Configuration Manager でのソフトウェア更新プログラムの計画
適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1
System Center 2012 Configuration Manager 実稼働環境にソフトウェア更新プログラムを実装する前に、最初にこの実装の計画を立てる必要があります。 このトピックの以下のセクションを参照して、Configuration Manager 階層内のソフトウェア更新プログラムに関する計画を立てます。
ソフトウェアの更新ポイントの容量計画
ソフトウェアの更新ポイントのインフラストラクチャを決定する
Configuration Manager のソフトウェアの更新ポイント
ソフトウェアの更新ポイントの一覧
ソフトウェアの更新ポイントの切り替え
信頼されていないフォレストにあるソフトウェアの更新ポイント
最上位のサイトで同期ソースとして既存の WSUS サーバーを使用する
NLB の使用が構成されたソフトウェアの更新ポイント
セカンダリ サイト上のソフトウェアの更新ポイント
サービス パックが適用されていない Configuration Manager のソフトウェアの更新ポイント
アクティブなソフトウェアの更新ポイント
インターネット ベースのソフトウェアの更新ポイント
NLB の使用が構成されたアクティブなソフトウェアの更新ポイント
セカンダリ サイト上のソフトウェアの更新ポイント
Configuration Manager (サービス パックなし) から Configuration Manager SP1 へのアップグレード
ソフトウェアの更新ポイントのインストールの計画
ソフトウェアの更新ポイントの要件
WSUS インストールの計画
ファイアウォールの構成
同期設定の計画
同期ソース
同期スケジュール
更新プログラムの分類
製品
置き換え規則
言語
ソフトウェア更新プログラムに関連する設定の計画
ソフトウェア更新プログラムのクライアント設定
クライアントのキャッシュ設定
ソフトウェア更新プログラムのグループ ポリシー設定
ソフトウェア更新プログラムのメンテナンス期間の計画
ソフトウェア更新プログラムの容量計画に関する推奨事項
組織に適したソフトウェア更新プログラムの容量計画に必要な情報を特定する基準として、次の推奨事項を使用できます。 実際の容量要件は、個々のネットワーク環境、ソフトウェアの更新ポイント サイト システムのホストに使用するハードウェア、インストールされるクライアントの数、およびサーバーにインストールされるサイト システムの役割といった条件によって、このトピックに記載されている推奨事項とは異なる場合があります。
ソフトウェアの更新ポイントの容量計画
サポートされるクライアントの数は、ソフトウェアの更新ポイントで実行されている Windows Server Update Services (WSUS) のバージョンと、ソフトウェアの更新ポイント サイト システムの役割がその他のサイト システムの役割と共存しているかどうかによって決まります。
WSUS 3.0 Service Pack 2 (SP2) がソフトウェア更新ポイント コンピューター上で実行されていて、ソフトウェアの更新ポイントがその他のサイト システムの役割と共存している場合、ソフトウェアの更新ポイントは、最大で 25,000 クライアントをサポートできます1。
WSUS 3.0 SP2 がソフトウェアの更新ポイント コンピューター上で実行されていて、ソフトウェアの更新ポイントがその他のサイト システムの役割と共存していない場合、ソフトウェアの更新ポイントは、最大で 100,000 クライアントをサポートできます2。
1 25,000 を超えるクライアントをサポートするには、ネットワーク負荷分散 (NLB) を使用するように管理ポイント サイト システムを構成できます。
2 最大 100,000 クライアントをサポートするには、ソフトウェアの更新ポイントが、WSUS の要件を満たしている必要があります。 詳細については、「WSUS 容量要件の決定」を参照してください。
ソフトウェア更新オブジェクトの容量計画
次の容量情報を参照して、ソフトウェア更新オブジェクトの計画を立てます。
展開内のソフトウェア更新プログラムの数を 1000 以下にする
ソフトウェア更新プログラムの展開ごとのソフトウェア更新プログラムの数を 1000 以下にする必要があります。 自動展開規則を作成する場合、返されるソフトウェア更新プログラムの数を制限する条件を指定します。 指定した条件で 1,000 を超えるソフトウェア更新プログラムが返されると、自動展開規則は失敗します。 自動展開規則の状態は、Configuration Manager コンソールの [自動展開規則] ノードから確認できます。 ソフトウェア更新プログラムを手動で展開する場合は、1000 を超える更新プログラムを展開対象として選択しないでください。
ソフトウェアの更新ポイントのインフラストラクチャを決定する
中央管理サイトおよびすべての子プライマリ サイトには、ソフトウェア更新プログラムを展開するソフトウェアの更新ポイントが必要です。 ソフトウェアの更新ポイントのインフラストラクチャについて計画を立てる際には、サイトのソフトウェアの更新ポイントをどこにインストールするか、どのサイトにインターネット ベースのクライアントからの通信を受け入れるソフトウェアの更新ポイントが必要か、ソフトウェアの更新ポイントを NLB クラスターとして構成するかどうか、セカンダリ サイトにソフトウェアの更新ポイントが必要かどうかといった依存関係を判断する必要があります。 以下のセクションを参照して、ソフトウェアの更新ポイントのインフラストラクチャを決定します。
.jpeg "System_CAPS_important") 重要 |
|---|
ソフトウェア更新プログラムに必要な内部の依存関係と外部依存の関係の詳細については、「Configuration Manager でのソフトウェア更新の前提条件」を参照してください。 |
Configuration Manager のソフトウェアの更新ポイント
| 重要 |
|---|
このセクションの情報は Configuration Manager SP1 と System Center 2012 R2 Configuration Manager にのみ適用されます。 |
Configuration Manager SP1 以降、1 つの Configuration Manager プライマリ サイトに、複数のソフトウェアの更新ポイントを追加できます。 1 つのサイトに複数のソフトウェアの更新ポイントを追加できるため、複雑な NLB を使用しなくてもフォールト トレランスを確保できます。 ただし、複数のソフトウェアの更新ポイントによるフェールオーバーは、純粋な負荷分散という点では NLB ほど強固ではなく、フォールト トレランスを目的として設計されています。 また、ソフトウェアの更新ポイントのフェールオーバー設計は、管理ポイントの設計で使用される純粋なランダム化モデルとは異なります。 管理ポイントの設計とは異なり、ソフトウェアの更新ポイントでは、新しいソフトウェアの更新ポイントへの切り替えに関するクライアントとネットワークのパフォーマンス コストが存在します。 クライアントがソフトウェア更新プログラムのスキャンのために新しい WSUS サーバーに切り替えると、結果として、カタログのサイズと、関連するクライアント側およびネットワークのパフォーマンス要求が増大します。 そのため、クライアントは、正常にスキャンした最後のソフトウェアの更新ポイントとのアフィニティを維持します。
プライマリ サイトにインストールする最初のソフトウェアの更新ポイントは、プライマリ サイトに追加するすべての追加ソフトウェアの更新ポイントの同期ソースになります。 ソフトウェアの更新ポイントを追加し、ソフトウェア更新プログラムの同期を開始した後で、[監視] ワークスペースの [ソフトウェアの更新ポイントの同期ステータス] ノードから、ソフトウェアの更新ポイントのステータスと同期ソースを確認できます。
ソフトウェアの更新ポイントでエラーが発生し、そのソフトウェアの更新ポイントが、サイトのその他のソフトウェアの更新ポイントの同期ソースとして構成されている場合、エラーが発生したソフトウェアの更新ポイントを手動で削除し、同期ソースとして使用する新しいソフトウェアの更新ポイントを選択する必要があります。 ソフトウェアの更新ポイントを削除する方法の詳細については、「ソフトウェアの更新の構成」トピックの「ソフトウェアの更新ポイント サイト システムの役割を削除する」セクションをご覧ください。
ソフトウェアの更新ポイントの一覧
新しいクライアントがソフトウェア更新プログラムを有効にするポリシーを受け取る場合や、クライアントが割り当てられたソフトウェアの更新ポイントに接続できず、別のソフトウェアの更新ポイントに切り替える必要がある場合に、Configuration Manager はソフトウェアの更新ポイントの一覧をクライアントに提供します。 クライアントは、一覧からランダムにソフトウェアの更新ポイントを選択し、同一のフォレストにあるソフトウェアの更新ポイントを優先します。Configuration Manager は、クライアントの種類に応じて、異なる一覧をクライアントに提供します。
イントラネット ベースのクライアント:イントラネットからの接続のみを受け入れるように構成できるソフトウェアの更新ポイントの一覧、または、インターネットとイントラネットのクライアントの接続を受け入れるソフトウェアの更新ポイントの一覧を受け取ります。
インターネット ベースのクライアント:インターネットからの接続のみを受け入れるように構成できるソフトウェアの更新ポイントの一覧、または、インターネットとイントラネットのクライアントの接続を受け入れるソフトウェアの更新ポイントの一覧を受け取ります。
ソフトウェアの更新ポイントの切り替え
1 つのサイトに複数のソフトウェアの更新ポイントがあり、1 つでエラーが発生するか、使用不可になった場合、クライアントは、別のソフトウェアの更新ポイントに接続し、最新のソフトウェア更新プログラムのスキャンを継続します。 クライアントに最初にソフトウェアの更新ポイントが割り当てられると、そのソフトウェアの更新ポイントでソフトウェア更新プログラムのスキャンが失敗しない限り、割り当てが維持されます。
[!メモ]
サービス パックが適用されていない Configuration Manager にアクティブなソフトウェアの更新ポイント (SUP01) がある場合、サイトを Configuration Manager SP1 にアップグレードし、2 番目のソフトウェアの更新ポイント (SUP02) を追加します。 結果として、既存のクライアントは、スキャンが失敗した状況でのみ、SUP02 に切り替えます。 サイトを Configuration Manager SP1 にアップグレードした後、すべての新しいクライアントは、ランダムに SUP01 または SUP02 に割り当てられます。
ソフトウェア更新プログラムのスキャンは、失敗して、さまざまな再試行および再試行なしのエラー コードが返されることがあります。 スキャンが失敗して、再試行エラー コードが返された場合、クライアントは、ソフトウェアの更新ポイントでソフトウェア更新プログラムをスキャンする再試行処理を開始します。 再試行エラー コードが返される状況の一般的な原因は、WSUS サーバーが利用できないか、一時的に過負荷状態になっていることです。 ソフトウェア更新プログラムのスキャンに失敗した場合、クライアントは次の処理を行います。
クライアントは、スケジュールされた時刻、または、クライアントのコントロール パネルか、SDK を使用して開始された場合、ソフトウェア更新プログラムをスキャンします。 スキャンが失敗した場合、クライアントは、30 分間スキャンの再試行を待機し、同じソフトウェアの更新ポイントを使用します。
クライアントは、30 分間隔で最小 4 回再試行します。 4 回目が失敗した場合、クライアントはさらに 2 分間待機して、ソフトウェアの更新ポイントの一覧にある次のソフトウェアの更新ポイントに移動します。
スキャンが成功すると、クライアントはそのソフトウェアの更新ポイントへの接続を継続します。
ソフトウェアの更新ポイントの再試行と切り替えのシナリオで考慮できる追加情報を、次の一覧に示します。
クライアントが企業イントラネットから切断され、ソフトウェア更新プログラムのスキャンが失敗した場合、別のソフトウェアの更新ポイントに切り替えられない。 これは想定済みのエラーです。クライアントが、企業ネットワーク、または、イントラネットからの接続を受け入れるソフトウェアの更新ポイントに到達できないためです。Configuration Manager クライアントは、イントラネットのソフトウェアの更新ポイントが利用できるかどうかを特定します。
インターネット ベースのクライアント管理が有効で、インターネット上のクライアントからの通信を受け入れるように構成されているソフトウェアの更新ポイントが複数ある場合、切り替え処理は前のシナリオで説明した標準の再試行処理に従う。
スキャン処理が開始されたが、スキャンが完了する前にクライアントの電源がオフになった場合、スキャンの失敗とされず、4 回の再試行の 1 回としてカウントされない。
信頼されていないフォレストにあるソフトウェアの更新ポイント
信頼されないフォレストのクライアントをサポートする、1 つまたは複数のソフトウェアの更新ポイントをサイトに作成できます。 別のフォレストにソフトウェアの更新ポイントを追加するには、最初にフォレストに WSUS サーバーをインストールして構成する必要があります。 次に、ウィザードを開始して、ソフトウェアの更新ポイント サイト システムの役割を持つ Configuration Manager サイト サーバーに追加します。 ウィザードで、信頼されないフォレストの WSUS に正常に接続するには、次の設定を構成します。
フォレストの WSUS サーバーにアクセスできる、サイト システムのインストール アカウントを指定します。
WSUS サーバーへの接続に使用する WSUS サーバー接続アカウントを指定します。
たとえば、2 つのソフトウェアの更新ポイント (SUP01 および SUP02) があるフォレスト A に、プライマリ サイトがあるとします。 また、同一のプライマリ サイトに対して、フォレスト B に 2 つのソフトウェアの更新ポイント (SUP03 および SUP04) があるとします。この例で切り替えが発生した場合、クライアントと同じフォレストにあるソフトウェアの更新ポイントが最初に優先されます。
最上位のサイトで同期ソースとして既存の WSUS サーバーを使用する
通常、階層内の最上位のサイトは、Microsoft Update とソフトウェア更新プログラムのメタデータを同期するように構成されています。 企業のセキュリティ ポリシーで、最上位サイトからインターネットへのアクセスが許可されていない場合、最上位サイトの同期ソースで、Configuration Manager 階層にない既存の WSUS サーバーを使用するように構成できます。 たとえば、インターネットにアクセスできる 境界ネットワーク に WSUS サーバーがインストールされていて、最上位サイトにはないとします。 この 境界ネットワーク の WSUS サーバーを、ソフトウェア更新プログラムのメタデータの同期ソースとして構成できます。 境界ネットワーク の WSUS サーバーが、Configuration Manager 階層で必要な条件を満たすソフトウェア更新プログラムを同期するようにします。 そうしないと、最上位サイトが必要なソフトウェア更新プログラムを同期できないことがあります。 ソフトウェアの更新ポイントをインストールする場合、境界ネットワーク の WSUS サーバーにアクセスする権限を持つ WSUS 接続アカウントを構成し、ファイアウォールで適切なポートのトラフィックを許可します。 ソフトウェアの更新ポイントから同期ソースへの接続に使用されるポートの詳細については、「Configuration Manager で使用されるポートのテクニカル リファレンス」トピックの「ソフトウェアの更新ポイント -- > 上流の WSUS サーバー」セクションを参照してください。
NLB の使用が構成されたソフトウェアの更新ポイント
Configuration Manager SP1 以降、ソフトウェアの更新ポイントの切り替えによって、一般的なフォールト トレランスのニーズに対応できます。 ただし、NLB は、純粋な負荷分散という点で、ソフトウェアの更新ポイントによるフェールオーバーよりも堅固です。また、NLB によって、ネットワークの信頼性とパフォーマンスが向上します。Configuration Manager コンソールには、ソフトウェアの更新ポイントで NLB を使用するように構成するオプションはありませんが、Set-CMSoftwareUpdatePoint PowerShell コマンドレットを使用して、NLB を構成できます。 Set-CMSoftwareUpdatePoint PowerShell コマンドレットに関する詳細については、System Center 2012 Configuration Manager SP1 コマンドレット リファレンスの「Set-CMSoftwareUpdatePoint」トピックを参照してください。
[!メモ]
サービス パックが適用されていない Configuration Manager から Configuration Manager SP1 にアップグレードする前に、アクティブなソフトウェアの更新ポイントから NLB を削除する必要があります。 アップグレードが完了した後で、Windows PowerShell を使用して、NLB を再構成することもできます。
セカンダリ サイト上のソフトウェアの更新ポイント
セカンダリ サイトについては、ソフトウェアの更新ポイントを使用するかどうかは任意です。 セカンダリ サイトにソフトウェアの更新ポイントをインストールすると、WSUS データベースが、親プライマリ サイトの既定のソフトウェアの更新ポイントのレプリカとして構成されます。 セカンダリ サイトにインストールできるソフトウェアの更新ポイントは 1 つだけです。 セカンダリ サイトに割り当てられているデバイスは、セカンダリ サイトにソフトウェアの更新ポイントがインストールされていない場合、親サイトのソフトウェアの更新ポイントを使用するように構成されます。 通常は、セカンダリ サイトに割り当てられているデバイスと親プライマリ サイトのソフトウェアの更新ポイント間のネットワーク帯域幅が限られている場合や、ソフトウェアの更新ポイントが容量制限に近づいている場合に、ソフトウェアの更新ポイントをセカンダリ サイトにインストールします。 セカンダリ サイトにソフトウェアの更新ポイントが正常にインストールされて構成されると、そのセカンダリ サイトに割り当てられているクライアント コンピューターに対してサイト全体のポリシーが更新され、新しいソフトウェアの更新ポイントの使用が開始されます。
サービス パックが適用されていない Configuration Manager のソフトウェアの更新ポイント
| 重要 |
|---|
このトピックの情報は、サービス パックが適用されていない Configuration Manager にのみ適用されます。 |
以下のセクションを参照して、サービス パックが適用されていない Configuration Manager のソフトウェアの更新ポイントのインフラストラクチャを決定します。
[!メモ]
信頼されないフォレストでのソフトウェアの更新ポイントのインストール方法に関する詳細については、「Configuration Manager のフォレスト間通信の計画」トピックの「Configuration Manager の通信の計画」セクションを参照してください。
アクティブなソフトウェアの更新ポイント
Configuration Manager 階層内の中央管理サイトおよびすべての子プライマリ サイトには、クライアント コンピューターへのソフトウェア更新プログラムの展開をサポートするため、アクティブなソフトウェアの更新ポイントが必要です。 プライマリ サイトのアクティブなソフトウェアの更新ポイントでは、同期ソースとして中央管理サイトを使用します。 ソフトウェアの更新ポイントは、WSUS と通信して、設定を構成し、ソフトウェア更新プログラムを同期させます。 アクティブなソフトウェアの更新ポイントは、イントラネット上のクライアントからの通信のみを受け入れるように構成することも、イントラネット上とインターネット上のクライアントからの通信を受け入れるように構成することもできます。 インターネット上のクライアントからの通信を受け入れるようにアクティブなソフトウェアの更新ポイントを構成しない場合は、インターネット ベースのソフトウェア更新ポイントをリモート サイト システム上に作成することもできます。 ソフトウェア更新サイトの役割をセカンダリ サイトに追加するか、またはセカンダリ サイトのクライアント コンピューターが、直接、親プライマリ サイトのアクティブなソフトウェア更新ポイントに接続できるようにすることができます。
インターネット ベースのソフトウェアの更新ポイント
インターネット ベースのソフトウェアの更新ポイントは、インターネット上のクライアント コンピューターからの通信を受け入れます。 インターネット ベースのソフトウェアの更新ポイントは、アクティブなソフトウェアの更新ポイントをインターネット上のクライアント コンピューターからの通信を受け入れるように構成しない場合にのみ、作成することができます。 インターネット ベースのソフトウェアの更新ポイントは、サイト サーバーに対してリモートであり、境界ネットワーク内に存在し、インターネット ベースのクライアント コンピューターがアクセスが可能なサイト システムにインストールする必要があります。 既定では、インターネット ベースのソフトウェアの更新ポイントは、同じサイトのアクティブなソフトウェアの更新ポイントと同期します。 インターネット ベースのソフトウェアの更新ポイントがアクティブなソフトウェアの更新ポイントから切断されている場合は、エクスポートとインポート プロセスを使用して、手動でソフトウェア更新プログラムを同期させることができます。 詳細については、このトピックの「同期ソース」セクションを参照してください。
NLB の使用が構成されたアクティブなソフトウェアの更新ポイント
NLB は、ネットワークの信頼性とパフォーマンスの向上に役立ちます。 単一の SQL Server フェールオーバー クラスターを共有する複数の WSUS サーバーをセットアップしてから、NLB を使用するようにソフトウェアの更新ポイントを構成することができます。 NLB クラスター内にアクティブなソフトウェアの更新ポイント サイト システムを構成すると、必ずしもクライアントの容量の増加にはつながりませんが、ソフトウェアの更新ポイントの可用性が高くなる可能性があります。 NLB クラスターを使用するようにソフトウェアの更新ポイントを構成する前に、いくつかの構成手順を完了させる必要があります。 詳細については、「ネットワーク負荷分散 (NLB) クラスターを使用するためのソフトウェア更新ポイントの構成方法」をご覧ください。
セカンダリ サイト上のソフトウェアの更新ポイント
セカンダリ サイトについては、ソフトウェアの更新ポイントを使用するかどうかは任意です。 ソフトウェアの更新ポイントをセカンダリ サイトにインストールする場合、WSUS データベースは、ソフトウェアの更新ポイントをプライマリ サイトまたは中央管理サイトにインストールする場合とは異なり、自律 WSUS インスタンスとしてではなく、レプリカとして構成されます。
セカンダリ サイトに割り当てられているデバイスは、ソフトウェアの更新ポイントがセカンダリ サイトで構成されていない場合は、親サイトのアクティブなソフトウェアの更新ポイントを使用するように構成されます。 通常は、セカンダリ サイトに割り当てられているデバイスと親プライマリ サイトのソフトウェアの更新ポイント間のネットワーク帯域幅が限られている場合や、ソフトウェアの更新ポイントが容量制限に近づいている場合に、ソフトウェアの更新ポイントをセカンダリ サイトにインストールします。 セカンダリ サイトにソフトウェアの更新ポイントが正常にインストールされて構成されると、そのセカンダリ サイトに割り当てられているクライアント コンピューターに対してサイト全体のポリシーが更新され、新しいソフトウェアの更新ポイントの使用が開始されます。
Configuration Manager (サービス パックなし) から Configuration Manager SP1 へのアップグレード
既存の Configuration Manager (サービス パックなし) サイトを Configuration Manager SP1 にアップグレードする場合、次の事項を考慮してください。
サービス パックが適用されていない Configuration Manager から Configuration Manager SP1 にアップグレードする前に、アクティブなソフトウェアの更新ポイントの NLB を削除する必要があります。 アップグレードが完了した後で、Windows PowerShell を使用して、NLB を再構成することもできます。 ソフトウェアの更新ポイントを切り替える方法の詳細については、このトピックの「ソフトウェアの更新ポイントの切り替え」セクションをご覧ください。
サービス パックが適用されていない Configuration Manager サイトに、アクティブなインターネット ベースのソフトウェアの更新ポイントがあり、サイトを Configuration Manager SP1 にアップグレードすると、アクティブなインターネット ベースのソフトウェアの更新ポイントは、インターネット上のクライアントからの接続のみを受け入れる、ソフトウェアの更新ポイントの一覧のソフトウェアの更新ポイントにアップグレードされます。
サービス パックが適用されていない Configuration Manager にアクティブなソフトウェアの更新ポイント (SUP01) がある場合、サイトを Configuration Manager SP1 にアップグレードし、2 番目のソフトウェアの更新ポイント (SUP02) を追加します。 結果として、既存のクライアントは、自動的に SUP01 に割り当てられます。 クライアントは、スキャンが失敗した状況でのみ、SUP02 に切り替えます。 サイトをアップグレードした後、すべての新しいクライアントは、ランダムに SUP01 または SUP02 に割り当てられます。ソフトウェアの更新ポイントの一覧に関する詳細については、このトピックの「ソフトウェアの更新ポイントの一覧」セクションを参照してください。
ソフトウェアの更新ポイントのインストールの計画
Configuration Manager でソフトウェアの更新ポイント サイト システムの役割を作成する前に、Configuration Manager のインフラストラクチャに応じて、考慮する必要がある要件がいくつかあります。 SSL を使用して通信するようにソフトウェアの更新ポイントを構成する場合、階層内のソフトウェアの更新ポイントを正常に機能させるには、追加手順を実行する必要があるので、このセクションの内容を特に注意して確認してください。 このセクションでは、ソフトウェアの更新ポイントのインストールに関する計画と準備を適切に行うために必要な手順について説明します。
ソフトウェアの更新ポイントの要件
ソフトウェアの更新ポイント サイト システムの役割は、WSUS の最小要件を満たし、Configuration Manager サイト システムでサポートされている構成のサイト システムにインストールする必要があります。
WSUS 3.0 SP2 の最小要件の詳細については、Windows Server Update Services 3.0 SP2 ドキュメント ライブラリの「WSUS 3.0 SP2 のインストール要件を確認する」を参照してください。
Windows Server 2012 での WSUS サーバーの役割の最小要件の詳細については、Windows Server 2012 ドキュメント ライブラリの「手順 1:WSUS 展開の準備を行う」を参照してください。
Configuration Manager のサイト システムでサポートされている構成の詳細については、「」トピックの「」セクションを参照してください。c1e93ef9-761f-4f60-8372-df9bf5009be0#BKMK_SupConfigSiteSystemReqNo text is shown for link 'c1e93ef9-761f-4f60-8372-df9bf5009be0'. The title of the linked topic might be empty.
WSUS インストールの計画
ソフトウェアを更新するには、ソフトウェアの更新ポイント サイト システムの役割を構成するすべてのサイト システム サーバーに、サポートされているバージョンの WSUS がインストールされている必要があります。 また、サイト サーバーにソフトウェアの更新ポイントをインストールしない場合は、WSUS 管理コンソールがサイト サーバー コンピューターにまだインストールされていなければ、インストールする必要があります。 そのようにすることで、サイト サーバーが、ソフトウェアの更新ポイントで実行されている WSUS と通信できるようになります。
Windows Server 2012 で WSUS を使用する場合、定期的なヘルス チェックを実行するために、Configuration Manager の WSUS Configuration Manager に WSUS への接続を許可する追加の権限を構成する必要があります。 権限を構成するには、次のいずれかのオプションを選択します。
WSUS 管理者グループに SYSTEM アカウントを追加する
NT AUTHORITY\SYSTEM アカウントを WSUS データベース (SUSDB) のユーザーとして追加し、最小限の webService データベースの役割のメンバーシップを構成します。
WSUS 3.0 SP2 のインストール方法の詳細については、Windows Server Update Services 3.0 SP2 ドキュメント ライブラリの「WSUS サーバーまたは管理コンソールをインストールする」を参照してください。
Windows Server 2012 に WSUS をインストールする方法の詳細については、Windows Server 2012 ドキュメント ライブラリの「WSUS サーバーの役割をインストールする」を参照してください。
System Center 2012 Configuration Manager SP1 以降:
プライマリ サイトに複数のソフトウェアの更新ポイントをインストールする場合、同じ Active Directory フォレストの各ソフトウェアの更新ポイントで、同じ WSUS データベースを使用します。 同じデータベースを共有すると、クライアントが新しいソフトウェアの更新ポイントに切り替えるときに発生することがあるネットワークのパフォーマンスへの影響を大幅に低減できますが、完全に排除することはできません。 クライアントが、古いソフトウェアの更新ポイントとデータベースを共有する新しいソフトウェアの更新ポイントに切り替えるときには、やはりデルタ スキャンが発生しますが、WSUS サーバーが固有のデータベースを持っている場合よりも、スキャンは大幅に軽くなります。
WSUS がカスタム Web サイトを使用するように構成する
WSUS をインストールするときに、既存の既定の IIS Web サイトを使用するか、カスタムの WSUS Web サイトを作成するかを選択できます。 WSUS のカスタム Web サイトを作成し、IIS が他の Configuration Manager サイト システムや他のアプリケーションと同じ Web サイトを共有するのではなく、専用の仮想 Web サイトで WSUS サービスをホストできるようにします。 このことは、特に、ソフトウェアの更新ポイント サイト システムの役割をサイト サーバーにインストールする場合に重要です。 Windows Server 2012 で WSUS を実行する、または、WSUS 3.0 SP2 用のカスタム Web サイトを構成する場合、WSUS は、既定で HTTP にポート 8530、HTTPS にポート 8531 を使用するように構成されます。 サイトにソフトウェアの更新のポイントを作成するときに、これらのポート番号の設定を指定する必要があります。
既存の WSUS インフラストラクチャを使用する
Configuration Manager をインストールする前に、使用する環境内で既にアクティブだった WSUS サーバーを使用することができます。 ソフトウェアの更新ポイントが構成されている場合、同期設定を指定する必要があります。Configuration Manager は、ソフトウェアの更新ポイントで実行されている WSUS に接続し、同じ設定を使用して WSUS サーバーを構成します。 WSUS サーバーが、以前に、ソフトウェアの更新ポイントの同期設定の一部として構成されていない製品または分類と同期されている場合、ソフトウェアの更新ポイントの同期設定に関わらず、その製品および分類のソフトウェア更新プログラムのメタデータは、WSUS データベース内のすべてのソフトウェア更新プログラムのメタデータと同期されます。 これにより、サイト データベースに、予期しないソフトウェア更新プログラムのメタデータが存在することになる可能性があります。 製品または分類を、直接、WSUS 管理コンソールに追加して、すぐに同期を開始すると、同じ動作が実行されます。 既定では、Configuration Manager は、1 時間ごとに、ソフトウェアの更新ポイントで実行されている WSUS に接続し、Configuration Manager の外部で変更されたすべての設定をリセットします。
Configuration Manager SP1 以降、同期設定で指定した製品と分類を満たしていないソフトウェアの更新ポイントは期限切れとして設定され、サイト データベースから削除されます。
WSUS をレプリカ サーバーとして構成する
プライマリ サイト サーバーにソフトウェアの更新ポイント サイト システムの役割を作成する場合、レプリカとして構成されている WSUS サーバーを使用することはできません。 WSUS サーバーがレプリカとして構成されていると、Configuration Manager で、WSUS サーバーの構成と WSUS の同期が失敗します。 ソフトウェアの更新ポイントをセカンダリ サイトに作成すると、Configuration Manager は、親であるプライマリ サイトのソフトウェアの更新ポイントで実行している WSUS のレプリカ サーバーとして、WSUS を構成します。Configuration Manager SP1 以降、プライマリ サイトにインストールする最初のソフトウェアの更新ポイントは、既定のソフトウェアの更新ポイントになります。 サイトの追加のソフトウェアの更新ポイントは、既定のソフトウェアの更新ポイントのレプリカとして構成されます。
WSUS で SSL を使用するかどうかを決定する
ソフトウェアの更新ポイントで実行される WSUS を保護するため、SSL プロトコルを使用することができます。 WSUS は、SSL を使用して、クライアント コンピューターおよび WSUS サーバーの下流 WSUS サーバーを認証します。 また、WSUS は、ソフトウェア更新プログラムのメタデータの暗号化にも SSL を使用します。 SSL を使用して WSUS を保護する場合は、ソフトウェアの更新ポイントをインストールする前に WSUS サーバーを準備する必要があります。 SSL 用の WSUS の構成方法の詳細については、WSUS 3.0 SP2 ドキュメント ライブラリの「Secure Sockets Layer (SSL) プロトコルを使用して WSUS をセキュリティで保護する」を参照してください。
ソフトウェアの更新ポイントをインストールして構成する場合、[WSUS サーバーの SSL 通信を有効にする] 設定を選択する必要があります。 それ以外の場合、Configuration Manager は SSL を使用しないように WSUS を構成します。 ソフトウェアの更新ポイントで実行されている WSUS に対して SSL を有効にする場合は、すべての子サイトのソフトウェアの更新ポイントで実行されている WSUS も SSL を使用するように構成する必要があります。
ファイアウォールの構成
Configuration Manager の中央管理サイトのソフトウェア更新プログラムは、ソフトウェアの更新ポイントで実行されている WSUS と通信し、さらにその WSUS が同期ソースと通信して、ソフトウェア更新プログラムのメタデータが同期されます。 子サイトのソフトウェアの更新ポイントは、親サイトのソフトウェアの更新ポイントと通信します。 サービス パックが適用されていない Configuration Manager サイト上にリモートのアクティブなインターネット ベースのソフトウェアの更新ポイントが存在する場合、同期を正常に完了するには、サイト サーバーがアクティブなインターネット ベースのソフトウェアの更新ポイントと通信し、インターネット ベースのソフトウェアの更新ポイントがサイトのアクティブなソフトウェアの更新ポイントと通信する必要があります。Configuration Manager SP1 以降、プライマリ サイトに複数のソフトウェアの更新ポイントが存在する場合、追加のソフトウェアの更新ポイントは、サイトにインストールされている最初のソフトウェアの更新ポイント (既定のソフトウェアの更新ポイント) と通信する必要があります。
次のような場合に、ファイアウォールは WSUS によって使用される HTTP または HTTPS ポートを許可するように構成されている必要があります: Configuration Manager のソフトウェアの更新ポイントとインターネット間の企業ファイアウォールがある場合。ソフトウェアの更新ポイントとそのアップストリーム更新ソースがある場合。アクティブなインターネット ベースのソフトウェアの更新ポイントと、サービス パックが適用されていない Configuration Manager サイトのアクティブなソフトウェアの更新ポイントがある場合。または、追加のソフトウェアの更新ポイントと、Configuration Manager SP1 サイトの既定のソフトウェアの更新ポイントがある場合です。 Microsoft Update への接続は、ポート 80 を HTTP に、ポート 443 を HTTPS を使用するように常に構成されます。 子サイトのソフトウェアの更新ポイントで実行されている WSUS から親サイトのソフトウェアの更新ポイントで実行されている WSUS への接続には、カスタム ポートを使用することができます。 ソフトウェア更新プログラムの同期中、インターネット ベースのソフトウェアの更新ポイントで実行されている WSUS は、常に HTTPS を使用して、アクティブなソフトウェアの更新ポイントで実行されている WSUS と接続します。 セキュリティ ポリシーによって HTTPS 接続が許可されない場合は、同期の手段としてエクスポートとインポートを使用する必要があります。 詳細については、このトピックの「同期ソース」セクションを参照してください。 WSUS で使用されるポートの詳細については、「WSUS で使用するポート設定の決定方法」を参照してください。
特定のドメインに対するアクセスを制限する
アクティブなソフトウェアの更新ポイントとインターネットの間のファイアウォールで、これらのポートとプロトコルをすべてのアドレスに対して開放できない場合は、WSUS と自動更新で Microsoft Update と通信できるようにするため、アクセスを次のドメインに限定することができます。
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://*.download.windowsupdate.com
子サイトにアクティブなソフトウェアの更新ポイントがある場合や、サイトにリモートのアクティブなインターネット ベースのソフトウェアの更新ポイントがある場合は、それら 2 つのサイト システムの間に設置されているファイアウォールに次のアドレスも追加することが必要になる可能性があります。
子サイトのソフトウェアの更新ポイント
http://<子サイト上のソフトウェアの更新ポイントの FQDN>
https://<子サイト上のソフトウェアの更新ポイントの FQDN>
http://<親サイト上のソフトウェアの更新ポイントの FQDN>
https://<親サイト上のソフトウェアの更新ポイントの FQDN>
インターネット ベースのソフトウェアの更新ポイント
http://<サイトのアクティブなソフトウェアの更新ポイントの FQDN>
https://<サイトのアクティブなソフトウェアの更新ポイントの FQDN>
http://<アクティブなインターネット ベースのソフトウェアの更新ポイントの FQDN>
https://<アクティブなインターネット ベースのソフトウェアの更新ポイントの FQDN>
同期設定の計画
Configuration Manager のソフトウェア更新プログラムの同期は、構成された基準に基づいてソフトウェア更新プログラムのメタデータを取得するプロセスです。 階層内の最上位サイト、中央管理サイト、または、スタンドアロン プライマリ サイトでは、ソフトウェア更新プログラムは Microsoft Update と同期されます。Configuration Manager SP1 以降、最上位サイトのソフトウェアの更新ポイントを、Configuration Manager 階層内ではなく、既存の WSUS サーバーと同期するように構成できます。 子プライマリ サイトでは、ソフトウェア更新プログラムのメタデータが、中央管理サイトのソフトウェアの更新ポイントと同期されます。 ソフトウェアの更新ポイントをインストールして構成する前に、このセクションを参考にして、同期設定を計画してください。
同期ソース
ソフトウェアの更新ポイントの同期ソースの設定は、ソフトウェアの更新ポイントがソフトウェア更新プログラムのメタデータを取得する場所と、同期中に WSUS のレポート イベントを生成するかどうかを指定します。
同期ソース: 最上位サイトのソフトウェアの更新ポイントでは、既定で、Microsoft Update が同期ソースとして構成されます。Configuration Manager SP1 以降、最上位サイトを既存の WSUS サーバーと同期することもできます。 子プライマリ サイトのソフトウェアの更新ポイントは、既定で、中央管理サイトのソフトウェアの更新ポイントが同期ソースとして構成されます。
[!メモ]
リモートのインターネット ベースのソフトウェアの更新ポイントがある場合、アップストリームの更新サーバーは、同じサイトのソフトウェアの更新ポイントです。
[!メモ]
Configuration Manager SP1 以降、プライマリ サイトにインストールする最初のソフトウェアの更新ポイントは、既定のソフトウェアの更新ポイントになり、中央管理サイトと同期されます。 プライマリ サイトの追加のソフトウェアの更新ポイントは、プライマリ サイトの既定のソフトウェアの更新ポイントと同期されます。
ソフトウェアの更新ポイントが Microsoft Update またはアップストリームの更新サーバーから切断されている場合、構成された同期ソースと同期せずに、WSUSUtil ツールのエクスポートおよびインポート機能を使用してソフトウェア更新プログラムを同期するように、同期ソースを構成できます。 詳細については、「切断されているソフトウェアの更新ポイントからのソフトウェア更新プログラムの同期」トピックの「ソフトウェアの更新の構成」セクションを参照してください。
**WSUS レポート イベント:**クライアント コンピューターの Windows Update エージェントは、WSUS レポートに使用されるイベント メッセージを作成できます。 これらのイベントは Configuration Manager のソフトウェアの更新プログラムでは使用されないため、[WSUS レポート イベントを作成しない] オプションは既定で選択されます。 これらのイベントが作成されていない場合、クライアント コンピューターが WSUS サーバーに接続するのは、ソフトウェアの更新プログラムの評価および対応スキャンの間のみです。Configuration Manager のソフトウェアの更新プログラム以外のレポートでこれらのイベントが必要な場合は、この設定を変更して、WSUS レポート イベントを作成する必要があります。
同期スケジュール
Configuration Manager 階層内の最上位サイトのソフトウェアの更新ポイントでのみ、同期スケジュールを構成できます。 同期スケジュールを構成すると、指定した日時に、ソフトウェアの更新ポイントが同期ソースと同期されます。 カスタム スケジュールを使用すると、WSUS サーバー、サイト サーバー、およびネットワークからの要求が低い日時 (たとえば週に 1 回、午前 2:00) にソフトウェア更新プログラムを同期することができます。 あるいは、Configuration Manager コンソールの [すべてのソフトウェア更新] または [ソフトウェア更新プログラム グループ] ノードから、[ソフトウェア更新プログラムの同期] アクションを使用して、最上位サイトで同期を開始できます。
.jpeg "System_CAPS_tip") ヒント |
|---|
環境に合ったタイムフレームを使用して、ソフトウェア更新プログラムの同期の実行日時をスケジュールします。 一般的なシナリオの 1 つは、"月例パッチ" と呼ばれる毎月第 2 火曜日にリリースされる Microsoft の定期セキュリティ更新プログラムのすぐ後に、ソフトウェア更新プログラムの同期が実行されるようにスケジュールを設定することです。 もう 1 つの一般的なシナリオは、ソフトウェア更新プログラムを使用して Endpoint Protection 定義とエンジン更新プログラムを配信するときに、毎日ソフトウェア更新プログラムの同期が実行されるようにスケジュールを設定することです。 |
ソフトウェアの更新ポイントで正常に同期が完了した後で、同期要求が子サイトに送信されます。Configuration Manager SP1 以降、プライマリ サイトに追加のソフトウェアの更新ポイントがある場合、同期要求は各ソフトウェアの更新ポイントに送信されます。 サービス パックが適用されていない Configuration Manager では、アクティブなインターネット ベースのソフトウェアの更新ポイントがインストールされている場合、同期要求は、この更新ポイントに送信されます。 このプロセスは階層内のすべてのサイトで繰り返されます。
更新プログラムの分類
すべてのソフトウェア更新プログラムは、各種の更新プログラムを整理するための更新プログラムの分類により定義されます。 同期プロセス中に、指定した分類のソフトウェアの更新プログラムのメタデータが同期されます。Configuration Manager では次の更新プログラムの分類でソフトウェアの更新を同期できます。
**重要な更新:**セキュリティに関連しない重要な不具合に対処する、特定の問題を解決するために広範にリリースされる更新プログラムを示します。
**定義ファイルの更新:**ウイルスまたはその他の定義ファイルの更新を示します。
**Feature Pack:**製品リリースに先立って配布され、通常は次回の製品版リリースに含まれる、製品の新機能を示します。
**セキュリティ更新プログラム:**製品固有でセキュリティに関係する問題に対して、広範にリリースされた更新を示します。
**Service Pack:**アプリケーションに適用される修正プログラムを累積したセットを示します。 これらの修正プログラムには、セキュリティの更新プログラム、重要な更新プログラム、ソフトウェア更新プログラムなどが含まれています。
**ツール:**1 つまたは複数のタスクを完了するためのユーティリティまたは機能を示します。
**更新プログラムのロールアップ:**容易に展開できるようにパッケージにまとめられた修正プログラムを累積したセットを示します。 これらの修正プログラムには、セキュリティの更新プログラム、重要な更新プログラム、更新プログラムなどが含まれています。 更新プログラムのロールアップは、通常セキュリティまたは製品コンポーネントなど特定の領域に対応します。
**更新プログラム:**現在インストールされているアプリケーションまたはファイルの更新プログラムを示します。
更新プログラムの分類設定は、最上位サイトでのみ構成します。 ソフトウェア更新プログラムのメタデータは、最上位サイトから子プライマリ サイトにレプリケートされるため、更新プログラムの分類設定は子サイトのソフトウェアの更新ポイントで構成しません。 更新プログラムの分類を選択する場合、選択する分類が多くなるほど、ソフトウェア更新プログラムのメタデータの同期に必要な時間が長くなることに注意してください。
.jpeg "System_CAPS_warning"){kind=icon} 警告 |
|---|
ベスト プラクティスとして、初めてソフトウェア更新プログラムを同期する前にすべての分類を消去します。 最初の同期の後、[ソフトウェアの更新ポイント コンポーネント] プロパティから分類を選択し、同期を再開します。 |
製品
各ソフトウェア更新プログラムのメタデータは、更新プログラムが適用される 1 つまたは複数の製品を定義します。 製品は、オペレーティング システムまたはアプリケーションの特定のエディションです。 製品の例として、Microsoft Windows Server 2008 があります。 製品ファミリは、個々の製品が派生する基礎となるオペレーティング システムまたはアプリケーションです。 製品ファミリの例として Microsoft Windows があり、Microsoft Windows Server 2008 はそのメンバーです。 製品ファミリまたは製品ファミリ内の個別製品を指定できます。
ソフトウェア更新プログラムが複数の製品に適用可能な状態で、少なくとも 1 つの製品の同期を選択している場合、選択されていない製品も含めてすべての製品が Configuration Manager コンソールに表示されます。 たとえば、サブスクライブしているオペレーティング システムが Windows Server 2008 だけで、ソフトウェア更新プログラムが Windows Server 2008 と Windows Server 2008 Datacenter Edition に適用される場合、サイト データベースには両方の製品が含まれます。
製品設定は、最上位サイトでのみ構成します。 ソフトウェア更新プログラムのメタデータは、最上位サイトから子プライマリ サイトにレプリケートされるため、製品設定は子サイトのソフトウェアの更新ポイントで構成しません。 製品を選択する場合、選択する製品が多くなるほど、ソフトウェア更新プログラムのメタデータの同期に必要な時間が長くなることに注意してください。
| 重要 |
|---|
Configuration Manager は、ソフトウェアの更新ポイントを初めてインストールするときに選択できる製品と製品ファミリのリストを保存します。Configuration Manager のリリース後にリリースされる製品と製品ファミリは、選択できる使用可能な製品と製品ファミリのリストを更新する、ソフトウェア更新プログラムの同期を完了するまでは選択できない可能性があります。 ベスト プラクティスとして、初めてソフトウェア更新プログラムを同期する前にすべての製品をクリアします。 最初の同期の後、[ソフトウェアの更新ポイント コンポーネント] プロパティから製品を選択し、同期を再開します。 |
置き換え規則
一般的に、別のソフトウェア更新プログラムを置き換えるソフトウェア更新プログラムでは、次の 1 つまたは複数の処理を実行します。
以前にリリースされた 1 つまたは複数の更新プログラムで提供された修正を強化、改善、または更新します。
更新プログラムのインストールが承認された場合にクライアント コンピューターにインストールされる置き換えの更新ファイル パッケージの効率性を向上させます。 たとえば、置き換えられる更新プログラムに、修正、または新しい更新プログラムで現在サポートされているオペレーティング システムには関係のないファイルが含まれていることがあり、それらのファイルは、置き換わる更新プログラムのファイル パッケージには含まれません。
新しいバージョンの製品を更新します。 つまり、古いバージョンまたは構成の製品には適用できなくなったバージョンを更新します。 また、言語サポートの拡張のために変更が加えられた場合に、更新プログラムによって他の更新プログラムが置き換えられることがあります。 たとえば、Microsoft Office 用の比較的新しいバージョンの製品更新プログラムにより、古いオペレーティング システムがサポートされなくなり、代わりに、初期更新プログラム リリースで新しい言語が追加サポートされるようになる場合があります。
ソフトウェアの更新ポイントのプロパティでは、置き換えられたソフトウェア更新プログラムが即時期限切れになるように指定できます。これにより、古いソフトウェア更新プログラムが新しい展開に含まれないようにし、既存の展開に 1 つ以上の期限切れのソフトウェア更新プログラムが含まれていることを示すフラグを付けることができます。 または、置き換えられるソフトウェア更新プログラムが期限切れになるまでの期間を指定することができます。その場合、これらのプログラムを引き続き展開することができます。 置き換えられるソフトウェア更新プログラムの展開が必要になる場合のシナリオとして、次のものが考えられます。
置き換える方のソフトウェア更新プログラムが新しいバージョンのオペレーティング システムのみをサポートし、クライアント コンピューターの一部が古いバージョンのオペレーティング システムを実行している場合。
置き換える方のソフトウェア更新プログラムに、置き換えられるソフトウェア更新プログラムよりも適用性の制限が多い場合があります。 この場合、一部のクライアント コンピューターには不適切になります。
置き換える方のソフトウェア更新プログラムが稼動環境での展開に承認されていない場合。
言語
ソフトウェアの更新ポイントの言語設定を使用すると、ソフトウェア更新プログラムに同期される概要詳細 (ソフトウェア更新プログラムのメタデータ) の言語、およびソフトウェア更新プログラムにダウンロードされるソフトウェア更新ファイルの言語を構成できます。
ソフトウェア更新ファイル
ソフトウェアの更新ポイントのプロパティの [ソフトウェア更新ファイル] 設定で構成した言語は、サイトでソフトウェア更新プログラムをダウンロードするときに使用可能な既定の言語セットを提供します。 ソフトウェア更新プログラムがダウンロードまたは展開されるたびに既定で選択される言語を変更できます。 ソフトウェア更新プログラム ファイルが選択した言語で使用できる場合、ダウンロード プロセスで、構成した言語のソフトウェア更新プログラム ファイルが展開パッケージのソース場所にダウンロードされます。 ダウンロードしたファイルはサイト サーバーのコンテンツ ライブラリにコピーされ、パッケージ用に構成される配布ポイントにコピーされます。
ソフトウェア更新ファイルの言語設定は、環境で最も使用される言語に設定してください。 たとえば、サイト内のクライアント コンピューターのオペレーティング システムまたはアプリケーションで主に英語と日本語を使用し、サイト内で他の言語をほとんど使用しない場合は、ソフトウェア更新プログラムのダウンロードまたは展開時に [ソフトウェア更新ファイル] 列で英語と日本語を選択して他の言語をクリアします。 展開の [言語の選択] ページで既定の設定を使用して、ウィザードをダウンロードすることができます。 また、これによって、不要な更新プログラム ファイルがダウンロードされなくなります。 この設定は、Configuration Manager 階層内の各ソフトウェアの更新ポイントで構成されます。
概要詳細
同期プロセス中、概要詳細の情報 (ソフトウェア更新プログラムのメタデータ) が、指定された言語のソフトウェアの更新プログラムに対して更新されます。 メタデータは、ソフトウェア更新プログラムに関する情報を提供します。たとえば、名前、説明、更新によってサポートされる製品、更新分類、アーティクル ID、ダウンロード URL、適用規則などです。
概要情報設定は、最上位サイトでのみ構成します。 概要情報は、子サイトのソフトウェアの更新ポイントでは構成されません。これは、ファイルベースのレプリケーションを使用して、ソフトウェア更新プログラムのメタデータが中央管理サイトから子サイトにレプリケートされるためです。 概要詳細の言語を選択するときは、環境内で必要な言語のみを選択します。 選択する言語が多いほど、ソフトウェア更新プログラムのメタデータの同期に必要な時間が長くなります。Configuration Manager では、Configuration Manager コンソールが実行されているオペレーティング システムのロケールのソフトウェア更新プログラムのメタデータが表示されます。 ソフトウェア更新プログラムのローカライズされたプロパティがオペレーティング システムのロケールで使用できない場合、ソフトウェア更新情報が英語で表示されます。
| 重要 |
|---|
Configuration Manager の階層で必要な概要詳細の言語をすべて選択することが重要です。 最上位サイトのソフトウェアの更新プログラムが同期ソースと同期すると、選択した概要情報の言語によって、取得されるソフトウェア更新プログラムのメタデータが決まります。 同期を少なくとも 1 回実行した後に概要詳細の言語を変更すると、ソフトウェア更新プログラムのメタデータは、新しいソフトウェア更新プログラムまたは更新されたソフトウェア更新プログラムにのみ、変更された概要詳細の言語で取得されます。 既に同期されているソフトウェア更新プログラムでは、同期ソースのソフトウェア更新プログラムに変更がない限り、変更された言語の新しいメタデータは更新されません。 |
ソフトウェア更新プログラムに関連する設定の計画
Configuration Manager のソフトウェアの更新プログラムのクライアント設定は、サイト全体に適用され、既定値で構成されています。 ソフトウェア更新プログラムとネットワーク アクセス保護 (NAP) クライアント設定があり、ソフトウェア更新プログラムのコンプライアンス対応をいつスキャンするか、クライアント コンピューターにいつどのようにインストールするかに影響します。 また、クライアント コンピューターにはグループ ポリシー設定もあり、環境によっては構成が必要になります。 ソフトウェア更新プログラムに関連付けられた設定を構成する方法の詳細については、「手順 4: ソフトウェア更新プログラムのクライアント設定およびグループ ポリシー構成の確認」トピックの「ソフトウェアの更新の構成」セクションを参照してください。
ソフトウェア更新プログラムのクライアント設定
ソフトウェアの更新ポイントをインストールすると、ソフトウェア更新クライアント エージェントが既定で有効になるため、特定のクライアンと設定を構成する必要はありません。ただし、設定を見直し、既定値がニーズに合っていることを確認してください。 [管理] ワークスペースの [クライアント設定] で、ソフトウェアの更新と NAP クライアント設定を構成します。 ソフトウェア更新プログラムに関連付けられた設定を構成する方法の詳細については、「ソフトウェアの更新の構成」トピックの「ソフトウェア更新プログラムのクライアント設定」セクションを参照してください。
| 重要 |
|---|
既定では [クライアントのソフトウェア更新プログラムを有効にする] 設定が有効です。 この設定をオフにすると、Configuration Manager がクライアントから既存の展開ポリシーを削除します。 また、ソフトウェア更新プログラム デバイス設定に依存する NAP およびコンプライアンス設定ポリシーは、機能しなくなります。 |
ソフトウェア更新プログラムのグループ ポリシー設定
クライアント コンピューターの Windows Update エージェント (WUA) は、特定のグループ ポリシー設定を使用して、アクティブなソフトウェア更新ポイントで実行される WSUS に接続し、ソフトウェア更新プログラムのコンプライアンス対応をスキャンし、ソフトウェア更新プログラムと WUA を自動的に更新します。
| 警告 |
|---|
Configuration Manager のソフトウェア更新ポイントではない WSUS サーバーを指定するクライアントに割り当てられている Active Directory グループ ポリシー オブジェクトがある場合、Configuration Manager で構成されたローカル グループ ポリシー設定を上書きします。 これらのクライアントでソフトウェア更新プログラムのコンプライアンス対応状態を評価しソフトウェア更新プログラムの展開を管理する前に、Active Directory グループ ポリシー設定を再構成するか、このグループ ポリシー設定が適用されない組織単位 (OU) へクライアント コンピューターを移動する必要があります。 |
ソフトウェア更新プログラムに関連付けられた設定を構成する方法の詳細については、「ソフトウェアの更新の構成」トピックの「ソフトウェア更新プログラムのグループ ポリシー設定」セクションを参照してください。
クライアントのキャッシュ設定
Configuration Manager クライアントは、展開を受信した後、直ちに必要なソフトウェア更新プログラムのコンテンツをローカル クライアント キャッシュにダウンロードします。 ただし、クライアントは、展開の [ソフトウェアが使用可能な時間] 設定の後まで、コンテンツのダウンロードを待ちます。 クライアントは、ユーザーが手動でインストールを開始するまで、オプションの展開 (スケジュールされたインストール期限のない展開) のソフトウェア更新プログラムをダウンロードしません。 構成された期限が経過すると、ソフトウェア更新クライアント エージェントはソフトウェア更新プログラムが依然として必要であることを確認するスキャンを開始し、ソフトウェア更新プログラム クライアント エージェントはクライアント コンピューター上のローカル キャッシュでソフトウェア更新プログラムのソース ファイルが引き続き利用可能なことを確認してから、ソフトウェア更新プログラムをインストールします。 別の展開のための領域を作成するためにコンテンツがクライアント キャッシュから削除された場合は、クライアントがソフトウェア更新プログラムをキャッシュにダウンロードします。 構成された最大クライアント キャッシュ サイズに関係なく、ソフトウェア更新プログラムは常にクライアント キャッシュにダウンロードされます。 アプリケーションやパッケージなどのその他の展開では、クライアントは、クライアントに構成された最大キャッシュ サイズ内のコンテンツのみをダウンロードします。 キャッシュのコンテンツは自動的に削除されず、クライアントがそのコンテンツを使用した後少なくとも 1 日間キャッシュに保存されます。
ソフトウェア更新プログラムのメンテナンス期間の計画
System Center 2012 R2 Configuration Manager から、ソフトウェア更新プログラムのインストール専用のメンテナンス期間を追加できるようになりました。 この機能により、一般的なメンテナンス期間と、ソフトウェア更新プログラム用のメンテナンス期間を別に構成できます。 一般的なメンテナンス期間とソフトウェア更新プログラムのメンテナンス期間の両方を構成すると、クライアントは、ソフトウェア更新プログラムのメンテナンス期間中にのみ、ソフトウェア更新プログラムをインストールします。 メンテナンス期間の詳細については、「Configuration Manager のメンテナンス期間の使用方法」を参照してください。
ソフトウェア更新プログラムの計画に関する補足トピック
Configuration Manager のソフトウェア更新プログラムを計画するには、次のトピックを参照してください。