[HOWTO] SMS を使用したパッチ管理の実行

  • [アーティクル]

公開日: 2004年6月2日

トピック

目的
適用対象
モジュールの使用方法
要約
はじめに
必要な知識
評価段階 - 更新プログラムのスキャン
査定段階 ‐ SMS インフラストラクチャを設計する
識別段階 ‐ 通知を取得する
識別段階 ‐ 通知を処理する
識別段階 ‐ 脆弱性スキャン ツール
識別段階 ‐ ソフトウェア更新プログラムの適合性を判断する
評価と計画の段階 - 更新プログラムの適用対象を特定する
評価と計画の段階 ‐ 緊急変更要求を展開する
評価と計画の段階 ‐ リリースを作成する
展開段階 ‐ 展開を準備する
展開段階 ‐ クライアント コンピュータへソフトウェア更新プログラムを提供する
展開段階 ‐ 展開の進捗状況を監視およびレポートする
展開段階 ‐ 失敗した展開を処理する

目的

このモジュールの目的

  • Microsoft Systems Management Server (SMS) 2003 を使用して、パッチ管理プロセスの 4 段階をすべて実装する。

ページのトップへ

適用対象

このモジュールは、次の製品およびテクノロジに適用されます。

  • SMS 2003

ページのトップへ

モジュールの使用方法

このモジュールでは、SMS を使用して 4 段階パッチ管理プロセスを実装する方法について詳しく説明します。

このモジュールを最大限に活用するには

ページのトップへ

要約

このモジュールでは、SMS 2003 によるエンタープライズ環境での、パッチ管理の配信について説明します。このモジュールで提供するガイダンスと情報では、SMS 2003 を使用して、マイクロソフトによって推奨されている 4 段階パッチ管理プロセスを実装する方法が示されています。

ページのトップへ

はじめに

このモジュールを使い始める前に次の手順を実行してください。

ページのトップへ

必要な知識

このモジュールを使い始めるには、次の事前知識が必要です。

  • セキュリティ更新インベントリ ツールと Microsoft Office 更新インベントリ ツールは、ダウンロード可能な形式で提供されている "SMS 2003 Software Update Scanning Tools" に含まれており、既定ではインストールされません。

  • Systems Management Server 2003 Software Update Scanning Tools をインストールするには、インターネットにアクセスして、次の最新ファイルをダウンロードする必要があります。

    • 実行可能ファイルが含まれている Invcm.exe

    • すべての Office 更新ファイルの名前情報と共に XML ファイルが含まれている Invcif.exe

  • SMS 2003 サーバーからインターネットにアクセスできない場合は、Invcm.exe と Invcif.exe をhttps://www.microsoft.com/japan/office/ork/2003/journ/offutoolv2.htm からダウンロードできます。または、それらのファイルを Office 2003 Editions リソース キット ツールボックスから取得して、サーバーにコピーできます。

ページのトップへ

評価段階 - 更新プログラムのスキャン

SMS 2003 で更新サービスを使用して、ソフトウェア更新プログラムを運用環境に展開するには、事前に監査を実行する必要があります。背景情報については、モジュール「パッチ管理フェーズ 1 - 査定」の「既存のコンピューティング資産を調べる」を参照してください。

ハードウェアの種類とバージョンの識別

特定のソフトウェア更新プログラムのインストール方法を判断するには、環境内のコンピュータの種類を把握する必要があります。たとえば、サーバーに更新プログラムを適用する場合は、停止期間の確認が必要になる場合があります。SMS では、特定の停止期間内に更新プログラムを適用する必要があるサーバーのコレクションを作成できます。この方法で、通常のビジネス運用時にソフトウェア更新プログラムがインストールされないようにします。一連のサーバーおよびそれらのサーバーに適用される停止期間のデータベースを作成する場合は、必要なコレクションを自動的に作成するプログラムを作成できます。

通常は、SMS 2003 ハードウェア インベントリ クライアント エージェントによって収集される情報で、ポータブル コンピュータと他の種類のコンピュータを十分に識別できます。ただし、コンピュータの種類またはモデルを明確に識別できる単一の属性や属性のコレクションはありません。

オペレーティング システム、アプリケーション、およびミドルウェアを識別する

運用環境に展開されているすべてのオペレーティング システム、Service Pack (SP) のバージョン、ソフトウェア アプリケーションとバージョンを認識する必要があります。SMS 2003 ハードウェア インベントリ クライアント エージェントを使用して、Windows の [プログラムの追加と削除] プログラムに登録されているすべてのインストール済みアプリケーション、Service Pack、およびソフトウェア更新プログラムに関する情報を収集できます。

[プログラムの追加と削除] プログラムに登録されていないアプリケーションの場合は、SMS 2003 ソフトウェア インベントリ クライアント エージェントを使用して、クライアントにインストールされているすべての実行可能ファイル (.exe) の詳細情報を取得する必要があります。このインベントリを分析して実際にインストールされている製品を判断するには、さらに作業が必要になります。一般に、ソフトウェア インベントリは、運用環境のすべてのコンピュータに対して、毎週実行するように構成しますが、個々の要件は異なる場合があります。

アプリケーションによっては、SMS 2003 ソフトウェア インベントリ クライアント エージェントが収集した情報を拡張し、インストール済みのソフトウェア アプリケーション バージョンに関する詳細情報を取得して、最適のソフトウェア更新プログラムを選択する必要があります。たとえば、Internet Explorer のインベントリの実行では、標準のインベントリ プロセスのように SMS が 収集した Iexplore.exe ファイルの情報を確認するだけでは不十分です。Internet Explorer のバージョン情報を正確に取得する唯一の手段は、SMS でコンピュータの Internet Explorer データを保持するレジストリ キーを取得することです。レジストリ キーには、インストールされているソフトウェア更新プログラムと Service Pack のインベントリを実行するときに SMS で使用できる情報が含まれています。SMS でレジストリ キーのインベントリ情報を取得するには、SMS_def.mof ファイルを変更して、レジストリ プロバイダ (SMS によるレジストリ アクセスを可能にする少量のコード) を含める必要があります。

次の SMS_def.mof サンプル ファイルは、インベントリ レジストリへの変更を示しています。

//------------------------------------------------------ 
// アプリケーション モードで TS を実行しているサーバーを識別する 
// ターミナル サービス - レジストリから TSEnabled を取得 
// ターミナル サービス - レジストリから TSAppCompat を取得 
//------------------------------------------------------ 
#pragma namespace ("\\\\.\\root\\cimv2") 
// TSEnabled と TS アプリケーション モードをグラブ 
[DYNPROPS] 
class TSAPPMode 
{ 
      [key]   
        string keyname=""; 
        string TSEnabled; 
        string TSAppCompat; 
}; 
[DYNPROPS]  
instance of TSAPPMode 
{ 
        keyname="TSAPPMode"; 
        [PropertyContext("local|HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\ 
        Terminal Server|TSEnabled"),Dynamic, Provider("RegPropProv")]  
        TSEnabled; 
        [PropertyContext("local|HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\ 
        Terminal Server|TSAppCompat"),Dynamic, Provider("RegPropProv")]  
        TSAppCompat; 
}; 
#pragma namespace ("\\\\.\\root\\cimv2\\sms") 
[ 
        SMS_Report(TRUE),  
        SMS_Group_Name("TS Application Mode"),  
        SMS_Class_ID("MICROSOFT|TSAPPMode|1.0") 
] 
class TSAPPMode : SMS_Class_Template 
{ 
        [SMS_Report(TRUE),key]   
        string keyname; 
        [SMS_Report(TRUE)] 
        string TSEnabled; 
        [SMS_Report(TRUE)] 
        string TSAppCompat; 
};

役割を把握する

コンピュータの役割を把握しておくと、ソフトウェア更新プログラムの展開後に再起動が必要な場合の影響を判断するのに役立ちます。通常は、SMS 2003 ハードウェア インベントリ クライアント エージェントによって収集される情報で、コンピュータ上で実行されているサービスを十分に把握できます。ただし、上記のように、SMS_def.mof ファイルを変更してレジストリから追加情報を収集することが必要になる場合があります。

接続を把握する

ソフトウェア更新プログラムはサイズが異なるので、ネットワーク インフラストラクチャの制約を把握しておくと、更新プログラムなどの配布の遅延を減らすのに役立ちます。Microsoft SMS Network Discovery を使用して、ネットワーク トポロジと、ネットワークに接続されているデバイスに関する情報を用意できます。詳細については、https://www.microsoft.com/japan/smserver/default.mspx で公開されている製品の文書を参照してください。

必要なソフトウェア更新プログラムを識別する

管理者は、SMS 2003 のソフトウェア更新プログラム管理機能の一部になっているセキュリティ更新インベントリ ツールを使用して、SMS ハードウェア インベントリを拡張し、図 1 に示すように、一連のクライアントにインストールする必要があるソフトウェア更新プログラムについてレポートを作成できます。

図 1 セキュリティの更新プログラム情報の SMS データベースへの追加

SMS 2003 クライアントでは、現在のインストール済み状況と、マイクロソフトの Web サイトからダウンロードされた XML ファイル内の使用可能なソフトウェア更新プログラムの一覧が比較されます。

また、セキュリティ更新インベントリのインストール ルーチンでは、マイクロソフトの Web サイトから最新のソフトウェア更新プログラム カタログ ファイル (Mssecure.cab) をダウンロードする定期提供情報 (7 日ごとに実行) が作成されます。サイト サーバーは、ダウンロードが完了すると、すべてのクライアント システム コレクションを対象として、自動的に新しい提供情報を作成します。この提供情報により、最新のソフトウェア更新プログラムカタログ ファイルを使用して、更新プログラムに対してセキュリティ更新インベントリ ツールが実行されます。

注: SMS 2003 セキュリティ更新インベントリ ツールでは、不足している Service Pack に関するレポートは作成されません。SMS ハードウェア インベントリ クライアント エージェントとソフトウェア インベントリ クライアント エージェントを使用して、現在インストールされている Service Pack を探す必要があります。このことから、最新の Service Pack および更新プログラムに組織のベースラインを設定することをお勧めします。また、セキュリティ更新プログラム レポートは、単に現在の Service Pack の改訂に基づいています。たとえば、現在の Service Pack が SP2 の場合は、SP1 に関連するソフトウェア更新プログラムはレポートには表示されません。

必要な Office ソフトウェア更新プログラムを識別する

SMS 2003 のソフトウェア更新プログラム管理機能には、Microsoft Office 更新インベントリ ツールが含まれます。管理者はこのツールを使用して、SMS ハードウェア インベントリを拡張し、Office を最新の状態に維持するのに必要なソフトウェア更新プログラムに関してレポートを作成できます。図 2 に示すように、クライアント コンピュータでは、既に説明したセキュリティ更新インベントリ ツールの場合と同じように、現在のインストール済み状況と、最新の Office 更新データベース ファイル (invcif.exe) の内容が比較されます。

図 2 Office 更新プログラム情報の SMS データベースへの追加

注: Office 更新インベントリ ツールでは、Office 更新ツールと一緒に Office 更新データベース (invcif.exe) を使用して、適用可能な Office 更新プログラムについてクライアント コンピュータを分析します。Office 更新ツールによって収集されたデータは、SMS サイト データベースと互換性のある形式に変換されます。このツールの最新バージョンは、Office Update Sync Tool によって定期的に自動ダウンロードされ、SMS 配布ポイントを使用して、企業組織内のコンピュータに配布されます。

Microsoft Office 更新ツールの詳細については、https://support.microsoft.com/kb/312982 (英語) を参照してください。

インベントリ/監査を確認する

パッチ管理には、その環境に存在しているものに関して、正確で最新の情報が不可欠です。管理者は、監査が行われたことを確認してから SMS データベースに格納された情報を使用してパッチ管理のタスクや作業を実行する必要があります。

監査が正常に行われたことを確認する最初の作業は、Microsoft Office 更新インベントリ ツールと、セキュリティ更新インベントリ ツールの両方が SMS 2003 で正常に実行されたことを確認することです。このためには、SMS の提供情報のステータス メッセージを確認してエラーが発生していないかどうかを確認します。これらの更新インベントリ ツールが実行されていない SMS クライアント コンピュータについては、問題管理に報告します。

管理者はインベントリ ツールが正常に実行されていることを確認したら、各 SMS クライアントのハードウェアおよびソフトウェアのインベントリのステータスを確認します。最後に、ハードウェアおよびソフトウェア インベントリ クライアント エージェントがインストールできていない、またはこれらのエージェントが指定された間隔 (データ センター クラスのコンピュータでは毎日、それ以外のコンピュータでは毎週) で実行されていない SMS クライアント コンピュータを一覧表示する Web レポートを作成します。たとえば、ソフトウェア更新プログラム エラー メッセージを返したコンピュータを、SMS 2003 のソフトウェア更新プログラム インフラストラクチャ状態カテゴリで指定された提供情報レポートに使用できます。このレポートに表示されたすべてのコンピュータは、問題管理に報告する必要があります。

"迅速な"インベントリ ツールで提供情報を作成した場合、不足している更新プログラムのスキャンが完了した時点で、ハードウェア インベントリが強制的に実行される可能性があります。既定では、これらのツールによって取得される情報は、次にスケジュールされているハードウェア インベントリ サイクルで SMS サイト サーバーに報告されます。

ページのトップへ

査定段階 ‐ SMS インフラストラクチャを設計する

効果的なソフトウェア配布インフラストラクチャを備えることは、効果的なパッチ管理プロセスを実現する上で重要となります。背景情報については、モジュール「パッチ管理フェーズ 1 - 査定」の「既存のソフトウェアの配布インフラストラクチャを査定する」を参照してください。

SMS 2003 設計の考慮事項に関する詳細については、「Microsoft Solutions for Management (MSM) Management Architecture Guide」(英語) https://www.microsoft.com/systemcenter/en/us/default.aspx を参照してください。

SMS サイト サーバーは、多くのクライアントが配置されている場所、あるいはネットワーク帯域を管理または制御する必要のある場所に配置しておく必要があります。元になるネットワーク アーキテクチャを反映するため、または管理の委任を許可するために、階層を深くする (多くの層で構成する) 必要がある場合があります。

ビジネスの基幹サーバーの場合は、ソフトウェア更新プログラムを展開するために必要な時間を削減することが重要となります。この目標を達成するには、図 3 に示すように、より平坦で応答の速い SMS 階層が必要になります。

図 3 パッチ管理をサポートする SMS 階層の設計

拡大表示する

管理者はこの階層を作成するために、新しい SMS サイト サーバーをビジネスの基幹サーバーのある場所に導入し、それらのコンピュータが新しい SMS サイト サーバーのクライアントとなるように設定する必要があります。

  • 場所によっては、1 つはワークステーション クライアントをサポートし、もう 1 つはビジネスの基幹コンピュータをサポートする、2 つの SMS サイト サーバーが存在することがあります。コンピュータは、Internet Protocol (IP) サブネットが、特定のサイトによって管理される IP サブネットに一致する場合のみ、SMS サイトのクライアントになります。

  • 管理者はビジネスに不可欠なサーバーをサポートする SMS サイトの迅速な応答時間を保証するために、サイト間センダに帯域幅の制限を設定せず、任意の時点でサイト間通信が行われるのを許可する必要があります。

通常のビジネスの過程では、管理機能は引き続き階層の最上位にあるサーバーで実行される必要があります。組織がデータ センター サーバー上の重要なセキュリティの脆弱性に対処するソフトウェア更新プログラムを展開する必要があるような事象では、管理者は SMS パッケージと提供情報を、ビジネス上重要なコンピュータを管理する SMS サイト サーバーに作成する必要があります。提供情報が SMS 階層の下層のコンピュータまで渡される必要はなく、SMS サイト間に帯域幅の制限もないので、ソフトウェア更新プログラムがインストールされるのに必要な総時間数が大幅に削減されます。

ページのトップへ

識別段階 ‐ 通知を取得する

環境の査定後、次の段階として、問題を識別し、使用可能な更新プログラムについて情報を取得します。背景情報については、モジュール「パッチ管理フェーズ 2 - 識別」の「新しいソフトウェア更新プログラムを探索する」を参照してください。

マイクロソフト プロダクト セキュリティ警告サービス 日本語版のご案内

電子メールによる通知は、最も一般的な形式の更新通知です。電子メール通知を受けるためのオプションの 1 つは、「マイクロソフト プロダクト セキュリティ警告サービス 日本語版のご案内」 (https://www.microsoft.com/japan/technet/security/bulletin/notify.mspx) の購読を申し込むことです。

ページのトップへ

識別段階 ‐ 通知を処理する

通知を受け取った後は、どのソフトウェア更新プログラムが使用可能かを識別して、SMS ソフトウェア更新プログラム サービスで通知を処理するために何が必要かを確認する必要があります。背景情報については、モジュール「パッチ管理フェーズ 2 - 識別」の「新しいソフトウェア更新プログラムを探索する」を参照してください。

SMS ソフトウェア更新プログラム管理

新しい電子メール通知を受け取ったら、最初に、SMS 2003 内のソフトウェア更新プログラム管理ツールで、ソフトウェア更新プログラムが運用環境内のシステムに適用可能かどうかを検出できることを判定する必要があります。

  • ソフトウェア更新プログラムが適用可能かどうかを判定するには

    1. この判定の最初の手順では、サポート技術情報 (KB) の 306460 「Microsoft Baseline Security Analyzer (MBSA) で一部の更新について注意が表示される」 (https://support.microsoft.com/kb/306460) を参照し、ソフトウェア更新プログラムがインストールされていること、またはインストールされていないことを MBSA で検出できるかどうかをチェックします。この手順は、KB 文書で説明されています。

    2. 製品がサポート リストに含まれている場合は、この製品に対するソフトウェア更新プログラムを MBSA で検出できることを確認する必要があります。これも、KB 文書 306460 で説明されています。

    3. ソフトウェア更新プログラムを MBSA によってサポートされていない製品に適用する場合、またはソフトウェア更新プログラムを MBSA によって検出できない場合は、SMS 2003 ハードウェア インベントリ クライアント エージェントおよび SMS 2003 ソフトウェア インベントリ クライアント エージェントによって収集された情報を使用して、ソフトウェア更新プログラムをどのコンピュータに適用するかを判断する必要があります。

    4. ソフトウェア更新プログラムを MBSA で検出できる場合は、SMS 2003 でソフトウェア更新プログラム管理ツールを使用して、ソフトウェア更新プログラムを適用できるコンピュータを識別できます。

    5. ソフトウェア更新プログラムを Microsoft Office アプリケーションに適用する場合は、ソフトウェア更新プログラムが、Microsoft Office 更新インベントリ ツールによって提供される更新プログラムの一覧に含まれているかどうかを確認する必要があります。ソフトウェア更新プログラムがこの一覧に含まれている場合は、ソフトウェア更新プログラム管理ツールを使用して、ソフトウェア更新プログラムを適用できるコンピュータを判断できます。リストに含まれていない場合は、SMS 2003 ソフトウェア インベントリ クライアント エージェントおよび SMS 2003 ハードウェア インベントリ クライアント エージェントを使用して取得した情報に基づいてレポートを作成する必要があります。

図 4 では、直前に説明したプロセスのデシジョンツリー フロー チャートを示します。

図 4 MBSA 1.1 を使用して新しいソフトウェア更新プログラムを識別するためのデシジョンツリーフローチャート

拡大表示する

ページのトップへ

識別段階 ‐ 脆弱性スキャン ツール

SMS 2003 に用意されているソフトウェア更新プログラム管理機能のコンポーネントを使用して、環境内でのソフトウェア更新プログラムのインストール状況についてスキャンしたりレポートを作成したりすることもできます。背景情報については、モジュール「パッチ管理フェーズ 2 - 識別」の「ソースと通知の信頼性を判断する方法」を参照してください。

ソフトウェア更新プログラム管理機能は、次のコンポーネントで構成されています。

  • ソフトウェアの更新インベントリ ツール

  • ソフトウェア更新の配布ウィザード

  • ソフトウェアの更新インストール エージェント

  • レポート

上記の 4 つのコンポーネントのうち、ソフトウェアの更新インベントリ ツールと SMS 2003 レポートを使用して、インストールされているソフトウェア更新プログラムおよびインストールされていないソフトウェア更新プログラムについてスキャンとレポートを実行できます。

ソフトウェアの更新インベントリ ツールには次の種類があります。

  • Microsoft オペレーティング システム、Internet Explorer、SQL Server、Exchange のセキュリティ更新プログラムを処理するセキュリティ更新インベントリ ツール

  • Microsoft Office のソフトウェア更新プログラムを処理する Microsoft Office 更新インベントリ ツール

これらのツールは、相互に依存しません。いずれか 1 つまたは両方を使用できます。

注: 既定では、ソフトウェアの更新インベントリ ツールは、SMS サイトにはインストールされません。ソフトウェアの更新インベントリ ツールは、https://www.microsoft.com/japan/smserver/default.mspx からダウンロードする必要があります。

セキュリティ更新インベントリ ツールと Microsoft Office 更新インベントリ ツールによって提供されるインベントリ データは、SMS クライアントの対応状況に関する詳細な情報を提供します。この情報は集中管理される場所で提供されます。この情報には次の内容が含まれています。

  • 現在インストールされている更新プログラムと Service Pack の一覧

  • 使用可能なソフトウェア更新プログラムと適用可能なソフトウェア更新プログラム

  • 更新プログラムが掲載された日時

  • 更新プログラムがインストールされた日時 (可能な場合)

ソフトウェアの更新インベントリ データには、適用可能な更新プログラムに関するサポート技術情報の文書へのリンクも含まれています。このリンクを使用すると、組織でのこれらの更新プログラムの必要性を評価するのに役立つ関連情報にアクセスできます。

それぞれのソフトウェアの更新インベントリ ツールには、ツールをインストールするインストーラ プログラムが含まれています。

注: SMS 2003 ソフトウェア更新プログラム管理機能の詳細な技術情報については、SMS 2003 を使用してさまざまなソフトウェアの更新タスクを実行する手順と共に、https://www.microsoft.com/download/details.aspx?familyid=bd2b3619-4704-4c19-a00b-628e65f6f826&displaylang=ja からダウンロードできる「Systems Management Server 2003 Operations Guide - 日本語」内の「製品操作ガイド」の第 6 章「ソフトウェアの更新を管理する」と、「コンセプト・計画・導入ガイド」の第 3 章「SMS 機能とは」を参照してください。

ソフトウェアの更新インベントリ ツールを実行すると、SMS 管理コンソールおよびさまざまな Web レポート内で情報が生成されます。コンソールベースのスキャン結果の例を、図 5 に示します。

図 5 SMS 管理コンソールを使用してのインストールされていないソフトウェア更新プログラムおよび関連の Bulletin ID 番号の識別

マイクロソフトでは、セキュリティ更新プログラムに関する情報を、カタログ形式 (Mssecure.xml) および Web ダウンロード形式でリリースしています。セキュリティ更新プログラム情報カタログとMicrosoft Office 更新カタログは、新しいセキュリティ更新プログラムのリリースに合わせて定期的に更新されます。

SMS 2003 のソフトウェア更新プログラム管理機能では、これらのカタログを参照情報として使用してクライアントを評価します。ソフトウェア更新プログラム管理ツールでは、企業組織内のすべての SMS クライアント コンピュータ上にインストールされた適用可能な更新プログラムの詳細なインベントリを実行します。ソフトウェアの更新インベントリ ツールでは、クライアントをスキャンして、クライアントを最新の状態にするにはどの更新プログラムが必要かを判定します。その後に、管理者は "ソフトウェア更新の配布ウィザード" を使用して、必要な更新プログラムを展開します。

SMS 2003 には、組織内で不足しているソフトウェア更新プログラムに関する事前定義済み更新関連レポートが含まれています。それらのレポートには、適用可能なソフトウェア更新プログラムやインストール ステータスなどの情報が表示されます。

たとえば、SMS 2003 で "適用可能なコンピュータとインストールされているコンピュータの数があるソフトウェアの更新" レポートを使用して、すべてのインストール済みのソフトウェア更新プログラムまたは適用可能なソフトウェア更新プログラムの一覧と共に、これらの更新プログラムに関する情報を表示できます。このレポートには、図 6 に示すように、ソフトウェア更新プログラムごとに、インストールされていないコンピュータの数と、ソフトウェア更新プログラムが既にインストールされているコンピュータ数が表示されます。

図 6 ソフトウェア更新プログラムと適用可能なコンピュータとインストール済みコンピュータの数を表示する SMS 2003 Web レポート

次のサンプル SQL クエリを使用して、過去 7 日間で環境内に報告された新しいソフトウェア更新プログラムを識別することもできます。

select  QNumbers0 as Knowledgebase, 
            ID0 as Bulletin, 
            Product0 as 'Affected Product', 
            Title0 as 'Vulnerability', 
            MAX(DatePosted0) as 'Release Date', 
            MAX(DateRevised0) as Revised, 
            MIN(TimeDetected0) as 'First Detected on Clients' 
from v_gs_patchstate 
where (TimeDetected0 >= DATEADD(day,-7,getdate()) 
or DatePosted0 >= DATEADD(day,-7,getdate()) 
or DateRevised0 >= DATEADD(day,-7,getdate())) 
  and Status0 != 'Installed' 
group by QNumbers0, ID0, Product0, Title0

ページのトップへ

識別段階 ‐ ソフトウェア更新プログラムの適合性を判断する

受け取ったソフトウェア更新プログラムは、必ず環境に関連しているかどうかをチェックする必要があります。背景情報については、モジュール「パッチ管理フェーズ 2 - 識別」の「ソフトウェア更新プログラムの適合性を判断する」を参照してください。

ソフトウェア更新プログラムが IT インフラストラクチャに適合することを判断するには、主に次の審査方法を使用できます。

  • セキュリティ情報とKB 文書を参照する

  • 個々のソフトウェア更新プログラムを確認する

  • SMS 管理コンソールを使用する

  • SMS 組み込みレポートを使用する

セキュリティ情報と KB 文書を参照する

環境内で脆弱性の影響を受ける可能性があるコンピュータを分離するには、影響を受けるものとして関連セキュリティ情報にリストされている製品を確認し、SMS で使用可能なインベントリ データにアクセスする必要があります。

たとえば、SMS 2003 では、次の製品の既定のコレクションが提供されます。

  • Microsoft Windows 2000 Professional

  • Windows 2000 Server

  • Windows XP

  • Windows 98

  • Windows NT 4.0

  • Windows Server 2003

個々のソフトウェア更新プログラムを確認する

通知に含まれているそれぞれのソフトウェア更新プログラムは、詳細で綿密なレビューが必要です。たとえば、更新プログラムは特定のシナリオまたは構成に固有の場合があります。運用環境内のシナリオまたは構成が、サポート技術情報の文書での内容に一致していることを確認する必要があります。SMS クエリおよび Web レポートを作成して、この情報を取得する必要がある場合があります。

たとえば、サポート技術情報で、3 GB を超えるメモリが実装されているコンピュータで実行されている SQL Server にのみこのソフトウェア更新プログラムが必要であると記載されている場合は、このような構成の SQL Server が存在するかどうかを判断するため、クエリや Web レポートを作成する必要があるでしょう。ただし、セキュリティ更新プログラムの場合は、このような現象が確認されていなくても、予防的に前もって更新プログラムを適用する必要があります。

SMS ソフトウェア更新プログラム管理機能を使用する

SMS 2003 のソフトウェア更新プログラム管理機能によって生成されるスキャン結果とレポートを使用して、ソフトウェア更新プログラムに関する特定の情報や適用可能な情報を表示できます。図 7 では、Windows XP に関連付けられているセキュリティ更新プログラムが強調表示されています。要求数列の下の数字は、この更新プログラムを必要とするコンピュータの数を示し、対応列の下の数字は、既に更新プログラムがインストールされて適合しているコンピュータの数を示しています。図 7 では、1 台のコンピュータのみが、Windows XP の更新プログラムを必要としています。

図 7 SMS 管理コンソールを使用したソフトウェア更新プログラムと環境の関連性チェック

SMS レポートを使用する

SMS 2003 の "ソフトウェア ID ごとの対応" レポートでは、セキュリティ更新プログラムがインストールされているコンピュータの総数、セキュリティ更新プログラムがインストールされていないコンピュータの総数、およびセキュリティ更新プログラムの配布ステータスに関する概要情報が提供されます。このレポートは、図 8 に示すように、特定のセキュリティ更新プログラム (この場合は 815021) の現在の対応状況を識別するのに役立ちます。また、特定のセキュリティ更新プログラムの環境への適用可能性を判断するときも役立ちます。

図 8 SMS 2003 のソフトウェア ID ごとの対応レポート

注: SMS 2003 によって提供されるレポートでは、その特長的な機能として、それぞれのレポートの背後で機能している SQL クエリを表示できるだけでなく、クエリをコピーしたり変更したりしてレポートをカスタマイズできます。この機能を使用すると、1 ~ 60 分おきに自動的にレポートを更新することができます。これは継続的に状態を更新し、ソフトウェア更新プログラムの配布状況と特定のソフトウェア更新プログラムに対する適合レベルをレポートする必要のある、緊急時にはきわめて有益です。この機能を使用するには、特定のレポートを選択して、そのプロパティを表示します。

ページのトップへ

評価と計画の段階 - 更新プログラムの適用対象を特定する

更新プログラムを適用する対象を判断するには、環境に展開されているものについての正確で最新の知識が必要になります。背景情報については、モジュール「パッチ管理フェーズ 3 - 評価と計画」の「リリースを計画する」を参照してください。

セキュリティ更新インベントリ ツールと Microsoft Office 更新インベントリ ツールによって取得された情報と、SMS ハードウェア/ソフトウェア インベントリ クライアント エージェンによって取得された情報を使用すると、特定のソフトウェア更新プログラムをインストールする必要があるコンピュータを特定できます。更新プログラムを適用するコンピュータの種類と役割に加えてネットワークへのそれぞれの接続を特定することも重要です。

ページのトップへ

評価と計画の段階 ‐ 緊急変更要求を展開する

重要な更新プログラムでは、リスクが存在するシステムの数と種類を可能な限り正確に判断する必要があります。背景情報については、モジュール「パッチ管理フェーズ 3 - 評価と計画」の「リリースを計画する」を参照してください。

定期スケジュールが組まれているインベントリ サイクルよりも早くインベントリ データを取得するには、脆弱性にさらされる可能性がある各クライアント コンピュータ上でハードウェアおよびソフトウェア インベントリを強制的に実行するセキュリティ更新インベントリ ツールまたは Microsoft Office 更新インベントリ ツールが実行されるよう、SMS 管理者が必要な提供情報を作成する必要があります。

  • SMS 2003 サイト サーバーに更新プログラムを適用する必要がある場合は、これらのコンピュータに手動で更新プログラムを適用することを検討する必要があります。これは、運用環境内の他のコンピュータにソフトウェア更新プログラムがロールアウトされているときに、これらのサーバーが再起動されないようにすることが重要なためです。

  • ネットワーク接続性が良好でないサイトでは、SMS 媒体使用センダを利用してソフトウェア更新プログラム ファイルをリムーバブル メディアに移動し、このメディアをそれらのサイトに可能な限り迅速に転送できる計画を作成することが必要になる場合があります。

次のプロセスは、ソフトウェア更新の配布ウィザードを使用してソフトウェア更新プログラムを配布し、ビジネスに不可欠なサーバーに強制的にインストールするのに必要な手順を示しています。ワークステーションに適用するソフトウェア更新プログラムでも、同じようなプロセスを実行できます。

注: このプロセスは、十分な使用可能ネットワーク帯域幅があって、ソフトウェア更新プログラム ファイルと更新済みのソフトウェア配布ポリシーをクライアント コンピュータに適用できるビジネスの場所でのみ実現できます。

  • ソフトウェア更新の配布ウィザードを使用してソフトウェア更新プログラムを配布し、ビジネスの基幹サーバーでインストールを強制的に実行するには

    1. コントロール パネルから、利用可能プログラムを再実行するためのツール、またはプログラム モニタ ツールを使用して "SyncXML.exe" プログラムを実行します。 この手順は、同期タスク (最初は SMS サイト サーバー コンピュータになるようスキャン ツールのセットアップによって作成) をホストしているコンピュータで実行する必要があります。これにより、新規にリリースされたカタログをローカルに使用できるようになります。

    2. このパッケージの配布ポイントを手動で更新して、新しいカタログが他のサイトおよび環境内の他の配布ポイントに継続的に流れるようにします。すべての配布ポイントでその更新が完了されていることを確認します。 更新されている配布ポイントは、いずれのレガシまたは SMS 2.0 クライアントにも必要です。必要に応じて、高度なクライアントは自動的に内容待機状態になります。これは、新しいプログラム アイコンには、必要な新しいパッケージのバージョンを反映するポリシーが設定されるためです。

    3. 既存のスキャン ツール パッケージ内で新しいプログラム アイコンを作成し、プログラムの "迅速な" フォームを確認します (コマンド ラインに "/s /cache /kick" を含めます)。 このプログラムを使用して、次の有効なスキャン サイクル内で、運用前のコレクション メンバによって、カタログの最新バージョンが確認されるようにします。

    4. 使いやすさを考慮して、この新しいプログラムには、新しいソフトウェア更新プログラムに関連する特定の Bulletin ID または KB 番号に基づいた名前 (たとえば、"迅速 MS03-039") を指定します。

    5. 新しい "迅速な" インベントリ ツール プログラムを、参照コンピュータ コレクションに提供します。 これは新しいプログラムなので、運用前のコンピュータでは、新しいカタログが含まれている関連のパッケージ バージョンのダウンロードが強制的に実行されます。

    6. 既存のスキャン ツール パッケージ内で 2 番目の新しいプログラム アイコンを作成し、プログラムの非迅速フォームを確認します (コマンド ラインに "/s /cache /" を含めます)。

    7. 使いやすさを考慮して、この新しいプログラムには、新しいソフトウェア更新プログラムに関連する特定の Bulletin ID または KB 番号に基づいた名前 (たとえば、"非迅速 MS03-039") を指定します。

    8. ソフトウェア更新の配布ウィザードを使用して、ソフトウェア更新プログラム用の新しいパッケージを作成します。クライアント インベントリの処理時に、必要に応じて [更新] ボタンを使用し、すべての使用可能な運用前コンピュータ インベントリを利用できるようにします。運用前コレクションから取得された結果に基づいて、ソフトウェア更新プログラムを承認します (運用システムのスキャン中に、パッケージの準備を整えることができます)。

      • •   インベントリ データを、確立されたハードウェア インベントリ クライアント エージェントのスケジュールよりも早くサイト サーバーに送信する場合は、ソフトウェア更新の配布ウィザードの最初のクライアント エージェント設定ページでクライアント インベントリをすぐに実行するための設定を有効にします。(これによりシステム アクティビティが増加する可能性があります。)

      • •   タイム ゾーンではなく、世界標準時の動作を利用して、ソフトウェア更新プログラムをグローバルに一斉実施するかどうかを確認します。これは、ソフトウェア単位の更新設定です。

      • •   必ず、新しいプログラムではなく、既存のスキャン ツール パッケージとプログラムを、ウィザードの適切なページで指定します。

      • •   "ソフトウェア更新の配布ウィザード" のこの時点ではまだ提供しないでください。

      • •   新しいパッケージを使用すると、ダウンロードおよび実行段階が可能な限り迅速に展開されるようになります。これは、管理の対象になる可能性がある他のソフトウェア更新プログラムが、現在のアクティビティよりも重要性が低く定義されているためです。

    9. ソフトウェア更新の配布ウィザードを閉じた後で、新しいソフトウェア更新の配布ウィザード プログラムのプロパティ ページを開いて、新規に構築した非迅速プログラムへのプログラム依存関係を含めます。 プログラム依存関係によって、クライアントで新しいカタログの含まれたスキャン ツール パッケージ バージョンが実行されます。その後に、ソフトウェア更新プログラムのインストールが試行されます。この方法では、エージェントが最初にインベントリをローカルに更新しようとすると、プログラム依存関係が確実に強制実行されて、さらに最新のカタログがクライアントにキャッシュされます。依存プログラムには固有の提供情報がないため、ソフトウェア更新の配布ウィザード プログラムの提供情報のダウンロードおよび実行の構成は、依存プログラム用に自動的に確認されます。

    10. ソフトウェア更新の配布ウィザード プログラムの新しい提供情報を作成して、ダウンロードおよび実行用に設定します。

      • •   タイム ゾーン単位でなく、一斉にすべてのアクティビティが行われるようにするには、世界標準時の使い方が正しいかを確認します。通常は、ソフトウェア更新プログラムの "承認日時" 設定上で使用する場合に、世界標準時オプションを提供情報に含めます。

      • •   提供情報の開始時刻が最初の必須割り当て時刻の前になっていることを確認します。このように設定すると、最初に高度なクライアントでダウンロードし、サービス期間になったときに開始するように準備できます (サービス期間を使用しているときはこの点がさらに重要になります)。

      • •   必要に応じて、変更期間 (制限されたインストール時間) ごとにこの手順を繰り返します。

    11. "ソフトウェア更新プログラム - 配布ステータス" で選択できるレポートを使用して、ステータスおよび対応状況について新規に作成されたパッケージの展開を監視します。 通常の場合、調査は次の 2 つの段階で構成されます。ソフトウェア配布の成功 (提供情報の成功) に重点が置かれる段階 1 と、配布ステータスに重点が置かれる段階 2 です。

      • •    ソフトウェア更新プログラム ID ごとのソフトウェア更新プログラムの配布ステータス このレポートには、"インストール検証済み"、"ステータスなし"、"失敗" の数が表示され、それぞれのカテゴリの詳細情報が提供されます。"インストール検証済み" 以外のカテゴリの数値が非常に高い場合は、このレポートをそれぞれのカテゴリについて実行する必要があります。

      • •    指定された日数内における、特定のコンピュータに対するソフトウェアの更新のステータスメッセージ このレポートには、インストールの実際のステータスが表示されます。このレポートで、ソフトウェア更新プログラムのインストールに失敗した理由が説明されていない場合は、提供情報のステータスについて、実際のコンピュータを詳しくチェックする必要があります。

    12. 緊急状況に続いて (十分な対応をした後)、継続的に運用を行えるよう、メインライン パッケージを最新のソフトウェア更新プログラムで修正して、初期パッケージをリタイヤさせます。このためには、ファイルを 1 つのパッケージ ソース フォルダから別のフォルダにコピーしてから、ソフトウェア更新の配布ウィザードの [詳細] ボタンと [インポート] ボタンを使用する必要があります。通常、この提供情報は、ネットワークからそのサイズに応じて実行するように設定されます。

    13. 運用前コレクション メンバ用に作成した迅速プログラムと、運用コレクション メンバ用に作成した非迅速プログラムを削除します。 これらのアイコンは不要なため、システムによってそれらの提供情報が自動的に削除されます。

ページのトップへ

評価と計画の段階 ‐ リリースを作成する

リリース計画を確立した後は、プロセスの次の段階として、ソフトウェア更新プログラムを運用環境に展開するときに管理者が使用するスクリプト、ツールおよび手順を開発します。背景情報については、モジュール「パッチ管理フェーズ 3 - 評価と計画」の「リリースを作成する」を参照してください。

ここで実行する必要があるタスクと作業は、主に、SMS 2003 ソフトウェア更新の配布ウィザードを使用してソフトウェア更新プログラムを展開できるかどうかによって決定されます。

ソフトウェア更新の配布ウィザードを使用すると、ソフトウェア更新プログラムを配布してインストールするための SMS パッケージとプログラムを自動的に作成できるため、SMS 2003 を使用してソフトウェア更新プログラムを展開する場合の必須作業の大半が軽減されます。緊急変更要求の一部ではないセキュリティ更新プログラムは、特定の製品と Service Pack の組み合わせに適用するすべてのセキュリティ更新プログラム新が含まれるセキュリティ ロールアップ パッケージに追加できます。たとえば、コンピュータが 1 台だけ必要になるように、適切なセキュリティ更新プログラムをコンピュータに 1 回で適用するセキュリティ ロールアップ パッケージに、Windows 2000 SP3 に適用するすべてのセキュリティ更新プログラムを含めることができます。セキュリティ ロールアップ パッケージを使用すると、管理を著しく簡略化できるだけでなく、コンピュータに整合性を持たせるために必要になるコンピュータの再起動回数を大幅に減らすことができます。

この機能を使用して展開できないソフトウェア更新プログラムの場合、管理者は、SMS の標準ソフトウェア配布手順を使用して、パッケージおよび提供情報を作成してから、ソフトウェア更新プログラムを展開する必要があります。クライアント コンピュータ上で実行するバッチ ファイル、MSI ファイル、または実行可能ファイルを指定する必要もあります。ソフトウェア更新プログラムがセットアップ実行可能ファイルと一緒に提供されない場合は、管理者が MSI オーサリング ツールを使用して実行可能ファイルを作成する必要があります。

リリースを作成するためのその他の考慮事項は次のとおりです。

  • ソフトウェア更新プログラムをインストールするために開発されるプログラムはすべて、適切な終了コードを返す必要があります。その結果、SMS ステータス システムにより正しいステータスが返されます。これは、インストールに成功した場合はゼロ、インストールに失敗した場合はゼロ以外の数字になっている必要があります。リターン コードは、SMS ステータス システムによって使用され、提供情報の成功または失敗が示されます。

  • 管理者が特定のコンピュータ上のソフトウェア更新プログラムの存在を判断できるよう、プログラムによってカスタム キーがシステム レジストリに挿入されるようにすることが必要になる場合もあります。この情報を SMS クライアントから収集し、SMS データベースに表示して、Web レポートおよびクエリに使用できるよう SMS ハードウェア インベントリ クライアント エージェントを構成する必要があります。

  • プログラムまたはバッチ ファイルは、インストールが完了するまでは終了できません。SMS 2003 では、提供情報に関連付けられているプログラムが終了した時点で、提供情報の実行が完了したものと見なされます。プログラムが別のプロセスを生成し、この新しいプロセスによりソフトウェア更新プログラムのインストールが完了される前にプログラムが終了した場合、プログラムはインストールの成否を示す適切な終了コードを返すことができません。

  • バッチ ファイルまたはプログラムは、インストールに失敗した場合にイベントがイベント ログに書き込まれるように構成する必要があります。失敗した場合に管理者に警告するには、そのイベントの警告を生成する Microsoft Operations Manager-Server (MOM) で対応する規則を作成する必要があります。

    更新プログラムが適用中であることを示すイベントが作成されるようにスクリプトを開発することもできます。このようなスクリプトがあると、サーバーの再起動時に MOM コンソールで不適切な警告が生成されるのを防ぐことができます。

ソフトウェア更新の配布ウィザードによってサポートされているソフトウェア更新プログラムの場合、管理者は、このツールで新しい SMS パッケージと提供情報を作成してソフトウェア更新プログラムを展開する必要があります。また、ソフトウェア更新プログラムを、前述したセキュリティ ロールアップ パッケージに追加する必要もあります。ソフトウェア更新プログラムが運用環境内のすべてのクライアントに正しく展開された後は、ソフトウェア更新プログラムの個別のパッケージと提供情報をリタイヤさせることができます。セキュリティ ロールアップ パッケージによって、ソフトウェア更新プログラムが、運用環境に導入されている新しいコンピュータに確実に適用されるからです。

ソフトウェア更新の配布ウィザードを使用して展開できないソフトウェア更新プログラムの場合は、SMS パッケージと提供情報を作成して、ソフトウェア更新プログラムを展開する必要があります。ソフトウェア更新プログラムがセットアップ実行可能ファイルと一緒に提供されない場合は、管理者が上記のとおりに実行可能ファイルを作成する必要があります。

ページのトップへ

展開段階 ‐ 展開を準備する

新しいリリースごとに、運用環境を準備する必要があります。ソフトウェア更新プログラムを展開できるようにするには、次の手順が必須となります。

  • ロールアウトスケジュールの伝達

  • テスト環境からのプログラムと提供情報のインポート

  • 配布ポイントの割り当て

  • 配布ポイントでの更新プログラムの準備

  • 配布グループの選択

背景情報については、モジュール「パッチ管理フェーズ 4 - 展開」の「展開を準備する」を参照してください。

ロールアウト スケジュールを伝達する

更新プログラムを安全に正しく展開するには、事前にユーザーに通知する必要があります。ユーザーにとっては、更新プログラム インストール プロセスを効果的に実行するための特定のアクションが必要になる場合があります。

  • ロールアウトスケジュールを明確に伝達するには

    1. 明確で確認しやすい電子メール メッセージをユーザーと管理者に送信し、更新プログラムについての警告と更新プログラムのインストール方法の情報を提供します。営業時間外にデスクトップに更新プログラムを展開する場合、指定された日にユーザーが夜間コンピュータの電源をオンにしたままにする必要があることを、電子メール メッセージで示します。

    2. このメールは、ソフトウェア更新プログラムのインストール時にユーザーと管理者に必要なアクションを通知するためにフラグを付ける必要があります。

テスト環境からプログラムと提供情報をインポートする

最大限の信頼性とセキュリティを維持するには、開発した SMS 2003 パッケージを必ずテスト環境にインポートします。テスト環境には、運用環境が反映されている必要があります。SMS 2003 標準ソフトウェア配布手順を使用して展開するソフトウェア更新プログラムの場合は、パッケージの定義 (パッケージに関連するプログラムを含む) を作成して、テスト環境で試験する必要があります。このパッケージは、運用 SMS 2003 環境にインポートする必要があります。

既存のパッケージをテスト環境からインポートするには、図 9 と図 10 に示すように、ソフトウェア更新の配布ウィザードの [SMS パッケージの識別] ページで、[詳細] ボタンと [インポート] ボタンを使用します。[詳細] ボタンを使用して、前に処理されたソフトウェア更新プログラムを別の承認リストからインポートできます。たとえば、テスト環境から運用環境にインポートできます。

図 9 ソフトウェア更新の配布ウィザード ‐ [詳細] ボタン

図 10 ソフトウェア更新の配布ウィザード ‐ [インポート] ボタン

図 11 に示すように、ソフトウェア更新の配布ウィザードの [インポート] ボタンを使用して、ウイルス スキャンが済んでいるソフトウェア更新プログラム ファイルをインポートします。

図 11 ウイルススキャン済みのファイルをインポートする方法

配布ポイントを割り当てる

パッケージを SMS 2003 にインポートしたら、どの配布ポイントを使用してソフトウェア更新プログラムをクライアント コンピュータで利用可能にするかを決定する必要があります。対象クライアントが存在するすべてのサイトの配布ポイントに、ソフトウェア更新プログラムのバイナリ ファイルを配布します。セキュリティ更新インベントリ ツールまたは Microsoft Office 更新インベントリ ツールを通じて識別されるソフトウェア更新プログラムの場合、配布ポイントはソフトウェア更新の配布ウィザードの手順として割り当てられますが、パッケージの作成後に手動で修正できます。

通常、ソフトウェア更新プログラムの展開対象となるクライアント グループは同じにし、それぞれのソフトウェア更新プログラムに使用する配布ポイントが同じになるようにします。たとえば、サーバーおよびサーバー アプリケーション用のソフトウェア更新プログラムは、データ センターのサイト内の配布ポイントすべてに配布される必要があります。会計アプリケーションのソフトウェア更新プログラムは、会計部門のサイトの配布ポイントにのみ配布されます。

したがって、特定のクライアント グループ専用の配布ポイントのみを含む配布ポイント グループを SMS 2003 に設定できます。配布ポイント グループを使用すると、展開されるソフトウェア更新プログラムに配布ポイントを割り当てるプロセスがより迅速に処理されるようになります。SMS データベース内のインベントリ情報を使用して、新しい配布ポイントを設定する必要がある場所を識別できます。

注: 配布ポイントを配布ポイント グループに追加しただけでは、[配布ポイントの更新] オプションを使用しても、新しい配布ポイントにパッケージが送信されるようにはなりません。配布ポイント グループがパッケージに割り当てられている場合にしか、配布ポイント グループを使用した配布ポイントの評価は行われません。新しい配布ポイントを個別にパッケージに追加し、配布ポイントの更新を実行する必要があります。

配布ポイントで更新プログラムの準備をする

適切な配布ポイントを割り当てた後は、個々のファイルのコピーがすべてこれらのサーバーに配布されるようにする必要があります。SMS ステータス システムを使用して、ソフトウェア更新プログラム ファイルの配布を監視します。配布ポイントにファイルが用意されるまでは、そのサイト内のクライアントでソフトウェア更新プログラムをインストールできません。

ソフトウェア更新プログラムのバイナリ ファイルを配布ポイントに送信するプロセスでは、SMS サイト間でファイルを送信すると共に、SMS サイトからローカル配布ポイントへの送信を行います。

SMS サイト間で更新プログラムを送信する

大部分の組織では、指示、ソフトウェア パッケージ、および提供情報のサイト間での送信を担当するサイト間センダは、多くの場合、使用するネットワーク帯域幅の量または転送を行うことができる時間帯を制限するように構成されます。このような制限は、ソフトウェアの配布が通常の営業時間外に行われるようにするために本来使われていますが、重要なソフトウェア更新プログラムを迅速に利用できるようにする必要があるときに問題になる場合があります。

表 1 では、サイト間での複製を監視しやすくするために使用できる SMS メッセージを示します。

表 1: SMS センダ メッセージ

メッセージ ID 詳細
3531 SMS センダは、ソフトウェア配布パッケージを対象サイトに送信中です。
3532 SMS センダでソフトウェア配布パッケージを対象サイトに送信中にエラーが発生しました。
3533 SMS センダは、ソフトウェア配布パッケージを対象サイトに送信しました。
SMS では、パッケージの優先順位を高、中、または低として定義できます。ビジネスに不可欠なものとして分類されないソフトウェア更新プログラムには、中または低の優先順位のみを使用します。高の優先順位は、重要なソフトウェア更新プログラム専用に確保します。パッケージ優先順位がソフトウェア更新プログラムの配布にどう影響するかという点についてまとめると、次のようになります。 - 配布マネージャは、パッケージを圧縮して処理するコンポーネントです。このコンポーネントでは、パッケージが優先順位に従って処理されます。パッケージの優先順位は、センダ/スケジューラ/複製マネージャの複製優先順位にマップされます。 - 中優先順位パッケージの圧縮が配布マネージャで既に開始されている場合、新規に作成された高優先順位パッケージがあっても、現在の処理は停止されません。 - パッケージの優先順位が評価されるのは、センダが現在のパッケージの転送を完了した後です。したがって、中優先順位パッケージの転送中に高優先順位パッケージが定義されると、中優先順位パッケージの転送が完了した後に優先順位が再評価されます。 - 提供情報の優先順位は、サイト間の複製優先順位のみに影響します。ただし、提供情報オブジェクトはサイズが非常に小さいため、サイト間で大量のトラフィックが保留になっていない限り、違いはほとんど生じません。 - パッケージ/提供情報に関連するコンポーネントは、他に配布マネージャ、提供マネージャ、複製マネージャ、スケジューラ、デスプーラ、センダがあります。これらのコンポーネントはすべて優先順位に従います。 次の SQL クエリを使用して、パッケージをすべてのサイトに配布するにあたっての転送完了率に関するレポートを生成できます (このクエリを使用する前に、PackageID "BAR0001" のすべてのインスタンスを環境内での実際の PackageID に変更する必要があります)。 ``` declare @ver int select @ver=MAX(SourceVersion) from v_PackageStatusRootSummarizer where PackageID = 'BAR00001' create table #PkgProgress (RecordID int not null, Time datetime not null, SiteCode char(3) not null, PctComplete int not null, MessageID int not null, PRIMARY KEY(SiteCode,Time,RecordID)) insert into #PkgProgress(RecordID,Time,SiteCode,PctComplete,MessageID) select msg.RecordID, msg.Time, insSC.InsStrValue as SiteCode, IsNULL(insPC.InsStrValue,100) as PctComplete, msg.MessageID from v_StatusMessage msg join v_StatMsgAttributes att on msg.RecordID=att.RecordID and msg.Time=att.AttributeTime join v_StatMsgInsStrings insVER on msg.RecordID=insVER.RecordID and insVER.InsStrIndex=1 join v_StatMsgInsStrings insSC on msg.RecordID=insSC.RecordID and insSC.InsStrIndex=2 left join v_StatMsgInsStrings insPC on msg.RecordID=insPC.RecordID and insPC.InsStrIndex=3 where MessageID in (3531,3532,3533) and Component in ('SMS_ASYNC_RAS_SENDER','SMS_ISDN_RAS_SENDER','SMS_LAN_SENDER','SMS_SNA_RAS_SENDER ','SMS_X25_RAS_SENDER','SMS_WINSOCK_SENDER') and att.AttributeID=400 and att.AttributeValue= 'BAR00001' and insVER.InsStrValue=CONVERT(varchar(10),@ver) select Sites.SiteCode, prog.Time, prog.MessageID, prog.PctComplete as 'Sending % Complete', Sites.Targeted as 'DPs Targeted', 100*Sites.Installed/Sites.Targeted as '% DPs Complete' from v_PackageStatusDetailSumm Sites left join (#PkgProgress prog join (select SiteCode, MAX(Time) as MaxTime from #PkgProgress group by SiteCode) as LastProg on prog.Time=LastProg.MaxTime and prog.SiteCode=LastProg.SiteCode) on Sites.SiteCode=prog.SiteCode where Sites.PackageID = 'BAR00001' and Sites.Targeted>0 order by prog.SiteCode drop table #PkgProgress ```
緊急変更要求

緊急の変更要求の場合は、サイト間の制限をすべて解除して、ソフトウェア更新プログラムを可能な限り迅速に他のサイトに送信できるようにする必要があります。ただし、サイト間のネットワーク リンクが低速か、既に混雑している場合は、サイト間センダの制限の解除は効果がありません。そのような場合は、SMS 媒体使用センダを使って各サイトに更新プログラムを送信することを検討できます。

配布ポイントへ更新プログラムを送信する

更新プログラムは SMS サイト サーバーに到着すると、自動的にサイト内の配布ポイントに配布されます。配布ポイントごとに、表 2 に示す SMS イベントを監視する必要があります。

表 2: SMS 配布イベント

メッセージ ID 詳細
2342 これは、SMS 配布マネージャで配布ポイントへのパッケージの配布が開始されていることを示しています。
2330 これは、SMS 配布マネージャで配布ポイントへのパッケージの配布が完了したことを示しています。
**注:** クライアントにソフトウェア更新プログラムをインストールするには、事前にポリシーもローカル管理ポイントで使用可能にしておく必要があります。 #### 配布グループを選択する ソフトウェア更新の配布ウィザードを使用して新しいソフトウェア更新プログラムを配布する場合は、対象のコンピュータを正確に指定する必要はありません。これは、ウィザードによってスマート エージェントがクライアントに展開され、新しいソフトウェア更新プログラムがインストールされる必要があるときに、このエージェントが起動されるためです。このエージェントによって、ウィザードから提供されるソフトウェア更新プログラムがコンピュータに適用可能かどうか、また、これは既にインストールされていないかどうかが、自動的に判断されます。また、複数のソフトウェア更新プログラムの連鎖や、ソフトウェア更新プログラムを有効にするために必要な再起動も処理されます。 この方法でインストールされるソフトウェア更新プログラムのグループを作成する場合は、次の点を基準にする必要があります。 - コンピュータを確認し、新しいソフトウェア更新プログラムをインストールする頻度 (SMS 提供情報は、指定された間隔で新しいソフトウェア更新プログラムを確認するように作成されます)。 - サーバー、ワークステーション、ポータブル コンピュータにはそれぞれ異なるスケジュールが設定されて、ソフトウェア更新プログラムをインストールする異なるプログラムを実行する可能性があるので、独立したクエリが必要です。 - 異なる部門や地理的に離れた場所にあるコンピュータにも異なるタイム ゾーンが設定されるので、独立したクエリが必要です。更新プログラムをすべてのタイム ゾーンで同時に実施する場合は、ソフトウェア更新の配布ウィザードの \[世界協定時刻\] チェック ボックスをオンにします。 ソフトウェア更新の配布ウィザードを使用せずに、カスタム パッケージとコレクションによってソフトウェア更新プログラムを配布する場合は、1 つ以上の SMS クエリを作成することが必要になる可能性があります。以下に例を示します。 - 1 つのクエリとこのクエリに基づいた 1 つのコレクションのみを使用し、公開の段階ごとにこのクエリを変更するようにします。最初は、1 つのサイトやワークグループなど、公開の最初の段階で対象となるクライアントの範囲を絞り込めるようにクエリを変更します。公開が拡張され、より多くのクライアントが対象になるにつれて、クエリも拡張し、クエリの対象範囲に公開の次の段階で対象となるクライアントが含まれるようにします。 - 管理者がソフトウェア更新プログラムを一定の方法でロールバックできるよう、クエリの変更を追跡し、それまでのバージョンを保管しておく必要があります。 [](#mainsection)[ページのトップへ](#mainsection) ### 展開段階 ‐ クライアント コンピュータへソフトウェア更新プログラムを提供する ソフトウェア更新プログラムを運用環境に展開する際に初めに必要な手順は、ソフトウェア更新プログラムをクライアント コンピュータに提供することです。ロールアウトは段階的に行うことができます。または、すべてのクライアントで更新プログラムを同じ展開期間内に受け取ることができます。背景情報については、モジュール「[パッチ管理フェーズ 4 - 展開](https://www.microsoft.com/japan/technet/security/topics/patchmanagement/secmod197.mspx)」の「対象のコンピュータにソフトウェア更新プログラムを展開する」を参照してください。 ソフトウェア更新の配布ウィザードを使用すると、繰り返し提供情報が自動的に作成されて、対象のコレクション内のコンピュータ上でソフトウェアの更新インストール エージェントが実行されます。繰り返し間隔の既定値 (7 日間)は、コレクションに合わせて変更できます。たとえば、サーバーを含むコレクションは、毎日 1 回、またはそれ以上の頻度でエージェントを実行できます。 その他に考慮すべき事項は次のとおりです。 - 制御グループがある場合は、まずそれらのコンピュータに展開します。 - コンピュータの種類に応じて異なるスケジュールが必要な場合は、同一のパッケージとプログラムを使用する複数のコレクションに対して、複数の提供情報を作成できます。 - ソフトウェアの更新インストール エージェントを繰り返し実行する間隔を毎日に設定している場合、重要なソフトウェア更新プログラムが提供されたときは、すぐにインストール エージェントを実行する必要があります。その後、できるだけ迅速に実行するための一度しか使用しない提供情報を新たに割り当てる必要があります。 - 公開を段階的に実行する場合は、最初の段階の公開が完了したときに、クエリを修正して次の段階のクライアントが含まれるようにする必要があります (たとえば、展開する次のサイトなどの場合)。ソフトウェアの更新インストール プログラムに自動的に新しいクライアントのセットが通知された後、コレクションを手動で更新するか、または定義済みのスケジュールで更新します。 - 対象のコレクションに使用される SMS クエリは、インストール対象のソフトウェア更新プログラムが不足しているコンピュータを示すインベントリ情報に基づいて作成されます。コンピュータにソフトウェア更新プログラムがインストールされ、続いてインベントリが実行されると、クエリの定義に一致しなくなるので、コレクションの更新時にこのコンピュータはコレクションから削除されます。ソフトウェア更新プログラムが適用されていない新しいコンピュータがネットワークに追加されて、SMS によるインベントリが実行されると、コレクションの次の更新時に、ソフトウェア更新プログラム インストール プログラムがそのコンピュータに対して自動的に提供されます。 ソフトウェア更新の配布ウィザードを使用せずにソフトウェア更新プログラムを展開する場合は、次の点を考慮する必要があります。 - ソフトウェア更新プログラムをインストールする提供情報が設定されている場合、一定の間隔で繰り返されるようにそのスケジュールを構成する必要があります。これにより、インストールが失敗した場合は、自動的に再試行されます。提供情報が繰り返されない場合は、失敗したクライアントのコレクションと、そのコレクションの新しい提供情報を作成して、手動で再試行する必要があります。これらの手順は、すべてのクライアントに更新プログラムが適用されるまで繰り返す必要があります。 - 既にリリースを正しくインストールしたクライアントは、新しいインベントリが収集されるまで (インストール プログラム自体がきっかけになる場合がある)、またはインベントリが SMS データベースで更新されてコレクションが再評価されるまで、対象のコレクションに残るため、そのような提供情報の繰り返し間隔は慎重に選択する必要があります。そのため、プログラムは一度正常に実行したクライアントで再実行できます。以上の理由により、実行プログラムでは、ソフトウェア更新プログラムが既にインストールされていることを最初に確認し、インストールされている場合はすぐに終了することが重要になります。 重要ではないソフトウェア更新プログラムの場合、管理者は SMS 2003 を使用して、ユーザーにいつ更新プログラムをインストールするかを決定するオプションを提供できます。指定した期日を過ぎると、更新プログラムは自動的にインストールされます。このオプションを提供するには、図 12 に示すように、ソフトウェア更新の配布ウィザードで \[ユーザーが延期することを許可する\] チェック ボックスをオンにします。 ![](images/Dd362906.SGFG19912(ja-jp,TechNet.10).jpg) 図 12 \[ユーザーが延期することを許可する\] チェック ボックスをオンにする方法 ユーザーとサービス担当者は、ソフトウェア更新プログラムをインストールできること、およびそのインストールは特定の期日後に必須でインストールされることを通知される必要があります。この方法により、リモート ポータブル コンピュータのユーザーまたは低速リンク経由で接続しているコンピュータのユーザーに、ソフトウェア更新プログラムをインストールするのに都合の良い時間を選択するオプションが提供されます。ただし、インストールの期日になった場合は、ソフトウェア更新プログラムが自動的にインストールされます。 ソフトウェア更新の配布ウィザードを通じて利用可能になるソフトウェア更新プログラムの場合、図 13 に示すようにポップアップ バルーンが表示され、これがユーザーに対する使用可能な更新プログラムの通知になります。 ![](images/Dd362906.SGFG19913(ja-jp,TechNet.10).jpg) 図 13 使用可能な更新プログラムに関するユーザー通知 サーバーに最近ログオンしたユーザーの名前と、対象のサーバーにない承認済みの更新プログラムの一覧を返すクエリを作成して、コンピュータの所有者に、その準拠レベルと迫っている期日について簡単に通知できるようにする必要があります。 #### 緊急変更要求 変更要求が、ソフトウェア更新プログラムが緊急であることを示しているときは、次の点を考慮する必要があります。 - 展開は、参照コンピュータ コレクションへの提供情報によって開始する必要があります。参照コンピュータ コレクションには、運用環境内のすべての主要コンピュータが含まれているため、これはどのような段階的展開または構造化された展開でも重要な手順となります。このアプローチにより、運用環境の他の部分で展開を開始するうえで必要となる確信を得ることができます。 - ソフトウェア更新プログラムは、SMS サイトまたは配布ポイントへの接続およびリンク速度に関係なく、可能な限り迅速にクライアントにインストールする必要があります。高度なクライアントを実行しているコンピュータのユーザーには、3 時間ごとに期日を通知します。 - 提供情報を作成する際に、図 14 に示すように、\[低速接続には割り当てを必須にしない\] チェック ボックスがオフになっていることを確認する必要があります。 ![](images/Dd362906.SGFG19914(ja-jp,TechNet.10).jpg) 図 14 \[低速接続には割り当てを必須にしない\] チェックボックス - 特に、ソフトウェア更新プログラムのサイズが大きい場合、またはユーザーが標準の電話接続または低速リンクを使用して接続している場合は、オフィスに出向いて重要なソフトウェア更新プログラムをインストールするようポータブル コンピュータのユーザーに要請した方が適切です。オフィスに出向くことができないユーザーの場合は、図 15 に示すように、ソフトウェア更新プログラムをローカル ハード ディスクにダウンロードして、そこから実行するように構成された提供情報を状況に応じて作成する必要があります。 ![](images/Dd362906.SGFG19915(ja-jp,TechNet.10).jpg) 図 15 ソフトウェア更新プログラムをローカルハードディスクにダウンロードしてそこから実行するように構成された提供情報の作成方法 - さらに、保護された配布ポイントを使用して、リモート コンピュータまたはポータブル コンピュータを配布ポイントにバインドすることを検討します。保護された配布ポイントは、リモート ユーザーまたはポータブル ユーザーに最も近い位置にあることが理想的です。保護された配布ポイントを使用すると、リモート ユーザーは常にその配布ポイントをソフトウェア更新プログラムに使用するようになります。ただし、保護された配布ポイントを使用できない場合、リモート ユーザーは保護されていない最も近くの配布ポイントに自動的に戻されます。 [](#mainsection)[ページのトップへ](#mainsection) ### 展開段階 ‐ 展開の進捗状況を監視およびレポートする コンピュータは何らかの理由で更新プログラムをインストールできないことがあるため、展開の進捗を監視できることが重要になります。背景情報については、モジュール「[パッチ管理フェーズ 4 - 展開](https://www.microsoft.com/japan/technet/security/topics/patchmanagement/secmod197.mspx)」の「対象のコンピュータにソフトウェア更新プログラムを展開する」を参照してください。 クライアントのコレクションにパッケージを提供することによってパッケージを展開した後は、クライアントが提供情報を正常に実行したかどうかを判断する必要があります。SMS クライアントから返されるステータス メッセージの確認に使用できるツールは多数あります。 SMS のサポート ツールに、Advertisement Status Viewer ツールがあります。このツールは、ステータス メッセージに基づいて提供情報の配布ステータスを提供します。提供情報の配布ステータスを確認するときは、多くの場合、以下のことを認識しておくと役立ちます。 - コレクションに含まれていたが、提供情報を受け取らなかったクライアント - 提供情報を受け取ったが、実行していないクライアント - プログラムを正しく実行できなかったクライアント ステータス メッセージでは、繰り返し実行される提供情報が実行されたかどうかしか確認できません。新しい承認済みのソフトウェア更新プログラムを実際にインストールするのは、更新プログラム インストール プログラムです。このプログラムが正常にクライアントで実行されているかどうかを確認するには、ステータス メッセージを分析して、各クライアントでこのプログラムが最後に正常に実行された時期を特定します。プログラムが実行されてからの時間が、クライアントの繰り返し間隔よりも長い場合、調査する必要があります。 ステータス メッセージでは、更新プログラムについてエンド ユーザーによる自主的な適用と強制的な適用との割合も記録され、それらのユーザーがどのように再起動と、予定されたインストールを行っているかを把握できます。このデータをもとに実施および既定の設定を調整して、より効率的にコンピュータに整合性を持たせることができます。表 3 に示すメッセージを使用して、そのような情報を確認できます。 表 3: 提供情報ステータス メッセージ

メッセージ ID 説明
11250 予定されたインストール期間に一致していません (最早開始日): 再試行待機中です。
11251 予定されたインストール期間に一致していません (最遅開始日): 再試行待機中です。
11256 予定されたインストール期間に一致していません (期限切れ): 再試行待機中です。
11269 インストールを続行するにはシステムを再起動する必要があります。
11257 更新をインストールするのに必要なシステムの再起動はユーザーによって再スケジュールされました。
11258 更新をインストールするのに必要なシステムの再起動はユーザーによって延期されました。
11259 更新をインストールするのに必要なシステムの再起動は自動的に延期されました。
11252 インストールはユーザーによって再スケジュールされました。
11253 インストールはユーザーによって延期されました。
11254 インストールは自動的に延期されました。
11270 コンピュータの再起動が必須です。
11266 インストールが完了し、ワークステーションの役割のため再起動は抑制されました。
11267 インストールが完了し、サーバーの役割のため再起動は抑制されました。
11268 インストールが完了し、再起動は不要でした。
11261 インストールが完了し、再起動はユーザーによって再スケジュールされました。
11262 インストールが完了し、再起動はユーザーによって延期されました。
11263 インストールが完了し、再起動は自動的に延期されました。
11264 必要な再起動が開始されました。
11265 必要な強制再起動が開始されました。
セキュリティ更新インベントリ ツールまたは Microsoft Office 更新インベントリ ツールを使用して識別されたソフトウェア更新プログラムの場合は、組み込みレポートを使用して、ソフトウェア更新プログラムについて正しい展開のチェックを実行できます。ソフトウェア ID ごとの対応レポートを使用して、更新プログラムがインストールされたか更新プログラムがインストールされていないシステムの総数の概要と、ソフトウェア更新プログラムの配布に関するステータスを確認できます。このレポートを使用すると、特定のソフトウェア更新プログラムに関する現在の整合レベルを簡単に識別できます。このレポートでは、更新済みのインベントリに基づいて特定を行うため、ステータス メッセージを参照しても同等の最新情報は確認できません。 #### 結果を分析する 展開が進行するにつれ、次のさまざまな理由により、特定のコンピュータでソフトウェア更新プログラムのインストールに失敗することがあります。 - コンピュータが、次の理由によりオフラインになっています。たとえば、ユーザーが作業中でない、ユーザーがダイヤルアップする必要がある、ユーザーがモバイルである、コンピュータが保守中であるなどの場合です。 - コンピュータが再構築または再イメージ化中です。 - SMS クライアント付きのコンピュータが、最後のベースライン/スキャン以来、SMS サイト サーバーと通信していません。 - ユーザーによって、または保守の一環として、コンピュータでエージェント サービスが停止されています。 - コンピュータが、さまざまな理由により外部からのアクセスを拒否しています。 - コンピュータの MSXML 3 が SP1 までとなっています (SMS 2003 では MSXML 3.0 SP4 が必要)。 - コンピュータの空きディスク領域が十分ではありません。 上のいずれかの理由により、一部のクライアント コンピュータで特定の SLA の期限内に更新プログラムが適用されなかった場合は、どのような軽減手順を実行してそれらのコンピュータに適合性を持たせるかを判断する必要があります。すべてのコンピュータには更新プログラムを適用できない可能性がありますが、それらのコンピュータに更新プログラムを適用できない、または適用してはならない理由を完全に把握しておく必要があります。 次のガイドラインは、インストールに失敗したソフトウェア更新プログラムに対処したり、より多くのコンピュータに適合性を持たせたりするときに役立ちます。 - 展開の第 1 段階が完了したら、環境を常に再スキャンして、その第 1 段階で展開に失敗したコンピュータを識別します。 - 展開の進捗状況を常に監視してレポートします。 - 再スキャンと監視を行うと、その後の再展開段階で、例外が報告されたコンピュータに対象が絞られます。 - 常に優先順位を付けて、展開に失敗した根本原因を探します。 - オフラインになっているか再構築中のコンピュータは、SMS エージェント サービスが正常な状態になっている限り、提供情報を確保する必要があります。 - 展開の成功率を向上させるために、このセクション全体のガイドラインを参照します。 [](#mainsection)[ページのトップへ](#mainsection) ### 展開段階 ‐ 失敗した展開を処理する 展開に失敗したため、停止してロールバックする必要があると判断した場合は、ロールアウトを停止し、失敗した更新プログラムをアンインストールして、それらを再展開する必要があります。背景情報については、モジュール「[パッチ管理フェーズ 4 - 展開](https://www.microsoft.com/japan/technet/security/topics/patchmanagement/secmod197.mspx)」の「対象のコンピュータにソフトウェア更新プログラムを展開する」を参照してください。 - **例外を処理するには** 1. アクティブ パッケージの展開を停止します。 2. 問題点を特定して解決します。 3. パッケージを再提供します。 4. ソフトウェア更新プログラムをアンインストールします。 #### アクティブ パッケージの展開を停止する - **アクティブパッケージの展開を停止するには** 1. SMS 管理コンソールのパッケージ ノードから、一時的に停止するプログラムを選択します。 2. プログラムの \[プロパティ\] ダイアログ ボックスの \[詳細設定\] タブで、\[提供されるコンピュータで、このプログラムを無効にする\] チェック ボックスをオンにします。これにより、必須提供情報として割り当てられている場合でも、プログラムに基づく提供情報を停止または一時停止し、特定の時刻またはスケジュールに従って開始するように設定できます。 3. ソフトウェア更新の配布ウィザードを開き、無効にするソフトウェア更新プログラムのチェック マークを外して、変更を保存します。これにより、このパッケージ内で正しく実行されている他のソフトウェア更新プログラムがある場合に、提供情報を有効化された状態に維持できます。 #### 問題点を特定および解決する 表 4 では、レポート ビューアのソフトウェア更新インフラストラクチャの状態カテゴリに含まれる標準レポートの一覧を示します。これらのレポートを使用して、ソフトウェア更新プログラムをインストールしようとしているクライアントで発生する問題、およびインターネットからソフトウェア更新プログラム カタログをダウンロード中に発生する問題を迅速に識別できます。問題を早期発見して解決することが重要です。また、代表的なソフトウェア更新プログラムのリターン コードとステータス メッセージについて実用的な知識を持っている必要もあります。 一般的な問題は次のとおりです。 - ディスクの空き領域が十分でない: クライアント コンピュータには、少なくとも 10 MB の空きディスク領域が必要です。 - XML パーサーのバージョンが古い: System File Protection (SFP) の構成で検出される場合は、少なくとも MSXML 3.0 SP2 が必要です。SFP が XML パーサー ファイル用に構成されていない場合は、XML 3.0 SP4 が必須バージョンとなり、自動的にアップグレードされます (SFP の構成は更新されません)。 - 必要なスキャン ツール提供情報の前に、インストール提供情報が実行されている: この場合は、ソフトウェア更新プログラム カタログを使用できないため、インストール エージェントは失敗します。 表 4: ソフトウェア更新プログラム レポート

レポート名 レポート カテゴリ
製品ごとの対応 ソフトウェアの更新 ‐ 対応
ソフトウェア ID ごとの対応 ソフトウェアの更新 ‐ 対応
特定のソフトウェアの更新が適用可能なコンピュータ ソフトウェアの更新 ‐ 対応
特定のコンピュータのソフトウェアの更新 ソフトウェアの更新 ‐ 対応
まだ認証されていないソフトウェアの更新 ソフトウェアの更新 ‐ 対応
適用可能なコンピュータとインストールされているコンピュータの数があるソフトウェアの更新 ソフトウェアの更新 ‐ 対応
特定のソフトウェアの更新の配布ステータスがあるすべてのコンピュータ ソフトウェアの更新 ‐ 配布ステータス
ソフトウェアの更新の配布ステータスの概要 ソフトウェアの更新 ‐ 配布ステータス
ソフトウェアの更新 ID ごとのソフトウェアの更新の配布ステータス ソフトウェアの更新 ‐ 配布ステータス
配布に失敗したソフトウェアの更新の概要 ソフトウェアの更新 ‐ 配布ステータス
指定された提供情報のソフトウェアの更新エラー メッセージを返したコンピュータ ソフトウェアの更新 ‐ インフラストラクチャの状態
ソフトウェアの更新の状態 ソフトウェアの更新 ‐ インフラストラクチャ状態
指定された日数内における、特定のコンピュータに対するソフトウェアの更新のステータス メッセージ ソフトウェアの更新 ‐ インフラストラクチャの状態
#### パッケージを再提供する パッケージは、次のガイドラインに従って簡単に再提供できます。 - 既存の提供情報にスケジュールを追加すると、同じパッケージを再送信できます。この手順は、パッケージを既に受け取り、以前に実行済みのクライアントでも、パッケージを強制的に再インストールします。 - 別のスケジュールを提供情報に追加すると、同じ提供情報を再実行し続けることができます。これは、ラボのコンピュータでテスト ジョブを実行していて、パッケージを迅速に再送信する必要がある場合に効果的なソリューションです。この手順を使用すると、運用環境にソフトウェア更新プログラムを展開する前に、ソフトウェア更新プログラムを十分にテストできます。これは、環境に導入された新しいコンピュータに更新プログラムを確実に適用する場合にも効果的なソリューションとなります。 - 提供情報を右クリックし、\[すべてのタスク\] から提供情報のプログラムを再実行するオプションを選択し、提供情報を簡単に再送信できます。 #### ソフトウェア更新プログラムをアンインストールする マイクロソフトがリリースするソフトウェア更新プログラムには、アンインストール パスを提供するものと、しないものがあります。ソフトウェア更新プログラムがアンインストール可能かどうかを調べるには、セキュリティ情報の「技術的な詳細」を確認します。この手順は、パッチ管理プロセスの識別段階で実行されている必要があります。 SMS を使用してソフトウェア更新プログラムをアンインストールするには、アンインストール コマンドが必要になります。マイクロソフトの更新プログラムは、一般的にアンインストールが可能な場合、アンインストール コマンドを含むレジストリへの参照を提供します。 - **ソフトウェア更新プログラムをアンインストールするには** 1. 新しい提供情報を使用してレジストリから関連情報を取得する SMS パッケージとスクリプトを作成します。 2. 上記のレジストリから取得した情報に基づいて、関連付けられたコレクション規則を作成します。通常は、ソフトウェア更新プログラムによってスキャン ツール検出が提供される限り、ソフトウェアの更新インベントリ データをコレクション規則として使用できます。この情報がない場合は、カスタム スクリプトを用意するか、SMS\_def.mof を変更して必要な特定用の詳細を取得することが必要になる場合があります。 3. アンインストール コマンドを実行するスクリプトが含まれた SMS パッケージを作成します。無人アンインストールを実行するのに必要なコマンド ライン オプションを認識します。 4. SMS 提供情報の手順を使用して、このパッケージをリリースの展開と同じ方法で配布します。 **注:** エンド ユーザーに影響を与えない (再起動しない) 総合的なソフトウェア更新プログラムを使用することを検討し、IT スタッフに展開を実施する機会を与えて、結果を測定してください。 [](#mainsection)[ページのトップへ](#mainsection)