今更聞けない System Center Configuration Manager 2007 Basics #2 (クライアント管理編)

気付いたら、また1ヶ月もブログを放置していました。
いや、放置していたと言うよりは、時間が猛スピードで過ぎて行っていると言う方が正しいのかも…
やっと気温も落ち着いて、秋な感じになってきましたね。

さて、本日は、やり逃していた「今更聞けない」シリーズ第二弾。
第一弾の SCCM 2007 クライアント インストールに続き、SCCM 2007 クライアント管理についてのことを Q&A 形式でご紹介。

  1. 混在モードのクライアントをサイトに割り当てる前に承認できる?
    • いいえ。クライアントの承認はサイトで実行されることなので、クライアントはサイトに割り当てられている必要があります。
      混在モードの環境において、クライアントとなるシステムはクライアント エージェントのインストールだけでなく、サイトに割り当てられていることが、先ず必要です。クライアントとして承認されると、サイトとの通信が実行可能になると言うことです。もちろん、サイト サーバーの設定次第で、ある程度のポリシー通信を許可させることはできますが、機密データを含むポリシーを受信できないことがあります。
    • 補足情報
      https://technet.microsoft.com/ja-jp/library/bb694193.aspx
  2. 承認されないクライアントは全ての通信ができなくなるの?
    • いいえ。これは質問1 でも答えているように、そのようなことではありません。承認の意味は大きく、機密データを含むポリシーの受信の可否にあります。未承認のクライアントも、自己署名入りの証明書を持つので、サーバーとの通信を行うことができます。未承認のクライアントも、インベントリ情報をサイト サーバーに報告することができます。クライアントとサーバー間での通信をよりセキュアにしたい場合は、ネーティブ モードでサイトを構成することが推奨されます (が、日本国内での事例も少ないと思います)。
    • 補足情報
      https://technet.microsoft.com/ja-jp/library/bb694193.aspx
      https://technet.microsoft.com/ja-jp/library/bb680985.aspx
      https://technet.microsoft.com/ja-jp/library/bb632573.aspx
  3. 手動でクライアントを承認する場合、セントラル サイトから子サイトのクライアントを含める全てのクライアントを承認できる?
    • いいえ。親子関係を持つ SCCM サイトであれば、上位サイトからでも承認ができそうかと思うかも知れませんが、実際のクライアントの承認は割り当てられたサイトが実行するものです。依って、手動でクライアントを承認する場合は、そのクライアントが割り当てられているサイトで実行する必要があります。とは言え、承認していても未承認のままでも、上位サイトで該当クライアントの情報を見ることはできます。
    • 補足情報
      https://technet.microsoft.com/ja-jp/library/bb633214.aspx
  4. 混在モードの環境で存在している SMS 2003 のクライアントは、SCCM のフォールバック ステータス ポイントを利用できる?
    • いいえ。フォールバック ステータス ポイントは SCCM 2007 からの機能なので、旧バージョンの製品がそれを利用することはできません。フォールバック ステータス ポイントとは、クライアントの展開や割り当て状況を記録する機能です。問題・障害も含めて履歴を残す為、ネーティブ モードで構成されている環境などでは有効的です。
      SCCM (SMSv4) のリリース後に、旧バージョン (SMS 2.0/SMS 2003) 用の KB などはリリースしていないため、旧バージョンの製品がこの機能を利用することは、残念ながらできません。これは、どの製品においても、基本的には同じです。
    • 補足情報
      https://technet.microsoft.com/ja-jp/library/bb694178.aspx
  5. フォールバック ステータス ポイントを有効にする前にクライアントのインストールをしました。その後、AD スキーマの拡張をしたので、フォールバック ステータス ポイントを利用できる状態になりましたが、クライアントが FSP を利用するには再インストールが必要ですか?
    • はい。クライアントへの FSP の割り当てはインストール時にされるため、インストール済みのクライアントが後で FSP を割り当てられることはありません。フォールバック ステータス ポイントは Active Directory Domain Services にインストール プロパティとして発行されますが、クライアントが検索できる情報としては発行されていません。
    • 補足情報
      https://technet.microsoft.com/ja-jp/library/bb633164.aspx
      https://technet.microsoft.com/ja-jp/library/bb633205.aspx
  6. ネットワーク ロード バランス (NLB) を利用している管理ポイントを DNS に登録できる?
  7. インストール後の再起動カウントダウンや通知の動作を、サイト毎に設定できる?
    • はい。コンピュータ クライアント エージェントのプロパティにある [再起動] タブの中で構成できます。また、ここで設定した項目の上書きもコレクション単位で実行できます。
    • 補足情報
      https://technet.microsoft.com/ja-jp/library/bb680571.aspx
  8. 混在モードのクライアントをブロックすることで、ネーティブ モードの Certificate Revocation List (CRL) 同等のセキュリティを満たせますか?
    • いいえ。これは言うまででもないかも知れませんが、同等とは大抵言い難いです。混在モードのセキュリティの一環として、クライアントをブロックすることは多少とは言え有効的な手段かも知れませんが、同クライアントは違う自己署名の証明書を持ち、ハードウェア ID が違っていれば、システム上は「違うマシン」と見做され、再度サイトに参加することができてしまいます。当然、サイト境界の設定や検索方法で、そのようなクライアントを拾わないようにすることも可能ですので、これはあくまでやり方次第です。
    • 補足情報
      https://technet.microsoft.com/ja-jp/library/bb693788.aspx
      https://technet.microsoft.com/ja-jp/library/bb694107.aspx
  9. 既定の設定の SCCM のサイト内に存在するクライアントを、OS イメージからの再インストールし、再度クライアント エージェントがインストールされた場合、重複したレコードとして認識されますか?
    • いいえ。旧バージョンでは、クライアント データの重複がよくあり、悩まされた方もいらっしゃったかと思います。SCCM、多少は賢くなりました。SCCM では、Hardware ID を内部アルゴリズムで計算し、Unique Identifier を作成します。ここまでは旧バージョンと変わりませんが、SCCM では、仮にクライアントの OS 再インストールなどがあった場合に、重複するデータがあると、自動的に新しいクライアント レコードを生成します。依って、クライアント データの重複を防ぐことができるようになりました。但し、こうすることで、過去のレコードとの紐付けができず、レポートなどに影響はでます。まだまだ、改善の余地はあると言うことですね。
    • 補足情報
      https://technet.microsoft.com/ja-jp/library/bb693939.aspx
      https://technet.microsoft.com/ja-jp/library/bb693963.aspx
  10. 特定のコレクションのインシデント詳細ごとの問題レポートを利用するためには、クライアントがフォールバック ステータス ポイントに割り当てられている必要がありますか?
    • はい。SCCM ではいくつかの新しいレポートがあり、上記もその一つですが、これらのレポートを利用するにはフォールバック ステータス ポイントが構成されており、クライアントがそこに割り当てられている必要があります。
    • 補足情報
      https://technet.microsoft.com/ja-jp/library/bb633154.aspx

 

少しは為になりましたかね…ザックリ感はあるかも知れませんが…

この後、SCOM の作業をするので、気が向いたらその辺の情報もブログしますね♪

特に管理パックまわり…

期待せずに待ってて下さい (笑)