リモートワーク時代のサイバーテポドン Windows Update の回線帯域を確保:GPO

Windows Update にノストラダムスの大予言のような帯域を食わせたくない。

何だかネットワークが遅い、エラーがでる。クラウドサービスに接続できない、などのトラブルをよく聞くようになりました。

そんな時はWindows update が帯域を食いまくっている場合があります。

Microsoft、「Windows 10」のデルタ更新を終了へ ~エクスプレス更新に一本化


何しろ ISP の回線容量をも破壊する、Windows Update はインターネット業界でのサイバーテポドン。毎月やってくるノストラダムスの大予言

空から恐怖の大王が来るだろう
アンゴルモアの大王を蘇らせ、
マルスの前後に首尾よく支配するために。

Windows Update はインターネット業界の恐怖の大魔王、諸悪の根源になりつつあります。だからWindows Update の帯域制限をしたい。

NTTコムの「OCN」が輻輳状態、Windows Updateが原因か

「なんでもクラウド」の反省すべき点で、ソフトウェアのクラウドサービスを検討する時に、真っ先に

「反省」

すべき事の一つです。

何しろ Windows10 の update は、サイズが半端ない。

で、ついにやっちまったのが、Windows update を P2P 配信するという荒業。

Windows10の Windows Update はデフォルトで使ってはいけない

しかし、結局はアップデートがキャッシュされるのはデフォルト3日が最大で、インターネット経由の P2P は結局ルータに負荷がかかる。つまり得をするのは配信の大元である Microsoft のサーバーだけなんですね。ルーター越しの回線負荷が下がるわけでなし。

しかも年に二度ほどある「大型アップデート」は3~4Gのダウンロードがあります。これで社内数百台のPCがアップデートするとどうなるのか。

もう想像がつきます。社内でみんなで Netflix やってる状態。グループポリシー(GPO)で帯域制限できないものか。



--
ま、大型アップデートはヘルプデスクチームが代表して、ISOファイルをダウンロードして共有 NAS なんかに置いておき、みんながそれをツツけば、ダウンロード自体は一回で済みます。

Windows10 手動で ISOファイル からアップデートする




- まずは Windows update の帯域制限をする -

という事で Windows Update の帯域制限をやってしまおうという事。

田 > 歯 >「更新とセキュリティ」>Windows Update の中の "詳細オプション" > 「詳細オプション」の中の "配信の最適化" > 「配信の最適化」の中の "詳細オプション" >「ダウンロード設定」「アップロード設定」

というイスタンブールのトプカピ宮殿のハーレムのタンスの奥にしまったようなところに、「ヒミツの設定」が隠されており、ここのスライダーをポチっとやると、バックグラウンドでのアップデートの帯域制限ができます(きっと)。

リモートワーク時代のサイバーテポドン Windows Update の回線帯域を確保:GPO_a0056607_11505631.png


一般的に ISP の回線設定はダウンロードよりアップロードの方が帯域が制限されているので、アップロードは極力少なくすべきでしょう。

アクティビティモニタもあるので、どれくらい「貢献」したかも確認できます。

リモートワーク時代のサイバーテポドン Windows Update の回線帯域を確保:GPO_a0056607_11520851.png

それにしても、”マイクロソフトからのダウンロード量12Gb”っていったい何をダウンロードしてるんでしょうね。一発 Windows Update すると格安 SIM をギガ爆死させる強力な破壊力



- グループポリシーで帯域制限:GPO -

GPO グループポリシーで Windows Update の帯域制限をすることもできます。こちらの方が細かな制御ができそうです。

> gpedit

ローカルポリシー > コンピューターの構成 > 管理用テンプレート > ネットワーク > バックグラウンドインテリジェンス転送サービス(BITS) を「有効」にセットし「転送レート」をkb 単位で設定します。


リモートワーク時代のサイバーテポドン Windows Update の回線帯域を確保:GPO_a0056607_11523616.png

「配信の最適化」では、帯域の「何%にするか」を設定するわけですが、これでは、1Gbps のローカルネットワークが 100Mbps のインターネット回線に繋がっているかどうかの判断はできないわけです。仮に "10%" で設定すると、1Gbpsの10%、つまり100 Mbps で通信しちゃうのですんね(たぶん)。

一方 GPO で設定する BITS は具体的に「転送速度」を指定できるので、LANの状態やインターネット回線の「太さ」に合わせて細かな設定ができるので、グループポリシーを使った方に分がありそうです。という事で細い回線なら数十Kbps、早い回線でも、社内LANにどれ位の台数の端末があるかにもよりますが、100Kbps 程度(多分)に控えておくのが良いと思います。

> gpupdate を実行してポリシーを適用します。

C:\>gpupdate
ポリシーを最新の情報に更新しています...

コンピューター ポリシーの更新が正常に完了しました。
ユーザー ポリシーの更新が正常に完了しました。


C:\>

まぁ台数が多いなら、WSUSを入れる方がよほど効果がありそうなんですが、WSUSも最近はどうも動作が妖しい。

- BITS って何だ? -

BITS(Background Intelligent Transfer Service)は、ネットワークがアイドリングしている時にバックグラウンド通信を行うように制御することです。これで必要な通信量を確保するのですが、所詮、OSが認識できるのは NIC の通信量、つまり LAN の通信量が制御できるだけ。ルーターにどれだけトラフィックがかかっているかは判断できないでしょうね。「配信の最適化」機能で使われる技術です。


- WSUS と併用する -

WSUSと併用する場合、次の文書が役に立ちそうです。

配信の最適化について #2 グループポリシー篇
https://blogs.technet.microsoft.com/jpwsus/2018/11/02/aboutdo_2/

Windows 10 の更新プログラムの配信の最適化
https://docs.microsoft.com/ja-jp/windows/deployment/update/waas-optimize-windows-10-updates

グループポリシーを使います。

> gpedit

ローカルコンピュータポリシー > コンピュータの構成 > 管理用テンプレート > "Windows コンポーネント" にある "配信の最適化" の中にローカルネットワークでの Windows Update の配信の最適化のパラメータがいくつかあります。「歯」(設定)にある P2P 配信の抑制よりもよほど細かな制御ができそうです。

リモートワーク時代のサイバーテポドン Windows Update の回線帯域を確保:GPO_a0056607_11531824.png
> gpupdate を実行してポリシーを適用します。

C:\>gpupdate
ポリシーを最新の情報に更新しています...

コンピューター ポリシーの更新が正常に完了しました。
ユーザー ポリシーの更新が正常に完了しました。


C:\>

もっとも、Windows Update の配信をLAN内で最適化すると言っても、「持つべき者が持たざる者に施す」ことは、「持つべき者」に余計な負荷がかかるわけで、エンドユーザさんには決して好ましい機能ではありません。そのための Windows Update Service (WSUS) なのだから、やはり、構内であってもクライアントに負荷がかかる P2P 配信は、おすすめできるものではありません。



また Windows の AD では OU 単位にポリシー掛けまくるので、エライさんのPCは快適に、そうでないパートさんのPCの配信率を上げる、と言った制御ができません。ま、OUを分ければいいのでしょうが、そうなるとまた管理が煩雑になる。Novell の ZENworks の様な、サードパーティ製のクライアントPC管理ツールを検討した方が速そうです。

「配信の最適化」については上の、Microsoft のドキュメントの中に、エンタープライズでの「お勧め」パラメータの記述があるので、参考にしてみましょう。

上の文書の「配信の最適化」の”ダウンロードモード”には次の6つの設定があります。

  • 0: HTTPのみ -- P2P は使わず、Microsoft の Update サーバーとのみ通信、台数が少ない時はこれですかね。
  • 1: LAN -- Microsoft のアップデートサーバーや WSUS からダウンロードしたものを、同じパブリックアドレス内でBITSを使って P2P 通信。VPN で同じパブリックアドレスを使っている場合はWAN越しの通信もあり。Pro 版はこれらしい。
  • 2: グループ -- AD ドメイン内で P2P 通信をする。同じドメインなら WAN越しの通信も発生するので注意が必要。グループ ID との組み合わせ推奨
  • 3: インターネット -- HOME エディションの標準、同一プライベートLAN、パブリック WAN 間で P2P 通信、見ず知らずの他人と妖しい通信がある。
  • 99: 簡易 -- P2P を使わず WSUS からのみ HTTPダウンロード、急いで配布したいならこれか?
  • 100: バイパス -- P2P を使わず BITS を使って WSUS からのみダウンロード



Windows10 1607 から以前のバージョンにはこの機能がないようなので、下の文書から、管理テンプレート admx をダウンロードして使える様です。

グループ ポリシーを使用して Windows 10 で Windows Update の配信の最適化を構成する方法

まだ Windows update だけなら手段はあるのですが、iPhone の iOS のアップデートなんかも、自宅でやるとアレなので、カイシャの Wifi 経由でやっちゃう輩もいるわけですね。これもバカにならない。

また Windows の OneDrive も、ネットワーク回線に異常なトラフィックをかける極悪機能です。

社内ネットワークは「便利だから使う共有リソース」であって、個人の我儘を満たすものであってはならない。何らかのルールが必要なんですね。

極悪 Windows10 の OneDrive を無効にする

--
グループポリシー:GPO で設定する BITS と、歯(設定)にある「配信の最適化」のどちらが優先されるかは資料が見つかりませんでした。コメントいただけるとありがたいです。

PCが重い? Windows Update 帯域制限、その通信費は誰の負担?



by islandcenter | 2019-11-21 12:04 | Windows | Comments(0)