SCE / WSUS :今すぐに更新ファイルやソフトウェアをインストールしたい その2 検索編

WSUS の API を使用して更新ファイルを検索するには、以下のようなコードを使用します。 拡張子 vbs でテキストファイルとして保存し、コマンドプロンプトより以下の書式で実行してください。 cscript hogehoge.vbs インラインで解説を入れておきますので参考にしてください。 ‘ WSUS のクライアントエージェントを使用した管理を行う場合には、ここからはじまります。’ UpdateSessionオブジェクトが、基点のオブジェクトとなります。’ ここでは、UpdateSession オブジェクトを、objUpdateSession という名前で取得します。 Set objUpdateSession = CreateObject(“Microsoft.Update.Session”)’ 検索をするにあたり、検索用のオブジェクト(Searcher オブジェクト)を取得しておきます。’ 検索用のオブジェクトは、Microsoft.Update.Session オブジェクトの ‘ CreateUpdateSearcher メソッドで取得します。Set objUpdateSearcher = objUpdateSession.CreateupdateSearcher( )WScript.Echo “更新ファイルを検索しています…” ‘ Searcherオブジェクトで検索する際に、条件を付けることができます。’ 与えられえる条件は、http://msdn2.microsoft.com/en-us/library/aa386526.aspx を’ 参照してください。’ 今回は、「インストールされていない更新ファイル」ということで、IsInstall = 0 を指定します。strSeatchCondition = “IsInstalled=0″‘ 以下はコメントアウトしていますが、Typeを指定することで、ソフトウェアなのかドライバ’ なのかを指定して絞り込むことも可能です。’ strSeatchCondition = “IsInstalled=0 and Type=’Software’ “‘ strSeatchCondition = “IsInstalled=0 and Type=’Driver’…

2

SCE / WSUS :今すぐに更新ファイルやソフトウェアをインストールしたい その1

TechEd での Essentials セッション参加者の皆様、大変お待たせしました。いろいろと技術検証を行っており、遅くなってしまいました。 SCEに限らず、Windows Update または WSUS を使用して更新ファイルを今すぐに適用するためのスクリプトをご紹介します。いや、紹介するだけではつまらないので、スクリプトを一緒に作っていきましょう。 スクリプト自体、さほど新しいわけでもなく、むかしからいろいろなサイトでご紹介されているものですが、日本語解説がついたものはあまりないみたいですので、スクリプトの勉強がてら読んでいただければと思います。 でははじめましょう。 まず、以下の図をざーっとごらんください…ちょいと大きくてすいません。 DEVな方や、スクリプトの開発になれた方にはおなじみですよね。クリックしていただくと、MSDNの当該ページに移動します。これはなにかといいますと、Windows Update Agent のオブジェクトモデルです。スクリプトを書くときに限らず、開発者の心の友でもあります。 これをご覧いただくと、なんとなく、UpdateSession というオブジェクトに便利そうな機能が詰まっているであろうことがわかります。なんとなくでよいので、そんな気分になってみてください(強引だな)。 今回は、Windows Update サイトもしくは、WSUSのサイトにアクセスして適用可能な更新ファイルが存在する場合には即座に適用するためのスクリプトを作成します。上記のオブジェクトモデルを参照すると、以下のことが予測できます。 UpdateSeacher は更新ファイルの検索に使うような気がする UpdateDownloader は更新ファイルのダウンロードに使うような気がする UpdateInstaller は更新ファイルのインストールに使うような気がする こうして “あたり” をつけたら ( というやり方が正しいかどうかはおいといて… )、もうやることはなんとなく見えてきました。 探して、ダウンロードして、インストールすればよいわけですね。 では、まず「探す」スクリプトから作りましょう。  続きは、「その2 探す編」にて。 参考サイト Searching, Downloading, and Installing Updateshttp://msdn2.microsoft.com/en-us/library/aa387102.aspx Tales from the Scripthttp://www.microsoft.com/japan/technet/community/columns/scripts/sg0705.mspx  

5

SCE:Essentials をインストールしようとすると「既にこのドメインにインストールされています」エラーへの対処

System Center Essentials をインストールしようとすると、以下のエラーが表示されることがあります。 「 Essentials は、既にこのドメインにインストールされています。既に Essentials がインストールされているドメインにはインストールできません。詳細については、ドキュメントを参照してください。 」 これは、過去に System Center Essentials をインストールしたことがあり、かつ正しくアンインストールができず、ドメインに情報が残ってしまった場合に発生します。 実を言えば、私も、先ほどこのエラーに見舞われて困惑しましたので、対処法をここに記しておきます。 01)ADSI Edit を起動 ADSI Edit は、OSのインストールCDの SUPPORT\Tools にある SUPTOOLS.MSI に含まれています。このファイルをダブルクリックしてインストール後、MMCのスナップインを使用して起動してください。起動方法の詳細は、http://technet.microsoft.com/ja-jp/library/bb124152.aspx をご覧ください。 02)ドメインに接続する ADSI Edit を起動すると、画面の左側には「ADSI Edit」と表示されるだけで、どこにも接続されていない状態です。 画面の ADSI Edit 部分を右クリックして 「Connect to 」を選択し、表示されたダイアログ画面で何も考えずに「 OK 」をクリックしてください。自動的に、ドメインに接続してくれます。 03)SCEサーバのコンピュータオブジェクトから SCESCP オブジェクトを削除 まずは、SCEサーバーだったコンピュータオブジェクトを探してください。おそらく、CN=Computers 配下かと思います。コンピュータのツリーを開いていくと、「cn=SCESCP」ってのがありませんか?これを削除してください。くれぐれもほかのオブジェクトを削除しないように気をつけて下さい。 おそらく、これでインストールができるようになっているはずです。      

0

People Ready Business ~ People って誰?

#TechEd で System Center Essentials セッションにご参加いただいた皆様へ#29日までにお約束の事項について書き連ねますのでいま少しお待ちくださいませ 「People Ready Business」というメッセージについては、おそらく、皆さんご存知かと思うのですが、いかがでしょうか…。 ITによる生産性向上に主眼を置いていたこれまでの施策から、「社員」に目をむけ、社員が自らの力を発揮することこそがビジネスを成功に導く…という思いをこめたメッセージです。詳しくはこちらをご覧ください。http://www.microsoft.com/japan/business/peopleready/default.mspx 「社員力を経営力に」というメッセージは、さまざまなご意見はあるかと思うのですが、私は嫌いではありません。いや、どちらかと言えば好きなメッセージです。 ただ、なんというか…これは漠然とした印象で恐縮ですが、ある一定の階層には届いていない気がしないでもありません。いや、届きづらいと言ったほうが正しいでしょうか。 それは、People を最大限に生かすことが使命である、「People Manager」と呼ばれる職種の方々です。つまり、主任~課長・部長 レベルの方々です。特に、「比較的大きな企業の課長職」の方々。そうですね、年齢で言えば、30歳後半以降の方々でしょうか。ちょうど我々エバンジェリストと同世代か、そのトレーナーだった皆さん。 私が「課長」に抱く印象。それは、「とにかく忙しくて、情報収集なんかやっている暇なんてとても無い」方々です。でも、きっと、ある志をもって課長に昇進されたのだと思うのです。が、志と現実のギャップに悩んでいらっしゃる…そんな印象があります。もちろん、中には技術指導と部下指導を両立させているバリバリのマネージャもいらっしゃることでしょう。 では、唐突ですが、悩める課長度チェックです。 □展示会はつかの間の息抜きの場だ□カンファレンスにはここ数年行っていない□部下が技術論を出してきたら品質管理手法で論破してしまう□部下のモチベーション?その前に自分のモチベーションを上げたい□顧客先に行くのは定例会と謝罪のときのみとなりつつある□昔嫌いだった上司に似てきた…気がする□携帯電話を使いこなすこと=スキルアップ ではないはずだ!と思っている□リスクは最大のチャンスだ!と昔は考えていた…。□クソ忙しいけど、ちょっと一杯は欠かせない□飲むと愚痴ばかりになってしまう。昔は技術論をぶったもんだけど…。 1つ以上チェックがついた方、疲れてますね…。 どうでしょう。気持ちだけでも10年前に戻って、ちょっと新技術に耳を傾けてみませんか?いや、そんな堅苦しいことはやめて、とりあえず飲んどきますか? この投稿をお読みになって、なにか思うところがある方、よろしければコメントまたはメールをください。マイクロソフトのエバンジェリストとして、何かできることがあるんじゃないかと思っています。 Back to the IT Pro!そんな気持ちを復活させていただけたら幸いです。

2

Windows Server 2008:一度使った無人セットアップファイルはパスワードがクリアされる

以下の投稿で、無人セットアップの方法について解説を行いましたが、1点追記します。Windows Server 2008:読み取り専用ドメインコントローラ( RODC ) の 2 ステージインストールを無人セットアップファイルで実施する  無人セットアップファイルは、一度使用すると、パスワードがクリアされてしまいます。そのため、再度実行する場合には、再度パスワード部分を埋めてあげる必要があります。 以下に、使用前と使用後の無人セットアップファイルを掲載しておきます。Password と SafeModeAdminPassword の値がクリアされていることがわかります。 使用前 [DCInstall]ReplicaDomainDNSName=example.jp DNSDelegation=NoUserDomain=example.jpUserName=example.jp\annouPassword=*DatabasePath=”C:\Windows\NTDS”LogPath=”C:\Windows\NTDS”SYSVOLPath=”C:\Windows\SYSVOL”SafeModeAdminPassword=”password”RebootOnCompletion=Yes 使用後  [DCInstall]ReplicaDomainDNSName=example.jp DNSDelegation=NoUserDomain=example.jpUserName=example.jp\annouPassword=DatabasePath=”C:\Windows\NTDS”LogPath=”C:\Windows\NTDS”SYSVOLPath=”C:\Windows\SYSVOL”SafeModeAdminPassword=RebootOnCompletion=Yes 本日のTechEdセションでエラーになったのは、これが原因でした….。あたふたしてしまい、失礼しました。  

3

お礼:TechEd T2-306 セション 「管理者不足とセキュリティに悩む~」をご覧いただいた皆様へ

私が担当する1つ目のセッション、「管理者不足とセキュリティに悩む小規模オフィスへの Active Directory 展開プラン」をご覧いただき、ありがとうございました。 読み取り専用ドメインコントローラの技術情報のうち、おそらく IT Pro の方々が今後気になるであろう点をまとめてご紹介、解説、デモしました。 で、1点誤算がありました…セッション資料に blog のサイトが書かれていると思ったら…消されてましたね…ごめんなさい。セッションの途中でblogのサイトをご紹介したので、もしそれをメモっていただいているとよいのですが…. 本日、セッションの中で、blog に詳細を掲載しておきます…と申し上げた部分について、以下に記載します。 1)無人インストール用セットアップファイルについて 本件に関しては、詳細な情報を以下に掲載してありますのでご覧ください。http://blogs.technet.com/junichia/archive/2007/08/22/Windows_5F00_Server_5F00_2008_5F00_RODC_5F00_2stage_5F00_unattend.aspx 2)ドメインサービス停止による Authoritative Restore について セッション中、「これは私のはやとちりでした」と申し上げてバツにしていただきましたが、今後継続して調査し、ここでご報告します。 3)RODCインストール前の準備について 2003で構築したDC混在時には以下のコマンドを入力 adprep /forestprepadprep /domainprep RODCをインストールする場合で、かつAD統合DNSを使用している場合には以下のコマンドを入力 adprep /rodcprep 4)エバンジェリストによるセミナー エバンジェリストによるセミナーは以下のサイトをご参照ください■IT Pro 向け(TechNet) http://www.microsoft.com/japan/technet/community/events/ ■Dev向け(MSDN) http://www.microsoft.com/japan/msdn/skillup/ 以上、よろしくお願いいたします。

5

不安:「読み取り専用ドメインコントローラ」と「書き込み可能なドメインコントローラ」

いま、明日 8月23日 TechEd で受け持つセッションのリハーサル待ちです。22:45~ とのことなので、おそらく 23:00 すぎになるでしょう…。 今は、一人、明日のセッションスライドを見ながら、見えないオーディエンスに向かって一人テックエドを開催しているのですが、不安が… どうも、かみかみになりそうな予感が…。 今回のセッションは 「読み取り専用ドメインコントローラ」が中心になるわけですが、その対極にある通常のドメインコントローラを「書き込み可能なドメインコントローラ」と表現しています。 その2つの単語が、何度も出現するのですが、繰り返して発音していると次第にロレツがまわらなくなります。 特に、「コントローラ」。 うーん…

2

Windows Server 2008 :beta3 と CTP 混在時、ドメインコントローラ昇格時には adprep /forestprep が必要

どうでもよいお話ですが、ちょっと気づいたことを書き留めておきます。 adprep コマンドをご存じですか? Windows 2000 Server ドメインから 2003 ドメインに移行する際にスキーマ情報を書き換えるために使用するコマンドです。 Windows Server 2008 でも同様に、2003 ドメインから 2008 ドメインに移行する際に使用します。 つい先日気づいたのですが、Beta3 で構築したドメインに、より新しい 6月版の CTP で構築したサーバーをドメインコントローラに昇格しようとすると、「adprep /forestprep を実行せよ」というエラーが出力されます。指示とおり、当該コマンドを実施すれば問題はありませんが、もし「英語のメッセージが出力されて先に進めない」と悩んでいらっしゃる方のために書き留めておきます。  

0

Windows Server 2008:読み取り専用ドメインコントローラ( RODC ) の 2 ステージインストールを無人セットアップファイルで実施する

読み取り専用ドメインコントローラ( RODC )の2ステージインストール手順については1つ前の記事に書きました。 Windows Server 2008:読み取り専用ドメインコントローラ( RODC )の 2 ステージインストールとはhttp://blogs.technet.com/junichia/archive/2007/08/22/windows-server-2008-rodc-2.aspx この方法を使用することで、作業の半分を現地管理者に任せてしまうことができますし、現地管理者に「俺がインストールしたんだっ!」と自覚を持っていただくというメリットも望めます。 ただ、ウィザードを使ったインストールであっても…やはり慣れていない方には難しかったりしますよね…。 では、インストール作業をさらに単純化できないか? はい、できます。Windowsお得意の無人インストールです。 ドメインコントローラへの昇格や降格を行う場合、dcpromo.exe を使用することはご存知の通りですが、その際に表示されるウィザードの一番最後で、ここまでに入力した値を「無人セットアップ用のテキストファイル」に保存することができるのです。このファイルを、dcpromo の引数に与えれば、手で行った作業をすべて自動的に実施することができます。 もちろん、2ステージインストールも同様に、それぞれを自動化することが可能です。 ステージ1で使用可能な無人セットアップファイル [DCInstall];昇格したいドメインのDNS名ReplicaDomainDNSName=example.jp;RODCにするコンピュータのホスト名TargetDcName=rodc2;パスワード複製ポリシー(拒否グループ)OnDemandDenied=”BUILTIN\Administrators”;パスワード複製ポリシー(拒否グループ)OnDemandDenied=”BUILTIN\Server Operators”;パスワード複製ポリシー(拒否グループ)OnDemandDenied=”BUILTIN\Backup Operators”;パスワード複製ポリシー(拒否グループ)OnDemandDenied=”BUILTIN\Account Operators”;パスワード複製ポリシー(拒否グループ)OnDemandDenied=”EXAMPLE\Denied RODC Password Replication Group”;パスワード複製ポリシー(許可グループ)OnDemandAllowed=”EXAMPLE\Allowed RODC Password Replication Group”;管理を委任したいドメインユーザーServerAdmin=”annou”;RODCを所属させるサイトSiteName=OKINAWA;DNSをインストールする場合はYESInstallDNS=Yes;GCを任せる場合にはYESConfirmGc=Yes;昇格時の複製元となるドメインコントローラReplicationSourceDC=2008DC1.example.jp 上記ファイルをメモ帳等で保存し、以下のコマンドを実施すればステージ1が完了し、Domain Controllers OU 配下に RODC のコンピュータアカウントが作成されます。 dcpromo.exe /CreateDCAccount /ReplicaDomainDNSName:example.jp /unattend:<保存した無人セットアップファイルのファイル名>   ステージ2で使用可能な無人セットアップファイル [DCInstall];昇格したいドメインのDNS名ReplicaDomainDNSName=example.jp ;DNSサーバーの委任を行うかどうかDNSDelegation=No;昇格時に使用する管理者アカウントのドメイン名UserDomain=example.jp;昇格時に使用する委任された管理者アカウントUserName=example.jp\annou;昇格時に使用する委任された管理者アカウントのパスワード(アスタリスクを指定する)Password=*;ADデータベースのパスDatabasePath=”C:\Windows\NTDS”;ADログファイルのパスLogPath=”C:\Windows\NTDS”;AD SYSVOLのパスSYSVOLPath=”C:\Windows\SYSVOL”;復元モードに入るためのパスワード(必ずダブルクオーテーションで括ること)SafeModeAdminPassword=”password”;完了後の自動再起動RebootOnCompletion=Yes 上記のファイルを保存して、以下のコマンドに指定すれば、ステージ1で作成したアカウントを使用してRODCをインストールすることができます。  dcpromo.exe /useExistingAccount:Attach /unattend:<無人セットアップファイルのファイル名> ただ、1点だけ。途中、委任された管理者ユーザーのパスワードだけ入力する必要がありますので、事前に現地担当者にパスワードを認識しておいてもうらう必要があります。 参考サイトUnattended Installation Options(機械翻訳付き)http://www.microsoft.com/japan/technet/windowsserver/2008/library/d2521765-9e7b-44b6-9021-496908f4b952.mspx

4

Windows Server 2008:読み取り専用ドメインコントローラ( RODC )の 2 ステージインストールとは

Windows Serer 2008 には、読み取り専用ドメインコントローラ( RODC )という、新しい機能が追加されていることはすでにご存じでしょうか。RODC を使用すると、ドメイン管理者の手が届きづらい営業所等にもドメインコントローラを設置し、現地の管理者の方に管理をお願いすることが可能です。 RODC をインストールするには、dcpromo を実行して、ウィザードの途中で「□読み取り専用ドメインコントローラ」をチェックすればOKなのですが、この方法あくまでドメイン管理者が行う場合です。従来通り、途中でドメインコントローラに昇格するための管理者アカウントを聞かれますから、営業所の担当者にドメイン管理者のアカウントを教えるわけにはいかないですよね。 そこで便利なのが、RODC に用意された「管理の委任」という機能です。事前にドメインユーザーに管理を委任してしまえば、RODC への昇格もドメインユーザーの権限で行うことが可能なのです。これは便利です。委任されたユーザーは、RODCに昇格するコンピュータ自身の管理権限も持ったまま、RODCの管理者となることができます。もちろん、ドメイン管理権限を持たずにです。ドメイン上は、あくまでも一般ユーザーであり、RODC ごとに委任ユーザーを指定することができるので、営業所単位に管理者を設置することも可能です。 そうした構成を効率的に行うために、RODC には「2ステージインストール」というインストール方式が用意されています。簡単に書くと以下の通りです。 ステージ1)読み取り専用ドメインコントローラのアカウントを作成する(ドメイン管理者の仕事) 「Active Directory ユーザーとコンピュータ」を使用して、Domain Controllers OUの配下に当該アカウントを作成します。このとき、委任したいドメインユーザーまたはグループのいずれか1つを指定することができます。 ステージ2)読み取り専用ドメインコントローラのインストール(営業所管理者の仕事) 事前に RODC のアカウントを作成しておくと、実際のインストール作業は現地の管理者に任せてしまうことが可能です。現地の管理者には、「ドメインのDNS名」と「ドメインユーザーのIDおよびパスワード」を知らせておけばOKで、ドメイン上のクリティカルな情報を伝える必要は一切ありません。 少々注意が必要なのは、以下のコマンドを「ファイル名を指定して実行」から入力してもらう点です。 dcpromo /useExistingAccount:Attach ここさえクリアしてしまえば、あとの作業はウィザードを繰っていくだけですので簡単です。できれば、ウィザードの手順書を作っておいてあげると親切だと思います。 読み取り専用ドメインコントローラは、つい「読み取り専用」ということで軽く見られてしまいがちですが、実は新しくて面白い機能が盛りだくさんなのです。 8月23日の TechEd ではその辺りについてもお話したいと考えておりますので、もしこのblog をご覧になられた方は、15:25 に ROOM B にいらしてください 追記 こちらも合わせてご覧くださいWindows Server 2008:読み取り専用ドメインコントローラ( RODC ) の 2 ステージインストールを無人セットアップファイルで実施するhttp://blogs.technet.com/junichia/archive/2007/08/22/Windows_5F00_Server_5F00_2008_5F00_RODC_5F00_2stage_5F00_unattend.aspx

3