かつて山市良と呼ばれたおじさんのブログ

セイテクエンジニアのブログ  かつて山市良と呼ばれたおじさんのブログ  vol.75 “非推奨”になったWSUSの動作確認とWSUSの次|Windows Server 2025大特集(12)

 

 

vol.75 “非推奨”になったWSUSの動作確認とWSUSの次|Windows Server 2025大特集(12)

2025年01月16日配信
2025年04月22日更新
執筆者:山内 和朗

 2024年9月にMicrosoftが公表した「Windows Server Update Services(WSUS)」非推奨のトピックは、多数のWindowsベースのサーバー/クライアントを運用管理する企業のIT担当者に、少なからず動揺を与えたと思います。一部の日本語メディアが「deprecation」を「非推奨」ではなく「廃止」と訳してニュースにしたことも、その動揺を大きくしたのではないでしょうか。もしかすると、まだ“WSUSはすぐに廃止”と勘違いしている人もいるかもしれません。以下の記事でお伝えしたように、WSUSはWindows Server 2025(当時はPreview)で「開発終了」のリストに入れられました。

 

ITニュース. 企業のパッチ管理の基盤「WSUS」が非推奨へ、どうする!?オンプレのパッチ管理(2024年9月25日配信)

 

Windows Server 2025になっても、オンプレのパッチ管理はWSUS頼り!?

 

 WSUSはWindows Server 2025で「削除」されたわけではないので、少なくともWindows Server 2025のメインストリームサポートが終了する2029年10月9日まで、あるいは延長サポートが終了する2034年10月10日までは運用できるはずです。Windows Server 2025リリース後の最新のリストによると、WSUSはアクティブな開発は終了しましたが、既存のすべての機能とコンテンツは引き続き(WSUS展開環境で)利用できると説明されています。

Windows Server 2025 以降で削除された機能または開発されなくなった機能|Windows Server(Microsoft Learn)

 WSUSはまだ削除されていないとはいえ、Windows Server 2025で本当に問題なく動作するのか、検証してみました。非推奨(開発終了)リスト入りして、いつの間にか正常に機能しなくなっていた、あるいは正常に機能しないと分かってから非推奨リストに入れられたという実例があります。例えば、Windows Server 2012で非推奨リスト入りした「SMTPサーバー」機能は、Windows Server2019までは問題なく機能していましたが、Windows Server 2022で正常に機能しなくなり、Windows Server 2025でようやく削除されました。

 Windows Server 2025デスクトップエクスペリエンスでの「役割と機能の追加ウィザード」によるサーバーの機能「Windows Server Update Services」の追加(Windows Internal Databace《WID》を使用)と、インストール後のタスクの実行は正常に完了しました(画面1)。「Update Services」スナップイン(wsus.msc)の初回起動時の「Windows Server Update Services設定ウィザード」を使用した、アップストリームサーバーへの接続、サーバー設定、および初回同期も問題ありませんでした(画面2)。なお、Windows Server 2025からは、WIDも非推奨入りしています。可能であれば、SQL Serverを使用したWSUSの構築をお勧めします。

 

画面1 Windows Server 2025にサーバーの役割「Windows Server Update Services」を追加し、インストール後のタスクを起動
画面1 Windows Server 2025にサーバーの役割「Windows Server Update Services」を追加し、インストール後のタスクを起動

 

画面2 「Windows Server Update Services設定ウィザード」も問題なく完了
画面2 「Windows Server Update Services設定ウィザード」も問題なく完了

 同期された更新プログラムの手動承認、定義更新プログラムの自動承認、レポート機能、Active Directoryのグループポリシーによるクライアント設定、HTTP接続ポート「8530」(既定)とHTTPS接続ポート「8531」(IISマネージャーによる証明書のバインドが必要)の両方の動作を確認しましたが、いずれも問題ありませんでした(画面3)。

 

画面3 更新プログラムの承認やレポート機能が問題なくこれまで通りに動作した
画面3 更新プログラムの承認やレポート機能が問題なくこれまで通りに動作した

 

 Windows Server 2022以前との大きな違いがあるとすれば、Windows Server 2025やWindows 11バージョン24H2の「設定|Windows Update」の「Microsoft Updateの更新プログラムをオンラインで確認する」がこれまであった場所(「更新プログラムのチェック」ボタンの下)にはなく、「更新プログラムのチェック」ボタンを展開(「V」をクリック)に移動されていたことです(画面4)。また、ポリシー管理されている場合、以前は「Windows Update」の文字の下に「*一部の設定は組織によって管理されています(ポリシーを表示する)」と表示されていましたが、それが表示されなくなり、「Windows Update|詳細オプション|追加オプション|構成されたポリシー」で確認するスタイルに変更されていました。WSUSを運用してきたIT担当者は、クライアント側のエクスペリエンスの変更に少し戸惑うかもしれません。

 

画面4 グループポリシーによるWSUSクライアントの設定、クライアント側のUIに変更がある点は戸惑うかもしれない
画面4 グループポリシーによるWSUSクライアントの設定、クライアント側のUIに変更がある点は戸惑うかもしれない

 

WSUSの機能は、実質的に最新状態のWindows Server 2019以降と同じ

 

 WSUSの前身は、Windows 2000 Serverに対してダウンロード提供された「Software Update Services(SUP)」です。その後、Windows Server 2003に対して、「Features Pack」の一部として「WSUS 2.0」が提供されました。サーバーの役割になったのは、Windows Server 2008の「WSUS 3.0」からです。Windows Server 2008 SP2/2008 R2の「WSUS 3.0 SP2」(「WSUS 3.2」とも呼ばれます)から、Windows Server 2012/2012 R2の「WSUS 4.0」(「WSUS 6.2」や「WSUS 6.3」とも呼ばれます)では、インプレースアップグレードに影響する(アップグレード前の削除とアップグレード後の追加が必要)大きな変更が行われました。しかし、WSUS 4.0以降、バージョン番号が変わるような変更は行われていません。Windows Server 2016以降は「WSUS 10.0.<OSビルド>」とも呼ばれますことがありますが、実質的にWSUS 4.0であり、それがWindows Server 2025まで続いています。

 更新プログラムによる機能の追加は継続的に行われています。Windows 10/11の機能更新プログラムへの対応は、WSUS 4.0に対して行われました。その他にも最近では、前掲のニュース記事で書いたように、サポートが終了した「Report Viewer」への依存性の排除、Microsoft Updateカタログからの更新プログラムのインポート方法の変更(ActiveXコントロールへの依存性の排除)、Windows 10/11のUUP(Unified Update Platform)更新モデルへの対応が行われています。

Windows Server Update Services (WSUS)|Windows Server(Microsoft Learn)

 Windows Server 2025のWSUSは、いま例にあげた追加機能のすべてに最初から対応していることを確認しました。前出の画面3のレポート機能は、Report Viewerなしで利用できます。UUPに対応するための、IISのMIMEタイプ(.wim application/x-ms-wimと.msu application/octet-stream)も既定で設定されています。更新プログラムのインポートについては、以下の記事をご覧ください(画面5)。

メモ. WSUSに更新プログラムをインポートできない|Windowsトラブル解決

画面5 Windows Server 2025のWSUSに、2024年11月リリースのWindows 11向けオプションの更新プログラムをインポート
画面5 Windows Server 2025のWSUSに、2024年11月リリースのWindows 11向けオプションの更新プログラムをインポート

 

WSUS引退へのまでの道は、オンプレミス向けの代替ソリューション一般提供待ち?

 

 少なくとも、WSUSに変わるオンプレミス向けの代替ソリューションが提供されるまでは、“オンプレミスはWSUSで”という選択肢は間違ってはいません。Microsoftは既に、WSUS非依存のサービスとして、「Microsoft Intune」によるWindowsの更新プログラムの管理機能、Microsoft Intuneにテナントを登録してアクティブ化できる「Windows Autopatch(Windows自動パッチ)」を提供していますが、いずれも有料であり、WSUSにIT部門が求める以下のニーズのすべてをカバーしているわけではありません。例えば、どのWSUS非依存ソリューションも3つ目のオンプレミスでの更新ソースの提供はできません。

 

  • 更新プログラム管理の一元化(クライアントのグループ化、更新状態のレポート、グループポリシーによる管理など)
  • 更新プログラム管理の自動化(自動同期、自動承認)
  • オンプレミスでの更新ソースの提供(インターネットトラフィックや社内トラフィックの最適化、インターネットに接続できないクライアントへの更新プログラムの配信など)

 しかし、1つ目と2つ目のニーズは、Windows関連の更新ソースの多様化により、WSUS全盛時代がそうであったように、すべてのMicrosoft製品を一元管理できるという状況ではなくなりました。例えば、Windows 10/11クライアントを考えてみましょう。Windowsそのものはこれまで通り、Windows UpdateやWSUS、Microsoft Intuneなどで更新できますが、ストアアプリ(UWPアプリ)はMicrosoft Storeから更新を受け取ります。Microsoft 365 Appsや永続ライセンス版Officeは、また別の独自のOffice CDN(コンテンツ配信ネットワーク)から更新イメージ(パッチではなく、実行イメージ)を受け取ります。Microsoft Edgeもまた、Microsoft Edge用のダウンロード場所を使用します。


 Microsoft Edgeについては、WSUSで更新プログラムを配信することもできますが、Microsoft 365 AppsやOfficeは、WSUSで更新することはできません。WSUSの「製品と分類」オプションでは製品として「Microsoft 365 Apps/Office 2019/Office LTSC」を選択できますが、これはWSUSクライアントに配布できるものではなく、Microsoft Configuration Managerによるアプリの更新に使用されるものです。他の方法でオンプレミスに更新ソースを配置したければ、「Office展開ツール(Office Deployment Tool≪ODT≫」を使用して、更新ソースを作成し、最新状態に維持するする必要があります。

Microsoft 365 Apps の更新プログラム管理方法の選択|Microsoft 365(Microsoft Learn)

 また、3つ目のニーズも、現在のWSUSにおいても簡単ではなくなってきています。オンプレミスのWSUSがUUPに対応したことで、Windows 10/11のバージョンごと、および各バージョンのプロセッサアーキテクチャごとに、10GBの領域が追加で必要になるなど、更新ソースとなるサーバーのディスク領域を大量に消費することになってしまいました。それは同時に、Microsoft Updateとの同期により多くの時間がかかってしまうことでもあり、WSUS全体のパフォーマンスに大きく影響します。そして、開発終了扱いとなった現在、WSUSのリソース使用やパフォーマンスの問題が改善される見込みはないと考えたほうがよいでしょう。

WSUS 展開を計画する > UUP に関する考慮事項|Windows Server(Microsoft Learn)

 ディスク領域の大量消費と同期に長い時間がかかる問題は、「更新ファイルと更新言語」オプションの「更新ファイルをローカルに保存せず、Microsoft Updateからインストールします」に変更することで簡単に回避することはできます(画面6)。しかし、それはオンプレミスの更新ソースというニーズを満たせなくなる(更新カタログの情報、ダウンロード元のURLを提供するだけ)ことです。このオプションを有効にした場合、インターネットアクセスが制限されるクライアントは、更新プログラムをダウンロードできなくなってしまいます。

画面6 「更新ファイルをローカルに保存せず、Microsoft Updateからインストールします」を選択すれば、大量のディスク消費と同期に時間がかかる問題を解消できるが、更新ソースをオンプレミスに配置するというニーズを満たせなくなる
画面6 「更新ファイルをローカルに保存せず、Microsoft Updateからインストールします」を選択すれば、大量のディスク消費と同期に時間がかかる問題を解消できるが、更新ソースをオンプレミスに配置するというニーズを満たせなくなる

 

 Microsoftは、Windows Server 2025の正式リリースの直前から、Microsoftコンテンツを配信するためのソフトウェアベースのキャッシュソリューション「Microsoft Connected Cache for Enterprise and Education」のプレビュー提供を開始しました。このソリューションはWSUSの機能を完全に置き換えるものではありませんが、WSUSに代わって、企業のインターネット接続帯域と企業内ネットワークのダウンロードトラフィックを最適化することができるものです。次回はこのソリューションを試用してみた結果をレポートします。

 

更新情報:

2025年1月27日 ハードウェアベンダーは、WSUSの「ドライバー」および「ドライバーセット」(Windows Server 2016以降のWSUS)の分類を使用して、WSUSを通じてドライバーを提供することができましたが、Microsoftは2025年4月18日をもって今後(時期は未定)、WSUSのドライバー同期を終了する予定です。Microsoft Updateカタログでは引き続きドライバーは利用可能ですが、WSUSへのインポートはできなくなります。今後、クライアントデバイスへのドライバーの提供は、Microsoft Updateカタログからの手動ダウンロード、およびMicrosoft IntuneやWindows Autopatch(旧称、Windows Update for Business展開サービス)といったクラウドベースのドライバーサービスによって提供されます。

 

Deprecation of WSUS driver synchronization|Windows IT Pro Blog(Tech Community)

 

2025年4月8日 2025年4月のドライバー同期終了は延期されました。

Continuing WSUS support for driver synchronization|Windows IT Pro Blog(Tech Commmunity)

Windows Server 2025大特集(1)|...|(12)

 

blog_yamanxworld_subscribe

blog_yamanxworld_comment

blog_yamanxworld_WP_ws2025

戻る  
  次へ

最新記事