Endpoint Centralのシステム構成について教えてください。
質問
Endpoint Centralのシステム構成について教えてください。
回答
Endpoint Centralサーバーおよび管理対象PCにインストールするEndpoint Centralエージェントから構成されます。
- Endpoint Centralサーバー
- Endpoint Centralエージェント
- 配信サーバー
- セキュアゲートウェイサーバー
- その他の要素
- 構成例
(構成例(A)、 構成例(B)、 構成例(C)、 構成例(D)、 構成例(E)、 構成例(F)、 構成例(G)、 構成例(H)、 構成例(I)、 構成例(J))
システム構成以外の図は以下をご覧ください。
オンプレミス版通信ポート クラウド版通信ポート クラウド版通信ドメイン
オンプレミス版パッチ管理概要図 クラウド版パッチ管理概要図
オンプレミス版の帯域制限設定 クラウド版の帯域制限設定
オンプレミス版通信ポート クラウド版通信ポート クラウド版通信ドメイン
オンプレミス版パッチ管理概要図 クラウド版パッチ管理概要図
オンプレミス版の帯域制限設定 クラウド版の帯域制限設定
Endpoint Centralサーバー
Endpoint Centralは、Windows Serverコンピューターにインストールする必要があります。サーバーの要件については、以下のページをご覧ください。
- システム要件
- サーバーのインストールに関するナレッジ
- 管理対象PCが社内LANに接続されている場合、サーバーと管理対象PCにインストールされたエージェント間の通信が正常である必要があります。通信が可能であれば、基本的に管理対象PCとサーバーが同一セグメントである必要はありません(Windowsファイアウォールの設定で、通信がブロックされていないかご注意ください)。
- ADドメイン環境の場合、Endpoint CentralサーバーがActive Directoryドメインコントローラーと通信できる必要があります。複数のドメインコントローラーがある場合、最もホップ数が小さくなるようなドメインコントローラーとEndpoint Centralサーバーが通信できることをご確認ください(詳細な手順は、こちらのナレッジおよびスタートアップガイドをご覧ください。)。
- 管理対象PCとサーバーの通信がインターネット経由となる場合、サーバーをDMZ環境に設置し、サーバーを公開することでインターネット側からアクセス可能な構成にする必要があります。ただし、セキュリティ上の理由でサーバーを直接公開したくない場合は、セキュアゲートウェイサーバーオプションを利用します。DMZ環境を用意することが難しい場合は、こちらをご覧ください。
- Endpoint Centralオンプレミス版のご利用が難しい場合は、Endpoint Central Cloudも合わせてご検討ください。
Endpoint Centralエージェント
エージェントの要件については、以下のページをご覧ください。
- システム要件
- エージェントに関するナレッジ
- 管理対象は、必ずしもインターネットに接続している必要はありません(一部Linux OSのパッチ管理機能を使用する場合を除きます)。Endpoint Centralサーバーまたは配信サーバーとの通信が可能である必要があります。
- 管理対象およびEndpoint Centralサーバーがインターネットに接続しないネットワーク(閉域ネットワーク、クローズドネットワーク)に接続している場合は、閉域ネットワーク環境におけるパッチ管理をご確認ください。
- エージェントをインストール後、エージェントフォルダーをアンチウイルスソフトの除外リストに登録する必要があります。また、Endpoint Centralを他社製監視ツールと併用する場合は、お客様ご自身で十分ご検証ください。
- パッチ管理機能を使用する場合は、プロキシやファイアウォールにおいて、各ベンダーサイトとの通信を許可する必要があります。
配信サーバー
必要に応じて、配信サーバーを追加します。配信サーバーの追加に対して、ライセンスは不要です。配信サーバーの要件については、以下のページをご確認ください。なお、配信サーバーはライセンスの課金対象ではないため、オプションライセンス等は不要です。
- システム要件
- 配信サーバーに関するナレッジ
- 配信サーバーのサポート対象OSについて
- 配信サーバーについて
- リモートオフィスについて
- 複製ポリシー(Endpoint Centralサーバー・配信サーバー間の帯域幅の制御)
- IPスコープの設定
配信サーバーは、以下のいずれかの条件に当てはまる場合に設置を推奨します。Endpoint Centralサーバーの負荷軽減およびリモート拠点の消費帯域幅削減のため、Endpoint Centralサーバーとは異なるコンピューターにインストールします。
- Endpoint Centralサーバーが設置されている拠点内の管理対象PCの台数が多い(目安: 1000台以上)
- リモート拠点の管理対象PCの台数が一定以上存在する(目安: 1拠点につき10台程度)
セキュアゲートウェイサーバー
必要に応じて、セキュアゲートウェイサーバーを追加します。セキュアゲートウェイサーバーは、インターネット経由で管理対象PCやモバイルデバイスを管理する場合、Endpoint Centralのセキュリティを高める目的でDMZに設置します。
セキュアゲートウェイサーバーの利用にはオプションライセンスが必要です(年間ライセンス/通常ライセンスの各価格表に記載されている「ManageEngine Endpoint Central Enterprise Edition セキュアゲートウェイサーバー」オプションが必要です)。
その他
- 管理対象の台数(PC+モバイルデバイスの合計台数)が3000台を超える場合は、MS SQLサーバーを設置することで処理速度向上が見込まれます。また、管理対象の台数が10000台を超える場合は、Endpoint Centralサーバーとは別にMS SQLサーバーを設置することを推奨します。詳細はこちらのナレッジおよびシステム要件をご覧ください。
- また、管理対象の台数が25000台を超える場合は、サマリーサーバー(Summary Server)の利用をご検討ください(※注 サマリーサーバーは日本法人のサポート対象外です。また、20000台以下の環境へのサマリーサーバー導入はグローバル本社でも現在サポートしておりません)。詳細はこちらのページ(英語)をご覧いただくか、弊社サポートまでお問い合わせください。
- Red Hat Enterprise Linuxのパッチ管理を行う場合は、Red Hat Account情報および指定システム(Nominated System)を設定する必要があります。
- コンピューターのパッチ管理を実施する場合、Zoho Corporationが管理するパッチDBとの通信および各ベンダーサイトとの通信が必要になります。詳細はパッチ管理機能ページの図をご覧ください。ただし、オフライン環境(閉域ネットワーク)でのパッチ管理を実施する場合は、構成例(H)の図およびこちらのナレッジをご確認ください。
- モバイルデバイスを管理する場合、iOS/iPad OSに対してはApple社が管理するAPNs(Apple Push Notification Service)、Androidに対してはGoogle社が管理するFCN(Firebase Cloud Messaging)、Windowsに対してはWNS(Windows Notification Service)との通信が必要です。詳細は構成例(F)(G)(I)の図、およびEndpoint Centralが使用するポート番号のナレッジをご覧ください。
構成例
- 構成例(A) LAN内のコンピューター(1~1000台未満)を管理する場合
最も基本的な構成です。サーバーとなるWindows Serverマシン(システム要件を満たしていれば、物理/仮想/クラウド上でも可)をご用意いただき、Endpoint Centralサーバーとします。なお、ご利用にあたっては、かならずご検証をお願いいたします。 - 構成例(B) LAN内のコンピューター(1000台~2000台未満)を管理する場合
1000台につき配信サーバーを1台程度設置します(管理対象が2000台であれば少なくとも配信サーバーを2台設置します)。なお、社内ネットワークにおいて帯域幅に余裕のない回線を使用している場合は、必要に応じて配信サーバーを追加します。
Endpoint Centralサーバーは、配信サーバーの管理下にあるPCを含め、すべての管理対象(PC+モバイルデバイス)の合計台数を管理する要件を満たす必要があります。 - 構成例(C) 社内のコンピューター(10000台~) または 社内のコンピューター(3000台~)を管理し、操作などの処理速度を向上させる必要がある場合
1000台につき配信サーバーを1台程度設置することに加えて、SQLサーバーを設置します(管理対象が10000台超であれば設置を強く推奨します。また管理対象が3000台程度を超える場合で、表示や操作の速度向上が必要になるような場合にも設置が推奨されます)。 - 構成例(D) LAN内のコンピューター(1000台未満) および 社内ネットワーク経由でリモート拠点を管理する場合
社内(ローカルオフィス)および帯域幅の消費を抑えたい回線経由でリモート拠点を管理する場合は、その拠点(リモートオフィス)に配信サーバーを設置します。拠点が複数ある場合は、各拠点に1台ずつ配信サーバーを設置するのが基本です(帯域幅消費をあまり重視しない場合は、複数拠点に対して配信サーバーを1台とする場合もあります)。 - 構成例(E) 社内ローカルオフィスのコンピューター(1000台未満)とインターネット回線経由でリモート拠点のコンピューターを管理する場合
インターネット回線経由での管理には、セキュアゲートウェイサーバーの設置が推奨されます。リモート拠点が複数ある場合は、各拠点に1台ずつ配信サーバーを設置するのが基本です(帯域幅消費をあまり重視しない場合は、複数拠点に対して配信サーバーを1台とする場合もあります)。
社内ローカルオフィスのコンピューターが1000台を超える場合は、配信サーバーを設置します。 - 構成例(F) 社内ローカルオフィスのコンピューター(1000台未満)とインターネット回線経由でリモート拠点のコンピューター および テレワーク用のモバイルデバイスやコンピューターを管理する場合
配信サーバーのあるリモートオフィスのコンピューターと配信サーバーのないリモートオフィスのデバイスをインターネット回線経由で管理します。インターネット回線経由での管理には、セキュアゲートウェイサーバーの設置が推奨されます。モバイルデバイスは、Android: FCN、iOS/iPad OS: APNs を経由して管理します。
社内ローカルオフィスのコンピューターが1000台を超える場合は、配信サーバーを設置します。 - 構成例(G) モバイルデバイスのみを管理する場合
モバイルデバイスのみを管理する場合、通常はインターネット回線経由での管理となるため、セキュアゲートウェイサーバーの設置が推奨されます(セキュアゲートウェイサーバーの設置が難しい場合は、クラウド版の利用もご検討ください)。 - 構成例(H) 閉域ネットワーク(クローズドネットワーク、オフライン環境)でパッチ管理をはじめとした管理を実施する場合
オフライン環境(クローズドネットワーク、閉域ネットワーク)でのパッチ管理の場合、管理対象およびEndpoint Centralサーバーはインターネット回線に接続されていません。別途インターネット回線に接続している端末においてパッチ情報やパッチファイルを取得し、フラッシュメモリ等を使用してデータをEndpoint Centralサーバーにコピーします。 - 構成例(I) 社内ローカルオフィスのコンピューター(大規模環境)とインターネット回線経由でリモート拠点のコンピューター および テレワーク用のモバイルデバイスやコンピューターを管理する場合
社内ローカルオフィスのコンピューター1000台につき、配信サーバー1台設置します。また、Active Directoryドメインコントローラーの情報を取得します(参考: ドメインの追加・管理対象ポリシー)。
インターネット回線経由での管理には、セキュアゲートウェイサーバーの設置が推奨されます。リモート拠点が複数ある場合は、各拠点に少なくとも1台ずつ配信サーバーを設置するのが基本です(帯域幅消費をあまり重視しない場合は、複数拠点に対して配信サーバーを1台とする場合もあります)。モバイルデバイスは、Android: FCN、iOS/iPad OS: APNs を経由して管理します。
- 構成例(J) 25000台以上の大規模環境においてコンピューター等を管理する場合
Endpoint Centralサーバーを複数設置し、それらを取りまとめるサマリーサーバーを設置します(この場合、各Endpoint Centralサーバーは「プローブサーバー」と呼びます)。詳細はこちらのページ(英語)をご覧ください。
