| |
 |
|
[Q&A]
そこが知りたい
Windows Server Update Services(第3回)
Q1 DCに変更したら、管理コンソールが開かなくなった(Windows Server 2003編)
Microsoft MVP
Windows Server System - Microsoft Update Services
創報 山近 慶一
2006/11/30 |
|
はじめに
Windowsやアプリケーションの脆弱性を修正し、ウイルスや不正アクセスなどからシステムを保護するためには、更新プログラムの適用と管理が重要だ。本連載では、更新プログラムの管理にWindows Server Update Services(WSUS)を実際に活用しているユーザーならではの、よくある疑問や質問をピックアップして回答する。なお、特にバージョンを示さない場合は、最新のWSUS SP1を対象とする。WSUSについては、別稿の「[運用]Windows Server Update Services」も参照していただきたい。
|
 WSUSサーバをドメイン・コントローラに変更したら、管理コンソールが開かなくなった
|
|
現象の詳細:
WSUSサーバをドメイン・コントローラに変更したところ、WSUSのWeb管理コンソールを開くとエラー・メッセージが表示されるなど、WSUSサーバを正常に運用管理できなくなってしまった。
|
 WSUSで使用されるファイルのアクセス権を確認し、必要ならばアクセス権を設定し直す
|
|
回答の詳細:
WSUSサーバの役割を後からドメイン・コントローラに変更すると、フォルダのアクセス権が変更されたり、ローカル・ユーザー・アカウントがドメイン・ユーザー・アカウントに移行されたりするため、WSUSサーバ・コンポーネントの実行が阻害される。WSUSサーバ・コンポーネントは、.NET Framework 1.1とASP.NET v1.1で構築されたWebアプリケーションなので、次の表のユーザーやグループ、ビルトイン・セキュリティ・プリンシパルの権利と権限を使って実行されるのだが、これらがNTFSファイル・システムやデータベースに対して適切なアクセス権を持っている必要がある。
| アカウント |
用途 |
| ASPNET |
ASP.NETワーカー・プロセスを実行する特殊なユーザー・アカウント |
| IIS_WGP |
IISワーカー・プロセス・グループ |
| NETWORK SERVICE |
ビルトイン・セキュリティ・プリンシパル |
 |
| WSUSで利用されるアカウントとその用途 |
それでは、WSUSサーバをドメイン・コントローラに変更したときに発生する、主なトラブルと解決方法をWindows OSのバージョンごとに解説しよう。
Windows Server 2003(SP1適用済み)の場合
Windows Server 2003では、Web管理コンソールを開くと「一時クラスを生成できません」というエラー・ダイアログが表示されて、[ホーム]画面を開くことができなくなる(画面1)。原因は、WSUSサーバ・コンポーネントを実行するユーザー・アカウントが、必要なフォルダにアクセスできないためで、アクセス権に問題のあるフォルダの具体的なパスは、「error CS2001」のメッセージ中に示されている。ここでは「%WinDir%\Temp」フォルダのアクセス権が不適切に設定されている(画面2、画面3)。「%WinDir%」は、「C:\WINDOWS」などWindowsのインストール・フォルダを示す環境変数だ。
 |
| 画面1 WSUS管理画面のエラー |
| WSUSの[ホーム]管理画面を開こうとすると、Webページ・ダイアログにエラーが表示されて開くことができない。 |
| |
 |
エラー・メッセージの一部は文字化けしているが、エラー番号を確認できる。 |
| |
 |
エラーの詳細。「error CS2001: ~」が示すフォルダのアクセス権の問題により、エラーとなっている。 |
|
 |
| 画面2 ドメイン・コントローラに変更する前のアクセス権 |
| ドメイン・コントローラに設定する前の詳細アクセス権。 |
| |
|
ドメイン・コントローラに設定する前の「%WinDir%\Temp」フォルダのアクセス権には、「NETWORK SERVICE」のエントリがある。 |
|
 |
| 画面3 ドメイン・コントローラに変更した後のアクセス権 |
| サーバの役割をドメイン・コントローラに変更すると、「%WinDir%\Temp」フォルダから「NETWORK SERVICE」のアクセス権が除去される。 |
| |
|
ドメイン・コントローラに変更した後のアクセス権。NETWORK SERVICEに対するエントリがなくなっている。 |
|
従って解決方法は「%WinDir%\Temp」フォルダのアクセス権を編集して、「NETWORK SERVICE」セキュリティ・プリンシパルに「フォルダの一覧/データの読み取り」と「削除」を許可するエントリを追加すればよい(画面4)。
 |
| 画面4 追加するアクセス権のエントリ |
| 「NETWORK SERVICE」セキュリティ・プリンシパルに対して、「フォルダの一覧/データの読み取り」と「削除」を許可するエントリを追加する。 |
| |
|
このセキュリティ・プリンシパルに対するアクセス権を追加する。 |
| |
|
2つのアクセス許可エントリを追加する。 |
|
ちなみに、Windows Server 2003 R2で構築したWSUSサーバでは、ドメイン・コントローラに変更してもこのトラブルは発生しないようだ。
Windows Server Insider フォーラム 新着記事
Windows Server Insider 記事ランキング
本日
月間
