• Windows Server のバックアップ まとめ

    Posted over 3 years ago
    by infrajp}

    この度の東北地方太平洋沖地震により、亡くなられた方々のご冥福をお祈り申し上げますとともに、被災された皆様、ご家族、ご親戚、ご友人の方々に対しまして、心よりお見舞い申し上げます。   

     

    先日、マイクロソフトより公開したサーバー製品の対応関連情報ですが、ご覧いただけましたでしょうか?

    マイクロソフト製品群のバックアップ、障害対応および節電に関する情報
    http://technet.microsoft.com/ja-jp/gg703325

    既存資料を流用したため、まだ冗長な情報が多いかと思います。

    ここではWindows Server のバックアップを取得する方法、特に計画停電により、サーバーが突然停止し、その後の起動でシステムが起動できなくなるケースを想定し、特にシステムディスクの回復を目的とした内容をまとめました。

    本手順はハードウェア環境、周辺機器、バックアップ先のストレージやインストールされているソフトウェアによって異なる場合があります。あらかじめご了承ください。また、実際にバックアップソフトウェアの導入、バックアップ設定、リストアの際には導入、構築前に事前テストを実施いただきますようお願いします。

    本ページの内容

    バックアップの種類
      NTBackup
      Windows Server Backup
      System Center Data Protection Manager(DPM)
      バックアップ製品の比較

    NTBackupによるバックアップと復元
      NTBackup ASRステップバイステップ
      ASRによるバックアップ手順
      ASRによる復元

    Windows Server Backupによるバックアップと復元
      Windows Server バックアップ設定方法
      Windows Server バックアップのリカバリ手順

    System Center Data Protection Manager 2010 (DPM)を利用したバックアップと復元
      DPMの起動
      DPMによる回復

    参考資料

     

    バックアップの種類

    NTBackup

    Windows NT, Windows 2000 Server, Windows Server 2003 の標準バックアップツールです。テープあるいはファイル(bkfファイル)への保管が特徴です。

    (本資料ではサポート期間が終了したWindows NT, Windows 2000のNTBackupには触れません。)

     Windows Server Backup

    NTBackupに代わり、Windows Server 2008 以降、標準バックアップツールとなりました。テープやファイルへではなく、バックアップ専用ディスクへの保管が特徴です。NTBackupのデータと互換性はありません。(別途、WebサイトからNTBackupツールをインストールしてリストアすることは可能です)

    System Center Data Protection Manager(DPM) 

    マイクロソフトのシステム管理製品である System Centerシリーズのバックアップ専用製品です。上記の標準バックアップ機能は個々のサーバーのローカルに保存するのがメイン機能ですが、DPMはDPM管理サーバーへの集中バックアップが特徴です

    他にもサードベンダー製バックアップソフトウェアを利用されている場合は開発元へお問い合わせください。

    バックアップ製品の比較

    以下に簡単に比較をしました。

     

     

     

    DPMはすでに個別のサーバーにライセンスをお持ちであるか、Server Management Suite(SMSE, SMSD)といったスイート製品をお持ちの方は利用する権利があります。ライセンスはバックアップ対象のサーバーごと(仮想サーバー含む)に必要ですのでご注意ください。

    または、評価目的として180日間利用できる評価版を以下のサイトからダウンロードすることも可能です。

    Microsoft System Center Data Protection Manager 2010 を今すぐダウンロードする
    http://technet.microsoft.com/ja-jp/evalcenter/bb727240.aspx

     

     

    NTBackup によるバックアップと復元

    NTBackupにはGUI および CUI(コマンドレベル) で利用可能なほか、GUI ではウィザードモードと詳細モードが利用可能です(既定はウィザードモード)

     

     

    バックアップには通常バックアップのほか、増分、差分バックアップもあります。まずは通常バックアップでシステム全体のバックアップを取得後、バックアップ容量を抑えるための増分、あるいは差分バックアップを検討してください。

     

     

     

    バックアップ対象には通常のディスクのほか、「システム状態」を選択することができます。最初はこのデータも合わせてバックアップしてください。

     

     

    NTBackup ASR ステップバイステップ

    以下からNTBackupによるバックアップ取得を見ていきます。記事の都合上、一部省略している個所がありますが、実際の手順については実機にてご確認ください。

    今回は個別のファイルではなく、システムおよびサーバー全体の復元を目的としたASRによる手順を記載します。

     

    ASRの特徴は以下の通りです。

    • OS だけでなく、サービス パックや設定などの復元を自動化
    • バックアップ ユーティリティにある [自動システム回復の準備ウィザード] からバックアップの部分にアクセスできる。[自動システム回復の準備ウィザード] では、システムの状態、システムのサービス、およびオペレーティング システムのコンポーネントと関連するすべてのディスクをバックアップする
    • シャドウ コピーを使用してバックアップを作成

     

    ASRによるバックアップの注意点は以下の通りです。

    • オペレーティング システムに変更を加えるとき、たとえば、新しいハードウェアやドライバをインストールしたり、Service Pack を導入したりするたびに、自動システム回復 (ASR) バックアップ セットを常に作成する。ASR バックアップ セットを使用すると、システム障害から容易に回復可能。また、同時にすべてのデータ ボリュームのバックアップを作成すること。ASR はシステムだけを保護するため、データ ボリュームは個別にバックアップする必要がある
    • ウィザードモードで、[このコンピュータにある情報すべて] を使用することでも、ASR フロッピー ディスクと ASR セットを作成可能
    • ASR は、FAT16 ボリュームを 2.1 GB までサポートする。システムに 4-GB FAT16 パーティションが含まれる場合、ASR を使用する前に FAT16 から NTFS への変換を行うこと
    • システム設定を保存する空の 1.44 MB のフロッピー ディスク 1 枚とバックアップ ファイルを保存するメディアを準備する

     

    バックアップ先のメディアは特殊なドライバが必要な場合、事前にドライバを入れないと認識しない場合がありますので、IDEやUSBなどの一般的なディスクに保存した方が良いでしょう。

     

    ASR によるバックアップ手順

    以下にバックアップ手順を見ていきましょう。

     

     

    バックアップを起動します。詳細モードでファイルやフォルダを指定することも可能ですが、今回は簡単なウィザードモードで開始します。

     

     「ファイルと設定のバックアップを作成する」を指定します。

     

     個々に「項目を指定する」ことも可能ですが、一番初めのバックアップは「このコンピュータにある情報すべて」を指定して、必要な情報はすべてバックアップしてください。

     

     

    バックアップ取得先のフォルダ、ファイルを指定します。

     

     

    以上でウィザードは完了です。バックアップが実施されます。

    この後、フォーマット済みのフロッピーディスクが要求されますので用意しておいてください。

     

     

    バックアップの進行状況が表示されます。

     

     

    バックアップが完了すると、空のフロッピー ディスクを要求されるので、挿入後[OK]をクリックすします。これはASRディスクとして使用され、現在のシステムの状態やドライバ情報などが記録されます。

     

    ASR による復元

    前項で取得したバックアップのリストア手順です。
    基本的にシステムディスクをフォーマット後、丸ごと回復するため、元のシステムディスク、データディスクのデータは削除されますのでご注意ください。

     

    Windows Server 2003のインストールCD-ROMをセットし起動します。

    Windows Setup画面が表示され、画面最下部に「Press F2 to run Automated System Recovery (ASR)...」と表示されたら[F2]を押します。

     

     

     ASR バックアップで作成したフロッピー ディスクを挿入しキーを押します

     

     

    パーティションの再構成、フォーマットが完了すると、1回再起動を行った後、自動システム回復ウィザードが開始されます。

     

     

     リストアするためのバックアップ ファイルのパスを指定します

     

     ウィザードが完了し、その後リストア処理が開始されます

     

     

    リストア作業が終了すると、自動的に再起動され、バックアップした情報が復旧されます

     

     

     

    Windows Server バックアップによるバックアップと復元

    次はWindows Server 2008 / 2008 R2 の標準バックアップツールである、Windows Server バックアップによるバックアップ取得を記載します。記事の都合上、一部省略している個所がありますが、実際の手順については実機にてご確認ください。

     

    Windows Server Backupはバックアップ専用の外部ディスク(ハードディスクやDVDなど)を用意します。外部ディスクはバックアップ専用として初期化されます。また、Windows Server 2008 ではスケジュール化されたバックアップは、サーバーへ接続した外部ディスクのみ保存可能(1回限りの場合にはネットワークフォルダへも保存可能)です。2008 R2 ではネットワークフォルダやすでに利用中のディスクへ追加でバックアップを保存することが可能です。ただし、バックアップのパフォーマンスは落ちますのでご注意ください。

     

    まず、Windows Serverバックアップはデフォルトではインストールされていませんので、事前に「サーバーマネージャー」→「機能」→「機能の追加」から「Windows Serverバックアップの機能」をインストールしてください。

     

    Windows Server バックアップ設定方法

    ここから、バックアップ設定の方法です。

     

    Windows Serverバックアップを起動し、「バックアップスケジュール」を選択します。

    以下ウィザードに従って進めていきます。

     

     

    ウィザードの「はじめに」の画面です。事前にバックアップの対象、バックアップタイミングや頻度、バックアップの格納先を決める必要があります。

     

    最初のバックアップはバックアップの対象としてすべてのファイルを指定することをお勧めします。

     

     

    バックアップ時間を指定します。サーバーの利用頻度が低い時間帯、計画停電などでサーバーがダウンしていない時間帯を指定します。通常は夜間が良いでしょう。

     

     

    バックアップの保存場所を指定します。Windows Server 2008 にはこのオプションはありません。2008 R2 のみのオプションです。2008で共有ネットワークフォルダにバックアップしたい場合には、最初のメニューで「バックアップ(1回限り)」を指定してください。

     

     

    バックアップ先のディスクを指定します。指定したディスクはバックアップ専用となるため、他のデータを保存することはできません。

     

     

    指定したディスクは再フォーマットされるため、再度ディスクに間違いがないか確認してください。

     

     

    完了をクリックすると、バックアップが始まります。

    以上でバックアップは終了です。

     

    Windows Server バックアップのリカバリ手順

    Windows Server 2008 あるいは 2008 R2 の製品CDからサーバーを起動します。

     

    CDから起動し、インストールメニューになりましたら、「コンピュータを修復する」を選択します。

     

     

    システム回復オプションから「Windows Complete PC 復元」を選択します。

     

     

    バックアップディスクがサーバーに接続されている場合、自動的にバックアップが選択されます。

     

     

    バックアップイメージの再適用方法を指定します。システムを丸ごとリストアする場合には「ディスクをフォーマットしてパーティションに再分割する」をチェックします。ディスクはフォーマットされ、元のパーティションが再現されます。

     

     

    フォーマットの確認画面が表示されます。

     

     

    ウィザードを進めると、バックアップファイルからシステムがリストアされます。復元が終了すると、自動的に再起動され、システムが復旧されます。

     

    System Center Data Protection Manager 2010 (DPM) を利用したバックアップと復元

     

    DPMは標準のバックアップ機能と異なり、バックアップはDPMサーバーにより集中化されます。バックアップ(保護)が必要なサーバーにはエージェントをインストールします。

     

     

     

    以下はWindows Serverシステムを丸ごと復元するベアメタルリカバリ(BMR)の設定と復旧手順を記載します。詳細につきましては参考資料にあげている以下の資料をご参照ください。

     

    DPM の起動

     

    DPMサーバーで[DPM管理者コンソール]を開き、ナビゲーションバーの[保護]をクリックします。 

     [保護]が表示されます。操作ウィンドウの[保護グループの作成]をクリックします。

     [新しい保護グループの作成]の[新しい保護グループウィザードの開始]が表示されます。

     

     

    [保護グループの種類の選択]が表示されます。保護するコンピューターの種類を指定します。今回は[サーバー]を選択します。

     

     

    [グループメンバーの選択]が表示されます。保護するコンピューターとデータを指定します。ベアメタルリカバリの場合、[System Protection]-[Bare Metal Recovery]保護データを選択します。

    ※[Bare Metal Recovery]を選択すると、[System State]も自動的に選択されます。

     

     

     

    [データの保護方法の選択]が表示されます。保護グループの名前と保護方法(短期的な保護および長期的な保護)を指定します。

     

     

    [短期的な目標値の指定]が表示されます。バックアップデータの保有期間、高速完全バックアップのスケジュールを指定します。ファイルを指定すると、同期の間隔も指定できます。デフォルトでは15分間隔で変更された領域がDPMサーバーへコピーされます。

     

     

    [ディスクの割り当ての確認]が表示されます。記憶域プール内のボリュームの割り当て、データの併置の有無、ボリュームサイズの自動的な拡大の有無を指定します。

     

    [レプリカの作成方法の選択]が表示されます。レプリカの作成スケジュール(初期コピー)を指定します。

     

    整合性チェックのオプションが表示されます。保護データ(バックアップ元データ)とレプリカ(バックアップ先データ)の整合性チェックの間隔を設定します。

     

     

    [概要]が表示されます。[グループの作成]ボタンをクリックします。

     

    [状態]が表示され、保護グループが作成されます。保護グループの作成が完了すると、[結果]に[成功]が表示されます。[閉じる]ボタンをクリックします。

     

    DPM による回復

    今回はシステムを丸ごと回復するベアメタルリカバリ(BMR)による回復手順を記載します。

    全体の手順の流れは以下の通りです。

     

     

    DPMサーバーに保存されたファイルを共有フォルダに回復し、そのデータを使用してWindows Complete PC 復元を実施します。

    Complete PC 復元は、先に説明したWindows Server Backupの復元とほぼ同様です。

     

     

    まずは「① ベアメタルリカバリデータを共有フォルダに回復」する手順です

    [DPM管理者コンソール]のナビゲーションバーの[回復]をクリックします。

    [回復]が表示されます。[参照]タブまたは[検索]タブをクリックします。今回は、[参照]タブをクリックします。

    [参照]タブが表示されます。回復するコンピューターの[System Protection]と回復ポイントの時刻を設定し、操作ウィンドウの[回復]をクリックします

     

     

    [回復ウィザード]の[回復の選択の確認]が表示されます。

     

     

    [回復の種類の選択]が表示されます。[ネットワークフォルダーにコピーする]を選択します。

     

     

    [宛先の指定]が表示されます。[参照]ボタンをクリックします。

     

     

    [代替回復の宛先の指定]が表示されます。ベアメタルリカバリデータの回復先となる共有フォルダを指定します。

    ※回復先として、ローカルディスクを指定することもできます。

     

     

    [回���オプション]が表示されます。セキュリティの復元、ネットワーク使用帯域幅の調整、SAN回復、通知を設定します。

     

     

    [概要]が表示されます。[回復]ボタンをクリックします。

    [回復状態]が表示され、回復が完了すると[回復状態]に[成功]が表示されます。

     

    ベアメタルリカバリデータを回復したフォルダを参照し、\\サーバー名\共有フォルダ名\DPM_バックアップ日時\DPM_Recovered_At_復元日時 にあるWindowsImageBackup フォルダを \\サーバー名\共有フォルダ名 直下に移動します。

     

    この後、「②Windows Complete PC 復元」ですが、先のWindows Serverバックアップ手順とほぼ同様です。ローカルディスクの代わりにネットワークフォルダを指定するだけです。詳細な手順につきましては以下の参考資料をご参照ください。

    System Center Data Protection Manager 2010 で実現する Windows 環境のバックアップ
    http://download.microsoft.com/download/5/2/B/52B3F939-E04D-48D9-AB34-6A982E9FE187/[WP]DPM2010HandsonText.zip

     

     

    参考資料

    ステップ バイ ステップ ガイド - Windows Server 2008 R2 の Windows Server バックアップ
    http://technet.microsoft.com/ja-jp/library/ee849849%28WS.10%29.aspx

    ステップ バイ ステップ ガイド - Windows Server 2008 の Windows Server バックアップ
    http://technet.microsoft.com/ja-jp/library/cc770266%28WS.10%29.aspx

    Windows Server 2003 のデータをバックアップおよび復元する
    http://www.microsoft.com/business/smb/ja-jp/sgc/articles/ntbackup.mspx

    System Center Data Protection Manager 2010 で実現する Windows 環境のバックアップ
    http://download.microsoft.com/download/5/2/B/52B3F939-E04D-48D9-AB34-6A982E9FE187/[WP]DPM2010HandsonText.zip

     

     

  • BitLocker 回復パスワードの管理方法

    Posted over 4 years ago
    by infrajp}

    管理者用の回復パスワードを付与する 

    システム管理者は暗号化されたドライブにアクセスするための手段を準備しておくことは非常に重要です。

    例えば、
    ・ユーザーの    利用している PC の故障してしまう
    各ユーザーが自分で設定したTPMPIN番号やパスワードを忘れてしまう
    ・ユーザーがスマート カードまたは USB スタートアップ キーを紛失してしまう
    など、BitLocker で保護されたデータにアクセスできなくなる事は避けなければなりません。
    BitLocker ではドライブへのアクセスを回復する方法として以下の 3 つがあります。

    回復パスワード

    48 桁の数字パスワード

    回復キー

    256 ビットのバイナリデータ (BEK ファイル)

    USB フラッシュ ドライブなどのリムーバブル メディア上のファイルに格納して利用

    データ回復エージェント

    公開キー基盤 (PKI) 証明書を使用した資格情報

     

    これらの中でも BitLocker における障害対応時の最も簡単な方法は 48 桁の回復パスワードを利用する方法です。

    回復パスワードはドライブを暗号化する際に任意の 48 桁の数字が割り当てられますが、システム管理部門だけが管理する回復パスワードを 2 つ目、3つ目…の回復パスワードとして追加する事が可能です。この管理者用の回復パスワードを利用することで、その都度、暗号化されたドライブ用の回復パスワードを調べる必要がなくなり、迅速な対応が可能となります。

    例えば以下はリモートにある端末の C: ドライブに 2 つ目の回復パスワードとしてすべて数字の 0 を割り当てるコマンド (要管理者権限) になります。

    manage-bde.exe cn “管理対象コンピューター” –protectors add C: -rp 000000-000000-000000-000000-000000-000000-000000-000000


    作成した回復パスワードが正常に反映されているか確認します。こちらのコマンドも管理者権限が必要です。

    manage-bde.exe cn “管理対象コンピューター” –protectors –get C:

    2 つ目の数字パスワードとして登録されていることが確認できます。
    このようにユーザーに知られることなく管理者用の回復パスワードを追加していくことが出来ます。

     

    回復パスワードを再作成する

    次にユーザーに回復パスワードを通知した後に、システム管理者はユーザーが回復パスワードを紛失することを考慮し、回復パスワードを付け替える (=回復パスワードを再作成する) 方法について記載したいと思います。以下のように 3 つの方法があります。

    1) manage-bde.exe を利用して現在の回復パスワードを削除し、新規の回復パスワードを作成する。
    2) ResetPassword.vbs を実行して新規の回復パスワードにリセットする。
    3) PowerShell を利用する。

    ■まずは manage-bde.exe を利用する方法ですが、前章の説明で manage-bde.exe –protectors –add と説明したように、manage-bde.exe コマンドを実行すれば新規に任意の数字の回復パスワードを作成し、以前の回復パスワードは manage-bde.exe –protectors –delete で削除することが可能です。

     

    ■続いては ResetPassword.vbs を利用する方法です。サンプル スクリプトは以下のTechNetにて公開されています。
    http://technet.microsoft.com/ja-jp/library/cc771778(WS.10).aspx#BKMK_AppendixB

    回復パスワードを再発行したい端末にてこのVBスクリプトを実行すると以下の図のように自動的に回復パスワードの入れ替え処理を実施します。

    タスクスケジューラーにこの ResetPassword.vbs をセットしておくことで定期的な回復パスワードの変更も可能となります。また、グループポリシーによって AD DS に回復パスワードを自動的に保存する設定を行っている場合には、このスクリプトが実行される際に新規の回復パスワードが AD DS 側に追加されます。

     


    [    ご参考情報] 回復パスワードを AD DS にバックアップするためのコマンド
    > manage-bde.exe -protectors -adbackup C: -id { recoveryGUID }

    ※ 上記コマンドは、PC キッティング時に Workgroup 環境で BitLocker を有効化 (ユーザーに端末を渡す前に暗号化処理を終えておく) させておき、PC  配布後にドメインに参加させる場合に効果的です。ドメイン参加後に回復パスワードの AD バックアップコマンドを実行することによって AD DS に安全に保存することが可能となります。


    ■最後に PowerShell を利用した管理方法です。

    Windows 7 には BitLocker 用の WMI Provider のクラス (Win32_EncryptableVolume) が用意されており、このクラスを使った PowerShell によるローカルもしくはリモート制御が可能です。
    クラスに関する情報はこちら Win32_EncryptableVolume Class
    http://msdn.microsoft.com/en-us/library/aa376483(v=VS.85).aspx

    メソッドの利用例
    回復パスワードの新規作成 / ProtectKeyWithNumericalPassword() メソッドを実行
    古い回復パスワードの削除 / DeleteKeyProtector("{ recoveryGUID }") DeleteKeyProtectors() メソッドを実行
    回復パスワードの確認 / GetKeyProtectorNumericalPassword() メソッドを実行

    以上、今回紹介させて頂いた手法によって BitLocker 回復パスワードを簡単に管理ができます。
    システム管理者はユーザー側への作業や負担をかけることなく端末の集中管理を行うことができます。

  • SCCM 2012 新機能その1 : マルウェア対策ソフトとの統合 (System Center 2012 Endpoint Protection)

    Posted over 3 years ago
    by infrajp}

    みなさん、こんにちは

    前回に引き続き、System Center 2012 Configuration Manager RCのアップデート情報をお知らせします。

    今回は個別の機能に焦点を当てて、機能強化点についてお知らせしていこうと思います。第一弾はマルウェア対策ソフトとの機能統合についてです。

    現バージョンのSCCM 2007 では、機能追加を実施することにより Forefront Client Security (FCS) や Forefront Endpoint Protection (FEP) といった製品との連携を行い、クライアント PC やサーバーのセキュリティ対策を行うことができるようになっています。

    SCCM 2012 ではマルウェア対策ソフトの機能を含んだ形で開発がされておりますので、従来以上に機能統合が進み、連携が強化されました!

    本日は、そのなかから一部の機能強化点をピックアップしてお伝えします。

     

    1.   Forefront から System Center ブランドに!

    Forefront Endpoint Protection 2010 は System Center 2012 Endpoint Protection (SCEP) と Forefront から System Center ブランドに変更となりました。単にロゴや名称を変更しただけではなく、マルウェア対策ソフトとしての性能も大幅に向上していますし、なによりも Configuration Manager との連携がさらに強化されています。

    SCCM 2012 RC 版に含まれる SCEP は、すでにエージェントが翻訳済みです 

      2.   インストール作業の簡素化

      SCCM 2007 R2 (または R3) では FEP の管理を行うために、FEP のサーバーモジュールを SCCM にセットアップする必要がありました。SCCM 2012 では SCEP の機能が統合されて提供されるようになり、別途サーバーへのセットアッププログラムの実行が不要です。SCEP を利用する場合、”Endpoint Protection Point” というサーバーサイトシステムを追加することで、SCEP を利用することが可能となります。

      "Endpoint Protection Point" サイトシステムの追加ウィザード画面


      3.   エージェント展開作業の簡素化

      SCEP エージェントの展開もより簡単な操作でできるように変更されました。SCCM 2007 ではソフトウエアの配布機能を利用し、コレクションに対して割り当てることでインストール作業が行われました。SCCM 2012 では、SCCM クライアントエージェントの設定画面に、SCEP の設定が新しく追加されています。この設定で機能を有効化することにより、SCEP エージェントを各コンピューターで即座に利用可能となります。また既存で他社のアンチウイルス製品を利用している場合には、自動で削除してSCEP をインストールするなどの設定も、このクライアントのオプション設定からすべて操作が可能となっています。

       

      SCCM クライアント設定のプロパティ画面。Endpoint Protectionの設定が追加されています


      4.   マルウエアの検知とアラート

      SCCM 2012ではアラートという機能が追加されました。この機能により、マルウエアに感染したPC が発生したなどの場合、管理コンソールのトップ画面にアラートとして通知されます。管理者はこのアラート画面を確認することで、問題が発生したことを即座に把握できるようになっています。またアラートが発生した場合、メールでの通知も可能です。

      SCCM 管理コンソールのアラート表示

      SCCM 管理コンソールの Monitoring ペイン、System Center 2012 Endpoint Protection ノードから
      ウイルスの感染状況などの詳細を確認

      コンピューターごとのマルウェア感染、および修復履歴の表示

      5.   定義ファイルの自動配信

      SCCM 2012 では更新プログラムの管理機能が改善され、更新プログラムの自動配信が機能として追加されました。SCCM 2007 では WSUS の自動承認機能の設定が必要でしたが、SCCM 2012 では SCCM の管理コンソールからこの設定を実施することが可能になります。これにより SCEP の定義ファイルを自動的にダウンロードし、展開することが可能となります。

      自動配信の設定画面。"定義更新プログラム"を条件指定し、自動配信設定が可能になりました。

       

      定義ファイルの展開状況をグラフでレポート

      まずは簡単ですが、SCCM 2012 の新機能として、SCEP の機能連携の一部についてご紹介しました。

      SCCM 2012 では開発コンセプトの一つに、インフラの統合を挙げています。
      従来、PC の管理とマルウェア対策は異なるツールを利用するケースが一般的でしたが、そうなるとシステムもそれぞれに用意し、二重管理となり、コストもかさんでしまいます。
      また、仮に PC がウイルスに感染した場合、感染情報はマルウェア対策ツールの監視ソフトで把握できますが、そもそも最新の定義が各 PC に適用されているか、マルウェア対策ソフトウエアのサービスが止まっていないか
      などの情報は PC 構成管理ツールで収集したものを別途確認する必要があります。
      SCCM 2012 では単一のシステムで管理することで、それぞれの持つ情報を統合的に管理し、システム運用にかかるコスト削減も実現できるようになります。
      今後マルウェア対策ソフト、もしくは PC 管理ツールの入れ替えを検討しているお客様は、ぜひ一度製品の評価を頂ければと思います。

      まだまだお伝えしたい新しい機能は目白押しです。
      本 blog にて定期的に System Center 2012 の最新情報をお伝えするようにしていきますので、次回以降の blog もご期待ください!

       

    1. SCCM 2012 配布ポイントへのコンテンツ配置方法の機能強化

      Posted over 2 years ago
      by infrajp}

      皆さんこんにちは

      もう間もなく、 Windows 8 がリリースされます。
      新しい OS がリリースされると、 OS 自体はもちろんのこと、その管理製品にも注目が集まりますね。

      今回の記事では、今年リリースされ、 Windows 8 リリース後にもアップデートが予定されている、
      System Center 2012 Configration Manager (SCCM 2012)の強化ポイントの1つを紹介します。

       

      SCCM の重要な機能として、アプリケーション配布、更新プログラム管理、OS展開 があります。
      これらの機能はどれも、コンテンツを SCCM 側からクライアント端末側へ配信するもので、
      SCCM を展開する際に、ネットワークの使用状況を考慮する必要がある機能です。

      SCCM では、拠点が分かれていて、拠点間のネットワーク帯域が大きくない場合などに、
      コンテンツの配布のみを担当する、「配布ポイント」という機能を個別に構築することができます。

      配布ポイントを配置することで、個々の拠点にあるクライアント端末から、中央に配置されたSCCMのサーバーに
      対するコンテンツリクエストが減少して、拠点間のネットワークへの負荷を軽減できます。

      ところでどうでしょう、
      「個々の��クエスト発生時は負荷の軽減ができるけど、配信ポイントにコンテンツを配信するときは、
      ネットワークを使うよね、サイズが大きいコンテンツの場合はどうするの?」
      となりますよね。
      Microsoft Office などの Suite 製品や、 OS 展開時の マスタイメージなどはもちろんのこと
      更新プログラムをまとめたサービスパックなどは、サイズが大きくなりがちです。

      そこで、SCCM では、拠点へのデータの配置を、DVD等のメディアで実施できる機能を持っています。

      SCCM 2007 では、この拠点間でのメディアを利用したコンテンツのコピーを実施するのに、
      拠点に”セカンダリサイト”を構築してもらう必要がありました。
      中央のプライマリサイトから、セカンダリサイトにメディアでデータをコピーして、セカンダリサイト配下に置かれた
      配布ポイントにネットワークでデータをコピーする感じです。

      SCCM 2012 では、このメディアを使ったコンテンツ配置の機能向上が行われいて、
      中央のプライマリサイトから、拠点にある配布ポイントに、直接、メディアでのデータコピーができるようになりました。
      メディアでのデータ受信のみにセカンダリを使っていた場合は、拠点側の ”セカンダリ サイト”がいらなくなります。

      SCCM 2012 では、クライアントOSで配布ポイントを構築することもできますし、今まで以上に
      柔軟性が高まった感じですね。

      実際の手順はこんな感じです。

      1.プライマリサイトで配布したいコンテンツを選択して、「事前設定コンテンツの作成」をクリック

       

       

      2.ファイル名等を指定して保存

       

      3.データを配布ポイントのあるサーバーにコピー

       

      4.配布ポイント側では、コマンドラインツール( extractcontent.exe )を実行し、コンテンツの取り込み

       

      5.事前設定完了!
       

      6.あとは、通常通り、コンテンツの配布を行ってください。
        事前設定されていることを検知してコピーしたコンテンツが配布コンテンツとして利用されます。
        ※コンテンツの配布後、正常に配布されている場合でも、コンテンツのステータスがしばらく準備中になるようです
         心配な方は、コンテンツの検証をしてみてください、ステータスが更新されます。

       

      これ、実は、操作の部分も非常に向上しているんですよ。(あえて、2007の手順は説明しませんが…)

       

      今回はちょっと地味な機能の説明でしたが、
      SCCM 2012 は、アプリケーションの管理方法の変更など、大きな機能強化と同時に、
      以前から利用されている方がより便利になる機能向上や、お客様の要望にお応えする形の機能向上も数多く行っています。

      サイトサーバーと、配布ポイント間で利用する帯域幅の設定とか、同期タイミングの調整とか...
      管理コンソールの刷新とか...
      リモートコントロール機能の機能強化とか...
      カスタムインベントリの設定用のコンソールとか...
      OS展開イメージに対する更新プログラムの適用とか...

      今後、こちらのブログでも紹介できればと思っています。

      組織内のクライアントPC 切り替え検討のタイミングで、ぜひ、クライアント端末の管理製品の検討もお願いします。

       

    2. SCCM 2012 でのクライアント OS 展開 評価環境構築手順

      Posted over 2 years ago
      by infrajp}

      みなさんこんにちは。

      前回のブログ エントリに続き、今回もSystem Center 2012 Configuration Manager (SCCM 2012) の技術資料のご紹介です。

      SCCM 2012 も4月のリリースから半年がたち、みなさんの環境でも採用に向けた機能評価や、本番稼働に向けた機能検証などを始められているのではないでしょうか。

       

      今回ご紹介するのは SCCM の機能の中でもお問い合わせの多い、クライアント OS の展開(キッティング) の機能検証手順を解説する資料です。Windows 7 PC の新規導入や、故障等による OS 再インストール時に OS 展開を実施する環境を想定して、4つの方法の手順について画面イメージと簡単な説明をまじえてご紹介しています。

       

      以下の4つの OS 展開方法の中から、検証のケースと合うものを選択いただき、ご利用ください。

      本手順は SCCM 2012 RTM (初期出荷版) をベースとした手順です。
      SCCM 2012 SP1 を利用した OS 展開手順については、現在準備を進めております。公開まで今しばらくお待ちください。

       

      OS 展開方法

      クライアント 展開シナリオ

      手順書

      不特定 PC への展開

      MAC アドレス等の個体識別情報が SCCM に登録されていない PC にネットワーク経由の PXE ブートで OS を展開します。

       SCCM2012_OS展開_不特定PC編

      PXE ブートによる展開

      MAC アドレス等の個体識別情報が SCCM に登録されている PC にネットワーク経由の PXE ブートで OS を展開します。

       SCCM2012_OS展開_PXE編

      起動メディアによる展開

      MAC アドレス等の個体識別情報が SCCM に登録されている PC に起動メディアを利用してネットワーク経由で OS を展開します。

       SCCM2012_OS展開_起動メディア編

      スタンドアロン メディアによる展開

      ネットワークに接続されていない PC に DVD イメージから OS を展開します。

       SCCM2012_OS展開_スタンドアロンメディア編

       

      まとめてダウンロードはこちら。 

       

      今回、Windows 7 展開の基本的なシナリオとして上記4つをご紹介していますが、これらの手順書を参考に、検証を通して SCCM 2012 でのクライアント OS 展開についてご理解いただき、環境に合った最適な方法をご検討いただければと思います。

       

      ありがとうございました。