次の方法で共有


ソフトウェアの更新ポイントのインストールの計画

更新日: 2009年10月

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Configuration Manager 2007 で、ソフトウェアの更新ポイント サイト システムの役割を作成する前に、Configuration Manager のインフラストラクチャに応じて、考慮すべき要件があります。Configuration Manager 2007 のアクティブなソフトウェアの更新ポイントが SSL (Secure Sockets Layer) 経由で通信するように構成した場合、またはサイト サーバーがネイティブ モードの場合は、階層内のソフトウェア更新ポイントが正しく機能するのに別の手順を追加で実行する必要があるため、このセクションを参照することが特に重要です。ここでは、ソフトウェア更新ポイントのインストールを正しく計画および準備するために必要な各手順について説明します。ソフトウェアの更新ポイントのインフラストラクチャは、ソフトウェアの更新ポイントを階層内にインストールする前に判定する必要があります。詳細については、「ソフトウェアの更新ポイントのインフラストラクチャを決定する」を参照してください。

重要

サイト サーバーがネイティブ モードの場合は、ここで説明する手順を実行する前に、ネイティブ モードの要件をすべて満たしていることを確認してください。詳細については、「ネイティブ モードの構成方法」を参照してください。

ソフトウェアの更新ポイントのシステム要件

ソフトウェアの更新ポイント サイト システムの役割は、Windows Server Update Services (WSUS) 3.0 の最小要件を満たすコンピュータにインストールする必要があります。最小要件の詳細については、TechNet (https://go.microsoft.com/fwlink/?LinkId=99233) (英語) で説明している WSUS 3.0 のインストール要件を参照してください。

注意

Configuration Manager 2007 Service Pack 1 (SP1) には、WSUS 3.0 SP1 または WSUS 3.0 Service Pack 2 (SP2) が必要です。WSUS 3.0 SP2 は、Windows 7 および Windows Server 2008 R2 オペレーティング システム用の Configuration Manager 2007 SP2 ソフトウェア更新管理をサポートするために必要です。

サーバーに WSUS をインストールする

ソフトウェア更新機能を利用するには、ソフトウェアの更新ポイント サイト システムの役割を構成するすべてのサイト システム サーバーに、WSUS 3.0 をインストールする必要があります。また、アクティブなソフトウェアの更新ポイントが、サイト サーバーからリモートの場所にあり、サイト サーバー コンピュータに WSUS 3.0 管理コンソールがまだインストールされていない場合は、WSUS 3.0 をインストールする必要があります。

WSUS 3.0 管理コンソール

ソフトウェア更新ポイントをリモート サイトのシステム サーバーにインストールする場合、WSUS 3.0 管理コンソールをサイト サーバーにインストールする必要があります。これによって、アクティブなソフトウェアの更新ポイント サイト システム コンピュータで、サイト サーバーが、WSUS コンポーネントと通信できるようになります。WSUS 3.0 管理コンソールをインストールするための手順の詳細については、「Windows Server Update Services 3.0 管理コンソールのインストール方法」を参照してください。

WSUS 3.0 の完全インストール

ソフトウェアの更新ポイント サイト システムの役割がサイト システム サーバーに正しく追加されるようにするには、WSUS 3.0 がインストールされている必要があります。ネットワーク負荷分散 (NLB) をアクティブなソフトウェアの更新ポイントとして、またはアクティブなインターネット ベースのソフトウェアの更新ポイントとして使用する場合は、クラスタ内に定義されたすべてのサイト システム サーバーで WSUS 3.0 の完全インストールを行う必要があります。ソフトウェアの更新ポイントの詳細や、階層内でのこのサイト システムの役割のインストール場所、および NLB クラスタをアクティブなソフトウェアの更新ポイントとして使用するかどうかについては、「ソフトウェアの更新ポイントのインフラストラクチャを決定する」を参照してください。ソフトウェアの更新用に WSUS 3.0 をインストールするための手順の詳細については、「Windows Server Update Services 3.0 のインストール方法」を参照してください。

WSUS 3.0 Web サイトを使用する

WSUS 3.0 のインストール時には、Internet Information Services (IIS) の既定の Web サイトを利用するか、WSUS 3.0 の Web サイトを作成するかを選択できます。ここでは、WSUS 3.0 の Web サイトを作成することをお勧めします。これにより、IIS が、他の Configuration Manager 2007 サイト システムや他のアプリケーションと同じ Web サイトを共有するのではなく、専用の Web サイトで WSUS 3.0 サービスをホストできるようになります。これが特に役立つのは、ソフトウェアの更新ポイントをサイト サーバーにインストールするときです。カスタム Web サイトを使用して WSUS 3.0 をホストする場合、既定のポート番号は、HTTP プロトコルの場合はポート 8530、HTTPS プロトコル (SSL) の場合はポート 8531 になります。これらのポート番号は、サイト用のアクティブなソフトウェアの更新ポイントを作成するとき指定する必要があります。

WSUS サーバーのローカルにソフトウェアの更新プログラムを保存する

WSUS 3.0 のインストール時に [更新プログラムをローカルに保存する] を選択する必要があります。これにより、同期処理中に、ソフトウェアの更新に関連付けられているすべてのライセンス条項を WSUS サーバーのローカル ハード ドライブにダウンロードして保存できるようになります。この設定を選択しないと、クライアント コンピュータがライセンス条項が含まれる更新プログラムでのソフトウェアの更新の対応スキャンに失敗することがあります。アクティブなソフトウェアの更新ポイントがインストールされると、WSUS の [更新プログラムをローカルに保存する] 設定が自動的に構成され、WSUS 同期マネージャがこの設定が有効になっているかを既定で 60 分ごとに検証します。

ソフトウェアの更新ポイントに既存の WSUS サーバーを使用する

Configuration Manager 2007 をインストールする前に、環境内で既にアクティブであった WSUS サーバーを使用できますが、WSUS サーバーに接続しているクライアント コンピュータは、WSUS データベース内ですべてのソフトウェアの更新をスキャンします。これにより、クライアント コンピュータは、構成された分類、カテゴリ、言語の範囲を外れて、ソフトウェアの更新の対応状態情報を返す場合があります。既存の WSUS サーバーをアクティブなソフトウェアの更新ポイント サイト システムとして使用する前に、可能な場合は、ソフトウェアの更新のメタデータを WSUS データベースから削除することをお勧めします。WSUS サーバーは、アクティブなソフトウェアの更新ポイントに対して構成された設定に基づいて、新しいソフトウェアの更新のメタデータと同期されます。

レプリカ サーバーとして構成された WSUS

プライマリ サイト サーバーでアクティブなソフトウェアの更新ポイント サイト システムの役割を作成すると、上流サーバーのレプリカとして構成した WSUS サーバーを使用できなくなります。WSUS サーバーをレプリカとして構成すると、Configuration Manager は WSUS サーバーの構成に失敗し、WSUS の同期も失敗します。アクティブなソフトウェアの更新ポイントをセカンダリ サイトに作成すると、親であるプライマリ サイトでは、アクティブなソフトウェアの更新ポイントで実行している WSUS に対して、WSUS サーバーがレプリカ サーバーとして構成されます。トラブルシューティング情報については、「ソフトウェアの更新ポイントの構成に関する問題のトラブルシューティング」を参照してください。

カスタム Web サイトに Web サーバー証明書を追加する

Configuration Manager 2007 サイト サーバーがネイティブ モードの場合、またはアクティブなソフトウェアの更新ポイントが SSL を使用するように構成されている場合、証明書に署名する Web サーバーには、WSUS が使用する Web サイトを指定する必要があります。WSUS サーバーはカスタム Web サイトを使用することが推奨されますが、このように構成した場合、WSUS Web サイトに対して、サブジェクト名または代替名にインターネット完全修飾ドメイン名 (FQFN) を含む Web サーバー証明書を割り当てる必要があります。さらに上流の WSUS サーバーに、これと同一の証明書が提供されている必要があります。提供されていない場合は、サーバー間の通信が失敗します。また、この証明書は、各クライアント コンピュータのコンピュータ証明書ストア内の信頼されるルート認証局にも配置する必要があります。これによって、各クライアント コンピュータが WSUS Web サイトにアクセスできるようになります。

サイト サーバーがネイティブ モードの場合、Configuration Manager サイト システム用に使用する Web サーバー証明書を WSUS Web サイトに割り当てることができます。ただし、WSUS が Configuration Manager 2007 サイト サーバーと同じ Web サイトを使用し、そのサイト サーバーがネイティブ モードに構成されている場合は、既に既定の Web サイトに適切な Web サーバー証明書が割り当てられている可能性があります。その場合も上流の WSUS に証明書を提供する必要がありますが、クライアント コンピュータのローカル ストアには既に証明書が提供されているはずです。

WSUS Web サイトに Web サーバー証明書を追加する手順については、「カスタム WSUS Web サイトに Web サーバー証明書を追加する方法」を参照してください。Web サーバー証明書の Configuration Manager 2007 サイト システムへの追加の詳細については、「サイト システム サーバーへのWeb サーバー証明書の展開」を参照してください。

WSUS Server をSSL を構成する

サイト サーバーがネイティブ モードの場合、またはアクティブなソフトウェアの更新ポイントが SSL を使用するよう構成されている場合は、アクティブなソフトウェアの更新ポイントおよびインターネット ベースのソフトウェアの更新ポイント (構成されている場合) に対して、WSUS サーバー上で IIS 設定を構成する必要があります。SSL を使用するために次の仮想ディレクトリをそれぞれ構成する必要があります。

  • APIRemoting30

  • ClientWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • SimpleAuthWebService

ソフトウェアの更新では、次の仮想ディレクトリを、SSL を使用しないように構成する必要があります。

  • 内容

  • インベントリ

  • ReportingWebService

  • SelfUpdate

仮想ディレクトリを構成した後、WSUSUtil ツールを実行して、WSUS の正常性監視コンポーネントに対して、SSL の使用が必要であることを伝達する必要があります。WSUS サーバー上では、コマンド「WSUSUtil.exe configuressl<証明書に署名する Web サーバーの名前>」を実行する必要があります。セキュア チャネルを使用するように仮想ルートを構成する手順については、「SSL を使用するために WSUS Web サイトを構成する方法」を参照してください。

クライアント コンピュータ上の証明書

サイトがネイティブ モードの場合、またはアクティブなソフトウェアの更新ポイントが SSL を使用するように構成されている場合は、クライアント コンピュータ内にある信頼されるルート認証局ストアに、WSUS Web サイト用に構成された証明書を配置する必要があります。信頼されたルート認証局に証明書がない場合は、クライアント コンピュータでソフトウェアの更新対応をスキャンできません。詳細については、「Configuration Manager コンピュータへの信頼されたルート証明機関の展開」を参照してください。

ファイアウォールを構成する

Configuration Manager 2007 のセントラル サイトのソフトウェアの更新は、アクティブなソフトウェアの更新ポイント サイト システムで実行している WSUS と通信し、それがさらに Microsoft Update と通信してソフトウェアの更新メタデータと同期します。子サイトは、親サイトのために構成されたアクティブなソフトウェアの更新ポイントと通信します。サイト上にアクティブなインターネット ベースの更新ポイントが存在する場合、正常に同期を維持するには、サイト サーバーが、アクティブなインターネット ベースのソフトウェア更新ポイントと通信し、インターネット ベースのソフトウェアの更新ポイントが、サイトのアクティブなソフトウェアの更新ポイントと通信する必要があります。

Configuration Manager 2007 のアクティブなソフトウェアの更新ポイントとインターネットの間、アクティブなソフトウェアの更新ポイントとその上流サーバーの間、またはアクティブなインターネット ベースのソフトウェアの更新ポイントとサイトのアクティブなソフトウェアの更新ポイントの間にファイアウォールがある場合は、WSUS Web サイトに使用される HTTP ポートまたは HTTPS ポートを受け入れるようにファイアウォールを構成することが必要な場合があります。インターネット ベースのソフトウェア更新ポイントは、同期プロセス中に HTTPS を使用してアクティブなソフトウェア更新ポイントに接続します。セキュリティ ポリシーが許可しないためインターネットベースのソフトウェア更新ポイントからイントラネット上のアクティブなソフトウェア更新ポイントに HTTPS 接続を行えない場合、エクスポートとインポート同期方法を使用する必要があります。詳細については、「エクスポートとインポートを使用した更新の同期方法」を参照してください。既定で、既定の Web サイト用に構成された WSUS サーバーでは、HTTP にポート 80、HTTPS にポート 443 が使用されます。既定で、WSUS サーバーで WSUS カスタム Web サイトを使用する場合、HTTP にポート 8530、HTTPS にポート 8531 が使用されます。詳細については、「WSUS で使用するポート設定の決定方法」を参照してください。

組織が、アクティブなソフトウェアの更新ポイントとインターネットの間に設置されたファイアウォール上で、これらのポートやプロトコルをすべてのアドレスには開放できない場合は、WSUS および自動更新で Microsoft Update と通信できるように、アクセスを次のドメインに限定できます。

アクティブなインターネット ベースのソフトウェアの更新ポイントが存在する場合、またはアクティブなソフトウェアの更新ポイントが存在する子サイトがある場合は、サーバー間にあるすべてのファイアウォールにも次のアドレスを追加する必要があります。

子サイトのアクティブなソフトウェアの更新ポイント

  • http://<子サイト上のアクティブなソフトウェアの更新ポイントの FQDN>

  • https://<子サイト上のアクティブなソフトウェアの更新ポイントの FQDN>

  • http://<親サイト上のアクティブなソフトウェアの更新ポイントの FQDN>

  • https://<親サイト上のアクティブなソフトウェアの更新ポイントの FQDN>

アクティブなインターネット ベースのソフトウェアの更新ポイント

  • http://<サイトのアクティブなソフトウェアの更新ポイントの FQDN>

  • https://<サイトのアクティブなソフトウェアの更新ポイントの FQDN>

  • http://<アクティブなインターネット ベースのソフトウェアの更新ポイントの FQDN>

  • https://<アクティブなインターネット ベースのソフトウェアの更新ポイントの FQDN>

リモートの WSUS サーバーへの接続を確認する

ソフトウェアの更新ポイント サイト システムの役割をインストールする前に、SSL の使用時に、リモート WSUS サーバーと正常に接続できることを確認する必要があります。サイト サーバーから WSUS 管理コンソールを開き、リモート WSUS サーバーに接続します。または、Web ブラウザに https://WSUSServerName と入力して、リモート WSUS サーバーとの SSL 通信状態を確認できます。接続に成功すると、Web ページに "Under Construction" と表示されます。

注意

ソフトウェアの更新を実行中は、サイト サーバーから WSUS サーバーへの接続は、コンピュータ アカウントのコンテキストの中にあります。このセクションのテストでは、ユーザーのコンテキストの WSUS サーバーへの接続が可能であることを確認できます。

ソフトウェアの更新ポイント サイト システムをインストールする

ソフトウェアの更新を同期し、クライアントでの対応を評価し、展開するには、ソフトウェアの更新ポイント サイト システムの役割が必要です。ソフトウェアの更新ポイント サイト システムの役割を持つサイト システム サーバーが複数あってもかまいませんが、アクティブなソフトウェアの更新ポイントとして構成できるのは 1 つのサイト システム サーバーのみです。サイトがネイティブ モードの場合、すべてのクライアント コンピュータからの通信を受け入れるようにアクティブなソフトウェアの更新ポイントを構成できます。または、アクティブなインターネットベースのソフトウェアの更新ポイントを、インターネット ベースのクライアント コンピュータのみからの通信を許可し、アクティブなソフトウェアの更新ポイントがイントラネット上のクライアント コンピュータからの通信を受け入れるリモート サイト システム サーバーに割り当てることができます。さらに、アクティブなソフトウェアの更新ポイントが NLB クラスタとして構成されている場合は、ソフトウェアの更新ポイント サイトの役割を持つサイト システム サーバーを NLB 内の各サーバーに対して作成する必要があります。

重要

ソフトウェアの更新ポイント サイトの役割を割り当てるには、各サイト システム サーバーに WSUS 3.0 をインストールして構成する必要があります。構成されない場合は、ソフトウェアの更新ポイントのコンポーネントのインストールに失敗します。

次の各シナリオのリンクをクリックして、アクティブなソフトウェアの更新ポイントをインストールする手順を参照してください。

ソフトウェアの更新ポイントに関するシナリオ 手順へのリンク

非アクティブなソフトウェアの更新ポイント サイトの役割を作成する場合。

サイト システムにソフトウェアの更新ポイント サイトの役割を追加する方法

アクティブなソフトウェアの更新ポイントを作成して構成する場合。

アクティブなソフトウェアの更新ポイントを作成および構成する方法

必要に応じて、アクティブなインターネット ベースのソフトウェアの更新ポイントを作成して構成する場合。

インターネット ベースのアクティブなソフトウェアの更新ポイントを作成および構成する方法

必要に応じて、NLB クラスタとして構成されたアクティブなソフトウェアの更新ポイントを 作成する場合。

アクティブなソフトウェアの更新ポイントを構成して NLB クラスタを使用する方法

参照:

タスク

サイト システムにソフトウェアの更新ポイント サイトの役割を追加する方法
カスタム WSUS Web サイトに Web サーバー証明書を追加する方法
アクティブなソフトウェアの更新ポイントを構成して NLB クラスタを使用する方法
SSL を使用するために WSUS Web サイトを構成する方法
インターネット ベースのアクティブなソフトウェアの更新ポイントを作成および構成する方法
アクティブなソフトウェアの更新ポイントを作成および構成する方法
Windows Server Update Services 3.0 管理コンソールのインストール方法
Windows Server Update Services 3.0 のインストール方法
ソフトウェアの更新ポイントの構成に関する問題のトラブルシューティング

概念

ソフトウェアの更新ポイントについて
管理者チェックリスト :ソフトウェアの更新の構成
管理者チェックリスト :ソフトウェアの更新の計画と準備
ネイティブ モードの利点
Configuration Manager コンピュータへの信頼されたルート証明機関の展開
サイト システム サーバーへのWeb サーバー証明書の展開
ソフトウェアの更新ポイントのインフラストラクチャを決定する
ソフトウェアの更新ポイントの設定の計画

その他のリソース

インターネット ベースのクライアント管理の構成
ネイティブ モードの構成方法
ソフトウェアの更新ポイント コンポーネントのプロパティ

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.