KACE SMAをv13.1からv13.2へアップグレードする手順 (4374004)

■はじめに

技術文書 KACE SMA 13.2

• リリースノート

  Quest® KACE® Systems Management Appliance 13.2 Release Notes

  新機能と強化点、廃止される機能、解決済みの問題、既知の問題、システム要件、アプライアンスの更新等

• 技術仕様 (Technical Specifications for Virtual Appliances)

  仮想化インフラストラクチャ要件(Virtualization Infrastructure Requirements)

  ESXi 7.0以上(FreeBSD 13.xのため)
  Windows Server 2016 / Windows Server 2019 のHyper-V
  Nutanix AOS 5.20.1.1 (LTS) 以上
  重要: v13.0から仮想マシンRAMの最小要件が8GBになりました。12.1からのアップグレード前に仮想マシンに割り当て済みのRAMのサイズをご確認いただき、必要に応じてアプライアンスを停止しメモリの割り当てを増やしてください。
  物理アプライアンス(13Gベース含む)は本バージョン(v13.2)からサポートされなくなりました。物理アプライアンス上では本バージョンへのアップグレードは出来ない（更新を試みても警告が出て中断されます）ためアップグレード前に仮想アプライアンスへの移行 を行ってください。

• バージョン13.2 新着情報

■前提要件

• /usr, /var, /tmp の各パーティションのサイズ（使用量や空きではない）が少なくとも12GBあることを確認してください。( sizereportまたはサーバーログファイル ( kbox\tmp\debug_info_* のdf 結果 ）から確認します )

• サーバーの最小バージョン: 13.1 （現バージョンの確認手順 ）

• エージェントの最小バージョン: Agent 11.0 (サポートされないバージョンのアップデートは 【補足】 参照)

サーバーバージョンが前提を満たしていない場合、満たすように前のリリースから更新を行ってください。

参考記事: SMAサーバーおよびエージェントのアップグレードパス (4284819)

■推奨事項

1. バックアップファイルおよびシリアル番号の取得

   バージョンアップ作業前にはKACE SMAのメンテナンスバックアップによる直近のバックアップをKACE SMA外部に保存しておくことを強く推奨します。

   KACE SMA上でのバックアップデータの作成は、デフォルトで毎日夜間のメンテナンス時刻で行われております。FTPで取得する、あるいはオフボード転送機能によりSMAの外部に保管してください。

   以下のファイルを取得します。（yyyymmdd: ベースバックアップの日付、YYYYMMDD: 差分バックアップの日付）

   • ベースバックアップのダウンロード: yyyymmdd_k1_base_version.tgz
     差分バックアップのダウンロード: yyyymmdd_k1_incr_version_YYYYMMDD.tgz

     詳細は次の記事をご確認ください:
     バックアップファイルを自動で指定のディレクトリに転送する方法 (4287864) … ローカルでのバックアップファイル作成時にSFTP/Amazon S3/Azure Blob Storage/Samba/FTP等を使用して宛先へアップロードする（推奨）

     手動でK1000のバックアップを行いバックアップファイルを取得する方法 (4298818) … FTPクライアント経由でSMAからダウンロードする;従来。

   • シリアル番号 …バージョン13.1 以上ではバックアップファイルがシリアル番号で署名されるようになりました 。SMAの障害発生後にバックアップデータを使用して復元するためにシリアル番号をメモしておいてください。
2. KACE SMAでは一度上げたバージョンを直接ダウングレードすることはできません。詳細については以下の記事をご確認ください。

   KACE SMAのバージョンをアップグレード前に戻す手順について（4257215)

3. アプライアンスのデータベースアクセスを有効化かつSSL証明書を構成している場合、最長10年のCA証明書の期限が近付いたことでアップグレードのキャンセルが発生する可能性があります。後述の【補足2】 アップグレード開始後 '[notice] K1000 Server Update 13.2.182 ABORTED - Renew MySQL CA certificate - expires within 90 days 'メッセージが表示され作業がキャンセルされる場合の対処 をご参照いただき発生前あるいは発生後に対処してアップグレード作業を（再）開始してください。

■アップグレードの手順

1. バージョン更新用ファイル(.kbin)の入手

   以下のページにアクセスし、画面上の サインイン からサインインします。サインインパスワードがわからない場合、パスワードのリセットを実施ください

   最新リリースのダウンロード https://support.quest.com/ja-jp/download-product-select

   検索欄にて、KACE Systems Management Appliance を検索して選択します。 その後、製品バージョン を選択して各ファイルのダウンロードを実施します。

   • 13.2 サーバー更新ファイル: k1000_server_13.2.182.kbin ( k1000_server_13.2.181.kbin  2023Dec13 追加情報 参照)

     1. 製品バージョンから[13.2] を選択します。
     2. Update の「KACE Systems Management Appliance 13.2.182」あるいは その行の下矢印をクリックするとダウンロード選択がされます。
     3. [ダウンロードに追加]→[今すぐダウンロード]をクリックしてダウンロードします。

   • 13.2 エージェント更新ファイル Agent Bundle: k1000_agents_13.2.26.kbin ( 2024Apr22更新 KB:4375402 )

     1. 製品バージョンから[13.2] を選択します。
     2. Agent Bundles の「KACE Systems Management Appliance (SMA) 13.2.26 Agent Bundle」あるいは、その行の下矢印をクリックするとダウンロード選択がされます。
     3. [ダウンロードに追加]→[今すぐダウンロード]をクリックしてダウンロードします。

2. サーバー v13.2.182 へのアップグレード

   1. SMAサーバーの管理コンソールに admin ユーザーでログイン後、下記の項目へと進みます。

      現在のバージョン が 13.1 を満たすことを確認します。

      • (単一組織の場合) KACE 管理コンソールにログインし、設定 | アプライアンスの更新 へ移動します。
      • (複数組織が有効の場合)KACE管理コンソールにログインし、組織: システム に切り替え、設定 | アプライアンスの更新 へ移動します。

   2. 更新を開始します。

      使用可能な更新 が 13.2.182 となっている場合には [今すぐ更新]ボタンを押します。

      使用可能な更新 が 13.2.182 となっていない場合 あるいは 無し の場合、手動更新 にて、サーバー更新ファイル: k1000_server_13.2.182.kbin を指定して 更新 を押します。

       

      アップグレード画面が表示されている間、サーバーやサービスの再起動が行われます。手動でのSMAサーバーの再起動・停止/電源停止等は実施しないでください。

      Webブラウザから管理インターフェース画面の利用が可能になりましたら使用許諾の確認が表示されます。

      ログイン後、画面右側の ”サポートが必要な場合” のバーをクリックし、表示される情報アイコンをクリックして、 バージョン の表示が 13.2.182 となったことを確認してください。

      更新後、ダッシュボードに次のメッセージが表示されることがありますが更新後の初回のバックアップ後に発生しなければ問題はありません。

      - '緊急: 1つまたは複数のエラーが発生したためK1000の日ベースのバックアップが失敗しました：「ベースバックアップ」ファイルが存在しません。「増分バックアップ」が存在しません。購入したばかりのK1000では、最初のバックアップが実行されるまでこれらのメッセージが表示されます。このメッセージが表示され続ける場合は、サポートにお問い合わせください。'

      参考: アップグレード後、緊急のバックアップエラーが発生(4262852)

      アプライアンスの更新 ページでは次のメッセージが示されますがこれは問題性のないメッセージです。
      - 'アプライアンスのアップグレードを実行する場合、SMA でポート 52231 がアクセス可能で、コンソールのアップグレードを表示できることを確認してください（アップグレード中のみ利用可能）。
      参考: 12.0以上では「アプライアンスの更新」ページに情報メッセージが表示される (4261312)

3. エージェントの13.2 への自動更新

   自動でエージェントバンドルがダウンロードされた場合には以下のバンドル更新・確認の手順から実施します。 エージェントバンドルファイルを手動でアップロードする場合の適用の手順.から実施します。

   1. エージェントバンドルを更新します。

      • (単一組織の場合) KACE管理コンソールにログインし、 設定 | アプライアンスの更新 へ移動します。
      • (複数組織が有効の場合) KACE管理コンソールにログインし、組織:システムに切り替え、設定 | アプライアンスの更新 へ移動します。

   2. バージョン情報の確認 エージェント：使用可能なバージョンが 13.2.26 となっていることを確認します。なっていなくても次に進んでください。

   3. バンドルの適用

      • (単一組織の場合) 設定 ｜ プロビジョニング へ移動します
      • (複数組織が有効の場合) 管理コンソールから（システムを”除く”）各組織で、設定 ｜ プロビジョニング へ移動します。

   4. エージェントのアップデート をクリックします。

   5. 通知更新セクションにて アップデートの削除 をクリックします。登録済みのバンドルが削除されます。

   6. エージェントバンドル 13.2.26が利用可能な場合には [適用] を押します。 エージェントバンドルファイルを使用する場合、 バンドルされたエージェントファイル(.kbin) からエージェントバンドルファイル k1000_agents_13.2.26.kbin を選択してアップロードします。

      通知更新 の エージェントバージョン が 13.2.26 になったことをご確認ください。

   7. 登録済みのデバイスエージェント更新

      設定｜プロビジョニング｜エージェントのアップデート へ移動し、エージェント設定の有効欄にチェックが入っていることを確認します。

      個別デバイスおよびラベルを指定することでデバイスへのエージェント更新がスケジュールされます。 エージェントソフトウェアが更新されると、デバイスインベントリの エージェントのバージョン に新しいバージョンが反映されます。

      エージェントからサーバーに接続されていれば次回のチェックインの周期で更新がおこなわれますが、念のため一晩程度お待ちください。

      台数が多い場合にはネットワークへの負荷が懸念されます。一度にすべてのマシンに更新をするのではなくラベル等で指定して順次更新を進めるかレプリケーション共有を使用して負荷を調整ください。 （1台あたりWin:74MB,Mac:147MB,RHEL:62MB程度の転送が発生します）

エージェントの更新手順は以上となりますが アップデート後のタスク として「正常に完了していることの確認」「セキュリティ設定の確認」を実施いただくことをお勧めします。

重要: SMA v12.0以上の環境ではエージェント管理デバイスをインベントリに追加するには、11.0以上のエージェントが必要かつ、検疫状態での手動承認を行うかトークンによる承認が必要となります。(v10.2およびそれより古いバージョンは完全に接続できません。)
エージェントの検疫について (4277104)
バージョン11.0: トークンを使用するエージェントの手動インストール (4248713)
バージョン11.0での新機能: 適切なトークンが組み込まれたエージェントインストーラーを取得する (4263456)

【補足】互換性のないエージェントの更新について

更新後のサーバーでのエージェントバージョンが最小要件未満となる場合、自動更新によるアップデートは保証されません。（テクニカルサポートでは自動更新が機能する想定でのトラブルへの対応は行いません）
SMAサーバーおよびエージェントのアップグレードパス (4284819)
アップグレード前にサポート対象バージョンへ更新していただくか、困難な場合サーバーアップグレード後に手動あるいはKACE以外の仕組みでの更新をご検討ください。

(1) Agent msiとmsiexecコマンドを使用して手動でインストールする(非対話、ホスト名指定、トークン指定)

msiexec /qn /i ampagent-xx.r.nn-x86_K1000Webサーバー名.msi TOKEN=トークン文字列

あるいは

msiexec /qn /i ampagent-xx.r.nn-x86.msi HOST=K1000Webサーバ名 TOKEN=トークン文字列

あるいは

msiexec /qn /i ampagent-xx.r.nn-x86_K1000Webサーバー名+トークン文字列.msi

(2) 何らかのツールを使用してリモートでのインストールを行う

例 PSTools/PSexec を利用してKACE エージェントを遠隔操作する方法 (4297030)

(3) ActiveDirectoryのGroupPolicyを使用する(非GPO Provisioning Tool)

GPO によるKACEエージェントインストール方法(4214197)


【補足2】 アップグレード開始後 '[notice] K1000 Server Update 13.2.182 ABORTED - Renew MySQL CA certificate - expires within 90 days 'メッセージが表示され作業がキャンセルされる場合の対処

Expired or weak MYSQL certificated may cause issues after an upgrade (4371414) にて案内されている不具合(13.2以後は解消)のため外部データベースアクセス用証明書（設定したことがある場合のみ）が期限切れ近くになっている場合に上述のエラーが発生します。
[確認方法]
1. 設定 › コントロールパネル › セキュリティ設定 にて
2. 「データベースアクセスを有効にする」（チェックボックス：オン）ー「セキュアデータベースアクセス（SSL）の有効化」を有効（チェックボックス：オン）にします。
3. 表示される 'CA 証明書の表示' をクリックします。
4. CA証明書のテキストエリア内を丸ごと（-----BEGIN CERTIFICATE-----から-----END CERTIFICATE-----までそれ自体も含めてすべて）をテキストで保存して、opensslコマンドで確認します。
$ openssl x509 -text -noout -in ファイル名
Linux/Unix等openssl環境が手元になければ 外部のサービスを使用して表示することもできます。
https://www.sslchecker.com/certdecoder
出力例: 
$ openssl x509 -text -noout -in databasecafile.pem
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 0 (0x0)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, ST = CA, L = Mountain View, O = KACE, OU = CA, CN = kace.com, emailAddress = noreply@kace.com
        Validity
            Not Before: Jun 28 06:03:11 2021 GMT
            Not After : Jun 26 06:03:11 2031 GMT
        Subject: C = US, ST = CA, L = Mountain View, O = KACE, OU = CA, CN = kace.com, emailAddress = noreply@kace.com
...
（後略）
Not Before、Not AfterがこのCA証明書の有効期間を示しています。

[対処]
以下の手順でデータベースアクセス用のCA証明書をリセット（デフォルトの再作成）してみてください。
1.設定 › コントロールパネル › セキュリティ設定 
2. 「データベースアクセスを有効にする」(チェックボックス：オン)ー「セキュアデータベースアクセス（SSL）の有効化」を有効（チェックボックス：オン）
3. 「デフォルト証明書の無効化」をクリック（「ファイルの選択」を伴うラベルが３つと「デフォルトの証明書にリセット」が表示されます）
4. 「デフォルトの証明書にリセット」 をオンにします。
5. ページの「保存してサービスを再起動」ボタンをクリックします。
注：サービスの再起動は時間はかかりませんが、実行中のタスクが中断されるか、サーバーへの接続が切断される可能性があります。
6. 画面が戻ったら 【確認方法】の手順でもう一度CA証明書をチェックして有効期間が変わっていることを確認します。
90日で有効期限が切れる状態ではなくなったら「セキュアデータベースアクセス（SSL）の有効化」は無効化して構いません。
その後、再度アップグレードを試みてください。