目次
- はじめに
1-1. 前提条件
1-2. 対応しているOS
1-3. 移行前、移行後のイメージ - 移行手順
2-1. WSUSで管理しているWindowsサーバーをAzure Update Managerで管理する
A. オンプレミスサーバーをAzure Arcに登録する
B. “メンテナンス構成”を作成して、Azure Update Managerの管理下に置く
C. WSUSのGPOを無効化する
2-2. LinuxサーバーをAzure Update Managerで管理する
A. オンプレミスサーバーをAzure Arcに登録する
B. “メンテナンス構成”の対象にLinuxサーバーを追加して、Windowsサーバーと一緒に管理する - 移行できないWSUSの設定について
3-1. 更新プログラムの取得先について
3-2. 適用する更新プログラムについて
3-3. 更新プログラムの承認について
3-4. 通知について - まとめ
1. はじめに
WSUSは、広く利用されている更新管理ツールです。
しかし2024年9月に、Microsoft社はWSUSを非推奨とする方針を発表しました。
サーバーOSの更新管理ツールとしてはAzure Update Managerが、クライアントOSの更新管理ツールとしてはMicrosoft Intuneが推奨されています。
本記事では、サーバーOSの更新管理に焦点を当て、WSUSからAzure Update Managerへの切り替えを検討している方や、Azure Update Managerの使い方を知りたい方向けに、Azure Update Managerの導入手順を紹介します。
1-1. 前提条件
本記事は、次のことを前提としています。
- Azureを利用していること
- 管理対象のサーバーがインターネットから更新プログラムを取得できること
1-2. 対応しているOS
WSUS、Azure Update Managerが管理できるOSは、次の表の通りです。
WSUSは、Windowsのデバイスの更新管理を行うツールです。
一方、Azure Update Managerは、WindowsのサーバーOSを管理できますが、クライアントOSは対象外です。
しかし、WSUSでは管理できなかったLinuxサーバーを管理することが可能です。
本記事では、次の2つのポイントについて解説します。
- WSUSで管理しているWindowsサーバーをAzure Update Managerで管理する方法
- 今までWSUSで管理することができなかったLinuxサーバーをAzure Update Managerで管理する方法
1-3. 移行前、移行後のイメージ
これより、具体的な移行手順について紹介します。こちらの図は、移行作業で想定している環境です。
オンプレミスのサーバーをAzure Update Managerで管理する場合、それらをAzure Arcに登録します。
他のクラウドサービスのサーバーも、オンプレミスと同様にAzure Arcに登録することでAzure Update Managerで更新管理を行うことが可能です。
本記事では、Azureの仮想マシン及び、Azure Arcに登録されているサーバーを、Azure Update Managerの管理対象として指定します。
2. 移行手順
ここから、実際の操作画面を示しながら、具体的な移行手順について紹介します。
2-1. WSUSで管理しているWindowsサーバーをAzure Update Managerで管理する
まずは、WSUSで管理されているWindowsサーバーをAzure Update Managerによる管理に切り替える手順について紹介します。
大まかな流れとしては、次の通りです。
- オンプレミスのWindowsのサーバーをAzure Arcに登録(Azure仮想マシンについては不要)
- Azure Update Managerから”メンテナンス構成”というリソースを作成
- WSUSの管理対象から除外するため、WSUSにおけるスケジュール・再起動の設定を無効化
A. オンプレミスサーバーをAzure Arcに登録する
Azureポータルで、Azure Arcを開きます。
「マシン」のブレードへから、「追加/作成」を選択します。
「スクリプトの生成」「インストーラーのダウンロード」といった項目が表示されます。
今回は「インストーラーのダウンロード」を利用します。exeファイルがダウンロードされます。
ここからは、オンプレミスのWindowsサーバーでの作業です。
先程ダウンロードしたexeファイルを、Windowsサーバーの任意のフォルダに配置して実行します。
次のようなウィンドウが開きます。「次へ」を選択し、インストールを進めていきます。
表示に従って、Azureにサインインして、サブスクリプション、リソースグループといった情報を入力します。
最後、インストールが実行され、次のような表示になります。
オンプレミスサーバーがAzure Arcに登録されていることを、Azureポータルから確認します。
Azure Arcの「マシン」のブレードに、サーバーが表示されていれば登録完了です。
こちらの画像ではLinuxサーバーも表示されていますが、Linuxサーバーの登録作業は後程実施します。
B. “メンテナンス構成”を作成して、Azure Update Managerの管理下に置く
Azureポータルで、Azure Update Managerを開きます。
「概要」のブレードより、「スケジュールの更新」を選択します。
メンテナンス構成作成の画面に遷移します。
サブスクリプション、リソースグループ、リソース名、リージョンは任意の値を設定してください。
既存のWSUS管理の設定を踏襲するため、再起動の設定は、WSUSでの設定内容を参照して設定してください。
今回、Azureの仮想マシン及びAzure Arcに登録したサーバーを対象とするので、メンテナンススコープには「ゲスト(Azure VM…)」を選択します。
画面下にある「スケジュールの追加」を選択して、更新のタイミングに関する設定を行います。
各設定の意味は、次の通りです。
- 開始日・終了日:それぞれで日付と時刻を指定します。メンテナンス構成で設定した内容を適用する期間を表します。
終了日の設定は任意です。設定しない場合、開始日以降、永久的に適用されます。 - メンテナンス期間:1回のメンテナンスの時間の長さを設定します。最短1時間30分、最長3時間55分で設定可能です。
- 繰り返し:メンテナンスを実施する頻度を設定します。Azureポータルからは、最短6時間、最長35か月で設定可能です。
Azureポータルからの設定ではなく、APIを用いてCLIで設定する場合に限り、1時間まで短縮できます。
次に、「リソース」あるいは「動的スコープ」のタブで管理対象のサーバーを選択します。
「リソース」のタブでは、サーバーをひとつひとつ選択する形で設定を行います。
一方、「動的スコープ」のタブでは、条件を指定して該当するサーバーを管理対象とすることができます。
今回は「リソース」のタブより設定を行います。Azureの仮想マシンに加え、先程Azure Arcに登録したサーバーを選択します。
続いて、「更新プログラム」のタブより、適用する更新プログラムの種類を選択します。WSUSでの設定内容を参照し、設定してください。
KB IDを指定して、特定の更新プログラムを含めたり、除外したりすることも可能です。
「イベント」のタブでは、Event Gridと連携できます。今回は構成せずに進みます。
最後に「確認および作成」へ進み、リソースを作成します。
「メンテナンス構成」のページから、作成したリソースを確認できます。
主に、赤枠のブレードから、リソース作成時に設定した内容を確認できます。
C. WSUSでのスケジュール・再起動の設定を無効化する
Azure Update Managerでの設定が完了したので、WSUSによる管理を停止します。
WSUSに関するポリシーは、”管理用テンプレート > Windowsコンポーネント > Windows Update”にまとまっています。
この中で、更新のスケジュール及び再起動に関するものは、Azure Update Managerの設定と競合します。
GPOを編集したり、別のOUで管理したりして、移行したサーバーにこれらのポリシーが構成されていない状態にしてください。
2-2. LinuxサーバーをAzure Update Managerで管理する
今回は、作成したメンテナンス構成の対象にLinuxサーバーを追加します。
(異なる設定で更新を行いたい場合、別途メンテナンス構成を作成して管理することも可能です。)
大まかな流れとしては、次の通りです。
- オンプレミスのLinuxサーバーをAzure Arcに登録(Azure仮想マシンについては不要)
- 既存のメンテナンス構成のスコープに、オンプレミス及びAzureのLinuxサーバーを追加
A. オンプレミスサーバーをAzure Arcに登録する
Windowsサーバーと同様に、AzureポータルでAzure Arcを開きます。「マシン」のブレードへから、「追加」を選択します。
今回は「スクリプトの生成」を選択します。
「基本」のタブにて、環境に応じて情報を入力します。
オペレーティングシステムについては、Linuxを選択します。
「基本」のタブで必要な情報を入力した後、「スクリプトのダウンロードと実行」へ移動すると、Azure Arcに登録するためのスクリプトが作成されます。
「ダウンロード」を選択して、スクリプトをダウンロードします。
ここからは、オンプレミスのLinuxサーバーでの作業です。
ダウンロードしたスクリプトをLinuxサーバーの任意のディレクトリに配置します。
スクリプトを実行します。スクリプトを実行する権限が無い場合は、「chmod u+x ファイル名」とコマンドを打つことで、ユーザーに実行権限を付与することができます。
認証を求められるので、ブラウザから記載されているURLへアクセスし、認証用のコードを入力します。
認証は、他のデバイスのブラウザでも行うことができますが、追加でMicrosoftアカウントへのサインインを求められる可能性があります。
「Azureにマシンを接続しました」というメッセージが表示されれば、Azure Arcのインストールは完了です。
B. “メンテナンス構成”の対象にLinuxサーバーを追加して、Windowsサーバーと一緒に管理する
Azureポータルで、メンテナンス構成を開きます。
先程、Windowsサーバー用に作成したメンテナンス構成を選択します。
「リソース」のブレードから「追加」を選択し、AzureのLinuxサーバー及び、Azure Arcに登録したLinuxサーバーを追加します。
これにより、同じ更新の設定を4つのサーバーに適用できました。
今回はすべてのサーバーを1つのメンテナンス構成で管理するように構成しましたが、例えば、異なるスケジュールでメンテナンスを行いたい場合や、適用する更新プログラムの種類を異なる設定にしたい場合は、メンテナンス構成を新たに作成して別々に管理することも可能です。
3. 移行できないWSUSの設定について
WSUSの全ての設定をAzure Update Managerに移行できる訳ではありません。
WSUSの主要な機能の内、Azure Update Managerで利用できないものをいくつか紹介します。
3-1. 更新プログラムの取得先について
WSUSでは、”イントラネットのMicrosoft更新サービスの場所を指定する”というポリシーを構成して、更新プログラムの取得先を指定できます。
しかし、Azure Update Managerから、更新プログラムの取得先を指定するような設定はありません。
3-2. 適用する更新プログラムについて
WSUSでは画像の通り、ダウンロードする更新プログラムを”分類”あるいは”製品”で詳細に設定できます。
Azure Update Managerでは、WSUSにおける”製品”の情報を直接指定することはできません。
代わりに、メンテナンス構成の中でKB IDを指定して特定の更新プログラムを含めたり、除外したりする必要があります。
3-3. 更新プログラムの承認について
WSUSでは、管理者が更新プログラムを個別に承認あるいは拒否することで、管理対象のサーバーに適用するか否か決めることが可能です。
Azure Update Managerには、更新プログラムを個別に承認する機能はありません。
メンテナンス構成の設定に基づき、メンテナンス期間に、対象の更新プログラムが適用されるというシンプルな仕様になっています。
3-4. 通知について
WSUSでは、WSUSサーバーが新しく更新プログラムをダウンロードする場合に通知したり、タイミングを指定してレポートをメールで送信したりすることができます。
しかし、全く同じ通知の設定をAzure Update Managerで行うことはできません。
代替手段として、Azureの他のサービスと連携してログから情報を抽出し、それをトリガーとしてアラートを出すことができます。
4. まとめ
オンプレミスサーバーをAzure Arcに登録し、次にメンテナンス構成を作成して更新設定を行い、最後にWSUSの設定を解除する、
というのが移行の大まかな流れです。
Azure Update Managerを活用することで、更新管理においてもクラウドサービスのメリットを享受できます。
移行時は、移行できない設定についても配慮し、適切な対応を行いましょう。
Cloud Steadyでは、今後もAzure Update Managerに関する情報を発信して参ります。ぜひご確認ください。
(この記事が参考になった人の数:4)
読み込み中...