メインコンテンツまでスキップ

OS デバイス・ドライバー更新用の Windows Server の構成

Lenovo XClarity Administrator は HTTPS または HTTP 経由でリッスンする Windows Remote Management サービス (WinRM) を使用して、ターゲットの Windows システムでデバイス・ドライバー更新のコマンドを実行します。OS デバイス・ドライバーを更新する前に、WinRM サービスがターゲット・サーバーで正しく構成されている必要があります。

始める前に

必要なポートが使用できる必要があります。詳しくは、利用可能なポートを参照してください。

OS デバイス・ドライバーを更新する前に Windows Server を構成する方法の詳細については、XClarity Administrator: OS デバイス・ ドライバーの更新の準備 (ホワイト・ペーパー)を参照してください。

手順

OS デバイス・ドライバーの更新をサポートするために Windows サーバーを構成するには、以下のステップを実行します。

  • HTTPS の場合

    1. ターゲット Windows システムそれぞれで、サーバー証明書に署名してインストールします。

      重要
      証明書には、以下の情報を含める必要があります。

      • サブジェクトで、ドメイン・コンポーネントが設定されていることを確認します (たとえば、DC = labs、DC = com、DC = company など)。

      • サブジェクト代替名では、DNS 名とホスト IP アドレスが設定されていることを確認します (たとえば、DNS Name=node1325C554A6F.labs.company.com、IP Address=10.245.43.149 など)。

    2. 管理コマンド・プロンプトから次のコマンドのいずれかを実行し、推奨される構成の変更を確認して、リモート管理コマンドおよびデータを HTTPS 接続経由で構成します。

      • winrm quickconfig -transport:https
      • winrm create winrm/config/Listener?Address=*+Transport=HTTPS 
        @{Hostname="host_name";CertificateThumbprint="certificate_thumbprint"}

      WinRM のドキュメントに従って WinRM HTTPS リスナーを手動で設定する場合については、HTTPS Web ページ WinRM を構成する方法 を参照してください。

    3. ドメイン・アカウントを使用するか、Windows ローカル・ユーザー・アカウントを使用してターゲット Windows サーバーにアクセスするかに応じて、認証設定を構成します。

      • ドメイン・アカウント

        ネットワーク・ドメイン内で作成および管理されているドメイン・アカウントを使用するには、WinRM で Kerberos 認証を有効にする必要があります。WinRM ではデフォルトで有効になっています。現在無効になっている場合は、管理コマンド・プロンプトから次のコマンドを実行して有効にすることができます。
        winrm set winrm/config/service/Auth @{Kerberos="true"}
        また、以下の手順を実行して、XClarity Administrator にドメイン・アカウントを追加する必要があります
        1. XClarity Administrator のメニュー・バーで、「プロビジョニング」 > 「Windows ドライバー更新: 適用」の順にクリックします。「Windows ドライバー更新: 適用」ページが表示されます。
        2. 「すべての操作」 > 「ドメイン・アカウントの管理」をクリックします。「ドメイン・アカウントの管理」ダイアログが表示されます。
        3. ドメイン・アカウントのレルムを追加するには、「作成」アイコン (「作成」アイコン) をクリックします。「レルムの作成」ダイアログが表示されます。
        4. レルムの名前と 1 つ以上の鍵配布センターのホスト名を指定します。別のホスト名を追加するには「追加」アイコン (「追加」アイコン) を使用し、ホスト名を削除するには「削除」アイコン (「削除」アイコン) を使用します。
        5. テーブルの上にある「このレルムをデフォルトの選択項目として適用」フィールドで、デフォルトで使用するレルムを選択します。
        6. 保存」をクリックして、構成を保存します。
        重要

        • ドメイン・アカウントを構成する前に、管理対象の Windows サーバーがドメイン・ネットワーク内にある必要があります。

        • ドメイン・アカウントの保存された資格情報を XClarity Administrator に追加する場合は、USER@DOMAIN 形式を使用します。DOMAIN/USER 形式はサポートされていません。

      • Windows ローカル・ユーザー・アカウント

        ターゲット Windows サーバーで作成されたユーザー・アカウントを使用する場合は、基本認証を有効にする必要があります。WinRM ではデフォルトで無効になっています。現在無効になっている場合は、管理コマンド・プロンプトから次のコマンドを実行して有効にすることができます。
        winrm set winrm/config/service/Auth @{Basic="true"}
      重要
      WinRM コマンドは、ネゴシエート認証を使用して WinRM サブシステムを構成します。ネゴシエート認証を無効にしないでください。

    4. コンプライアンス検査およびドライバー更新の実行時に、タイムアウトや WinRM 要求エラーの送信を回避するには、管理コマンド・プロンプトから次のコマンドを実行して、WinRM 応答タイムアウトのデフォルト値を大きくします。値 280000 が推奨されます。詳しくは、Windows Remote Management Web ページのインストールおよび構成 を参照してください。

      winrm set winrm/config @{MaxTimeoutms="280000"}

    5. WinRM HTTPS リスナーに対して構成されているポートをご使用のファイアウォールで開きます。デフォルトの HTTPS ポートは 5986 です。以下に例を示します。

      netsh advfirewall firewall add rule name="Windows Remote Management (HTTPS-In)" dir=in action=allow 
      protocol=TCP localport=5986

    6. HTTPS リスナーを使用している場合は、次の手順を実行して、証明書を XClarity Administrator 信頼ストアに追加します。信頼ストアに証明書を追加することにより、XClarity Administrator が接続先の WinRM HTTPS リスナーを信頼します。Windows Remote Management サービスで信頼する必要がある追加の証明書パスがあれば、以下のステップを繰り返します。

      1. ターゲット Windows システムに対してサーバー証明書の署名に使用する証明機関ルート証明書を識別して収集します。CA ルート証明書にアクセスできない場合は、サーバー証明書自体または証明書パス内の別の証明書を収集します。

      2. XClarity Administrator メニュー・バーで、「管理」 > 「セキュリティー」をクリックして、「セキュリティー」ページを表示します。

      3. 「証明書の管理」セクションで「トラステッド証明書」をクリックします。

      4. 作成」アイコン (「作成」アイコン) をクリックして、「証明書の追加」ダイアログを表示します。

      5. ステップ 1 で収集した証明書ファイルを参照するか、テキスト・ボックスに証明書ファイルの内容をコピーして貼り付けます。

      6. 作成」をクリックします。

    7. WinRM リスナーがターゲット Windows システムで実行中になると、XClarity Administrator がこれらのシステムに接続し、デバイス・ドライバー更新を実行できます。

  • HTTP 用

    1. 管理コマンド・プロンプトから次のコマンドを実行し、推奨される構成の変更を確認して、リモート管理コマンドおよびデータを HTTP 接続経由で構成します。

      winrm quickconfig

    2. ドメイン・アカウントを使用するか、Windows ローカル・ユーザー・アカウントを使用してターゲット Windows サーバーにアクセスするかに応じて、認証設定を構成します。

      • ドメイン・アカウント

        ネットワーク・ドメイン内で作成および管理されているドメイン・アカウントを使用するには、WinRM で Kerberos 認証を有効にする必要があります。WinRM ではデフォルトで有効になっています。現在無効になっている場合は、管理コマンド・プロンプトから次のコマンドを実行して有効にすることができます。
        winrm set winrm/config/service/Auth @{Kerberos="true"}
        また、以下の手順を実行して、XClarity Administrator にドメイン・アカウントを追加する必要があります
        1. XClarity Administrator のメニュー・バーで、「プロビジョニング」 > 「Windows ドライバー更新: 適用」の順にクリックします。「Windows ドライバー更新: 適用」ページが表示されます。
        2. 「すべての操作」 > 「ドメイン・アカウントの管理」をクリックします。「ドメイン・アカウントの管理」ダイアログが表示されます。
        3. ドメイン・アカウントのレルムを追加するには、「作成」アイコン (「作成」アイコン) をクリックします。「レルムの作成」ダイアログが表示されます。
        4. レルムの名前と 1 つ以上の鍵配布センターのホスト名を指定します。別のホスト名を追加するには「追加」アイコン (「追加」アイコン) を使用し、ホスト名を削除するには「削除」アイコン (「削除」アイコン) を使用します。
        5. テーブルの上にある「このレルムをデフォルトの選択項目として適用」フィールドで、デフォルトで使用するレルムを選択します。
        6. 保存」をクリックして、構成を保存します。
        重要

        • ドメイン・アカウントを構成する前に、管理対象の Windows サーバーがドメイン・ネットワーク内にある必要があります。

        • ドメイン・アカウントの保存された資格情報を XClarity Administrator に追加する場合は、USER@DOMAIN 形式を使用します。DOMAIN/USER 形式はサポートされていません。

      • Windows ローカル・ユーザー・アカウント

        ターゲット Windows サーバーで作成されたユーザー・アカウントを使用する場合は、基本認証を有効にする必要があります。WinRM ではデフォルトで無効になっています。現在無効になっている場合は、管理コマンド・プロンプトから次のコマンドを実行して有効にすることができます。
        winrm set winrm/config/service/Auth @{Basic="true"}
      重要
      WinRM コマンドは、ネゴシエート認証を使用して WinRM サブシステムを構成します。ネゴシエート認証を無効にしないでください。

    3. 管理コマンド・プロンプトから、次のコマンドを実行して、このシステムで更新コマンドに十分なメモリーを割り当てます。

      winrm set winrm/config/winrs @{MaxMemoryPerShellMB="1024"}

    4. 管理コマンド・プロンプトから、次のコマンドを実行して、暗号化されていないデータを許可します。

      winrm set winrm/config/service @{AllowUnencrypted="true"}

    5. WinRM HTTP リスナーに対して構成されているポートをご使用のファイアウォールで開きます。デフォルトの HTTPS ポートは 5985 です。以下に例を示します。

      netsh advfirewall firewall add rule name="Windows Remote Management (HTTP-In)" dir=in action=allow 
      protocol=TCP localport=5985

    WinRM リスナーがターゲット Windows システムで実行中になると、XClarity Administrator がこれらのシステムに接続し、デバイス・ドライバー更新を実行できます。