Endpoint Central オンプレミス版 ナレッジベース

確認ビルド: Endpoint Central 11.3.2400.33

Endpoint Centralサーバーは通常インターネットに接続する必要がありますが、インターネットに接続しない閉域ネットワークでのパッチ管理にも対応できます。
この記事では、閉域ネットワーク（クローズドネットワーク）におけるパッチ管理について説明しています。

閉域ネットワークにおけるパッチ管理

前提条件と制限事項

Endpoint Centralを閉域ネットワークで使用する場合、以下の一部機能について制限が生じます。

• サブスクリプションが必要なRed Hat Enterprise Linuxの管理に非対応です（※以下のpoint欄もご覧ください）。
• MDM機能では、Android と Windowsモバイルデバイスのみ管理可能になります。iOS, macOS, Chrome OSといったその他のOSのデバイスを管理することはできません。
• インベントリ管理機能において、コンピューターの保証情報をベンダーから自動的に取得する保証レポート機能を使用できません。
• インターネット回線にアクセスできない Endpoint Centralサーバーの代わりに、インターネット回線に接続可能な Windows コンピューターを用意する必要があります。このコンピューターは、こちらのナレッジに記載されている各ドメインとの通信が許可されている必要があります。

閉域ネットワークにおけるパッチ管理手順

Endpoint Centralサーバーとは別に、オンラインの Windows コンピューターを1台用意し、パッチ情報とパッチファイルをダウンロードするツールを実行することで、閉域ネットワークでのパッチ管理を実現します。

               
               隔離されたネットワークにおけるパッチ管理の例（その他の構成はシステム構成 →「構成例」をご覧ください。）

具体的には、次の手順にしたがってパッチ管理を行います。

1. プロキシ設定とツールのダウンロード

1. ［パッチ管理］タブ → ［設定］ → ［プロキシ設定］ を開きます。
2. カーソルを「プロキシ」に合わせて「編集」をクリックし、「インターネットへの接続なし（閉域）」を選択して「保存」をクリックします。
3. ［パッチ管理］タブ → ［設定］ → ［パッチDBの設定］ を開き、「スケジュールパッチDBの更新」 → 「スケジュール実行の有効化」 のチェックを外します。
4. 続いて、 インターネットに接続されているコンピューターから UpdateManager.zip をダウンロードし、解凍します。
5. パッチダウンロード用のコンピューターが直接インターネットに接続されていない（=プロキシサーバー経由で接続する）場合は、解凍したファイル内にある downloadMgr.prop をテキストエディタで開き、プロキシサーバー、ポート、および認証情報を入力します。
   

   （例）
   proxyHost=ProxyName
   proxyPort=3128
   proxyUser=username
   proxyPass=password

ここまでのステップで、Endpoint Centralを閉域ネットワークで使用するためのセットアップが完了しました。以降のステップは、パッチの適用ごとに毎回実行します。

2. パッチDBの更新

1. パッチダウンロード用のコンピューターでコマンドプロンプトを開き、zipファイルを解凍したUpdateManagerフォルダーに移動します。
2. 管理するPCのOSに応じて、次のコマンドを実行します。
   

   (Windows/Macのみを管理する場合) patchsync.bat -c updatedb -b <ビルド番号>
   (Windows/Mac/Linuxを管理する場合) patchsync.bat -c updatedb -i linux -b <ビルド番号>

   このコマンドを実行することで、最新のパッチ情報がupdatedbフォルダーに取得・格納されます。完了までしばらく待ちます。

   ビルド番号は、こちらのナレッジ の方法で確認できます。11.3.2400.33 のように小数点を含めて記述するか、または 113240033 のように小数点を含めないで記述するか、いずれかの方法でビルド番号を指定します。
   
   ※ （当製品を2023年以前からお使いの方へ）2024年より、「-b <ビルド番号>」の指定が必須となりました。この変更は弊社側のツールでの仕様変更に伴うものであるため、2023年以前にリリースされたビルドのEndpoint Centralを使用されている場合であっても、「-b <ビルド番号>」は省略できません。お手数ですがご理解のほどお願いいたします。
3. UpdateManager内に作成されたupdatedbフォルダーをフォルダごとコピーし、閉域ネットワーク内のEndpoint Centralがインストールされているコンピューターの <Endpoint Centralサーバーのインストールディレクトリ>/conf/CRSData フォルダーにコピーし、既存のファイルを置き換えます。
4. コンソール画面にアクセスして ［パッチ管理］タブ → ［更新］ を開き、「パッチDBの更新」→「更新」をクリックします。これで、オンライン上のデータベースからではなく、updatedbフォルダーからパッチ情報を取得します。

3. パッチスキャンの実行

次に、管理対象PCでパッチスキャンを実行して、欠落しているパッチを特定します。この手順は、Endpoint Centralサーバーがオンラインの場合の手動パッチスキャン実行と変わりません。

1. ［パッチ管理］タブ →［システム］ → ［管理中のシステム］ → ［システムスキャン］ を開き、「すべてスキャン」 をクリックします。
2. すべての管理対象PCで、スキャンが完了したことを確認します。

4. パッチのダウンロード

パッチのダウンロードに必要な欠落パッチ一覧を出力し、パッチダウンロード用のコンピューターで必要なパッチをダウンロードします。

• 注：これ以降の手順に代えて、個々のパッチをベンダーのサイトからダウンロードし、コンソール画面上でアップロードすることも可能です。詳細は パッチのアップロード をご覧ください。

1. ［パッチ管理］タブ → ［パッチ］ → ［欠落パッチ］ → 「欠落パッチをエクスポートする」 をクリックします。これにより、ダウンロードする必要がある欠落パッチ・依存パッチの一覧が downloadUrlJson.txt としてエクスポートされます。
2. downloadUrlJson.txt を、インターネットに接続したPCのUpdateManagerフォルダーにコピーします。
3. コマンドプロンプトを開き、以下のコマンドを実行します。
   

   patchsync.bat -c dwnpatch -f downloadUrlJson.txt

4. 欠落しているすべてのパッチがUpdateManagerフォルダー内にできたstoreフォルダーにダウンロードされます。ダウンロードが完了したら、storeフォルダーの内容をコピーし、Endpoint Centralサーバーのパッチリポジトリに追加します
   （パッチリポジトリのデフォルトの場所は
   <Endpoint Centralサーバーのインストールディレクトリ>\webapps\DesktopCentral\store です。なお、リポジトリの場所は変更可能です）。
5. ［パッチ管理］タブ → ［パッチ］ → ［ダウンロード済みパッチ］ を開きます。「ダウンロード済みパッチを更新する」をクリックします。

手動でダウンロードしたすべてのパッチが、配布可能になりました。続いて、通常の手動配布を実行します。
 

この記事は、こちらのページ（英語）を参考にしています。