ベア・メタル OS Deployment サーバーの管理

「ベア・メタル・サーバー・マネージャー」ダッシュボードは、ベア・メタル OS Deployment サーバーのインストール、アップグレード、アンインストールを管理します。

このダッシュボードには、サイトにサブスクライブされているすべてのベア・メタル OS Deployment サーバーのリストが表示されます。最新の OS Deployment サーバーは、ネットワークから 1 回の操作で直接インストールできます。あるいは、「アップロード」セクションでドロップダウン・ボタンをクリックして古いインストーラーをアップロードすることもできます。インストーラーが既に 1 つでも存在する場合は、必ず「アップロード」セクションが表示されます。

「ベア・メタル・サーバー・マネージャー」ダッシュボードからのベア・メタル・サーバーのインストールおよび管理

ネットワークから使用可能な最新バージョンの OS Deployment サーバーの インストーラーは、ページの上部左隅に表示されます。「インストール」をクリックし、 1 つ以上の使用可能なリレーを選択してインストーラーを実行します。選択したリレーが「OS Deployment およびベア・メタル・イメージ」サイトにサブスクライブされているようにしてください。ネットワーク・インストーラーは、9.2 以降で使用可能 BigFix です。

ネットワークから OS Deployment Server のインストールおよびアップグレードを希望するが、Fix Central からアップロードした旧リリースのインストーラーをすでに持っている場合、アップロード済みのインストーラーはネットワークからのインストールよりも優先されるため、まず、既存のインストーラーを削除してください。

旧リリースからのアップグレード中の場合、1 つまたは複数のベア・メタル OS Deployment サーバーを選択し、「アップグレード」をクリックしてください。

注:
  • 選択したリレーにイメージ・プロバイダー・コンポーネントが既にインストールされている場合は、OS Deployment サーバーをインストールする前に、「Linux イメージ・プロバイダーのアンインストール・タスク」を使用してコンポーネントを削除する必要があります。
  • ベア・メタル・サーバー・コンピューターのリレーの認証を無効にする必要があります。

ライセンス条件に同意して、OS Deployment サーバーをインストールする場所を指定します。インストールする前に、OS Deployment サーバーにログインするためのユーザー名とパスワードを入力する必要があります。

ベア・メタル・サーバーのインストール・タスクは、データベースがまだインストールされていない場合、選択したリレーに (OS バージョンに応じて) Microsoft SQL Server Express 2014 SP1 または SQL Server 2017 Express をダウンロードしてインストールします。

64 ビット・アーキテクチャー上で、データベースが既にインストールされているリレーにベア・メタル・サーバーをインストールして、既存のインストール済み環境を使用することができます。以下のデータベースがサポートされています。
  • DB2 Enterprise 9.1 FP4a、9.5 FP3b、9.7、および 10.1
  • Microsoft SQL Server 2005 SP2 と 2008 R2
  • Microsoft SQL Server 2012
  • Microsoft SQL Server 2014
  • Microsoft SQL Server 2017 Express Edition
  • Microsoft SQL Server 2019 Express Edition
ベア・メタル OS Deployment サーバーをインストールする前に、既存のデータベース・インストール済み環境で以下のステップを実行します。
  1. 選択した名前を使用してデータベースを作成します。
  2. このステップを実行するのは、Microsoft SQL Server バージョンが上記のいずれかに該当する場合のみです。
    前のステップで作成したデータベースに必要な役割を、NT AUTHORITYSYSTEM という名前のユーザーに追加します。例えば、Management Studio を使用する場合:「セキュリティー」 > 「ログイン」 > 「NT AUTHORITY\SYSTEM」 > 「ユーザー・マッピング」を選択し、データベースを選択して以下の役割を追加します。
    • db_datawriter
    • db_datareader
    • db_ddladmin
    • public
  3. ご使用のデータベース用の 64 ビット ODBC ドライバーを使用して、AutoDeploy という名前のデータ・ソースを作成します。
  4. 最初のステップで作成したデータベースへの ODBC 接続が正常に確立されていることを確認します。
  5. ベア・メタル・サーバーのインストールに進みます。
重要:
  • 前のインストールからのデータが存在し、データ・ディレクトリーが既存のものに設定されている場合は、インストール・タスクはユーザーが提供したデータ・ロケーションを無視します。違うフォルダーにする場合は、タスク 134 を実行して、クリーンな環境を取得します。
  • Windows 2008 R2 リレーにベア・メタル・サーバーをインストールする場合は、それがサービス・パック 1 (SP1) レベルであることを確認してください。そうでない場合、インストールは正常に完了しません。
  • 「ベア・メタル・サーバー・マネージャー」ダッシュボードから OS Deployment サーバーをインストールした後は、BigFix のインフラストラクチャーを使用して、常に BigFix コンソールからプロファイルおよびベア・メタル・デプロイメントの作成と管理を行う必要があります。Tivoli Provisioning Manager for OS Deployment インターフェースからサーバーやデプロイメント・オブジェクトを管理することはできません。
  • Windows 2012 R2 を実行している BigFix コンソールからベア・メタル・サーバーをインストールする場合、このオペレーティング・システムに組み込まれている Adobe のバージョンが原因で、ベア・メタル・サーバーで同期の問題が発生する可能性があります。この問題を回避するには、ベア・メタル・サーバーのインストール前に、すべての最新 Microsoft パッチ更新がインストールされていることを確認します。
  • ベア・メタル・サーバーのバージョンが最低限必要なバージョンではない場合、ダッシュボードの一部の機能が制限されることがあります。新規 MDT バンドルのインポート、ドライバーのインポートまたは変更など、ベア・メタル・サーバーでリソースを変更すると、アクションが自動的に生成されてサーバーが更新されます。

  • BigFix Web インターフェース拡張サービスは、Windows サービス間で無効に設定されています。このサービスは実行できないため、この設定を変更しないでください。ただし、必要に応じて、そのプロセスは自動的に開始されます。

いずれかのリソースが期限切れの場合、警告が表示されます。 をクリックすると、サーバーのリソースが同期されます。

ダッシュボードの「ベア・メタル・プロファイル」セクションに、ベア・メタル・サーバーで使用できるプロファイルのリストが表示されます。「キャッシュ済み」列には、選択したプロファイルに関連するイメージがリレーにキャッシュされているかどうかが表示されます。あるいは、マルチキャストが有効になっていた場合、選択されたプロファイル・ファイルがベア・メタル・サーバーに永続的にキャッシュされるかどうかが表示されます。緑のチェック・マークは、ファイルが正常にキャッシュされたことを示します。マルチキャストが有効になっているプロファイルの場合、「x」を含む赤い警告は、ベア・メタル・サーバー上で同期アクションを開始する必要があることを示します。黄色い枠の三角形の警告は、対応するイメージがリレーにキャッシュされておらず、プロファイルの最初のデプロイ時にコピーされることを示します。赤枠の三角形は、イメージのキャッシュ状況を判別できないことを示します。

インストールされているベア・メタル・サーバー上のサービスのステータスを表示したり、特定の設定を変更したりするには、リストからサーバーを選択して をクリックします。ベア・メタル・サーバーのステータス

ベア・メタル・サーバーの始動、停止、再始動を実行でき、エラーがログに記録されている場合は、そのエラーを表示できます。このウィンドウに表示される情報は、分析 50 によって取得されます。分析機能が現在のベア・メタル・サーバー設定の取得に失敗した場合は、ダッシュボードに警告メッセージが表示されます。問題のトラブルシューティングを行うには、ベア・メタル・サーバー設定を取得する際の問題のトラブルシューティング (分析 50 またはタスク 361)を参照してください。現在の設定を取得できなかった場合でも、任意の設定を変更できます。

ベア・メタル・プロファイルを初めてデプロイすると、プロファイルにリンクされているイメージがリレーにキャッシュ (コピー) されます。ネットワーク・トラフィックが低速になっている場合、キャッシュ処理に時間がかかり、ベア・メタル・プロファイルのデプロイメントが失敗する可能性があります。デフォルトのタイムアウト値は bom.trc ファイルに定義されています。この値は、「リレー・ダウンローダーのタイムアウト」フィールドで変更できます。イメージがキャッシュされていない場合に、エンドポイント管理サーバーからリレーにイメージをダウンロードするための最大許容時間 (分単位) を指定します。ベア・メタル・サーバーでこの値を更新するには、「同期」をクリックします。

編集ペインで、以下の設定を変更したり有効化したりすることもできます。
グローバル・デバッグ・レベル
サーバーのログ・ファイルに記録されるメッセージの詳細レベルを選択できます。次のいずれかのレベルを選択します。
  • 0: ディスク制限を設定せず、実行およびパージのタスクを許可します。出力が行われない
  • 1: エラーのみを記録
  • 2: エラーと警告を記録
  • 3: 重大な情報を記録 (デフォルト)
  • 4: 通知メッセージを記録
  • 5: デバッグ・メッセージを記録
  • 6: すべての詳細を記録
注: レベル 5 およびレベル 6 の場合は、非常に大量のデバッグ情報が生成され、サーバーが過負荷に陥る場合があります。これらのレベルは、注意して使用してください。
ログ・ファイルの最大数
サーバーに保持されるログ・ファイルの最大数を指定します。デフォルト値はゼロ (0) であり、このパラメーターが設定されていないことを意味します。
ログ・ファイルの最大サイズ (MB)
ベア・メタル・サーバーによって生成されるログ・ファイルの最大サイズを指定します。デフォルト値はゼロ (0) であり、循環ロギングが有効化されておらず、ログ・ファイル数の指定値が無視されることを意味します。この場合、サイズ制限なしでログ・ファイルが 1 つ作成されます。ゼロより大きい値を指定すると、循環ロギングが有効になり、ログ・ファイル数をゼロに設定した場合でも、最低 2 つのログ・ファイルが作成されて使用されます。例えば、ログ・ファイル数を 3 と指定して最大サイズを 50 メガバイトと指定すると、最初のログ・ファイルが作成されます。最初のファイルが指定された制限値に達すると、2 番目のファイルが作成され、それも制限値に達すると 3 番目のファイルが作成されます。3 つのファイルすべてが最大サイズの 50 メガバイトに達した場合は、最初のファイルが上書きされます。
Windows UEFI ターゲットでの WinPE の直接ブート
Windows ベア・メタルのデプロイメント時に PXE がブートする UEFI ターゲットで、直接 WinPE をブートできます。これにより、「セキュア ブート」のファームウェア・オプションが有効なコンピューターが、ベア・メタル・デプロイメントを実行できます。デフォルトでは、直接ブート機能はベア・メタル・サーバーで無効になっています。「有効」を選択すると、ベア・メタルのデプロイメント時に Windows UEFI ターゲット上で WinPE を直接ブートできます。
注: WinPE の直接ブートが有効になっているベア・メタル・サーバーでは、必要なドライバーを、ドライバー・バインディングのデプロイメント・エンジン・バインディング・マトリックス (「現在の手動バインディング」列) で明示的にバインドする必要があります。

1 つ以上のベア・メタル・サーバーで Fixlet 361 を実行することによって、ベア・メタル・サーバーの設定を変更することもできます。タスクのフォームに入力して「アクションの実行」をクリックしてください。

SSL 接続で使用する暗号スイートとプロトコルのカスタマイズ

OpenSSL 構文に従って、TLS 1.2 プロトコルは、SSL 接続の暗号化ネゴシエーション・プロセスでデフォルトで設定された暗号スイート DEFAULT:!DH:!RC4:!EXP:!RC4-MD5:!RC4-SHA:-RSA で使用可能になります。詳しくは、https://www.openssl.org/docs/man1.0.2/man1/ciphers.html を参照してください。

環境変数 RBO_CIPHERS および RBO_EXCLUDE_PROTOCOLS を使用して、暗号スイートとプロトコルをカスタマイズできます。

  • 環境変数 RBO_CIPHERS で、ベア・メタル・サーバーが使用する暗号スイートを 1 つ以上選択または除外するように設定します。指定可能な値とその他の情報については、サポートされる構文を上のリンクから参照してください。

    例えば、DES および 3DES を除外するには、RBO_CIPHERS=DEFAULT:!DES:!3DES を設定します。

  • 環境変数 RBO_EXCLUDE_PROTOCOLS を設定して、ベア・メタル・サーバーの可用性からプロトコルを除外/有効化します。RBO_EXCLUDE_PROTOCOLS に使用できる値は次のとおりです。TLSv 1.0、TLSv 1.1、TLSv 1.2。許可される分離文字は「:」のみです。SSLv2 および SSLv3 は有効にできません。
    例:
    • TLSv1.1 プロトコルのみを許可するには、RBO_EXCLUDE_PROTOCOLS=TLSv1.0:TLSv1.2 を設定します。
    • すべての TLS プロトコル (TLS 1.0、TLS 1.1、TLS 1.2) を有効にするには、RBO_EXCLUDE_PROTOCOLS=NONE を設定します。

TLS 1.2 環境でのベア・メタル・サーバー・データベース接続

SQL Express 2014 で実行される 64 ビットのベア・メタル・サーバーが TLS 1.2 環境で動作するようにするには、以下のステップを実行して、データベースへの接続を有効にします。

  1. ローカル ポリシー設定を開きます。管理者コマンド・プロンプトから secpol.msc を実行します。
  2. 「ローカル ポリシー」 > 「 セキュリティー オプション」 > 「 システム暗号化」をクリックします。FIPS 準拠アルゴリズムを「暗号化」、「ハッシュ」、「署名」に使用して、 > 「有効化」 > 「OK」をクリックします。
  3. 管理者コマンド・プロンプトから gpupdate /Force コマンドを実行します。
  4. コンピューターを再起動して変更内容を有効にします。
注: これは、64 ビット・ベア・メタル・サーバーが SQL Express 2017 以降で実行されている場合は必須ではありません。

インストールまたはアンインストールの失敗後のクリーンアップ

リレーへの OS Deployment サーバーのインストールまたはアンインストールが失敗した場合、「システム・ライフサイクル」ドメインから「ベア・メタル・サーバーのクリーンアップ (Bare Metal Server Clean Up)」ポスト・アンインストールまたはインストール失敗タスク (ID 134) を実行できます。このタスクは、失敗の発生後にシステムで不整合が発生するのを避ける場合のみ使用してください。または、インストール・タスクやアンインストール・タスクの処理が完了していない場合のみ使用してください。
注:

このタスクにより、SQL Express データベースがターゲット・システムから削除されます。このデータベースを他のアプリケーションが使用している場合は、このタスクを実行しないでください。「ベア・メタル OS Deployment サーバー・マネージャー」ダッシュボードで「インストール済み」とリストされている OS Deployment サーバーに対しては、このタスクを実行しないでください。このようなサーバーの場合は、最初にアンインストール・アクションを実行する必要があります。

ベア・メタル・サーバー SSL 証明書

SSL 通信用のベア・メタル・サーバーは、そのプロセスの最初の起動時にデフォルトで自動的に生成される自己署名証明書を使用します。

このデフォルトの証明書をカスタムの証明書に置き換えるか、現在の証明書を削除する場合は、以下の手順を実行します。

  1. BigFix Bare Metal Server サービスを停止します。
  2. コマンド・ライン・シェルを開き、ディレクトリーを BigFix Bare Metal Server バイナリー・ディレクトリーに変更します。例: C:\Program Files\BigFix OSD。
  3. 次のコマンドを実行します。
    • 新規証明書とその秘密鍵をインポートするには、以下のようにします。
      rembo.exe -d -v 4 -cert “<certificate filename with fullpath>” “<private key filename with fullpath>” <private key passphrase> -exit
      証明書が .crt ファイルで、その秘密鍵が .key ファイルである場合、以下のストリングは証明書と秘密鍵を表します。
      証明書
      -----BEGIN CERTIFICATE-----
<<base64 string>>
-----END CERTIFICATE-----
      秘密鍵
      -----BEGIN PRIVATE KEY-----
<<base64 string>>
-----END PRIVATE KEY-----
    • 現在の証明書とその秘密鍵 (以前にインポートしたカスタム証明書またはデフォルトの自己署名証明書) を削除するには、以下のようにします。
      rembo.exe -d -v 4 -delcerts
  4. BigFix Bare Metal Server サービスを再開します。
    注: ベア・メタル・サーバーの開始時にその証明書がない場合は、新しい自己署名証明書が生成されます。