サービスの継続性について推奨する運用方法
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
セキュリティ担当者は、通常、信頼性、整合性、および可用性のあるコンピュータ システムの設計を要求されます。Configuration Manager 2007 階層を常に利用可能にしておくために、サービスの連続性を提供するための計画を行い、頻繁にテストすることが重要です。
推奨する運用方法
フォールト トレランス サイトを設計する オフライン サイトは通常、重要な更新を緊急に展開する必要性や、ネットワーク アクセスを制限するために Configuration Manager 2007 ネットワーク アクセス保護ポリシーを作成する必要性がない限り、低リスクです。Configuration Manager 2007 サイト サーバーがオフラインの場合でも、必ずしもすべての Configuration Manager 2007 の操作が停止するわけではありません。たとえば、コンテンツを配布ポイントで入手可能であれば、クライアントは既存の提供情報を処理することができます。Configuration Manager 2007 では、サイト データベースのクラスタ化をサポートしています。サイト データベース情報をレプリケートすることもできます。この処理は通常、パフォーマンス上の理由から実行されますが、サイト データベースがオフラインの場合でも、サイト システムはレプリケートされたデータにアクセスできるようになります。
バックアップと回復の計画を作成する エラーが発生した Configuration Manager 2007 サイトの回復は複雑な作業です。詳細については、「Configuration Manager 2007 の保守」を参照してください。
バックアップと回復の手順をテストする バックアップの手順は、定期的にテストしないと意味がありません。Configuration Manager 2007 のバックアップと回復の手順は複雑なので、サイトに障害が発生した場合のサービスの継続性を保証するために、定期的にテストする必要があります。
バックアップ メディアを安全に保管する Configuration Manager 2007 のバックアップ作業により、レジストリ、ファイル構造、および Configuration Manager 2007 サイト データベースのコピーが作成されます。バックアップ メディアにアクセスできる攻撃者が、IP アドレス、Active Directory サイト名、すべてのクライアント コンピュータの状態など、ネットワークについて価値のある情報を入手できる恐れがあります。バックアップ メディアに関連した攻撃は、潜在的にサーバーに対する物理的な攻撃と同様に重大です。あらゆるバックアップと同様に、Configuration Manager 2007 のバックアップ メディアを安全な場所に保管し、バックアップ ファイルの暗号化を検討し、メディアのチェックアウトと回復に関する管理手順を作成してください。
回復性を向上するために役割の分離を使用する 小規模のサイトでは、すべての役割がサイト サーバーにインストールされているのが一般的です。これでは、サイト サーバーが利用できない場合に、すべての Configuration Manager 2007 機能が無効になるリスクが増大します。可能な場合は、サイト サーバー以外で管理ポイントを構成し、クライアントの可用性を増やします。レポート ポイントと配布ポイントを複数構成します。サイトの既定の管理ポイントは 1 つしか作成できませんが、RAID や他のフォールト トレランス機能のあるコンピュータを使用できます。別の方法として、予備の管理ポイントを実行しておき、最初の管理ポイントがオフラインになった場合の既定値として構成します。
次の表では、さまざまなサイト システムをオフラインにした際の影響について説明します。
| [サイト サーバー] | [サイト データベース] | [管理ポイント] | [配布ポイント] | [結果] | |
|---|---|---|---|---|---|
|
[オフ] |
[オンライン] |
[オンライン] |
[オンライン] |
新しい提供情報の作成を含め、実行可能なサイト管理はありません。 管理ポイントでクライアント情報が収集され、サイト サーバーがオンラインに戻るまでその情報がキャッシュされます。 既存の提供情報が実行され、クライアントは配布ポイントを見つけることができます。 |
|
|
[オンライン] |
[オフ] |
[オンライン] |
[オンライン] |
新しい提供情報の作成を含め、実行可能なサイト管理はありません。 クライアントに既に新しいポリシーが割り当てられ、管理ポイントにそのポリシー本体がキャッシュされている場合、クライアントはポリシー本体を要求したりポリシー本体の応答を受け取ったりできます。新しいポリシー割り当て要求を処理することはできません。 プログラムが既に検出されていて、関連するソース ファイルが既にクライアントにローカルでキャッシュされている場合にのみ、クライアントでプログラムを実行できます。 |
|
|
[オンライン] |
[オンライン] |
[オフ] |
[オンライン] |
新しい提供情報を作成できますが、管理ポイントが再びオンラインになるまでクライアントはその情報を受け取りません。 クライアントはインベントリ、ソフトウェア メータリング、およびステータスに関する情報を継続して収集し、管理ポイントが利用可能になるまでこれらの情報をローカルに保存します。 プログラムが既に検出されていて、関連するソース ファイルが既にクライアントにローカルでキャッシュされている場合にのみ、クライアントでプログラムを実行できます。 |
|
|
[オンライン] |
[オンライン] |
[オンライン] |
[オフ] |
関連するソース ファイルが既にローカルにダウンロードされている場合にのみ、クライアントで提供情報を実行できます。 |
|
参照:
その他のリソース
Configuration Manager 2007 の保守
Configuration Manager について推奨するセキュリティ運用方法
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.