Patch Manager Plus オンプレミス版 ナレッジベース

確認ビルド: Patch Manager Plus 11.3.2400.33

閉域ネットワークにおけるパッチ管理

Patch Manager Plusサーバーは通常インターネットに接続する必要がありますが、インターネットに接続しない閉域ネットワークでのパッチ管理にも対応できます。
この記事では、閉域ネットワーク（クローズドネットワーク、エアギャップネットワーク）におけるパッチ管理について説明しています。

前提条件と制限事項

Patch Manager Plusを閉域ネットワークで使用する場合、以下の一部機能について制限が生じます。

• Red Hat Enterprise Linuxのパッチ管理に対応できません。詳細は Red Hat Enterprise Linuxのパッチ管理をご覧ください。
• Microsoft Officeのパッチを閉域ネットワーク内で配布する場合、Patch Manager Plus 11.4.2506.01以降である必要があります。それ以前のビルドの場合、パッチおよび依存パッチのダウンロードを手動で実行する必要があります（詳細な手順はお問い合わせください）。
• 自動配布機能はご利用いただけません。
• インターネット回線にアクセスできない Patch Manager Plusサーバーの代わりに、インターネット回線に接続可能な Windows コンピューターを用意する必要があります。このコンピューターは、こちらに記載されている各ドメインとの通信が許可されている必要があります。
• Endpoint Centralは、メールサーバーの設置を前提としています。閉域ネットワークでメールサーバーを設定できない場合、ユーザーの追加やスケジュールバックアップ設定などに制限が発生する場合があります。詳細はお問い合わせください。

閉域ネットワークにおけるパッチ管理手順

Endpoint Centralサーバーとは別に、インターネット接続可能なWindows コンピューターを1台用意し、ダウンロードツールを実行することで、閉域ネットワークでのパッチ管理を実現します。

次の手順にしたがってパッチ管理を行います。

1. プロキシ設定とダウンロードツールの入手

1. ［管理］タブ → ［パッチ設定］ → ［プロキシ設定］ を開きます。
2. カーソルを「プロキシ」に合わせて「編集」をクリックし、「インターネットへの接続なし（閉域）」を選択して「保存」をクリックします。
3. ［管理］タブ → ［パッチ設定］ → ［パッチDBの設定］ を開き、「スケジュールパッチDBの更新」 → 「スケジュール実行の有効化」 のチェックを外します。
4. 続いて、 インターネットに接続されているコンピューターから UpdateManager.zip をダウンロードし、解凍します。
5. パッチダウンロード用のコンピューターが直接インターネットに接続されていない（=プロキシサーバー経由で接続する）場合は、解凍したファイル内にある downloadMgr.prop をテキストエディタで開き、プロキシサーバー、ポート、および認証情報を入力します。
   

   （例）
   proxyHost=ProxyName
   proxyPort=3128
   proxyUser=username
   proxyPass=password

ここまでのステップで、Patch Manager Plusを閉域ネットワークで使用するためのセットアップが完了しました。以降のステップは、パッチの適用ごとに毎回実行します。

2. パッチDBの更新

1. パッチダウンロード用のコンピューターでコマンドプロンプトを開き、zipファイルを解凍したUpdateManagerフォルダーに移動します。
2. 管理するPCのOSに応じて、次のコマンドを実行します。
   

   (Windows/Macのみを管理する場合) patchsync.bat -c updatedb -b <ビルド番号>
   (Windows/Mac/Linuxを管理する場合) patchsync.bat -c updatedb -i linux -b <ビルド番号>

   このコマンドを実行することで、最新のパッチ情報がupdatedbフォルダーに取得・格納されます。完了までしばらく待ちます。

   ビルド番号は、こちらのナレッジ の方法で確認できます。11.3.2400.33 のように小数点を含めて記述するか、または 113240033 のように小数点を含めないで記述するか、いずれかの方法でビルド番号を指定します。
   
   ※ （当製品を2023年以前からお使いの方へ）2024年より、「-b <ビルド番号>」の指定が必須となりました。この変更は弊社側のツールでの仕様変更に伴うものであるため、2023年以前にリリースされたビルドのPatch Manager Plusを使用されている場合であっても、「-b <ビルド番号>」は省略できません。お手数ですがご理解のほどお願いいたします。
3. UpdateManager内に作成されたupdatedbフォルダーをフォルダごとコピーし、閉域ネットワークのPatch Manager Plusがインストールされているコンピューターの <Patch Manager Plusサーバーのインストールディレクトリ>/conf/CRSData フォルダーにコピーし、既存のファイルを置き換えます。
4. Patch Manager Plus管理画面にアクセスし、［パッチ］タブ → 「パッチDB（脆弱性DB）の更新」 → 「更新」をクリックします。これで、オンライン上のデータベースからではなく、updatedbフォルダーからパッチ情報を取得します。

3. パッチスキャンの実行

次に、管理対象PCでパッチスキャンを実行して、欠落しているパッチを特定します（この手順は、Patch Manager Plusサーバーがオンラインの場合の手動パッチスキャン実行と変わりません）。

1. ［システム］タブ → ［管理中のシステム］ → ［システムスキャン］ を開き、「すべてスキャン」 をクリックします。
2. すべての管理対象PCで、スキャンが完了したことを確認します。

4. パッチのダウンロード

パッチダウンロードに必要な欠落パッチ一覧を出力し、パッチダウンロード用のコンピューターで必要なパッチをダウンロードします。

• 注：これ以降の手順に代えて、個々のパッチをベンダーのサイトからダウンロードし、コンソール画面上でアップロードすることも可能です。詳細は パッチのアップロード をご覧ください。

1. ［パッチ］タブ → ［パッチ］ → ［欠落パッチ］ → 「欠落パッチをエクスポートする」 をクリックします。これにより、ダウンロードする必要がある欠落パッチ・依存パッチの一覧が downloadUrlJson.txt としてエクスポートされます。
2. downloadUrlJson.txt を、インターネットに接続したPCのUpdateManagerフォルダーにコピーします。
3. コマンドプロンプトを開き、以下のコマンドを実行します。
   

   patchsync.bat -c dwnpatch -f downloadUrlJson.txt

4. 欠落しているすべてのパッチがUpdateManagerフォルダー内にできたstoreフォルダーにダウンロードされます。ダウンロードが完了したら、storeフォルダーの内容をコピーし、Patch Manager Plusサーバーのパッチリポジトリに追加します
   （パッチリポジトリのデフォルトの場所は
   <Patch Manager Plusサーバーのインストールディレクトリ>\webapps\DesktopCentral\store です。なお、リポジトリの場所は変更可能です）。
5. ［パッチ］タブ → ［パッチ］ → ［ダウンロード済みパッチ］ を開きます。「ダウンロード済みパッチを更新する」をクリックします。

手動でダウンロードしたすべてのパッチが、配布可能になりました。続いて、通常の手動配布を実行します。

この記事は、こちらのページおよびこちらのページ（英語）を参考にしています。