none
WSUSサーバの拠点をまたぐ運用について RRS feed

  • 質問

  • 3拠点のクライアント端末を管理するうえで、
    以下のような運用を検討しておりますが、実現可能でしょうか。

    ・Aを本拠地とし、A、B、C間はすべてWAN回線が引かれている
    ・A-B間、A-C間のネットワーク帯域はMAX100Mbpsの専用線
    ・WSUSサーバは2台構成とし、2台とも拠点Aに設置する
    ・WSUSサーバ1では、拠点Aにあるクライアントを管理
    ・WSUSサーバ1では、クライアントの適用状況管理と、パッチの配信
    ・A拠点のクライアントは、WSUSサーバ1からパッチをダウンロードする
    ・WSUSサーバ2では、拠点B,Cにあるクライアントを管理
    ・WSUSサーバ2では、クライアントの適用状況を管理
    ・B,C拠点のクライアントは、インターネット経由でMicrosoftからパッチを個別にダウンロード
    ・WSUSサーバ1で、WSUSサーバ2の管理状況も確認する

    サーバは仮想ホスト1台に、ゲストOSを2台作成し、WSUSサーバ1とWSUSサーバ2を
    構築することを検討しています。
    このような構成にしている理由は、
    1、拠点間の回線が弱く、パッチのやり取りは業務に影響が出ると想定されること
    2、パッチをWSUSサーバからダウンロードするか、Microsoftからダウンロードするかの設定は
     WSUSサーバ単位での設定であること、
    という2点からです。

    そもそも前提の条件が異なる、ほかの方法がある、
    どなたかこのような構成で構築した経験がある方など、
    お詳しい方アドバイスいただけると幸いです。

    以上、よろしくお願いいたします。

    2019年11月20日 2:06

すべての返信

  • 帯域についてはGPOを用いたBitsの帯域制御ができます。
    執務時間中は帯域を絞り、夜間だけ広げるといったポリシーが可能です。

    また、WSUSサーバのフロントエンドを担うIISでもWSUSサーバとしての最大帯域を設定することができます。

    この辺をうまく使えばA拠点にWSUS管理サーバ、BC拠点にダウンストリームサーバを設置してA拠点で完全にコントロールすることも可能かと。

    2019年11月20日 2:22
  • 早速のご回答ありがとうございます。

    >帯域についてはGPOを用いたBitsの帯域制御ができます。

    この辺りは未知でしたので大変参考になりました。

    ただ、記載しておりませんでしたが、拠点B,Cにはサーバを管理できるものがおらず、

    極力サーバは置きたくないという前提があります。

    そのため、今回は拠点Aに2台配置するという構成にしておりました。

    情報が不足しており申し訳ありませんでした。

    2019年11月20日 5:26
  • BITSおよびWSUSサーバーのWsus仮想ディレクトリに対してIISの帯域制御する方法で、クライアント - WSUSサーバー間の帯域を絞ることに間違いありません。

    >パッチをWSUSサーバからダウンロードするか、Microsoftからダウンロードするかの設定は
    > WSUSサーバ単位での設定であること、
    WSUS1, WSUS2が拠点Aに配置されている以上は、拠点A,B,Cに配布する更新プログラムに違いがあったとしても、WSUSそのものは、Microsoft Updateから更新プログラムをダウンロードするはずですが。。。

    因みに、WSUSの管理対象台数は、MAX30,000クライアントなので、WSUSサーバーは1台でも事足りるかと。

    https://docs.microsoft.com/ja-jp/security-updates/windowsupdateservices/18128207

    また、拠点間帯域100Mbpsで、WSUSサーバーへの集中アクセスを懸念するのであれば、BranchCacheを併用された方がいいかと思います。

    「分散キャッシュモード」になりますが、これだけでも拠点間の帯域を使い切るといった心配はなくなるのではないでしょうか。


    SundaySilence - Microsoft MVP | Enterprise Mobility (Jan.2011- Jul.2018)

    • 回答の候補に設定 iwasa 2019年11月21日 6:22
    2019年11月20日 6:24
  • クライアントの Windows バージョンやアーキテクチャが揃っているなら、普通に拠点 A の WSUS での管理・配信を行うようにして、配信の最適化を有効にした上でクライアントを更新適用タイミングでいくつかのティアに分け、後から更新適用するティアのクライアントは先に適用したティアのクライアントから配信を受けるようにする方法でも拠点間の利用帯域は削減できるでしょう。


    Hebikuzure aka Murachi Akira

    2019年11月20日 6:50
  • B,Cの拠点で想定されている様な、カタログの同期や更新プログラムの承認(配信)などの制御はWSUSで行うが、更新プログラムのファイルダウンロードについてはインターネットを通じてMicrosoft Updateからダウンロードしたいのであれば、確かにWSUSサーバー毎にオプションの「更新ファイルと更新言語」>「更新ファイルをローカルに保存せず、Microsoft Update からインストールします」を有効にすれば実現可能です。この設定は拠点間の通信は低速だがインターネットとの通信は高速といった場合に有効です。

     

    ただ、私としても他の皆さんが書かれている様に、IISQoS等でWSUSサーバー側からのOUT通信に帯域制限をかけた上で、BranchCacheや配信の最適化を利用すれば、NW負荷を軽減しつつ効率的に更新プログラムの配信が可能かと思いますので、サーバーはA拠点に設置してB,C拠点のPCも含めて集中管理される事をお奨めします。

     

    WSUS 環境のネットワーク帯域制御について

    https://blogs.technet.microsoft.com/jpwsus/2012/03/15/wsus-4/

     

    Management】ポリシーベースの QoS で遊んでみる

    https://blogs.technet.microsoft.com/junichia/2009/01/08/management-qos/

     

    BranchCache による 更新プログラムの展開 評価ガイド

    http://download.microsoft.com/download/F/8/2/F8297377-16AC-4212-9B6C-4B8F8F57BB92/BranchCacheUpdateProgramGuide.pdf

    • 回答の候補に設定 iwasa 2019年11月21日 6:22
    2019年11月20日 7:25
  • 回答いただきありがとうございます。

    やはり1台で管理できそうということがわかりました。

    ただ、1点拠点間の回線が、よく確認すると10Mbpsであることがわかりました。

    この場合でも、帯域制御や時間指定、BranchCacheによって、運用は可能でしょうか。

    ご意見ございましたら、よろしくお願いいたします。

    2019年11月28日 11:58
  • ご回答ありがとうございます。

    配信の最適化はぜひ利用したいと思いました。

    ご意見ありがとうございます。

    2019年11月28日 11:59
  • ご回答いただきありがとうございます。

    >この設定は拠点間の通信は低速だがインターネットとの通信は高速といった場合に有効です。

    まさにこの点から、当初記載した構成を想定しておりました。

    ネットワーク帯域制御やポリシーベースのQoS等、詳細のリンクまでご教示いただきありがとうございます。

    配信の最適化はぜひ利用したいと考えておりますが、Windows 8の端末については

    台数等を改めて詳細に確認し、運用を検討しなけれればと考えています。

    2019年11月28日 12:06