手動かWSUSか、Windows 10アップデートのトラブル回避術3選
「突然アップデートが始まり、更新が終わるまで数時間作業できない」……。Windows 10に移行して安心したのもつかの間、定期的にリリースされる更新プログラムに悩む企業は少なくない。業務に支障をきたさずWindowsアップデートするには? 3つの方法を紹介する。
2020年1月14日にWindows 7のサポートが終了した。移行先のWindows 10は、半年に一度リリースの機能更新プログラム(Feature Update)で機能拡充を、月次リリースの品質更新プログラム(Quality Update)でセキュリティ機能などの更新を実施する。
Windows 10の自動更新機能は、インターネットに接続すれば自動ダウンロードで実行されるため、ユーザーの手間を軽減する。一方で、ダウンロード時のネットワーク負荷とPC負荷の大きさ、実行時の再起動といった更新完了までの処理が従来のバージョンよりも大きな問題となっている。
業務停止にデータ消失、更新プログラム適用の問題点
品質更新プログラムは、従来の最新パッチのみを追加適用していた方法から、過去の更新プログラムも全て適用する仕様になり、容量は約1GBへと膨れ上がった。機能更新プログラムに至っては2〜3GBに及び、Windows 7と比べると約7倍のサイズだ。
例えば更新プログラムがリリースのタイミングで社内のPC100台に対して一斉に適用されると、200〜300GBのダウンロードトラフィックが発生する。インターネット回線に負荷をかけ、遅延するといったパフォーマンスの低下が想像できる。
さらに課題なのは、アップデートの適用タイミングをユーザー側でコントロールできず、PCにダイアログが表示されないことだ。適用が始まれば、更新完了まで業務は停滞してしまう。サードパーティー製のソフトやデバイスがアップデート後に動かなくなったという例もある。
機能更新プログラムでは、リリース後すぐに適用すると、バグによる思わぬトラブルも起きかねない。これまでに「アップデート後にマイドキュメントのデータが消えた」「Microsoft Excel2010が起動しない。Windows 7でファイルを共有できなくなった」「更新適用後に印刷できなくなった(Windows 10の品質更新のケース)」などのトラブルが起きている。このようなトラブルが頻発すれば、業務部門からIT部門に問い合わせが殺到し通常業務ができなくなってしまうだろう。
しかし、アップデートしない選択肢はない。セキュリティ更新を早期に適用しなければ、ウイルス感染のリスクがある。機能更新プログラムは年2回の更新スケジュールでリリースされる。最新の3バージョンに限って無料アップデートが可能なため、最大でもリリース後18カ月のうちに適用しなければならない。適用しなければWindows 7を使い続けるのと同等のリスクを背負うことになる。
では、業務に支障なくPCをアップデートするには、どうすれば良いのだろうか。
※本稿は2020年2月7日の大塚商会主催「実践ソリューションフェア2020」での講演を基に再構成した。
Windows 10アップデートを業務に支障なく適用する3つの方法
まず、PC利用業務を滞らせることなく、不具合発生をできるだけ少なくするには、管理者側のコントロールが肝となる。更新プログラムリリースをトラブルが起きないように自社の適切なタイミングまで遅らせる計画を立て実行することが、スムーズで安全なアップデートの秘訣だ。
そのためには、ビジネスユーザー向けのエディション(Pro/Enterprise)を導入が必須だ。コンシューマー向けの機能更新プログラムには適用を遅らせる方法がないバージョンか、最大35日間延長できるバージョンしかない。
また、Windows 10の機能更新は「リング配信」方式で、まず専門家やマニア層らを対象に「Insider Preview」版を配信し、その結果のバグ修正を施して「Home Editionユーザー」(コンシューマー向け)に正式リリースし、さらにそこで生じたバグの修正後にPro/Enterprise向けに配信する仕組みとなっている。つまり、ビジネスユーザー向けのPro/Enterpriseでなければ安定したプログラムを適用できないということだ。
では、Pro/Enterpriseでアップデートトラブルを防ぐにはどうすればよいのか。大塚商会でWindowsアップデート課題解決支援サービスを担当する相馬大高氏は、以下のように3つの方法を解説した。
方法1:手動で機能更新タイミングを遅らせる
「設定」画面の「更新とセキュリティ」メニューで機能更新タイミングを個別設定できる。例えば、機能更新プログラム適用で不具合が起きないか検証するために、検証用PCグループに、更新プログラムのリリースから180日後に適用する設定をする。次に、本番の業務PCの1グループには210日後、他のグループには240日後に適用するなど自社に適したスケジュールでPC個別の設定をしておく。これでダウンロードのトラフィックはある程度分散可能だ。
相馬氏によると、安定した機能更新プログラムのバージョンになるまで4カ月以上を見込んだほうがよいという。バグフィックスの可能性の他、周辺機器への対応事情もある。機能更新の都度、プリンタドライバやアンチウイルスツールなども更新されるが、時には新規の更新対応まで数カ月かかることがある。これらを見込み、適用タイミングを延期する必要がある。検証用PCや、適用後の本番PCに不具合がないか確認しながら、7〜30日ほど期間をあけて次々に複数の本番PCグループに適用していく。
この方法はシンプルだが、エンドユーザーにとっては「突然アップデートが始まる」問題は解決できず、何より手作業で設定する管理者の負荷が大きい。PCが数台しかない企業であれば良いが、規模の大きい企業では難しい。また、品質更新プログラムの不具合はこの方法では回避できない。
方法2:WSUSとAD(Active Directory)を利用する
WSUS(Windows Server Update Services)は、Windowsサーバ製品に無料で付属するソフトウェアで、Windowsアップデートに特化したWSUSサーバを立ち上げられる。WSUSサーバは機能更新プログラムや品質更新プログラムを適時ダウンロードし、検証用のPCグループや本番環境の複数のPCグループにタイミングをずらしてアップデートを適用できるというものだ。
インターネット回線を使ったダウンロードはWSUSサーバのみ実施するので、PC同時ダウンロードでインターネット帯域を逼迫(ひっぱく)させることはない。また、社内PCへの適用スケジュールをWSUSサーバ上で管理者が適切に設定すれば自動的にアップデートが適用できる。品質更新プログラムでも、適用延期が可能だ。
ただし、個々のPCの更新プログラム受け取り先をWSUSサーバに設定変更するには、PCのレジストリを書き換えなければならない。これをエンドユーザー自身に書き換えてもらうのはハードルが高いため、基本的には管理者が1台1台設定する。
「大塚商会でWSUSサーバを構築した場合、設定変更プログラムをエンドユーザーに渡し、起動するだけで設定完了する仕組みも取れるが、それでも実行を徹底するのは難しい」(相馬氏)
管理者負担の軽減には、設定を一括変更できるAD(Active Directory)という組織内のPCの一元管理ツールがある。受け取り先設定の他にもパスワードポリシーや省電力設定などの標準ポリシーを各PCに一括して強制的に適用する機能がある。ADサーバ導入コストと運用管理コストはかかるが、ある程度の規模でPCを利用している会社なら、管理者負担の減少、セキュリティとコンプライアンス改善といったメリットがある。
なお、ADを用いた支社の遠隔地PCアップデートでは、ブランチキャッシュを利用して拠点間ネットワークのトラフィックを削減できる。まず本社のWSUSサーバが更新プログラムをダウンロードした後、VPN回線を通して支社のPCに送信。支社のPCは更新プログラムの適用と同時にブランチキャッシュとして保存する。支社内のPCグループは、WSUSのスケジュールに沿って送られる更新指示に従い、ブランチキャッシュとして保存された更新プログラムを受け取って適用する。さらに他のグループもブランチキャッシュを利用してアップデートを適用していくという仕組みがとれる。
相馬氏は、「個人的な感覚として、PCが11〜30台くらいまではWSUS運用が効果的だが、31〜50台になると、WSUSとADを利用したほうが良い。51台以上の環境では、WSUSとADの両方がないと管理できない」とアドバイスする。管理者の負担をどこまで許容するかや、エンドユーザーのリテラシーの度合いも考慮して、適切なアップデートの方法を選ぶのがよいだろう。
方法3:アップデート代行サービスを利用する
WSUSやADの導入、運用管理にはコストがかかり、専門知識をもつ人材の配置も必要になる。そこでWSUSサーバやADサーバの運用管理をアウトソーシングするのも選択肢となる。
「大塚商会の『らくらくWSUS』サービスを例に話すと、機能更新プログラムリリースの一定期間後に検証PCに先行適用し、その後スケジュールにのっとって本番PCに適用するといった運用管理を代行する。毎月の品質更新プログラムについても同様。ただし検証の後は全PCに一斉適用する。また品質更新プログラムの不具合情報は、Microsoft側からの情報ばかりでなく顧客からの問い合わせ情報も活用し、社内で判定会議を行い、適用の延期が推奨される場合はその旨を顧客にお伝えする」(相馬氏)
このようなサービスを利用することで、ユーザー企業側は更新プログラムの情報収集、適用スケジュール検討、作成、適用承認などの作業から解放され、検証機での動作確認といった作業だけが残ることになる。適用状況についてもレポートが提供されるので、アップデートに失敗したPC特定と対応も容易だ。また、社内設置のADサーバのリモートから代行運用するアウトソーシングサービスも利用できる。PC個別のサポートサービスも利用できるので、運用管理の煩雑な業務に悩む企業は検討する価値があるだろう。
相馬氏は「現実のIT部門の仕事はサポート・ヘルプデスクの仕事が50パーセント、運用、管理、保守の仕事が40パーセント。新規提案や改善提案に割ける時間は10パーセント程度だ。アウトソーシングは新規提案や改善提案に使う時間を増やす。有効活用を考えては」と話した。IT部門は普段からアプリケーションのサポートに忙殺されがちだ。OSアップデートはツールやサービスの導入で省力化を考えてみてもよいだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- WSUSは使えない? Windows 10の更新が失敗する原因と対策
Windows 7のサポートが終了したこともありWindows 10への移行が急がれる。しかし、既に移行を済ませた企業からは「大型アップデートのたびにトラブルが起きる」という悲鳴も聞こえてくる。その原因と有効な対策を専門家に聞いた。 - Windows 10の標準機能だけでセキュアなWebブラウザを作る方法
Windows 10が標準で持つ仮想化機能を活用すれば、特別なツールを使わなくてもセキュアなWebブラウジング環境を用意できる。Chromium版Edgeの便利な使い方とセキュアブラウザの実現方法を解説する。 - 「Chromium版Edge」アップデートの問題と対処法〜2020年1月15日のWindows Updateの注意点を解説
2020年1月15日、「Windows 10」ユーザーのデフォルトWebブラウザを一斉に変更するアップデートが予定されている。対策を講じない場合は全従業員の端末で設定が変更されるため、PC管理者は不要な混乱が生じないよう、事前に対策を講じる必要がありそうだ。 - 社員任せのWindows 10アップデートはリスクだらけ、IT資産管理ツールでどう回避する?
Windows 7のサポート終了を目前に、Windows 10へ移行を急ぐ企業は多いが、移行して終わりではない。WIndows 10のアップデート管理という次なる問題もある。今までのようにアップデート運用を社員任せにしていては、大きなリスクを引き起こす恐れがある。