Endpoint Central オンプレミス版 ナレッジベース

ManageEngine > サポート > Endpoint Central オンプレミス版 ナレッジベース > モジュール >  パッチ管理 > 隔離されたネットワーク環境(閉域ネットワーク)におけるパッチ管理
戻る

隔離されたネットワーク環境(閉域ネットワーク)におけるパッチ管理

  • 作成日:2017年9月5日 | 更新日:2026年1月22日

確認ビルド: Endpoint Central 11.3.2400.33

この記事における「閉域ネットワーク」の定義

この記事では、閉域ネットワークを「隔離されたネットワーク」(=Air Gapped Network)の意味で使用しています。隔離されたネットワークとは、外部と一切の通信回線がないネットワークです
Endpoint Centralサーバーがファイアウォールやプロキシ等を経由してインターネットに接続可能(管理対象コンピューターは接続不可能)な場合は、閉域ネットワークではないため、通常の利用方法での管理が可能です。システム構成の構成例をご覧ください。

閉域ネットワークにおけるパッチ管理

Endpoint Centralサーバーは通常インターネットに接続する必要がありますが、インターネットに接続しない閉域ネットワークでのパッチ管理にも対応できます。
この記事では、閉域ネットワーク(クローズドネットワーク、エアギャップネットワーク)におけるパッチ管理について説明しています。

前提条件と制限事項

Endpoint Centralを閉域ネットワークで使用する場合、以下の一部機能について制限が生じます。

  • Red Hat Enterprise Linuxのパッチ管理に対応できません。詳細は Red Hat Enterprise Linuxのパッチ管理をご覧ください。
  • Microsoft Officeのパッチを閉域ネットワーク内で配布する場合、Endpoint Central 11.4.2506.01以降である必要があります。それ以前のビルドの場合、パッチおよび依存パッチのダウンロードを手動で実行する必要があります(詳細な手順はお問い合わせください)。
  • MDM機能において、Android と Windowsデバイスのみ管理可能になり、それ以外のiOS、macOS、Chrome OSといったその他のOSのデバイスを管理することができません(コンピューター管理においても、一部のmacOS向け構成機能にMDMを利用することから、macOSデバイスの管理に制限が生じます)。
  • 自動配布機能はご利用いただけません。
  • インベントリ管理機能において、コンピューターの保証情報をベンダーから自動的に取得する保証レポート機能を使用できません。
  • インターネット回線にアクセスできない Endpoint Centralサーバーの代わりに、インターネット回線に接続可能な Windows コンピューターを用意する必要があります。このコンピューターは、こちらに記載されている各ドメインとの通信が許可されている必要があります。
  • Endpoint Centralは、メールサーバーの設置を前提としています。閉域ネットワークでメールサーバーを設定できない場合、ユーザーの追加やスケジュールバックアップ設定などに制限が発生する場合があります。詳細はお問い合わせください。

 

閉域ネットワークにおけるパッチ管理手順

Endpoint Centralサーバーとは別に、インターネット接続可能なWindows コンピューターを1台用意し、ダウンロードツールを実行することで、閉域ネットワークでのパッチ管理を実現します。
その他の構成はシステム構成 →「構成例」をご覧ください。

次の手順にしたがってパッチ管理を行います。

閉域ネットワークにおけるパッチ管理機能のセットアップ

閉域ネットワークにおけるパッチの適用

1. プロキシ設定とダウンロードツールの入手
  1. [パッチ管理]タブ → [設定] → [プロキシ設定] を開きます。
  2. カーソルを「プロキシ」に合わせて「編集」をクリックし、「インターネットへの接続なし(閉域)」を選択して「保存」をクリックします。
  3. [パッチ管理]タブ → [設定] → [パッチDBの設定] を開き、「スケジュールパッチDBの更新」 → 「スケジュール実行の有効化」 のチェックを外します。
  4. 続いて、 インターネットに接続されているコンピューターにおいてこちらのリンクをクリックし、ダウンロードツール(UpdateManager.zip) をダウンロードして解凍します。
  5. パッチダウンロード用のコンピューターが直接インターネットに接続されていない(=プロキシサーバー経由で接続する)場合は、解凍したファイル内にある downloadMgr.prop をテキストエディタで開き、プロキシサーバー、ポート、および認証情報を入力します。

    (例)
    proxyHost=ProxyName
    proxyPort=3128
    proxyUser=username
    proxyPass=password

ここまでのステップで、Endpoint Centralを閉域ネットワークで使用するためのセットアップが完了しました。以降のステップは、パッチの適用ごとに毎回実行します。

2. パッチDBの更新
  1. パッチダウンロード用のコンピューターでコマンドプロンプトを開き、zipファイルを解凍したUpdateManagerフォルダーに移動します。
  2. 管理するPCのOSに応じて、次のコマンドを実行します。

    (Windows/Macのみを管理する場合) patchsync.bat -c updatedb -b <ビルド番号>
    (Windows/Mac/Linuxを管理する場合) patchsync.bat -c updatedb -i linux -b <ビルド番号>

    このコマンドを実行することで、最新のパッチ情報がupdatedbフォルダーに取得・格納されます。完了までしばらく待ちます。

    ビルド番号は、こちらのナレッジ の方法で確認できます。11.3.2400.33 のように小数点を含めて記述するか、または 113240033 のように小数点を含めないで記述するか、いずれかの方法でビルド番号を指定します。

    もし実行に失敗する場合は、改めて手順1のダウンロードツールをダウンロードし、再度お試しください。
  3. UpdateManager内に作成されたupdatedbフォルダーをフォルダごとコピーし、閉域ネットワーク内のEndpoint Centralがインストールされているコンピューターの <Endpoint Centralサーバーのインストールディレクトリ>/conf/CRSData フォルダーにコピーし、既存のファイルを置き換えます。
  4. コンソール画面にアクセスして [パッチ管理]タブ → [更新] を開き、「パッチDBの更新」→「更新」をクリックします。これで、オンライン上のデータベースからではなく、updatedbフォルダーからパッチ情報を取得します。
3. パッチスキャンの実行

次に、管理対象PCでパッチスキャンを実行して、欠落しているパッチを特定します。この手順は、Endpoint Centralサーバーがオンラインの場合の手動パッチスキャン実行と変わりません。

  1. [パッチ管理]タブ →[システム] → [管理中のシステム] → [システムスキャン] を開き、「すべてスキャン」 をクリックします。
  2. すべての管理対象PCで、スキャンが完了したことを確認します。
すべての管理対象PCのパッチスキャンが完了していない場合、欠落しているパッチをすべて特定することができません。次のダウンロードの手順に進む前に必ず、すべての管理対象のコンピューターでパッチスキャンが完了したことを確認してください。
4. パッチのダウンロード

パッチのダウンロードに必要な欠落パッチ一覧を出力し、パッチダウンロード用のコンピューターで必要なパッチをダウンロードします。

注:これ以降の手順に代えて、個々のパッチをベンダーのサイトからダウンロードし、コンソール画面上でアップロードすることも可能です。詳細は パッチのアップロード をご覧ください。
  1. [パッチ管理]タブ → [パッチ] → [欠落パッチ] → 「欠落パッチをエクスポートする」 をクリックします。これにより、ダウンロードする必要がある欠落パッチ・依存パッチの一覧が downloadUrlJson.txt としてエクスポートされます。
  2. downloadUrlJson.txt を、インターネットに接続したPCのUpdateManagerフォルダーにコピーします。
  3. 管理者としてコマンドプロンプトを実行し、UpdateManagerフォルダーに移動して以下のコマンドを実行します。

    patchsync.bat -c dwnpatch -f downloadUrlJson.txt

  4. 欠落しているすべてのパッチがUpdateManagerフォルダー内にできたstoreフォルダーにダウンロードされます。ただしインターネットからのダウンロードができないパッチ(例:FortiClientなど)についてはダウンロードされません。ダウンロードが完了したら、コマンドプロンプト上の実行ステータスを確認します。

    (ダウンロード完了時のコマンドプロンプトの表示例)
    ……
    [INFO /main]: DCDownloadMgrProxyServer(269): The missing patch list includes Microsoft office patches, and their execution has started
    [INFO /main]: DCDownloadMgrProxyServer(297): Download of all Microsoft Office patches has been completed successfully
    [INFO /main]: DCDownloadMgrProxyServer(313): Download status : Failed
    [INFO /main]: DCDownloadMgrProxyServer(314): Total number of patches downloaded successfully: 5 ←ダウンロードに成功したパッチの数です
    [INFO /main]: DCDownloadMgrProxyServer(315): Total number of skipped patches during download: 3 ←ダウンロードがスキップされたパッチの数です
    [INFO /main]: DCDownloadMgrProxyServer(316): Total number of patches that failed to download: 1 ←ダウンロードに失敗したパッチの数です
    [INFO /main]: DCDownloadMgrProxyServer(318): Patch download failed. Check the following logs for more details: ←ダウンロード失敗の詳細が記録されたログファイルが以下に表示されます
    [INFO /main]: DCDownloadMgrProxyServer(319): <TOOL_HOME>downloadRemarks.txt
    [INFO /main]: DCDownloadMgrProxyServer(320): <TOOL_HOME>\logs\dwnload_tool_log.log
     
    C:\Users\<folder path>\UpdateManager>

  5. storeフォルダーの内容をコピーし、Endpoint Centralサーバーのパッチリポジトリに追加します
    (パッチリポジトリのデフォルトの場所は<Endpoint Centralサーバーのインストールディレクトリ>\webapps\DesktopCentral\store です。なお、リポジトリの場所は変更可能です)。
  6. [パッチ管理]タブ → [パッチ] → [ダウンロード済みパッチ] を開きます。「ダウンロード済みパッチを更新する」をクリックします。

手動でダウンロードしたすべてのパッチが、配布可能になりました。続いて、通常の手動配布を実行します。
 

この記事は、こちらのページ(英語)を参考にしています。

このナレッジの総閲覧回数: 4,615

関連ナレッジ:

  1. 【お知らせ】Red Hat SCA(Simple Content Access)への対応
  2. 【既知の問題】Red Hat のパッチ管理で、AWS上のインスタンスを指定システムに設定すると同期に失敗する
  3. 【既知の不具合】Red Hat Enterprise Linuxのパッチ管理において、パッチのダウンロードやシステム登録に失敗する
  4. 【既知の不具合】RHEL 8のパッチ配布が失敗する

タグ: