ソフトウェアの更新ポイントのインストールの計画

[アーティクル]
12/19/2014

更新日: 2009年10月

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Configuration Manager 2007 で、ソフトウェアの更新ポイントサイトシステムの役割を作成する前に、Configuration Manager のインフラストラクチャに応じて、考慮すべき要件があります。Configuration Manager 2007 のアクティブなソフトウェアの更新ポイントが SSL (Secure Sockets Layer) 経由で通信するように構成した場合、またはサイトサーバーがネイティブモードの場合は、階層内のソフトウェア更新ポイントが正しく機能するのに別の手順を追加で実行する必要があるため、このセクションを参照することが特に重要です。ここでは、ソフトウェア更新ポイントのインストールを正しく計画および準備するために必要な各手順について説明します。ソフトウェアの更新ポイントのインフラストラクチャは、ソフトウェアの更新ポイントを階層内にインストールする前に判定する必要があります。詳細については、「ソフトウェアの更新ポイントのインフラストラクチャを決定する」を参照してください。

重要

サイトサーバーがネイティブモードの場合は、ここで説明する手順を実行する前に、ネイティブモードの要件をすべて満たしていることを確認してください。詳細については、「ネイティブモードの構成方法」を参照してください。

ソフトウェアの更新ポイントのシステム要件

ソフトウェアの更新ポイントサイトシステムの役割は、Windows Server Update Services (WSUS) 3.0 の最小要件を満たすコンピュータにインストールする必要があります。最小要件の詳細については、TechNet (https://go.microsoft.com/fwlink/?LinkId=99233) (英語) で説明している WSUS 3.0 のインストール要件を参照してください。

注意

Configuration Manager 2007 Service Pack 1 (SP1) には、WSUS 3.0 SP1 または WSUS 3.0 Service Pack 2 (SP2) が必要です。WSUS 3.0 SP2 は、Windows 7 および Windows Server 2008 R2 オペレーティングシステム用の Configuration Manager 2007 SP2 ソフトウェア更新管理をサポートするために必要です。

サーバーに WSUS をインストールする

ソフトウェア更新機能を利用するには、ソフトウェアの更新ポイントサイトシステムの役割を構成するすべてのサイトシステムサーバーに、WSUS 3.0 をインストールする必要があります。また、アクティブなソフトウェアの更新ポイントが、サイトサーバーからリモートの場所にあり、サイトサーバーコンピュータに WSUS 3.0 管理コンソールがまだインストールされていない場合は、WSUS 3.0 をインストールする必要があります。

WSUS 3.0 管理コンソール

ソフトウェア更新ポイントをリモートサイトのシステムサーバーにインストールする場合、WSUS 3.0 管理コンソールをサイトサーバーにインストールする必要があります。これによって、アクティブなソフトウェアの更新ポイントサイトシステムコンピュータで、サイトサーバーが、WSUS コンポーネントと通信できるようになります。WSUS 3.0 管理コンソールをインストールするための手順の詳細については、「Windows Server Update Services 3.0 管理コンソールのインストール方法」を参照してください。

WSUS 3.0 の完全インストール

ソフトウェアの更新ポイントサイトシステムの役割がサイトシステムサーバーに正しく追加されるようにするには、WSUS 3.0 がインストールされている必要があります。ネットワーク負荷分散 (NLB) をアクティブなソフトウェアの更新ポイントとして、またはアクティブなインターネットベースのソフトウェアの更新ポイントとして使用する場合は、クラスタ内に定義されたすべてのサイトシステムサーバーで WSUS 3.0 の完全インストールを行う必要があります。ソフトウェアの更新ポイントの詳細や、階層内でのこのサイトシステムの役割のインストール場所、および NLB クラスタをアクティブなソフトウェアの更新ポイントとして使用するかどうかについては、「ソフトウェアの更新ポイントのインフラストラクチャを決定する」を参照してください。ソフトウェアの更新用に WSUS 3.0 をインストールするための手順の詳細については、「Windows Server Update Services 3.0 のインストール方法」を参照してください。

WSUS 3.0 Web サイトを使用する

WSUS 3.0 のインストール時には、Internet Information Services (IIS) の既定の Web サイトを利用するか、WSUS 3.0 の Web サイトを作成するかを選択できます。ここでは、WSUS 3.0 の Web サイトを作成することをお勧めします。これにより、IIS が、他の Configuration Manager 2007 サイトシステムや他のアプリケーションと同じ Web サイトを共有するのではなく、専用の Web サイトで WSUS 3.0 サービスをホストできるようになります。これが特に役立つのは、ソフトウェアの更新ポイントをサイトサーバーにインストールするときです。カスタム Web サイトを使用して WSUS 3.0 をホストする場合、既定のポート番号は、HTTP プロトコルの場合はポート 8530、HTTPS プロトコル (SSL) の場合はポート 8531 になります。これらのポート番号は、サイト用のアクティブなソフトウェアの更新ポイントを作成するとき指定する必要があります。

WSUS サーバーのローカルにソフトウェアの更新プログラムを保存する

WSUS 3.0 のインストール時に [更新プログラムをローカルに保存する] を選択する必要があります。これにより、同期処理中に、ソフトウェアの更新に関連付けられているすべてのライセンス条項を WSUS サーバーのローカルハードドライブにダウンロードして保存できるようになります。この設定を選択しないと、クライアントコンピュータがライセンス条項が含まれる更新プログラムでのソフトウェアの更新の対応スキャンに失敗することがあります。アクティブなソフトウェアの更新ポイントがインストールされると、WSUS の [更新プログラムをローカルに保存する] 設定が自動的に構成され、WSUS 同期マネージャがこの設定が有効になっているかを既定で 60 分ごとに検証します。

ソフトウェアの更新ポイントに既存の WSUS サーバーを使用する

Configuration Manager 2007 をインストールする前に、環境内で既にアクティブであった WSUS サーバーを使用できますが、WSUS サーバーに接続しているクライアントコンピュータは、WSUS データベース内ですべてのソフトウェアの更新をスキャンします。これにより、クライアントコンピュータは、構成された分類、カテゴリ、言語の範囲を外れて、ソフトウェアの更新の対応状態情報を返す場合があります。既存の WSUS サーバーをアクティブなソフトウェアの更新ポイントサイトシステムとして使用する前に、可能な場合は、ソフトウェアの更新のメタデータを WSUS データベースから削除することをお勧めします。WSUS サーバーは、アクティブなソフトウェアの更新ポイントに対して構成された設定に基づいて、新しいソフトウェアの更新のメタデータと同期されます。

レプリカサーバーとして構成された WSUS

プライマリサイトサーバーでアクティブなソフトウェアの更新ポイントサイトシステムの役割を作成すると、上流サーバーのレプリカとして構成した WSUS サーバーを使用できなくなります。WSUS サーバーをレプリカとして構成すると、Configuration Manager は WSUS サーバーの構成に失敗し、WSUS の同期も失敗します。アクティブなソフトウェアの更新ポイントをセカンダリサイトに作成すると、親であるプライマリサイトでは、アクティブなソフトウェアの更新ポイントで実行している WSUS に対して、WSUS サーバーがレプリカサーバーとして構成されます。トラブルシューティング情報については、「ソフトウェアの更新ポイントの構成に関する問題のトラブルシューティング」を参照してください。

カスタム Web サイトに Web サーバー証明書を追加する

Configuration Manager 2007 サイトサーバーがネイティブモードの場合、またはアクティブなソフトウェアの更新ポイントが SSL を使用するように構成されている場合、証明書に署名する Web サーバーには、WSUS が使用する Web サイトを指定する必要があります。WSUS サーバーはカスタム Web サイトを使用することが推奨されますが、このように構成した場合、WSUS Web サイトに対して、サブジェクト名または代替名にインターネット完全修飾ドメイン名 (FQFN) を含む Web サーバー証明書を割り当てる必要があります。さらに上流の WSUS サーバーに、これと同一の証明書が提供されている必要があります。提供されていない場合は、サーバー間の通信が失敗します。また、この証明書は、各クライアントコンピュータのコンピュータ証明書ストア内の信頼されるルート認証局にも配置する必要があります。これによって、各クライアントコンピュータが WSUS Web サイトにアクセスできるようになります。

サイトサーバーがネイティブモードの場合、Configuration Manager サイトシステム用に使用する Web サーバー証明書を WSUS Web サイトに割り当てることができます。ただし、WSUS が Configuration Manager 2007 サイトサーバーと同じ Web サイトを使用し、そのサイトサーバーがネイティブモードに構成されている場合は、既に既定の Web サイトに適切な Web サーバー証明書が割り当てられている可能性があります。その場合も上流の WSUS に証明書を提供する必要がありますが、クライアントコンピュータのローカルストアには既に証明書が提供されているはずです。

WSUS Web サイトに Web サーバー証明書を追加する手順については、「カスタム WSUS Web サイトに Web サーバー証明書を追加する方法」を参照してください。Web サーバー証明書の Configuration Manager 2007 サイトシステムへの追加の詳細については、「サイトシステムサーバーへのWeb サーバー証明書の展開」を参照してください。

WSUS Server をSSL を構成する

サイトサーバーがネイティブモードの場合、またはアクティブなソフトウェアの更新ポイントが SSL を使用するよう構成されている場合は、アクティブなソフトウェアの更新ポイントおよびインターネットベースのソフトウェアの更新ポイント (構成されている場合) に対して、WSUS サーバー上で IIS 設定を構成する必要があります。SSL を使用するために次の仮想ディレクトリをそれぞれ構成する必要があります。

APIRemoting30
ClientWebService
DSSAuthWebService
ServerSyncWebService
SimpleAuthWebService

ソフトウェアの更新では、次の仮想ディレクトリを、SSL を使用しないように構成する必要があります。

内容
インベントリ
ReportingWebService
SelfUpdate

仮想ディレクトリを構成した後、WSUSUtil ツールを実行して、WSUS の正常性監視コンポーネントに対して、SSL の使用が必要であることを伝達する必要があります。WSUS サーバー上では、コマンド｢WSUSUtil.exe configuressl<証明書に署名する Web サーバーの名前>｣を実行する必要があります。セキュアチャネルを使用するように仮想ルートを構成する手順については、「SSL を使用するために WSUS Web サイトを構成する方法」を参照してください。

クライアントコンピュータ上の証明書

サイトがネイティブモードの場合、またはアクティブなソフトウェアの更新ポイントが SSL を使用するように構成されている場合は、クライアントコンピュータ内にある信頼されるルート認証局ストアに、WSUS Web サイト用に構成された証明書を配置する必要があります。信頼されたルート認証局に証明書がない場合は、クライアントコンピュータでソフトウェアの更新対応をスキャンできません。詳細については、「Configuration Manager コンピュータへの信頼されたルート証明機関の展開」を参照してください。

ファイアウォールを構成する

Configuration Manager 2007 のセントラルサイトのソフトウェアの更新は、アクティブなソフトウェアの更新ポイントサイトシステムで実行している WSUS と通信し、それがさらに Microsoft Update と通信してソフトウェアの更新メタデータと同期します。子サイトは、親サイトのために構成されたアクティブなソフトウェアの更新ポイントと通信します。サイト上にアクティブなインターネットベースの更新ポイントが存在する場合、正常に同期を維持するには、サイトサーバーが、アクティブなインターネットベースのソフトウェア更新ポイントと通信し、インターネットベースのソフトウェアの更新ポイントが、サイトのアクティブなソフトウェアの更新ポイントと通信する必要があります。

Configuration Manager 2007 のアクティブなソフトウェアの更新ポイントとインターネットの間、アクティブなソフトウェアの更新ポイントとその上流サーバーの間、またはアクティブなインターネットベースのソフトウェアの更新ポイントとサイトのアクティブなソフトウェアの更新ポイントの間にファイアウォールがある場合は、WSUS Web サイトに使用される HTTP ポートまたは HTTPS ポートを受け入れるようにファイアウォールを構成することが必要な場合があります。インターネットベースのソフトウェア更新ポイントは、同期プロセス中に HTTPS を使用してアクティブなソフトウェア更新ポイントに接続します。セキュリティポリシーが許可しないためインターネットベースのソフトウェア更新ポイントからイントラネット上のアクティブなソフトウェア更新ポイントに HTTPS 接続を行えない場合、エクスポートとインポート同期方法を使用する必要があります。詳細については、「エクスポートとインポートを使用した更新の同期方法」を参照してください。既定で、既定の Web サイト用に構成された WSUS サーバーでは、HTTP にポート 80、HTTPS にポート 443 が使用されます。既定で、WSUS サーバーで WSUS カスタム Web サイトを使用する場合、HTTP にポート 8530、HTTPS にポート 8531 が使用されます。詳細については、「WSUS で使用するポート設定の決定方法」を参照してください。

組織が、アクティブなソフトウェアの更新ポイントとインターネットの間に設置されたファイアウォール上で、これらのポートやプロトコルをすべてのアドレスには開放できない場合は、WSUS および自動更新で Microsoft Update と通信できるように、アクセスを次のドメインに限定できます。

https://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
https://download.microsoft.com
http://*.download.windowsupdate.com
http://test.stats.update.microsoft.com
http://ntservicepack.microsoft.com

アクティブなインターネットベースのソフトウェアの更新ポイントが存在する場合、またはアクティブなソフトウェアの更新ポイントが存在する子サイトがある場合は、サーバー間にあるすべてのファイアウォールにも次のアドレスを追加する必要があります。

子サイトのアクティブなソフトウェアの更新ポイント

http://<子サイト上のアクティブなソフトウェアの更新ポイントの FQDN>
https://<子サイト上のアクティブなソフトウェアの更新ポイントの FQDN>
http://<親サイト上のアクティブなソフトウェアの更新ポイントの FQDN>
https://<親サイト上のアクティブなソフトウェアの更新ポイントの FQDN>

アクティブなインターネットベースのソフトウェアの更新ポイント

http://<サイトのアクティブなソフトウェアの更新ポイントの FQDN>
https://<サイトのアクティブなソフトウェアの更新ポイントの FQDN>
http://<アクティブなインターネットベースのソフトウェアの更新ポイントの FQDN>
https://<アクティブなインターネットベースのソフトウェアの更新ポイントの FQDN>

リモートの WSUS サーバーへの接続を確認する

ソフトウェアの更新ポイントサイトシステムの役割をインストールする前に、SSL の使用時に、リモート WSUS サーバーと正常に接続できることを確認する必要があります。サイトサーバーから WSUS 管理コンソールを開き、リモート WSUS サーバーに接続します。または、Web ブラウザに https://WSUSServerName と入力して、リモート WSUS サーバーとの SSL 通信状態を確認できます。接続に成功すると、Web ページに "Under Construction" と表示されます。

注意

ソフトウェアの更新を実行中は、サイトサーバーから WSUS サーバーへの接続は、コンピュータアカウントのコンテキストの中にあります。このセクションのテストでは、ユーザーのコンテキストの WSUS サーバーへの接続が可能であることを確認できます。

ソフトウェアの更新ポイントサイトシステムをインストールする

ソフトウェアの更新を同期し、クライアントでの対応を評価し、展開するには、ソフトウェアの更新ポイントサイトシステムの役割が必要です。ソフトウェアの更新ポイントサイトシステムの役割を持つサイトシステムサーバーが複数あってもかまいませんが、アクティブなソフトウェアの更新ポイントとして構成できるのは 1 つのサイトシステムサーバーのみです。サイトがネイティブモードの場合、すべてのクライアントコンピュータからの通信を受け入れるようにアクティブなソフトウェアの更新ポイントを構成できます。または、アクティブなインターネットベースのソフトウェアの更新ポイントを、インターネットベースのクライアントコンピュータのみからの通信を許可し、アクティブなソフトウェアの更新ポイントがイントラネット上のクライアントコンピュータからの通信を受け入れるリモートサイトシステムサーバーに割り当てることができます。さらに、アクティブなソフトウェアの更新ポイントが NLB クラスタとして構成されている場合は、ソフトウェアの更新ポイントサイトの役割を持つサイトシステムサーバーを NLB 内の各サーバーに対して作成する必要があります。

重要

ソフトウェアの更新ポイントサイトの役割を割り当てるには、各サイトシステムサーバーに WSUS 3.0 をインストールして構成する必要があります。構成されない場合は、ソフトウェアの更新ポイントのコンポーネントのインストールに失敗します。

次の各シナリオのリンクをクリックして、アクティブなソフトウェアの更新ポイントをインストールする手順を参照してください。

ソフトウェアの更新ポイントに関するシナリオ	手順へのリンク
非アクティブなソフトウェアの更新ポイントサイトの役割を作成する場合。	サイトシステムにソフトウェアの更新ポイントサイトの役割を追加する方法
アクティブなソフトウェアの更新ポイントを作成して構成する場合。	アクティブなソフトウェアの更新ポイントを作成および構成する方法
必要に応じて、アクティブなインターネットベースのソフトウェアの更新ポイントを作成して構成する場合。	インターネットベースのアクティブなソフトウェアの更新ポイントを作成および構成する方法
必要に応じて、NLB クラスタとして構成されたアクティブなソフトウェアの更新ポイントを作成する場合。	アクティブなソフトウェアの更新ポイントを構成して NLB クラスタを使用する方法

参照:

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメントチームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.

次の方法で共有