KACE SMAをv13.2からv14.0へアップグレードする手順 (4375860)

■はじめに

技術文書 KACE SMA 14.0

• リリースノート

  Quest® KACE® Systems Management Appliance 14.0 Common Doduments Release Notes

  新機能と強化点、廃止される機能、解決済みの問題、既知の問題、システム要件、アプライアンスの更新等
  新着情報のKB記事と合わせてお読みください。32ビットWindows OSのサポート終了やOVAL、HP Warranty表示の終了について記載されています。

• 技術仕様 (Technical Specifications for Virtual Appliances)

  仮想化インフラストラクチャ要件(Virtualization Infrastructure Requirements)

• バージョン 14.0 新着情報 

■前提要件

• 重要: 仮想マシンRAMの最小要件は8GBです（v13.0から）。仮想マシンに割り当て済みのRAMのサイズをご確認いただき、必要に応じてアプライアンスを停止しメモリの割り当てを増やしてください。

• 仮想化ホスト
  ESXi 8.0以上(FreeBSD 14.0のため)   詳細
  Windows Server 2019以上の Hyper-V (2016は終了 )
  Nutanix AOS 5.20.1.1 (LTS) 以上

• 物理アプライアンス(13Gベース含むすべて)はバージョン13.2からサポートされなくなりました。物理アプライアンスかつv13.1までのバージョンでご利用中の場合アップグレード前に仮想アプライアンスへの移行 を行ってください。

• /usr, /var, /tmp の各パーティションのサイズ（使用量や空きではない）が少なくとも12GBあることを確認してください。( sizereportまたはサーバーログファイル ( kbox\tmp\debug_info_* のdf 結果 ）から確認します )

• SMAサーバーの最小バージョン: 13.2.182 （現バージョンの確認手順 ）

• エージェントの最小バージョン: Agent 11.0 (サポートされないバージョンのアップデートは 【補足】 参照)

サーバーバージョンが前提を満たしていない場合、満たすように前のリリースから更新を行ってください。

参考記事: SMAサーバーおよびエージェントのアップグレードパス (4284819)

★重要: 大きな変更としてこのリリース(14.0)からWindows用KACEエージェントは 64-Bit ネイティブプログラムとして提供されます。
以前の 32-Bitのプログラムであることを前提にお客様が作成した既存のカスタムインベントリルールやスクリプトの挙動がエージェント更新後に変わることがあります。以下の記事にガイダンスを作成しましたのでお手数ですがエージェントの更新前までにご対処願います。
14.0以上のWindows用64bit版エージェント更新の準備 (4375863)

■推奨事項

1. バックアップファイルおよびシリアル番号の取得

   バージョンアップ作業前にはKACE SMAのメンテナンスバックアップによる直近のバックアップをKACE SMA外部に保存しておくことを強く推奨します。

   KACE SMA上でのバックアップデータの作成は、デフォルトで毎日夜間のメンテナンス時刻で行われております。FTPで取得する、あるいはオフボード転送機能によりSMAの外部に保管してください。

   以下のファイルを取得します。（yyyymmdd: ベースバックアップの日付、YYYYMMDD: 差分バックアップの日付）

   • ベースバックアップのダウンロード: yyyymmdd_k1_base_version.tgz
     差分バックアップのダウンロード: yyyymmdd_k1_incr_version_YYYYMMDD.tgz

     詳細は次の記事をご確認ください:
     バックアップファイルを自動で指定のディレクトリに転送する方法 (4287864) … ローカルでのバックアップファイル作成時にSFTP/Amazon S3/Azure Blob Storage/Samba/FTP等を使用して宛先へアップロードする（推奨）

     手動でK1000のバックアップを行いバックアップファイルを取得する方法 (4298818) … FTPクライアント経由でSMAからダウンロードする;従来。

   • シリアル番号 …バージョン13.1 以上ではバックアップファイルがシリアル番号で署名されるようになりました 。SMAの障害発生後にバックアップデータを使用して復元するためにシリアル番号をメモしておいてください。
2. KACE SMAでは一度上げたバージョンを直接ダウングレードすることはできません。詳細については以下の記事をご確認ください。

   KACE SMAのバージョンをアップグレード前に戻す手順について（4257215)

3. アプライアンスのデータベースアクセスを有効化かつSSL証明書を構成している場合、最長10年のCA証明書の期限が近付いたことでアップグレードのキャンセルが発生する可能性があります。後述の【補足2】 アップグレード開始後 '[notice] K1000 Server Update VERSION ABORTED - Renew MySQL CA certificate - expires within 90 days 'メッセージが表示され作業がキャンセルされる場合の対処 をご参照いただき発生前あるいは発生後に対処してアップグレード作業を（再）開始してください。

■アップグレードの手順

1. バージョン更新用ファイル(.kbin)の入手

   以下のページにアクセスし、画面上の サインイン からサインインします。サインインパスワードがわからない場合、パスワードのリセットを実施ください

   最新リリースのダウンロード https://support.quest.com/ja-jp/download-product-select

   検索欄にて、KACE Systems Management Appliance を検索して選択します。 その後、製品バージョン を選択して各ファイルのダウンロードを実施します。

   • 14.0 サーバー更新ファイル: k1000_server_14.0.334.kbin (2024/May/28th)

     1. 製品バージョンから[14.0] を選択します。
     2. Update の「KACE Systems Management Appliance 14.0.334」あるいは その行の下矢印をクリックするとダウンロード選択がされます。
     3. [ダウンロードに追加]→[今すぐダウンロード]をクリックしてダウンロードします。

   • 14.0 エージェント更新ファイル Agent Bundle: k1000_agents_14.0.97.kbin (2025/FEB/26th )

     1. 製品バージョンから[14.0] を選択します。
     2. Agent Bundles の「KACE Systems Management Appliance (SMA) 14.0.97 Agent Bundle」あるいは、その行の下矢印をクリックするとダウンロード選択がされます。
     3. [ダウンロードに追加]→[今すぐダウンロード]をクリックしてダウンロードします。

2. サーバー 14.0.334 へのアップグレード

   1. SMAサーバーの管理コンソールに 管理者ユーザーでログイン後、下記の項目へと進みます。

      現在のバージョン が 13.2.182 を満たすことを確認します。

      • (単一組織の場合) KACE 管理コンソールにログインし、設定 | アプライアンスの更新 へ移動します。
      • (複数組織が有効の場合)KACE管理コンソールにログインし、組織: システム に切り替え、設定 | アプライアンスの更新 へ移動します。

   2. 更新を開始します。

      使用可能な更新 が 14.0.334 となっている場合には [今すぐ更新]ボタンを押します。

      使用可能な更新 が 14.0.334 となっていない場合 あるいは 無し の場合、手動更新 にて、サーバー更新ファイルを指定して 更新 を押します。

       

      アップグレード画面が表示されている間、サーバーやサービスの再起動が行われます。手動でのSMAサーバーの再起動・停止/電源停止等は実施しないでください。

      Webブラウザから管理インターフェース画面の利用が可能になりましたら使用許諾の確認が表示されます。

      ログイン後、画面右上の ○に？のアイコン | ○に小文字アイのバージョン情報アイコンをクリックし、 バージョンの表示が 14.0.334 となったことを確認してください。

      

      アプライアンスの更新 ページでは次のメッセージが示されますがこれは問題性のないメッセージです。

      - 'アプライアンスのアップグレードを実行する場合、SMA でポート 52231 がアクセス可能で、コンソールのアップグレードを表示できることを確認してください（アップグレード中のみ利用可能）。
      参考: 「アプライアンスの更新」ページに情報メッセージが表示される (4261312) 
3. 累積更新パッチ2  2024年12月2日更新
   リリース14.0向けに累積 パッチ3 がリリースされました。KACE SMA 14.0 の累積更新 こちらを適用するとバージョン14.0.334(または335)から14.0.338(Patch 3)になります。

4. エージェントの14.0 への自動更新

   自動でエージェントバンドルがダウンロードされた場合には以下のバンドル更新・確認の手順から実施します。 エージェントバンドルファイルを手動でアップロードする場合の適用の手順.から実施します。 カスタムインベントリや各種スクリプト、管理対象インストールなどのタスクアクションの挙動が変わりうる構成の場合、事前に変更してください。

   1. エージェントバンドルを更新します。

      • (単一組織の場合) KACE管理コンソールにログインし、 設定 | アプライアンスの更新 へ移動します。
      • (複数組織が有効の場合) KACE管理コンソールにログインし、組織:システムに切り替え、設定 | アプライアンスの更新 へ移動します。

   2. バージョン情報の確認 エージェント：使用可能なバージョンが 14.0.97 となっていることを確認します。なっていなくてもkbinファイルが使用出来ますので次に進んでください。

   3. バンドルの適用

      • (単一組織の場合) 設定 ｜ プロビジョニング へ移動します
      • (複数組織が有効の場合) 管理コンソールから（システムを”除く”）各組織で、設定 ｜ プロビジョニング へ移動します。

   4. KACEからのエージェントのアップデート: すべての通知エージェント更新を表示 をクリックします。

   5. 通知更新タブにて アップデートの削除 をクリックします。登録済みのバンドルが削除されます。

   6. 使用可能なエージェントバンドル で 14.0.97が利用可能な場合には [適用] を押します。 エージェントバンドルファイルを使用する場合、エージェントバンドルのアップロードタブへ移動して バンドルされたエージェントファイル(.kbin) からエージェントバンドルファイル k1000_agents_14.0.97.kbin を選択してアップロードします。

      通知更新 の エージェントバージョン が 14.0.97 になったことをご確認ください。

   7. 登録済みのデバイスエージェント更新

      （設定｜プロビジョニング｜エージェントアップデートポリシーの設定の ）設定タブ へ移動し、有効欄を確認してチェックを入れます。

      個別デバイスおよびデバイスラベルを指定して保存することでデバイスへのエージェント更新がスケジュールされます。エージェントソフトウェアが更新されると、デバイスインベントリの エージェントのバージョン に新しいバージョンが反映されます。

      エージェントからサーバーに接続されていれば次回のチェックインの周期で更新がおこなわれますが、念のため一晩程度お待ちください。

      台数が多い場合にはネットワークへの負荷が懸念されます。一度にすべてのマシンに更新をするのではなくラベル等で指定して順次更新を進めるかレプリケーション共有を使用して負荷を調整ください。 （1台あたりWin:78MB,Mac:154MB,RHEL:74MB程度の転送が発生します）

エージェントの更新手順は以上となりますが アップデート後のタスク として「正常に完了していることの確認」「セキュリティ設定の確認」を実施いただくことをお勧めします。

重要: SMA v12.0以上の環境ではエージェント管理デバイスをインベントリに追加するには、11.0以上のエージェントが必要かつ、検疫状態での手動承認を行うかトークンによる承認が必要となります。(v10.2およびそれより古いバージョンは完全に接続できません。)
エージェントの検疫について (4277104)
バージョン11.0: トークンを使用するエージェントの手動インストール (4248713)
バージョン11.0での新機能: 適切なトークンが組み込まれたエージェントインストーラーを取得する (4263456)

【補足】互換性のないエージェントの更新について

更新後のサーバーでのエージェントバージョンが最小要件未満となる場合、自動更新によるアップデートは保証されません。（テクニカルサポートでは自動更新が機能する想定でのトラブルへの対応は行いません）
SMAサーバーおよびエージェントのアップグレードパス (4284819)
アップグレード前にサポート対象バージョンへ更新していただくか、困難な場合サーバーアップグレード後に手動あるいはKACE以外の仕組みでの更新をご検討ください。

(1) Agent msiとmsiexecコマンドを使用して手動でインストールする(非対話、ホスト名指定、トークン指定)

msiexec /qn /i ampagent-14.0.91-x64_SMAWebサーバー名.msi TOKEN=トークン文字列

あるいは

msiexec /qn /i ampagent-14.0.91-x64.msi HOST=SMAWebサーバ名 TOKEN=トークン文字列

あるいは

msiexec /qn /i ampagent-14.0.91-x64_K1000Webサーバー名+トークン文字列.msi

(2) 何らかのツールを使用してリモートでのインストールを行う

例 PSTools/PSexec を利用してKACE エージェントを遠隔操作する方法 (4297030)

(3) ActiveDirectoryのGroupPolicyを使用する(非GPO Provisioning Tool)

GPO によるKACEエージェントインストール方法(4214197)


【補足2】 アップグレード開始後 '[notice] K1000 Server Update 14.0.334 ABORTED - Renew MySQL CA certificate - expires within 90 days 'メッセージが表示され作業がキャンセルされる場合の対処

外部データベースアクセス用証明書（設定したことがある場合のみ）が期限切れ近くになっている場合に更新ログに上述のエラーが表示されてアップグレードが阻止されます。
[確認方法]
1. 設定 › コントロールパネル › セキュリティ設定 にて
2. 「データベースアクセスを有効にする」（チェックボックス：オン）ー「セキュアデータベースアクセス（SSL）の有効化」を有効（チェックボックス：オン）にします。
3. 表示される 'CA 証明書の表示' をクリックします。
4. CA証明書のテキストエリア内を丸ごと（-----BEGIN CERTIFICATE-----から-----END CERTIFICATE-----までそれ自体も含めてすべて）をテキストで保存して、opensslコマンドで確認します。
$ openssl x509 -text -noout -in ファイル名
Linux/Unix等openssl環境が手元になければ 外部のサービスを使用して表示することもできます。
https://www.sslchecker.com/certdecoder
出力例:
$ openssl x509 -text -noout -in databasecafile.pem
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 0 (0x0)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = US, ST = CA, L = Mountain View, O = KACE, OU = CA, CN = kace.com, emailAddress = noreply@kace.com
Validity
Not Before: Jun 28 06:03:11 2021 GMT
Not After : Jun 26 06:03:11 2031 GMT
Subject: C = US, ST = CA, L = Mountain View, O = KACE, OU = CA, CN = kace.com, emailAddress = noreply@kace.com
...
（後略）
Not Before、Not AfterがこのCA証明書の有効期間を示しています。

[対処]
以下の手順でデータベースアクセス用のCA証明書をリセット（デフォルトの再作成）してみてください。
1.設定 › コントロールパネル › セキュリティ設定
2. 「データベースアクセスを有効にする」(チェックボックス：オン)ー「セキュアデータベースアクセス（SSL）の有効化」を有効（チェックボックス：オン）
3. 「デフォルト証明書の無効化」をクリック（「ファイルの選択」を伴うラベルが３つと「デフォルトの証明書にリセット」が表示されます）
4. 「デフォルトの証明書にリセット」 をオンにします。
5. ページの「保存してサービスを再起動」ボタンをクリックします。
注：サービスの再起動は時間はかかりませんが、実行中のタスクが中断されるか、サーバーへの接続が切断される可能性があります。
6. 画面が戻ったら 【確認方法】の手順でもう一度CA証明書をチェックして有効期間が変わっていることを確認します。
90日で有効期限が切れる状態ではなくなったら「セキュアデータベースアクセス（SSL）の有効化」は無効化して構いません。
その後、再度アップグレードを試みてください。

参考情報: 
Expired or weak MYSQL certificated may cause issues after an upgrade (4371414) 
SMA Server update stops with message: Renew MySQL CA certificate - expires within 90 days (4376237)