Windows Server 2025を最後にWSUS(Windows Server Update Services)が廃止となります。

Windows Server 2025自体の延長サポート期限が2034年10月10日となりまだまだ期限としては猶予がありますが、すでにマイクロソフトもWSUSの開発を行っておらず致命的な脆弱性などがなければアップデートも行われないことと思います。

その為、サードパーティ製も含め違うサービス(マイクロソフト製品では「端末管理：Microsoft Intune、Windows Autopatch」「サーバー管理：Azure Update Manager」)への移行を検討されることと思いますが、今までWindowsUpdateの運用をどのように行って来たのかを洗い直すことが重要です。


■WSUSの役割とは

Windows端末やWindows Serverが直接Microsoft Updateへアクセスするとアクセスが集中すると通信回線が圧迫され回線遅延や繋がらない・遅いといった業務に支障が発生する可能性があります。

また、まちまちにWindows Updateが行われるとWindows端末の管理がしにくくなり、端末毎でUpdate状況が差異が発生してしまいセキュリティ上の問題が発生します。

その他、社内ネットワーク内にWSUSサーバーを設置し、Microsoft Updateから必要な更新プログラムをWSUSサーバーからWindows端末へ配布することで通信回線のひっ迫といったことやGPO(Group Policy Object)等を組み合わせることでグループ毎でUpdateの管理を行うことができるようになります。


■実際にWSUSで行われている運用を確認してみる

社内ネットワークにWSUSサーバーへ設置して実際どのような運用をしているのか下記3点の観点から具体的に考えてみます。


・配布するグループの管理はADサーバーのGPO？ WSUSのグループ？

更新プログラムの配布する際、社内ネットワークに負荷がかからないよう部署ごとなどでグループ分けを行うことで業務に支障をきたさないようにすることが可能です。

ActiveDirectoryでユーザー管理を行っている場合、OU（Organizational Unit）でグループ分けをし、OUに対しGPOでポリシー設定することで更新プログラムを配信する対象とスケジュールを組むことが可能です。

WSUSで管理する場合、配信するグループを作成し、グループに対して更新プログラムを配信することが可能です。なお、グループに対して更新プログラムの配信はGUI上で手動で実施することも可能ですが、タスクスケジューラでスクリプトを実行させることでGPOのポリシー設定と同様更新プログラムを配信する対象とスケジュールを組むことが可能です。

・WSUSサーバーってどこに設置されている？

社内で1台のみで運用されている場合それほど気にすることではありませんが、例えば、本社と支社にWSUSサーバーがそれぞれ1台、WSUSサーバーがあり本社側のWSUSサーバーをアップストリームサーバー(更新プログラムの供給元)として支社側のWSUSサーバーが同期をとるように設定されている場合があります。

・配布する更新プログラムはどのように選択する？

WSUS上で自動承認されてい場合、自動承認に沿った形で更新プログラムが配信されます。例えば、「セキュリティ問題の修正プログラム」、「重要な更新」が選択されている場合、選択されている分類以外は配信されません。

また、個別の更新プログラムについて配信を承認することも可能です。
運用方法によっては、更新プログラムがバットパッチであることも考慮して1ヶ月遅れで個別に承認している場合もあります。

WSUSの運用という観点で考えてみましたたが、WindowsUpdateを行うためには社内ネットワークの見直しなども必要となり、しっかりとした準備が必要となります。

Azure Update Managerへの移行方法については、”WSUSからAzure Update Managerへの移行方法“にも記載しておりますが、実際にどのような運用をしているのかという部分を確認した上で利用するサービスについて選定して頂ければと思います。