none
WSUSの自律モードとレプリカモードについて RRS feed

  • 質問

  • サーバ2台で

    一方をアップストリームサーバ(インターネットからWindowsUpdateをおこなう)

    もう一方をダウンストリームサーバとした場合

    ダウンストリームサーバの自律モードとレプリカモードの動作違いがよくわからなかったので質問させていただきました。

    通信をダウンストリームサーバとクライアントのみで行いたいのですが

    レプリカモードにすると更新プログラムとメタデータはダウンストリームサーバにファイルがコピーされるようなイメージでしょうか?

    この場合クライアントはアップストリームサーバへの通信は行わないものと考えてよろしいですか?

    2020年6月22日 7:05

回答

  • ダウンストリームが自律モードかレプリカモードかに関わらず、ダウンストリームに接続される様に設定されているWSUSクライアントは、対象のダウンストリームと通信しアップストリームとは通信しません。

    自律モードとレプリカモードの違いを簡単に記載すると以下の通りです。

    ■自律モード
    アップストリームはメタデータや更新プログラムファイルのソースとして利用するだけで、更新プログラムの承認やコンピュータグループの作成はダウンストリーム側で管理する必要が有る。

    ■レプリカモード
    メタデータや更新プログラムファイルのソースとして利用するだけでなく、アップストリームのコピー的な扱いとなり、更新プログラムの承認やコンピュータグループはアップストリームと同じ設定を継承する。(アップストリーム側で集中管理)
    主要な設定はアップストリームを継承するが、レプリカではコンピュータグループへのクライアント追加やレポート等はレプリカ側で可能。



    自律モードは会社や拠点ごとに管理者が居るので管理者を任せる、レプリカは中央(アップストリーム)で管理といった使い方が想定されます。

    以下は参考まで。
    https://docs.microsoft.com/ja-jp/windows-server/administration/windows-server-update-services/plan/plan-your-wsus-deployment#autonomous-mode

    https://docs.microsoft.com/ja-jp/security-updates/windowsupdateservices/18128219


    • 回答としてマーク himehime1234 2020年6月23日 1:22
    2020年6月22日 8:08
  • メタデータ (カタログ) も含まれているでしょうが、大部分は更新ファイルと呼ばれる更新プログラムの実体であるインストーラー (コンテンツ ファイル) かと思います。

     

    WSUS の既定設定では更新プログラムの承認により更新ファイルはダウンロードされますので、レプリカとしてダウンストリームが構成された際にアップストリームから承認情報が継承された事で自動的にダウンロードされたものと思われます。

     

    メタデータと更新ファイルについては以下が参考になるでしょう。

    https://docs.microsoft.com/ja-jp/security-updates/windowsupdateservices/18111599

    • 回答としてマーク himehime1234 2020年6月23日 1:22
    2020年6月22日 12:03
  • アップストリームとダウンストリーム間の通信が発生するのは主に以下のタイミングですので、ダウンストリームに接続しているWSUSクライアントが更新プログラムの確認やダウンロードを行っても、アップストリームとダウンストリーム間で負荷がかかる通信は発生しません。

     

    ・カタログ同期(定期・手動)

    ・更新プログラムの承認(手動承認・自動承認)に伴う更新ファイルのダウンロード

     

    更に補足すると、アップストリームやダウンストリームに関わらず、WSUSの更新ファイルのダウンロードはWSUSサーバー側の設定・動作により行われますので、WSUSクライアント側の動作は関係ありません。

    逆に言うと、WSUSサーバーはWSUSクライアントが必要とレポートした更新プログラムを自動的に承認し更新ファイルをダウンロードする様な機能はありませんので、予め管理者がWSUSクライアントの環境に合わせて更新プログラムを承認しておく必要が有ります。

    なお、WSUSクライアントが何の更新プログラムを必要としているかについては、該当の更新プログラムが同期されていさえすれば、WSUS管理コンソールから「必要とされた数」などで分かります。

    • 回答としてマーク himehime1234 2020年6月26日 7:00
    2020年6月26日 6:15

すべての返信

  • ダウンストリームが自律モードかレプリカモードかに関わらず、ダウンストリームに接続される様に設定されているWSUSクライアントは、対象のダウンストリームと通信しアップストリームとは通信しません。

    自律モードとレプリカモードの違いを簡単に記載すると以下の通りです。

    ■自律モード
    アップストリームはメタデータや更新プログラムファイルのソースとして利用するだけで、更新プログラムの承認やコンピュータグループの作成はダウンストリーム側で管理する必要が有る。

    ■レプリカモード
    メタデータや更新プログラムファイルのソースとして利用するだけでなく、アップストリームのコピー的な扱いとなり、更新プログラムの承認やコンピュータグループはアップストリームと同じ設定を継承する。(アップストリーム側で集中管理)
    主要な設定はアップストリームを継承するが、レプリカではコンピュータグループへのクライアント追加やレポート等はレプリカ側で可能。



    自律モードは会社や拠点ごとに管理者が居るので管理者を任せる、レプリカは中央(アップストリーム)で管理といった使い方が想定されます。

    以下は参考まで。
    https://docs.microsoft.com/ja-jp/windows-server/administration/windows-server-update-services/plan/plan-your-wsus-deployment#autonomous-mode

    https://docs.microsoft.com/ja-jp/security-updates/windowsupdateservices/18128219


    • 回答としてマーク himehime1234 2020年6月23日 1:22
    2020年6月22日 8:08
  • 素早い回答と分かりやすい説明ありがとうございます。

    併せて教えて頂きたいのですが

    レプリカモードにして同期を行うと300GBを超えるフォルダが作られたのですが

    これが更新プログラム(と管理データ?)なのでしょうか?

    2020年6月22日 10:36
  • メタデータ (カタログ) も含まれているでしょうが、大部分は更新ファイルと呼ばれる更新プログラムの実体であるインストーラー (コンテンツ ファイル) かと思います。

     

    WSUS の既定設定では更新プログラムの承認により更新ファイルはダウンロードされますので、レプリカとしてダウンストリームが構成された際にアップストリームから承認情報が継承された事で自動的にダウンロードされたものと思われます。

     

    メタデータと更新ファイルについては以下が参考になるでしょう。

    https://docs.microsoft.com/ja-jp/security-updates/windowsupdateservices/18111599

    • 回答としてマーク himehime1234 2020年6月23日 1:22
    2020年6月22日 12:03
  • とても参考になりました。

    ご丁寧にありがとうございました。

    2020年6月23日 1:23
  • 追加でお聞きしたいことがあります。

    自律モードにした場合
    クライアントがダウンストリームから更新しようとし
    ダウンストリームがさらにアップストリームか更新ファイルを
    取得するというような流れになるかと思いますが

    クライアントがそれぞれ更新しようとするタイミングで
    アップストリーム⇔ダウンストリーム間での
    更新ファイルの通信がその都度発生してしまうものでしょうか?

    アップストリーム⇔ダウンストリーム間での通信をなるべく少なく抑えたいと考えています。

    2020年6月26日 1:07
  • アップストリームとダウンストリーム間の通信が発生するのは主に以下のタイミングですので、ダウンストリームに接続しているWSUSクライアントが更新プログラムの確認やダウンロードを行っても、アップストリームとダウンストリーム間で負荷がかかる通信は発生しません。

     

    ・カタログ同期(定期・手動)

    ・更新プログラムの承認(手動承認・自動承認)に伴う更新ファイルのダウンロード

     

    更に補足すると、アップストリームやダウンストリームに関わらず、WSUSの更新ファイルのダウンロードはWSUSサーバー側の設定・動作により行われますので、WSUSクライアント側の動作は関係ありません。

    逆に言うと、WSUSサーバーはWSUSクライアントが必要とレポートした更新プログラムを自動的に承認し更新ファイルをダウンロードする様な機能はありませんので、予め管理者がWSUSクライアントの環境に合わせて更新プログラムを承認しておく必要が有ります。

    なお、WSUSクライアントが何の更新プログラムを必要としているかについては、該当の更新プログラムが同期されていさえすれば、WSUS管理コンソールから「必要とされた数」などで分かります。

    • 回答としてマーク himehime1234 2020年6月26日 7:00
    2020年6月26日 6:15
  • 詳しくありがとうございます。
    2020年6月26日 7:16