SCEP

Announcing Azure Network Watcher – Network Performance Monitoring and Diagnostics Service for Azure | Blog | Microsoft Azure 1 user Have you ever felt the need to diagnose a critical problem and you needed access to packet data from a virtual machine? What if you c… [azure.microsoft.com ](http://b.hatena.ne.jp/ebibibi/?url=https%3A%2F%2Fazure.microsoft.com%2F) - テクノロジー - あとで読む - [](http://b.hatena.ne.jp/ebibibi/)ebibibi w, b, azure 16 clicks 2017/03/23 - System Center Configuration Manager エージェントと Microsoft Intune (MDM) による管理の共存について – Japan System Center Support Team Blog 1 user みなさま、こんにちは。System Center サポート チームです。 Windows 10 の展開に伴い、タブレットなどのモバイル デバイスに搭載された Windows 10 端末の管理をご検討いただく中で、System Center Configuration… ...

ここの所色々忙しくて全然ブログに投稿できておりませんでした。やっと少し自分の時間を持てるようになってきたので久しぶりの更新です。 忙しくしている間に、Microsoft MVPとしてCommunity Camp 2014のWebinarで喋らせてもらいましたのでその時の資料を共有しておきます。 **System centerを中心とした統合管理-オンプレミスからクラウドまで **from Masahiko Ebisuda 今回のイベントの主旨を考えて、なるべく難しくなり過ぎないように…と思って作成しましたが、さて、どうだったか…。そもそも難しい上に、オンラインで相手の顔が見えない状態だとさらに難しいですね。精進が必要です。

SCCM + SCEPをVDIのクライアントイメージに盛り込みたいという要望を受けて、その準備作業に関して確認しました。 以下のブログが一番よくまとまっていました。 - [Henk's blog: Prepare ConfigMgr client for Sysprep or Master Image](http://henkhoogendoorn.blogspot.jp/2013/07/prepare-configmgr-client-for-sysprep-or.html) やるべきことは結局以下2点です。 - SCCMをインストールしておく(ただし、一意の情報は削除しておくあるいは生成されない状態にしておく) - SCEPをインストールし、フルスキャンが完了した状態にしておく。(VDI環境で個別にフルスキャンが走ると色々厳しい) Microsoftからは以下のSCEPのマスター展開前の準備の手順が出ています。 - [Configuration Manager で Endpoint Protection クライアントをディスク イメージにプロビジョニングする方法](http://technet.microsoft.com/ja-jp/library/dn236350.aspx) 1つ目のブログの情報に加えて、レジストリエディタで各種レジストリを削除する手順が紹介されています。 2つのブログの手順を両方合わせて適用しておくのが良いのだと思います。最終的には以下の手順になります。 - 雛形の準備(各種ソフトウェアインストール、設定適用等実施する) - SCCMクライアントを手動インストール \\<SCCMサーバー>\SMS_<サイトコード>\Client\ccmsetup.exe /mp:<SCCMサーバー名>　SMSSITECODE=<SiteCode> - SMS Agent Hostサービスを停止 - MMC.exeにて「証明書」スナップインを追加「コンピューターアカウント」を選択 - 「SMS」を展開し、2つの証明書を削除する - %SystemRoot%\\SCSCFG.iniファイルを削除する - scepinstall.exeをクライアントにコピーした上でSCPEをインストール。(ポリシーを適用するなら/policyオプションでポリシーを適用する) - 「cd [c:\\Program](file:///c:/Program) Files\\Microsoft Security Client」「mpcmdrun.exe -buildSFC」でフルスキャンを実行 - 「HKLM\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\SFCState」を確認し、値が7になるまで待つ - PsToolsをダウンロードする - 「psexec.exe -s -i regedit.exe」を実行 - レジストリエディタで以下のキーを削除する HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\InstallTime - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastScanRun - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastScanType - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastQuickScanID - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Antimalware\Scan\LastFullScanID - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemovalTools\MRT\GUID これでSCCMエージェントとSCEPエージェントを含んだイメージを作成する事ができます。 ...

System Centerを理解したい、評価したい場合に、まずはじめに「コンポーネントが沢山ある！どれが何だかわからない！」「どういう関係があるのかわからない！」という疑問を誰もが持つと思います。私も取り組み始めてから半年程度たつまではよくわかっていませんでした。そこでそういう人向けに各コンポーネントの概要を説明したいと思います。私の主観がバリバリに入っていますのでそこは注意してください。 名称 略称 概要 System Center Configuration Manager SCCM サーバー/クライアントに対しての構成管理、更新管理を行う。アプリケーション配布、ソフトウェア更新、OS展開、インベントリ収集、検疫ネットワークとの連携(ソフトウェア更新部分担当)、マルウェア対策、各種レポート表示(これはレポーティングサービスに依存)など対応範囲は広く、その分複雑。必要になる技術も多岐に渡る。様々な属性を元に柔軟にデバイスのコレクションを定義でき、目的に応じて多彩な設定を行えるのが強み。 ソフトウェア更新にはWSUSをエンジンとして使う、OS展開はWDSを使う、レポートはSQL Serverのレポーティングサービスを使う、SCEPはSCCMの機構の中で動くなど、他のソフトウェアとの連携も多い。 SCCMのクラウド版とも言えるものがIntune。ただ、ItuneよりもはるかにSCCMでできることの方が多く、SCCMとIntuneとで連携も行えるため、補完関係にあるとも言える。 何をするにしてもリアルタイムで結果が返ってくるわけではなく、設定してあとはほったらかしてそのうち終わってる…というような時間軸で作業を行う。せっかちさんには辛い。 System Center Endpoint Protection SCEP ウイルス、マルウェア対策のエンジン。SCEPのクライアントエージェントのみで動作させてパターンファイルはインターネットから…ということも可能だが、基本的にSCCMと組み合わせて使用する。 SCCMではクライアント設定をデバイスコレクションに展開してクライアントを展開させ、裏でWSUSを使ってソフトウェア更新の機能でパターンファイルを更新し、結果はレポーティングサービスで確認する…というSCCMらしい統合方法になっている。 他のウイルス対策ソフトと比較してしまうと展開や基盤の構築の大変さが目立ってしまうが、SCCMで元々管理している環境であれば管理が楽に行えるのでメリットが出てくる。 System Center Virtual Machine Manager SCVMM 複数のHyper-VホストやHyper-Vクラスタを束ねて管理を行うことができる。「テナント」「クラウド」の概念を持ち、物理リソースの制限を行うことができる(このクラウドはこの物理サーバー上でのみ仮想マシンを実行できる等)。これによっていわゆる「プライベートクラウド」を作成することができる。マシンテンプレートを作成し、手軽に展開が行える。一歩進んだ使い方としてはネットワークの仮想化やサービスを展開してノードを増減させたり、構成を変更してその変更を既存のサービスに展開することもできる。 SCVMMを使わなくてもHyper-Vマネージャーやフェールオーバークラスタマネージャーだけで問題無い…と私も使う前は思っていたし今でも小規模であればそれで良いと思うがきちんと様々なものを作成して自動化して楽をしていこうと思ったらSCVMMの導入は必須になる。ただし、ツールとしては出来はそんなに良くなく、よくSCVMMでは操作できないが、Hyper-Vマネージャーやフェールオーバーマネージャーでは操作できるという状況が発生する。VMWareやXen Serverの管理も行え、Hyper-V+SystemCenterへの移行がしやすくなっている。 よく誤解されるが、SCVMMにはAzureとの連携機能は無い。 System Center App Controller SCAC SCVMMおよびAzureへの接続機能を持ち、SilverlightベースのWebインターフェースを持たせることができる。SCVMMコンソールよりも出来る事は少ないがWebコンソールから手軽に操作できるのでセルフサービスポータルとしての利用が可能。 SCVMMに完全に依存するが、インターフェースとしては出来がよく操作も軽快。SCVMMのコンソールを使うよりもSCACを使う方が操作感は良いと感じる。 System Center Operations Manager SCOM 監視やログ収集を行う事ができる。開発者が作成した「管理パック」を使うことで開発者の意図する監視を製品に詳しくなくても何も考えずに行うことができるのが売り。ただし、管理パックの設定のまま監視を行うとアラートや通知メールが大量に生成されてまともに監視できないという矛盾を抱えている。管理パック毎なので適度なレベルの管理パックも存在しているかもしれない。 なので、管理パックが望む監視レベルになるようにカスタマイズ(別の管理パックで上書き)するという追加タスクがほぼ必ず発生するのが現実。 ネットワーク上のノードの監視やアプリケーションレベルの監視等も行える。ノードやアプリケーションはクラウド上でも良い。 System Center Data Protection Manager SCDPM バックアップを行うことができる。通常のバックアップソフトとの違いというのはあまりないと感じる。バックアップ対象とのブロックレベルでの差分を取得していくことが特徴…という説明が良くあるが、ファイルサーバーに対してはそうだが、その他に関してはアプリケーション毎に対応がまちまちなので注意が必要。 SCDPMで保護してある過去のバージョンにWindowsのエクスプローラーのバージョンタブからアクセスできる(その代わりVSSのバージョンにはアクセスできなくなる)などの機能もある。 バックアップした結果を別のSCDPMでテープのように「インベントリ」を取得して再利用することができないためSCDPM自体の保護を行おうとするとSCDPMが2台構成になる構成パターンがあるなど結構豪快な所がある。 System Center Service Manager SCSM System Centerの製品群の中で一番重要であり、一番手が出しにくい運用管理のためのコンポーネント。インシデント管理、問題管理、変更管理等が行える。ITIL(正確にはMOF)の考え方に基づいた設計になっており、ITILを理解した運用管理者がSCSMを使うと非常に効果が高い…はず。私がITILを理解していないので実際の所が良くわからない。SCSMを教科書通りに使おうと思うと運用のしかた自体を変更する必要に迫られるはずで、すでに運用がしっかりと決まっている所への導入は難しく逆にITILを意識していない運用をしている所への導入はITILの理解から必要になり難しそうに思われる(想像)。 …という想像が先にたってしまい手をつけずらいので、心理的ハードルをどのようにクリアするかという問題がまずある。実際にはそんなにハードルが高くないのかもしれない。分からない。 一方ユーザーにセルフサービスを提供する機能がSCSMにあり、その前提条件はSharePoint Server(!)になっている。SharePointをまず構築しないといけないということでより一層ハードルが上がる。 また各種コンポーネントとのコネクタも多くをSCSMが持ち、運用に中心に来るものなのでこれを使いこなすことがSystem Centerスイートの価値を引き上げるものになるはず。 System Center Orchestrator SCO System Centerの製品群の中でSCOを一番重要なコンポーネントにあげる人も多いキーコンポーネント。自動化を行うことができる。 プログラミングがあまり得意でない人でも扱えるように処理がアイコンとして表現されており、アイコンを配置し、アイコン同士を矢印で繋ぎ、条件設定等をするだけで処理を作成できる。 System Centerコンポーネント群を操作するための「統合パック」がマイクロソフトによって準備されており、様々な処理がコンポーネントをまたいで簡単に行える。 実際にはPowerShellを使って処理の自動化は簡単に行えるものが多いので、PowerShellが書ける人なら「いらない」というケースもあると思われる。しかし一方で処理がRunbookという単位にまとまり内容が可視化され、格納場所も実行方法も統一されるのでそれだけでも運用の属人化を防ぐためには良いと考える人もいる。何なら全てPowerShellで処理を書いてSCOからはそれをキックするだけのRunbookを用意するだけでも構わないし、何でもかんでもSCOでやるのであればVisual Studioで統合パック自体も作成できてしまうという懐の深さもある。でも、Runbookのバージョン管理ができないなどの危うさもある。 ...

System Center Configuration Manager 2012 SP1 + System Center Endpoint Protection 2012の評価環境を構築しました。具体的な手順は素晴らしいガイドが公開されていましたのでそれを参照させてもらいました。 - [using System Center 2012 Configuration Manager - Part 6. Adding the Endpoint Protection role, configure Alerts and custom Antimalware Policies. - Configuration Manager 2012 - www.windows-noob.com](http://www.windows-noob.com/forums/index.php?/topic/6106-using-system-center-2012-configuration-manager-part-6-adding-the-endpoint-protection-role-configure-alerts-and-custom-antimalware-policies/) SystemCenter Endpoint ProtectionはSCCMでパターンファイルを更新するなどなかなかおもしろい構造になっていますね。他のウイルス対策ソフトとの比較はこれからですが、管理ハードルはちょっと高い気がします。ですが、SCCMとからめて色々と可能性がありそうでもあります。

SystemCenter関連の記事は以下のブログに移行しました。 - [System Center Blog](http://ebi.dyndns.biz/systemcenter/) この記事は以下の記事に移行しました。 - [SCCM + Endpoint Protectionの評価環境を構築しました。 | System Center Blog](http://ebi.dyndns.biz/systemcenter/2013/05/17/sccm-endpoint-protection%E3%81%AE%E8%A9%95%E4%BE%A1%E7%92%B0%E5%A2%83%E3%82%92%E6%A7%8B%E7%AF%89%E3%81%97%E3%81%BE%E3%81%97%E3%81%9F%E3%80%82/)