[HOWTO] SMS を使用したパッチ管理の実行
公開日: 2004年6月2日
トピック
目的
適用対象
モジュールの使用方法
要約
はじめに
必要な知識
評価段階 - 更新プログラムのスキャン
査定段階 ‐ SMS インフラストラクチャを設計する
識別段階 ‐ 通知を取得する
識別段階 ‐ 通知を処理する
識別段階 ‐ 脆弱性スキャン ツール
識別段階 ‐ ソフトウェア更新プログラムの適合性を判断する
評価と計画の段階 - 更新プログラムの適用対象を特定する
評価と計画の段階 ‐ 緊急変更要求を展開する
評価と計画の段階 ‐ リリースを作成する
展開段階 ‐ 展開を準備する
展開段階 ‐ クライアント コンピュータへソフトウェア更新プログラムを提供する
展開段階 ‐ 展開の進捗状況を監視およびレポートする
展開段階 ‐ 失敗した展開を処理する
目的
このモジュールの目的
- Microsoft Systems Management Server (SMS) 2003 を使用して、パッチ管理プロセスの 4 段階をすべて実装する。
適用対象
このモジュールは、次の製品およびテクノロジに適用されます。
- SMS 2003
モジュールの使用方法
このモジュールでは、SMS を使用して 4 段階パッチ管理プロセスを実装する方法について詳しく説明します。
このモジュールを最大限に活用するには
モジュール「パッチ管理のプロセス」を参照してください。このモジュールでは、4 段階パッチ管理プロセスの各段階の概要について説明しています。また、Windows オペレーティング システム環境でパッチ管理のサポートに使用できるツールの導入情報も提供しています。
4 段階のパッチ管理プロセスの詳細については、次の 4 つのモジュールを参照してください。
モジュール「パッチ管理フェーズ 1 - 査定」
モジュール「パッチ管理フェーズ 2 - 識別」
モジュール「パッチ管理フェーズ 3 - 評価と計画」
モジュール「パッチ管理フェーズ 4 - 展開」
https://www.microsoft.com/japan/smserver/default.mspx で公開されている「SMS 2003 製品ドキュメント」を参照してください。
要約
このモジュールでは、SMS 2003 によるエンタープライズ環境での、パッチ管理の配信について説明します。このモジュールで提供するガイダンスと情報では、SMS 2003 を使用して、マイクロソフトによって推奨されている 4 段階パッチ管理プロセスを実装する方法が示されています。
はじめに
このモジュールを使い始める前に次の手順を実行してください。
- https://www.microsoft.com/japan/smserver/default.mspx から Systems Management Server 2003 Software Update Scanning Tools をダウンロードします。
必要な知識
このモジュールを使い始めるには、次の事前知識が必要です。
セキュリティ更新インベントリ ツールと Microsoft Office 更新インベントリ ツールは、ダウンロード可能な形式で提供されている "SMS 2003 Software Update Scanning Tools" に含まれており、既定ではインストールされません。
Systems Management Server 2003 Software Update Scanning Tools をインストールするには、インターネットにアクセスして、次の最新ファイルをダウンロードする必要があります。
実行可能ファイルが含まれている Invcm.exe
すべての Office 更新ファイルの名前情報と共に XML ファイルが含まれている Invcif.exe
SMS 2003 サーバーからインターネットにアクセスできない場合は、Invcm.exe と Invcif.exe をhttps://www.microsoft.com/japan/office/ork/2003/journ/offutoolv2.htm からダウンロードできます。または、それらのファイルを Office 2003 Editions リソース キット ツールボックスから取得して、サーバーにコピーできます。
評価段階 - 更新プログラムのスキャン
SMS 2003 で更新サービスを使用して、ソフトウェア更新プログラムを運用環境に展開するには、事前に監査を実行する必要があります。背景情報については、モジュール「パッチ管理フェーズ 1 - 査定」の「既存のコンピューティング資産を調べる」を参照してください。
ハードウェアの種類とバージョンの識別
特定のソフトウェア更新プログラムのインストール方法を判断するには、環境内のコンピュータの種類を把握する必要があります。たとえば、サーバーに更新プログラムを適用する場合は、停止期間の確認が必要になる場合があります。SMS では、特定の停止期間内に更新プログラムを適用する必要があるサーバーのコレクションを作成できます。この方法で、通常のビジネス運用時にソフトウェア更新プログラムがインストールされないようにします。一連のサーバーおよびそれらのサーバーに適用される停止期間のデータベースを作成する場合は、必要なコレクションを自動的に作成するプログラムを作成できます。
通常は、SMS 2003 ハードウェア インベントリ クライアント エージェントによって収集される情報で、ポータブル コンピュータと他の種類のコンピュータを十分に識別できます。ただし、コンピュータの種類またはモデルを明確に識別できる単一の属性や属性のコレクションはありません。
オペレーティング システム、アプリケーション、およびミドルウェアを識別する
運用環境に展開されているすべてのオペレーティング システム、Service Pack (SP) のバージョン、ソフトウェア アプリケーションとバージョンを認識する必要があります。SMS 2003 ハードウェア インベントリ クライアント エージェントを使用して、Windows の [プログラムの追加と削除] プログラムに登録されているすべてのインストール済みアプリケーション、Service Pack、およびソフトウェア更新プログラムに関する情報を収集できます。
[プログラムの追加と削除] プログラムに登録されていないアプリケーションの場合は、SMS 2003 ソフトウェア インベントリ クライアント エージェントを使用して、クライアントにインストールされているすべての実行可能ファイル (.exe) の詳細情報を取得する必要があります。このインベントリを分析して実際にインストールされている製品を判断するには、さらに作業が必要になります。一般に、ソフトウェア インベントリは、運用環境のすべてのコンピュータに対して、毎週実行するように構成しますが、個々の要件は異なる場合があります。
アプリケーションによっては、SMS 2003 ソフトウェア インベントリ クライアント エージェントが収集した情報を拡張し、インストール済みのソフトウェア アプリケーション バージョンに関する詳細情報を取得して、最適のソフトウェア更新プログラムを選択する必要があります。たとえば、Internet Explorer のインベントリの実行では、標準のインベントリ プロセスのように SMS が 収集した Iexplore.exe ファイルの情報を確認するだけでは不十分です。Internet Explorer のバージョン情報を正確に取得する唯一の手段は、SMS でコンピュータの Internet Explorer データを保持するレジストリ キーを取得することです。レジストリ キーには、インストールされているソフトウェア更新プログラムと Service Pack のインベントリを実行するときに SMS で使用できる情報が含まれています。SMS でレジストリ キーのインベントリ情報を取得するには、SMS_def.mof ファイルを変更して、レジストリ プロバイダ (SMS によるレジストリ アクセスを可能にする少量のコード) を含める必要があります。
次の SMS_def.mof サンプル ファイルは、インベントリ レジストリへの変更を示しています。
//------------------------------------------------------
// アプリケーション モードで TS を実行しているサーバーを識別する
// ターミナル サービス - レジストリから TSEnabled を取得
// ターミナル サービス - レジストリから TSAppCompat を取得
//------------------------------------------------------
#pragma namespace ("\\\\.\\root\\cimv2")
// TSEnabled と TS アプリケーション モードをグラブ
[DYNPROPS]
class TSAPPMode
{
[key]
string keyname="";
string TSEnabled;
string TSAppCompat;
};
[DYNPROPS]
instance of TSAPPMode
{
keyname="TSAPPMode";
[PropertyContext("local|HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\
Terminal Server|TSEnabled"),Dynamic, Provider("RegPropProv")]
TSEnabled;
[PropertyContext("local|HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\
Terminal Server|TSAppCompat"),Dynamic, Provider("RegPropProv")]
TSAppCompat;
};
#pragma namespace ("\\\\.\\root\\cimv2\\sms")
[
SMS_Report(TRUE),
SMS_Group_Name("TS Application Mode"),
SMS_Class_ID("MICROSOFT|TSAPPMode|1.0")
]
class TSAPPMode : SMS_Class_Template
{
[SMS_Report(TRUE),key]
string keyname;
[SMS_Report(TRUE)]
string TSEnabled;
[SMS_Report(TRUE)]
string TSAppCompat;
};
役割を把握する
コンピュータの役割を把握しておくと、ソフトウェア更新プログラムの展開後に再起動が必要な場合の影響を判断するのに役立ちます。通常は、SMS 2003 ハードウェア インベントリ クライアント エージェントによって収集される情報で、コンピュータ上で実行されているサービスを十分に把握できます。ただし、上記のように、SMS_def.mof ファイルを変更してレジストリから追加情報を収集することが必要になる場合があります。
接続を把握する
ソフトウェア更新プログラムはサイズが異なるので、ネットワーク インフラストラクチャの制約を把握しておくと、更新プログラムなどの配布の遅延を減らすのに役立ちます。Microsoft SMS Network Discovery を使用して、ネットワーク トポロジと、ネットワークに接続されているデバイスに関する情報を用意できます。詳細については、https://www.microsoft.com/japan/smserver/default.mspx で公開されている製品の文書を参照してください。
必要なソフトウェア更新プログラムを識別する
管理者は、SMS 2003 のソフトウェア更新プログラム管理機能の一部になっているセキュリティ更新インベントリ ツールを使用して、SMS ハードウェア インベントリを拡張し、図 1 に示すように、一連のクライアントにインストールする必要があるソフトウェア更新プログラムについてレポートを作成できます。
図 1 セキュリティの更新プログラム情報の SMS データベースへの追加
SMS 2003 クライアントでは、現在のインストール済み状況と、マイクロソフトの Web サイトからダウンロードされた XML ファイル内の使用可能なソフトウェア更新プログラムの一覧が比較されます。
また、セキュリティ更新インベントリのインストール ルーチンでは、マイクロソフトの Web サイトから最新のソフトウェア更新プログラム カタログ ファイル (Mssecure.cab) をダウンロードする定期提供情報 (7 日ごとに実行) が作成されます。サイト サーバーは、ダウンロードが完了すると、すべてのクライアント システム コレクションを対象として、自動的に新しい提供情報を作成します。この提供情報により、最新のソフトウェア更新プログラムカタログ ファイルを使用して、更新プログラムに対してセキュリティ更新インベントリ ツールが実行されます。
注: SMS 2003 セキュリティ更新インベントリ ツールでは、不足している Service Pack に関するレポートは作成されません。SMS ハードウェア インベントリ クライアント エージェントとソフトウェア インベントリ クライアント エージェントを使用して、現在インストールされている Service Pack を探す必要があります。このことから、最新の Service Pack および更新プログラムに組織のベースラインを設定することをお勧めします。また、セキュリティ更新プログラム レポートは、単に現在の Service Pack の改訂に基づいています。たとえば、現在の Service Pack が SP2 の場合は、SP1 に関連するソフトウェア更新プログラムはレポートには表示されません。
必要な Office ソフトウェア更新プログラムを識別する
SMS 2003 のソフトウェア更新プログラム管理機能には、Microsoft Office 更新インベントリ ツールが含まれます。管理者はこのツールを使用して、SMS ハードウェア インベントリを拡張し、Office を最新の状態に維持するのに必要なソフトウェア更新プログラムに関してレポートを作成できます。図 2 に示すように、クライアント コンピュータでは、既に説明したセキュリティ更新インベントリ ツールの場合と同じように、現在のインストール済み状況と、最新の Office 更新データベース ファイル (invcif.exe) の内容が比較されます。
図 2 Office 更新プログラム情報の SMS データベースへの追加
注: Office 更新インベントリ ツールでは、Office 更新ツールと一緒に Office 更新データベース (invcif.exe) を使用して、適用可能な Office 更新プログラムについてクライアント コンピュータを分析します。Office 更新ツールによって収集されたデータは、SMS サイト データベースと互換性のある形式に変換されます。このツールの最新バージョンは、Office Update Sync Tool によって定期的に自動ダウンロードされ、SMS 配布ポイントを使用して、企業組織内のコンピュータに配布されます。
Microsoft Office 更新ツールの詳細については、https://support.microsoft.com/kb/312982 (英語) を参照してください。
インベントリ/監査を確認する
パッチ管理には、その環境に存在しているものに関して、正確で最新の情報が不可欠です。管理者は、監査が行われたことを確認してから SMS データベースに格納された情報を使用してパッチ管理のタスクや作業を実行する必要があります。
監査が正常に行われたことを確認する最初の作業は、Microsoft Office 更新インベントリ ツールと、セキュリティ更新インベントリ ツールの両方が SMS 2003 で正常に実行されたことを確認することです。このためには、SMS の提供情報のステータス メッセージを確認してエラーが発生していないかどうかを確認します。これらの更新インベントリ ツールが実行されていない SMS クライアント コンピュータについては、問題管理に報告します。
管理者はインベントリ ツールが正常に実行されていることを確認したら、各 SMS クライアントのハードウェアおよびソフトウェアのインベントリのステータスを確認します。最後に、ハードウェアおよびソフトウェア インベントリ クライアント エージェントがインストールできていない、またはこれらのエージェントが指定された間隔 (データ センター クラスのコンピュータでは毎日、それ以外のコンピュータでは毎週) で実行されていない SMS クライアント コンピュータを一覧表示する Web レポートを作成します。たとえば、ソフトウェア更新プログラム エラー メッセージを返したコンピュータを、SMS 2003 のソフトウェア更新プログラム インフラストラクチャ状態カテゴリで指定された提供情報レポートに使用できます。このレポートに表示されたすべてのコンピュータは、問題管理に報告する必要があります。
"迅速な"インベントリ ツールで提供情報を作成した場合、不足している更新プログラムのスキャンが完了した時点で、ハードウェア インベントリが強制的に実行される可能性があります。既定では、これらのツールによって取得される情報は、次にスケジュールされているハードウェア インベントリ サイクルで SMS サイト サーバーに報告されます。
査定段階 ‐ SMS インフラストラクチャを設計する
効果的なソフトウェア配布インフラストラクチャを備えることは、効果的なパッチ管理プロセスを実現する上で重要となります。背景情報については、モジュール「パッチ管理フェーズ 1 - 査定」の「既存のソフトウェアの配布インフラストラクチャを査定する」を参照してください。
SMS 2003 設計の考慮事項に関する詳細については、「Microsoft Solutions for Management (MSM) Management Architecture Guide」(英語) https://www.microsoft.com/systemcenter/en/us/default.aspx を参照してください。
SMS サイト サーバーは、多くのクライアントが配置されている場所、あるいはネットワーク帯域を管理または制御する必要のある場所に配置しておく必要があります。元になるネットワーク アーキテクチャを反映するため、または管理の委任を許可するために、階層を深くする (多くの層で構成する) 必要がある場合があります。
ビジネスの基幹サーバーの場合は、ソフトウェア更新プログラムを展開するために必要な時間を削減することが重要となります。この目標を達成するには、図 3 に示すように、より平坦で応答の速い SMS 階層が必要になります。
図 3 パッチ管理をサポートする SMS 階層の設計
管理者はこの階層を作成するために、新しい SMS サイト サーバーをビジネスの基幹サーバーのある場所に導入し、それらのコンピュータが新しい SMS サイト サーバーのクライアントとなるように設定する必要があります。
場所によっては、1 つはワークステーション クライアントをサポートし、もう 1 つはビジネスの基幹コンピュータをサポートする、2 つの SMS サイト サーバーが存在することがあります。コンピュータは、Internet Protocol (IP) サブネットが、特定のサイトによって管理される IP サブネットに一致する場合のみ、SMS サイトのクライアントになります。
管理者はビジネスに不可欠なサーバーをサポートする SMS サイトの迅速な応答時間を保証するために、サイト間センダに帯域幅の制限を設定せず、任意の時点でサイト間通信が行われるのを許可する必要があります。
通常のビジネスの過程では、管理機能は引き続き階層の最上位にあるサーバーで実行される必要があります。組織がデータ センター サーバー上の重要なセキュリティの脆弱性に対処するソフトウェア更新プログラムを展開する必要があるような事象では、管理者は SMS パッケージと提供情報を、ビジネス上重要なコンピュータを管理する SMS サイト サーバーに作成する必要があります。提供情報が SMS 階層の下層のコンピュータまで渡される必要はなく、SMS サイト間に帯域幅の制限もないので、ソフトウェア更新プログラムがインストールされるのに必要な総時間数が大幅に削減されます。
識別段階 ‐ 通知を取得する
環境の査定後、次の段階として、問題を識別し、使用可能な更新プログラムについて情報を取得します。背景情報については、モジュール「パッチ管理フェーズ 2 - 識別」の「新しいソフトウェア更新プログラムを探索する」を参照してください。
マイクロソフト プロダクト セキュリティ警告サービス 日本語版のご案内
電子メールによる通知は、最も一般的な形式の更新通知です。電子メール通知を受けるためのオプションの 1 つは、「マイクロソフト プロダクト セキュリティ警告サービス 日本語版のご案内」 (https://www.microsoft.com/japan/technet/security/bulletin/notify.mspx) の購読を申し込むことです。
識別段階 ‐ 通知を処理する
通知を受け取った後は、どのソフトウェア更新プログラムが使用可能かを識別して、SMS ソフトウェア更新プログラム サービスで通知を処理するために何が必要かを確認する必要があります。背景情報については、モジュール「パッチ管理フェーズ 2 - 識別」の「新しいソフトウェア更新プログラムを探索する」を参照してください。
SMS ソフトウェア更新プログラム管理
新しい電子メール通知を受け取ったら、最初に、SMS 2003 内のソフトウェア更新プログラム管理ツールで、ソフトウェア更新プログラムが運用環境内のシステムに適用可能かどうかを検出できることを判定する必要があります。
ソフトウェア更新プログラムが適用可能かどうかを判定するには
この判定の最初の手順では、サポート技術情報 (KB) の 306460 「Microsoft Baseline Security Analyzer (MBSA) で一部の更新について注意が表示される」 (https://support.microsoft.com/kb/306460) を参照し、ソフトウェア更新プログラムがインストールされていること、またはインストールされていないことを MBSA で検出できるかどうかをチェックします。この手順は、KB 文書で説明されています。
製品がサポート リストに含まれている場合は、この製品に対するソフトウェア更新プログラムを MBSA で検出できることを確認する必要があります。これも、KB 文書 306460 で説明されています。
ソフトウェア更新プログラムを MBSA によってサポートされていない製品に適用する場合、またはソフトウェア更新プログラムを MBSA によって検出できない場合は、SMS 2003 ハードウェア インベントリ クライアント エージェントおよび SMS 2003 ソフトウェア インベントリ クライアント エージェントによって収集された情報を使用して、ソフトウェア更新プログラムをどのコンピュータに適用するかを判断する必要があります。
ソフトウェア更新プログラムを MBSA で検出できる場合は、SMS 2003 でソフトウェア更新プログラム管理ツールを使用して、ソフトウェア更新プログラムを適用できるコンピュータを識別できます。
ソフトウェア更新プログラムを Microsoft Office アプリケーションに適用する場合は、ソフトウェア更新プログラムが、Microsoft Office 更新インベントリ ツールによって提供される更新プログラムの一覧に含まれているかどうかを確認する必要があります。ソフトウェア更新プログラムがこの一覧に含まれている場合は、ソフトウェア更新プログラム管理ツールを使用して、ソフトウェア更新プログラムを適用できるコンピュータを判断できます。リストに含まれていない場合は、SMS 2003 ソフトウェア インベントリ クライアント エージェントおよび SMS 2003 ハードウェア インベントリ クライアント エージェントを使用して取得した情報に基づいてレポートを作成する必要があります。
図 4 では、直前に説明したプロセスのデシジョンツリー フロー チャートを示します。
図 4 MBSA 1.1 を使用して新しいソフトウェア更新プログラムを識別するためのデシジョンツリーフローチャート
識別段階 ‐ 脆弱性スキャン ツール
SMS 2003 に用意されているソフトウェア更新プログラム管理機能のコンポーネントを使用して、環境内でのソフトウェア更新プログラムのインストール状況についてスキャンしたりレポートを作成したりすることもできます。背景情報については、モジュール「パッチ管理フェーズ 2 - 識別」の「ソースと通知の信頼性を判断する方法」を参照してください。
ソフトウェア更新プログラム管理機能は、次のコンポーネントで構成されています。
ソフトウェアの更新インベントリ ツール
ソフトウェア更新の配布ウィザード
ソフトウェアの更新インストール エージェント
レポート
上記の 4 つのコンポーネントのうち、ソフトウェアの更新インベントリ ツールと SMS 2003 レポートを使用して、インストールされているソフトウェア更新プログラムおよびインストールされていないソフトウェア更新プログラムについてスキャンとレポートを実行できます。
ソフトウェアの更新インベントリ ツールには次の種類があります。
Microsoft オペレーティング システム、Internet Explorer、SQL Server、Exchange のセキュリティ更新プログラムを処理するセキュリティ更新インベントリ ツール
Microsoft Office のソフトウェア更新プログラムを処理する Microsoft Office 更新インベントリ ツール
これらのツールは、相互に依存しません。いずれか 1 つまたは両方を使用できます。
注: 既定では、ソフトウェアの更新インベントリ ツールは、SMS サイトにはインストールされません。ソフトウェアの更新インベントリ ツールは、https://www.microsoft.com/japan/smserver/default.mspx からダウンロードする必要があります。
セキュリティ更新インベントリ ツールと Microsoft Office 更新インベントリ ツールによって提供されるインベントリ データは、SMS クライアントの対応状況に関する詳細な情報を提供します。この情報は集中管理される場所で提供されます。この情報には次の内容が含まれています。
現在インストールされている更新プログラムと Service Pack の一覧
使用可能なソフトウェア更新プログラムと適用可能なソフトウェア更新プログラム
更新プログラムが掲載された日時
更新プログラムがインストールされた日時 (可能な場合)
ソフトウェアの更新インベントリ データには、適用可能な更新プログラムに関するサポート技術情報の文書へのリンクも含まれています。このリンクを使用すると、組織でのこれらの更新プログラムの必要性を評価するのに役立つ関連情報にアクセスできます。
それぞれのソフトウェアの更新インベントリ ツールには、ツールをインストールするインストーラ プログラムが含まれています。
注: SMS 2003 ソフトウェア更新プログラム管理機能の詳細な技術情報については、SMS 2003 を使用してさまざまなソフトウェアの更新タスクを実行する手順と共に、https://www.microsoft.com/download/details.aspx?familyid=bd2b3619-4704-4c19-a00b-628e65f6f826&displaylang=ja からダウンロードできる「Systems Management Server 2003 Operations Guide - 日本語」内の「製品操作ガイド」の第 6 章「ソフトウェアの更新を管理する」と、「コンセプト・計画・導入ガイド」の第 3 章「SMS 機能とは」を参照してください。
ソフトウェアの更新インベントリ ツールを実行すると、SMS 管理コンソールおよびさまざまな Web レポート内で情報が生成されます。コンソールベースのスキャン結果の例を、図 5 に示します。
図 5 SMS 管理コンソールを使用してのインストールされていないソフトウェア更新プログラムおよび関連の Bulletin ID 番号の識別
マイクロソフトでは、セキュリティ更新プログラムに関する情報を、カタログ形式 (Mssecure.xml) および Web ダウンロード形式でリリースしています。セキュリティ更新プログラム情報カタログとMicrosoft Office 更新カタログは、新しいセキュリティ更新プログラムのリリースに合わせて定期的に更新されます。
SMS 2003 のソフトウェア更新プログラム管理機能では、これらのカタログを参照情報として使用してクライアントを評価します。ソフトウェア更新プログラム管理ツールでは、企業組織内のすべての SMS クライアント コンピュータ上にインストールされた適用可能な更新プログラムの詳細なインベントリを実行します。ソフトウェアの更新インベントリ ツールでは、クライアントをスキャンして、クライアントを最新の状態にするにはどの更新プログラムが必要かを判定します。その後に、管理者は "ソフトウェア更新の配布ウィザード" を使用して、必要な更新プログラムを展開します。
SMS 2003 には、組織内で不足しているソフトウェア更新プログラムに関する事前定義済み更新関連レポートが含まれています。それらのレポートには、適用可能なソフトウェア更新プログラムやインストール ステータスなどの情報が表示されます。
たとえば、SMS 2003 で "適用可能なコンピュータとインストールされているコンピュータの数があるソフトウェアの更新" レポートを使用して、すべてのインストール済みのソフトウェア更新プログラムまたは適用可能なソフトウェア更新プログラムの一覧と共に、これらの更新プログラムに関する情報を表示できます。このレポートには、図 6 に示すように、ソフトウェア更新プログラムごとに、インストールされていないコンピュータの数と、ソフトウェア更新プログラムが既にインストールされているコンピュータ数が表示されます。
図 6 ソフトウェア更新プログラムと適用可能なコンピュータとインストール済みコンピュータの数を表示する SMS 2003 Web レポート
次のサンプル SQL クエリを使用して、過去 7 日間で環境内に報告された新しいソフトウェア更新プログラムを識別することもできます。
select QNumbers0 as Knowledgebase,
ID0 as Bulletin,
Product0 as 'Affected Product',
Title0 as 'Vulnerability',
MAX(DatePosted0) as 'Release Date',
MAX(DateRevised0) as Revised,
MIN(TimeDetected0) as 'First Detected on Clients'
from v_gs_patchstate
where (TimeDetected0 >= DATEADD(day,-7,getdate())
or DatePosted0 >= DATEADD(day,-7,getdate())
or DateRevised0 >= DATEADD(day,-7,getdate()))
and Status0 != 'Installed'
group by QNumbers0, ID0, Product0, Title0
識別段階 ‐ ソフトウェア更新プログラムの適合性を判断する
受け取ったソフトウェア更新プログラムは、必ず環境に関連しているかどうかをチェックする必要があります。背景情報については、モジュール「パッチ管理フェーズ 2 - 識別」の「ソフトウェア更新プログラムの適合性を判断する」を参照してください。
ソフトウェア更新プログラムが IT インフラストラクチャに適合することを判断するには、主に次の審査方法を使用できます。
セキュリティ情報とKB 文書を参照する
個々のソフトウェア更新プログラムを確認する
SMS 管理コンソールを使用する
SMS 組み込みレポートを使用する
セキュリティ情報と KB 文書を参照する
環境内で脆弱性の影響を受ける可能性があるコンピュータを分離するには、影響を受けるものとして関連セキュリティ情報にリストされている製品を確認し、SMS で使用可能なインベントリ データにアクセスする必要があります。
たとえば、SMS 2003 では、次の製品の既定のコレクションが提供されます。
Microsoft Windows 2000 Professional
Windows 2000 Server
Windows XP
Windows 98
Windows NT 4.0
Windows Server 2003
個々のソフトウェア更新プログラムを確認する
通知に含まれているそれぞれのソフトウェア更新プログラムは、詳細で綿密なレビューが必要です。たとえば、更新プログラムは特定のシナリオまたは構成に固有の場合があります。運用環境内のシナリオまたは構成が、サポート技術情報の文書での内容に一致していることを確認する必要があります。SMS クエリおよび Web レポートを作成して、この情報を取得する必要がある場合があります。
たとえば、サポート技術情報で、3 GB を超えるメモリが実装されているコンピュータで実行されている SQL Server にのみこのソフトウェア更新プログラムが必要であると記載されている場合は、このような構成の SQL Server が存在するかどうかを判断するため、クエリや Web レポートを作成する必要があるでしょう。ただし、セキュリティ更新プログラムの場合は、このような現象が確認されていなくても、予防的に前もって更新プログラムを適用する必要があります。
SMS ソフトウェア更新プログラム管理機能を使用する
SMS 2003 のソフトウェア更新プログラム管理機能によって生成されるスキャン結果とレポートを使用して、ソフトウェア更新プログラムに関する特定の情報や適用可能な情報を表示できます。図 7 では、Windows XP に関連付けられているセキュリティ更新プログラムが強調表示されています。要求数列の下の数字は、この更新プログラムを必要とするコンピュータの数を示し、対応列の下の数字は、既に更新プログラムがインストールされて適合しているコンピュータの数を示しています。図 7 では、1 台のコンピュータのみが、Windows XP の更新プログラムを必要としています。
図 7 SMS 管理コンソールを使用したソフトウェア更新プログラムと環境の関連性チェック
SMS レポートを使用する
SMS 2003 の "ソフトウェア ID ごとの対応" レポートでは、セキュリティ更新プログラムがインストールされているコンピュータの総数、セキュリティ更新プログラムがインストールされていないコンピュータの総数、およびセキュリティ更新プログラムの配布ステータスに関する概要情報が提供されます。このレポートは、図 8 に示すように、特定のセキュリティ更新プログラム (この場合は 815021) の現在の対応状況を識別するのに役立ちます。また、特定のセキュリティ更新プログラムの環境への適用可能性を判断するときも役立ちます。
図 8 SMS 2003 のソフトウェア ID ごとの対応レポート
注: SMS 2003 によって提供されるレポートでは、その特長的な機能として、それぞれのレポートの背後で機能している SQL クエリを表示できるだけでなく、クエリをコピーしたり変更したりしてレポートをカスタマイズできます。この機能を使用すると、1 ~ 60 分おきに自動的にレポートを更新することができます。これは継続的に状態を更新し、ソフトウェア更新プログラムの配布状況と特定のソフトウェア更新プログラムに対する適合レベルをレポートする必要のある、緊急時にはきわめて有益です。この機能を使用するには、特定のレポートを選択して、そのプロパティを表示します。
評価と計画の段階 - 更新プログラムの適用対象を特定する
更新プログラムを適用する対象を判断するには、環境に展開されているものについての正確で最新の知識が必要になります。背景情報については、モジュール「パッチ管理フェーズ 3 - 評価と計画」の「リリースを計画する」を参照してください。
セキュリティ更新インベントリ ツールと Microsoft Office 更新インベントリ ツールによって取得された情報と、SMS ハードウェア/ソフトウェア インベントリ クライアント エージェンによって取得された情報を使用すると、特定のソフトウェア更新プログラムをインストールする必要があるコンピュータを特定できます。更新プログラムを適用するコンピュータの種類と役割に加えてネットワークへのそれぞれの接続を特定することも重要です。
評価と計画の段階 ‐ 緊急変更要求を展開する
重要な更新プログラムでは、リスクが存在するシステムの数と種類を可能な限り正確に判断する必要があります。背景情報については、モジュール「パッチ管理フェーズ 3 - 評価と計画」の「リリースを計画する」を参照してください。
定期スケジュールが組まれているインベントリ サイクルよりも早くインベントリ データを取得するには、脆弱性にさらされる可能性がある各クライアント コンピュータ上でハードウェアおよびソフトウェア インベントリを強制的に実行するセキュリティ更新インベントリ ツールまたは Microsoft Office 更新インベントリ ツールが実行されるよう、SMS 管理者が必要な提供情報を作成する必要があります。
SMS 2003 サイト サーバーに更新プログラムを適用する必要がある場合は、これらのコンピュータに手動で更新プログラムを適用することを検討する必要があります。これは、運用環境内の他のコンピュータにソフトウェア更新プログラムがロールアウトされているときに、これらのサーバーが再起動されないようにすることが重要なためです。
ネットワーク接続性が良好でないサイトでは、SMS 媒体使用センダを利用してソフトウェア更新プログラム ファイルをリムーバブル メディアに移動し、このメディアをそれらのサイトに可能な限り迅速に転送できる計画を作成することが必要になる場合があります。
次のプロセスは、ソフトウェア更新の配布ウィザードを使用してソフトウェア更新プログラムを配布し、ビジネスに不可欠なサーバーに強制的にインストールするのに必要な手順を示しています。ワークステーションに適用するソフトウェア更新プログラムでも、同じようなプロセスを実行できます。
注: このプロセスは、十分な使用可能ネットワーク帯域幅があって、ソフトウェア更新プログラム ファイルと更新済みのソフトウェア配布ポリシーをクライアント コンピュータに適用できるビジネスの場所でのみ実現できます。
ソフトウェア更新の配布ウィザードを使用してソフトウェア更新プログラムを配布し、ビジネスの基幹サーバーでインストールを強制的に実行するには
コントロール パネルから、利用可能プログラムを再実行するためのツール、またはプログラム モニタ ツールを使用して "SyncXML.exe" プログラムを実行します。 この手順は、同期タスク (最初は SMS サイト サーバー コンピュータになるようスキャン ツールのセットアップによって作成) をホストしているコンピュータで実行する必要があります。これにより、新規にリリースされたカタログをローカルに使用できるようになります。
このパッケージの配布ポイントを手動で更新して、新しいカタログが他のサイトおよび環境内の他の配布ポイントに継続的に流れるようにします。すべての配布ポイントでその更新が完了されていることを確認します。 更新されている配布ポイントは、いずれのレガシまたは SMS 2.0 クライアントにも必要です。必要に応じて、高度なクライアントは自動的に内容待機状態になります。これは、新しいプログラム アイコンには、必要な新しいパッケージのバージョンを反映するポリシーが設定されるためです。
既存のスキャン ツール パッケージ内で新しいプログラム アイコンを作成し、プログラムの "迅速な" フォームを確認します (コマンド ラインに "/s /cache /kick" を含めます)。 このプログラムを使用して、次の有効なスキャン サイクル内で、運用前のコレクション メンバによって、カタログの最新バージョンが確認されるようにします。
使いやすさを考慮して、この新しいプログラムには、新しいソフトウェア更新プログラムに関連する特定の Bulletin ID または KB 番号に基づいた名前 (たとえば、"迅速 MS03-039") を指定します。
新しい "迅速な" インベントリ ツール プログラムを、参照コンピュータ コレクションに提供します。 これは新しいプログラムなので、運用前のコンピュータでは、新しいカタログが含まれている関連のパッケージ バージョンのダウンロードが強制的に実行されます。
既存のスキャン ツール パッケージ内で 2 番目の新しいプログラム アイコンを作成し、プログラムの非迅速フォームを確認します (コマンド ラインに "/s /cache /" を含めます)。
使いやすさを考慮して、この新しいプログラムには、新しいソフトウェア更新プログラムに関連する特定の Bulletin ID または KB 番号に基づいた名前 (たとえば、"非迅速 MS03-039") を指定します。
ソフトウェア更新の配布ウィザードを使用して、ソフトウェア更新プログラム用の新しいパッケージを作成します。クライアント インベントリの処理時に、必要に応じて [更新] ボタンを使用し、すべての使用可能な運用前コンピュータ インベントリを利用できるようにします。運用前コレクションから取得された結果に基づいて、ソフトウェア更新プログラムを承認します (運用システムのスキャン中に、パッケージの準備を整えることができます)。
• インベントリ データを、確立されたハードウェア インベントリ クライアント エージェントのスケジュールよりも早くサイト サーバーに送信する場合は、ソフトウェア更新の配布ウィザードの最初のクライアント エージェント設定ページでクライアント インベントリをすぐに実行するための設定を有効にします。(これによりシステム アクティビティが増加する可能性があります。)
• タイム ゾーンではなく、世界標準時の動作を利用して、ソフトウェア更新プログラムをグローバルに一斉実施するかどうかを確認します。これは、ソフトウェア単位の更新設定です。
• 必ず、新しいプログラムではなく、既存のスキャン ツール パッケージとプログラムを、ウィザードの適切なページで指定します。
• "ソフトウェア更新の配布ウィザード" のこの時点ではまだ提供しないでください。
• 新しいパッケージを使用すると、ダウンロードおよび実行段階が可能な限り迅速に展開されるようになります。これは、管理の対象になる可能性がある他のソフトウェア更新プログラムが、現在のアクティビティよりも重要性が低く定義されているためです。
ソフトウェア更新の配布ウィザードを閉じた後で、新しいソフトウェア更新の配布ウィザード プログラムのプロパティ ページを開いて、新規に構築した非迅速プログラムへのプログラム依存関係を含めます。 プログラム依存関係によって、クライアントで新しいカタログの含まれたスキャン ツール パッケージ バージョンが実行されます。その後に、ソフトウェア更新プログラムのインストールが試行されます。この方法では、エージェントが最初にインベントリをローカルに更新しようとすると、プログラム依存関係が確実に強制実行されて、さらに最新のカタログがクライアントにキャッシュされます。依存プログラムには固有の提供情報がないため、ソフトウェア更新の配布ウィザード プログラムの提供情報のダウンロードおよび実行の構成は、依存プログラム用に自動的に確認されます。
ソフトウェア更新の配布ウィザード プログラムの新しい提供情報を作成して、ダウンロードおよび実行用に設定します。
• タイム ゾーン単位でなく、一斉にすべてのアクティビティが行われるようにするには、世界標準時の使い方が正しいかを確認します。通常は、ソフトウェア更新プログラムの "承認日時" 設定上で使用する場合に、世界標準時オプションを提供情報に含めます。
• 提供情報の開始時刻が最初の必須割り当て時刻の前になっていることを確認します。このように設定すると、最初に高度なクライアントでダウンロードし、サービス期間になったときに開始するように準備できます (サービス期間を使用しているときはこの点がさらに重要になります)。
• 必要に応じて、変更期間 (制限されたインストール時間) ごとにこの手順を繰り返します。
"ソフトウェア更新プログラム - 配布ステータス" で選択できるレポートを使用して、ステータスおよび対応状況について新規に作成されたパッケージの展開を監視します。 通常の場合、調査は次の 2 つの段階で構成されます。ソフトウェア配布の成功 (提供情報の成功) に重点が置かれる段階 1 と、配布ステータスに重点が置かれる段階 2 です。
• ソフトウェア更新プログラム ID ごとのソフトウェア更新プログラムの配布ステータス このレポートには、"インストール検証済み"、"ステータスなし"、"失敗" の数が表示され、それぞれのカテゴリの詳細情報が提供されます。"インストール検証済み" 以外のカテゴリの数値が非常に高い場合は、このレポートをそれぞれのカテゴリについて実行する必要があります。
• 指定された日数内における、特定のコンピュータに対するソフトウェアの更新のステータスメッセージ このレポートには、インストールの実際のステータスが表示されます。このレポートで、ソフトウェア更新プログラムのインストールに失敗した理由が説明されていない場合は、提供情報のステータスについて、実際のコンピュータを詳しくチェックする必要があります。
緊急状況に続いて (十分な対応をした後)、継続的に運用を行えるよう、メインライン パッケージを最新のソフトウェア更新プログラムで修正して、初期パッケージをリタイヤさせます。このためには、ファイルを 1 つのパッケージ ソース フォルダから別のフォルダにコピーしてから、ソフトウェア更新の配布ウィザードの [詳細] ボタンと [インポート] ボタンを使用する必要があります。通常、この提供情報は、ネットワークからそのサイズに応じて実行するように設定されます。
運用前コレクション メンバ用に作成した迅速プログラムと、運用コレクション メンバ用に作成した非迅速プログラムを削除します。 これらのアイコンは不要なため、システムによってそれらの提供情報が自動的に削除されます。
評価と計画の段階 ‐ リリースを作成する
リリース計画を確立した後は、プロセスの次の段階として、ソフトウェア更新プログラムを運用環境に展開するときに管理者が使用するスクリプト、ツールおよび手順を開発します。背景情報については、モジュール「パッチ管理フェーズ 3 - 評価と計画」の「リリースを作成する」を参照してください。
ここで実行する必要があるタスクと作業は、主に、SMS 2003 ソフトウェア更新の配布ウィザードを使用してソフトウェア更新プログラムを展開できるかどうかによって決定されます。
ソフトウェア更新の配布ウィザードを使用すると、ソフトウェア更新プログラムを配布してインストールするための SMS パッケージとプログラムを自動的に作成できるため、SMS 2003 を使用してソフトウェア更新プログラムを展開する場合の必須作業の大半が軽減されます。緊急変更要求の一部ではないセキュリティ更新プログラムは、特定の製品と Service Pack の組み合わせに適用するすべてのセキュリティ更新プログラム新が含まれるセキュリティ ロールアップ パッケージに追加できます。たとえば、コンピュータが 1 台だけ必要になるように、適切なセキュリティ更新プログラムをコンピュータに 1 回で適用するセキュリティ ロールアップ パッケージに、Windows 2000 SP3 に適用するすべてのセキュリティ更新プログラムを含めることができます。セキュリティ ロールアップ パッケージを使用すると、管理を著しく簡略化できるだけでなく、コンピュータに整合性を持たせるために必要になるコンピュータの再起動回数を大幅に減らすことができます。
この機能を使用して展開できないソフトウェア更新プログラムの場合、管理者は、SMS の標準ソフトウェア配布手順を使用して、パッケージおよび提供情報を作成してから、ソフトウェア更新プログラムを展開する必要があります。クライアント コンピュータ上で実行するバッチ ファイル、MSI ファイル、または実行可能ファイルを指定する必要もあります。ソフトウェア更新プログラムがセットアップ実行可能ファイルと一緒に提供されない場合は、管理者が MSI オーサリング ツールを使用して実行可能ファイルを作成する必要があります。
リリースを作成するためのその他の考慮事項は次のとおりです。
ソフトウェア更新プログラムをインストールするために開発されるプログラムはすべて、適切な終了コードを返す必要があります。その結果、SMS ステータス システムにより正しいステータスが返されます。これは、インストールに成功した場合はゼロ、インストールに失敗した場合はゼロ以外の数字になっている必要があります。リターン コードは、SMS ステータス システムによって使用され、提供情報の成功または失敗が示されます。
管理者が特定のコンピュータ上のソフトウェア更新プログラムの存在を判断できるよう、プログラムによってカスタム キーがシステム レジストリに挿入されるようにすることが必要になる場合もあります。この情報を SMS クライアントから収集し、SMS データベースに表示して、Web レポートおよびクエリに使用できるよう SMS ハードウェア インベントリ クライアント エージェントを構成する必要があります。
プログラムまたはバッチ ファイルは、インストールが完了するまでは終了できません。SMS 2003 では、提供情報に関連付けられているプログラムが終了した時点で、提供情報の実行が完了したものと見なされます。プログラムが別のプロセスを生成し、この新しいプロセスによりソフトウェア更新プログラムのインストールが完了される前にプログラムが終了した場合、プログラムはインストールの成否を示す適切な終了コードを返すことができません。
バッチ ファイルまたはプログラムは、インストールに失敗した場合にイベントがイベント ログに書き込まれるように構成する必要があります。失敗した場合に管理者に警告するには、そのイベントの警告を生成する Microsoft Operations Manager-Server (MOM) で対応する規則を作成する必要があります。
更新プログラムが適用中であることを示すイベントが作成されるようにスクリプトを開発することもできます。このようなスクリプトがあると、サーバーの再起動時に MOM コンソールで不適切な警告が生成されるのを防ぐことができます。
ソフトウェア更新の配布ウィザードによってサポートされているソフトウェア更新プログラムの場合、管理者は、このツールで新しい SMS パッケージと提供情報を作成してソフトウェア更新プログラムを展開する必要があります。また、ソフトウェア更新プログラムを、前述したセキュリティ ロールアップ パッケージに追加する必要もあります。ソフトウェア更新プログラムが運用環境内のすべてのクライアントに正しく展開された後は、ソフトウェア更新プログラムの個別のパッケージと提供情報をリタイヤさせることができます。セキュリティ ロールアップ パッケージによって、ソフトウェア更新プログラムが、運用環境に導入されている新しいコンピュータに確実に適用されるからです。
ソフトウェア更新の配布ウィザードを使用して展開できないソフトウェア更新プログラムの場合は、SMS パッケージと提供情報を作成して、ソフトウェア更新プログラムを展開する必要があります。ソフトウェア更新プログラムがセットアップ実行可能ファイルと一緒に提供されない場合は、管理者が上記のとおりに実行可能ファイルを作成する必要があります。
展開段階 ‐ 展開を準備する
新しいリリースごとに、運用環境を準備する必要があります。ソフトウェア更新プログラムを展開できるようにするには、次の手順が必須となります。
ロールアウトスケジュールの伝達
テスト環境からのプログラムと提供情報のインポート
配布ポイントの割り当て
配布ポイントでの更新プログラムの準備
配布グループの選択
背景情報については、モジュール「パッチ管理フェーズ 4 - 展開」の「展開を準備する」を参照してください。
ロールアウト スケジュールを伝達する
更新プログラムを安全に正しく展開するには、事前にユーザーに通知する必要があります。ユーザーにとっては、更新プログラム インストール プロセスを効果的に実行するための特定のアクションが必要になる場合があります。
ロールアウトスケジュールを明確に伝達するには
明確で確認しやすい電子メール メッセージをユーザーと管理者に送信し、更新プログラムについての警告と更新プログラムのインストール方法の情報を提供します。営業時間外にデスクトップに更新プログラムを展開する場合、指定された日にユーザーが夜間コンピュータの電源をオンにしたままにする必要があることを、電子メール メッセージで示します。
このメールは、ソフトウェア更新プログラムのインストール時にユーザーと管理者に必要なアクションを通知するためにフラグを付ける必要があります。
テスト環境からプログラムと提供情報をインポートする
最大限の信頼性とセキュリティを維持するには、開発した SMS 2003 パッケージを必ずテスト環境にインポートします。テスト環境には、運用環境が反映されている必要があります。SMS 2003 標準ソフトウェア配布手順を使用して展開するソフトウェア更新プログラムの場合は、パッケージの定義 (パッケージに関連するプログラムを含む) を作成して、テスト環境で試験する必要があります。このパッケージは、運用 SMS 2003 環境にインポートする必要があります。
既存のパッケージをテスト環境からインポートするには、図 9 と図 10 に示すように、ソフトウェア更新の配布ウィザードの [SMS パッケージの識別] ページで、[詳細] ボタンと [インポート] ボタンを使用します。[詳細] ボタンを使用して、前に処理されたソフトウェア更新プログラムを別の承認リストからインポートできます。たとえば、テスト環境から運用環境にインポートできます。
図 9 ソフトウェア更新の配布ウィザード ‐ [詳細] ボタン
図 10 ソフトウェア更新の配布ウィザード ‐ [インポート] ボタン
図 11 に示すように、ソフトウェア更新の配布ウィザードの [インポート] ボタンを使用して、ウイルス スキャンが済んでいるソフトウェア更新プログラム ファイルをインポートします。
図 11 ウイルススキャン済みのファイルをインポートする方法
配布ポイントを割り当てる
パッケージを SMS 2003 にインポートしたら、どの配布ポイントを使用してソフトウェア更新プログラムをクライアント コンピュータで利用可能にするかを決定する必要があります。対象クライアントが存在するすべてのサイトの配布ポイントに、ソフトウェア更新プログラムのバイナリ ファイルを配布します。セキュリティ更新インベントリ ツールまたは Microsoft Office 更新インベントリ ツールを通じて識別されるソフトウェア更新プログラムの場合、配布ポイントはソフトウェア更新の配布ウィザードの手順として割り当てられますが、パッケージの作成後に手動で修正できます。
通常、ソフトウェア更新プログラムの展開対象となるクライアント グループは同じにし、それぞれのソフトウェア更新プログラムに使用する配布ポイントが同じになるようにします。たとえば、サーバーおよびサーバー アプリケーション用のソフトウェア更新プログラムは、データ センターのサイト内の配布ポイントすべてに配布される必要があります。会計アプリケーションのソフトウェア更新プログラムは、会計部門のサイトの配布ポイントにのみ配布されます。
したがって、特定のクライアント グループ専用の配布ポイントのみを含む配布ポイント グループを SMS 2003 に設定できます。配布ポイント グループを使用すると、展開されるソフトウェア更新プログラムに配布ポイントを割り当てるプロセスがより迅速に処理されるようになります。SMS データベース内のインベントリ情報を使用して、新しい配布ポイントを設定する必要がある場所を識別できます。
注: 配布ポイントを配布ポイント グループに追加しただけでは、[配布ポイントの更新] オプションを使用しても、新しい配布ポイントにパッケージが送信されるようにはなりません。配布ポイント グループがパッケージに割り当てられている場合にしか、配布ポイント グループを使用した配布ポイントの評価は行われません。新しい配布ポイントを個別にパッケージに追加し、配布ポイントの更新を実行する必要があります。
配布ポイントで更新プログラムの準備をする
適切な配布ポイントを割り当てた後は、個々のファイルのコピーがすべてこれらのサーバーに配布されるようにする必要があります。SMS ステータス システムを使用して、ソフトウェア更新プログラム ファイルの配布を監視します。配布ポイントにファイルが用意されるまでは、そのサイト内のクライアントでソフトウェア更新プログラムをインストールできません。
ソフトウェア更新プログラムのバイナリ ファイルを配布ポイントに送信するプロセスでは、SMS サイト間でファイルを送信すると共に、SMS サイトからローカル配布ポイントへの送信を行います。
SMS サイト間で更新プログラムを送信する
大部分の組織では、指示、ソフトウェア パッケージ、および提供情報のサイト間での送信を担当するサイト間センダは、多くの場合、使用するネットワーク帯域幅の量または転送を行うことができる時間帯を制限するように構成されます。このような制限は、ソフトウェアの配布が通常の営業時間外に行われるようにするために本来使われていますが、重要なソフトウェア更新プログラムを迅速に利用できるようにする必要があるときに問題になる場合があります。
表 1 では、サイト間での複製を監視しやすくするために使用できる SMS メッセージを示します。
表 1: SMS センダ メッセージ
メッセージ ID | 詳細 |
---|---|
3531 | SMS センダは、ソフトウェア配布パッケージを対象サイトに送信中です。 |
3532 | SMS センダでソフトウェア配布パッケージを対象サイトに送信中にエラーが発生しました。 |
3533 | SMS センダは、ソフトウェア配布パッケージを対象サイトに送信しました。 |
緊急変更要求
緊急の変更要求の場合は、サイト間の制限をすべて解除して、ソフトウェア更新プログラムを可能な限り迅速に他のサイトに送信できるようにする必要があります。ただし、サイト間のネットワーク リンクが低速か、既に混雑している場合は、サイト間センダの制限の解除は効果がありません。そのような場合は、SMS 媒体使用センダを使って各サイトに更新プログラムを送信することを検討できます。
配布ポイントへ更新プログラムを送信する
更新プログラムは SMS サイト サーバーに到着すると、自動的にサイト内の配布ポイントに配布されます。配布ポイントごとに、表 2 に示す SMS イベントを監視する必要があります。
表 2: SMS 配布イベント
メッセージ ID | 詳細 |
---|---|
2342 | これは、SMS 配布マネージャで配布ポイントへのパッケージの配布が開始されていることを示しています。 |
2330 | これは、SMS 配布マネージャで配布ポイントへのパッケージの配布が完了したことを示しています。 |
メッセージ ID | 説明 |
---|---|
11250 | 予定されたインストール期間に一致していません (最早開始日): 再試行待機中です。 |
11251 | 予定されたインストール期間に一致していません (最遅開始日): 再試行待機中です。 |
11256 | 予定されたインストール期間に一致していません (期限切れ): 再試行待機中です。 |
11269 | インストールを続行するにはシステムを再起動する必要があります。 |
11257 | 更新をインストールするのに必要なシステムの再起動はユーザーによって再スケジュールされました。 |
11258 | 更新をインストールするのに必要なシステムの再起動はユーザーによって延期されました。 |
11259 | 更新をインストールするのに必要なシステムの再起動は自動的に延期されました。 |
11252 | インストールはユーザーによって再スケジュールされました。 |
11253 | インストールはユーザーによって延期されました。 |
11254 | インストールは自動的に延期されました。 |
11270 | コンピュータの再起動が必須です。 |
11266 | インストールが完了し、ワークステーションの役割のため再起動は抑制されました。 |
11267 | インストールが完了し、サーバーの役割のため再起動は抑制されました。 |
11268 | インストールが完了し、再起動は不要でした。 |
11261 | インストールが完了し、再起動はユーザーによって再スケジュールされました。 |
11262 | インストールが完了し、再起動はユーザーによって延期されました。 |
11263 | インストールが完了し、再起動は自動的に延期されました。 |
11264 | 必要な再起動が開始されました。 |
11265 | 必要な強制再起動が開始されました。 |
レポート名 | レポート カテゴリ |
---|---|
製品ごとの対応 | ソフトウェアの更新 ‐ 対応 |
ソフトウェア ID ごとの対応 | ソフトウェアの更新 ‐ 対応 |
特定のソフトウェアの更新が適用可能なコンピュータ | ソフトウェアの更新 ‐ 対応 |
特定のコンピュータのソフトウェアの更新 | ソフトウェアの更新 ‐ 対応 |
まだ認証されていないソフトウェアの更新 | ソフトウェアの更新 ‐ 対応 |
適用可能なコンピュータとインストールされているコンピュータの数があるソフトウェアの更新 | ソフトウェアの更新 ‐ 対応 |
特定のソフトウェアの更新の配布ステータスがあるすべてのコンピュータ | ソフトウェアの更新 ‐ 配布ステータス |
ソフトウェアの更新の配布ステータスの概要 | ソフトウェアの更新 ‐ 配布ステータス |
ソフトウェアの更新 ID ごとのソフトウェアの更新の配布ステータス | ソフトウェアの更新 ‐ 配布ステータス |
配布に失敗したソフトウェアの更新の概要 | ソフトウェアの更新 ‐ 配布ステータス |
指定された提供情報のソフトウェアの更新エラー メッセージを返したコンピュータ | ソフトウェアの更新 ‐ インフラストラクチャの状態 |
ソフトウェアの更新の状態 | ソフトウェアの更新 ‐ インフラストラクチャ状態 |
指定された日数内における、特定のコンピュータに対するソフトウェアの更新のステータス メッセージ | ソフトウェアの更新 ‐ インフラストラクチャの状態 |