[SCCM] SCUP 2011 を導入する - その 1 - セットアップ編
サードパーティ製ソフトウェアのアップデート管理を SCCM から行うための、System Center Update Publisher 2011 (SCUP 2011) というツールがあります。
今回は、この製品を SCCM 2007 や SCCM 2012 と連携させ、使っていく手順のセットアップ編をご紹介します。
特に、SCCM 2012 を導入予定で、ソフトウェア配布やソフトウェアの更新プログラムの配信のやり方がイマイチわからない、というユーザー様は、今回の手順を一通り実施いただくことで、感覚をつかんでいただけるのではないでしょうか。
■構築手順の概要
A. SCUP 2011 の入手、およびインストール
B. SCUP 2011 で利用する自己署名証明書の作成
C. 作成した自己署名証明書をコンピュータ証明書ストアに登録
D. 作成した自己署名証明書をSCCM クライアントに配布
E. ドメイン グループポリシーの設定
F. SCCM での設定
■手順詳細
A. SCUP 2011 の入手、およびインストール
SCUP 2011 は、SCCM で「ソフトウェアの更新」ポイントとして利用している WSUS サーバ上か、WSUSサーバに接続が可能なサーバにインストールができます。
本手順では、「ソフトウェアの更新」ポイントとして利用している WSUS サーバで実施する手順をご案内いたします。
また、WSUS サーバは、最新版である WSUS SP2 である必要があります。
1. 下記 URL から事前に適用する .NET Framework 4.0 や修正プログラムを入手しインストールします。
Microsoft .NET Framework 4 (Web インストーラー) → SCCM 2012 サーバーの場合、既にインストールされています。
システム センター更新のパブリッシャーは発行しないカスタマイズされた更新プログラムをコンピューターに場合 WSUS 3. 0 SP2 とします。Net Framework の 4. 0 をインストールします。
https://support.microsoft.com/?kbid=2530678
2. 下記 URL から SCUP 2011 を入手します。
System Center Updates Publisher 2011
https://www.microsoft.com/download/en/details.aspx?displaylang=en&id=11940
3. 上記手順 2 で入手したインストーラーを実行して SCUP 2011 をインストールしてください。
※インストール時に指定できるオプションは、インストールパスのみとなります。
B. SCUP 2011 での設定
1. [スタート] メニューから SCUP 2011 管理コンソールを開き、 "Configure WSUS and Signing Certificate" をクリックします。
2. 「Update Server」のオプションにて、以下のとおり設定します。
2-1. "Enable publishing to an update server" にチェックをいれます。
2-2. "Connect to a local update server" を選択して [Test Connection] ボタンをクリックして、 "The connection test was successful." という文字が含まれるメッセージボックスが表示されることを確認します。
2-3. [Signing Certificate] 欄の [Create] ボタンをクリックしますと、 [Test Connection] メッセージボックスが表示されますので [OK] をクリックします。
※これにより、コンピューター証明書の [WSUS] -> [証明書] 配下にある自己署名証明書(WSUS Publishers Self-signed)が上書きされます。
3. 「ConfigMgr Server」のオプションにて、以下のとおり設定します。
3-1. "Enable Configuration Manager integration" にチェックをいれます。
3-2. SCCM サイト サーバが SCUP 2011 と同じサーバの場合は、"Connect to a local Configuration Manager server" を 選択し、別サーバの場合は "Connect to a remote Configuration Manager server" を選択して SCCM サーバ名を指定し、 [Test Connection] ボタンをクリックして、"The connection test was successful." という文字が含まれる メッセージボックスが表示されることを確認します。
4. SCUP 2011 にてインターネット接続する際にプロキシ設定が必要な場合は、「Proxy Settings」のオプションにて必要なプロキシ設定を行います。
5. [OK] ボタンをクリックして [System Center Updates Publiser Options] 画面を閉じます。
6. SCUP 2011 管理コンソールにて "Add Partner Software Updates Catalogs" をクリックします。
7. 画面左側から配布対象製品を選択して [Add >] ボタンで画面右側に追加し、[OK] ボタンをクリックします。
C. 作成した自己署名証明書をコンピュータ証明書ストアに登録
1. SCUP 2011 がインストールされているサーバで、[ファイル名を指定して実行] から MMC と入力して [OK] ボタンをクリックします。
2. [ファイル] - [スナップインの追加と削除] をクリックします。
3. 左ペインから [証明書] をクリックして [追加] ボタンをクリックします。
4. "コンピュータ アカウント" にチェックを入れて、[次へ]をクリックします。
5. "ローカル コンピュータ" にチェックし、[完了] をクリックします。
6. 右ペインに "証明書(ローカル コンピュータ)" が追加されていることを確認し [OK] をクリックします。
7. 左ペインにて、[証明書] -> [WSUS] -> [証明書] を選択して、中央ペインにある "WSUS Publishers Self-signed" 証明書が登録されていることを確認し、右クリックして [コピー] をクリックします。
8. 左ペインにて下記項目をそれぞれ右クリックして [貼り付け] をクリックします。
・[証明書] -> [信頼されたルート証明機関] -> [証明書]
・[証明書] -> [信頼された発行元] -> [証明書]
9. 左ペインにて、[証明書] - [WSUS] - [証明書] を選択して、中央ペインにある "WSUS Publishers Self-signed" 証明書を右クリックして [すべてのタスク] -> [エクスポート] をクリックします。
10. 初期設定値のまま [次へ] で進んでいただき、証明書ファイルをエクスポートします。
※エクスポートしたファイルは後述の「D. 作成した自己署名証明書を SCCM クライアントに配布」で利用します。
※ SCCM クライアントで Window XP や Windows Server 2003 が含まれる場合は、Certutil コマンドは既定で備えていませんので、Certutil.exe と Certadm.dll もあわせて取得していただき、後述のパッケージ作成にて証明書と同じフォルダに含めていただきますようお願いいたします。
Windows Server 2003 Administration Tools Pack
https://www.microsoft.com/en-us/download/details.aspx?id=16770
-> Windows Server 2003 のマシンにインストールし、certutil.exe と certadm.dll のみコピーしてきます。
-----注意事項-----
「Windows XP・Windows Server 2003」と「Windows Vista 以降の Windows」はそれぞれ分けてフォルダを作成して下さい。
- Windows XP・Windows Server 2003 用のフォルダ -> Certutil.exe と Certadm.dll、およびエクスポートした証明書 (.cer) ファイル
- Windows Vista 以降の Windows 用のフォルダ -> エクスポートした証明書 (.cer) ファイル のみ
------------------
11. SCUP 2011 がインストールされているサーバと、SCCM サーバが別サーバの場合は、上記のエクスポートした証明書を WSUS SCCM サーバのコンピュータ証明書ストアの下記項目にそれぞれインポートしてください。
・[証明書] -> [信頼されたルート証明機関] -> [証明書]
・[証明書] -> [信頼された発行元] -> [証明書]
D. 作成した自己署名証明書をSCCM クライアントに配布
上記「C. 作成した自己署名証明書をコンピュータ証明書ストアに登録」の手順 10 でエクスポートした証明書ファイルを SCCM の「ソフトウェアの配布」機能を利用して配布します。
パッケージの作成 (SCCM 2007)
-------------------------------------------
※ 手順 C-10 における注意点の通り、Windows XP や Windows Server 2003 においては、既定で Certutil.exe ツールを実装していません。
そのため、"Windows XP・Windows Server 2003 用" と "Windows Vista 以降の Windows 用" の 2 つに分けて作成して下さい。
ソース フォルダの指定の際、"Windows XP・Windows Server 2003 用" と "Windows Vista 以降の Windows 用" をそれぞれ選択する以外、手順は同じです。
提供情報についても、それぞれのクライアント OS の種類に分けて配信します。
1. SCCM 管理コンソールを開き、以下の場所に移動します。
System Center Configuration Manager
└ サイト データベース <サイト コード> - <サイト名>
└ コンピューターの管理
└ ソフトウェアの配布
└ パッケージ
2. [パッケージ] を右クリックし、[新規] → [パッケージ] を選択します。
3. [全般] 画面にて、パッケージの名称や付随する情報を入力し、[次へ] をクリックします。
4. [データソース] 画面にて、証明書ファイルが存在するディレクトリを入力し、 [次へ] をクリックします。
5. [データアクセス] 画面にて、 [次へ] をクリックします。
6. [配布の設定] 画面にて、 [次へ] をクリックします。
7. [レポート] 画面にて、 [次へ] をクリックします。
8. [セキュリティ] 画面にて、 [次へ] をクリックします。
9. [閉じる] をクリックすると、管理コンソール上にパッケージが作成されます。
10. 作成されたパッケージ名を展開し、[配布ポイント] を右クリックし、[新しい配布ポイント] をクリックします。
11. [ようこそ] 画面で、 [次へ] をクリックします。
12. [パッケージのコピー] 画面で、配布する際に使用する配布ポイントにチェックをいれ [次へ] をクリックします。
13. [閉じる] をクリックします。
14. 管理コンソール上で、[プログラム] を右クリックして、[新規] → [プログラム] をクリックします。
15. [全般] 画面にて、以下のとおり入力して [次へ] をクリックします。
名前:任意の文字列を入力(例:Root-addstore)
コマンドライン: certutil.exe -addstore -f Root <証明書ファイル名>
実行:通常
実行後:操作の必要なし
16. [要件] 画面にて、そのまま [次へ] をクリックします。
17. [環境] 画面にて、以下のとおり設定して [次へ] をクリックします。
プログラムの実行条件:ユーザーのログオン状態にかかわらず
実行モード:管理者権限で実行する
プログラムとの対話をユーザーに許可しない:チェックしない
ドライブモード:UNC 名で実行する
18. [詳細設定] 画面にて、 [次へ] をクリックします。
※クライアント側でインストール前に通知を行わせたくない場合は、"プログラムの通知を抑制する" にチェックを入れます。
19. [Windows インストーラ] 画面にて、 [次へ] をクリックします。
20. [MOM保守] 画面にて、 [次へ] をクリックします。
21. [概要] 画面にて、 [次へ] をクリックします。
22. [閉じる] をクリックします。
23. 再度、手順 14 ~ 22 の手順を実行して、以下のとおり設定してください。
※ [詳細設定] 画面にて、追加で下記を設定してください。
○[全般] 画面
名前:任意の文字列を入力(例:TrustedPublisher-addstore)
コマンドライン: certutil.exe -addstore -f TrustedPublisher <証明書ファイル名>
実行:通常
実行後:操作の必要なし
○[環境] 画面
プログラムの実行条件:ユーザーのログオン状態にかかわらず
実行モード:管理者権限で実行する
プログラムとの対話をユーザーに許可しない:チェックしない
ドライブモード:UNC 名で実行する
○[詳細設定] 画面
別のプログラムを最初に実行する:チェックを入れる
パッケージ:上記で作成した証明書配布用のパッケージ名
プログラム:Root ストアに登録するプログラム名(例:Root-addstore)
提供情報の作成 (SCCM 2007)
-------------------------------------------
上記の手順にて、パッケージを作成しましたら、配信を実施するために提供情報を作成します。
1. SCCM 管理コンソールにて、以下の場所に移動します。
System Center Configuration Manager
└ サイト データベース <サイト コード> - <サイト名>
└ コンピューターの管理
└ ソフトウェアの配布
└ 提供情報
2. [提供情報] を右クリックし、[新規] → [提供情報] をクリックします。
3. [全般] 画面にて以下の項目を入力します。
名前:この提供情報に使用する名前
パッケージ:上記手順で作成したパッケージ名
プログラム:上記手順で作成した TrustedPublisher ストアに登録するプログラム名(例:TrustedPublisher-addstore)
コレクション:配布対象のコレクションを指定
4. [スケジュール] 画面にて、以下のとおり設定して [次へ] をクリックします。
開始時刻:提供情報が有効となる開始時刻と指定(プログラムの実行時刻ではありません)
有効期限:必要であれば提供情報が有効期間の終了時刻と指定(ここで指定した日時以降はプログラムが提供されません)
必須の割り当て:対象クライアントに必ず適用させたい場合に指定します。指定した日時、またはイベントのタイミングで強制的にインストールが実行されます。
※イベントについて
・直ちに:該当提供情報のポリシーを受信した後、ローカルにダウンロード後すぐに実行されます。
・ログオン:ポリシー受信してローカルにダウンロードが完了した後にログオンのタイミングで実行されます。
・ログオフ:ポリシー受信してローカルにダウンロードが完了した後にログオフのタイミングで実行されます。
このとき、シャットダウンが実行されたタイミングでプログラムが実行される場合がありますが、
インストールが完了する前にシャットダウンが行われ、正常に終了しない場合があります。
5. [配布ポイント] 画面にて、以下の項目にチェックを入れて、 [次へ] をクリックします。
「配布ポイントからコンテンツをダウンロードで実行する」
「配布ポイントからコンテンツをダウンロードしてローカルで実行する」
6. [対話] 画面にて、 [次へ] をクリックします。
7. [セキュリティ] 画面にて、 [次へ] をクリックします。
8. [概要] 画面にて、 [次へ] をクリックします。
9. [閉じる] をクリックします。
以上の設定を持ちまして、4. の[スケジュール]にて設定した時刻から、指定したコレクションに存在するクライアントに対してパッケージの配信が行われます。
パッケージの作成 (SCCM 2012)
-------------------------------------------
※ 手順 C-10 における注意点の通り、Windows XP や Windows Server 2003 においては、既定で Certutil.exe ツールを実装していません。
そのため、"Windows XP・Windows Server 2003 用" と "Windows Vista 以降の Windows 用" の 2 つに分けて作成して下さい。
ソース フォルダの指定の際、"Windows XP・Windows Server 2003 用" と "Windows Vista 以降の Windows 用" をそれぞれ選択する以外、手順は同じです。
1. SCCM 管理コンソールを開き、以下の場所に移動します。
(画面左下より) ソフトウェア ライブラリ
└ (画面左のツリーより) アプリケーション管理
└ パッケージ
2. [パッケージの作成] をクリックし、[パッケージとプログラムの作成ウィザード] を開きます。
3. [パッケージ] 画面にて、パッケージの名称や付随する情報を入力し、[このパッケージにソース ファイルを含める] チェックを入れ、[ソース フォルダー] に手順 C - 10 でエクスポートした証明書ファイル (.cer) を含むフォルダを設定し、[次へ] をクリックします。
4. [プログラムの種類] では既定の、"標準プログラム" のまま [次へ] 進みます。
5. [標準プログラム] で以下の通り入力し、[次へ] 進みます。
名前:任意の文字列を入力(例:Root-addstore)
コマンドライン: certutil.exe -addstore -f Root <証明書ファイル名>
スタートアップ フォルダー: 空白
実行時の大きさ:通常
プログラムの実行条件:ユーザーのログオン状態に関係なし
実行モード:管理者権限で実行する
プログラムとの対話をユーザーに許可する:チェックしない
ドライブモード:UNC 名で実行する
6. [要件] では、Windows XP や Windows Server 2003 が含まれる環境の場合、[プラットフォームの要件] にて、対象の OS を絞りこみます。Windows Vista 以降の Windows OS のみの環境では、既定の設定のままで [次へ] 進みます。
7. 残りの画面は、設定変更せず次へ進み、残りの手順を完了します。
8. パッケージが作成されるので、さらに同パッケージを右クリックし、[プログラムの作成] を選択します。
9. [プログラムの作成ウィザード] が開始されます。最初の画面では "標準プログラム" を選んだまま、次に進みます。
10. [標準プログラム] の箇所では、以下を登録します。
名前:任意の文字列を入力(例:TrustedPublisher-addstore)
コマンドライン: certutil.exe -addstore -f TrustedPublisher <証明書ファイル名>
スタートアップ フォルダー: 空白
実行時の大きさ:通常
プログラムの実行条件:ユーザーのログオン状態に関係なし
実行モード:管理者権限で実行する
プログラムとの対話をユーザーに許可する:チェックしない
ドライブモード:UNC 名で実行する
11. [要件] では、手順 6 と同様のものに設定し、ウィザードを完了します。
パッケージの展開 (SCCM 2012)
-------------------------------------------
パッケージを配布ポイントに配布し、クライアントに展開します。
1. パッケージの作成 (SCCM 2012) で作成したパッケージを、SCCM 2012 管理コンソールの [ソフトウェア ライブラリ] メニュー、"アプリケーション管理\パッケージ" より選択します。
2. パッケージ名を [右クリック] し、[コンテンツの配布] を選択します。
3. [全般] 画面はそのまま次へ進みます。
4. [コンテンツの配布先] 画面では、証明書を配布する配布ポイント、もしくは配布ポイント グループを設定します。
上記手順で、配布ポイントに対してパッケージがコピーされます。(サイズが小さいため、それほど時間はかかりません。)
5. パッケージ名を [右クリック] し、[展開] を選択します。
6. [全般] 画面では、証明書を配布したい [コレクション]、すなわち SCUP からの管理を行いたいクライアントを含むコレクションを設定します。環境に応じて、[このコレクションに関連づけられている既定の配布ポイント グループを使用する] をチェックし、[次へ進みます。]
7. [コンテンツ] 画面で手順 1 ~ 4 までで追加した配布ポイント、もしくは配布ポイント グループが選択されていることを確認し、次へ進みます。
8. [展開設定] は既定のまま次へ進みます。
9. [スケジュール] は、証明書のインポート処理を行うための日程を設定します。"提供情報の作成 (SCCM 2007)" の手順 4 の詳細をご参考下さい。
特に理由が無ければ、以下のように即時配布をする設定とします。
[この展開が使用可能になる日時を指定する] を今の日時より前に設定します。(※UTC にはチェックしません)
[この展開の有効期限を指定する] はチェックしません。
[割り当てスケジュール] の [新規] をクリックし、[次のイベントの直後に割り当てる] - [直ちに] を設定します。
[再実行の動作] に、[前回失敗した場合に再実行する] に設定します。
10. [ユーザー側の表示と操作] の画面は、[ソフトウェアのインストール] のチェックを入れて、[次へ] 進みます。
11. [配布ポイント] の画面では、既定の設定のまま [次へ] 進みます。
※ "クライアントが低速または信頼性の低い~" というのは、クライアントが割り当てられた配布ポイントの境界外にいたときにダウンロードを許可するかどうかの設定です。
クライアントの IP が動的な場合など、配布ポイントの境界外に移動する可能性がある環境では、[展開オプション] を [配布ポイントからコンテンツをダウンロードしてローカルで実行する] に変更いただいても結構です。
証明書ファイルだけですので、帯域に大きな負荷が発生することは無いものと考えられます
12. 残りの画面をそのまま進んで完了します。
13. SCCM 管理コンソールの画面にて、 作成したパッケージをクリックし、画面下の [プログラム] タブをクリックします。(画面の下に、[要約] [プログラム] [展開] の 3 つのタブが表示されています。)
14. [プログラム] タブで、先ほど作成した "Root-addstore" と "TrustedPublisher-addstore" プログラムの両方について、右クリックから展開を選択し、展開します。
配布対象のコレクションは、これまで定義した配布対象と同一にします。展開のスケジュールは、特に差し支えなければ、[必須の割り当て] にて直ちにを選択し、すぐに全クライアントに有効化します。
E. ドメイン グループポリシーの設定
ご利用のドメイン コントローラーにて、下記のポリシーを "有効" に設定してください。
(SCUP の管理対象となるクライアントすべてに対して有効なグループ ポリシーを選択するか、作成して OU に適用します。ドメインの前マシンが対象なのであれば、Default Domain Policy への変更でも結構です。)
[コンピュータの構成]
- [ポリシー]
- [管理用テンプレート]
- [Windows コンポーネント]
- [Windows Update]
>>> [イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する]
F. SCCM での設定
SCCM 2007 の場合
------------------------
1. SCCM 管理コンソールを開き、以下のとおり展開します。
System Center Configuration Manager
└ サイト データベース <サイト コード> - <サイト名>
└ サイトの管理
└ <サイト コード> - <サイト名>
└ サイト設定
└ コンポーネントの構成
2. 中央ペインにて [ソフトウェアの更新ポイント コンポーネント] をダブルクリックします。
3. [分類] タブにて "セキュリティの更新" にチェックが入っていない場合はチェックを入れます。
4. [製品] タブにて "ローカルで発行された発行元" にチェックを入れて [OK] をクリックします。
SCCM 2012 の場合
------------------------
1. SCCM 管理コンソール、画面左下の [管理] を開きます。
2. 画面左のツリーから、サイトの構成 - サイト をクリックします。
3. SCUP を有効化するサイトをクリックし、[サイト コンポーネントの構成] - [ソフトウェアの更新ポイント] をクリックします。
4. [分類] タブにて "セキュリティ更新プログラム" にチェックが入っていない場合はチェックを入れます。
5. [製品] タブにて "ローカルで発行された発行元" にチェックを入れて [OK] をクリックします。