Windows OSのパッチはWSUSと連携して管理します。全体の流れを以下に示します。
図1.1 Windows OSのパッチ管理の概要
パッチの取得【WSUSでの処理】
WSUSの機能を使用して、Microsoft Updateサイトと同期し、最新のパッチ情報を取得します。
インフラ管理者へのメール通知【WSUSでの処理】
WSUSのメール通知機能を設定することにより、WSUSからインフラ管理者に、新規パッチの同期メッセージがメール通知されます。
新着パッチの承認【インフラ管理者の作業】
インフラ管理者は、WSUSで新着パッチの承認処理を実施します。
パッチ情報取得【Systemwalker Software Configuration Managerでの処理】
Systemwalker Software Configuration ManagerがWSUSから新着パッチ情報およびWSUSでの管理情報を取り出してCMDBに格納します。
パッチ情報の取得は自動または手動(コマンド)で実施します。
新規パッチの適用依頼通知【Systemwalker Software Configuration Managerでの処理】
新規パッチがWSUSで承認されると、各テナント利用者と各テナント管理者に対して、新規パッチの適用依頼のメールが自動で送信されます。
パッチ適用の実行【インフラ管理者/テナント利用者/テナント管理者の作業】
テナント利用者またはテナント管理者は、管理コンソールにログインして新規パッチを適用します。
インフラ管理者は、管理サーバ上のコマンドで、パッチ適用を実行できます。
ポイント
バッチの配付はWSUSによって行われます。パッチ適用が完了すると適用情報がWSUSに送信されます。
管理コンソールに新規パッチが表示されていても、WSUSのスケジュール設定によっては業務サーバに新規パッチが通知/ダウンロードされていない場合があります。WSUSのスケジュール設定を確認してください。
実行状況の確認【インフラ管理者/テナント管理者/テナント利用者の作業】
パッチ適用の状況を管理コンソール、または管理サーバ上のコマンドで確認します。
パッチ適用情報取得【Systemwalker Software Configuration Managerでの処理】
Systemwalker Software Configuration ManagerがWSUSからパッチ適用情報を取り出してCMDBに格納します。
パッチ適用状況の参照
インフラ管理者、テナント利用者、およびテナント管理者は、管理コンソールにログインしてパッチ適用状況を確認します。また、インフラ管理者は、管理サーバ上のコマンドで、パッチ適用状況を確認できます。
それぞれの役割ごとに運用操作の流れを説明します。
作業の流れ | 本製品を利用する人 | マニュアル該当箇所 | ||||
|---|---|---|---|---|---|---|
インフラ管理者 | 兼任管理者 | テナント管理者 | テナント利用者 | |||
1 | パッチの取得 | ○ | ○ | - | - | WSUSのマニュアルを参照してください。 |
2 | インフラ管理者へのメール通知 | - | - | - | - | WSUSのマニュアルを参照してください。 |
3 | 新着のパッチの承認 | ○ | ○ | - | - | WSUSのマニュアルを参照してください。 |
4 | パッチ情報取得 | ○ | ○ | - | - | 『リファレンスガイド』の「パッチ情報更新コマンド」 |
5 | 新規パッチ適用依頼通知 | - | - | - | - | 新規パッチ取得時に自動でメールが送信されます。 送信に失敗した場合は、『リファレンスガイド』の「メール再送信コマンド」でインフラ管理者または兼任管理者が再送信してください。 |
6 | パッチ適用の実行 | ○(注1) | ○ | ○(注2) | ○(注2) | 『操作ガイド』「パッチ管理」の「パッチ適用ウィザード」 『リファレンスガイド』の「パッチ適用コマンド」 |
7 | 実行状況の確認 | ○ | ○ | ○(注2) | ○(注2) | 『操作ガイド』の「ジョブ管理」 『リファレンスガイド』の「ジョブ管理コマンド』 |
8 | パッチ適用情報取得 | ○ | ○ | - | - | 『リファレンスガイド』の「パッチ情報更新コマンド」 |
9 | パッチ適用状況参照 | ○ | ○ | ○(注2) | ○(注2) | 『操作ガイド』の「パッチ管理」 『リファレンスガイド』の「パッチ情報出力コマンド」 |
○:作業を実施する
-:作業を実施しない
注1) コマンドのみ実行できます。
注2) 管理コンソールのみ操作できます。
注意
WSUS連携時の注意事項
業務サーバでWSUS連携の設定をした直後
パッチ管理を行う場合は、WSUSの管理するコンピュータとしてパッチ管理を行う対象の業務サーバを登録します。WSUSは業務サーバからソフトウェア構成情報の通知があってはじめて管理することが出来ます。WSUSに業務サーバの情報が通知される前にディスカバリを行うと、まだ、WSUS上に業務サーバの情報が登録されていないため、その業務サーバの情報は採取できません。WSUSのコンソール画面の「すべてのコンピュータ」で、該当の業務サーバが一覧に表示され、かつ、「前回の状態レポート」に時間が表示されていれば、業務サーバのソフトウェア構成情報がWSUSに通知完了しています。業務サーバのソフトウェア構成情報がWSUSに通知されてからディスカバリを行ってください。ディスカバリは、swcfmg_patch_updateinfoコマンドを実行してください。
なお、本コマンドを実行しなかった場合は、定期ディスカバリのタイミングで、ディスカバリが実行されます。
例)
swcfmg_patch_updateinfo.exe -repository |
WSUSの管理するコンピュータとして業務サーバを追加、または削除した場合
WSUSの管理するコンピュータとして、新たに業務サーバを追加、または削除した場合、また、すでにWSUSの管理下にある業務サーバを、別のWSUSの管理下に移行した場合は、WSUS運用環境の変更が完了し、WSUSに業務サーバのソフトウェア構成情報が通知されてからディスカバリを行ってください。(WSUSのコンソール画面の「すべてのコンピュータ」で、該当の業務サーバが一覧に表示され、かつ、「前回の状態レポート」に時間が表示されていれば、業務サーバのソフトウェア構成情報がWSUSに通知完了しています。)ディスカバリは、swcfmg_patch_updateinfoコマンドを実行してください。
なお、本コマンドを実行しなかった場合は、定期ディスカバリのタイミングで、ディスカバリが実行されます。
例)
swcfmg_patch_updateinfo.exe -repository |
WSUSのクリーンアップを行った場合
WSUSのディスクが枯渇した場合に、WSUSのサーバクリーンアップで、WSUSが管理している古いパッチ、およびパッチ情報を削除します。サーバクリーンアップを行った場合は、swcfmg_patch_updateinfoコマンドを-cleanupオプション付きで実行してください。
例)
swcfmg_patch_updateinfo.exe -repository -cleanup |
