この記事ではシステム管理アプライアンス(SMA)のパッチスケジュールの作成について説明します。
SMA上で配布可能に設定したパッチを実際に展開するにはパッチスケジュールを作成・実行する必要があります。
1. パッチの展開が行える条件について
SMAからエージェントデバイスへパッチを配布するには 最初に導入可能なパッチの調査を行い、デバイスのOSに対してインストールが可能かどうかを確認します。これを "検出" タスクと呼びます。
検出タスクは アクションとして[検出と展開] または[検出]または[検出及びステージ]が指定されたパッチスケジュールによって実行されます。
展開タスクは アクションとして[検出と展開] または [展開]が指定されたパッチスケジュールにて実行されます。
アクションが [検出と展開] のパッチスケジュール では 最初に 検出タスクが行われ、その後に展開タスク が実行されます。
検出タスクにより未適用(不在、NOTPATCHED)として認識されたパッチだけが、展開アクションを持つスケジュールによって配布可能となります。
SMAからパッチが配布可能となる条件:
・そのパッチがSMAのKACEパッチカタログにおいてアクティブのステータス(サブスクライブされている かつ 有効)である
・そのパッチが検出タスクにより対象デバイス上でパッチ未適用(NOT PATCHED)と判定された状態である
・そのパッチがパッチスケジュールにおいて展開アクションのパッチラベルに含まれる
各アクションを行うスケジュールは別々に設定することも可能です。
パッチスケジュールの [検出と展開] と [展開] の違いについて (4314965)
また、「検出およびステージ」、「検出、ステージおよびオンデマンド展開」というアクションが追加されています(バージョン11.0以上)。これにより「展開」時の転送量ピークを分散したり展開アクション開始をユーザーの操作にゆだねることができます。 パッチのオンデマンド展開の設定方法(Windowsのみ)
2. パッチスケジュールの作成
2-1. セキュリティ | パッチ管理|スケジュール: 見つからないパッチの検出、展開、ロールバック へ移動し、アクションから 新規作成 を選択します。
メモ: v11.0からウィザード形式で編集できるようになっています。クラシックビューを選択すれば従来通り一つの画面で編集できます。
| 項目名 | 値 | 説明 |
| 名前 | テキスト(必須) | パッチスケジュール名を入力します。例: PT_Win_Latest_APSB_Flash |
| 説明 | 空白 | スケジュールの説明を加える(任意) |
| デバイス | デバイスを選択 | このタスクを実行する対象のデバイス指定します。 |
| デバイスラベル | デバイスラベルを選択 | そのデバイスを含むラベルを指定します。デバイスラベルが作成されている必要があります。 |
| オペレーティングシステム | リストから選択 | OSを絞り込む場合に使用します。未選択では すべて が対象になります。 |
| 検出・展開 | パッチラベルを選択 | アクションに合わせてそれぞれパッチラベルを1つ以上指定します。 例:PSL_Win_FlashPlayer v11.0以上では 「推奨基準の選択」メニューからスマートラベルを半自動で生成して割り当てることができます。必ずしもお客様のニーズに合致するとは限りませんが、スマートラベル作成ウィザードで編集できるため適宜内容を確認・編集してお使いください。 ラベルを1つも指定しないとサブスクリプション上有効なすべてのパッチ が検出または展開の対象パッチとなってしまいます。※ 「検出と展開」では検出用、展開用にそれぞれ1つ以上の別々のパッチラベルを割り当てることができますが特に理由がなければ同じラベルを割り当ててください。 |
| タイムアウト時間 | 検出または展開アクションそれぞれでタイムアウト時間を指定します。 1,2,4,6,8時間 | |
| 展開の最大試行回数 | 1-10 | デバイス上にてパッチ展開タスクがインストールを行ったが適用されなかった場合、次の展開タスクで試行するかどうかのカウントです。 あるデバイス上での各パッチの試行回数がこの値に達している場合、展開スケジュールが走ってもそのパッチのインストールは試みられなくなります。 試行回数をリセットするには デバイス単位:デバイス毎の全パッチの試行回数をリセットするには デバイスインベントリにて [試行回数のリセット] を押します。 パッチ単位:パッチ毎のすべてのデバイスについてのパッチ試行回数をリセットするには パッチ詳細 にて [保存] を押します。 |
| 項目名 | 値 | 説明 |
| アクション | [検出] [検出とステージ] [検出、ステージ、およびオンデマンド展開] [検出と展開] [展開] [検出とロールバック] [ロールバック] |
このスケジュールで行うパッチアクションを選択します。
|
| 検出・展開 | パッチラベルを選択 | アクションに合わせてそれぞれパッチラベルを1つ以上指定します。 例:PSL_Win_FlashPlayer v11.0以上では 「推奨基準の選択」メニューからスマートラベルを半自動で生成して割り当てることができます。必ずしもお客様のニーズに合致するとは限りませんが、スマートラベル作成ウィザードで編集できるため適宜内容を確認・編集してお使いください。 ラベルを1つも指定しないとサブスクリプション上有効なすべてのパッチ が検出または展開の対象パッチとなってしまいます。※ 「検出と展開」では検出用、展開用にそれぞれ1つ以上の別々のパッチラベルを割り当てることができますが特に理由がなければ同じラベルを割り当ててください。 |
| タイムアウト時間 | 検出または展開アクションそれぞれでタイムアウト時間を指定します。 1,2,4,6,8時間 | |
| 展開の最大試行回数 | 1-10 | デバイス上にてパッチ展開タスクがインストールを行ったが適用されなかった場合、次の展開タスクで試行するかどうかのカウントです。 あるデバイス上での各パッチの試行回数がこの値に達している場合、展開スケジュールが走ってもそのパッチのインストールは試みられなくなります。 試行回数をリセットするには デバイス単位:デバイス毎の全パッチの試行回数をリセットするには デバイスインベントリにて [試行回数のリセット] を押します。 パッチ単位:パッチ毎のすべてのデバイスについてのパッチ試行回数をリセットするには パッチ詳細 にて [保存] を押します。 |
※ タスクにラベルを割り当てない状態 にするとサブスクリプションで許可されたすべてのパッチが対象となり、検出および展開で時間がかったり、意図しないパッチの検出・展開が行われる可能性があるためお勧めしません。(ソフトウェアインストーラー有効かつSmartLabelで絞り込みをしない状態で検出・展開が行われる状況)
パッチスケジュールにはかならずパッチを特定するラベルを付与するようにしてください。
SMAのパッチスマートラベル と作成例 (4257254) では検出・展開に有用なパッチラベルのサンプルの作成方法を紹介しています。
[検出およびステージ]アクションでのパッチ転送について
[検出およびステージ]アクションは 展開アクション(インストール)を行わず、検出と本体ファイルの転送のみを行う機能ですが、未適用パッチと判定されたパッチファイルのすべてを転送するわけではありません。
そのデバイスを実行対象とする1つ以上のパッチスケジュールにおいて展開アクション(展開/検出と展開/オンデマンド展開) が指定され、展開パッチラベルにそのパッチが含まれている必要があります。そのパッチスケジュールのスケジュールオプションは なし でもパッチ本体ファイルの転送は行われます。
デバイス タブ:
| 項目名 | 値 | 説明 |
| デバイスラベル | デバイスラベルを選択 | そのデバイスを含むラベルを指定します。デバイスラベルが作成されている必要があります。 |
| デバイス | デバイスを選択 | このタスクを実行する対象のデバイス指定します。 |
| オペレーティングシステム | リストから選択 | OSを絞り込む場合に使用します。未選択では すべて が対象になります。 |
展開タスク開始時のダイアログの挙動、タイムアウト時のアクション、パッチ適用前(初期メッセージ)、適用中(進行状況メッセージ)、適用後(完了メッセージ)に表示させたいダイアログを制御します。
[検出]アクションのみのスケジュールでは表示されません。
注意:ユーザーがデスクトップログオンしていない場合、この設定にかかわらずパッチ展開が開始されます。
| 項目名 | 値 | 説明 |
| オプション | [サイレント] [OK/再通知] [OK/キャンセル] [OK/再通知/キャンセル] | デスクトップユーザーにどのような選択肢を見せるか指定します。 [サイレント]: 初期メッセージダイアログを表示しません。パッチ展開は自動的に開始します。 [OK/再通知]: 初期メッセージダイアログが表示されます。再通知ボタンが押されるとパッチ展開は開始されず次の通知期間を待ちます。 [OK/キャンセル]: 初期メッセージダイアログが表示されます。キャンセルボタンが押されるとパッチ展開は行われないまま終了します。 [OK/再通知/キャンセル]: 初期メッセージダイアログが表示されます。再通知ボタンが押されるとパッチ展開は開始されず次の通知を待ちます。キャンセルボタンが押されるとパッチ展開は行われないまま終了します。 |
| タイムアウト(分) | 1-1440 | ダイアログ表示後、応答を待つ期間です。 |
| タイムアウトアクション | 選択肢はオプション依存 | ダイアログ表示後未応答でタイムアウト経過したときの既定アクションを設定します。 |
| 再通知間隔(分) | 1-1440 | 再通知の選択後、次回に再通知が表示されるまでの間隔です。 |
| 限度まで再通知 | チェックにて有効 | 再通知の回数を設定できるようにします。 限度を超えた場合にはOKとして進みます。 |
| 試行回数 | 1-999 | 何度再通知ダイアログを表示するかを指定します。試行回数1で実行時に[再通知]が選択されると次の間隔後に自動的にOKへ進みます。 |
| 初期メッセージ | テキスト | 展開タスク開始前に通知ダイアログに表示されるメッセージテキストです。 |
| 進行状況メッセージ | テキスト | 展開実行中に表示されるメッセージテキストです。通知オプション[ブランク]でもこの欄に文字が含まれていれば表示されます。 |
| 完了メッセージ | テキスト | 展開タスク完了後に表示されるメッセージテキストです。通知オプション[ブランク]でもこの欄に文字が含まれていれば表示されます。 |
システムの再起動が必要なパッチがインストールされた際にシステムの再起動とユーザーへの表示メッセージを制御します。
[検出]アクションのみのスケジュールでは選択できません。
重要
| 項目名 | 値 | 説明 |
| オプション | [再起動しない] [ユーザーにプロンプトを表示] [強制的に再起動] | パッチ展開タスクの完了後、どのように処理するかを選択します。 再起動しない] : 再起動しません。 [ユーザーにプロンプトを表示] : ユーザに尋ねるプロンプトを表示します。 [強制的に再起動] : 強制的に再起動します。 |
| 誰もログインしていない場合、自動的に再起動 | チェックにて有効 | パッチ展開タスクの完了時にデスクトップへのログオンが無ければ、上記設定にかかわらずシステムを再起動させる設定です。 |
| メッセージ | テキスト | 再起動プロンプトに表示させるテキスト。このメッセージテキストのデフォルト値は日本語で表示されていますが、日本語を反映するには テキストの一部を編集して保存してください。このテキストに改行コードは含めないでください。 |
| タイムアウト(分) | 1-1440 | プロンプトが表示されて応答がない場合に待つ時間 |
| 以降は[ユーザーにプロンプトを表示]選択時のみ設定可能 | ||
| タイムアウトアクション | [再起動の遅延(分)] [今すぐ再起動] [後で再起動] | タイムアウト時間内にダイアログに応答しなかった場合の既定アクションです。 [再起動の遅延(分)] : 0-1440、指定時刻後に再起動します。 [今すぐ再起動] : 今すぐシステムの再起動が開始されます。 [後で再起動] : 次のプロンプトが表示されるまで待ちます。 |
| プロンプト数 | 1-999 | 再起動プロンプトを表示させる回数。この回数分再起動を拒否した場合、システム再起動が開始されます。 |
| プロンプト再表示間隔(分) | 1-1440 | 再起動ダイアログの通知を行う際の再表示間隔です。 |
「ユーザーにプロンプトを表示」かつ「誰もログインしていない場合自動的に再起動 オフ」かつ「タイムアウトアクション:後で再起動」の設定においては、
パッチ展開が開始した後で画面をロックした場合には最初のタイムアウト時間のあと (プロンプト再表示間隔+タイムアウト時間)×プロンプト数 を経過して再起動になります。
同じ条件でサインアウトした場合、タイムアウト時間は適用されず、(プロンプト再表示間隔)× プロンプト数 のあとで再起動となります。
このパッチスケジュールの定期実行スケジュールを設定します。
| 項目名 | 値 | 説明 |
| スケジュール | なし、周期、時刻指定、 Cron形式 等 | このパッチタスクの開始日時を指定します。 毎月第N何曜日何時何分のような指定も可能です。(v7.1以上) |
| タイムゾーン | [サーバー] [エージェント] | スケジュールのタイムゾーンでどちらのTZを採用するか指定します。時刻指定型のスケジュールオプションと使用できます。デフォルトではSMAサーバーのタイムゾーン時刻が適用されます。 |
| オフラインの場合は次の接続後に実行 | チェックにて有効 | 有効にすると スケジュールが開始したときにデバイスの接続がオフラインでもスケジュールなしで完了せずに次に接続したときにタスクが開始します。 |
| 再接続の実行を遅延(分) | 0-1440 | 上記オプションが有効で、オフラインのままパッチタスクがデバイスにアサインされたとき 再接続後、指定時間経過してからタスクがデバイス上で開始されます。 |
| 次の後に終了(分) | 0-1440 | パッチタスクが開始されて 指定時間経過するとスケジュールを完了させるための設定です。 |
2-3. 保存
保存 ボタンをおすとパッチスケジュールが保存されます。
一旦保存するとスケジュールオプションが なし であっても 今すぐ実行 にて手動で開始することもできます。
3. その他
- パッチの展開を行う際には事前に1台以上で展開試験することをお勧めします。
- 検出・展開するパッチの種類はスケジュールに指定するパッチラベルにより決定されます。
スケジュールとラベルの組み合わせにより、「特定の種類のパッチは検出のみ行うものとする」「日中に展開するパッチはシステム再起動を必要としないものだけを対象とする」というようなスケジュールの構成が可能です。
- 1台のデバイス上で複数のパッチスケジュールが同時刻帯に走らないようにスケジュールを調整してください。
-【重要】「不足ファイルのみダウンロード」するダウンロードオプション設定時のパッチスケジュールの動作について
1.アクションに[検出と展開]を持つパッチスケジュールタスクが開始されるとデバイスがパッチスケジュールのラベルに基づきパッチの検出を行います。
2.未適用(NOTPATCHED, 不在)のパッチが報告されると そのパッチがSMA上に未ダウンロードの場合、その30分(以内)後に SMAサーバーはパッチファイルのダウンロードを開始します。この間デバイス上のパッチ展開タスクはダウンロードを待ちます。
3.サーバー上にファイルがダウンロードされるとパッチスケジュールのパッチ展開タスクが実際のインストールを始めます。
この30分のタイムラグを減らしたい場合 展開予定時刻(例: 18:00とする)の前の時刻(12:00)に「アクション: 検出」のスケジュールを追加作成しておき、検出およびダウンロードを完了させた状態で、「検出と展開」または「展開(のみ)」のスケジュールを実行する方法が考えられます。
レプリケーション共有を使用している場合にはアプライアンス上でダウンロード済みのパッチ本体ファイルの各共有への複製スケジュールも考慮する必要があります。
