夜間にセキュリティパッチを適用する運用では、Microsoft社から公開されたセキュリティパッチを、夜間にCTに適用するので、日中の業務を中断することはありません。
セキュリティパッチを適用するCTの電源を入れておく必要があります。電源を切ってしまうと、セキュリティパッチを適用できません。
以下の運用方法などで対応してください。
業務終了後も電源を入れたままにしておく。
Wake on LAN機能(注)を使用してPCの電源を投入する。
注)Wake on LAN機能は、PC本体が対応している必要があります。PC本体の対応状況については、PC本体のマニュアルを参照してください。
運用のイメージ
夜間にセキュリティパッチを適用する運用のイメージ図を以下に示します。
記号 | 記号の意味 |
| Windowsの起動と終了です。 ◆━がWindowsの起動で、 ━◆がWindowsの終了です。 |
| セキュリティパッチの適用を行います。 |
| セキュリティパッチの適用完了後にインベントリ情報の収集を行います。 Windowsの再起動が必要なセキュリティパッチを適用した場合は、Windowsの再起動後にインベントリ情報の収集を行います。 |
夜間にセキュリティパッチを適用する運用では、ポリシーを確認する間隔(初期値:180分)で、CTに適用するセキュリティパッチがあるか確認します。
適用するセキュリティパッチがある場合
適用を確認する画面は表示されずにセキュリティパッチの適用が開始されます。また、再起動が必要なセキュリティパッチを適用した場合は、自動的に再起動されます。
適用するセキュリティパッチがない場合
セキュリティパッチの適用は行われません。
設定のポイント
夜間にセキュリティパッチを適用する運用を行うためには、メインメニューの[環境設定]で動作設定が必要です。
なお、セキュリティパッチの適用を行うために必要な設定は、“6.2 設定”を参照して動作設定を行っておいてください。ここではポイントとなるクライアントの設定を説明します。
Wake on LANやスリープ・休止状態からの復帰する場合の設定
外部から自動的にPCの電源を投入させるには、事前に以下のPCの設定が必要になる場合があります。設定方法については、PC本体のマニュアル等を参照してください。
マザーボードのBIOS設定で、Wake on LANを有効にする
ネットワークアダプターの設定で Wake on LAN や Magic Packetの値を有効にする
Windowsのバージョン、ドライバやドライバのバージョンにより設定方法や用語が異なる場合があります。PCやドライバのマニュアル等を参照してください。
複数のネットワークカードを搭載しているPCでは、それぞれのネットワークカードに上記の設定をしてください。Wake on LANを有効にしない場合は設定不要です。
同一セグメントであってもネットワーク構成により、ネットワーク機器(スイッチやHUBなど)に設定が必要となる場合があります。
PCがスリープ・休止状態から復帰するためには、Windowsの電源オプションの設定が必要です。
PCの[電源オプション]のプロパティを開きます。
[スリープ]-[スリープ解除タイマーの許可]を選択します。
[電源に接続]の設定を[有効]にしてください。
また、ノートPCでバッテリ駆動中にスリープ・休止状態から復帰させる運用は、バッテリ消費を早めるためお勧めしません。
[バッテリ駆動]の設定を[無効]にすることをお勧めします。
電源オプションの設定画面・用語は、Windowsのバージョンにより異なる場合があります。
Wake on LANやスリープ・休止状態からの復帰する際の制限事項
以下の環境では、Wake on LAN機能を使用したPCの電源投入はできません。
無線LANのみ使用しているPC
IPv6のみで運用されているシステム環境
同一セグメントが複数設置されたシステム構成で[電源ON]の機能を使用する場合は、同一セグメント内に1つ以上のCS/DS/CTが常時起動されている状態にしてください。
常時起動されているCS/DS/CTからWake on LAN機能を使用して、同一セグメント内のPCに対して電源を投入します。
常時起動しているPCに書き込み保護が「有効」なPC(FUTRO端末など)は使用できません。
PCに複数のネットワークカードが搭載されている場合(別々のセグメント)、当PCから所属しているセグメントに対して Wake on LAN機能によってPCの電源を投入します。
PC起動時のBIOSのパスワード入力を設定している場合、Wake on LAN機能でPCの電源を投入するとBIOSのパスワード入力画面で停止します。また、スリープ・休止状態から復帰した場合、パッチ適用後の再起動でBIOSのパスワード入力画面で停止します。
休止状態から復帰時のBIOSのパスワード入力を設定している場合、休止状態から復帰した際にBIOSのパスワード入力画面で停止します。
Windows 10およびWindows 11で高速スタートアップ機能が有効な場合、PCの機種によって以下の動作をすることがあります。
シャットダウンの状態から、Wake on LAN機能でPCが起動しない。
シャットダウンの状態から、Wake on LAN機能でPCが起動しても、Systemwalker Desktop Patrolがスリープ・休止状態から復帰と判断して、電源投入した後、シャットダウンせずにスリープ・休止状態になる。
シャットダウンした状態にも関わらず、スリープ・休止状態から復帰する。そのため、電源投入した後にシャットダウンせず、スリープ・休止状態になる。
クライアントの設定
[環境設定]-[ポリシーグループ管理]-[各種ポリシーのカスタマイズ]-[基本動作ポリシー]タブ-[パッチ適用]タブの設定は以下のとおりです。
設定が必須となる項目を以下に示します。任意の項目については運用に合わせて設定してください。
設定項目 | 設定値 | 必須/任意 |
|---|---|---|
[セキュリティパッチを自動的に適用] | 電源が入っている場合に定期的に適用する | 必須 |
[指定した時間帯に限り適用する] | チェックする | 必須(注1) |
[電源ON] | チェックする 適用する時間に電源が入っていない場合、電源をONにします。 | 任意(注2) |
[曜日] | チェックする 電源をONする曜日を設定します。 必ず1つ選択してください。 | 任意(注3) |
[セキュリティパッチ適用後、電源状態を電源ON前に戻す] | チェックする(注5) パッチ適用前の状態に戻します。 | 任意(注3) |
[パッチ適用後メッセージを表示しない場合、自動的に再起動] | する | 必須(注4) |
[適用するセキュリティパッチが存在する際にメッセージの表示] | しない | 必須 |
[適用処理中のメッセージの表示] | しない | 必須 |
[適用完了後のメッセージの表示] | しない | 必須 |
[適用リトライを超えた場合のエラーメッセージの表示] | しない | 必須 |
注1)指定する時間帯の間隔は、必ず、ポリシーを確認する間隔(初期値:180分)よりも長くしてください。
ポリシーを確認する間隔よりも短い場合は、パッチ適用できない場合があります。
ポリシーを確認する間隔は、[環境設定]-[ポリシーグループ管理]-[各種ポリシーのカスタマイズ]-[基本動作ポリシー]タブ-[共通設定]タブで設定されています。
注2)[電源が入っている場合に定期的に適用する]かつ[指定した時間帯に限り適用する]をチェックした場合のみ選択できます。
注3)[電源ON]をチェックした場合のみ選択できます。
注4)OSの再起動が必要なセキュリティパッチは、適用後に再起動を行わないと適用完了しません。このため、あとに適用すべきセキュリティパッチが残っていても、次のセキュリティパッチは適用されません。
注5)[セキュリティパッチ適用後、電源状態を電源ON前に戻す]をチェックする場合、以下の注意事項があります。
[指定した時間帯に限り適用する]チェック時に指定する開始時間と終了時間は、利用者がPCを使用しない夜間の時間帯であることを確認してください。
[指定した時間帯に限り適用する]チェック時に指定した開始時間と終了時間の時間内に利用者がPCを起動または復帰すると、未適用のセキュリティパッチが存在する場合は、すぐに適用処理が実行され、セキュリティパッチ適用後にシャットダウンまたはスリープ状態に戻ります。適用するセキュリティパッチが存在しない場合は、PCを起動または復帰後すぐにシャットダウンまたはスリープ状態に戻ります。
クライアントの動作
[電源ON]にチェックした場合、PCの状態を判断してパッチ適用、PC再起動、電源OFFを行います。
PCの状態 | 未適用パッチ | CTの動作 |
|---|---|---|
電源OFF(注1) | あり | Wake on LAN機能によりPCを起動し、パッチ適用を適用します。 パッチを適用するタイミングは、「ポリシーを確認する間隔」で設定した時間内(初期値:180分)で乱数を使用して分散します。 |
なし | Wake on LAN機能によりPCを起動し、未適用のパッチがないため適用しません。 | |
スリープ・休止状態 | あり | PCをスリープから復帰させ、パッチを適用します。 |
なし | PCをスリープから復帰させ、未適用のパッチがないため適用しません。 | |
電源ON | あり | 電源制御はせず、既存のパッチ適用の動作となります。 |
なし | 電源制御およびパッチ適用を行いません。 |
注1)Wake on LAN機能により起動対象となるPCは、物理マシンです。仮想環境のゲストOSは起動対象外となります。メインメニューのポリシーグループで起動対象に設定しても起動されません。
注意
PCの時刻がずれていると、ポリシーグループに設定した時間とは異なる時間に同一セグメントにある他のPCを起動することがあります。PCの時刻はNTPサーバ等を使用して定期的に合わせるようにしてください。
ネットワーク構成のアドレスクラスであるクラスCのみサポートします。クラスAとクラスBはサポート対象外です。
書き込み保護が「有効」なPCを電源投入の対象とした場合、[セキュリティパッチ適用後、電源状態を電源ON前に戻す]にチェックを付けていても、セキュリティパッチ適用後に電源OFF状態になりません。セキュリティパッチ適用後はPCのスリープ・休止の設定に従います。
ポイント
[電源ON]にチェックした場合、パッチ適用を完了させるために、PCをシャットダウンまたは、Windowsのログオフ状態にしておくことをお勧めします。
[セキュリティパッチ適用後、電源状態を電源ON前に戻す]と[適用完了後のメッセージの表示]の[カウントダウンを開始し、応答がない場合は再起動を行う]の両方にチェックし、パッチ適用画面を表示した場合、[カウントダウンを開始し、応答がない場合は再起動を行う]の設定値が優先されます。
