WSUSとPOLESTAR Automationの
Windowsアップデート機能を比較してみた
1.はじめに
Windowsアップデートはどの組織でも悩みのタネです。
対象がクライアントの場合はいかに早く、すべてのPCに必要な更新プログラムを適用するかという運用での観点での課題に対し、サーバーの場合は様々な制限下での実施になるため、如何に効率化できるかという観点で、その手法が課題です。
ここでは、サーバーのWindowsアップデートについて、WSUS(Windows Server Update Services)とPOLESTAR AutomationのWindowsアップデート機能を比較してみたいと思います。
WSUSとPOLESTAR Automationが持つ2つのWindowsアップデートを可能にする機能、「Windowsアップデートジョブ」と「ファイル配布ジョブ」について、文末に表1としてまとめてみました。
2.サーバーへの更新プログラムの適用
運用管理者の皆様は、サーバーへの更新プログラムの適用を「どうしたら効率化できるか」、「いかに安全にシステムを維持できるか」、いろいろ検討されています。しかし、「結局リスクを考慮すると、手動アップデートを続けざるを得なかった」という話をよく伺います。
サーバーへの更新プログラム適用の場合、CPUへの負荷増でのスローダウンへの考慮や、OSの再起動を考慮すると、「稼働しているアプリケーションを一旦停止する」、「事前にバックアップを取っておく」、「更新プログラム適用後アプリケーションを再起動する」などの適用前後の作業が必要になります。
このため、手作業において「深夜に2人組みで粛々とWindowsアップデート作業を行っている」という話や、「一旦更新が終わっても再度更新プログラムのチェックボタンを押したら、未適用の更新プログラムまだ残っていてがっかりした」といった、苦労話のエピソードに事欠きません。
サーバーへのWindowsアップデートの場合、単純に更新プログラムの適用だけではなく、稼働しているアプリケーションの停止、バックアップ取得、アプリケーションの再起動といった一連の作業も含めて自動化できることが必要になります。
3.WSUS
Microsoft社のWSUSは、Windows OSのアップデート作業や管理を効率化するツールとして多くの組織で利用されています。1995年にV2としてリリースされ、最新版は2016年の9月にリリースされたV10です。
WSUSを利用するためには、Active Directoryの使用とWSUSサーバーの設置が必要になります。
WSUSは、主にクライアントへの更新プログラムの適用制御に利用されていますが、サーバーへの利用は少ないように思います。
その理由は、前述の更新プログラム適用前後の作業が必要になるからでしょう。
4.POLESTAR AutomationのWindowsアップデート機能
ITインフラ運用自動化ツールのPOLESTAR Automationは構成管理とジョブスケジューラの機能を持ち、Windowsアップデートを可能にする機能も含まれます。
POLESTAR Automationの導入にあたっては、マネージャサーバーとDBサーバーのインストールが必要ですが、WSUS同様簡単に導入できるインストーラが用意されています。また、Linux, WindowsどちらのOSにも対応しています。
Windowsアップデートを可能とする機能は2つあります。1つはWSUSライクな「Windows Updateジョブ」。もう1つはファイルを送り込むだけでなく前後の作業も自動化できる「ファイル配布ジョブ」です。
まず、「Windows Updateジョブ」は、WSUS同様インターネット経由Microsoft Updateサーバーに接続して、更新プログラムの情報(メタデータ)を同期することができ、管理対象サーバーにおける更新プログラムの適用状況の差分を管理できます。また、自動適用する更新プログラムカテゴリの選択や、適用スケジュールの設定も可能です。基本的にWSUSで行えることはすべて可能です。
「Windows Updateジョブ」の場合、管理対象サーバーへのエージェントの導入が必要になります。
しかし、POLESTAR Automationの場合は、この「Windows Updateジョブ」と「スクリプトジョブ」など複数のジョブを組み合わせて作業を実行させることができるため、更新プログラムの適用だけでなく、前後の処理も含めて自動化ができます。
次に、「ファイル配布ジョブ」を利用したWindowsアップデートです。
「ファイル配布ジョブ」は、主に閉域網でのWindowsアップデートに利用します。
「ファイル配布ジョブ」では、Microsoft Updateサーバーから自動的に更新プログラムの情報を収集することはできませんし、更新プログラム自体のダウンロードも行いません。
事前にダウンロードしておいた更新プログラムの配布と、その前後で行う作業の自動化が行なえます。
「ファイル配布ジョブ」は、インターネットにつながっていない閉域網にある管理対象サーバーへのさまざまな更新プログラムの適用が可能になります。また、Windows以外にLinuxのパッケージや、アプリケーション、ミドルウェアへのパッチ適用にも利用できます。
「ファイル配布ジョブ」は、エージェントの導入が必須ではなく、エージェントレスでも利用可能です。
5.何が違うか、どう使うか
WSUSがOSにバンドルされているのに対して、POLESTAR Automationは商用ソフトウェアなので単純に比較することは難しいですが、機能や使い方の観点でどのように利用したほうが良いかまとめてみました。
クライアントのように、常時ネットワークに接続しているわけではなく、また数が多い場合にはWSUSのように更新プログラムの適用開始期限を設定し、順次適用させていく方法が望ましいでしょう。
しかし、サーバーのように常時稼働しており、更新プログラムの適用に合わせての停止/起動や、バックアップの取得/適用のような前後の作業が必要な場合は、WSUSだけでは対応が難しくなります。
このため、次のような実際の運用管理者の作業を軽減できる機能を考慮する必要があるでしょう。
更新プログラムの適用スケジュール(時刻)の設定
更新プログラム適用前後の作業自動化
クラウド、オンプレのハイブリッドな環境におけるWindowsアップデートの一元管理
閉域網での更新プログラム適用
適用状況のレポーティング
また、WindowsだけでなくLinuxやUnix、各種アプリケーションやミドルウェアへの脆弱性対策のパッチ適用も頻度が増えており、このような作業の自動化も考慮する必要があるでしょう。
結果として、クライアントへのWindowsアップデートはWSUS、サーバーの場合は、汎用性があり更新プログラム適用前後の作業が自動化できるPOLESTAR Automationがおすすめです。
6.POLESTAR Automationで自動化を図る
POLESTAR Automationは、ほとんどの作業をマウスだけで設定が可能なITインフラ運用自動化ツールです。自動化ジョブを作成できる目的別ウィザードを9種類用意しているため、画面に沿って設定していけば簡単にジョブが作成できてしまいます。
また、1,100種類を超えるサンプルジョブを無償でご提供しており、すぐに自動化が始められます。
さらに、サーバー用の年間サブスクリプションが\12,000/ノード(税別、購入単位10ノード、初年度のみ2年契約)、「Windowsアップデートジョブ」はオプションで\2,520/ノード(税別、購入単位10ノード、初年度のみ2年契約)でお手軽な価格(参考価格)でご利用いただけます。
180日間ご利用いただける評価版(評価版ダウンロード)もご用意しているため、是非お試しください。
表1 WSUSとPOLESTAR Automation のWindowsアップデート機能の比較
| 製品名 | WSUS(Windows Server Update Services) | POLESTAR AutomationのWindowsアップデート | |
|---|---|---|---|
| Windowsアップデートジョブ | ファイル配布ジョブ | ||
| 最新Ver | WSUS 10 2016/9 リリース |
POLESTAR Automation V3.3 2023/1 リリース |
|
| 前提条件 | Active Directoryの使用 WSUSサーバーの設置 |
POLESTAR Automationの設置 | |
| 管理GUI | 管理コンソール | Webブラウザ | |
| エージェント | 不要-OS内蔵のWindows Updateエージェント(WUA)APIを使用 | 必要-エージェントが必要 | 不要-エージェント、エージェントレスの選択が可能 |
| グループ単位での更新 | 〇 | 〇 | 〇 |
| インターネットへの接続必要性 | 必要-Microsoft Updateサーバーへの接続が必要 | 必要-Microsoft Updateサーバーへの接続が必要 ※社内のWSUSサーバーへの接続でも代替可 |
不要(利用せず) |
| 閉域網での更新プログラム適用 | ☓自動化はできない | ☓自動化はできない ※ただし、インターネットに接続されたWSUSサーバーから、閉域網にある |
○自動化が可能 |
| 更新プログラムダウンロードのしくみ | 定期的または手動でMicrosoft UpdateサーバーとWSUSサーバー間で更新プログラムの情報(メタデータ)を同期する 設定したある製品と対象分類(クラス)に該当する更新プログラムを、Microsoft UpdateサーバーからWSUSサーバーにダウンロードし保管する ※ダウンロードのタイミングは指定できない |
定期的にMicrosoft Updateサーバーの更新プログラムの情報(メタデータ)を収集し、管理対象サーバーの適用状況との差分をダッシュボード上に表示 更新プログラムをPOLESTAR内に保管するのではなく、エージェントから各サーバーのWUA APIをキックしてサーバー毎に更新プログラムダウンロードする |
更新プログラムの情報(メタデータ)は取得しない 更新プログラムも必要なものを管理者がダウンロードしてライブラリに配置しておく |
| 更新プログラムを管理対象サーバーに適用するしくみ | 更新プログラムを管理対象サーバーに適用するか否か、期限(インストール期日)を指定する事が可能 更新プログラムのカテゴリによる自動導入の設定が可能 適用可能な更新プログラムから、承認されたものだけを管理対象サーバーにダウンロードする 適用が完了すると、管理対象サーバーは適用ステータスをWSUSサーバーに報告する 実際にはWSUSサーバーに蓄積された更新プログラムを、管理対象サーバーから能動的に取得しに来る「プル」方式を採用 |
POLESTARの管理者は、同期されたメタデータを元に更新プログラムを管理対象サーバーに配布するか否かを設定 各管理対象サーバーは、Windowsアップデートジョブの指示に基づき、Microsoft Updateサーバーから更新プログラムを直接ダウンロードし、適用を行う(WSUSと同様「プル」方式を採用) ※一度に実行するスレッド数を制限することが可能 適用が完了すると、エージェントがPOLESTARに結果を報告する |
各管理対象サーバーのPOESTARのライブラリに更新プログラムを配置 設定されたスケジュールに基づき、更新プログラムを各管理対象サーバーに配布、配布前後の作業もスクリプト化することで自動化が可能 エージェント利用時・各管理対象サーバーのエージェントからPOLESTARの更新プログラムをプルで取り込む エージェントレス利用時・POLESTARから各管理対象サーバーに更新プログラムを送信する |
| アップデートの設定 | 更新プログラムのクラスおよびグループ別に更新プログラムの自動承認を設定できる ※ホスト毎、更新プログラム毎の細かな設定は難しい |
自動更新設定 ① 重要な更新:更新項目のタイプがImportant 項目を対象に実行 自動実行設定内容・サービスパックを対象外に ・.Net Frameworkを対象外に ・セキュリティ項目更新のみ対象に ② すべて更新:すべての更新項目を対象に実行 ③ 更新項目指定:すべての更新項目に対して選択した更新項目のみを対象に ※個別のホストを設定除外することも可能 |
適用タイミングの設定が可能 |
| 通知 | メール通知機能で、WSUSからインフラ管理者に新規パッチの同期メッセージを送付 |
目的別ジョブ作成ウィザード中に通知設定があり、メール、Rest(Slack、Line、Teamsなど)への通知が可能 (成功/失敗/エラー時) |
|
| レポーティング | Microsoft Report Viewerを利用 作成したレポートは Microsoft Excelのブック型式やPortable Document Format型式のファイルに出力可能 |
標準レポーティング機能で提供されるテンプレートを利用したレポート出力 出力はExcel、Word、PDF、その他各種イメージファイルに出力可能 |
|
| 特記事項 | WSUS単体で運用 更新プログラムの適用開始期限を設定し、順次適用 |
更新プログラムの適用スケジュール(時刻)の設定が可能 POLESTARの各種ジョブと組み合わせて更新プログラム適用前後の作業自動化が可能 クラウド、オンプレのハイブリッドな環境におけるWindowsの一元管理が可能 |
|
