• [アーティクル]

System Center

Steve Rachui

 

概要:

  • 従来の更新プログラムの管理方法
  • SCCM 2007 の新しいプロセス
  • カスタム構成と柔軟性
  • 細かく調整された更新スケジュール

ソフトウェア更新プログラムを管理する機能は、Systems Management Server (SMS) 2.0 のセキュリティ更新プログラムおよび Office 更新プログラムのスキャン ツールで初めて導入されました。これらのツールは、改訂が何回も行われました。Extended

Security Update Inventory Tool は、追加の製品のスキャンをサポートするように改訂されました。Inventory Tool for Microsoft® Updates は、セキュリティ ツールと Office ツールを 1 つの製品に統合するように改訂されました。また、Inventory Tool for Dell Updates も改訂されました。サードパーティ製品への修正プログラムの適用をサポートするために、カスタム更新プログラム用の発行ツールも導入されました。Inventory Tool for Microsoft Updates (ITMU) だけをとっても、3 回の改訂を行いました。これらの各ツールには、独自のカタログ、スキャン インフラストラクチャ、および独自の要件や課題があります。これらのシステムのカタログは、時間の経過と共に非常に大きくなり、サイズの制限により、新しい更新プログラムを優先して古い更新プログラムは削除されていました。

さまざまなオプションがあるため、これらのツールを使用して更新プログラムを展開することは困難な場合があります。明らかに、このプロセスを簡略化する必要がありました。SMS の次期リリースである System Center Configuration Manager 2007 (SCCM) は、その点で大きく進歩しました。SCCM では、ソフトウェアの更新メカニズムは、確実により良い結果が得られるように構築されています。完全に異なる手法で更新プログラムの管理操作を行うため、従来のカタログやスキャン エンジンは廃止されます。従来はハードウェア インベントリを使用していた更新の状態の報告では、state message (状態メッセージ) という新しいメカニズムが採用されました。このメカニズムによって、各クライアントの対応状況と適用状況を確実に特定できるようになります。 SCCM 2007 の更新プログラムの新しい管理手法では、大幅な機能強化を実現しています。

SCCM 2007 では、次の 2 つの新しいコンポーネントが導入されています。これについては、更新プログラムの管理機能について詳しく説明する前に紹介します。

Software Update Point (ソフトウェア更新ポイント、SUP) 既にに説明したように、SCCM ではカタログはありません。代わりに、SCCM は専用の Windows Server® Update Services (WSUS) サーバーと直接やり取りをします。このサーバーは、Software Update Point (ソフトウェア更新ポイント、SUP) として機能し、メタデータのダウンロードやクライアントのスキャン機能を提供します。SCCM では、スキャン プロセスに重点を置くことができるように、WSUS の更新バイナリの配布機能が無効になっています。この調整により、WSUS は、専用サーバーの SUP ごとに 25,000 台までのクライアントのスキャンを処理するように拡張できます。SCCM では、可用性やスケールを向上するために、ネットワーク負荷分散 (NLB) クラスタの外部に SUP を構成し、各プライマリ サイトで、最大 4 つの SUP を有効にして、合計 100,000 台のクライアントを処理することができます。

構成アイテム (CI) 構成アイテムは、展開先のシステムに必要な特定の構成を定義するために、SCCM で使用される新しい手法です。SCCM の更新プログラム管理機能では、このインフラストラクチャを使用するようになりました。似ている点はありますが、更新プログラムは、通常のソフトウェア配布とは異なるものだと考える必要があります。更新プログラムは、管理コンソールのそれ専用のノードに配置され、この特殊な CI メカニズムを使用します。クライアント側では、更新プログラムは選別してダウンロードされ、ローカルに保存されます。

更新プログラム管理を構成する

更新プログラム管理のセットアップには、通常、3 つの領域 (クライアント エージェントの有効化、SUP の構成、および更新プログラムを配布するための構成) があります。

SCCM クライアント エージェント (図 1 参照) は、他のクライアント エージェントと同様で、管理コンソールのノードと同じノードで構成されます。[Software Updates Client Agents] (ソフトウェア更新クライアント エージェント) ノードのプロパティ ページでは、このエージェントを有効にし、更新プログラムのインストールと Deployment Re-evaluation (展開の再評価) の設定を構成します。Software Updates Client Agent (ソフトウェア更新クライアント エージェント) を有効にする設定は、サイト全体に適用されます。つまり、この機能が有効になっているサイトに割り当てられたすべての SCCM クライアントでは、この役割が有効になります。環境内の一部のシステムでこの機能を無効にする必要がある場合は、ローカル ポリシーの上書き設定を使用して、システム単位でサイト全体の設定を無効にすることができます。

図 1 クライアント エージェントのプロパティ

図 1** クライアント エージェントのプロパティ **

この設定では、更新プログラムの期限に関する処理方法を指定することもできます。たとえば、インストールが完了していない 4 つの更新プログラムがあるとします。その中の 1 つ (更新プログラム A) は、他の 3 つよりも期限が 1 日前に設定されています。しかし、期限に達していないものがあっても、4 つの更新プログラムをすべて同時にインストールする方が望ましい場合は、このタブにある [Enforce all mandatory deployments] (必須の展開をすべて適用する) チェック ボックスをオンにして、この構成を実現できます。また、この設定では、管理者は更新プロセスに関するすべての通知や更新プロセスが実行していることを示唆するようなものが表示されないように指定することもできます。これらのオプションは、図 1 に示しています。

[Deployment Re-evaluation] (展開の再評価) タブの設定では、展開を再評価するタイミングをスケジュールできます。SCCM クライアントはこのスケジュールに従って評価され、以前にインストールされた更新プログラムがまだ必要であるかどうかを確認します。このような更新プログラムがインストールされていない場合は再インストールされます。

SUP を構成する

既に説明したように、SUP は、スケジュールに沿ってすべての使用可能な更新プログラムの情報をダウンロードしたり、SCCM クライアントと直接対話して、更新プログラムのデータベースに基づいて対応状況のスキャンを実行したりするコンポーネントです。SUP プロセスでは、WSUS はインストールされず、SCCM を使用するために WSUS を構成するだけなので、SUP を構成する前に WSUS 3.0 以降のサーバーを設置する必要があります。また、WSUS 管理コンソールをサイト サーバーにインストールして、WSUS サーバーとの接続を有効にする必要もあります。SCCM が WSUS サーバーで SUP の役割を有効にすると、WSUS サーバーは SCCM 専用になり、SCCM クライアントだけで使用されるようになります。

SUP は、SCCM の新しいサイト システムの役割です。この役割を構成するには、まず、管理コンソールのサイト システム ノードに移動し、新しいサイト システムを追加します。次に、[Software Update Point] (ソフトウェア更新ポイント) を選択して、ウィザードの指示に従って、次の情報を収集します。

  • プロキシ構成
  • ポート情報と SSL 情報
  • この SUP で更新プログラムを同期する方法 (Microsoft Update から、上位の SUP から、または手動)
  • 同期スケジュール
  • 必要な更新プログラムの分類 (重要な更新プログラム、ドライバ、セキュリティ更新プログラム、更新プログラムのロールアップなど)
  • Windows®、Exchange Server、SQL Server™ など、更新プログラムを入手できる製品 (図 2 を参照)
  • 言語

図 2 New Site Role Wizard (新しいサイトの役割ウィザード) での製品の設定

図 2** New Site Role Wizard (新しいサイトの役割ウィザード) での製品の設定 **(画像を拡大するには、ここをクリックします)

ウィザードが完了すると、SUP がインストールされ、SCCM の要件をサポートするように内部構成が調整されます。SCCM のインストール先の Logs フォルダにある SUPSetup.log を確認して、インストールが正常に完了したことを確認することをお勧めします。

SUP をインストールしたら、同期を実行して、SUP で更新プログラムを取得して、SUP と SCCM のデータベースに格納する必要があります。同期は、手動で実行するか、SUP のセットアップ ウィザードの実行時に構成したスケジュールに従って実行されます。手動による更新プログラムの同期は、任意の時点で開始できます。SUP が最初にインストールされた後に、同期が行われるようにすることをお勧めします。図 3 に、この操作を行う方法を示します。

図 3 手動による同期の実行

図 3** 手動による同期の実行 **(画像を拡大するには、ここをクリックします)

同期プロセスには、2 つの手順があります。まず、SUP (WSUS) サーバーは SCCM の設定に基づいて構成され、構成された更新プログラムは SUP (WSUS) サーバー自体に同期されます。これが完了したら、SUP (WSUS) の更新情報が SCCM データベースに同期され、更新プログラムの展開で使用できるようになります。この 2 番目の手順によって、ソフトウェア更新プログラムごとに必要な CI が 1 つ SCCM データベースに作成されます。この処理には時間がかかる場合があります。初期同期には数時間かかることがよくあります。同期プロセスは、WSyncMgr ログ ファイルで確認できます。図 4図 5 にログ ファイルの抜粋を示します。図 4 は、SUP (WSUS) サーバーが Microsoft Update の更新プログラムの一覧を更新することを要求する同期プロセスを示しています。図 5 は、SUP インベントリを SCCM データベースと同期するプロセスの開始部分を示しています。

図 4 更新プログラム一覧の同期

図 4** 更新プログラム一覧の同期 **(画像を拡大するには、ここをクリックします)

図 5 更新プログラムを CI として SCCM データベースと同期する

図 5** 更新プログラムを CI として SCCM データベースと同期する **(画像を拡大するには、ここをクリックします)

WSUS サーバーを SUP として構成したら、必要なすべての管理作業は SCCM 管理コンソールで実行できます。構成の変更を WSUS サーバーに対して直接実行すると、SCCM に悪影響を与える可能性があります。また、この構成は、1 時間ごとに SCCM が SUP を調査して構成が正しいことを確認するときにリセットされます。

複数の層で構成された階層では、ソフトウェア更新プログラムを展開するプライマリ サイトごとに、少なくとも 1 つの SUP が必要です。階層内では、これらの SUP は、1 つの SUP (通常は階層の最上位にあるもの) とだけ連動し、Microsoft Update と同期します。それ以外の SUP は、構成済みの上位の SUP レプリケーション パートナーと同期します。

更新プログラムの展開を構成する

クライアント エージェントを構成し、SUP を構成して同期したら、実際の展開を実行できます。まず、SCCM 管理 UI のさまざまなノードについて説明しましょう。基本的に、実際の展開に必要となる主なノードには、[Update Repository] (更新プログラム リポジトリ)、[Update Lists] (更新プログラム一覧)、[Deployment Templates] (展開用テンプレート)、[Deployment Management] (展開管理)、および [Deployment Packages] (展開パッケージ) の 5 つです。

[Update Repository] (更新プログラム リポジトリ) には、同期済みで、展開に使用できるすべての更新プログラムが格納されます。1 つ以上の更新プログラムを選択し、Deploy Software Updates Wizard (ソフトウェア更新プログラムの展開ウィザード) を起動すると、更新プログラムを展開できます。このウィザードでは、展開用テンプレートの構成 (または既存のテンプレートの選択) と、展開自体の構成の 2 つのタスクが実行されます。このプロセスについては、次のセクションで説明します。更新プログラムの一覧は非常に大きくなることがありますが、SCCM 2007 の新機能である検索フォルダを使用すると、重要度、分類、製品、リリース日、優先度などの 28 項目の条件に基づいて、必要な更新プログラムを見つけることができます。

管理者は、更新プログラムの一覧を使用して、管理する更新プログラムの定型セットを作成できます。この一覧は、対応状況に関するレポートの作成、展開の作成、および管理の委任に使用できます。更新プログラムの一覧が作成されると、パッケージや提供情報と同様に、子サイトで再利用するために下位階層にレプリケートされます。更新プログラムの一覧は、レプリケート時には特定の展開には結び付けられておらず、単なる更新プログラムの一覧でしかありません。更新プログラムの一覧が完成してレプリケートされたら、その一覧を選択して更新プログラムを展開するように指定することで、その一覧に含まれる更新プログラムを 1 つの単位として展開できます。

Deployment Templates (展開用テンプレート)

展開用テンプレートには、ソフトウェア更新プログラムの展開中に使用する共通の設定 (スケジュールや展開するコレクションの情報など) が含まれており、更新プログラムの展開に関する管理の作業時間を減らすために開発されました。テンプレートは、環境内の複数の展開条件に対応するために作成することが可能で、展開ウィザードで適切なテンプレートを選択するだけで使用できます。展開用テンプレートであらかじめ構成されている設定には、展開するコレクション、更新プログラムの期限の設定 (図 6 参照)、再起動の設定、メンテナンス期間などがあります。多数の更新プログラムが展開されているときには、更新プログラムが同時に期限切れになることがあるので、展開先のシステムのパフォーマンスに影響を与える可能性があります。また、展開の作成時に、テンプレートの設定がその展開に適用されることに注意してください。展開内で手動で変更しない限り、テンプレートの設定は展開に適用されます。テンプレートの設定自体を後で変更するだけでは、変更されたテンプレートを使用している既存の展開に、変更後の設定は適用されないことにも注意してください。

図 6 ウィザードでの展開スケジュールの設定

図 6** ウィザードでの展開スケジュールの設定 **(画像を拡大するには、ここをクリックします)

図 6 のオプションは、Deployment Template Wizard (テンプレートの展開ウィザード) か、新しいテンプレートの作成時には Deploy Software Updates Wizard (ソフトウェア更新プログラムの展開ウィザード) で構成できます。この画面では、期間の設定が 0 に設定されていますが、この設定の既定値は 2 週間です。この設定が 0 以外の値に設定されている場合、クライアントでは、更新プログラムの展開で遅延が発生し、許容される遅延期間は、ここで指定されている期間になります。展開が使用できるようになってから構成された期限までの間、エンド ユーザーは、インストール スケジュール期限前の更新プログラムを手動でインストールすることができます。期限に達したときに、更新プログラムは強制的に適用されます。更新プログラムの展開で遅延が発生した場合は、この設定が適切に構成されていることを確認してください。

Deployment Management (展開管理)

ソフトウェア更新プログラムの展開を構成すると、[Deployment Management] (展開管理) ノードで構成済みの展開にアクセスすることができます。構成済みのソフトウェアの展開は、展開パッケージとは異なることに注意してください。展開に関する設定と展開に含まれている更新プログラムは、このノードで表示して操作できますが、パッケージそのものを表示したり、操作したりすることはできません。ここに表示される展開設定には、Deploy Software Updates Wizard (ソフトウェア更新プログラムの展開ウィザード) で指定された設定と、選択されたテンプレートから継承された設定が反映されます。

Deployment Packages (展開パッケージ)

展開パッケージは、更新プログラムの具体的な内容 (ソース ディレクトリ、配布ポイントなど) を定義するという点で、標準の SMS パッケージと似ています。展開パッケージは、更新プログラムの配布に使用する実際の展開とは関係なく、基本的には更新プログラムを保存する場所です。ある展開で必要な更新プログラムが複数の展開パッケージに含まれている場合、SCCM エージェントでは、更新プログラムの最適な取得元を判断します。この際、SCCM エージェントでは、その更新プログラムを含む入手可能な任意の展開パッケージを使用できます。

Deploy Software Updates Wizard (ソフトウェア更新プログラムの展開ウィザード) は、SCCM で更新プログラムを展開するのに使用します。このウィザードでは、個々の更新プログラムまたは更新プログラムの一覧のどちらも使用することができます。図 7 に、ウィザードの起動方法を示します。

図 7 Deploy Software Updates Wizard (ソフトウェア更新プログラムの展開ウィザード) の開始

図 7** Deploy Software Updates Wizard (ソフトウェア更新プログラムの展開ウィザード) の開始 **(画像を拡大するには、ここをクリックします)

このウィザードでは、展開の名前、既存のテンプレートと新しいテンプレートのどちらを使用するか (新しいテンプレートを選択すると、前に説明したテンプレートの設定画面が表示されます)、展開パッケージの設定 (既存か新規か)、展開ポイントの設定、ダウンロード場所のオプション、ダウンロードする更新プログラムの言語、展開スケジュールの情報を指定します。

構成が完了すると、ポリシーが更新され、展開される更新プログラムがクライアントに通知され、更新プログラムがクライアント システムにインストールされます。クライアント側のプロセスは以前のリリースとは大きく異なるため、この記事では扱いません。主な相違点だけ説明すると、更新プログラムのスキャンがローカルで実行されなくなり、すべてのスキャンが SUP で行われるようになりました。ただし、更新プログラムの対応状況に関する詳細情報は、以前のバージョンと同様、ローカルの Windows Management Instrumentation (WMI) リポジトリに格納されます。

また、以前のバージョンとは異なり、更新の状態をサイト サーバーに送信する際にハードウェア インベントリは使用されません。代わりに、新しい種類の合理的なステータス メッセージである state messages (状態メッセージ) が、管理ポイント経由でサイト サーバーに送信されます。state messages (状態メッセージ) では、対応状況のスキャン用に管理された各クライアントに関するデータを提供し、展開の進行状況を追跡します。SCCM には、ソフトウェアの更新管理用の新しいレポートが多数あります。たとえば、展開済みの全更新プログラムに関する各コンピュータの全体的な対応状況、各クライアントの展開の適用状況、解決すべき最大の問題をランク付けした一覧を提供する、スキャンと展開のクライアント エラー レポートなどがあります。

SCCM では、従来の更新プログラムのスケジュールされた適用と強制的な適用以外に、現在、自動更新で行われているのと同じように、スケジュールで指定されているインストールの期限前に、承認済みの更新プログラムをインストールできます。この便利な追加機能は、展開の期限前に、より多くのシステムで必要な更新プログラムが適用されるようにするのに役立ちます。

カスタム更新プログラムを適用する場合も、SCCM を使用できます。SMS 2003 R2 のカスタム更新プログラム用発行ツールは、SCCM 2007 で System Center Updates Publisher (System Center 更新プログラム パブリッシャ) として生まれ変わりました。そのため、すべてのカスタム更新プログラムは、既に説明したのと同じ方法で展開できます。

SCCM では、更新プログラムの管理機能が大幅に変更されましたが、管理者には、以前のバージョンよりも使いやすく、優れた機能強化として受け入れられるでしょう。SMS 2003 に慣れている場合、一部の概念の変更を最初は難しいと思うかもしれませんが、この新しい手法に慣れる労力は無駄にはなりません。がんばってください!

Steve Rachui は、マイクロソフトのプロダクト サポート サービス グループに所属するマネージャビリティ サポート エスカレーション エンジニアです。バージョン 1.2 のころから SMS のサポートを担当しています。Steve の連絡先は steverac@microsoft.com (英語のみ) です。

© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.