デスクトップ イメージ管理: より優れたデスクトップ イメージを構築する
企業デスクトップ イメージの構築と管理は、IT に関する重要な作業ですが、必ずしも非常に厄介な作業ではありません。この記事では、イメージの構築と管理のプロセスを効率化する方法を紹介します。
Mitch Tulloch
ほとんどの大規模な組織には、その組織で作成した、展開に使用するためのデスクトップ イメージが数百もあります。1 つの組織で多くのイメージを作成する理由はさまざまですが、多くの場合は、プラットフォームやハードウェア構成の変更など、だれの手にも負えない要因によるものです。また、イメージ エンジニアリングの標準的な方法が確立されていないためにイメージが増えることもあります。
社内政治も要因の 1 つです。競合する IT 部門間で、システムに展開するプログラムの決定権の争奪戦を繰り広げることがあります。他には、高いレベルのセキュリティが必要な環境に固有の要件など、避けられない考慮事項もあります。どのような理由でも、企業デスクトップ イメージの大規模なコレクションを管理するのは、難しくて時間とコストがかかる作業になることがあります。どうすればこの問題を軽減できるでしょうか。
1 つのイメージという目標
すべての環境に適用できる解決策はなく、考慮すべきトレードオフも多数あります。けれども、Windows 7 の新機能、Microsoft Deployment Toolkit (MDT) 2010 の機能強化、および System Center Configuration Manager (SCCM) 2007 R2 の機能強化を組み合わせると、膨大な数の Windows イメージを構築、管理、および展開する作業が簡略化されます。組織のビジネス要件、予算、ハードウェア、および IT に関する技術レベルに基づいて、Windows 7 イメージを構築して管理する方法を選んでください。また、注意と防止が必要な一般的な課題も数多くあります。
Windows イメージング (WIM) ファイル ベースのディスク イメージ形式は Windows Vista で初めて導入され、この形式によって、1 つの企業デスクトップ イメージという目標実現に 1 歩近づきました。Windows 7 で新しく導入された、展開イメージのサービスと管理 (DISM) ツールでは、オフラインでイメージが処理されるのでイメージ管理が簡略化されます。このため、古いイメージの更新にかかる時間を大幅に短縮できます。たとえば、DISM を使用すると、ソフトウェア更新プログラムやソフトウェア パッケージをすばやく追加したり、Windows の機能を追加または削除したり、サードパーティ製の INF ベースのデバイス ドライバーを既存のイメージに追加したりすることができます。
Windows 7 用の Windows 自動インストール キット (AIK) には手動でイメージを構築して管理するためのツールが含まれていますが、MDT 2010 の新機能と機能強化を使用すると、作業がさらに容易になります。新しい Sysprep and Capture (Sysprep とキャプチャ) タスク シーケンスを使用すると、ネットワーク上に存在する既存の大幅にカスタマイズされた参照コンピューターのイメージをキャプチャできます。また、MDT 2010 では Windows PowerShell がサポートされているので、参照イメージの構築と管理の作業を自動化する独自のスクリプトを記述することもできます。その後、Deployment Workbench のフォルダー階層にカスタム フォルダーを作成して、OS、ドライバー、パッケージ、およびアプリケーションをまとめられます。最後に、選択プロファイルを使用して、ブート イメージに挿入するドライバーとパッケージを管理し、タスク シーケンスを使用して展開できます。
このような機能強化により、複数のイメージを作成するための技術的な要件が実質的になくなります。必要なのは、特定のビジネス上の理由に応じて追加イメージを作成することだけです。そのため、ほとんどの組織では、必要な企業デスクトップ イメージの数がアーキテクチャごとに 1 つだけになります (x86 版 Windows の展開用イメージが 1 つと x64 版 Windows の展開用イメージが 1 つです)。
最終目標は、1 つのイメージを保有することです。このイメージは、管理しやすく、企業でサポートしているすべてのハードウェアにインストールすることができて、世界中のどの地域のユーザーも使用することが可能で、ユーザーが業務を行うために必要なデスクトップ、アプリケーション、およびカスタマイズがこのイメージで提供される必要があります。ただし、この理想郷を実現するには、デスクトップ イメージをシック、シン、またはハイブリッドのいずれにするかを検討する必要があります。
シック イメージ
シック イメージは、すべての機能が備わったデスクトップ イメージを使用する手法です。シック イメージの従来の構築方法では、まず、参照コンピューターに Windows をインストールします。次に、必要なすべてのドライバー、ユーザーが必要とするすべてのアプリケーション、および最新のソフトウェア更新プログラムをインストールし、すべてのものをカスタマイズし、Sysprep を使用してイメージを汎用化します。最後に、MDT、SCCM、または独自の社内展開ツールを使用して、イメージをキャプチャしてユーザーのコンピューターに展開します。
マイクロソフトのプレミア フィールド エンジニアとして MDT 2010 を使用した Windows 7 と Windows Server 2008 R2 の展開に取り組んできた Jeff Stokes 氏は「イメージを構築する際には、イメージの最終的な展開方法について慎重に検討する必要がある」と述べています。
たとえば、シック イメージには、サイズが大きくなりやすいという問題があります。メディアを使用して展開している場合、1 枚の DVD に収まらないほどサイズが大きくなることがあります。ネットワーク経由で展開している場合、貴重な帯域幅を大量に消費するほどサイズが大きくなることがあります。自分に必要ないソフトウェアを見つけて、混乱するユーザーもいるでしょう。使用しないアプリケーションでも、インストールされたコンピューターごとにライセンスを付与する必要があるので、コストが急増することがあります。また、イメージを最新の状態 (すべての更新プログラムがインストールされた状態) に保とうとしている場合は特にそうですが、シック イメージがすぐに最新の状態ではなくなることもあります。シック イメージに含まれている追加コンポーネントは複雑なので、シック イメージは、テストにも時間がかかります。
いずれにしても、イメージのサイズは、シック イメージの問題になりがちです。「領域を大幅に節約して展開のタスク シーケンス数を削減できるので、複数のイメージを含むカスタム WIM ファイルの作成を検討することをお勧めします。詳細については、私のブログ記事 (英語) を参照してください」と Microsoft Consulting Services のシニア コンサルタントである Michael Murgolo 氏は述べています。
シン イメージ
シン イメージは、"出し惜しみ" の手法です。簡略化のために、すべての機能を最低限に抑えます。シン イメージには、起動に不可欠なドライバー、サービス パック (利用できる場合)、およびいくつかの必須カスタマイズしか含まれていない場合があります。究極のシン イメージは、Windows 7 の製品メディアに収録されている install.wim ファイルです。
シン イメージを展開する場合は、基本的に OS だけを展開することになります。つまり、ソフトウェア更新プログラムやアプリケーションなどの追加コンポーネントについては、OS イメージとは別に提供する必要があります。このようにコンポーネントを提供するには、追加のインフラストラクチャが必要になります。
たとえば、Windows Server Update Services (WSUS) を使用してソフトウェア更新プログラムを展開したり、グループ ポリシー ソフトウェア インストールを使用してアプリケーションをインストールしたりすることができます。大規模な環境では、SCCM を使用して、アプリケーションやソフトウェア更新プログラムをパッケージ化してユーザーに配布します。Microsoft Application Virtualization (App-V) を使用してエンド ユーザーに仮想アプリケーションを展開している組織や、リモート デスクトップ サービスを使用してユーザーが RemoteApp プログラムを実行できるようにしている組織でも、シン イメージの使用が適しています。
Windows Server Update Services (WSUS) を使用すると、ソフトウェア更新プログラムをイメージに組み込まず、展開直後にソフトウェア更新プログラムを配布できますが、この手法はお勧めできません。この手法では、短時間ですが、イメージの展開先コンピューターでは、セキュリティが低下した脆弱な期間が発生するという可能性が残ります。もっと良い手法は、イメージの構築時に、利用できるすべてのソフトウェア更新プログラムを基本イメージに追加することです。このようにすると、基本イメージを展開先コンピューターに展開するときに、最初からコンピューターのセキュリティが確保されます。
MDT を使用して基本イメージを構築する場合は、展開共有の CustomSettings.ini に「WSUSServer=http://<WSUS サーバー名>」という値を追加します。このようにすると、MDT を使用して、すべての更新プログラムをインストール済みの Windows を参照コンピューターに展開し、Sysprep を参照コンピューターで実行し、そのコンピューターのイメージをキャプチャし、キャプチャしたイメージを展開共有にアップロードできます。MDT を使用すると、すべてのプロセスが自動化されるので、このような作業全体が簡単になります。
Microsoft Consulting Services のコンサルタントである Alexey Semibratov 氏は「基本イメージの構築時には、ソフトウェア更新プログラムのインストールが自動承認される専用の WSUS サーバーを使用してください」と述べています。Semibratov 氏の担当は、公共機関、州政府、および地方自治体で、いくつもの Windows 7 のプロジェクトに携わっています。
WSUS を所有していない組織でも採用できる手法はあります。「ほとんどの組織には、マイクロソフトから毎月提供されるすべての更新プログラムを確認できるほどのリソースや時間がないため、基本イメージの構築時にソフトウェア更新プログラムがインストールされるように、タスク シーケンスを構成して Windows Update サイトを直接参照してください」と Semibratov 氏は説明しています。また、どちらの場合についても「このように完全に自動化されたイメージの更新プロセスを実行すると、時間を大幅に節約できます。WSUS を使用すると、さらに節約できます」とも述べています。
ハイブリッド イメージ
現在採用されているほとんどの展開手法では、ハイブリッド イメージが使用されています。ハイブリッド イメージとは、多少カスタマイズされたイメージです。ハイブリッド イメージには、ドライバー、ソフトウェア更新プログラム、すべてのユーザーに必要な主要アプリケーション、およびビジネスの生産性向上や企業ポリシーの遵守のために必要な必須カスタマイズが含まれています。たとえば、組織の全デスクトップ コンピューターを対象とした生産性を向上するためのスイート (Microsoft Office 2010 など) とマルウェア対策ソフトウェア (Microsoft Forefront Client など) が含まれた基本イメージを作成できます。この場合、イメージ作成後に MDT を使用してすべてのユーザーにイメージを展開し、イメージを展開後に、SCCM を使用して他の基幹業務 (LOB) アプリケーションを特定のユーザーにプロビジョニングできます。
通常、ハイブリッド イメージを使用する場合、いくつかの基本的なカスタマイズだけがイメージに組み込まれています。Windows ファイアウォールの構成、リモート デスクトップの有効化、ネットワーク ドライブのマップなど、ほとんどのカスタマイズは、展開後にグループ ポリシーやスクリプトを使用して行います。ハイブリッド手法は、無人インストールがサポートされなかったり Sysprep によるイメージング プロセスで互換性の問題が発生したりする、サードパーティ製のアプリケーションにも効果的です。
多国籍組織では、ハイブリッド手法を使用して、必要に応じてユーザーに言語パックを展開できます。ただし、各言語パックのインストールには時間がかかるので、1 つのイメージに 10 数種類もの言語パックを追加すると、展開速度が大きく低下することがあります。
シック イメージ、シン イメージ、またはハイブリッド イメージのうち、採用するイメージを決定する際には、イメージを更新しなければならない頻度も考慮する必要があります。
「イメージに含めるコンポーネントによって、シン イメージ、シック イメージ、またはハイブリッド イメージのどれが必要になるかが決まります。イメージの大部分を頻繁に変更する必要がある場合は、シン イメージが適しているでしょう。展開後の作業が不要な 1 つのファイルにすべてのコンポーネントを含める場合は、シック イメージが最適でしょう」と、Windows デスクトップ イメージの開発と展開を専門とし、8 年以上にわたってさまざまな政府機関の顧客を支援してきたマイクロソフトのコンサルタントである Howard Carter 氏は述べています。さらに、「通常はこれらの手法を組み合わせて使用し、ハイブリッド イメージを構築します。ハイブリッド イメージでは、サイズの大きいコンポーネントや変更されないコンポーネントをイメージに含めて、サイズの小さいコンポーネントや頻繁に変更されるコンポーネントを展開時にインストールします」とも述べています。
「基本イメージを構築する際には、アプリケーションの変更やアップグレードの頻度を考慮する必要があります。何しろ、頻繁にイメージを更新する原因となるアプリケーションを基本イメージに組み込むことはお勧めできません」と Stokes 氏は述べています。
MDT 2010 を使用する
どの種類のデスクトップ イメージを使用する場合でも、イメージの構築と管理には MDT 2010 を使用することをお勧めします。Semibratov 氏は「MDT を使用すればイメージ構築プロセスを完全に自動化することが可能で、このプロセスを自動化すれば整合性があって安定した結果が得られる」と述べています。Carter 氏も同意見で、「Microsoft Deployment Toolkit には、整合性があって繰り返し実行できるイメージ作成シーケンスが毎回提供されるインターフェイスが備わっています。このため、イメージ構築プロセスにおける人的エラーが防止されます」と述べています。
Semibratov 氏は、イメージの構築に物理コンピューターが必要なくなったことも指摘しています。つまり、Microsoft Hyper-V を使用して Windows 7 のイメージを作成できるということです。この作業に使うツールとして、Stokes 氏は、Michael Niehaus 氏が開発した Image Factory を強く推奨しています。Image Factory では、MDT 2010、System Center Virtual Machine Manager (SCVMM) 2008 R2、および Hyper-V を使用して、Windows 7 のイメージを管理します。また、Semibratov 氏も "設定したら忘れてもよい" スクリプトを作成しています。このスクリプトでは、Hyper-V と MDT を使用して自動的に Windows のイメージを構築し、キャプチャした WIM ファイルを任意の場所に保存します。
MDT ではなく SCCM を使用してイメージを展開することを計画している場合でも、イメージの構築と管理には MDT 2010 を使用することをお勧めします。Semibratov 氏は、MDT 2010 を使用して "基礎となるイメージ" を作成することを提案しています。この手法では、SCCM と MDT 拡張機能 (MDT の次期リリースにおける Modena など) を使用して、イメージをエンド ユーザーに配布します。MDT と SCCM のどちらを使用してもイメージは展開できますが、MDT を使用して参照イメージを作成すると、ユーザーのデスクトップの外観を構成することができます。SCCM は Local System アカウントで実行されるので、SCCM では、ユーザーのデスクトップの外観は構成できません。
ヒントと課題
以下に、企業デスクトップ イメージを構築して管理する際に注意が必要なその他のヒントと課題を紹介します。
- DISM を使用すると、イメージに含まれている OS のエディション、デバイスのドライバー、ソフトウェア更新プログラムやその他のパッケージ、地域と言語の設定、およびアプリケーションの更新プログラムの一覧を取得して、オフライン イメージを監査できます。定期的にイメージを監査することは、継続的なイメージの管理計画で重要な作業です。詳細については、「展開イメージのサービスと管理のコマンド ライン オプション」の「DISM コマンド ライン オプション」セクションを参照してください。
- シック イメージを使用する場合は、一部のアプリケーションを事前設定されたファイル (アプリケーションの .msi ファイルや setup.exe ファイルなど) としてイメージに追加することを検討します。その後、展開プロセスを構成して、Windows をインストールしたら、事前設定されたアプリケーション ファイルのローカル インストールがスクリプトによって開始されるようにします。この手法の利点は、事前設定されたアプリケーションがイメージ自体にインストールされていないので、イメージがオフラインの間に (古いアプリケーションを新しいバージョンに置き換えるなどの作業の目的で) 簡単にアプリケーションを更新できることです。
- シック イメージは、新しく (または更新されて) 大幅にカスタマイズされたデスクトップ環境をできる限りすばやくユーザーに展開する必要がある組織 (コール センターなど) で便利です。この場合、事前設定されたアプリケーションを展開すると、展開プロセスの速度が大きく低下し、ビジネス要件が満たされなくなることがあります。
- Semibratov 氏は、Adobe Acrobat Reader などの製品の自動更新を無効にすることを提案しています。Semibratov 氏は、「ロックダウンされた環境では、標準ユーザーの場合、更新プログラムをインストールする機能がブロックされています。このため、ソフトウェアで自動更新を行おうとすると、資格情報を入力する画面が表示されます。その結果、ヘルプ デスクへの問い合わせが発生することになります」と述べています。
- 「導入に 3 ~ 6 か月かかる SCCM の展開を待っている場合は、タスク シーケンスと基本イメージの構築に着手できるように、小規模な MDT 2010 のリポジトリを構築することを真剣に検討してください。後で準備ができたときに、この段階の作業はすべて SCCM に移行することが可能で、MDT 2010 環境は簡単に構築できます」と Stokes 氏は説明しています。
- Michael Murgolo 氏は、「The Deployment Guys (展開担当者たち、英語)」ブログにすばらしい記事を掲載しています。この記事では、展開の既定のユーザー設定を構成して、ユーザーが初めてコンピューターにログオンしたときにも一環性のある既知のユーザー エクスペリエンスを提供できるようにするための、さまざまな方法を説明しています。
- Carter 氏は、サードパーティ製のセクター ベースのイメージング ソリューションではなく、WIM 形式を使用することを推奨しています。「WIM では、展開中もデータはディスク上に残されているので、非常に柔軟に作業できます。ネットワーク共有や外部の USB ドライブなどのリモートの場所にデータを移動する必要はありません。一方、セクター ベースの展開では、イメージをインストールする前にすべてのデータをハード ドライブから移動しておく必要があり、このような移動を行うと、展開にかかる時間が大幅に長くなります」と Carter 氏は述べています。
最後の点の補足として、Carter 氏は次の事例を紹介しています。「私は以前、Windows イメージング形式以外のイメージ ファイル形式を使用する場合の影響を考慮せずに展開ツールを選択した顧客と仕事をしたことがあります。顧客が選択した展開ツールでは、セクター ベースの構造を利用したファイル形式が使用されていたので、展開時にドライブ上のすべてのデータが上書きされました。また、顧客は移行プロセス中にユーザー状態移行ツール (USMT) を使用してユーザー データを保持しようと考えていました」
「しかし、ユーザー データをディスク ドライブ上に残しておけないので、ユーザー データは、リモート ネットワーク ストアに移動し、イメージのインストール完了後にドライブに戻す必要がありました。この手法を採用した結果、展開には非常に時間がかかりました。WIM 形式を使用していたら、もっと短期間で展開できたでしょう」
これは、デスクトップ イメージを構築、管理、および展開する際に採用できるすべての手法を検討することの重要性を示す、ありふれた例にすぎません。
Mitch Tulloch は、Microsoft MVP (Windows Server のセットアップ/展開) であり、『Windows 7 Resource Kit』(Microsoft Press、2009 年) の主執筆者でもあります。Tulloch は、自身の Web サイト (mtit.com、英語) でリソース キットの非公式サポート サイトも運営しています。執筆に協力してくれた Microsoft Consulting Services の Alexey Semibratov、Howard Carter、Jeff Stokes、および Michael Murgolo に感謝すると共に、Xtreme Consulting Group の Keith Garner と Tim Mintner に感謝します。