Configuration Managerでのソフトウェア更新プログラムのベスト プラクティス
Configuration Manager (現在のブランチ) に適用
この記事には、Configuration Managerのソフトウェア更新プログラムのベスト プラクティスが含まれています。 この情報は、初期インストールと進行中の操作のベスト プラクティスに分類されます。
インストールのベスト プラクティス
Configuration Managerにソフトウェア更新プログラムをインストールする場合は、次のベスト プラクティスを使用します。
ソフトウェアの更新ポイントに共有 WSUS データベースを使用する
プライマリ サイトに複数のソフトウェア更新ポイントをインストールする場合は、同じ Active Directory フォレスト内のソフトウェア更新ポイントごとに同じ WSUS データベースを使用します。 同じデータベースを共有すると、クライアントが新しいソフトウェアの更新ポイントに切り替わるときに発生する可能性があるクライアントとネットワーク パフォーマンスへの影響が大幅に軽減されますが、完全には排除されません。 差分スキャンは、クライアントが古いソフトウェアの更新ポイントとデータベースを共有する新しいソフトウェアの更新ポイントに切り替えても発生しますが、スキャンは WSUS サーバーに独自のデータベースがある場合よりもはるかに小さくなります。 ソフトウェアの更新ポイントの切り替えの詳細については、「 ソフトウェアの更新ポイントの切り替え」を参照してください。
重要
また、ソフトウェアの更新ポイントに共有 WSUS データベースを使用する場合は、ローカル WSUS コンテンツ フォルダーも共有します。
WSUS データベースの共有の詳細については、次のブログ投稿を参照してください。
Configuration Managerと WSUS が同じSQL Serverを使用する場合は、名前付きインスタンスを使用するように構成し、もう 1 つは既定のインスタンスを使用するように構成します
Configuration Managerデータベースと WSUS データベースがSQL Serverの同じインスタンスを共有している場合、2 つのアプリケーション間のリソース使用量を簡単に判断することはできません。 Configuration Managerと WSUS には、さまざまなSQL Server インスタンスを使用します。 この構成により、アプリケーションごとに発生する可能性があるリソースの使用状況の問題のトラブルシューティングと診断が容易になります。
[更新プログラムをローカルに保存する] 設定を指定する
WSUS をインストールするときに、[ 更新プログラムをローカルに保存する] の設定を選択します。 この設定により、WSUS はソフトウェア更新プログラムに関連付けられているライセンス条項をダウンロードします。 同期プロセス中に用語がダウンロードされ、WSUS サーバーのローカル ハード ドライブに保存されます。 この設定を選択しない場合、クライアント コンピューターは、ライセンス条項を持つソフトウェア更新プログラムのコンプライアンス スキャンに失敗する可能性があります。 ソフトウェア更新ポイントの WSUS 同期マネージャー コンポーネントは、この設定が既定で 60 分ごとに有効になっていることを確認します。
TLS/SSL を使用するようにソフトウェアの更新ポイントを構成する
WINDOWS SERVER UPDATE SERVICES (WSUS) サーバーとそれに対応するソフトウェアの更新ポイントを TLS/SSL を使用するように構成すると、攻撃者がクライアントをリモートで侵害し、特権を昇格する能力が低下する可能性があります。 最適なセキュリティ プロトコルを確実に導入するには、TLS/SSL プロトコルを使用してソフトウェア更新プログラム インフラストラクチャを保護することを強くお勧めします。 詳細については、「 PKI 証明書で TLS/SSL を使用するようにソフトウェア更新ポイントを構成する」チュートリアルを参照してください。
運用のベスト プラクティス
ソフトウェア更新プログラムを使用する場合は、次のベスト プラクティスを使用します。
1 つのソフトウェア更新プログラムの展開でソフトウェア更新プログラムを 1000 に制限する
ソフトウェア更新プログラムの展開ごとに、ソフトウェア更新プログラムの数を 1000 に制限します。 自動展開規則を作成するときに、指定した条件で 1,000 を超えるソフトウェア更新プログラムが発生しないことを確認します。 ソフトウェア更新プログラムを手動で展開する場合は、1,000 を超える更新プログラムを選択しないでください。
ADR が "パッチ 火曜日" と一般的な展開用に実行されるたびに、新しいソフトウェア更新プログラム グループを作成します
展開には 1,000 個のソフトウェア更新プログラムの制限があります。 自動展開規則 (ADR) を作成する場合は、ルールを実行するたびに、既存の更新グループを使用するか、新しい更新グループを作成するかを指定します。 複数のソフトウェア更新プログラムが発生する条件を ADR で指定し、ルールが定期的なスケジュールで実行される場合は、ルールが実行されるたびに新しいソフトウェア更新グループを作成します。 この動作により、展開ごとに 1,000 個のソフトウェア更新プログラムの制限を超えないようにします。
Endpoint Protection 定義の更新に ADR に既存のソフトウェア更新プログラム グループを使用する
ADR を使用して Endpoint Protection 定義の更新プログラムを頻繁に展開する場合は、常に既存のソフトウェア更新プログラム グループを使用します。 そうしないと、ADR によって時間の経過に伴って何百ものソフトウェア更新グループが作成される可能性があります。 定義更新プログラムの発行元は、通常、4 つの新しい更新プログラムに置き換えられたときに、定義の更新プログラムを期限切れに設定します。 したがって、ADR によって作成されたソフトウェア更新プログラム グループには、パブリッシャーの定義更新プログラムが 4 つ以上含まれることはありません。1 つはアクティブで、3 つは置き換えられます。