重要なシステムサーバーのWindows Updateは自動実行させず、計画されたメンテナンス時に手動で行っているケースが多いかと思います。しかし社内用のそこまで重要ではないが、かといって日中は止めたくないシステムのサーバーはどうでしょう。変なタイミングで自動実行させたくないし、わざわざ時間外にメンテナンス作業もしたくない。そんな「そこそこ重要」なサーバーのWindows設定方法の例を紹介します。
課題
社内システム用のWindows Serverを運用しています。顧客向けの超重要システムとまではいかないが、停止すると社内業務にそこそこ支障があり、基本的に常時稼働させています。
下記のとおり、定期的な更新プログラムの適用とそれに伴う再起動が必要なのですが、Windows Updateの設定はどのようにすべきでしょうか?
設定方針の例
上記のケースに沿った設定方針例は次の通りです。
- 毎週木曜日AM3:00に更新プログラムを自動インストールするよう設定
- 毎週木曜日AM4:00にコンピューターを自動再起動するよう設定
(更新プログラムの適用有無にかかわらず、毎週再起動する) - アクティブ時間を6:00~0:00に設定(念のため)
- システム利用者に対し「毎週木曜日AM0:00~6:00のうち数分~数十分程度、システムが使用不可」と事前通告し了承を得る
曜日や時間はあくまで例ですが、これが適当だと思う理由は後述します。先に次項で、この設定方法を紹介します。
設定方法
前項の例を実際に設定する方法を説明していきます。これには、Windows 標準のローカルグループポリシー(またはドメイングループポリシー)とタスクスケジューラの設定で実現します。
Windows Update 自動インストール設定
該当コンピューターのポリシーを設定するために、ここではローカルグループポリシーを変更する手順を紹介します。まずは、ローカルグループポリシーエディターを起動します(起動方法)。
下図のように、左のツリーから[コンピューターの構成]> [管理用テンプレート]> [Windowsコンポーネント]> [Windows Update]を開き、「自動更新を構成する」ダブルクリックします。
開いた画面で、下のように「有効」を選択します。そして左下の設定で「4 – 自動ダウンロードしてインストール日時を指定」を選び、「自動メンテナンス時にインストールする」はOFFにします。その下は、指定曜日と時刻を選びます。ここでは「5-毎週木曜」の「03:00」、「毎週」を選択します。最後に「OK」ボタンで確定します。
前の画面に戻り、下のように該当項目の状態が「有効」になっていることを確認します。
自動再起動設定
OSの自動再起動は、Windows標準の「タスクスケジューラ」を使います。再起動用のタスクを作成し、毎週木曜日の4:00に実行するように設定します。具体的な方法は以下記事にまとめていますので、こちらを参考にして下さい。
上記記事のサンプルでは、水曜日のAM4:00に再起動する例を紹介しています。「トリガー」を編集して、毎週木曜日に設定すると良いでしょう。
アクティブ時間の設定(念のため)
この設定は不要かもしれませんが、変な時間にインストールや再起動が行われないように、保険としてアクティブ時間を設定しておきます。
[設定]>[更新とセキュリティ]>[Windows Update]を開き、下の赤枠分「アクティブ時間の変更」をクリックします。
下のように、「変更」をクリックして、アクティブ時間を設定します。保険として、自動的に再起動が走ると困る時間帯(最大18時間)を指定します。ここでは6:00~0:00を設定し、「保存」をクリックします。
理由
今回のケースに対して、なぜ前述の設定方針が適当と考えたのか、その理由を説明します。
①毎週木曜日AM3:00に更新プログラムを自動インストールする
土日でなくて平日の曜日としているのは、更新プログラムの問題でシステムに支障が生じた場合に、担当者が早く対応できる可能性が高いからです。もし担当者が土日も常駐しているなら土日もありですが、今回はそこまで手厚くないサーバーです。平日の未明あたりにスケジュールしておけば、その日の朝出社した担当者が素早く対応できるでしょう。
土日にすると、担当者に連絡が取れず、翌営業日の朝まで対応できない可能性が少なくありません。レアケースではありますが、土日にシステムを使おうとしている時点でただならぬ状況なのに、ダウンして担当者もつかまらないのは最悪です。
そうでなくても、月曜日の朝一からシステムが使えないとなると、業務上の影響が比較的大きそうです。それよりかは、平日の方がいいかと思います。
Windows Update ポリシー設定では「平日」という指定ができないので、曜日を一つ選ぶ必要があります。月曜日は祝日にあたるケースが多いですし、万一の場合「月曜日の朝一でシステムが使えない」とう状況は芳しくないので避けました。それ以外の火~金曜日であれば、どれでも良いかと思います。
細かい点ですが、セキュリティ更新プログラムは水曜日に公開されます(2022年・日本の場合)。これを最速で適用するためには、水曜日が良いかもしれませんが、その日のAM3:00だと時間的にダウンロードが間に合うのか微妙なので、木曜日としています。
②毎週木曜日AM4:00にコンピューターを自動再起動する
本当は「AM3:00の更新プログラムをインストールして、すぐに自動再起動する」という動作が良いのですが、そのような指定方法が見つからなかったため、タスクスケジューラで再起動するようにしています。
ただ、前述のポリシー設定だけでも、自動再起動されるという情報もあります。アクティブ時間として指定した時間以外に自動再起動する仕様のようです(試した限りでは、自動再起動したケースは見られませんが)。仮にそうだとしても、再起動される時間が不定というのは気持ち悪いので、こちらで確実に再起動してしまう方が良いように思います。
それに、定例のWindows Update以外にも再起動が必要になるケースはありますので、このように定例の再起動スケジュールを作っておくと、運用調整が楽になります。例えばセキュリティソフトのバージョンアップ後に再起動を要求されたとしても、システム停止のアナウンスなどせず、指定日時まで待つだけで良いのですから。
再起動をAM4:00としている理由は、更新プログラムのインストールがAM3:00に始まり、60分あればインストールが終わっていると思われるためです。心配ならもっと時間をずらしても良いですね。
③アクティブ時間を6:00~0:00に設定(念のため)
この設定だと、再起動はほとんどAM4:00に実施されると思います。ただ、AM3:00の更新プログラムインストール後、Windows Updateの画面をのぞいてみると、下のように「お使いのデバイスは、アクティブ時間外に再起動されます」と表示されています。
試した限りでは、ここでサインアウト状態にして待っても自動再起動はかからないように見えますが、再起動されることも想定しておく必要があります。今回のケースでは、再起動がかかっても影響が少ないのがAM0:00~6:00ですので、そこを非アクティブ時間帯として設定しています。
④事前に通告して了承を得る
こちらは説明するまでもありませんが、使用される可能性が低い時間帯だとしても、周知は必要だと思います。
システムが使えないのは、再起動が走るAM4:00から数分程度で済む可能性が高いのですが、前述の通り「アクティブ時間外の自動再起動」の動作がいまいち不透明です。そのため、「アクティブ時間外のAM0:00~6:00も再起動がかかるかも」ということを一応伝えておいた方が良いかと思います。
しっかり検証して正確なアナウンスをするのがベストですが、今回のケースではアクティブ時間外に使用されることがほぼ無いので、このようなフワッとしたやり方でも許されるのではないかと。
おわりに
今回の記事は以上です。不備やご意見等ありましたら、下のコメント欄やtwitterからお願いします。
Windows Server の知識をさらに深めるには、書籍もおすすめです。Windows Server は実は機能が豊富で、Webに情報がないケースも多いです。無駄に探し回らないために、良書を手元に置いておくと効率的です。おすすめの本は、以下記事にまとめています。
最後まで読んでいただきありがとうございました。
フィードバック
あなたが抱えている疑問や悩みは解決できたでしょうか?当ブログではそれを最重視しています。今後もあなたの役に立つ情報を提供するために、ぜひ教えて下さい。
コメント