Tweet

[Q&A] そこが知りたい Windows Server Update Services（第14回） Q1 WSUS用Webサーバのポート番号を変更するには？ Microsoft MVP Windows Server System - Microsoft Update Services 創報　山近 慶一 2009/08/12

はじめに

　Windows OSやアプリケーションの脆弱（ぜいじゃく）性を修正し、ウイルスや不正アクセスなどからシステムを保護するためには、更新プログラムの適用と管理が重要だ。本連載では、更新プログラムの管理にWindows Server Update Services（WSUS）を実際に活用しているユーザーならではの、よくある疑問や質問をピックアップして回答する。なお、特にバージョンを示さない場合は、最新のWSUS 3.0を対象とする。WSUS 3.0の機能や操作方法については、別稿の「［運用］これから始めるWSUS 3.0入門（前編）」と「［運用］これから始めるWSUS 3.0入門（後編）」も参照していただきたい。

■Q&A■

詳細：

　 現在「既定のWebサイト」（TCPのポート80番）を使ってWSUSサーバ（Webサーバ）を運用しているが、社内セキュリティ・ポリシーに従って、ほかのポート番号に変更したい。

　結論からいうと、WSUSではWebサイトのポート番号を80以外に変更することはできない。クライアントの自動更新コンポーネントを自動的にアップデートする「セルフアップデート」機能が、TCPポート80を使うWebサイトを固定で利用するためだ。例えば、「インターネットインフォメーションサービス（IIS）マネージャ」で「既定のWebサイト」のTCPポート番号を8080番に変更して、グループ・ポリシーで「イントラネットのMicrosoft更新サービスの場所を指定する」ポリシーを「http://＜WSUSサーバ名＞:8080/」と設定したとしよう。これですべて正しく動きそうに見えるが、実際にやってみると次のような問題が発生する。

• クライアントは新しい自動更新コンポーネントを利用できないので、古いバージョンの自動更新コンポーネントを実行しているクライアントは更新プログラムの検索やダウンロードができなくなる。

• クライアントからの状態報告が滞るため、WSUS管理コンソールでクライアントの最新状態をチェックできなくなる。

• 「Microsoft Windows Server Update Services 3.0」管理コンソールを起動すると、「接続エラー」が発生して管理できなくなる。

　ちなみに、WSUS管理コンソールで［オプション］−［更新先およびプロキシサーバー］を開いて、［更新元］タブでポート番号を設定することができるが、これは実はタブ名のとおり、「更新元」または「同期元」のポート番号で、簡単にいえば上位のWSUSサーバのポート番号を指定する設定だ。「更新先およびプロキシサーバー」という表記は単純な誤訳で、正しくは「更新元およびプロキシサーバー」とでもするべきであろう。

　また、WSUSサーバを新規インストールする際に、「Webサイトの選択」画面で「Windows Server Update Services 3.0 SP1のWebサイトを作成する」オプションを選択すると、TCPポート8530を使用する「WSUSの管理」Webサイトを新規作成してWSUSに割り当てることができるのだが、実はこのオプションを選択しても「既定のWebサイト」を一切使わなくなるわけではなく、「既定のWebサイト」と「WSUSの管理」の2つのWebサイトを併用することになる。従って、WSUSサーバを再インストールしてもTCPポート80の呪縛から逃れることはできない。

　このように、TCPポート80を使うWebサイトはシステム要件上どうしても必要なので、社内セキュリティ・ポリシーの方を少し変更して、WSUSを運用するならこれを許可してもらうしかない。

管理用ポートの変更

　同期や更新用の標準のポートを変更することはできないが、管理用ポートを別のポートに変更することはできる。このためには、次の手順を実行する。

1. WSUSサーバ（Webサーバ）に管理者としてログオンし、コマンドプロンプトを開く。

2. 次のコマンドを実行して、「WSUSの管理」Webサイトの自動作成と移動を実行する（画面1）。C:ドライブの既定のフォルダ以外の場所にWSUSサーバをインストールした場合は、適切なパスに読み替えてほしい。

画面1　「Wsusutil」コマンドで、TCPポート8530を使うWebサイトにサービス一式を移動する

「Wsusutil.exe」コマンドは、既定では「C:\Program Files\Update Services\Tools」フォルダにインストールされている。パスが通っていない（システム環境変数PATHにフォルダの設定がない）ので、カレント・フォルダを移動して実行するか、フルパスをダブルクオート記号で囲んで実行する。

「UseCustomWebSite」サブコマンドの引数を「true」にして実行すると、「WSUSの管理」Webサイトを新規作成してセルフアップデート以外のシステム一式を「既定のWebサイト」から「WSUSの管理」Webサイトに移動する。元に戻すには引数に「false」を指定すればよい。

　これでTCPポート8530を使う「WSUSの管理」Webサイトへの移動は完了だが、8530以外の任意のポート番号に変更するには次の手順を続けて実行しよう。

3. 「インターネットインフォメーションサービス（IIS）マネージャ」を開いて、「WSUSの管理」Webサイトのプロパティを開く。

4. ［Webサイト］タブでTCPポート番号を8530番から任意の番号（例えば8080番）に変更する。

5. 「Microsoft Windows Server Update Services 3.0」管理コンソールを起動する。接続エラーは無視してよい。

6. 左ペインで［Update Services］をクリックして［操作］メニューの［サーバーに接続］を実行する。［Update Services］を右クリックしてもよい。

7. ［サーバーに接続］ダイアログで、WSUSサーバ名と新しいポート番号（8080）を入力して［接続］ボタンをクリックする（画面2）。

画面2　新しいポート番号を指定して、WSUSサーバに接続する

WebサイトのTCPポート番号を80や8530以外の任意の番号に変更すると、WSUS管理コンソールが接続エラーになるので、ポート番号を指定して手動で接続し直す必要がある。

［サーバー名］にWSUSサーバ（Webサーバ）のコンピュータ名（ホスト名、FQDN）を入力する。 ［ポート番号］に、変更後の任意のポート番号を入力する。

8. 正しく管理できることを確認したら、接続エラーになる古いWSUSサーバを左ペインでクリックして、［操作］−［コンソールから削除］で接続情報を削除する。

9. クライアントが接続するWSUSサーバのURLを、グループ・ポリシーなどで「http://＜WSUSサーバ名＞:8080/」に変更する（ポート8080番を使う場合）。

　WSUS用のWebサーバを通常のWebサーバとしても使いたいとか、ほかのWebアプリケーションも同時に実行したいといった場合でも、上記の手順でWSUSサーバを再インストールすることなく移動できる。ただし、「既定のWebサイト」も依然として必要なので、「/Selfupdate」仮想ディレクトリの登録やディレクトリセキュリティ、Webアプリケーションの設定、Webサービス拡張設定などを、セルフアップデートの障害にならないように注意して設定しよう。

運用

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）