IIS をインストールして構成する
WSUS をインストールする前に、インターネット インフォメーション サービス (IIS) がインストールされていることを確認します。既定では、WSUS は IIS の既定の Web サイトを使用します。WSUS セットアップには、カスタム ポートに Web サイトを作成するオプションも用意されています。
WSUS のインストール時に IIS サービス (W3SVC) が停止した場合は、WSUS セットアップにより再起動されます。同様に、WSUS を既定の Web サイトにインストールした場合に、そのサイトが停止したときも、WSUS セットアップにより再起動されます。
Windows Server 2003 に IIS をインストールするには
[スタート] ボタンをクリックし、[コントロール パネル] をポイントして、[プログラムの追加と削除] をクリックします。
[Windows コンポーネントの追加と削除] をクリックします。
[コンポーネント] 一覧で、[アプリケーション サーバー] をクリックします。
[OK]、[次へ] の順にクリックし、画面に表示される指示に従います。
.gif){kind=icon}
IIS Lockdown ツール
IIS Lockdown Wizard についての情報は、Windows Server 2003 と Windows 2000 Server のどちらを使用するかによって異なります。どちらのオペレーティング システムを使用するにしても、WSUS を実行しているサーバーで IIS Lockdown ツールを使用し、さらに URLScan ツールを使用することにした場合は、*.exe 要求を許可するように Urlscan.ini ファイルを編集する必要があります。
このファイルを編集したら、IIS と WSUS サーバーの両方を再起動する必要があります。Urlscan.ini ファイルは、コンピュータのブート ドライブの \WINNT\System32\Inetserv\Urlscan フォルダにあります。
Urlscan.ini ファイルを編集するには
テキスト エディタで Urlscan.ini を開きます。
[DenyExtensions] セクションから .exe を削除します。
[AllowVerbs] セクションに次の設定があることを確認します。
GET
HEAD
POST
OPTIONS
Windows Server 2003 と IIS Lockdown ツール
Windows Server 2003 を実行しているコンピュータでは IIS Lockdown Wizard を実行する必要はありません。このオペレーティング システムにはこの機能が組み込まれています。
Windows 2000 Server と IIS Lockdown ツール
Windows 2000 Server を実行しているサーバーで IIS を実行する場合は、Microsoft TechNet のページ (https://go.microsoft.com/fwlink/?LinkId=29896) (英語) から、最新版の IIS Lockdown ツールをダウンロードして、インストールしてください。WSUS セットアップではこのツールはインストールされません。
IIS を実行しているサーバーのセキュリティを維持するためには、IIS Lockdown Wizardを実行することを強くお勧めします。IIS Lockdown Wizard は不要な機能を無効にするため、攻撃者に対する脆弱性を軽減できます。WSUS を実行しているサーバーに IIS Lockdown ツールと URLScan ツールをインストールする場合は、次の項の手順も確認し、実行する必要があります。
Windows 2000 で IIS Lockdown ツールと WSUS を実行する場合
Windows 2000 に IIS Lockdown をインストールすると、%windir% フォルダに対する実行アクセス許可が拒否されるため、WSUS 管理コンソールにエラーが表示されます。このエラーから回復するには、%windir%\Microsoft.net\Framework\V1.1.4322\Csc.exe に対する読み取りおよび実行アクセス許可を手動で取得する必要があります。
詳細については、Microsoft のサポート サイトで、これに関するサポート技術情報の記事 (https://go.microsoft.com/fwlink/?LinkId=42681) (英語) を参照してください。
クライアントの自己更新
WSUS は IIS を使用して、ほとんどのクライアント コンピュータを WSUS 互換の自動更新ソフトウェアに自動的に更新します。これを行うために、WSUS セットアップにより、WSUS をインストールするコンピュータのポート 80 を使用する Web サイトに、Selfupdate という名前の仮想ディレクトリが作成されます。"自己更新ツリー" と呼ばれるこの仮想ディレクトリには、WSUS 互換の自動更新が格納されます。SUS に付属する以前の自動更新ソフトウェアは、ポート 80 で実行されている Web サーバーに自己更新ツリーを検出した場合のみ自己更新できました。
Service Pack が適用されていない Microsoft Windows XP が組織に存在する場合は、クライアントの自己更新機能の制限事項の詳細について、「自動更新を更新する」の「Service Pack が適用されていない Windows XP での自動更新の更新」を参照してください。
WSUS のカスタム Web サイトの使用
カスタム ポートに WSUS Web サイトを配置する場合は、ポート 80 で実行している Web サイトも必要です。ポート 80 上の Web サイトは、WSUS 専用にする必要はありません。WSUS がポート 80 上のサイトを使用するのは、自己更新ツリーをホストするためだけです。
HTTP トラフィック用の既定のポート (ポート 80) は、悪意のあるプログラムの標的となる可能性があります。WSUS でカスタム ポートを使用していれば、一時的にネットワーク全体でポート 80 をシャット ダウンした場合でも、悪意のあるプログラムに対処する更新プログラムを配布できます。この理由により、カスタム ポートに WSUS Web サイトを作成すると便利だと考える管理者もいます。
WSUS をインストールするコンピュータに既に Web サイトがある場合は、カスタム Web サイトを作成するためのセットアップ オプションを使用する必要があります。このオプションを使用すると、WSUS Web サイトがポート 8530 に配置されます。このポートは構成可能ではありません。SUS がインストールされているコンピュータに WSUS をインストールする場合は、WSUS セットアップの実行時に、カスタム ポートを使用しないと WSUS をインストールできません。SUS から WSUS への移行の詳細については、後述の「SUS サーバーから WSUS サーバーに移行する」を参照してください。
.gif)
注 :
WSUS のインストール後にポート番号を変更する場合は、ショートカットから WSUS 管理コンソールにアクセスするために、新しい URL を使用して、新しいショートカットを [スタート] メニューに作成する必要があります。ショートカットの作成手順については、Windows Server 2003 のヘルプとサポートを参照してください。
WSUS のインストール後に WSUS のポート番号を変更する場合は、IIS サービスを手動で再起動する必要があります。
カスタム ポートでの WSUS のアクセス
カスタムの WSUS Web サイトはポート 80 上にないため、WSUS コンソールおよび Web サービスにアクセスするには、カスタム URL を使用する必要があります。WSUS Web サイトをポート 8530 で実行している場合は、WSUS Web サイトへのアクセスと WSUS の構成に次の手順を使用します。
カスタム ポート番号を、クライアント コンピュータを WSUS サーバーに関連付ける URL に含めます。たとえば、「https://<WSUS サーバー名>:<ポート番号>」というように指定します。
クライアント コンピュータを WSUS サーバーに関連付ける方法については、後述の「自動更新クライアントの構成方法を決定する」を参照してください。
カスタム ポート番号を、WSUS コンソールへのアクセスに使用する URL に含めます。たとえば、「https://<WSUS サーバー名>:<ポート番号>/WSUSAdmin/」というように指定します。
WSUS サーバーをカスタム ポート番号を使用するサーバーのダウンストリームにセットアップする場合は、そのダウンストリーム WSUS サーバーの WSUS コンソールでカスタム ポート番号を入力する必要があります。この接続の作成には URL は構築しません。
ダウンストリーム WSUS サーバーをアップストリーム WSUS サーバーに接続する手順については、「WSUS サーバーをチェーン化する」を参照してください。