Patch Manager Plus オンプレミス版 ナレッジベース

確認ビルド: Patch Manager Plus 11.3.2400.33
Patch Manager Plusサーバーは通常インターネットに接続する必要がありますが、外部への接続が全くない閉域ネットワーク（クローズドネットワーク、オフライン環境）でのパッチ管理にも対応しています。

閉域ネットワークにおけるパッチ管理

前提条件と制限事項

Patch Manager Plusを用いたパッチ管理を閉域ネットワークの中で行う場合、以下のとおり一部機能について制限が生じます。

• サブスクリプションが必要な Red Hat Enterprise Linux（RHEL）の管理には非対応です（※以下のpoint欄もご覧ください）。
• インターネット回線にアクセスできないPatch Manager Plusサーバーの代わりに、インターネット回線に接続可能なWindowsコンピューターを用意する必要があります。このコンピューターは、こちらのナレッジに記載されている各ドメインとの通信が許可されている必要があります。

閉域ネットワークにおけるパッチ管理手順

Patch Manager Plusサーバーとは別に、インターネット回線に接続可能な Windowsコンピューターを1台用意し、パッチ情報とパッチファイルをダウンロードするツールを実行します。ダウンロードした情報をPatch Manager Plusサーバーにコピーすることで、閉域ネットワークでのパッチ管理を実現します。

具体的には、次の手順にしたがいます。

1. プロキシ設定とツールのダウンロード

1. ［管理］タブ → ［パッチ設定］ → ［プロキシ設定］ を開きます。
2. カーソルを「プロキシ」に合わせて「編集」をクリックし、「インターネットへの接続なし（閉域）」を選択して「保存」をクリックします。
3. ［管理］タブ → ［パッチ設定］ → ［パッチDBの設定］ を開き、「スケジュールパッチDBの更新」 → 「スケジュール実行の有効化」 のチェックを外します。
4. 続いて、 インターネットに接続されているコンピューターから UpdateManager.zip をダウンロードし、解凍します。
5. パッチダウンロード用のコンピューターが直接インターネットに接続されていない（=プロキシサーバー経由で接続する）場合は、解凍したファイル内にある downloadMgr.prop をテキストエディタで開き、プロキシサーバー、ポート、および認証情報を入力します。
   

   （例）
   proxyHost=ProxyName
   proxyPort=3128
   proxyUser=username
   proxyPass=password

ここまでのステップで、Patch Manager Plusを閉域ネットワークで使用するためのセットアップが完了しました。以降のステップは、パッチの適用ごとに毎回実行します。

2. パッチDBの更新

1. パッチダウンロード用のコンピューターでコマンドプロンプトを開き、zipファイルを解凍したUpdateManagerフォルダーに移動します。
2. 管理するPCのOSに応じて、次のコマンドを実行します。
   

   (Windows/Macのみを管理する場合) patchsync.bat -c updatedb -b <ビルド番号>
   (Windows/Mac/Linuxを管理する場合) patchsync.bat -c updatedb -i linux -b <ビルド番号>

   このコマンドを実行することで、最新のパッチ情報がupdatedbフォルダーに取得・格納されます。完了までしばらく待ちます。

   ビルド番号は、こちらのナレッジ の方法で確認できます。11.3.2400.33 のように小数点を含めて記述するか、または 113240033 のように小数点を含めないで記述するか、いずれかの方法でビルド番号を指定します。
   
   ※ （当製品を2023年以前からお使いの方へ）2024年より、「-b <ビルド番号>」の指定が必須となりました。この変更は弊社側のツールでの仕様変更に伴うものであるため、2023年以前にリリースされたビルドのPatch Manager Plusを使用されている場合であっても、「-b <ビルド番号>」は省略できません。お手数ですがご理解のほどお願いいたします。
3. UpdateManager内に作成されたupdatedbフォルダーをフォルダごとコピーし、閉域ネットワークのPatch Manager Plusがインストールされているコンピューターの <Patch Manager Plusサーバーのインストールディレクトリ>/conf/CRSData フォルダーにコピーし、既存のファイルを置き換えます。
4. Patch Manager Plus管理画面にアクセスし、［パッチ］タブ → 「パッチDB（脆弱性DB）の更新」 → 「更新」をクリックします。これで、オンライン上のデータベースからではなく、updatedbフォルダーからパッチ情報を取得します。

3. パッチスキャンの実行

次に、管理対象PCでパッチスキャンを実行して、欠落しているパッチを特定します（この手順は、Patch Manager Plusサーバーがオンラインの場合の手動パッチスキャン実行と変わりません）。

1. ［システム］タブ → ［管理中のシステム］ → ［システムスキャン］ を開き、「すべてスキャン」 をクリックします。
2. すべての管理対象PCで、スキャンが完了したことを確認します。

4. パッチのダウンロード

パッチダウンロードに必要な欠落パッチ一覧を出力し、パッチダウンロード用のコンピューターで必要なパッチをダウンロードします。

• 注：これ以降の手順に代えて、個々のパッチをベンダーのサイトからダウンロードし、コンソール画面上でアップロードすることも可能です。詳細は パッチのアップロード をご覧ください。

1. ［パッチ］タブ → ［パッチ］ → ［欠落パッチ］ → 「欠落パッチをエクスポートする」 をクリックします。これにより、ダウンロードする必要がある欠落パッチ・依存パッチの一覧が downloadUrlJson.txt としてエクスポートされます。
2. downloadUrlJson.txt を、インターネットに接続したPCのUpdateManagerフォルダーにコピーします。
3. コマンドプロンプトを開き、以下のコマンドを実行します。
   

   patchsync.bat -c dwnpatch -f downloadUrlJson.txt

4. 欠落しているすべてのパッチがUpdateManagerフォルダー内にできたstoreフォルダーにダウンロードされます。ダウンロードが完了したら、storeフォルダーの内容をコピーし、Patch Manager Plusサーバーのパッチリポジトリに追加します
   （パッチリポジトリのデフォルトの場所は
   <Patch Manager Plusサーバーのインストールディレクトリ>\webapps\DesktopCentral\store です。なお、リポジトリの場所は変更可能です）。
5. ［パッチ］タブ → ［パッチ］ → ［ダウンロード済みパッチ］ を開きます。「ダウンロード済みパッチを更新する」をクリックします。

手動でダウンロードしたすべてのパッチが、配布可能になりました。続いて、通常の手動配布を実行します。

この記事は、こちらのページおよびこちらのページ（英語）を参考にしています。