 |
|
[Q&A]
|
|
|
|
|
はじめに
Windowsやアプリケーションの脆弱性を修正し、ウイルスや不正アクセスなどからシステムを保護するためには、更新プログラムの適用と管理が重要だ。本連載では、更新プログラムの管理にWindows Server Update Services(WSUS)を実際に活用しているユーザーならではの、よくある疑問や質問をピックアップして回答する。なお、特にバージョンを示さない場合は、最新のWSUS SP1を対象とする。WSUSについては、別稿の「[運用]Windows Server Update Services」も参照していただきたい。
|
WSUSサーバをドメイン・コントローラに変更したら、管理コンソールが開かなくなった現象の詳細:
WSUSサーバをドメイン・コントローラに変更したところ、WSUSのWeb管理コンソールを開くとエラー・メッセージが表示されるなど、WSUSサーバを正常に運用管理できなくなってしまった。
|
WSUSで使用されるファイルのアクセス権を確認し、必要ならばアクセス権を設定し直す回答の詳細:
WSUSサーバの役割を後からドメイン・コントローラに変更すると、フォルダのアクセス権が変更されたり、ローカル・ユーザー・アカウントがドメイン・ユーザー・アカウントに移行されたりするため、WSUSサーバ・コンポーネントの実行が阻害される。WSUSサーバ・コンポーネントは、.NET Framework 1.1とASP.NET v1.1で構築されたWebアプリケーションなので、次の表のユーザーやグループ、ビルトイン・セキュリティ・プリンシパルの権利と権限を使って実行されるのだが、これらがNTFSファイル・システムやデータベースに対して適切なアクセス権を持っている必要がある。
| アカウント | 用途 |
| ASPNET | ASP.NETワーカー・プロセスを実行する特殊なユーザー・アカウント |
| IIS_WGP | IISワーカー・プロセス・グループ |
| NETWORK SERVICE | ビルトイン・セキュリティ・プリンシパル |
 |
|
| WSUSで利用されるアカウントとその用途 | |
それでは、WSUSサーバをドメイン・コントローラに変更したときに発生する、主なトラブルと解決方法をWindows OSのバージョンごとに解説しよう。
Windows Server 2003(SP1適用済み)の場合
Windows Server 2003では、Web管理コンソールを開くと「一時クラスを生成できません」というエラー・ダイアログが表示されて、[ホーム]画面を開くことができなくなる(画面1)。原因は、WSUSサーバ・コンポーネントを実行するユーザー・アカウントが、必要なフォルダにアクセスできないためで、アクセス権に問題のあるフォルダの具体的なパスは、「error CS2001」のメッセージ中に示されている。ここでは「%WinDir%\Temp」フォルダのアクセス権が不適切に設定されている(画面2、画面3)。「%WinDir%」は、「C:\WINDOWS」などWindowsのインストール・フォルダを示す環境変数だ。
 |
||||||
| 画面1 WSUS管理画面のエラー | ||||||
| WSUSの[ホーム]管理画面を開こうとすると、Webページ・ダイアログにエラーが表示されて開くことができない。 | ||||||
|
 |
|||
| 画面2 ドメイン・コントローラに変更する前のアクセス権 | |||
| ドメイン・コントローラに設定する前の詳細アクセス権。 | |||
|
 |
|||
| 画面3 ドメイン・コントローラに変更した後のアクセス権 | |||
| サーバの役割をドメイン・コントローラに変更すると、「%WinDir%\Temp」フォルダから「NETWORK SERVICE」のアクセス権が除去される。 | |||
|
従って解決方法は「%WinDir%\Temp」フォルダのアクセス権を編集して、「NETWORK SERVICE」セキュリティ・プリンシパルに「フォルダの一覧/データの読み取り」と「削除」を許可するエントリを追加すればよい(画面4)。
 |
||||||
| 画面4 追加するアクセス権のエントリ | ||||||
| 「NETWORK SERVICE」セキュリティ・プリンシパルに対して、「フォルダの一覧/データの読み取り」と「削除」を許可するエントリを追加する。 | ||||||
|
ちなみに、Windows Server 2003 R2で構築したWSUSサーバでは、ドメイン・コントローラに変更してもこのトラブルは発生しないようだ。
 |
 |
| INDEX | ||
| [Q&A]そこが知りたい Windows Server Update Services(第3回) | ||
 |
Q1 DCに変更したら、管理コンソールが開かなくなった(Windows Server 2003編) | |
| Q1 DCに変更したら、管理コンソールが開かなくなった(Windows 2000 Server編)(1) | ||
| Q1 DCに変更したら、管理コンソールが開かなくなった(Windows 2000 Server編)(2) | ||
 |
||
 |
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
