kkamegawa's weblog

Visual Studio,TFS,ALM,VSTS,DevOps関係のことについていろいろと書いていきます。Google Analyticsで解析を行っています

トップ > Windows > WSUS非推奨化発表に伴う感想と今後どうするのか

WSUS非推奨化発表に伴う感想と今後どうするのか

Windows セキュリティ Windows Update

techcommunity.microsoft.com

※ とりあえず現時点(2024/9/21)でのアナウンスなので、今後撤回もしくは延期される可能性もあります。

10月公開といわれているWindows Server 2025ではWSUSは継続するようですが、今回非推奨化のアナウンスが出たので、(変更がなければ)おそらく2025の次のWindows Serverには非推奨マークがつくのだろうと思います。私もWSUS初登場時からずっと使ってきて、大変お世話になりました。感慨深いですね。

とはいえ、私が管理する自宅ではもうWSUSの運用やめちゃったんですよね。昔は複数のWindows Serverがあって、Officeもいろいろあってと自宅で10台程度でも割と運用する意味があったんですが、今はもうないかなーということでWindows Server 2019のころにやめてしまいました。

WSUSそのものが重い

Visual Studioサブスクリプションライセンスで提供されるSQL ServerとWindows Serverで環境作って検証していましたが、実機でもかなり重かった。自宅の狭いネットワークだと帯域は問題にならないのですが、本番ではサーバーや社内のLANのせいで一日たってもダウンロードできないとかしょっちゅうみました。これは笑い話があって、組織内のWSUSからのダウンロードまつより普通にUpdate Catalogから手動でダウンロードしちゃう方が早かったんですよね。Update Catalogだと数分でダウンロード終わるし。

本番だといい性能のサーバー使うのでしょうけど、これにどこまでお金かけるのか?というとちょっとためらうところが多いのではと思います。ちなみに自宅でもそこそこいい性能のCPUとかディスクとか使っていました。SQL Serverのインデックスや使わなくなったパッチを定期的にクリーンアップしないといけないというのもつらかった。

あと、ディスクサイズがね…当時2TBのディスクをほぼWSUS専用で用意していたのに容量不足の警告出たときはびっくりしました。Windows 10とWindows Server 2016/2019くらいだったかな?だけなのに…。クリーンアップもそれなりにしていましたが、ちょっとこれはやってられないなということになって廃止しました。

環境移行面倒

WSUSの移行ってたまに聞かれますが、同期したコンテンツを移すよりももう一度新しいサーバーで同期してくれ、ということになっていて、これがまぁ面倒でした。いやそりゃ古くもう不要になったOSやアプリがなくなるので心機一転ということはわかるのですが。あのWSUSのカタログ適当じゃないけど、ルールがよくわからなくて困ったんですよね。このカタログは本当に同期する必要あるのかとか。

WSUSで管理できないものも増えた

ほぼOfficeなんですが。会社でも「OfficeはWSUSから管理できますか?」という質問が割とよくあります。WSUSのカタログにあるから勘違いされるのですが、クイック実行のOfficeではMicrosoftのCDNからの取得になるのでできません。

learn.microsoft.com

したがってオフライン環境で組織内に何らかの手段で取得するサーバーを用意しなくてはなりません。OfficeとってこれないのであればほぼOSだけですよね。しかもこれ結構めんどくさい(毎月とってくる手間もある)。まぁWSUSをオフライン運用していた人ならできるのかもしれませんが…。

あとはproxy使っている場合、組織内ではProxyを使うけど組織外では使わない、なんて制御もちょっと面倒。バイパスするとかそりゃいろいろ方法はありますが、小さいところではそれこそ面倒。

じゃあどうするの

元記事のコメントにもついていますが、無料で展開をコントロールするソリューションというのはないっぽいですね。Ansible使ってリモートで順繰りにとかありましたが、結構でかいパッチファイルを一台ずつ送るのはちょっとなぁ…という気はします。Windows Updateなら差分なので毎月真面目にインストールしていれば2-300MBくらい?でしょうかね。Defenderなどの定義ファイルの問題もあります。

Unified Update Platformが出てきて、オンプレミスにも提供されたから、細々と続くのかなと思っていたので、今回の発表は正直ちょっと意外でした。

learn.microsoft.com

jpmem.github.io

blogs.windows.com

techcommunity.microsoft.com

サーバーはAzure ArcにつないでAzure Update Managerでやって、クライアントはWindows E3/E5(もしくはM365 E3/E5)ライセンスのAutopatch使えということなのでしょうけど、Update ManagerってArc Enabledだと$5/server/monthというまぁまぁなお値段します。台数少なければWSUSサーバーの運用よりは安いとは思うのですが…ね。

learn.microsoft.com

azure.microsoft.com

Update Managerも20台くらいまでは一台ずつでもいいけど、それ超えたらボリュームディスカウントというか、Tier制にしてほしいですね。あとは長期予約割引とか。

どうしても組織内で配布したいという場合はMicrosoft 接続キャッシュ(Connected Cache)を使うのでしょう。まだプレビューですが、WSUS廃止までには正式版になる…のかな。ネットワーク帯域の節約はここに集約していくのでしょうね。

learn.microsoft.com

というとりとめもない感想でした。