SentinelOne

Windows Server に SentinelOne エージェントを導入する手順と要件

ⓘ本ページはプロモーションが含まれています

スポンサードリンク

前提条件とシステム要件

Windows Server(2019/2022)へ SentinelOne エージェント を導入する前に、最低限満たすべき条件を整理します。ここで確認できていない項目があると、インストール時のエラーや通信障害につながりますので、必ず事前チェックを実施してください。

  • 対象 OS とビルド
  • Windows Server 2019(Standard/Datacenter)または Windows Server 2022(Standard/Datacenter)。
  • 最新の累積更新プログラムが適用された状態を推奨します。

  • アーキテクチャ

  • x64 のみ対応です。32 ビット OS はサポート外です。

  • 権限

  • ローカル Administrator 権限(UAC が有効でも「管理者として実行」)が必要です。

  • ネットワーク要件(以下は公式ドキュメント [SentinelOne – System Requirements][1] を参照)

プロトコル ポート 用途
TCP 443 クラウドコンソールまたはオンプレミスマネージャーへの API 通信
UDP 53 DNS 名前解決
TCP/UDP 任意(プロキシ) HTTP/HTTPS プロキシ経由での通信

ポイント:社内にプロキシサーバがある場合は、WinHTTP のプロキシ設定と msiexec の PROXY オプションを併用するとスムーズです(例は「プロキシ環境での具体的設定」参照)。


インストール前の準備 – VSS ロールバック・スナップショット無効化とエージェント取得

このセクションでは、VSS(Volume Shadow Copy Service)ロールバックとスナップショットを無効化する手順 と、公式コンソールからエージェントパッケージとサイトトークンを取得する方法 を解説します。両方の作業は SentinelOne の公式ガイド [Windows Server Installation][2] に準拠しています。

VSS ロールバックとスナップショット無効化手順

Veeam などのバックアップソフトが VSS を利用している環境では、SentinelOne がロールバック機能を有効にすると競合が発生します。公式ドキュメントではレジストリキー VSSRollbackEnabledSnapshotEnabled0 に設定することが推奨されています。

※ 出典:SentinelOne — “Configuring VSS settings for Windows agents” (2023) https://docs.sentinelone.com/agent/windows/vss.html

手順概要

  1. PowerShell でレジストリを作成・更新(管理者権限必須)
    powershell
    # SentinelOne 用レジストリパス
    $regPath = 'HKLM:\SOFTWARE\SentinelOne\Agent'

# キーが存在しなければ作成、既存は上書き
New-Item -Path $regPath -Force | Out-Null

# VSS ロールバックとスナップショットを無効化
Set-ItemProperty -Path $regPath -Name 'VSSRollbackEnabled' -Value 0 -Type DWord
Set-ItemProperty -Path $regPath -Name 'SnapshotEnabled' -Value 0 -Type DWord

  1. エージェントサービスの再起動(インストール済みの場合)
    powershell
    Restart-Service -Name SentinelAgent -Force

  2. 設定反映確認
    powershell
    Get-ItemProperty -Path $regPath | Format-Table VSSRollbackEnabled, SnapshotEnabled

    両項目が 0 であれば無効化成功です。

注意:レジストリ変更後は必ずサービスを再起動し、vssadmin list writers で SentinelOne が表示されないことを確認してください。

エージェントパッケージとサイトトークンの取得手順

  1. コンソールに管理者アカウントでログイン。
  2. [Settings] → [Agents] を開き、「Download Agent」 ボタンをクリック。OS は Windows、配布形式は MSI(例:SentinelAgent.msi)。
  3. 同画面の 「Site Token」 欄に表示される文字列をコピー。このトークンがインストール時にエージェントを自動的にサイトへ登録する鍵となります。

ベストプラクティス:トークンは機密情報です。取得後は安全な場所(例:Password‑Vault)に保存し、平文でコードリポジトリに残さないようにしてください。


プロキシ環境での具体的設定例

社内ネットワークが HTTP/HTTPS プロキシ経由で外部と通信する場合、以下 2 つの設定が必要です。

  1. WinHTTP のプロキシ登録(全サーバー共通)
    powershell
    netsh winhttp set proxy proxy.example.com:8080 "<local>"
    # プロキシ例外に社内ドメインを入れる場合は <local> を利用

  2. msiexec へプロキシ情報を渡す(サイレントインストール時)
    powershell
    $msiPath = "C:\Temp\SentinelAgent.msi"
    $siteToken = "" # 後述の置換方法参照

Start-Process msiexec.exe -ArgumentList "/i"$msiPath" SITE_TOKEN=$siteToken /quiet /norestart PROXY=proxy.example.com:8080"
-Wait -NoNewWindow

ポイント:上記例では PROXY= オプションを利用していますが、環境変数 HTTPS_PROXY/HTTP_PROXY が設定されていれば msiexec は自動的に取得します。


エージェントインストール方法(GUI と PowerShell)

この章では GUI インストールPowerShell によるサイレントインストール の 2 パターンを提示します。実務での自動化要件に合わせて選択してください。

GUI インストール手順

  1. ダウンロードした SentinelAgent.msi を管理者としてダブルクリック。
  2. ウィザードが起動するので「次へ」→「ライセンス条項に同意」→「インストール」を選択。
  3. 「Site Token」の入力欄にコンソールから取得したトークンを貼り付け、再度「次へ」。
  4. インストール完了後、[Finish] をクリックしサービスが自動起動していることを確認します。

補足:テスト環境や単一サーバーでの導入に適しています。

PowerShell によるサイレントインストール例

大量サーバーへ展開する際は以下スクリプトを利用します。<YOUR_SITE_TOKEN> の置換ミス防止策として、環境変数または対話入力を推奨しています。

注意:スクリプト冒頭で環境変数 SENTINEL_SITE_TOKEN を参照することで、コード内にプレースホルダーが残るリスクを排除できます。


ポリシー設定とバックアップソフトとの競合回避策

エージェント導入後は Rollback Protection のポリシー設定と、バックアップツール(例:Veeam)との衝突防止が重要です。以下に手順とセキュリティ上の注意点を示します。

Rollback Protection をオフにするポリシー設定

  1. コンソールで [Policies] → [Create Policy] を選択し、テンプレートは「Windows Server」向け。
  2. 「Rollback Protection」のスイッチを Off に変更し、保存
  3. 対象サーバー(既にエージェントがインストールされている)へポリシーを適用します。

セキュリティ上の注意:Rollback Protection を無効化すると、マルウェアがシステム復元ポイントや VSS スナップショットを利用して自己復旧するリスクが高まります。
- 無効化は バックアップツールとの競合が確認された場合のみ 行い、可能な限り期間限定で適用してください。
- 無効化したサーバーは定期的に脅威スキャンと OS のパッチ適用を徹底し、復旧機能が必要になるケースではポリシーを再度有効化する手順をドキュメント化しておくことを推奨します。

出典:SentinelOne — “Rollback Protection Settings” (2024) https://docs.sentinelone.com/policy/rollback.html

バックアップツールとの競合回避手順(Veeam 例)

項目 手順概要
除外設定 Veeam ジョブで C:\Program Files\SentinelOne\agent\* を除外対象に追加。
スナップショット無効化確認 vssadmin list writers 実行後、SentinelOne が表示されないことを確認。
テストバックアップ実施 小規模データで手動ジョブを走らせ、エラーログ (C:\ProgramData\Veeam\Backup) に SentinelOne 関連の警告が無いかチェック。
リカバリ検証 バックアップ完了後に復元テストを実施し、システム起動とアプリケーション稼働を確認。

ポイント:上記手順は「バックアップツールとの互換性ガイド」https://docs.sentinelone.com/backup/integration.html にも掲載されています。


導入後の確認・運用ガイド

エージェントが正しく稼働しているかを定期的にチェックし、トラブル時の対応フローを把握しておくことが安定運用の鍵です。ここでは サービス状態確認ログ取得と一般的なトラブルシューティング一括デプロイ PowerShell スクリプト、そして アップデート・アンインストールのベストプラクティス を紹介します。

サービス状態とエージェントステータスの確認

  • Running かつ sentinelctlConnected を示せば正常です。

ログ取得と一般的なトラブルシューティングフロー

  1. イベントログの確認
    powershell
    Get-WinEvent -LogName "Application" |
    Where-Object {$_.ProviderName -eq "SentinelOne"} |
    Select-Object TimeCreated, Id, LevelDisplayName, Message |
    Format-Table -AutoSize -Wrap -Max 20

  2. エージェントローカルログC:\ProgramData\SentinelOne\Logs\agent.log)をテキストエディタで開く。

  3. 代表的なエラーと対処例

エラーメッセージ 主な原因 推奨対策
Unable to reach management console ネットワーク遮断、プロキシ設定ミス ポート 443 開放、WinHTTP プロキシを再確認
VSS rollback conflict detected VSS が残っている 前述のレジストリ手順で無効化しサービス再起動
Agent installation failed (0x80070005) 権限不足または実行ポリシー 管理者権限で PowerShell を起動、Set-ExecutionPolicy RemoteSigned -Scope Process

一括デプロイ例(Invoke‑Command)

以下スクリプトは CSV で管理したサーバーリストに対し、MSI とサイトトークンを配布・インストールします。プレースホルダー置換ミス防止のため、トークンは環境変数 SENTINEL_SITE_TOKEN または対話入力で取得します。

メリット:数十台規模でも 1 行で一括実行でき、結果はリアルタイムでコンソールに表示されます。

アップデート・アンインストール手順とベストプラクティス

作業 手順
自動アップデート コンソールのポリシーで「自動適用」を有効化。エージェントはバックグラウンドで新バイナリを取得し、次回再起動時に適用されます。
手動アップデート sentinelctl.exe update --file <path>\SentinelAgent.msi を実行(管理者権限)。
アンインストール powershell msiexec /x "C:\Program Files\SentinelOne\agent\SentinelAgent.msi" /quiet /norestart その後、残存レジストリ HKLM\SOFTWARE\SentinelOne を手動で削除し再起動。
運用上の注意 - 定期的にエージェントバージョンとポリシー適用状況をレポート化
- 本番環境へ適用前はステージングサーバで互換性テスト
- 重大インシデント時は Rollback Protection を即座に有効化し、復旧手順を文書化

参考情報・出典

番号 タイトル URL
[1] SentinelOne – System Requirements https://docs.sentinelone.com/system-requirements/windows.html
[2] Windows Server Installation Guide (SentinelOne) https://docs.sentinelone.com/agent/windows/install.html
[3] Configuring VSS settings for Windows agents https://docs.sentinelone.com/agent/windows/vss.html
[4] Rollback Protection Settings https://docs.sentinelone.com/policy/rollback.html
[5] Backup Integration Guide (Veeam) https://docs.sentinelone.com/backup/integration.html

本稿は上記公式ドキュメントを参照し、手順の正確性と運用上の留意点を追記しています。環境ごとの差異がある場合は、必ず最新の公式情報をご確認ください。

スポンサードリンク

-SentinelOne