Windows ベースのエンドポイントを新しい管理サーバーにリダイレクトする方法

  • 文章 ID: 116737
  • 更新日: 2014 5 07

新しく Enterprise Console (管理サーバー) をインストールした場合、Windows のエンドポイントコンピュータを新しい移行先サーバーにリダイレクトする必要があります。ほとんどの環境では、移行先サーバーのコンソールでコンピュータの保護を実行したり、既存のエンドポイントコンピュータ上で必要なオプションを付けて Setup.exe を実行できます。これらの作業は、手動で行うこともできますが、スクリプトの一部として実行することもできます。

この文章は、ソフォスのエンドポイント移行ツールを使って、Windows ベースのエンドポイントコンピュータを新しい Enterprise Console にリダイレクトする VBScript ファイルを作成する方法について説明します。この方法は、上記のどちらの方法も適切でない場合に使用することを推奨します。

重要: 以下の手順を Enterprise Console v 4.5 または 4.7 に対して実行する場合、Patch の実行に関するセクションは適用しないでください。Enterprise Console v 4.5 または 4.7 にはこの機能は適用できません。

Enterprise Console からコンピュータを再保護するかわりにスクリプトを使用する理由は次のとおりです。

  • コンピュータが常に接続されていない。
  • 常に Enterprise Console の管理下に置くようにコンピュータをロックダウンしている。
  • 大量のコンピュータを再保護する必要があるため、スクリプトを使用したアプローチの方が適当である。

「Sophos endpoint migration utility」(ソフォス エンドポイント移行ツール) を使用する理由は次のとおりです。

  • 帯域幅の制限。
  • エンドポイントコンピュータ上のスクリプトなどリモートタスクを簡単に実行できる。

重要:

  • 手順を進める前に Enterprise Console 移行ガイド の説明に従い、Sophos Management Server の移行が完了しており、システムが正常に動作していることを確認してください。
  • お客様の環境でメッセージリレーを使用している場合、メッセージリレーを新しい管理サーバーにリダイレクトする方法の詳細について、サポートデータベースの文章 14635 をご覧ください。注:現在のメッセージリレーの背後にあるクライアントは、引き続きリレー経由でメッセージを送信するため再設定の必要がありません。リレーのみが新しい管理サーバーを参照するように変更する必要があります。

問題が最初に発見された製品

Enterprise Console 4.5.0

説明・対策

ソフォスのエンドポイント移行ツールは、移行先の管理サーバーに接続できる、任意の Windows ベースのコンピュータから実行可能ですが、可能な限り、移行先の管理サーバーから実行することを推奨します。HTA ファイルのリモート実行に関するセキュリティ警告を防ぐため、ネットワーク共有からは実行しないでください。

大量のコンピュータに展開する前に、作成したスクリプトファイルを数台のエンドポイントコンピュータでテストして、正しいオプションで構成されていることを確認してください。問題がある場合は、コンピュータに出力されるログを使って解決します。これに対するデフォルトの場所は以下です。C:\windows\temp\SophosReInit.txt

  1. 「EndpointMigrationUtility.hta」というツールを EMU.zip からダウンロードします。
  2. ファイルを展開したら、Endpoint Migration Utility を開きます。ツールのウィンドウから、作成する VBScript ファイルに必要なオプションを選択します。
    たとえば、一部のエンドポイントコンピュータをコンソールの別のグループに追加する場合など、複数のスクリプトファイルを作成しなければならないこともあります。
  3. ここで作成するスクリプトは、管理サーバーを移行先のサーバーに変更するすべてのクライアントで実行します。

    構成オプション:

    Remote Management System (RMS)  
    Reinitialize RMS required Sophos Remote Management System (RMS) をリダイレクトします。エンドポイント上の RMS が移行先の管理サーバーを参照するように設定を変更します。ほとんどのコンピュータのリダイレクトでこのオプションを選択します。
    Path to new 'cac.pem'
    Path to new 'mrinit.conf'
    移行先サーバーから「cac.pem」と「mrinit.conf」を選択できます。これらのファイルは、移行先管理サーバーのデフォルトの配布用共有にあります。
    \\[移行先サーバー名]\SophosUpdate\CIDs\S000\SAVSCFXP\

    注: mrinit.conf ファイルのアドレスが移行先サーバーになっていることを必ず確認します。

    SEC Group Path (任意) マシンを追加する 移行先サーバー上の SEC グループを指定できます。注:パスの大文字と小文字は区別されます。
    Force configuration オプション名の横のリンクをクリックするとヘルプを参照できます。 

    このオプションを選択すると、前回のリダイレクトが行われた場合でも、強制的に RMS が再設定されます。   スクリプトにより RMS が再設定されると、HKLM\Software\[wow6432node]\Sophos\ の下にマーカーの役目を持つ「ReInitRMSMarker」と呼ばれる DWORD レジストリキーが作成されます。値はエンドポイントの管理サーバーの設定が変更されたことを示す 1 に設定されます。スクリプトは、このレジストリキーの存在をチェックし、存在する場合は、「Force configuration」オプションが無効であれば、終了します。これにより、スタートアップで実行される場合など、スクリプトが毎回実行されることが防止されます。 

    「Force configuration」オプションを有効化すると、マシンがメッセージリレーの場合や SEC サーバーの場合は (HKLM\SOFTWARE\[Wow6432Node]\Sophos\Messaging System\Router の下の ConnectionCache というレジストリキーの値が 10 以外であるとき)、再設定が強制的に実行されます。このチェックにより、予期しない SEC サーバーやメッセージリレーの再設定が防止されます。このため、このオプションは注意して使用してください。

    Sophos Patch Agent パッチ機能を使用している場合や、パッチ機能を使用しているコンピュータに対して別のスクリプトを作成する場合は、このセクションのオプションを選択します。パッチ機能を使用していない場合、このセクションを設定する必要はありません。
    Force configuration オプション名の横のリンクをクリックするとヘルプを参照できます。 

    このオプションを選択すると、マーカーの DWORD レジストリキーの状態 (HKLM\Software\[wow6432node]\Sophos\ の下の「ReInitPatchMarker」が 1 に設定されている) にかかわらず、Sophos Patch Agent の再設定が強制的に実行されます。これは前回ツールを実行したときに設定され、たとえば、スタートアップで実行される場合など、スクリプトが繰り返しコンピュータを再インストールすることを防ぎます。

  4. 必要なオプションを選択したら、「Create VBScript」をクリックします。エンドポイントの移行ツールを実行した場所に「SophosReInit.vbs」ファイルが作成されます。
  5. この VBScript を移行先の管理サーバーにリダイレクトするすべての Windows ベースのエンドポイントコンピュータで実行します。
    注:
    • このスクリプトはエンドポイント上で管理者権限で実行する必要があります。
    • スクリプトの実行時には画面には何も表示されません。進行状況を監視するには 'SophosReinit.txt' というログファイルを参照できます。デフォルトでは \windows\temp\ にあります。
    • エンドポイントコンピュータ上でのスクリプトの実行には約 1分かかります。
    • 移行先サーバーで移行前の管理サーバーを管理する場合は、移行前の古いサーバーからソフォスのコンソールコンポーネントをすべてアンインストールする必要があります。
      • Sophos Management Console
      • Sophos Management Database
      • Sophos Management Server
      • Sophos Update Manager

      移行元サーバーの使用停止について、詳細は移行ガイドを参照してください。

  6. 作成したスクリプトは、以下のような手法でクライアントに展開できます。

 
詳細情報が必要な場合やご不明の点がある場合は、 テクニカルサポート までご連絡ください。

Rate this article

Very poor Excellent

Comments