• [アーティクル]

System Center

System Center Essentials 2007 の概要

David Mills

 

概要:

  • インストールとアップグレード
  • Essentials 2007 を構成する
  • トラブルシューティング手順

System Center Essentials 2007 は、50 ~ 500 台の PC と 5 ~ 30 台のサーバーを所有する中規模の企業に特化して設計された、新しい IT 管理ソリューションです。Essentials 2007 は、統合された管理ソリューションを求める多数のフィードバックが IT プロフェッショナルから寄せられたことを受けて開発されました。

Essentials 2007 は、このようなニーズに対応しており、1 回のインストールと簡単な構成だけで、すぐに起動して実行できます。

さらに具体的に言うと、Essentials 2007 では、IT 環境を安全かつ最新に保つために、監視、トラブルシューティング、および資産追跡機能が提供されます。また、サーバー、クライアント、ハードウェア、ソフトウェア、および IT サービスを管理するための統合された管理コンソールも提供されます (図 1 を参照)。さらに、Essentials を使用すると、エンド ユーザーの問題のトラブルシューティング、監視、サーバー ソフトウェアとクライアント ソフトウェアの展開などの複雑な管理作業を、より簡単かつ効率的に行うことができます。

図 1 Essentials 2007 の管理コンソール

図 1** Essentials 2007 の管理コンソール **(画像を拡大するには、ここをクリックします)

Essentials 2007 の要件

Essentials 2007 のインストールと構成を開始する前に、システムがソフトウェアとハードウェアの最小要件を満たしているかどうかを確認します。サーバーのオペレーティング システムは、Windows Server® 2003 SP1、Windows Server 2003 R2、または Windows® Small Business Server 2003 SP1 以降である必要があります。また、Active Directory®、IIS 6.0、Microsoft® .NET Framework 2.0、Microsoft .NET Framework 3.0 以降、および SQL Server™ 2005 SP1 も必要です。サーバー コンピュータには、最低 1 GB の RAM、12 GB のディスクの空き領域、および 1.8 GHz のプロセッサが搭載されている必要があります。推奨される仕様は、2 GB の RAM、20 GB のディスクの空き領域、および 2.8 GHz 以上のプロセッサです。

管理するクライアント コンピュータは、Windows 2000 Professional SP4、Windows XP SP2、または Windows Vista® を実行している必要があります。x86 オペレーティング システムと x64 オペレーティング システムの両方がサポートされています。

管理するサーバー コンピュータは、Windows 2000 Professional SP4 以降のオペレーティング システムを実行している必要があります。x86 オペレーティング システムと x64 オペレーティング システムの両方がサポートされています。多くのユーザーは自分のデスクトップまたはラップトップ コンピュータから IT 環境を監視および管理する必要があります。このような場合、Essentials 2007 のコンソールのみをインストールできます。インストールを実行する前に、そのコンピュータで Windows XP SP2、Windows Vista、または Windows Server 2003 SP1 が実行されていることを確認してください。

また、Essentials 2007 サーバーの構成を計画する際は、レポート データベースとダウンロードした更新プログラムを格納するための十分なディスクの空き領域を確保します。更新プログラムに関しては、更新プログラム用データベースは 2 GB、更新プログラムのコンテンツは 6 GB を超えて拡張することができます。Essentials の運用データベースとレポート データベースは、最大 4 GB まで拡張することができます。記憶域が不足しないように、これらの容量を考慮して計画を立ててください。

Essentials 2007 をインストールする

Essentials 2007 のセットアップは、ウィザードを効果的に使用し、インストールと構成、コンピュータの検出、更新の構成などの重要な作業を短時間で行うことができるため、非常に簡単です。セットアップ ウィザードを実行すると、自動的に、上記の要件が満たされているかどうかが確認され、不足しているものがある場合は通知されます (図 2 を参照)。

図 2 セットアップ要件の確認

図 2** セットアップ要件の確認 **(画像を拡大するには、ここをクリックします)

必要なアイテムが Essentials 2007 ディスクに収録されていない場合、インストールされていないソフトウェアへのリンクがセットアップ画面に表示されます。セットアップ ウィザードの手順では、Essentials 2007 のインストール先のパスと、管理者権限を持つアカウントの情報を入力する必要があります。このアカウントに、管理サーバーと、管理するすべてのコンピュータの管理者権限が与えられている場合、Essentials 2007 を使用したコンピュータの管理はさらに簡単になります。Essentials では、管理するコンピュータへのエージェントのインストールなどの作業を 1 つのアカウントで実行できます。

現在 SQL Server 2005 がインストールされておらず、ローカルとリモートのどちらでも Essentials 2007 と共に SQL Server 2005 を使用できない場合、Essentials 2007 のセットアップ中に SQL Server 2005 Express with Advanced Services をローカルにインストールすることを選択できます。SQL Server のこのバージョンは、Essentials 2007 ディスクに収録されています。また、Essentials 2007 専用のライセンスを与えられた SQL Server 2005 Standard が同梱された Essentials 2007 のバージョンを購入することもできます。

インストール中に決定する必要がある最後の重要事項は、Essentials 2007 がどこに更新プログラムを格納するかということです。1 つ目の選択肢は、更新プログラムをローカルに格納し、Essentials 2007 サーバーからネットワークを経由して、管理するコンピュータに配信する方法です。これは、特にインターネット アクセスがネットワークのボトルネックになりやすい場合に適しています。2 つ目の選択肢は、コンピュータの更新が必要になるたびに、Microsoft Update から直接更新プログラムをダウンロードする方法です。この方法を選択すると、50 台のコンピュータ用に 1 つの更新プログラムが必要な場合、コンピュータごとに 1 回、つまり合計 50 回のダウンロードが実行されます。これは効率的な処理ではありませんが、管理サーバーで使用されるディスク領域が少ないという利点があります。

Essentials 2007 でサポートされている基本的な展開トポロジでは、すべての管理コンポーネントを 1 台のサーバーにインストールします (図 3 を参照)。しかし、Essentials 2007 の管理コンソールを職場のデスクトップ コンピュータやラップトップ コンピュータにインストールして、リモートで管理サーバーを制御することもできます。このリモート コンソールをインストールする前に、Essentials 2007 サーバーで Feature Configuration Wizard (機能の構成ウィザード) を実行する必要があります。このプロセスでは、リモート コンソールの構成にドメイン グループ ポリシーとローカル グループ ポリシーのどちらを使用するかを設定します。ドメイン グループ ポリシーを選択した場合、リモート コンソールをインストールするコンピュータでグループ ポリシーが更新されるまで、しばらくの間待機します。必要に応じて、複数のリモート コンソールをインストールできます。

図 3 基本的な Essentials 2007 の構成

図 3** 基本的な Essentials 2007 の構成 **

200 台を超える数のコンピュータから構成される IT 環境を管理する場合、(Essentials 2007 管理サーバーではなく) リモート サーバーに SQL Server 2005 をインストールし、そのリモート インスタンスを Essentials 2007 データベースとして使用する必要があります (図 4 を参照)。これにより、規模を拡張したときのパフォーマンスが向上します。このリモート サーバーは、Essentials 2007 管理サーバーと同じドメインに属している必要があります。

図 4 リモート SQL Server データベースの使用

図 4** リモート SQL Server データベースの使用 **

Essentials 2007 のインストール中に、既存の SQL データベース インスタンスを使用することを選択した場合、Essentials 2007 管理サーバーに SQL Server 2005 SP1 Reporting Services がインストールされ、構成されていることを確認する必要があります。

Essentials 2007 にアップグレードする

多くの環境では、既に Windows Server Update Services (WSUS) 2.0 または 3.0 を実行してマイクロソフトの更新プログラムを管理していると思いますが、より包括的な管理ソリューションを使用するために Essentials 2007 にアップグレードする必要がある場合、Essentials のセットアップ プロセス中にアップグレードを実行できます。このインプレース アップグレードを実行すると、バイナリ、グループ、承認などの既存の更新情報が保持されます。

Microsoft Operations Manager (MOM) 2005 または MOM 2005 Workgroup Edition を使用して重要なサーバーを監視している環境で、Essentials 2007 で追加された資産インベントリ機能、ソフトウェアの配布機能、および更新機能を使用する必要がある場合、管理パックを Essentials 2007 に簡単に移行できます。これを行うには、管理パックをエクスポートして変換した後、Essentials 2007 に直接インポートします。MOM 2005 と同様、Essentials 2007 もコンピュータとデバイスの監視に管理パックを使用します。管理パックには、IT に関する問題を正しく診断および解決するために必要な情報も含まれています。完全に Essentials 2007 に移行しない場合は、両方のバージョンの操作を維持してミッション クリティカルな監視が中断されないようにし、都合のよいときに移行できます。

一部の WSUS の設定は Essentials 2007 へのアップグレード時に失われることに注意する必要があります。失われるのは、コンピュータ、自動承認と自動設定、および All Clients (すべてのクライアント) または All Servers (すべてのサーバー) グループの既存の承認に関する情報です。このため、アップグレードを実行する前に All Clients グループと All Servers グループを WSUS から削除し、Essentials 2007 のセットアップが完了した後、これらの承認を再作成する必要があります。

既存のサーバーがアクティブなダウンストリーム サーバーを保有している場合、WSUS からのアップグレードを実行することはできません。Essentials 2007 では、WSUS アップストリーム サーバー (USS) モードはサポートされていません。このトポロジを正確に検出することはできないため、WSUS サーバーがダウンストリーム サーバーを保有している場合、警告が表示されます。また、WSUS 2.0 または 2.0 SP1 と共に、SQL Server 2005 SP1 を実行していないリモート データベース サーバーを使用して WSUS データを格納している場合は、アップグレードを続行しないでください。

アップグレード プロセス中に、現在のデータベースのバックアップ コピーが自動的に作成されます。アップグレードが失敗した場合、このバックアップ コピーを使用して、アップグレード前の環境を復元できます。現在の WSUS データベースをバックアップするための十分な空き領域を確保するために、現在のデータベース ファイルのサイズを調べ、コピーを作成するための十分な空き領域があることを確認してください。

Essentials 2007 を構成する

Essentials 2007 では、構成作業と管理作業に役立つ多くのウィザードが提供されます。Feature Configuration Wizard (機能の構成ウィザード) を使用すると、グループ ポリシーの構成など、手動では難しい構成手順を簡単に実行できます。図 5 は、このウィザードの最初のページを示しています。

図 5 Feature Configuration Wizard の開始画面

図 5** Feature Configuration Wizard の開始画面 **(画像を拡大するには、ここをクリックします)

インターネットへの接続時にプロキシ サーバーを使用する必要がある場合、最初の手順の 1 つは、サーバー名とポート番号を入力することです。次に、管理するコンピュータの構成に使用するグループ ポリシーの種類を、ローカル グループ ポリシーまたはドメイン グループ ポリシーのいずれかから選択できます。管理するコンピュータの構成にドメイン グループ ポリシーを使用することを選択した場合は、Windows ファイアウォールの例外を作成することもできます。

その次は、コンピュータのリモート アシスタンスを有効にする手順 (省略可能) です。この手順は、クライアントの構成にドメイン グループ ポリシーを使用することを選択した場合に行います。ここでリモート アシスタンスを有効にすると、管理するすべてのコンピュータに、TCP ポート 135 を経由した DCOM を許可するファイアウォールの例外が作成されることに注意してください。

管理するコンピュータから、エージェントレスのエラー監視によって検出されたエラーを収集するかどうかを選択することもできます。エラーを収集することを選択し、エラーの格納先を指定した場合、管理するコンピュータから Essentials 2007 サーバーにエラー報告が送信されます。これらのレポートを使用して、問題が発生しているアプリケーションを確認できます。

また、マイクロソフトにエラー報告を転送するかどうかを指定したり、警告、更新プログラム、ソフトウェア、インベントリなどに関する情報が含まれた日単位の状態レポートを構成して送信するかどうかを指定したりすることもできます。日単位の状態レポートを電子メールで送信するように構成しておけば、1 日の業務を開始するときに現在の IT 環境の状態を確認することができます。

最後に、新しいコンピュータの検出を毎日実行するようにスケジュールを設定することもできます。このオプションを選択すると、Essentials 2007 は毎日 Active Directory をスキャンして新しいコンピュータを検出し、それらのコンピュータを管理するよう自動的に構成します。

自動的にコンピュータを検出するよう構成されている Computer and Device Management Wizard (コンピュータとデバイスの管理ウィザード) を実行すると、Essentials 2007 サーバーは、Active Directory に照会し、ドメイン内のコンピュータとして列挙されたすべてのコンピュータを管理対象として検出します (図 6 を参照)。[Advanced] (詳細) 検出オプションを選択すると、検出されたデバイスを、クライアントのみ、ネットワーク デバイスなどの種類でフィルタ選択したり、特定の IP アドレス範囲からの検索を実行したり、高度なクエリを作成したりできます。まず [Automatic] (自動) 検出オプションを選択して自動検出を実行し、すべてのクライアントとサーバーを検出することをお勧めします。Essentials 2007 では、簡易ネットワーク管理プロトコル (SNMP) 対応ネットワーク デバイスも監視されるため、このウィザードをもう一度詳細モードで実行して、これらのネットワーク デバイスを検出することもできます。

図 6 Computer and Device Management Wizard の開始

図 6** Computer and Device Management Wizard の開始 **(画像を拡大するには、ここをクリックします)

ネットワーク内のコンピュータが約 300 台を超える場合は、詳細検出を選択し、より細かい基準を設定してコンピュータを検出したほうがよいでしょう。管理者アカウントを指定する場合は、そのアカウントに、検出するコンピュータとエージェントをインストールするコンピュータの管理者特権が与えられていることを確認します。検出が完了したら、管理するコンピュータを選択し、[Finish] (完了) をクリックします。

WSUS を使用したことがある場合、Update Management Configuration Wizard (更新の管理の構成ウィザード) の一部の設定には見覚えがあるかもしれません。サーバーをインターネットに接続するときにプロキシ サーバーが必要な場合、プロキシ サーバーの設定を入力します。次に、更新プログラムをダウンロードして展開する製品を選択し、更新プログラムに必要な言語を選択します (既定値はサーバーの言語です)。その後、ダウンロードして展開する更新プログラムのカテゴリ (既定値は重要な更新プログラム、セキュリティ更新プログラム、および Service Pack です) を選択します。そして、自動的に承認する更新プログラムのカテゴリ (該当するものがある場合) と、その対象グループを選択します (既定では、All Computers (すべてのコンピュータ) グループに提供された重要な更新プログラムとセキュリティ更新プログラムを自動的に承認します)。最後に、更新プログラムを同期するスケジュールを設定します (既定値は "毎日" です)。

Essentials 2007 を構成するときに、ドメイン管理者またはグループ ポリシー管理者の資格情報を使用してログオンできる場合は、管理するコンピュータの構成にドメイン グループ ポリシーを選択すると、より簡単に構成を行うことができます。ドメイン グループ ポリシーを選択すると、管理するすべてのコンピュータの Windows ファイアウォールとリモート アシスタンスの設定を自動的に構成できます。この場合、ポリシーの構成は、Essentials 2007 によって自動的に作成されます。ローカル ポリシーを選択した場合は、多くの構成を手動で行う必要があります。

トラブルシューティングに関する重要事項

コンピュータの検出、エージェントの展開、および通信に関する問題のトラブルシューティングを行う場合、いくつかのことを考慮する必要があります。まず、コンピュータの検出処理のしくみについて簡単に説明します。Essentials 2007 は、入力された検索パラメータを使用して、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリを作成します (LDAP は Active Directory オブジェクトの検索に使用されるクエリ言語です)。次に、この LDAP クエリがローカル ドメイン コントローラに渡された後、このクエリによって検索タスクが送信されます。その後、検索結果が Active Directory から管理サーバーに返されます。次に、この管理サーバーは、返された一覧内の各コンピュータへの接続を試行することにより、検出されたこれらのコンピュータと通信して、管理エージェントをインストールできるかどうかを検証します。検証されたコンピュータは、検出された管理対象のコンピュータの一覧に追加されます。

ただし、Essentials 2007 サーバーは Active Directory、ネットワークと DNS、または検証で問題が発生した場合、コンピュータを検出できない場合があります。

コンピュータが一覧に追加されているかどうかを確認するには、Active Directory ユーザーとコンピュータ管理コンソールを起動します。このツールは Windows Server 2003 に既定でインストールされており、Windows Server 2003 管理パックから Windows XP Professional にインストールすることもできます。まず、[保存されたクエリ] フォルダを選択して右クリックし、[新規作成] をポイントして、[クエリ] をクリックします。次に、クエリの名前を入力し、[クエリの定義] をクリックします。その後、[検索] ボックスの一覧の [コンピュータ] をクリックします。最後に、コンピュータ名またはコンピュータ名の最初の何文字かを入力し、[OK] を何回かクリックしてクエリを生成します。

ここで、結果の一覧にコンピュータが追加されていることを確認します。追加されていない場合は、そのコンピュータを Active Directory に追加します。また、コンピュータの DNSHostname プロパティが正しく設定されていることを確認してください。このプロパティは、Active Directory ユーザーとコンピュータ管理コンソールのコンピュータのプロパティ ダイアログ ボックスの [全般] タブで確認できます。

ネットワーク経由でコンピュータにアクセスする必要がある場合は、検出ウィザードに指定したものと同じ名前を使用して ping コマンドを実行し、そのコンピュータにアクセスできるかどうかを確認します。コンピュータが ping コマンドに応答した場合、次のように -a スイッチと IP アドレスを指定して ping を実行します。

ping -a <IP address>

次のコマンドを実行すると、コンピュータの DNS が表示されます。コンピュータ名には、元の ping コマンドで使用した名前と同じものを使用してください。このコマンドを使用すると、コンピュータの登録済みの NetBIOS 名とドメインを確認することもできます。

nbtstat -a <computer name>

次のコマンドを使用すると、コンピュータの IP アドレスを使用して、上記と同じ作業を行うことができます。

nbtstat -A <IP address>

コマンド スイッチ –a では大文字と小文字が区別されます。IP アドレスを使用する場合は –A を指定します。コンピュータが ping 要求に応答しない場合、またはリモート エージェントのインストールが失敗し、"RPC Service Unavailable (RPC サービスを使用できません)" というメッセージが表示された場合、Windows ファイアウォールが有効になります。Essentials 2007 の展開環境でファイアウォールが有効になっている場合、例外を作成することにより、Essentials 2007 管理サーバーが、管理するコンピュータにエージェントを正常にインストールし、管理するコンピュータが管理サーバーと通信できるようにする必要があります (ローカル グループ ポリシーではなくドメイン グループ ポリシーを使用する場合、管理するコンピュータを使用するときに、手動でファイアウォールの例外を作成する必要はありません)。

エージェントのインストールが失敗した場合、[Administration] (管理) 領域 (メインの Essentials 2007 管理コンソールの左下隅の [Reporting] (レポート) ナビゲーション ボタンの横にある金色の歯車型の領域) に移動し、[Pending Management] (保留の管理) をクリックします。この画面では、トラブルシューティング手順を確認できるだけでなく、エージェントをインストールできなかったコンピュータに再度エージェントを展開することができます。

管理するすべてのコンピュータにファイアウォールのポリシーが適用されるまで、数時間待機するようにしてください。Feature Configuration Wizard (機能の構成ウィザード) の実行、ドメイン グループ ポリシーの選択、Computer and Device Management Wizard (コンピュータとデバイスの管理ウィザード) の実行という一連の操作を立て続けに行った場合、検出しようとしているコンピュータにファイアウォールのポリシーが適用されない可能性があります。ポリシーが適用されず、ファイアウォールが有効になったままである場合、検出は失敗します。

管理サーバーからコンピュータへの telnet 接続を試行することにより、そのコンピュータにエージェントを正常に展開できるかどうかを確認できます。管理サーバーからコンピュータへのポート 135 を経由した telnet 接続が成功した場合は、そのコンピュータにエージェントを正常に展開できます。接続が失敗した場合は、そのコンピュータのファイアウォールが TCP ポート 135 をブロックしている可能性があります。telnet を実行するには、コマンド ウィンドウを起動して、次のコマンドを入力します。

telnet <computer_name> 135

このコマンドを実行すると、ポート 135 を経由して指定した名前のコンピュータへ telnet で接続します。リモートでエージェントをインストールする場合、ポート 135 が使用されるため、このポートが接続可能である必要があります。

この接続が失敗した場合は、エージェントの展開と管理サーバーへの通信が許可された適切な Windows ファイアウォールの例外が作成されていることを確認します。例外が作成されていない場合は、図 7 のようなポートの例外を作成する必要があります。これらのすべての例外に対して、[Custom list] (カスタム リスト) オプションを使用して対象範囲を Essentials 2007 管理サーバーの IP アドレスに制限します。

Figure 7 ポートの例外

プロトコル 名前 ポート
TCP ポート 6270 6270
TCP ポート 135 135
TCP ポート 445 445

コンピュータでサードパーティ製のファイアウォール ソフトウェアを使用する場合は、その製品のマニュアルに記載されている例外の作成方法を参照してください。作成する例外は 図 7 のものと同じです。

NetBIOS 名と完全修飾ドメイン名 (FQDN) が一致しない場合は、そのコンピュータの DNS レコードを修正する必要があります。エージェントはインストールされているが管理サーバーに接続できない場合は、ターミナル サービスやリモート デスクトップを使用してエージェント コンピュータに接続し、ping コマンドと nbtstat コマンドを使用して、エージェントが管理サーバーの NetBIOS 名と FQDN を解決できるかどうかを確認します。

Essentials 2007 管理サーバーの IP アドレスが動的に割り当てられる場合は、IP アドレスが変更されたら、管理するコンピュータのファイアウォール ポリシーを更新する必要があります。新しい管理サーバーの IP アドレスに合わせてファイウォールの例外を更新するには、グループ ポリシー オブジェクト エディタで、次の 2 つのポリシー設定を有効にし、ここで説明するとおりに構成します。まず、"Windows ファイアウォール : リモート管理の例外を許可する" の [要請されない着信メッセージを許可するアドレス] に、管理サーバーの新しい IP アドレスを設定します。また、"Windows ファイアウォール : ファイルとプリンタの共有の例外を許可する" の [要請されない着信メッセージを許可するアドレス] にも、管理サーバーの新しい IP アドレスを設定します。

まとめ

この記事の情報が、System Center Essentials 2007 の概要を理解するのに役立てば幸いです。この新しい System Center 製品の詳細については、microsoft.com/sce を参照してください。

展開前の準備は、十分慎重に行う必要があります。今回は、IT 環境を管理するためのまったく新しいソリューションを展開することになるため、じっくりと時間をかけて、現在のネットワーク構成、ユーザーの作業方法、および IT リソースの望ましい管理方法について検討してください。これらのことについて検討しておくことにより、要件に応じた Essentials 2007 の構成を正しく行うことができます。

David Mills はマイクロソフトに 7 年間在籍しており、現在は System Center Essentials 2007 のシニア テクニカル プロダクト マネージャを務めています。System Center のマーケティング チームに加わる前、David は Windows Server 部門のユーザー アシスタンス チームのリーダーとして、コア ネットワーク テクノロジと管理テクノロジに関する IT プロフェッショナル向けの技術文書の作成に携わっていました。

© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.