終了”よりも遥かに意味が大きいのです。 現行のWSUS (2.0) に関しても遅かれ早かれサポート終了日が来ることになりますので、たとえ現行のWSUSで満足であっても次期製品の検討は必須です。
なお、WSUS 3.0 のリリース予定は 2007年1H との見方が有力です。つまり SUS ユーザーの場合は、(WSUS 3.0 リリース直後に導入・移行するとしても)確実にブランク期間が発生します。早急に WSUS (2.0) もしくは代替製品への移行を検討しましょう。
# 個人的な感覚では、SUS のサポート期間は再延長される可能性が高いとも思っていますが。。。
投稿者 Hawk : 01:13 | コメント (1) | トラックバック
2006年06月03日
WSUS SP1 (日本語版) 提供開始 [B. Microsoft] [WSUS]
昨日、WSUS SP1 (EN) の提供が開始されたと書きましたが、間を置くことなく日本語版の提供も始まりましたね。
【Microsoft(R) Windows Server Update Services Service Pack 1 を提供開始】
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=2701
タイムラグがないのは良いこと。時期を見計らって適用しましょう。
2006年06月02日
WSUS SP1 提供開始 [B. Microsoft] [WSUS]
6月1日付で、Windows Server Update Services Service Pack 1 (WSUS SP1) (EN) の提供が開始されました。
【Download Windows Server Update Services with Service Pack 1】
http://www.microsoft.com/windowsserversystem/updateservices/downloads/WSUSSP1.mspx
関連KB(919004: Description of Windows Server Update Services Service Pack 1) や、より詳細な情報が記述されたTechNet記事(Readme for WSUS Service Pack 1) も合わせて公開されています。
Service Pack 1 による主な特徴を箇条書きすると、
- 来たる Windows Vista への対応
- サポート対象言語の拡大(Windows & Office の出荷済み全言語をサポート)
- バックエンドDBのバージョンアップ: WMSDE SP3 ⇒ WMSDE SP4
- パフォーマンスの向上
- WSUS RTMにおける各種既知の問題(* (KB919004 を参照)の修正
- バックエンドDBとして、SQL Server 2005 をサポート対象に
急いで適用しなければいけないようなFIXや新機能はありませんが、遅くとも Windows Vista が出回り始める時期までにはアップグレードできるように準備を整えておきましょう。
2006年05月19日
[続] MOM関連書籍 [B. Microsoft] [MOM] [SMS] [WSUS]
4月25日に日本で購入可能なMOM関連書籍の一覧をリストにしてみたのですが、その続編。
5月末にいよいよ出版!と紹介していた "Professional Mom 2005, Sms 2003, And Wsus + Website Associated Workbook"(ISBN: 0764589636) ですが、いつの間にやらリリースされていました。
というわけで早速注文したところ、本日届いていました。
現在パラパラッと中を見ているところですが、(他の書籍と比較して)かなり構成が独特な印象。
おそらく、MOM/SMS/WSUS という3製品が、同一章内で込み合いながら説明されているためだと思います。ただし、読みにくさとかはないです。
コンテンツの方は、基本的に“深さ”はなく、“浅く広く淡々と”という感じ。なんせ3つの製品を400ページで収める構成になっているのだから、これは仕方がないところ。
機能説明やコンセプト説明もある程度記述されていますが、大半は利用手順書的なものになっています。それぞれの製品について、アーキテクチャを含めてしっかり学習したいという人にとっては少々物足りなさがあるかもしれません。
というわけで読者対象としては、「これら3製品いずれにも興味はあるが、どれも扱ったことがないか、ほとんど利用経験がない人々」になると思います。現状、他に MOM と SMS を同時に扱った書籍はありませんから、間違いなくお買い得感はあります。
一方いずれか1つの製品に関するスキルを身につけたい場合は、それ専用の書籍を選択することをお勧めします。
---
なお MOM関連書籍として、さらにもう1冊出版されることになったようです。
【Microsoft Operations Manager 2005 Field Guide】
出版社: APress, ISBN: 1590597095, (2006/11/01) *予約受付中
http://www.amazon.co.jp/exec/obidos/ASIN/1590597095/ref=wl_it_dp/249-2145684-6086711?%5Fencoding=UTF8&coliid=IEZPXKKH5ZK3M&colid=3LITHGZEPLROI
11月発売予定とまだ先の話ではありますが、myITforum.com の Andy Dominey と Garry Meaburn が著者というのがポイント。おそらく、他の書籍やWebではほとんど書かれていないような、裏技Tips を埋め込んだものになると期待しています。
2006年02月23日
WSUSにDPMカテゴリが追加 [B. Microsoft] [DPM] [System Center] [WSUS]
WSUS はさまざまなMicrosoft製品の更新プログラムを配布/管理する製品ですが、このたび昨年10月にリリースされたDPM(Microsoft System Center Data Protection Manager)も対象に含まれることになったようです。
【New Product Category in WSUS synch Options】
http://blogs.technet.com/wsus/archive/2006/02/21/420071.aspx
製品リリースから若干のタイムラグがあったことになりますが、この点も今後出てくる新製品に関しては徐々に短くなっていくものと期待しています。
2006年02月02日
WSUS Forums [B. Microsoft] [WSUS]
今年に入って、(お仕事のほうで)数多くのWSUS関連話を聞くようになりました。
今年12月でSUSのサポートが切れることに伴っての移行、なんかが表面化してきているようです。
# OSや他のアプリケーションと違って「サポート期間=利用可能期間」になりますから、比較的動き出しが早いですね。
とりあえず単純な移行に関しては、Webで公開されている「Software Update Services から Windows Server Update Services への移行のファースト ステップ ガイド」を見てくださいといって済ませてしまうことが多いんですが、WSUSに切り替えることに伴ってサーバーの集中化をしたいといった設計レベルのお話や、ちょこちょこ運用面でのトラブル対応のお話なんかも出てきているようで。
そういうときで、かつ即答できないような症状の場合は、最初にこちらで確認することが多いです。
【WSUS :: Windows Server Update Services】
http://www.wsus.info
このサイト内にあるフォーラム・ページを確認すれば、たいていの問題は既出だったりします。活発すぎて逆に見つけたい情報がなかなか見つからないなんていうこともあるんですが、SUSの情報も含めてディープなレベルの書き込みも多いですので、積極的に活用していきましょう。
なお、国内だとHotFix Report内のBBSが、比較的活発な意見交換の場となっていますね。
2005年12月16日
WSUS Product Team Blog [B. Microsoft] [WSUS]
前回書いたように、現在 SUS で問題が発生しています。
すでにKBも公開されているので対処は可能だと思いますが、こういった障害発生時に役立つのが、今のご時勢はやはりBlogだったりします。
というわけで、SUS ではないけど WSUS の開発チームBlogをご紹介。
# 今回の問題の件も、もちろんカバーされています。
【WSUS Product Team Blog】
http://blogs.technet.com/wsus/default.aspx
Blog そのものに記載の記事は、原則として As Is での提供になりますが、関連情報がまとまりを持ちつつ随時更新されていきますので、時間を争うようなときには大変貴重な存在になります。
2005年12月14日
SUS 1.0 で同期を取ると発生する問題 [B. Microsoft] [WSUS]
SUS (Software Update Services) で、あまりうれしくない大問題が発生しているようです。
# WSUSの場合は、無関係です。
【Previously approved software updates may be unapproved if you synchronize a server that is running SUS 1.0 with SP1 after December 12, 2005】
http://support.microsoft.com/kb/912307/en-us
要約すると、SUS 1.0 SP1 を利用している環境において、12月12日以降に Windows Update とSUSサーバー間の同期を行うと、これまで許可した更新プログラムの許可が解除されてしまうようです。
すでにKB上ではいくつかの"WORKAROUND"が掲載されているようですが、今後しばらくSUSを使っているいろいろな企業で混乱が発生する可能性があるでしょう。
しばらく落ち着くまでは、SUS の同期を控えるのもひとつの手かもしれません。
--
# 以下、12月16日 AM 0:30 追記
日本語のKBもリリースされたようです。
【2005 年 12 月 12 日 (米国日付) より後に、 SUS 1.0 SP1 Server を Windows Update と同期すると、以前に許可された更新プログラムが許可されなくなる場合がある】
http://support.microsoft.com/kb/912307/ja
ただし、英語版は現時点ですでに Revision が 2.0 になっているようですので、当面の間は最新情報を得るために英語版KBを参照することをお勧めします。
2005年11月27日
System Center Essentials [B. Microsoft] [MOM] [SMS] [System Center] [WSUS]
# SMS 2003 R2 ネタに続いて、こちらも Microsoft IT Forum @ バルセロナ より。
【MOM, WSUS, Windows management tools bundled for mid-market】
http://searchwin2000.techtarget.com/originalContent/0,289142,sid1_gci1145235,00.html?track=NL-118&ad=533750
"System Center Essentials" という言葉は、Microsoft フリークな方なら聞いたことがあると思いますが、その内容も明らかになってきたようです。
記事によると、この製品は「MOM + WSUS + レポート機能 (Reporting Manager のことか?)」をコンパクトにまとめて、より使い勝手を高めたものになるようです。
(私が当初聞いていたのは WSUS ではなく SMS の簡易版ということだったんですが、変わったんですかね?)
対象は、中規模程度で十分な数のIT管理者がいない企業のようです。
日本でも十分にマーケットはあると思うのでぜひリリースしていただければ、と思いますがどうでしょうかね。現時点ではリリース未定のようです。
--
# 追記
TechNet Flash の Biweekly IT Newsletter を見ていたら、SMS も WSUS も含まれるみたいなことが書いてありますね。う~ん、正解はどれ?
2005年11月09日
WSUS の導入と SUS からの移行 [B. Microsoft] [WSUS]
mstep 主催の「Windows Server Update Services(WSUS) の導入と Software Update Services(SUS) からの移行」という長いタイトルのセミナーを受講してきました。
mstep はご存知の方が大半かと思いますが、"Microsoft Training and Education for Partners" の略称で、MSKK が公式に提供している無償セミナー サービスのことです。ハイレベル(Microsoft的にいうところの Level 300 や Level 400)なセミナーは基本的にありませんが、いずれも マイクロソフト認定トレーナー (MCT) が講師となって行う、まとまりのあるセミナーが多いです。
# 「パートナー向け」となっていますが、たぶん登録すれば個人でも参加可能なはず。
さて、今回の「WSUS の導入と SUS からの移行」というセミナーですが、WSUSの概要に始まって、設計・導入の考慮点、導入・設定のデモ、SUSからWSUSへの移行方法ときて、最後におまけ的にSMSの紹介という流れでした。
WSUSの基本的な情報や考え方、および Webで公開されている「Software Update Services から Windows Server Update Services への移行のファースト ステップ ガイド」を全体的に分かりやすくまとめたという感じです。
一応このあたりの分野を"生業"としている私には、さすがに新規発見といえる内容はありませんでした(あったら恥ずかしい・・・)ので、個人的には他の受講者がどこに興味を持つのかに着目していました。
その結果、
- SUS から WSUS へのアップグレードはできない
# つまり、“移行”という手段で代替する必要がある - SUS は2006年12月で、更新プログラムの提供が終了する予定
- SUSから移行できるのは、「承認」と「更新ファイル」のみ
# SUSのトポロジーや同期スケジュールなどの設定情報は再設定が必要 - WSUS ではグルーピングをどのように実現するかがキーポイントとなる
ほどよい復習ができた一日でした。
2005年10月23日
Implementing WSUS with ISA Server 2004 to Manage Remote Clients [B. Microsoft] [WSUS]
ISA 2004 と WSUS を使って、モバイルクライアントを管理するための方法(手順)。
【Implementing WSUS with ISA Server 2004 to Manage Remote Clients】
http://www.microsoft.com/downloads/details.aspx?familyid=ab72eb03-09cf-4cfb-9af5-1a7dc9c80bc9&displaylang=en
時間に余裕があったら見ておこう。時間に余裕があったら…
2005年08月29日
SUS のサポート提供期間 [B. Microsoft] [WSUS]
SUS のサポート ライフサイクルに関する正式KBが、8月26日付けで出たようです。
サポート期間を半年間延長して、2006年12月6日までですか。
【Microsoft Software Update Services 1.0 のサポート ライフサイクル】
http://support.microsoft.com/kb/905682/
先月末に出ていた「サポートは2006年6月6日まで!」 という記事を見ていて、さすがにそれは早すぎだろうとビックリしていたので、今回の延長は当然のことかなと感じています。
むしろ、個人的にはあと1-2回は「さらにサポート期間を延長します」というアナウンスが出てくるのではないかと推測しています。SUSって結構いろいろなところで使われていますからね。それをあと1年ちょっとで撤廃しろというのは少々強引ではないでしょうか。
2005年08月11日
WSUS の API [B. Microsoft] [Tech・Ed 他] [WSUS]
Tech・Edで参加できなかったセッションの資料をじっくり読み返してみました。
【T5-378 Windows Server Update Services の API を利用した機能拡張の開発手法 】 公式
一番興味を引いたのが、最終日最終時間に行われた、このWSUSのセッション資料でした。
私自身のスキルを見ると完全にWindowsインフラに傾倒しており、これまでは"APIを使って云々"という話が出るだけで、だれかにスルーパスを送っていました。
が、今日改めて WSUSのAPI Reference をじっくり見てみたところ、いやいや実は結構面白いことができるんだなと実感。
「Microsoftのサーバー製品は、開発不要で実現できるからこそ美しい」なんて勝手に思っていましたが、要件や環境によっては必ずしもそうではないですね。
もちろん、開発/カスタマイズなしで、できる限り要件を満たすべきであるという考えには変化ありませんが。
せっかくなので、少しだけ関連情報。
http://www.microsoft.com/windowsserversystem/updateservices/default.mspx
http://www.microsoft.com/japan/windowsserversystem/updateservices/default.mspx
WSUSの本家サイト。上が英語で、下が日本語。
Windows Server Update Services API Samples and Tools
WSUSのAPIを使ったサンプル・スクリプトなど(EXE形式)。
ここからたどって、ダウンロードすることが可能です。なお、Read Meもあり。
Windows Server Update Services Wiki
WSUSを取り扱った Wiki.
適宜覚書 - WSUSのAPI
むぅ、2ヶ月も前にWSUSのAPIについて分かりやすく語っている人がいた…
投稿者 Hawk : 23:59 |