none
インターネットに接続できない環境でのセキュリティパッチ配信について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    クライアントPC(Windows10・7が混在)環境へのセキュリティパッチ配信を計画しています。

    当該のクライアントPCが配置されているネットワークは、インターネットへのアクセスを不可としており

    WindowsUpdateへの接続ができません。(以下、「イントラネットワーク」といいます。)

    なお、インターネットに接続できるクライアントPCは手持ちの資材としてあります。

    そこで、インターネットアクセス可能な端末にWindowsUpdateからセキュリティパッチをダウンロードし、

    ダウンロードしたセキュリティパッチを、イントラネットワークに構築したWSUSから配信したいと思います。

    ■確認したいこと

    イントラネットワークでWSUSを導入できるかご意見を頂けないでしょうか。

    〔確認①〕

    WSUSで配信可能なセキュリティパッチのセットを、WindowsUpdate等からダウンロードすることはできないでしょうか。

    →以下のような記事があり、「オンライン用のWSUS」がないとオフライン環境にセキュリティパッチを配布することはできないのではないか

    と懸念をしています。

    https://blogs.technet.microsoft.com/jpwsus/2017/09/06/offline-wsus/

    *WSUSで配信可能なパッケージ(メタデータ)が、WindowsUpdate等で、クライアントPCにダウンロードできるファイルとは形式や

    構成が異なることを記載している技術文章があると、大変助かります。

    〔確認②〕

    WindowsUpdateからダウンロードしたファイルを、クライアントに配布するには、SCCM等、別のソリューションが必要となるのでしょうか。

    お手間をおかけしますが、御確認を頂ければと思います。

    西川 覚

    2018年3月1日 1:36
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    懸念されている通り、オフライン環境で WSUS を構成するには、オンライン環境の WSUS が必要です。オンラインのクライアント Windows では WSUS からの配信用の更新プログラムを受信することはできません。

    > *WSUSで配信可能なパッケージ(メタデータ)が、WindowsUpdate等で、クライアントPCに
    > ダウンロードできるファイルとは形式や構成が異なることを記載している技術文章があると、大変
    > 助かります。

    そもそも別のテクノロジーなのでわざわざ明記した資料はないかもしれませんが、マイクロソフトの公式回答が必要であれば、有償サポートを利用された方が良いでしょう。

    hebikuzure

    2018年3月1日 6:41
    |

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    懸念されている通り、オフライン環境で WSUS を構成するには、オンライン環境の WSUS が必要です。オンラインのクライアント Windows では WSUS からの配信用の更新プログラムを受信することはできません。

    > *WSUSで配信可能なパッケージ(メタデータ)が、WindowsUpdate等で、クライアントPCに
    > ダウンロードできるファイルとは形式や構成が異なることを記載している技術文章があると、大変
    > 助かります。

    そもそも別のテクノロジーなのでわざわざ明記した資料はないかもしれませんが、マイクロソフトの公式回答が必要であれば、有償サポートを利用された方が良いでしょう。

    hebikuzure

    2018年3月1日 6:41
    |
  • Question
    サインインして投票
    1
    サインインして投票

    項目ごとに回答します。

     

    〔確認①〕

    提示された Microsoft ブログにある通り、オフライン環境に WSUS を用意する為にはオンライン WSUS が必要な認識です。

    他の方法でオフライン WSUS にカタログやファイルをインポートする等してオフライン WSUS が構築可能だとしても、Microsoft としては動作保証外でしょうからお奨めしません。

     

    また、WSUS とクライアントで用いるカタログやファイルの形式が異なるか、と言う点については Microsoft の公開情報は無い認識です。

    形式が同じだったとしても、WSUS は製品・分類・言語等の様々な設定に基づいてカタログを同期しますので、クライアント側で取得したカタログやファイルを流用する事は困難かと思います。(可能だとしても難易度が高い)

     

    もし Microsoft の見解が必要との事であれば、hebikuzure 様が提案している通り有償サポートを利用されると良いでしょう。

     

    〔確認②〕

    インターネットに接続しない SCCM についても、WSUS とほぼ同じ条件である認識です。(SCCM のソフトウェア更新ポイントの実態は WSUS なので)

    ただ、Microsoft Update カタログからスタンドアロンインストーラーを個々にダウンロードして、それらを SCCM のソフトウェア配布機能で配布するのであればオンラインのサーバーを用意する必要は有りません。

    この場合、クライアントに必要な更新プログラムを管理者が判断し個別にダウンロードする必要が有るため、運用や管理が煩雑になるのでお奨めしません。


    2018年3月1日 7:07
    |
  • Question
    サインインして投票
    0
    サインインして投票

    hebikuzureさま

    ご回答ありがとうございます!

    懸念が正しいこと、承知いたしました。

    ご回答、ありがとうございます

    西川 覚

    2018年3月1日 7:11
    |