「そこそこ重要」なサーバーのWindows Update どう設定する?

Windows全般
スポンサーリンク

重要なシステムサーバーのWindows Updateは自動実行させず、計画されたメンテナンス時に手動で行っているケースが多いかと思います。しかし社内用のそこまで重要ではないが、かといって日中は止めたくないシステムのサーバーはどうでしょう。変なタイミングで自動実行させたくないし、わざわざ時間外にメンテナンス作業もしたくない。そんな「そこそこ重要」なサーバーのWindows設定方法の例を紹介します。

課題

社内システム用のWindows Serverを運用しています。顧客向けの超重要システムとまではいかないが、停止すると社内業務にそこそこ支障があり、基本的に常時稼働させています。

下記のとおり、定期的な更新プログラムの適用とそれに伴う再起動が必要なのですが、Windows Updateの設定はどのようにすべきでしょうか?

Windows Updateの要件など
  • 更新プログラムは、公開後おおむね1週間以内に適用する
  • 更新プログラムの事前検証や、適用後のシステム動作確認は特に行わない
    (適用後に異常の報告があれば、担当者が調査して対応する方針)
  • サーバー再起動後の手動処理は不要
    (サーバーが再起動すればシステムも自動的に使用可能)
  • 休日や深夜に担当者が出勤して作業するのはナシ
システムの停止可否・利用状況
  • 平日営業時間中(9:00~17:00)は停止しない
  • 平日17:00~00:00頃も、なるべく停止したくない
    (残業している社員が使用するため)
  • 土日は、休日出勤で使用される場合があるため、停止するときは事前通告が必要
  • 深夜0:00~6:00頃は、まず使用されることは無い

設定方針の例

上記のケースに沿った設定方針例は次の通りです。

  1. 毎週木曜日AM3:00に更新プログラムを自動インストールするよう設定
  2. 毎週木曜日AM4:00にコンピューターを自動再起動するよう設定
    (更新プログラムの適用有無にかかわらず、毎週再起動する)
  3. アクティブ時間6:00~0:00に設定(念のため)
  4. システム利用者に対し「毎週木曜日AM0:00~6:00のうち数分~数十分程度、システムが使用不可」と事前通告し了承を得る

曜日や時間はあくまで例ですが、これが適当だと思う理由は後述します。先に次項で、この設定方法を紹介します。

設定方法

前項の例を実際に設定する方法を説明していきます。これには、Windows 標準のローカルグループポリシー(またはドメイングループポリシー)とタスクスケジューラの設定で実現します。

Windows Update 自動インストール設定

該当コンピューターのポリシーを設定するために、ここではローカルグループポリシーを変更する手順を紹介します。まずは、ローカルグループポリシーエディターを起動します(起動方法)。

下図のように、左のツリーから[コンピューターの構成]> [管理用テンプレート]> [Windowsコンポーネント]> [Windows Update]を開き、「自動更新を構成する」ダブルクリックします。

開いた画面で、下のように「有効」を選択します。そして左下の設定で「4 – 自動ダウンロードしてインストール日時を指定」を選び、「自動メンテナンス時にインストールする」はOFFにします。その下は、指定曜日と時刻を選びます。ここでは「5-毎週木曜」の「03:00」、「毎週」を選択します。最後に「OK」ボタンで確定します。

前の画面に戻り、下のように該当項目の状態が「有効」になっていることを確認します。

自動再起動設定

OSの自動再起動は、Windows標準の「タスクスケジューラ」を使います。再起動用のタスクを作成し、毎週木曜日の4:00に実行するように設定します。具体的な方法は以下記事にまとめていますので、こちらを参考にして下さい。

上記記事のサンプルでは、水曜日のAM4:00に再起動する例を紹介しています。「トリガー」を編集して、毎週木曜日に設定すると良いでしょう。

アクティブ時間の設定(念のため)

この設定は不要かもしれませんが、変な時間にインストールや再起動が行われないように、保険としてアクティブ時間を設定しておきます。

[設定]>[更新とセキュリティ]>[Windows Update]を開き、下の赤枠分「アクティブ時間の変更」をクリックします。

下のように、「変更」をクリックして、アクティブ時間を設定します。保険として、自動的に再起動が走ると困る時間帯(最大18時間)を指定します。ここでは6:00~0:00を設定し、「保存」をクリックします。

理由

今回のケースに対して、なぜ前述の設定方針が適当と考えたのか、その理由を説明します。

①毎週木曜日AM3:00に更新プログラムを自動インストールする

土日でなくて平日の曜日としているのは、更新プログラムの問題でシステムに支障が生じた場合に、担当者が早く対応できる可能性が高いからです。もし担当者が土日も常駐しているなら土日もありですが、今回はそこまで手厚くないサーバーです。平日の未明あたりにスケジュールしておけば、その日の朝出社した担当者が素早く対応できるでしょう。

土日にすると、担当者に連絡が取れず、翌営業日の朝まで対応できない可能性が少なくありません。レアケースではありますが、土日にシステムを使おうとしている時点でただならぬ状況なのに、ダウンして担当者もつかまらないのは最悪です。

そうでなくても、月曜日の朝一からシステムが使えないとなると、業務上の影響が比較的大きそうです。それよりかは、平日の方がいいかと思います。

Windows Update ポリシー設定では「平日」という指定ができないので、曜日を一つ選ぶ必要があります。月曜日は祝日にあたるケースが多いですし、万一の場合「月曜日の朝一でシステムが使えない」とう状況は芳しくないので避けました。それ以外の火~金曜日であれば、どれでも良いかと思います。

細かい点ですが、セキュリティ更新プログラムは水曜日に公開されます(2022年・日本の場合)。これを最速で適用するためには、水曜日が良いかもしれませんが、その日のAM3:00だと時間的にダウンロードが間に合うのか微妙なので、木曜日としています。

②毎週木曜日AM4:00にコンピューターを自動再起動する

本当は「AM3:00の更新プログラムをインストールして、すぐに自動再起動する」という動作が良いのですが、そのような指定方法が見つからなかったため、タスクスケジューラで再起動するようにしています。

ただ、前述のポリシー設定だけでも、自動再起動されるという情報もあります。アクティブ時間として指定した時間以外に自動再起動する仕様のようです(試した限りでは、自動再起動したケースは見られませんが)。仮にそうだとしても、再起動される時間が不定というのは気持ち悪いので、こちらで確実に再起動してしまう方が良いように思います。

それに、定例のWindows Update以外にも再起動が必要になるケースはありますので、このように定例の再起動スケジュールを作っておくと、運用調整が楽になります。例えばセキュリティソフトのバージョンアップ後に再起動を要求されたとしても、システム停止のアナウンスなどせず、指定日時まで待つだけで良いのですから。

再起動をAM4:00としている理由は、更新プログラムのインストールがAM3:00に始まり、60分あればインストールが終わっていると思われるためです。心配ならもっと時間をずらしても良いですね。

③アクティブ時間を6:00~0:00に設定(念のため)

この設定だと、再起動はほとんどAM4:00に実施されると思います。ただ、AM3:00の更新プログラムインストール後、Windows Updateの画面をのぞいてみると、下のように「お使いのデバイスは、アクティブ時間外に再起動されます」と表示されています。

試した限りでは、ここでサインアウト状態にして待っても自動再起動はかからないように見えますが、再起動されることも想定しておく必要があります。今回のケースでは、再起動がかかっても影響が少ないのがAM0:00~6:00ですので、そこを非アクティブ時間帯として設定しています。

④事前に通告して了承を得る

こちらは説明するまでもありませんが、使用される可能性が低い時間帯だとしても、周知は必要だと思います。

システムが使えないのは、再起動が走るAM4:00から数分程度で済む可能性が高いのですが、前述の通り「アクティブ時間外の自動再起動」の動作がいまいち不透明です。そのため、「アクティブ時間外のAM0:00~6:00も再起動がかかるかも」ということを一応伝えておいた方が良いかと思います。

しっかり検証して正確なアナウンスをするのがベストですが、今回のケースではアクティブ時間外に使用されることがほぼ無いので、このようなフワッとしたやり方でも許されるのではないかと。

フィードバック

フィードバック

コメント

タイトルとURLをコピーしました