マイクロソフトが9月2日に公開したWindows XP Service Pack 2(SP2)によって、企業が今まで使ってきたアプリケーション・ソフトの動作に支障が起きる例が相次いでいる。9月29日からは、パッチ・ソフトを「自動更新」するように設定したパソコンへのSP2配布も始まる。そこで、企業内にある大量のパソコンの設定を一括変更し、なるべく手をかけずに互換性問題を回避する方法を考えてみたい。
手作業での互換性対策には限界
セキュリティ機能を大幅に向上したSP2の導入は、長期的にみるとウイルスの被害を軽減し、システム管理者の負担を減らすことになるだろう。一方、短期的にみると、SP2と既存のアプリケーションの互換性問題が社内に混乱をもたらす可能性がある。
SP2が既存のアプリケーションにもたらす不具合は、多くの場合、Windowsの設定を変更することで解消できる。例えば、「Windowsファイアウォール」の設定画面に、あらかじめアプリケーションやポート番号を手作業で登録しておくといった方法だ(マイクロソフトのWebサイトWindowsファイアウォールの理解を参照)。
ただし、設定項目が多い場合や、エンド・ユーザーのスキルが高くない場合、すべてのパソコンを正しく設定するよう徹底することは容易ではない。タイプミスの発生も心配だ。多数のXP搭載機を抱える企業では、こうした作業をユーザー任せにしておくことが難しい。しかも、システム管理者が「しばらくは社内にSP2を導入したくない」と思っていても、9月29日以降はほぼ自動的にSP2がインストールされてしまう。
使っているアプリケーションとの互換性問題を発見した場合、システム管理者はどう対処すべきだろうか。それぞれ利用条件が限られるものの、大量のパソコンの設定変更作業をもっと効率よくこなす手段は存在する。以下では、マイクロソフトへの取材と、同社がWebサイトで公開した文書をもとに、4つの方法を紹介する。「もう準備が間に合わない」という方は、この記事の終わり近くにある「SP2導入を延期する」の項を参照してほしい。
その1・Active Directoryの「グループ ポリシー」機能を使う
最も簡単に社内のパソコンの設定を一括変更する方法は、Active Directoryの「グループ ポリシー」設定機能を使うことだ。Windowsファイアウォールなどの設定を遠隔操作で変更できる。詳しくは、マイクロソフトのWebサイトから「Microsoft Windows XP Service Pack 2 向け Windows ファイアウォール設定の導入」と呼ぶマニュアル文書をダウンロードして参照して欲しい(ダウンロード・ページ)。
言うまでもなく、この方法を実行するには、既に社内にActive Directoryを導入していることが前提条件になる。国内ではActive Directoryを導入済みの企業はまだ多くない。
その2・初期設定ファイルやバッチ・ファイルを配付する
あらかじめ、システム管理者がバッチ・ファイルや初期設定ファイルを作成し、それを各パソコンに配付する方法もある。用途はWindowsファイアウォールの設定変更に限られるが、Active Directoryを導入していない企業でも使えるのが利点だ。
その一つが、「Netsh」と呼ぶコマンドにさまざまなオプションを追加し、パソコン側のDOSプロンプトで実行するもの。あらかじめシステム管理者がテキスト・エディタでバッチ・ファイルを作成し、ユーザーに配付して実行させるのが良いだろう。詳しい設定方法は、「その1」で紹介したマニュアル文書「Microsoft Windows XP Service Pack 2 向け Windows ファイアウォール設定の導入」の「付録 B」に記述がある。
もう一つの方法は、Windowsファイアウォールの初期設定ファイル「Netfw.inf」をテキスト・エディタで編集し、ユーザーに配付するもの。ユーザーがSP2をインストール後、「C:\Windows\Inf」フォルダにこの設定ファイルをコピーし、「Netsh firewall reset」コマンドを実行すると、新しい設定が有効になる。詳細については、マイクロソフトのWebサイトから「Microsoft Windows XP Service Pack 2 における Windows ファイアウォール用 INF ファイルの使用」というマニュアル文書をダウンロードして参照してほしい。(ダウンロード・ページ)。
マイクロソフトは、バッチ・ファイル実行中にエラーが起きる可能性がある前者よりも、初期設定ファイルをコピーする後者の方法を薦めている。これらに共通する問題点は、設定ファイルのコピーやコマンドを実行する際に、パソコンの管理者権限が必要になること。エンド・ユーザーに管理者権限を与えていない企業では、この方法が使えない。
その3・レジストリ・ファイルを配付する
あらかじめSP2を導入済みのパソコンで設定変更を行い、その設定をレジストリ・ファイルに書き出して配付するという方法もある。「その2」の方法ではWindowsファイヤウォールの設定しかできなかったが、この方法ではActiveXコントロールやポップアップ・ブロックの設定変更もできる。ただし、レジストリの編集はマイクロソフトが推奨してない方法なので、それぞれの自己責任において試してほしい。これに起因してパソコンが故障した場合、同社のサポートが受けられなくなる可能性がある。
設定作業には、本来、Active Directory環境向けに用意された管理ツール「グループ ポリシー エディター(Gpedit.msc)」を流用する。これを「ファイル名を指定して実行」メニューから起動し、手元のパソコンを正しく設定した上で、「レジストリ エディタ(Regedit.exe)」を使って該当する項目をファイルに書き出す。該当するレジストリ項目を探すには、米マイクロソフトのWebサイトにあるマニュアル文書「Group Policy Settings Reference for .adm files included with Windows XP Professional Service Pack 2(英語)」が参考になる(ダウンロード・ページ)。IEの設定については、「Managing Windows XP Service Pack 2 Features Using Group Policy」を参照。
その4・設定済みのインストール・イメージを作成する
Windows XPにSP2を統合し、設定を済ませたインストール・イメージを作成する方法もある。SP導入を機に、Windows Meや2000など、旧版OSからのアップグレードを検討している場合は、検討する価値があるだろう。ただし、既にWindows XPをインストール済みのパソコンの場合、ハードディスクの内容を消去して新たに導入することになる。XPへの上書きインストールはできないので、一般的な方法とはいえない。
Windows XPをインストールしたパソコンを一台用意し、これにSP2をインストールする。インストールの際はWindowsUpdateを使わず、Webサイトからダウンロードしたインストーラを実行する。コマンドは「XpSp2.exe /integrate: [パス]」となる。このあと、「PartitionMagic」などの市販ソフトでディスクイメージを作成し、ファイル・サーバー経由で配付する。詳しい設定方法は、「Microsoft Windows XP Service Pack 2 のインストールと展開ガイド」に記述がある。
以上に挙げた4つの方法のほかに、マイクロソフトが用意したソフト開発キット「Windows Firewall API」を使って、Windowsファイアウォールの自動設定用ツールを作成する方法がある(MSDN英語版サイトの該当ページ)。作成後は、ユーザーにEXEファイルを配布し実行してもらうだけなので、汎用性が最も高い。ただし、このキットを使いこなすにはプログラミングの知識が必要で、企業のシステム管理者が自ら使いこなすことは想定していない。
SP2導入を延期する
9月29日までにSP2の導入準備が終わらないと判断した場合は、マイクロソフトのWebサイトからSP2のダウンロードを延期するツールを入手し、それぞれのパソコンで実行する(関連サイト)。最長で来年4月12日までSP2がダウンロードされなくなるので、それまでにはSP2の導入準備を済ませておきたい。
従来版のWindows XP SP1のサポート期間は2006年9月17日まで続く。SP1向けのパッチ・プログラムは、この間もマイクロソフトから随時提供されるので、しばらくは心配ない。
ところで、企業は「SP2を導入しない」という選択を取り得るのだろうか。ある大手企業は、社内のパソコンで使うOSのバージョンを統一する目的でWindowsUpdateを無効にしている。LANの入り口に設置したファイアウォールで「windowsupdate.microsoft.com」をブロックする方法だ。しかし、インターネットへのアクセスを制限するなど別のウイルス対策が必要になるため、誰でも気軽に導入できる方法ではない。繰り返しになるが、一般的にSP2の導入は避けられない選択である。
SP2の導入に役立つその他の資料
以上に挙げた文書以外にも、マイクロソフトのWebサイトにはSP2の導入に役立つドキュメントがある。代表的なものを以下に紹介する。
・Windows XP Service Pack 2 展開に関する情報
・各メーカー別 Windows XP Service Pack 2 関連情報
※資料へのリンクを追加しました(2004/9/27)
