共有 System Center Configuration Manager WSUS インフラストラクチャを使用して FCS 定義の更新を展開する

  • [アーティクル]

発行: 2009年12月

適用対象: Forefront Client Security

発行日 : 2008 年 10 月

執筆者 : Kevin Colby、Secure Vantage Technologies Inc.

概要

Microsoft Forefront Client Security (FCS) を使用するエンタープライズ環境では、マルウェア対策 (ウイルス対策およびスパイウェア対策) 定義の更新を組織全体にすばやく簡単に展開できることが重要です。 FCS は、Microsoft System Center Configuration Manager 2007 によっても利用される Windows Server Update Services (WSUS) を利用することでこれを実現しています。ただし、FCS は WSUS エンジンを使用して FCS が管理するすべてのクライアントに定義の更新を展開しますが、System Center Configuration Manager は WSUS を使用してソフトウェアの更新を容易にする Configuration Manager クライアント上のスキャン エンジンにメタデータを提供します。

既に Configuration Manager インフラストラクチャが導入されている場合は、FCS は同じ WSUS インフラストラクチャを使用する必要があります。これは、ローカルの Windows Update Agent は 1 つの WSUS サーバーにしか割り当てられないためです。 つまり、WSUS インフラストラクチャは、FCS と Configuration Manager の共有リソースになります。

このドキュメントでは、Configuration Manager と FCS が適切に機能し、連携するようにしながら、既存の Configuration Manager WSUS インフラストラクチャを使用するよう FCS 定義の更新を構成する方法についてのガイダンスを提供します。 このガイドでは、既存の FCS WSUS インフラストラクチャで Configuration Manager を構成する方法については説明されていないことに注意してください。

note注意事項:
Configuration Manager を使用している場合は、ローカルの Windows Update Agent は 1 つの WSUS サーバーにしか割り当てられないため、既存の WSUS インフラストラクチャ階層を利用して FCS 定義の更新を管理する必要があります。

FCS 定義の更新

このドキュメントの目的は、Configuration Manager がソフトウェアの更新に使用する WSUS インフラストラクチャを共有して、FCS 定義の更新を自動的に展開するためのガイダンスを提供することです。 このガイドでは、共有 WSUS サーバーを構成して、FCS 定義の更新をダウンロード、承認、および配布する方法を詳しく説明します。 このガイドに従うと、すべての FCS クライアントが、既存の Configuration Manager WSUS またはソフトウェア更新ポイント サーバーを利用して、定義の更新を取得するようになります。

このドキュメントでは、実際に機能する Configuration Manager ソフトウェア更新インフラストラクチャがあることを前提としています。 Configuration Manager の展開の詳細については、「Configuration Manager 2007 のサーバー インフラストラクチャの計画および展開」(https://technet.microsoft.com/ja-jp/library/bb680397.aspx) を参照してください。

また、このドキュメントでは、再配布サーバーのロールを除き、すべての FCS の管理ロールとクライアントが組織内に展開されていることも前提としています。 FCS の展開の詳細については、「展開」(https://technet.microsoft.com/ja-jp/library/bb404259.aspx) を参照してください。

note注意事項:
定義の更新プロセスにおいては Configuration Manager が果たす特定の役割はありません。定義の更新はすべて WSUS によって管理されます。 インターネットに接続しているクライアントは、イントラネットに接続しないと、WSUS インフラストラクチャからウイルス対策定義を取得できません。

マイクロソフトがサポートする構成

サポートされる FCS と Configuration Manager の共有構成については、「WSUS を使用して SCCM 2007 内の Forefront Client Security 定義の更新を配布する構成のサポート」(https://support.microsoft.com/default.aspx/kb/958491) を参照してください。 発行時点では、次のシナリオがマイクロソフトにより公式にサポートされています。

  • Configuration Manager 2007 および FCS: WSUS 3.0、Windows Server 2003 SP2 x86、1 WSUS サーバーにつき 10,000 クライアント、ネットワーク負荷分散 (NLB) なし

  • Configuration Manager 2007 SP1、R2* および FCS: WSUS 3.1、Windows Server 2003 SP2 x86、1 WSUS サーバーにつき 10,000 クライアント、NLB なし

  • Configuration Manager 2007 SP1、R2* および FCS SP1 : WSUS 3.1、Windows Server 2008 x86、1 WSUS サーバーにつき 10,000 クライアント、NLB なし

*Configuration Manager 2007 R2 は、リリース時点でサポートされる予定です。

前提条件

この統合をサポートするための全般的な構成要件を以下に示します。

  • WSUS 3.0 または WSUS 3.1。

  • FCS 配信サーバー コンポーネントは展開しません。

  • SQL Server を実行しているコンピュータは、Configuration Manager、FCS、および WSUS データベースの大文字小文字を区別しないように設定されている必要があります。

  • WSUS および Configuration Manager ソフトウェア更新ポイントは、同じコンピュータ上に配置される必要があります。これは Configuration Manager 展開の要件です。 詳細については、「サイト システムにソフトウェアの更新ポイント サイトの役割を追加する方法」(https://technet.microsoft.com/ja-jp/library/bb680313.aspx) を参照してください。

  • Configuration Manager サイト間でローミングされる Configuration Manager クライアントがある場合は、特定の WSUS の選択を強制するグループ ポリシー オブジェクト (GPO) は展開できません。 現在のサイトのソフトウェア更新ポイントではない WSUS サーバーを強制する GPO が展開あった場合、ソフトウェア更新は適切に機能しません。

構成

構成プロセスは、5 つの基本的な手順から成ります。 複数の Configuration Manager ソフトウェア更新ポイントがある環境では、必要に応じて、以下の手順を繰り返す必要があることに注意してください。

  • 手順 1. は、環境内の各 Configuration Manager 階層の最上位レベルで実行します。

  • 手順 3. および 4. は、階層内のすべてのソフトウェア更新ポイントで実行する必要があります。

既存の System Center Configuration Manager WSUS インフラストラクチャを使用するように FCS 定義の更新を構成するには

  1. Configuration Manager コンソールで、Configuration Manager ソフトウェア更新ポイントの WSUS 更新の同期設定を更新し、FCS 定義の更新が含まれるようにします。 これは、単に WSUS に構成されている同期設定が後で Configuration Manager によって変更されないようにするための、予防的な対策として行います。 FCS 定義のすべての更新は、Configuration Manager サイトに関連付けられている WSUS インスタンスによって処理されます。 この手順は、環境内の各 Configuration Manager 階層の最上位サイトで実行します。 次の操作を行ってください。

    note注意事項:
    必要な種類 (更新カテゴリ、製品、言語など) のみが更新されるように、WSUS の更新数を制限することをお勧めします。 不要な更新を同期すると、不必要にリソースが消費されて、Configuration Manager 階層内のすべてのサイト サーバーとソフトウェア更新ポイントのパフォーマンスに影響する可能性があります。 Configuration Manager のソフトウェアの更新の同期の詳細については、「ソフトウェアの更新の同期について」(https://technet.microsoft.com/ja-jp/library/bb632485.aspx) を参照してください。

    1. Configuration Manager コンソールを起動します。

    2. [コンポーネントの構成] に移動します。

    3. [ソフトウェアの更新ポイント コンポーネント] を右クリックし、[プロパティ] をクリックします。

    4. [プロパティ] ダイアログ ボックスの [分類] タブをクリックし、[定義の更新] が選択されていることを確認します。

    5. [製品] タブをクリックし、[Forefront Client Security] チェック ボックスがオンになっていることを確認して、[OK] をクリックします。

  2. Configuration Manager コンソールを終了し、Windows Server Update Services 3.0 または 3.1 のコンソールを開きます。

  3. 定義の更新カテゴリの更新を自動的に承認する自動承認ルールを作成して、新しい定義の更新が公開された場合に自動的に承認されるようにします。これにより、FCS クライアントが可能な限りすばやく、最小限の管理オーバーヘッドで定義の更新を取得できるようにします。 この手順は、環境内のすべての Configuration Manager ソフトウェア更新ポイントで実行します。 次の操作を行ってください。

    note注意事項:
    ソフトウェアの更新が Configuration Manager によってのみ展開されるように、自動承認ルールには定義の更新のみが含まれるようにすることが重要です。 自動承認ルールの詳細については、「Approving the Updates」(https://technet.microsoft.com/en-us/library/cc708474.aspx) (英語) を参照してください。

    1. Microsoft Windows Server Update Services コンソールを開きます。

    2. [オプション] ノードをクリックします。

    3. [自動承認] ダイアログ ボックスを開き、[新しい規則] をクリックします。

    4. [規則の追加] ダイアログ ボックスで、[更新が特定のクラスに含まれる場合] チェック ボックスをオンにします。

    5. [任意のクラス] をクリックします。

    6. [更新クラスの選択] ダイアログ ボックスで、選択されているチェック ボックスがある場合はオフにし、[定義の更新] チェック ボックスをオンにして、[OK] をクリックします。

    7. [OK] をクリックして、すべてのコンピュータを自動承認ルールの適用対象とします。

      note注意事項:
      適用対象のコンピュータは変更できますが、既定値であるすべてのコンピュータを使用することをお勧めします。

    8. ルールの名前 (例 : "FCS 定義の更新の自動承認") を指定します。

    9. 設定を確認したら、[OK] をクリックして新しいルールを承認します。

    10. [自動承認] ダイアログ ボックスで [OK] をクリックして終了し、新しいルールを適用します。

  4. 定義の更新に適したタイミングに合わせて WSUS の自動同期スケジュールを構成します。 これは、Configuration Manager 階層への影響を最小限に抑えるため、Configuration Manager ではなく、WSUS で行います。 Configuration Manager において更新スケジュールが高速化された場合、すべてのダウンストリーム サイトが、WSUS インスタンスだけでなくサイト サーバーも WSUS データベースと同期しなければならなくなり、これは望ましい処理ではありません。 ソフトウェア更新ポイントの同期スケジュールの詳細については、「ソフトウェアの更新ポイントの設定の計画」(https://technet.microsoft.com/ja-jp/library/bb694108.aspx) を参照してください。 この手順は、環境内のすべての Configuration Manager ソフトウェア更新ポイントで実行します。 次の操作を行ってください。

    1. WSUS コンソールで [オプション] ノードに移動します。

    2. [同期スケジュール] ダイアログ ボックスを開きます。

    3. ニーズに最適な同期スケジュールを構成します。このとき、定義の更新は多いときで 1 日に 3 回リリースされる可能性があることを考慮してください。 FCS 定義の更新とパフォーマンスの計画の詳細については、「定義の更新とパフォーマンス」(https://technet.microsoft.com/ja-jp/library/bb418846.aspx) を参照してください。

    4. [OK] をクリックして、ダイアログ ボックスを終了します。

  5. 環境内に定義の更新が適切に展開されていることを確認します。 詳細については、「更新プログラムが展開されていることを確認する」(https://technet.microsoft.com/ja-jp/library/bb418786.aspx) を参照してください。

note注意事項:
FCS の定義の更新において Configuration Manager が果たす役割はありませんが、Configuration Manager を使用することで、FCS エージェントの展開と修正プログラムの適用を自動化したり、目的の構成管理コンポーネントによって FCS 構成を評価することができます。