Microsoft Offline Virtual Machine Servicing Tool を使用して休止状態の VM に更新プログラムを適用すると、適切な方法で、VM を稼動できるように準備したり、最新の更新プログラムが適用されていないという問題を回避したりできます。
Greg Shields
更新プログラムを適用する作業はお好きではありませんか。私は好きではありません。更新プログラムを適用する作業は、常にありがたくない作業だと考えられてきましたし、この作業はビジネスに価値をもたらさないため、いっそうつまらない作業だと思われてきました。少なくとも、今後、未知の壊滅的な被害を回避できる可能性があるという情報以外には、ビジネス価値はありません。
それにしても、更新プログラムを適用する作業は、長い間、IT 業界において単調でつらい仕事でした。深夜に及ぶ残業や、"すまない、夕飯までに帰れなさそうだ" という電話の主な原因となる、更新プログラムの適用や更新プログラムの管理は、だれもが嫌いにならずにいられないような業務です。
しかし、最近の更新プログラムの管理は、以前ほどひどい仕事ではありません。つい最近まで、更新プログラムを識別するには、大量のデータを記載した Excel ブックが必要でした。そのワークシート上では、更新プログラムは、マイクロソフトが判断した優先順位に応じて付けられた MS 番号や q 番号に関連付けられていました。他の更新プログラムに取って代わった更新プログラムを追跡する作業には、毎月少なくとも半日の時間を費やす必要がありました。
ただし、このような作業の大半は、Windows Server Update Services (WSUS) のリリースによって変化しました。このシンプルながら、時間を節約できるすばらしいツールのおかげで、更新プログラムの管理にかかわる手作業の大半が解消されました。WSUS と短いスクリプトを併用して、次にスケジュールされている更新まで待機することなく、コンピューターに更新プログラムをすぐ適用する指示を WSUS に出せるようになりました (このスクリプトは、まだ手元にあります。このスクリプトのコピーが必要であれば、concentratedtech.com (英語) からダウンロードしてご利用ください)。
WSUS には 1 つ制限があり、WSUS の自動更新プログラムのメカニズムは、更新プログラムを適用する必要があるサーバーまたはデスクトップが、起動している場合にのみ機能します。いろいろな理由で電源を切る必要があるコンピューターに対応することが、WSUS の課題でした。この制限により、翌朝コンピューターの電源を再び入れた後、すぐに一連の更新プログラムを適用するようにするか、管理者が、そのようなコンピューターを特定して電源を入れるという、追加作業を前夜に行う必要がありました。
以上の WSUS に関する制限は、たいした問題ではないことにお気付きでしょう。一連の更新プログラムが夕方に提供されたときに、ユーザーがコンピューターの電源を切っていた場合は、翌朝コンピューターの電源を入れた後に、バルーンによる通知が表示され、更新プログラムのインストールを開始できます。現在でも、通常、サーバーは 24 時間通電になっています。つまり、サーバーは常時稼動しているので、いつでも WSUS から更新プログラムに関する指示を受け取って、更新プログラムを適用できます。
混在環境の変化
この快適で安定した環境は、データセンターで仮想化を導入すると、また変化します。仮想化されても、サーバーは常時稼動している可能性があります。ただし、このような仮想サーバーには、派生元が必要です。大多数のユーザーにとって、この派生元というのは、サーバー テンプレートの複製になります。
サーバー テンプレートは、最小限の労力で新しいサーバーをすばやく構築し、オンラインにするのに役立つという点で優れています。また、すべてのサーバーの初期構成が同じになります。サーバー テンプレートには、負の側面もあります。サーバー テンプレート用のコンピューターは、新しいサーバーを構築するのに適していますが、テンプレート自体は、サーバーとして機能することを目的としていません。
サーバー テンプレートは、ファイル共有に VHD ファイル形式で保存されています。コンピューターの電源が切れると、このファイルは休止状態になります。サイズの大きな Word ファイルや Excel ブックと何の違いもありません。電源を入れると、休止状態のファイルは完全に機能するサーバーになり、通常のワークロード、最近のマルウェアや他の悪用による不正なワークロードを処理できます。
要するに、このような休止状態だったテンプレートに更新プログラムが適用されていないと、単純に電源が入っただけで、新しいマルウェア攻撃の原因になる可能性があります。
興味をお持ちいただけましたか。それは良かったです。と言うのも、これは、Microsoft Offline Virtual Machine Servicing Tool (現在はバージョン 2.1) の中心的なテーマだからです。この無料のソリューション アクセラレータでは、WSUS を使用して、(このアクセラレータを使用しなければ休止状態のままとなる) 仮想マシン (VM) テンプレートを最新の状態にするための、一連の自動化機能をインストールします。
.png)
図 1 Microsoft Offline Virtual Machine Servicing Tool の 3 つの主要なコンポーネント
この機能の要点を理解するには、図 1 を参照してください。System Center Virtual Machine Manager (VMM) をホストしているサーバーが、ライブラリ共有、Hyper-V ホスト、およびソフトウェアの更新プログラムを管理しているサーバーと、どのように通信するのかを理解できます。この更新プログラムを管理するサーバーは、WSUS サーバーまたは使用可能な System Center Configuration Manager (SCCM) サーバーになります。どちらでも、プロセスはほぼ同じです。
Microsoft Offline Virtual Machine Servicing Tool では、いわゆる "サービス ジョブ" を使用して、VMM ライブラリに存在する VM への更新プログラムの展開を管理します。このようなサービス ジョブは、基本的には、Windows タスク スケジューラで処理されるタスクで、指定の日時に実行されます。
サービス ジョブでアクティブ化を行う準備が整うと、まず、VM テンプレートがある場所から VM を "アクティブ" にします。アクティブにするプロセスでは、Hyper-V ホストに VM を展開して電源を入れます。VM が起動すると、VM 内で構成されている Windows Update エージェント (WUA) に、一連のソフトウェアの更新プロセスを開始するように指示します。
VM の WUA 構成は、お使いのコンピューターに設定するのと同じ方法で設定します。これはグループ ポリシーを適用して設定したり、VM 内の構成を手動で設定して行います。このプロセスが機能するには、更新サービスの場所、WSUS コンピューター グループ、セキュリティ ポリシーで定義されている他の特性など、一般的な WSUS 構成をすべて設定する必要があります。
VM を正しく更新したら、サービス ジョブにより VM の電源が切られ、ライブラリに戻されます。このような自動化されたプロセスにより、VM と他のインフラストラクチャが、適切な更新プログラムで更新されるようにします。Microsoft Offline Virtual Machine Servicing Tool では、固有の更新管理の構成を追加するのではなく、WSUS や SCCM 用に既に構成されている既存の設定を使用します。
実際のところ、Microsoft Offline Virtual Machine Servicing Tool をインストールするには、関連する Solution Accelerator ガイドを読まなければわからない、いくつかの手順を実行する必要があります。最新版はバージョン 2.1 ですが、まだ初期のリリースのような状態です。このツールをインストールするには、Microsoft Web サイトからコンソールをダウンロードする必要があります。ツールを実行するには、PSExec のバイナリ (psexec.exe および pdh.dll) をダウンロードして、ツールの bin フォルダー (C:\Program Files\Microsoft Offline Virtual Machine Servicing Tool\bin) にコピーするという追加の手順が必要です。また、Windows PowerShell の実行ポリシーを、RemoteSigned に設定する必要があります。
.png)
図 2 Microsoft Offline Virtual Machine Servicing Tool のコンソール
インストール後、このツールのコンソール (図 2 参照) では、どのコンピューターにいつ更新プログラムが適用されたのかを判断するために、Virtual Machine Groups (仮想マシンのグループ) を特定します。また、更新タスクの特性を含む Servicing Jobs (サービス ジョブ) も特定します。Microsoft Offline Virtual Machine Servicing Tool は、VMM ライブラリに含まれる VM でのみ機能します。つまり、既に Hyper-V ホストに展開され、電源が切れている VM に対して、このツールを使用することはできません。
このツールは、エラーが発生したり、追加のサーバーが必要になったときに、オンラインにする準備ができているホット スペアの VM など、厳密にはテンプレートではない VM で機能します。このような場合、ツールでは、ホット スペア サーバーで NIC をもう 1 枚使用して、分離されたネットワークに展開するようにします。これで、最新の更新プログラムを適用する目的で VM を起動した場合に、誤ってホット スペアを使用することを防げます。
Microsoft Offline Virtual Machine Servicing Tool は、休止状態の VM に更新プログラムを適用するすべてのニーズに応える、完全なソリューションではないかもしれませんが、いくつかの休止状態の VM を最新の状態で保つ場合には、このツールの安価な価格と限られた機能が役立ちます。この処理を手動で行う場合の労力と、このような処理を行わずに更新プログラムが適用されない場合の影響を考えると、休止状態で潜在的な危険があるすべての VM を監視することが、非常に重要だとわかります。
.jpg)
Greg Shields (MVP) は、Concentrated Technology の共同経営者です。何でも屋である IT プロフェッショナル向けのヒントとテクニックについては、ConcentratedTech.com (英語) を参照してください。