【徹底解剖】巨大化するWindows 10の更新プログラム。アップデートの通信負荷と配信管理の最適化手法（後編）

（前編から読む）

近年はOffice 365をはじめとするクラウドサービスのビジネス利用が拡大しています。クラウドサービスの利用は、ネットワークにつながっていることが前提です。そのような状況でWindows 10のアップデートを行うと、ネットワークの負荷増大により通信が滞り、業務にも悪影響を及ぼしかねません。

前編では「更新プログラムの配信方法」「ネットワークの負荷制御」「更新プログラムの適用計画」という3つの対策のうち、更新プログラムを配信管理するメジャーな5つの手法を紹介しました。しかし、これだけではアップデートの通信負荷やPCへの適用作業の負担は減らせず、業務に使用するOffice 365や他のシステムに影響が発生する恐れがあります。3つの対策をセットで実行することで、その効果はより大きなものになります。

後編は「ネットワークの負荷制御」と「更新プログラムの適用計画」を最適化する手法とともに、課題解決に有効な注目のソリューションを紹介します。

目次（後編）

1. 対策2：合わせ技で解決！更新プログラムのネットワーク負荷制御方法
2. 更新プログラムで使用する帯域の制御手法
3. 対策3：更新プログラムの適用計画はリスク対策としても有効
4. WSUSを「サービス」として利用し、コストと機能を両立

対策2：ネットワークの負荷制御
合わせ技で解決！更新プログラムのネットワーク負荷制御方法

管理対象のPC台数が多くなるほど、通信トラフィックをコントロールする「ネットワークの負荷制御」がより重要になってきます。前回取り上げた5つの手法のうち、「WSUS」「アップデート管理システム」「BranchCache」はネットワークの負荷制御が可能です。なかでもPC間で更新プログラムデータをキャッシュし、共有するBranchCacheは、ゲートウェイの負荷を軽減する上で非常に有効です。更新プログラムが配布されたPC台数が多くなれば、キャッシュ量が増え、ダウンロードする更新プログラム容量も少なくて済むからです。

一方で更新プログラムが配布されたPC台数が少ないと、キャッシュ量も少なくなります。この場合、あまり効果が見込めないので注意が必要です（図1、図2）。特に新しい更新プログラムを配信開始した直後は、ネットワーク負荷が増える傾向となります。そのため、新しい更新プログラムが公開された際には、WSUSやアップデート管理システムで帯域を制限し、一定数のPCに更新プログラムを配信した上で、BranchCacheを活用する方法が有効です。

【図1】BranchCacheにキャッシュがない状態の更新プログラムの適用
初回配信はBranchCache上にキャッシュしたデータがないため、すべてWSUSからのダウンロードになる

【図2】BranchCacheにキャッシュがある状態の更新プログラムの適用
2回目以降はキャッシュデータがあるため、WSUSからのダウンロード量は減少する。キャッシュデータが十分に蓄積すると、WSUSからのダウンロード通信は70％削減できるという検証データもある

更新プログラムで使用する帯域の制御手法

ではWSUSやアップデート管理システムで帯域制御するには、どのような方法があるのでしょうか。主要な5つの方法を紹介しましょう。

運用まで含めたネットワークの負荷軽減効果を考えると、LEDBAT、IIS、ネットワーク機器の3つが有力候補と言えそうです。ただし、LEDBATは未使用の帯域を活用するため、正常通信時も帯域利用率が100％となることもあり、実績もまだ少ないのが難点です。

IISはWSUSサーバ上で動作するIIS機能で帯域制御するので比較的導入が容易ですが、制御できるのは更新プログラムの配信帯域のみで、PCからの適用状況収集は制御できません。ネットワーク機器は送受信両方の通信帯域を制御できますが、WSUSやWindows Updateの仕組みを理解した上でネットワーク機器を設定・管理することが求められます。

（資料DL）さらに詳しい比較表も収録！管理者必携のホワイトペーパーを差し上げます。
ダウンロード（無料）

対策3：更新プログラムの配信方法
更新プログラムの適用計画はリスク対策としても有効

Windows 10のアップデートによる諸問題を解決するためには、アップデートによる変更が企業で使用しているシステムやデータに影響しないよう担保することも重要です。最近では2018年10月にマイクロソフトが機能更新プログラムをリリースしたところ、一部ユーザからファイルが失われる問題の報告が上がり、機能更新プログラムの配信を一時停止するという事態が発生しました。リスクに備えるためにも、「更新プログラムの適用計画」の策定・実行は欠かせません。

具体的には、まず一部のPCに限定して更新プログラムを配信。影響がないことを確認した上で、全体への配信タイミングを検討する必要があるでしょう。配信タイミングを適切に計画すれば、通信の負荷分散が可能になり、ネットワークの負荷軽減にもつながります。配信のタイミングを設定するグループポリシーは、部署やリージョンだけを根拠に展開グループを決めるのではなく、BranchCacheと併用で通信を最適化できるグループ分けを行うことで、より大きな効果が見込めます。

WSUSを「サービス」として利用し、コストと機能を両立

これまで紹介したように、総合的に判断すると、更新プログラムの配信方法は「WSUS」または「アップデート管理システム」のどちらかとBranchCacheを組み合わせることが効果的です。しかし、SCCMをはじめとしたアップデート管理システムは、機能が豊富で一定の導入／運用コストが必要。Windows 10のアップデート対策だけに導入するのは少々オーバスペックです。あまり大きな投資をせずに、Windows 10のアップデート対策を実現したい企業は、WSUSによる管理が現実的と言えるでしょう。

本コラムではあまり詳しく触れていませんが、WSUSで更新プログラムの適用計画を実施する場合、複数バージョンの更新プログラムをWSUSサーバ内に保有しなければなりません。新しい更新プログラムが提供されると、不要になる更新プログラムも発生するため、定期的なメンテナンスは不可欠です。これを怠るとWSUSサーバのリソースが逼迫し、適切に運用できなくなる恐れがあります。管理対象のPCが数百台を超える企業では、運用の煩雑化は避けられないでしょう。

最近はこうした課題を解消するサービスも登場しています。IIJが2019年10月から提供を開始した「IIJディレクトリサービス for Microsoft WSUSオプション」はその1つです。Active Directoryとセットで、構築済みのWSUSサーバをPaaSサービスとして提供します（図3）。WSUS機能をIIJが監視・運用するため、WSUSDBのクリーニングなど、お客様の運用負荷を大幅に軽減します。WSUSサーバによる更新プログラム取得用のネットワークも一体的に提供可能です。Windows 10アップデートによる企業ネットワークへの負荷を回避できるため、業務影響の心配も軽減できます。

OSの品質やセキュリティを向上する上で、Windows 10のアップデートは欠かせないものですが、それによって業務が阻害されては本末転倒です。かといって、アップデートのためだけに高額な投資をしたり、運用が煩雑化するのは避けたい。そうした課題を抱える企業にとって「IIJディレクトリサービス for Microsoft WSUSオプション」は有力な選択肢となります。

【図3】「IIJディレクトリサービス for Microsoft WSUSオプション」の活用イメージ
企業ネットワークとは別の回線で更新プログラムを取得し、WSUSサーバの監視・運用はIIJが代行する。お客様は更新プログラムの適用計画の策定・実行に専念できるようになる

この記事を読んだらチェックしたいサービス

クラウド型のActive Directory/Azure AD Connect/WSUS

IIJディレクトリサービス for Microsoft

DL資料あり

Active Directory のクラウド化により運用負荷を軽減