Japan System Center Support Team BlogにてSCCMで使用するWSUSのメンテナンス方法に関しての有用な記事が日本語で紹介されています。 - [Blogs - Japan System Center Support Team Blog - Site Home - TechNet Blogs](http://blogs.technet.com/b/systemcenterjp/archive/2015/03/23/3646967.aspx) この情報も元ネタは英語のホワイトペーパーなのですが、ほとんどの情報が英語で発信される中、日本語の情報は貴重ですね。 WSUS データベース (SUSDB) に対して - インデックスの再構成 - WSUS サーバー クリーンアップ ウィザード の定期的な実行が推奨されています。 導入したっきりなにもしていないようなケースはまずいですね。必ず参照いただけると良いと思います。
先日WSUSに関しての勉強メモを書いた所思ったより反応ありましたので、本日は続編的にWSUSとSCCMの関係について調べてわかったことをまとめてみました。あくまでも私の現状の理解ではありますが、間違ったことは書いていないと思います。もちろんSCCMは膨大な機能がある有償の製品であり、WSUSはソフトウェア更新の機能のみを持つ無償製品なので、この比較はあくまでもソフトウェア更新の部分のみでの比較です。 WSUSとの関係 - SCCMのソフトウェア更新機能はWSUSを利用しています(ソフトウェア更新ポイントとWSUSは同じサーバー上で実行されます)。ですが、WSUSをそのまま利用しているわけではありません。このことはSCCMを用いてソフトウェア更新を行っている環境でWSUSのコンソールを開いて確認しました。何も構成されていないに等しい状態でした。 - SCCMの最上位のサイトで同期ソースとしてWSUSサーバーを利用できます。 - SCCMとWSUSを同じサーバーに導入し、連携して動作させない事も可能。 - WSUS側で得た情報(メタデータ)をSCCMがSQLDBに取り込みそれをSCCM側で利用する。更新プログラムのコンテンツはSCCMの配布サーバーにSCCMの形式で配布する。 機能的な差異(SCCMの長所) - SCCM 2012 SP1以降では1つのプライマリサイトに複数のソフトウェア更新ポイントを追加可能。これによってWSUSをNLBで頑張って構成しなくても比較的容易に冗長化が行える。ただし、SCCMでもSet-CMSoftwareUpdatePointコマンドレットでNLBを構成することは可能。 - SCCMのサイト構造に基づいて、適切なソフトウェア更新ポイントを利用するように自動的に構成される(SCCMがローカルポリシーを構成してくれる)。WSUSの場合には管理者がグループポリシーやレジストリ等でコントロールをする必要があり、手間がかかる。 - SCCMのソフトウェア更新を展開するターゲットのコレクションの作成方法は、手動での作成に加えて、ネットワーク境界を利用した作成や、WMIクエリを利用した作成等も可能なため、WSUSに比べて非常に柔軟に作成とメンテナンスを行うことが可能。 - SCCMではコレクション毎に「メンテナンス期間」や「再起動までの待ち時間」等を設定可能なため、コレクション作成の柔軟性と合わせて、適用タイミングのコントロールがWSUSに比べて柔軟に行える。 - SCCMではMicrosoft Updateから利用できないベンダー提供の更新プログラム(例えばHPサーバーのドライバー等)を管理することが可能です。これはSystem Center Updates Publisher2011を利用して実現される。 - NAPと連携し、SCCMが検疫後の更新サーバーとして機能できる。(参考: [Windows Server 2012でのDHCPを利用したNAPの構築方法 part3 SCCM(WSUS)連携 | Windowsインフラ管理者への道](http://ebi.dyndns.biz/windowsadmin/2013/05/09/windows-server-2012%e3%81%a7%e3%81%aedhcp%e3%82%92%e5%88%a9%e7%94%a8%e3%81%97%e3%81%9fnap%e3%81%ae%e6%a7%8b%e7%af%89%e6%96%b9%e6%b3%95-part3-sccmwsus%e9%80%a3%e6%90%ba/)) - SCCMの更新の配布ステータスをWSUSよりも細かく確認することが可能。例えばダウンロードが完了し、メンテナンス期間を待っている…という状態も認識できる。 - SCCMは更新プログラムの導入状況を表示するレポートが製品の規定の状態で30種類以上用意されており(インストール作業自体は必要)、細かくレポーティングが可能。 - SCCMはWake On LANに対応し、停止している端末を起動させてからの更新プログラム適用までコントロール可能。 - SCCMはクライアントのネットワーク状況に応じてダウンロード元を選択できたり、再起動をするしないを選択できたり、ユーザーの通知を展開毎に設定できたりなど展開機能がSCCMの機能を使っている事によりWSUSよりも細かいコントロールが可能。 - SCCMでは管理者は置き換えられた更新プログラムをすぐに期限切れにするのか、指定した期間が過ぎるまで期限切れにしないのかを選択できる。 - SCCMでは管理ロールにもとづいて管理が行える。例えばある管理者が管理権限を持つコレクションに対してのみソフトウェア更新を実行可能とする…というような事ができる。 参考ドキュメント - [Configuration Manager [2012] のソフトウェア更新プログラム](http://technet.microsoft.com/ja-jp/library/gg682068.aspx) やはり細かいことをしたければSCCMでないと対応出来ないことが多数ありますね。
先日WSUSに関しての勉強メモを書いた所思ったより反応ありましたので、本日は続編的にWSUSとSCCMの関係について調べてわかったことをまとめてみました。あくまでも私の現状の理解ではありますが、間違ったことは書いていないと思います。もちろんSCCMは膨大な機能がある有償の製品であり、WSUSはソフトウェア更新の機能のみを持つ無償製品なので、この比較はあくまでもソフトウェア更新の部分のみでの比較です。 SCCMの話ですので、このブログではなく、System Center Blogの方に書きましたので以下をご覧いただければと思います。 - [WSUSとSCCMの関係と機能的差異 | System Center Blog](http://ebi.dyndns.biz/systemcenter/2014/05/08/wsus%e3%81%a8sccm%e3%81%ae%e9%96%a2%e4%bf%82%e3%81%a8%e6%a9%9f%e8%83%bd%e7%9a%84%e5%b7%ae%e7%95%b0/)
SCOMにWSUSのビューを追加する方法が紹介されています。SCOMのカスタマイズは何でもかんでも管理パックで面白いですね。 - [Extending the Windows Server Update Services (WSUS) 3.0 management pack (#SCOM)](http://www.systemcentercentral.com/extending-the-windows-server-update-services-wsus-3-0-management-pack-scom/)
SystemCenter関連の記事は以下のブログに移行しました。 - [System Center Blog](http://ebi.dyndns.biz/systemcenter/) この記事は以下の記事に移行しました。 - [SCOMにWSUSのビューを追加する方法 | System Center Blog](http://ebi.dyndns.biz/systemcenter/2013/06/25/scom%E3%81%ABwsus%E3%81%AE%E3%83%93%E3%83%A5%E3%83%BC%E3%82%92%E8%BF%BD%E5%8A%A0%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95/)
このエントリはシリーズになっています。他のエントリも合わせて参照してください。 - [Windows Server 2012でのDHCPを利用したNAPの構築方法 part1 | WindowsServer管理者への道](https://windowsadmin.ebisuda.net/2013/04/26/windows-server-2012%e3%81%a7%e3%81%aedhcp%e3%82%92%e5%88%a9%e7%94%a8%e3%81%97%e3%81%9fnap%e3%81%ae%e6%a7%8b%e7%af%89%e6%96%b9%e6%b3%95-part1/) - [Windows Server 2012でのDHCPを利用したNAPの構築方法 part2 | WindowsServer管理者への道](https://windowsadmin.ebisuda.net/2013/05/07/windows-server-2012%e3%81%a7%e3%81%aedhcp%e3%82%92%e5%88%a9%e7%94%a8%e3%81%97%e3%81%9fnap%e3%81%ae%e6%a7%8b%e7%af%89%e6%96%b9%e6%b3%95-part2/) - [Windows Server 2012でのDHCPを利用したNAPの構築方法 part3 SCCM(WSUS)連携 | WindowsServer管理者への道](https://windowsadmin.ebisuda.net/2013/05/09/windows-server-2012%e3%81%a7%e3%81%aedhcp%e3%82%92%e5%88%a9%e7%94%a8%e3%81%97%e3%81%9fnap%e3%81%ae%e6%a7%8b%e7%af%89%e6%96%b9%e6%b3%95-part3-sccmwsus%e9%80%a3%e6%90%ba/) 前回はDHCPを利用したNAP環境を構築しました。今回はセキュリティ更新プログラムの更新の動作をSCCM上のWSUSと連携させて行なってみました。実際にはソフトウェア更新部分にはSCCMサーバーを利用しており、大部分はWSUSでも同じです。途中うまく行かず試行錯誤しておりますが、そのまま記録しておきました。 前提条件は以下です。 ・SCCMが構成されていること ・SCCMでソフトウェア更新ポイントが構成されていること ・クライアントにSCCMクライアントがインストールされている(されるように構成されている)こと まずNPSサーバー上でのポリシーの設定を行います。 重要及びそれ以上の更新プログラムが存在しており、インストールされていない場合には検疫されるように設定しました。 設定後にクライアント側でどのように認識されているのかはnetshコマンドで確認できます。 netsh nap client show state クライアントの状態: 名前 = Network Access Protection Client 説明 = Microsoft Network Access Protection Client プロトコルのバージョン = 1.0 状態 = 有効 制限の状態 = 制限なし トラブルシューティングの URL 制限の開始時刻 = 拡張状態 = グループ ポリシー = 構成済み 強制クライアントの状態: ID = 79617 名前 = DHCP 検疫強制クライアント 説明 = DHCP ベースの強制を NAP に提供します。 バージョン = 1.0 ベンダー名 = Microsoft Corporation 登録日 = 初期化済み = はい ID = 79619 名前 = IPsec 証明書利用者 説明 = IPsec ベースの強制をネットワーク アクセス保護に提供します。 バージョン = 1.0 ベンダー名 = Microsoft Corporation 登録日 = 初期化済み = いいえ ID = 79621 名前 = RD ゲートウェイ検疫強制クライアント 説明 = NAP 用に RD ゲートウェイを強制します バージョン = 1.0 ベンダー名 = Microsoft Corporation 登録日 = 初期化済み = いいえ ID = 79623 名前 = EAP 検疫強制クライアント 説明 = ネットワーク アクセス保護の強制を 802.1X や VPN テクノロジで使用される EAP 認証ネットワーク接続に提供します。 バージョン = 1.0 ベンダー名 = Microsoft Corporation 登録日 = 初期化済み = いいえ System Health Agent (SHA) の状態: ID = 79744 名前 = Windows セキュリティ正常性エージェント 説明 = Windows セキュリティ正常性エージェントは、コンピューターのセキュリティ設定を監視します。 バージョン = 1.0 ベンダー名 = Microsoft Corporation 登録日 = 初期化済み = はい エラーのカテゴリ = なし 修復の状態 = 成功 修復の割合 = 0 修正のメッセージ = (3237937214) - Windows セキュリティ正常性エージェントは、このコンピューターのセキュリティ状態の更新を終了しました。 確認の結果 = (0x00000000) - (0x00000000) - (0x00000000) - (0x00000000) - (0x00000000) - (0x00000000) - (0x00000000) - (0x00000000) - 修復の結果 = OK ...
SCCM 2012 SP1の更新プログラム周りの機能を評価ガイドにそって試してみています。 - 公式のダウンロード センターから System Center 2012 Configuration Manager 評価ガイド - ソフトウェア更新プログラムの展開編 をダウンロード http://www.microsoft.com/ja-jp/download/details.aspx?id=36835 評価ガイドはSP1ではなくRTM版を元にしていますが、この領域に関しては特に違いは無いように今のところ見えています。が、1つうまくいかないところが出て来ました。評価ガイドの通りに進めていくと更新プログラムのダウンロードに失敗してしまいます。 評価ガイドには以下の記述があります。 [フォルダーの選択] 画面が開きます。ここでは、パッケージ ソースを配置する共有フォルダーを指定します。 今回は、[\SC12-CM01UpdateServicesPackages] 共有フォルダーを開き、ツールバーの [新しいフォルダー] をクリックし、 [セキュリティ問題の修正プログラム-2012年10月] フォルダーを新規作成します。続いて、作成したフォルダーを選択して、 [フォルダーの選択] をクリックします。 UpdateServicesPackages共有は手順に沿って進めていくと自動的に生成される共有なのですが、アクセス権が無く、書き込みに失敗している模様です。 評価ガイドではセキュリティ更新プログラムを「展開」しているのですが、「ダウンロード」のみを実行しても以下の様に失敗します。 アクセス権の問題であることを確認するために共有およびNTFSのアクセス権をすべてEveryoneフルコントロールに設定した場所を展開パッケージとして選択すると問題無く成功します。 UpdateServicesPackagesの設定は以下の様になっています。 見たところ、きちんと必要なアクセス権が付けられているように見えますが・・・。 しかし、エクスプローラーで普通にアクセスをしてもフォルダ作成ができません。操作アカウントはAdministratorsグループに所属しています。 うーん…と唸ってしまったのですが、アクセス拒否といえば…ということでSCCMの管理コンソールを[管理者として実行]しました。するときちんと成功しました。 以前にもなぜか管理者として実行(=UACを無効)するとうまくいくケースが複数ありました。今回もです。UACが影響していることは、再度管理者として実行せずに起動しなおすと再度拒否されたので間違いありません。 - System Center OrchestratorでOrchestrator Run Program Serviceがインストールできず、プログラムの実行が行えない問題 | WindowsServer管理者への道 http://ebi.dyndns.biz/windowsadmin/2013/03/11/system-center-orchestrator%e3%81%a7orchestrator-run-program-service%e3%81%8c%e3%82%a4%e3%83%b3%e3%82%b9%e3%83%88%e3%83%bc%e3%83%ab%e3%81%a7%e3%81%8d%e3%81%9a%e3%80%81%e3%83%97%e3%83%ad%e3%82%b0/ - Management Studioでローカルサーバーにのみログオンできない | WindowsServer管理者への道 http://ebi.dyndns.biz/windowsadmin/2013/03/08/management-studio%e3%81%a7%e3%83%ad%e3%83%bc%e3%82%ab%e3%83%ab%e3%82%b5%e3%83%bc%e3%83%90%e3%83%bc%e3%81%ab%e3%81%ae%e3%81%bf%e3%83%ad%e3%82%b0%e3%82%aa%e3%83%b3%e3%81%a7%e3%81%8d%e3%81%aa%e3%81%84/ 今回もなぜなのかがよくわかっておりません。私のUACに対する理解にどこか誤解があるようです。どなたか理由がわかる方がいましたら教えてもらえると助かります。 とりあえず今回の事で以下のことがわかりました。 - ダウンロードの操作はコンソールの実行コンテキストで行われる。 - 保存先にきちんとフォルダ、ファイルが生成できる権限を持っている必要がある。
SystemCenter関連の記事は以下のブログに移行しました。 - [System Center Blog](http://ebi.dyndns.biz/systemcenter/) この記事は以下の記事に移行しました。 - [System Center Configuration Manager 2012 SP1で更新プログラムのダウンロードに失敗する。 | System Center Blog](http://ebi.dyndns.biz/systemcenter/2013/04/08/system-center-configuration-manager-2012-sp1%E3%81%A7%E6%9B%B4%E6%96%B0%E3%83%97%E3%83%AD%E3%82%B0%E3%83%A9%E3%83%A0%E3%81%AE%E3%83%80%E3%82%A6%E3%83%B3%E3%83%AD%E3%83%BC%E3%83%89%E3%81%AB%E5%A4%B1/)
SCCM 2012 SP1とWSUSの連携を行いました。OSはWindows Server 2012で、同一ホスト上のSQL Server 2012を使用する構成です。いくつか誤解していたところがあり連携できるように構成するのに苦労してしまいましたので記録しておきます。 まずはじめに、WSUSをインストールしておく必要があります。この時に、データベースエンジンとしてはSQL Serverを利用するのでWID Databaseは導入してはいけないのですが、「データベース」は導入しておく必要があります。これをよく理解しておらずうまく動いていませんでした。以下のような流れになります。 WSUSインストール このあと、どこにデータベースを作成するのかという選択が出ますので、そこでlocalhostを指すことになります。 WSUS インストール後のタスク ここまででインストールはできていますが、SCCMで管理する前に、WSUSの初期設定のみ実施しておく必要があります。 これでWSUSの準備はOKです。 このまま進めると以下のようにWSUS側の設定ウィザードが走りますが、WSUS側では何も設定してはいけないのでキャンセルします。 SCCMへのソフトウェアの更新ポイントの役割の追加 WSUS側の準備ができたらSCCMにソフトウェアの更新ポイントの役割を追加します。 あとはウィザードを進めればいいのですが、1つ注意があります。WSUSのWebサイトが使用しているポートの設定です。 WSUSとSCCMを同時にインストールしている場合、WSUSのサイトは8530, 8531で動作しているはずなので、そちらを選択する必要があります。この設定を間違った場合うまく連携できません。この場合にはウィザード完了後、手動で確認、変更の必要があります。 まず、WSUSのサイトが使っているポート番号をIISマネージャーで確認します。 上記のポート番号をSCCM側に教えてあげます。 ここまでやればきちんとSCCMとWSUSの連携が行われます。 WSUSの構成が終わっていない、WSUSのポート番号をきちんと設定していない環境ではSCCMがWSUSを見つけることができず以下のようなエラーが多数記録されます。 WSUSと連携後の実際のソフトウェア更新の配布等はこれから検証していく予定です。
SystemCenter関連の記事は以下のブログに移行しました。 - [System Center Blog](http://ebi.dyndns.biz/systemcenter/) この記事は以下の記事に移行しました。 - [SystemCenter Configuration Manager 2012 SP1とWindows Server 2012上のWSUSとの連携の構成 | System Center Blog](http://ebi.dyndns.biz/systemcenter/2013/04/07/systemcenter-configuration-manager-2012-sp1%E3%81%A8windows-server-2012%E4%B8%8A%E3%81%AEwsus%E3%81%A8%E3%81%AE%E9%80%A3%E6%90%BA%E3%81%AE%E6%A7%8B%E6%88%90/)