• 締切済み

パッチの適用

よろしくお願いします。 今後赴任した職場のサーバルームで、 WindowsOSの管理状況を整理しています。 そこでサーバのサービスパックなどの適用状況が サーバ毎にバラバラで、適用方針もこれまでは、特に無いとのことでした。 ※OSも2003、2008、R2やRTMなど一貫性が無く・・ パッチの適用を標準化すべく、以下を考えています。 1.手動で不足分を適用する  サーバがイントラのため、パッチをCDROMにインストールし、各サーバに個別インストール 2.WSUSを導入する 「1.」の場合、現状と最新との不足分(差分)を洗い出すのに骨が折れそうです。 例えば「最終適用日」以降にMS社から発表されたパッチ・・など個別にサイトを検索することを イメージしていました。 そいった意味では「2.」の方が以後の運用も容易でしょうか?。 ご意見を頂けると助かります。

みんなの回答

  • parts
  • ベストアンサー率62% (6364/10149)
回答No.1

質問者さまは、オープン及びクローズドネットワークの監視歴は何年ありますか? 読む限りでは、監視、管理は素人の域を出ないように思えますが・・・。一元管理ばかりに目が向いていますし、イントラ管理に対する知識も甘いように見えます。 まずすべきことは、 何に使っているサーバか、そしてそれらの環境がどのように連携するか、それぞれのサーバに対して、どういうミドルが適用されているかと、さらに環境それぞれがどういう役割で、どういうログを残し、どういうバックアップ体制を持つか、全てまたは要点を把握されていますか? それができていないなら、まずはそこ(それらを把握すること)からです。 その上で、最適な判断を下します。一概に全てのサーバを一元的に管理すればOKでもないです。むしろ、一元管理はログなどの管理を行う側に集中させ、サーバの更新管理は、それぞれに対して最適な手段を検討するのが妥当であり、今の段階で喫緊の問題がないならその後でも構いません。場合によっては、一部のサーバは対象外にするケースもあります。 そのサーバのイントラは、外部ネットワーク(インターネット)に接続されているのでしょうか?その場合は、確かにセキュリティ上の脆弱性は出来る限り埋める必要がありますが・・・。とはいっても、全自動化は気をつけた方が良いですよ。 それらに採用されているミドルウェアなどがあれば、それらとのバリテーション(相性)を確認してから、導入する必要があるかもしれません。運用管理規定がないなら、まずはそれをどのように決めるかを、部門担当者や社内の会議などで決めるのが最優先でしょう。 出来る限り最短で・・・。 基本的にシステム監視を行う管理者は、ただアップデートを当てていればOKではありません。 まあ、何も起きない状況で監視してきた人は、きっと理解できないでしょうけど、一度関連トラブルが起きれば分かると思います。特にアップデート系は、マニュアルやそれなりの経験者がいないなら、トラブルが起きれば、長時間の恒常的なトラブルを要するただのリスクです。 もしも、サーバーが社内だけで完結するイントラ網なら、やるべきことは社内でのウィルス感染や障害対応、そしてルールに該当しないUSBメモリや、外部デバイスによるデータの取り出しなどに対して、規定を設けることに専念すべきでしょう。 アップデートは原則として、定期的な規定の管理と監視を行っていれば、しなくとも影響はない可能性が高いですから。常用でのトラブルも予期せぬ例外処理やハードの故障がなければ、安定的に推移しトラブルも避けられます。 後は、管理者として最新のシステム情勢に耳を傾けるぐらいでしょう。(これが必要な理由は、次期システム更新などにおいて、構築を主体的に行うこと。セキュリティ概念などは、今後のシステム変更や現行の機能強化、信頼性向上のために常にトレースしておくことが必要なためです) 何故アップデートを推奨しないのかというと、外に繋がらない前提なら、コストロスによるリスクファクターの選定が出来た後にアップデートしなければ、リスクの方が高くなる恐れがあるからです。特に、長期間のアップデート履歴のない場合、特別なミドルが適用されている場合などは、アップデートによって、潜在的な不具合が露呈する恐れがありますから・・・。 それらまで、想定してやるなら別ですが、単に自動アップデートやCDによる一括更新が有効ならOKではないのです。まあ、環境に対する責任を全面的にご自身が負う覚悟があるなら別です。私は、負っていましたけど、その代わり、ローテーションバックアップと環境状態の確認はしていましたし、夜間や祝祭日、休日でも数十分以内に自分が動くような体制でした。(今年度から離れましたが・・・) 私の回答を言えば、管理者であるなら、楽を最初から望まないことです。むしろ、一歩後ろに下がり、時間を掛けてリスクをカウントしてください。それらの多くは、予期しない潜在的なリスクですから、きっと経験即で図るものです。経験が無い場合は、まあ自分の感情にまかせたいなら好きにしても結構ですが、それをするのは、自分ですから、赤の他人に質問するより、上司や近場の人に確認した方が良いですよ。 1と2の選択肢は個人的には、うまくいけば最適地ですが、起きればハイリスクとなります。適用するだけでOKではなく、それに対して担保があるかどうかをまず最初に確認することです。 まあ、悪い例を書いておきます。 最近起きた例で言えば、KDDIのiPhoneのトラブルかな? あの辺りは、管理者なら参考になるかと。Impress(PC Watch)などが詳細を書いています。アップデートや機能更新によるトラブルは最も管理者が警戒すべきものですから・・・。 担保というのは、もしもそれによって、トラブルが生じた場合、最短で何分あれば回復が可能かということです。その最短は、Windowsのシステムの復元ではなく、一般にはWindows BackupやArcServe、Acronis、Nortonなどのフル環境回復ツールでどれだけ掛かるかまでを想定してください。 環境が、クラスタの場合は、クラスタに対するアップデート規約はしっかり決めておく必要があるでしょう。 後は、何故適用されていないのかを、全て洗い出すことです。 間違っても、一括で全て適用など素人のお遊びのような楽観作業はしないこと。適用するにしても、自動化などではなく、大規模な更新なら一つ一つのサーバに対して、必要な動作確認時間を考慮して、停止時間などを予め開示しておく必要があります。 もしミッションクリティカル環境(基本的に定期点検など規定されたルールを除けば、停止が許されないサーバ)で行われることであれば、もう少し慎重になるべきでしょう。 以上のようになります。 アップデートは適用するほど良いというのは、家族や家庭で使うには確かに言われることです。そのリスクも低いですしね。それがビジネスでもない。要は、やることが受動的に決まっているのです。 もし、多少の問題があっても、大半は個人的な運用に膨大なお金の問題や、従業員の能率の問題が生じることはありません。要は、個人や家族の問題なのです。そして何より大きいのは、トラブルがあれば、メーカーの責任にも出来ることです。即ち、自分が管理者ではないのですよ。 それに対して、事業や仕事として管理する場合は、それに対するリスクがどこまであるか、何故適用されていないのか、適用したらどうなるか、適用する場合のリスクはどの程度かのリスクファクターを計算する必要があり、尚かつ想定できないなら、想定できるまで考慮を巡らす必要があります。これは、受動的ではなく能動的な仕事としてそれを行う人が考えて行うことです。即ち、質問者さまがその判断でアップデートという作業を行います。 たとえ、トラブルがあっても、質問者さまはマイクロソフトに文句を言えても、質問者さまに今度は社内からトラブルに対する苦情が来ます。 それらをマ社の責任してもそうなるのです。 質問のケースでは、イントラと書かれていますから、私の経験上では上級の管理者なら、その判断を下すまでに、最低でも数週間から一ヶ月程度の社内での調整と、運用チェック、場合によってはバリテーションが必要と思われます。まあ、思い切ってやるなら、運用リスクの低いものから順番に、最小限で最も有効なアップデートを適用するでしょう。 管理者に任命されたのであれば、自動化や楽を考えるのは、自分自身がそのリスクを理解した後にしましょう。トラブルが起きたときに、最短で対策でき、自分がその責任を負えるなら、やることができます。 世間に質問しなければ判断が下せないなら、1も2も妥当ではありません。むしろ、危険な賭を管理を知らないような赤の他人に聞くようなものです。その中には、プロも居るでしょうが、逆にただの自宅のパソコンを触っている程度のものもいるでしょう。 経験も、昨日始めたか、10年以上のベテランかは分かりません。 以上のようになります。私の回答は仕事上での経験から答えており、ミッションクリティカルを含むサーバ一般に対する運用管理の回答です。質問の答えとは異なり、少し厳しいものとなっています。まあ、私自身サーバにパッチを当てて、トラブルを経験したことがある身なので、回答しているのですけど、特に複数台があり、長年アップデートをしていない場合、そして何よりサーバ管理の経験が希薄なら、パソコンと同じ目線でみるのは、止めましょう。 まずは、トラブル対応(リスク)のルールを決めること、次に作業手順(トラブルも適用も含む)を決めることです。

semaster
質問者

お礼

詳細なご回答を頂き感謝しておりますが、 一方では短絡的な視点と解釈から、「素人の粋」とジャッジされていることは、 単なる「無礼者」の粋を出ていないと感じます。 私の文面からどういったイメージが働いたか知る由もありませんが、 勝手な推測と、頼んでも居ない上から目線の経験談は辞めた方がよいとお伝えします。 「統合的な管理しか記載が無いから、運用管理の意識が少ない」、 「世間に質問しなければ判断が下せない」 そう思われたのは何故でしょうか?。 どこに判断すると書きました?。 統合的な管理についてこういったフォーラムで意見を聞きたいのは駄目ですか?。 せっかく記載頂いたのに、全て貴方の「思い込み(結論)」であり、 ロジカルシンキングの無い、単なる「事実と異なる偏見」です。 要件定義などで、漏れの発生しやすい、一番まずいパターンですよ。 私からの回答者様へのアドバイスとしては、「何故こういった質問をしているのか?」と「Why」で ロジカルシンキングをした方が良いと思います。経験(結論)に頼りすぎで、偏った判断しか下せない ようであれば、回答は辞めた方が良いと思います。 決められた手順や指示で業務をするのであれば、問題は無いですが。 事前にそういった質問を含んだ回答であれば、せっかくの長文のご回答も無駄にはなりませんし、 建設的な議論ができると思います。 ちなみにミッションクリティカルだの回答の経験などは私も経験があり、 そういった経験から課題提起をし、現在社内の100以上の課題に立ち向かっています。 言われている構成管理や運用手順の面など、当の以前に把握しており、 別途整理や検討をしている最中です。 更に補足をしますと、各サーバの役割や物理的なサーバの構成(RAID、冗長化)など 何も資料化されておらず、そもそも運用管理の軌道に載せられるよう、 多方面から集約をしている途中となっています。 パッチ適用や監視も、回答者様などのご担当に任せられるよう、運用設計も見直しています。 私自身も今後は素人に見られないよう、文面は気をつけたいと思います。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. Windows系OS

関連するQ&A

  • WSUSのパッチ適用について

     今回、自分が通う会社で簡単なネットワークを構築するように頼まれました。規模はPC約40台、プリンタが2台位です。  外部のネットワーク(インターネット)等は接続されていない、クローズしたネットワークですが、上司からセキュリティパッチ等はちゃんとやってね。と言われ、Windows Server Update Serviceをインストールしてみました。ですが、パッチの適用がいまいち分かりません。質問したい事は以下のとおりです。 Q1 WSUSは閉ざされたネットワークでもパッチの適用は可能か? Q2 Q1がOKな場合、パッチをどこのフォルダに入れれば、適用されるか? Q3 Q1がNOの場合、WSUSに変わるおすすめのソフトを教えてください。(出来れば、お金がか からないソフトがいいです)  よろしくお願いします

  • ServicePack適用後の修正パッチ適用について

    よろしくお願いします。 長い間修正パッチの適用がされないまま運用されていたWindows2003Serverがあります。 (詳細な状態としては、サービスパックは適用されておらず、  2006年7月頃までは修正パッチが個別に適用されています。) セキュリティを最新の状態にしたいのですが、 サービスパックと修正パッチの関係がいまいち理解できておらず、 適用手順について悩んでいます。 最新のServicePack2を適用すれば、ServicePack2リリース以前に公開された修正パッチは適用する必要は無いのでしょうか?  →yesの場合   1.既に適用されている修正パッチをアンインストールする必要は無いのでしょうか?  →noの場合   1.どのような順番でインストールすれば良いのでしょうか? また、サーバーへのサービスパック適用に関して アドバイス等ありましたら教えていただけると助かります。

  • CentOSのセキュリティパッチ適用状況

    CentOSのセキュリティパッチ適用状況はどのファイルに書かれているのでしょうか。 また、どのようなコマンドを使えばそれを解析できるでしょうか。 各サーバの構成情報を把握するために、定期的にコマンドを実施、セキュリティパッチ適用状況を確認することが目的です。

  • サーバーとクライアントPCの更新パッチについて

    サーバーとクライアントの更新パッチの削除について 仕事上で興味があるので質問です。 サーバーのことに詳しくないので、その点はご容赦ください。 また、現在こちらで障害が発生していることもありませんので、その点のお気遣いは不要です。 ADサーバーとWSUSサーバーが稼働しているネットワークがあるとします。 クライアントPCはほとんどがADドメインに参加していますが、一部はWorkGroupです。 クライアントは固定プロファイルです。 クライアントへのMicroSoftの更新パッチはWSUSサーバーで制御していますが、WorkGroup使用のクライアントPCへも制御しているかはわかりません。 各サーバーからすべてのPCにPINGが飛ばせます。 質問です。 1)先般、MicroSoftの更新パッチでアンインストール勧告が出たものがありましたが、ADやWSUSにクライアントに適用済みの更新パッチをアンインストールする機能はあるのでしょうか。 2)上記のようなネットワーク構成の場合、サーバー側からクライアントPCに適用済みの更新パッチをアンインストールすることは、手作業であっても容易なのでしょうか。

  • セキュリティパッチのオフライン適用について

    Windows Server 2008 R2のセキュリティパッチをオフラインで適用する方法を探しています。 サーバーはおよそ40台ほどありインストールしたままのまっさらの状態で、それがLANでつながってはいるのですが、現状インターネットにつなげることができません。 そこで、セキュリティパッチをダウンロードし、それをバッチ処理のような一括適用できないかと考えています。 http://www.windowsupdatesdownloader.com/ を見つけて、これで行けるかと思ったのですが、Windows Server 2008 R2には対応していないようです。また、ダウンロードまではしてくれるけれどもそのあとのバッチ処理までは面倒を見てくれません。 また、Windows Update カタログからセキュリティパッチをダウンロードはしてみたのですが、これを一括適用する方法がわかりません。 どなたか、このような処理を一括でできるフリーソフトをご存じないでしょうか?(今回一回しか使う予定がないのでフリーソフトがよいのですが、それでなければ有償のものでも構いません。) よろしくお願いいたします。

  • .NETFramework4のパッチの適用確認

    【環境】 OS:WindowsServer 2008 R2 SP1 DB:SQL Server 2008 R2 Standard Edition SP2(x64) .NetFramework3.51 .NetFramework4 【状況】 .NET Framework 3.51のセキュリティパッチ(KB3074543)を適用した場合は、「プログラムと機能」-「インストールされた更新プログラムを表示」に表示されます。 しかし、 .NET Framework4のセキュリティパッチ(KB3074547)を適用した場合、「プログラムと機能」-「インストールされた更新プログラムを表示」に表示されません。 「WindowsUpdate.log」にも「systeminfo」にも「KB3074547」の文字列はありません。 【ご教示頂きたい点】 この状態で「KB3074547が適用されているかどうかは、適用した直後に「イベントビューアー」-「アプリケーションログ」に出る下記のような メッセージを確認する以外に方法はないでしょうか。 ---------------------------------------------------------------------------------- レベル:情報 ソース:MsiInstaller イベントID:1035 説明:Windowsインストーラーにより製品が再構成されました。製品名:Microsoft .NET Framework 4 Client Profile、製品バージョン4.0.30319、 製品の言語:0、製造元:Microdoft Corporation、最高性の成功またはエラーの状態: 0 ------------------------------------------------------------------------------------ これしか方法がない場合、適用した直後に「イベントビューアー」で適用された.NET Framework 4パッチの情報を控えておかなければ、後で確認する方法はなくなる可能性があるということでしょうか。イベントビュアーのログは循環する設定のため、インストールしたログが消えてしまう可能性があると考えております。 また、複数の.NET Framework 4のパッチを適用する場合、1つのパッチを適用したら、「プログラムと機能」-「プログラムのアンインストールまたは変更」で.NET Framework 4のコンポーネントのバージョンがいくつになったかを確認して、次のパッチを適用ということを繰り返さなければならないのでしょうか。

  • Windows Updateを利用しないでセキュリティパッチを適用したい!

    これからインストールするPCを直接インターネットに接続しないで、セキュリティ面で最新のOSにしたいと考えております。 MSのサイトから全てのセキュリティパッチを個別にダウンロードして適用するのは、順番を意識する必要もあり、またどれを適用したかわからなくなる恐れもあり困っております。何か一括でセキュリティパッチをダウンロードし、簡単に適用できるようなバッチファイルを作成するようなツールはないのでしょうか?皆さんどうしていますか?

  • RHNエラータのパッチを適用する基準について

    RHNエラータのパッチを適用する基準について 運用中のRedHatのサーバに対し、どのような基準でパッチを当るべきかご教授いただきたいと思います。 私はLinux初心者(LPIC1レベル)で、実務経験も少ないため(1年)実際にパッチを当てる作業を行うことはないのですが、今後のために諸先輩方のご意見を参考にしたいと思っています。 現時点で私が思いつく基準としては以下になります。 1)errataの重要度 ->Important以上?RHNでerrataの説明文(英語)をざっくり読み、なんだか重要そうならば適用の方法で検討。 2)サーバにインストールされているパッケージか? -> rpm -qa | grep hogehoge で確認し、インストールされていればさらに調査。 3)提供しているサービスに影響するものか? -> errataのパッケージ名から推測して、serviceコマンドやchkconfigコマンドで起動状態を確認し、起動しているサービスならばパッチ適用。 現時点ではこれくらいしか思いつきません。 ぜひともパッチの適用判断について意見ができるようになりたいと思っています。 皆様は現場でどのような基準でパッチを適用していますか? アドバイスお待ちしております。

  • Oracleへのパッチ適用状況はどうすればわかりますか?

    こんにちは。 ほぼ何もわからないまま、システム担当になってしまった者です。 自社のシステムは以下の通りです。  Windows 2003サーバ+Oracle9i 今後管理していく上でひとつ困った事があるので教えてください。 現在Oracle社よりいくつかパッチが出ているようなので パッチをあてるつもりでいますが、 今現在、どこまでのパッチがあたっているのか不明なのです。 どうすればパッチの適用状況がわかるのでしょうか? (以前の担当者からこのあたり何も聞かないで引き継いでしまい困っているのです。しかも以前の担当者は2ヶ月前に退職してしまいました) どなたかアドバイスよろしくお願いします。

  • NTサーバへのパッチ適用について。

    お願いします。 NTサーバに次項を適用しようと思っています。 適用にあたっての手順、注意事項、適用中に発生が考えられる障害やその解決策など ありましたら教えてください。 また、それぞれが正常に適用できた事の確認方法等教えてください。 適用するパッチ等 (1)IIS4.0 (オプションパックをインストール) (2)WindowsNT4.0sp6 (sp6full_i386.exeを実行) (3)SRP        (JPNQ29944i.exeを実行) (4)IIS用累積的な修正プログラム (5)レジストリエディタの編集 自分でも調査、確認等していますが 再確認のためお願い致します。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する