よくある質問
優先サーバの追加
優先サーバの最低要件は何ですか?
優先サーバは、ファイル共有をホストするコンピュータです。 このため、次のような最低要件があります。
- クライアントがダウンロードする、ステージングされるファイル用のディスク領域。 これは、パッチとアプリケーションでは次のように異なります。
- パッチの場合、必要な実際の領域は、パッチ スキャンで検出されたクライアント コンピュータ上のオペレーティング システムおよびアプリケーションの種類によって異なります。 macOS クライアントにパッチを適用する場合、OS 更新は大きくなる可能性があります。
Ivanti では100GB のディスク領域を推奨します。 - アプリの配布の場合、必要な実際のスペースは、アプリケーション用に定義されたダウンロードによって異なります。
アプリの配布の自動同期はサポートされていませんが、優先サーバにアプリを手動でステージングできます。
- パッチの場合、必要な実際の領域は、パッチ スキャンで検出されたクライアント コンピュータ上のオペレーティング システムおよびアプリケーションの種類によって異なります。 macOS クライアントにパッチを適用する場合、OS 更新は大きくなる可能性があります。
- ダウンロードに必要なプロトコルのサポート (HTTPS、SMB)
- SMB プロトコルは Windows では既定で有効になっています。 「優先サーバのセキュリティに関する推奨事項」をご参照ください。
- HTTPS ダウンロードの場合、Web サーバをインストールまたは有効化する必要があります (IIS など)。
優先サーバは Web サーバである必要がありますか? 標準ファイル共有でも可能ですか?
はい。従来の Windows ファイル共有よりも標準的なファイル共有でかまいません。 URL フィールドのダウンロード プロトコルとして「file:」を指定します。
例: file://myserver.ivantosi.org/myshare
優先サーバがコンテンツを正常にダウンロードするには、どのプロトコル/ポートを開く必要がありますか?
優先サーバは何もダウンロードしません。 クライアント エンドポイントが優先サーバからダウンロードし、同期エンジンが優先サーバにプッシュします。 当然ながら、URL フィールドにダウンロード用に指定したプロトコルでの受信接続用に、優先サーバを開く必要があります。
例: HTTPS の場合、TCP ポート443を開く必要があります。 同期エンジンは、既定では TCP ポート445を使用する SMB 経由で優先サーバにアップロードします。
コンテンツの読み取り場所である URL を指定するための正しい形式は何ですか?
次の形式を使用します。
- file://ivantosi-srv/myshare
- https://myserver/myshare
- http://myserver/myshare
読み取り認証資格情報と書き込み認証資格情報の違いは何ですか?
読み取り認証資格情報は、優先サーバからダウンロードするときにクライアント エンドポイントによって使用されます。 セキュリティのため、優先サーバとして共有されるディレクトリの読み取り認証資格情報によって認証されるアカウントには、読み取り特権のみを付与する必要があります。
書き込み認証資格情報は、同期エンジンが優先サーバにアップロードするときや、そのサーバ上のファイルを削除するときに使用されます。 書き込み認証資格情報によって認証されたアカウントには、優先サーバとして共有されるディレクトリへの書き込み特権と、共有自体のアクセス許可が必要です。
SMB パスを指定するための正しい形式は何ですか?
次の形式を使用します。
- \\myserver\myshare (UNC 形式)
- smb://myserver/myshare
最小空きディスク (%) を超えた場合はどうなりますか?
サポートされていません。 このコントロールは削除されます。
最大キャッシュ サイズ (KB) を超えた場合はどうなりますか?
サポートされていません。 このコントロールは削除されます。
読み取り/書き込み/資格情報に使用されている認証資格情報が資格情報ストアから削除された場合、優先サーバはどうなりますか?
読み取り資格情報 (これは任意) の場合、エージェント設定で優先サーバを使用しているエンドポイントは、読み取り資格情報を使用せずに優先サーバからダウンロードしようとします。 優先サーバが認証を必要とする場合、エンドポイントはそこからダウンロードできず、エージェント設定で構成された他のダウンロード ソースを引き続き試します。
書き込み資格情報は同期エンジンでのみ使用されます。
優先サーバからのコンテンツのダウンロードに認証資格情報を必要とすることは必須ですか?
いいえ。共有上、および共有されているディレクトリ上の「Everyone」グループに読み取り権限を割り当てることも可能です。
推奨される優先サーバ数はいくつですか? (たとえば、2,500エンドポイントごとに優先サーバを1つ使用します)
これは、クライアント エンドポイントがパッチやアプリをダウンロードするために利用できるインターネット帯域幅と、LAN で実行されるファイル サーバの維持コストによって異なります。
Ivanti は、高速接続 (インターネット帯域幅 / クライアント数 > 1Mb/s) を共有するクライアント数が少数の場所では優先サーバを使用しないことをお勧めします 。
クライアント エンドポイントが使用できる LAN 帯域幅が高い (完全切り替え GB イーサネットなど) 場合、2,500エンドポイントごとに少なくとも1つの優先サーバを検討してください。
ファイアウォールで区切られたサブネットがあり、それぞれに相当数のクライアントがある場合、ファイアウォールを通過するトラフィックを減らすために、サブネットごとに優先サーバを設定することを検討してください。
冗長性を考慮します。 エージェント設定では、使用する優先サーバの順序リストを定義できます。これにより、1つの優先サーバが使用できなくなった場合、エンドポイントは、ダイレクト インターネット ダウンロードにフェールオーバーする前に、別の優先サーバにフェールオーバーします。
現在エンドポイントが使用している優先サーバを削除できますか?
はい。 エージェント設定から優先サーバの選択を削除できます。
IP 範囲または同期エンジン構成で使用されている優先サーバは、最初にそれらの IP 範囲または同期エンジン構成から削除するまでは削除できません。
環境が優先サーバ用に設定されていて、ピアを使用していない場合、システムがベンダから直接更新をダウンロードできなくなりますか?
いいえ。ピア ダウンロードが有効になっていない場合でも、エンドポイントは必要に応じてベンダから直接ダウンロードします。 エンドポイントは次の順序でダウンロードを試行します。
- ピア エンドポイント (有効な場合)。
- 上記が失敗した場合、または無効化されている場合は、優先サーバ (有効な場合)。
- 上記が失敗した場合、または無効化されている場合は、ベンダからインターネット経由で直接。
IP アドレスの追加
重複する複数の IP 範囲がある場合はどうなりますか? このシナリオで使用される優先サーバはどれですか? 優先順位付けはできますか?
いいえ。 エンドポイントは常に、バインドされた IP アドレスのいずれかを含む、検出された最初の IP 範囲を使用しますが、そのような範囲が複数ある場合は、エンドポイントが評価する順序を制御することはできません。
優先サーバを IP アドレス範囲に追加するときには、優先サーバを優先させる必要がありますか? その場合、順番を上下に移動できますか?
IP 範囲は並べ替えることができませんが、評価の順序はいずれにしても保証されません。 また、詳細については、ここをクリックしてください。
同期エンジン構成の作成
同期エンジンとは何ですか?また、なぜ同期エンジンが必要なのですか?
同期エンジンは、エンドポイント上で他の Neurons 機能を実行するエンジンと同じように、エージェント上で有効にする機能です。 同期エンジンは、ベンダ ファイルをダウンロードし、優先サーバにアップロードします。 また、優先サーバから期限切れのファイルを削除します。 同期エンジンは、優先サーバでどのファイルが必要であり、どのくらいの期間必要であるかを説明するルールによって制御されます。 ルールは、ダウンロードされた大量のコンテンツを必要とするパッチ管理のような Neurons 機能によって、自動的に維持されます。
同期エンジンはコンテンツをどのくらいの頻度で同期しますか?
同期エンジンは1日に4回実行されます。 また、コマンド ラインによって手動でトリガすることもできます。
同期エンジン構成に追加できる優先サーバの最大数はいくつですか?
同期エンジンは、高速 LAN によってそれぞれに割り当てられた優先サーバに接続されるか、優先サーバ共有をホストする同じコンピュータで実行される必要があるため、ハード リミットはありませんが、使用するのは少数にしてください。
同期エンジンはどのプロトコル/ポートを使用しますか?
詳細については、ここをクリックしてください。
分散ファイル システム (DFS) 複製を使用して、優先サーバ間でコンテンツを同期できますか?
それは推奨されません。 使用することはできますが、優先サーバが常に同じファイル ルールを取得することが前提となります。 ほとんどの場合、ルールはパッチ管理用の優先サーバ間で同じですが、必ずしも同じではありません。
同期エンジンは他のエンジンと同様にダウンロードするため、ファイル システムの複製のように、ある優先サーバにアップロードしている間に、別の優先サーバからダウンロードすることもできます。
コンテンツの同期
優先サーバはどのようなタイプのコンテンツに使用できますか? アプリの配布/パッチ/エージェント更新/エンジン更新に使用できますか?
パッチとアプリの配布です。 エージェントとエンジンの更新では自動同期はサポートされません。また、これらの更新の動的な性質により、手動同期の候補としてはあまり適しません。
優先サーバからの同期/ダウンロードに失敗したコンテンツがある場合はどうなりますか? ベンダから自動的にダウンロードされるようにフォールバックされますか?
はい。 また、詳細については、ここをクリックしてください。
どのようなタイプのダウンロード/同期エラーが記録されますか?
エラーの範囲は、名前解決、認証、接続の喪失、ディスク領域などさまざまです。 一般には、ネットワークとファイル システムです。
同期エンジンは、すべての優先サーバ間でコンテンツを同期しますか? それともエージェント ポリシーに適用された同期エンジン構成内の優先サーバ間だけでですか?
同期エンジンは、ポリシーで指定された優先サーバ同期構成に明示的にリストされている優先サーバのコンテンツのみを管理します。 新しい優先サーバを作成した場合、ネットワーク上の同期エンジンの構成に追加されるまで、自動的には同期されません。
コンテンツはどのくらいの頻度で同期されますか? これは構成できますか? 手動同期オプションはありますか?
同期エンジンは1日に4回実行されます。 コマンド ラインによって手動でトリガできます。 また、必要な完全パスとファイル名がわかっていれば、いつでも手動でファイルを優先サーバにドロップできます。
一般的な質問
優先サーバ コンテンツはどのように保護する必要がありますか? 推奨事項はありますか?
ファイル共有のディレクトリと共有自体を ACL し、管理者、および書き込み認証資格情報に関連付けられたサービス アカウントによる書き込みのみを許可します。 同様に、読み取り認証資格情報による読み取りのみが行われるように ACL をロックダウンできますが、優先サーバにはシークレットは保持されません。 これらは、公開されているインストーラ ファイルです。
たとえ一時的であっても、書き込み認証資格情報にはドメイン管理者アカウントを使用しないでください。 これは、最小特権の原則に反しますし、同期エンジンに必要な特権を超えています。
優先サーバと同期されたコンテンツを表示するにはどうすればよいですか?
優先サーバ共有のディレクトリ リスト作成を実行します。
優先サーバのコンテンツが手動で削除された場合、同期エンジンは正しいコンテンツと再同期しますか? その場合、どのくらいの頻度で行われますか?
はい。特定のファイルが存在する必要があることがファイル ルールに書かれており、そのファイルが何らかの理由で存在しない場合、同期エンジンはそのファイルをアップロードします。 同期エンジンは1日に4回実行されます。
優先サーバは同期に差分変更を使用しますか? それともすべてのコンテンツですか?
同期エンジンはファイル全体をダウンロードおよびアップロードします。 差分のパッチ適用は行いません。 各ファイルを個別に評価し、コレクションとしてファイルをダウンロード/アップロードすることはありません。