付録D Windows Server 2003 Service Pack 1,Service Pack2対応

Windows Server 2003 Service Pack 1,Service Pack2(以降はWindows Server 2003 SP1,SP2)では,セキュリティ機能が大幅に強化されています。

このため,Windows Server 2003 SP1,SP2適用後にDPMのWebコンソールを利用する場合は通信設定を行う必要があります。

ここでは,DPMを使用したWindows Server 2003 SP1,SP2の適用方法と,Windows Server 2003 SP1,SP2が適用されたコンピュータでDPMを利用する際の設定項目について説明します。

【注意!】
Windows Server 2003は,SP1から導入されたセキュリティ更新(Post-Setup Security Updates:PSSU)により,最新の更新プログラムが適用されるまでは,すべての着信トラフィックがブロックされます。Windows Updateなどにより管理対象コンピュータを最新の状態に更新,もしくは,PSSUを手動で解除してください。PSSUを手動で解除するには,管理者でログオンし,セキュリティ更新の画面を閉じてください。
【ヒント】
  • Windows Server 2003 SP1についての詳細は,以下のサイトを参照してください。
    http://www.microsoft.com/japan/windowsserver2003/downloads/servicepacks/sp1/default.mspx
  • Windows Server 2003 SP2についての詳細は,以下のサイトを参照してください。
    http://www.microsoft.com/japan/technet/windowsserver/sp2.mspx
  • Windows Server 2003 SP2については,以降のSP1の記載をSP2に適宜読み替えてください。
<この節の構成>
(1) Windows Server 2003 SP1を適用したコンピュータでWebサーバfor DPMを利用する
(2) Windows Server 2003 SP1を適用したコンピュータでデータベースを利用する
(3) Windows Server 2003 SP1を適用したコンピュータで管理サーバfor DPMを利用する
(4) Windows Server 2003 SP1を適用したコンピュータでWebコンソールを利用する
(5) Windows Server 2003 SP1を適用したコンピュータでNFSサーバを利用する
(6) Windows Server 2003 SP1を適用したコンピュータでイメージビルダー(リモートコンソール)を利用する
(7) Windows Server 2003 SP1を適用したコンピュータでコマンドラインfor DPMを利用する
(8) Windows Server 2003 SP1を適用したコンピュータでDHCPサーバを利用する
(9) 管理対象コンピュータにWindows Server 2003 SP1を配信する
(10) Windows Server 2003 SP1 を適用したコンピュータをDPMで管理する

(1) Windows Server 2003 SP1を適用したコンピュータでWebサーバfor DPMを利用する

Windows Server 2003 SP1を適用したコンピュータでWebサーバを利用する場合は,以下の手順で通信設定を行ってください。

  1. Webサーバfor DPMで使用するポートを手動で開放します。
    「スタート」メニュー(または「スタート」メニュー→「設定」)→「コントロールパネル」→「セキュリティセンター」→「Windowsファイアウォール」をクリックします。
    以下の画面が表示されますので「例外」タブをクリックします。

    [図データ]

  2. 「例外」タブの「ポートの追加」をクリックします。

    [図データ]

  3. 「ポートの追加」画面が表示されますので「名前」項目には「DeploymentManager(TCP8080)」を,「ポート番号」には「8080」を入力し,「TCP」にチェックを入れて「OK」をクリックしてください。

    [図データ]

以上で,Windows Server 2003 SP1を適用したコンピュータでWebサーバfor DPMを利用するための設定は完了です。

(2) Windows Server 2003 SP1を適用したコンピュータでデータベースを利用する

Windows Server 2003 SP1のデフォルトでは,ファイアウォール機能は無効になっています。

Windows Server 2003 SP1のファイアウォールを有効に設定したコンピュータで,データベースを利用する際の設定項目について説明します。

  1. データベースで使用するポートを手動で開放します。
    「スタート」メニュー→「コントロールパネル」→「Windows ファイアウォール」をクリックします。
    以下の画面が表示されますので「例外」タブをクリックします。

    [図データ]

  2. 「例外」タブの「ポートの追加」をクリックします。

    [図データ]

  3. 「ポートの追加」画面が表示されますので「名前」項目には「DeploymentManager(TCP56070)」を,「ポート番号」には「56070」を入力し,「TCP」にチェックを入れて「OK」をクリックしてください。

    [図データ]

以上で,Windows Server 2003 SP1を適用したコンピュータでデータベースを利用するための設定は完了です。

(3) Windows Server 2003 SP1を適用したコンピュータで管理サーバfor DPMを利用する

【注意!】
管理サーバ for DPMは,Windows Server 2003(SP2以上)がサポート対象です。

Windows Server 2003 SP1を適用したコンピュータで管理サーバを利用する場合は,以下の手順で通信設定を行ってください。

  1. 管理サーバで使用するポートを手動で開放します。
    「スタート」メニュー(または「スタート」メニュー→「設定」)→「コントロールパネル」→「セキュリティセンター」→「Windowsファイアウォール」をクリックします。
    以下の画面が表示されますので「例外」タブをクリックします。

    [図データ]

  2. 「例外」タブの「ポートの追加」をクリックします。

    [図データ]

  3. 「ポートの追加」画面が表示されますので「名前」項目,「ポート番号」に下表の名前,ポート番号を入力し,プロトコルの「TCP/UDP」を選択して「OK」をクリックします。
    「ポート番号」はDPMのバージョンによって異なります。それぞれについて,同様の要領で追加してください。
    (例)「UDP67」ポートを追加する場合
    [図データ]
     
    名前ポート番号プロトコル
    DeploymentManager(UDP67)67UDP
    DeploymentManager(UDP69)69UDP
    DeploymentManager(UDP4011)4011UDP
    DeploymentManager(TCP56011)56011TCP
    DeploymentManager(TCP56020)56020TCP
    DeploymentManager(TCP56022)56022TCP
    DeploymentManager(TCP56023)56023TCP
    DeploymentManager(TCP56024)56024TCP
    DeploymentManager(TCP56028)56028TCP
    DeploymentManager(TCP56030)56030TCP
    DeploymentManager(UDP56040)56040UDP
    DeploymentManager(TCP56050)56050TCP
    DeploymentManager(TCP56060)56060TCP
    UDP137※ 137UDP
    ※ NetBIOSによる名前解決を行う場合だけ
    【注意!】
    DNSサーバやhostsファイルを利用していない場合は,個別に開けるポートに「UDP137」も追加してください。
    DPMでは,コンピュータの生存確認やシナリオ実行を行うときに登録されているコンピュータ名を使用しています。内部的には,そのコンピュータ名から名前解決を行い,取得したIPアドレスを使ってTCP/IP通信を行っています。
    そのため,コンピュータ名から名前解決ができるネットワーク環境が必要になります。
    「UDP137」を開放するには,Windowsファイアウォール画面の「例外」タブで「ファイルとプリンタの共有」を編集し,「UDP137」にチェックを入れます。

以上で,Windows Server 2003 SP1を適用したコンピュータで管理サーバfor DPMを利用するための設定は完了です。

(4) Windows Server 2003 SP1を適用したコンピュータでWebコンソールを利用する

Windows Server 2003 SP1を適用したコンピュータでWebコンソールを利用する場合は,以下の手順で通信設定を行ってください。

  1. 「スタート」メニュー(または「スタート」メニュー→「設定」)→「コントロールパネル」→「インターネットオプション」をクリックします。
    「インターネット オプション」画面が表示されますので,「セキュリティ」タブをクリックし,「信頼済みサイト」にフォーカスをあてた状態で「サイト」をクリックします。

    [図データ]

  2. 「信頼済みサイト」画面が表示されますので,「このゾーンのサイトにはすべてサーバの確認(https:)を必要とする」のチェックを外してください。

    [図データ]

  3. 「次のWebサイトをゾーン追加する」項目にWebサーバfor DPMのIPアドレス,またはコンピュータ名を追加し「追加」をクリックします。
    (例)Webサーバfor DPMのIPアドレスが「192.168.0.1」の場合
    [図データ]
  4. 「Webサイト」欄に追加されたのを確認して「閉じる」をクリックしてください。

    [図データ]

  5. インターネットエクスプローラの「ツール」メニュー→「ポップアップブロック」→「ポップアップブロックを無効にする」を選択してください。

    [図データ]

以上で,Windows Server 2003 SP1を適用したコンピュータでWebコンソールを利用するための設定は完了です。

(5) Windows Server 2003 SP1を適用したコンピュータでNFSサーバを利用する

【ヒント】
Windows Server 2003 SP1のデフォルトでは,ファイアウォール機能は無効になっています。ファイアウォール機能をご使用になる場合は,「付録C(2) Windows XP SP2を適用したコンピュータでNFSサーバを利用する」を参考にしてポートの開放を行ってください。

(6) Windows Server 2003 SP1を適用したコンピュータでイメージビルダー(リモートコンソール)を利用する

イメージビルダー(リモートコンソール)には,設定する項目はありません。

(7) Windows Server 2003 SP1を適用したコンピュータでコマンドラインfor DPMを利用する

コマンドラインfor DPMには,設定する項目はありません。

(8) Windows Server 2003 SP1を適用したコンピュータでDHCPサーバを利用する

【ヒント】
Windows Server 2003 SP1のデフォルトでは,ファイアウォール機能は無効になっています。ファイアウォール機能をご使用になる場合は,「付録C(5) Windows XP SP2を適用したコンピュータでDHCPサーバを利用する」を参考にしてポートの開放を行ってください。

(9) 管理対象コンピュータにWindows Server 2003 SP1を配信する

DPMを使用したWindows Server 2003 SP1の適用方法について,以下の手順で説明します。

(a) Windows Server 2003 SP1の登録

Windows Server 2003 SP1をDPMにパッケージとして登録する手順を以下に説明します。

  1. 「スタート」メニューから「プログラム」(または「すべてのプログラム」)→「ServerConductor」→「DeploymentManager」→「イメージビルダー」を選択し,起動したイメージビルダーから「パッケージの登録/修正」をクリックします。

    [図データ]

  2. 「ファイル」メニューから→「Windowsパッケージ作成」をクリックします。

    [図データ]

  3. Windowsパッケージ作成画面が表示されます。まず「基本」タブの項目を入力します。

    [図データ]

    • パッケージID
      パッケージにつけるID番号です。半角英数と「-」,「_」63バイト以内で入力します。パッケージIDは必ず入力してください。
    • 会社名
      パッケージを発行する発行元の名称です。127バイト以内で入力します。
    • リリース日
      パッケージをリリースした日付を入力します。西暦/月/日の書式で入力します。
    • パッケージ概要
      パッケージの概要情報を入力します。511バイト以内で入力します。
    • タイプ
      サービスパックを選択してください。
    • 緊急度
      パッケージの緊急度(4種類)を設定します。
    • MS番号
      入力する必要はありません。
    • メジャーバージョン
      必ず「1」を入力してください。
    • マイナーバージョン
      必ず「0」を入力してください。
  4. 「実行設定」タブの項目を入力します。

    [図データ]

    • フォルダ名
      Windows Server 2003 SP1のインストールファイルが格納されたフォルダを指定します。「参照」ボタンをクリックして指定することができます。
    • 追加されたフォルダ,「追加」ボタン
      フォルダ名を入力後に「追加」ボタンをクリックし,「追加されたフォルダ」リストボックスにフォルダを追加します。
    • 実行ファイル
      Windows Server 2003 SP1のインストールファイルを指定します。「参照」ボタンをクリックして指定することができます。
      フォルダ名¥WINDOWSSERVER2003-KB889101-SP1-X86-JPN.EXE
    【注意!】
    Microsoftから提供されるサービスパックの仕様によっては,実行パスに2バイト文字が含まれると処理が正常に行われない可能性があります。サービスパックを格納する「フォルダ名」は1バイト文字で作成されることを推奨します。
    • セットアップパラメータ
      「/norestart」と,「/passive」,または「/quiet」を指定します。
      パラメータのそれぞれの意味は以下になります。
     「/norestart」
    実行後に再起動を行わないようにします。必ず指定してください。
     「/passive」
    無人モードで更新します。シナリオ実行中,自動更新中にエラーが発生した場合は,シナリオ実行,自動更新が停止し,管理サーバ上では「シナリオ実行中」もしくは「パッチ適用中」のままとなります。
     「/quiet」
    Quietモードで実行します。シナリオ実行中,自動更新中にエラーとなった場合でもそのまま次へ進みます。そのため管理サーバ上でシナリオ実行完了となっていても適用されていない場合があります
    これらのオプションは,サービスパックを「/h」,または「-?」のオプションをつけて実行するか,配布元のホームページ等で調べることができます。
    【注意!】
    サービスパック,ハードウェアのマニュアルを参照した上で指定してください。
    • インストール後再起動が必要
      パッケージの適用後に再起動を行う場合に設定します。
    • 単独適用が必要
      単独での適用が必要な場合に設定します。チェックを入れると適用前に自動で再起動を行います。
  5. 「対応OSと言語」タブの項目を入力します。

    [図データ]

    • OS
      Windows Server 2003 Enterprise ,Windows Server 2003 Standardを選択します。
    • 言語
      Japaneseを選択し「追加」ボタンをクリックし,リストに追加します。
    • ベースとなるサービスパック
      設定する必要はありません。
    • 吸収されるサービスパック
      設定する必要はありません。
  6. 必要な項目を入力したら「OK」ボタンをクリックします。
    パッケージ情報ファイルの作成が始まりますのでしばらくお待ちください。

以上でWindows Server 2003 SP1のパッケージ登録は完了です。

(b) Windows Server 2003 SP1の適用

登録したサービスパックのパッケージを適用するには,シナリオを作成して管理対象のコンピュータにパッケージを配信します。

  1. DPMを起動します。
  2. メインウィンドウ画面の「シナリオ」メニューから「シナリオファイルの作成」を選択し,シナリオファイル作成画面を表示します。
    メインウィンドウ画面の[図データ]アイコンをクリックしても,同様の操作ができます。
  3. 「アップデート」タブをクリックし,プルダウンメニューから「(a) WindowsServer 2003 SP1の登録」で登録したパッケージを選択し,シナリオを作成します。

    [図データ]

     
    • 最大ターゲット数
      リモートアップデートによる実行だけ設定が有効となります。
      同じシナリオを割り当てられたコンピュータに対して,ここで指定した数だけ準備が整うとリモートアップデートが開始されます。
    【重要!】
    ・最大ターゲット数を越えてシナリオを実行した場合,最大ターゲット数を越えてシナリオ実行したコンピュータはシナリオ実行エラーとなります。コンピュータアイコンを右クリックして「シナリオ実行エラー解除」を選択し,シナリオ実行エラーを解除してください。その後,シナリオの最大ターゲット数を適切な値に調整してシナリオ実行を行ってください。
    ・「詳細設定」のネットワークタブの同時実行可能台数を超える場合は,同時実行可能台数の値を変更してください。
    ・「ユニキャストでデータを送信する」を選択した場合,最大ターゲット数は無視されます。
    • 最大待ち時間
      リモートアップデートによる実行だけ設定が有効となります。
      ここで指定した待ち時間を過ぎると,実行可能な状態となっているコンピュータだけリモートアップデートが開始されます。
    【重要!】
    ・アップデートの実行は,シナリオの実行を指示後,実行準備の完了したコンピュータが最大ターゲット数と同じ台数になるか,最大待ち時間が経過するまで待機します。待機中のコンピュータに対してただちにアップデートを実行する機能はありません。
    ・最大ターゲット数,最大待ち時間の両方とも指定しない場合は,シナリオ実行後,他のコンピュータを待たずに即実行します。
    【注意!】
    「ユニキャストでデータを送信する」をチェックしている場合は最大待ち時間は無視されます。
    • アップデート実行タイミングの指定
      リモートアップデートによる実行だけ設定が有効となります。
      「配信後すぐにアップデートを実行」を選択した場合は,シナリオ実行してデータの配信後すぐにアップデートが開始されます。
      「次回起動時にアップデートを実行」を選択した場合は,シナリオ実行してデータの配信だけ行って,次回コンピュータを起動したときにアップデートが開始されます。
    【重要!】
    「次回起動時にアップデートを実行」を選択した場合は下記に注意してください。
    ・「オプション」タブの「実行後に電源を切断する」にチェックを入れた場合,アップデート完了後にコンピュータの電源がOFFされるのではなく,データの配信後にコンピュータの電源がOFFされます。
    ・コンピュータが次回起動時のアップデート中に,アップデートのシナリオ実行を行った場合はシナリオ実行エラーとなります。シナリオ実行する場合は,アップデートの完了後に再度行ってください。
    【ヒント】
    再起動前の管理対象コンピュータには,以下を指定したシナリオを合計100個実行することができます。101個以上のシナリオを実行する場合は,管理対象コンピュータを再起動してください。再起動することにより新たに100個のシナリオを実行することができます。
    ・「アップデート」タブの「次回起動時にアップデートを実行」
    • アップデート実行後に再起動を行う
      リモートアップデートによる実行だけ設定が有効となります。
      リモートアップデートの実行完了後にコンピュータの再起動を行う場合に選択します。
    • ユニキャストでデータを送信する
      リモートアップデートによる実行だけ設定が有効となります。
      ユニキャストでデータを送信する場合に選択します。
    【ヒント】
    ・「ユニキャストでデータを送信する」にチェックを入れない場合はマルチキャストを使用してデータを送信します。
    以下のシナリオを複数実行するときは,マルチキャストIPアドレスを変更してください。
    -サービスパック/HotFixをリモートアップデートにより適用するシナリオ
    -アプリケーションをリモートアップデートにより適用するシナリオ
    -リストアのシナリオ
    マルチキャストIPアドレスの設定はオプションタブの詳細設定で変更できます。
    ・「ユニキャストでデータを送信する」のチェックは,ルータを越えた別セグメントのネットワークにアップデートを行う際など,マルチキャストのデータが送信できない場合に入れてください。
  4. シナリオ実行時のシナリオ実行条件を設定する場合は,「オプション」タブをクリックしてください。シナリオ実行後にコンピュータの電源をOFFにしたい場合は,「実行後に電源を切断する」にチェックを入れてください。
    【ヒント】
    リモートアップデートのシナリオを実行する場合は,「実行前に再起動の強制実行を行う」にチェックを入れないでください。チェックをいれてシナリオ実行を行った場合でも,コンピュータの再起動は行われません。
  5. シナリオ名を付けて「OK」ボタンをクリックします。これで,シナリオビューに新しくWindows Server 2003 SP1適用のシナリオが追加されます。
    【ヒント】
    シナリオ名は58バイト以内の全角/半角英数字で入力できます。ただし,「.」ピリオド,「,」カンマ,「¥」,「/」,「:」,「;」,「*」,「?」,「"」,「<」,「>」,「|」は使用できません。
  6. 作成したシナリオを対象の装置に割り当て,シナリオを実行します。
    以下のどれかの方法でシナリオファイルをコンピュータに割り当てます。
    • イメージビュー,またはツリービューからコンピュータアイコンをクリックし,「コンピュータ」メニューから「シナリオ割当て」を選択します。
    • コンピュータアイコンを右クリックし,「シナリオ」→「シナリオ割当て」を選択します。
    • メインウィンドウ画面のイメージビューでコンピュータアイコンを選択し,[図データ]アイコンをクリックします。
    • シナリオビューでシナリオファイルを選択し,ツリービュー,またはイメージビューのコンピュータアイコンにドラッグ&ドロップをして割り当てます。
  7. シナリオ割当て画面が表示されたら,「シナリオ名」のプルダウンからシナリオファイルを選択し,「OK」をクリックします。これで,コンピュータにシナリオを割り当てました。
  8. シナリオを割り当てたコンピュータをクリックし,「コンピュータ」メニューから「シナリオ実行」を選択します。シナリオファイル作成時に「最大ターゲット数」や「最大待ち時間」で設定したタイミングでシナリオが開始されます。
    同じ操作は,コンピュータアイコンを右クリックし,「シナリオ」→「シナリオ実行」を選択しても行えます。コンピュータをクリックして,メインウィンドウ画面の[図データ]アイコンをクリックしても,同様の操作ができます。
  9. イメージビューの「ステータス」欄に“シナリオ実行中”と表示され,サービスパックの適用が開始されます。
  10. メインウィンドウ画面の「表示」メニュー→「シナリオ実行状況」→「シナリオ実行一覧」を選択し,「シナリオ実行一覧」画面を表示します。
  11. 「シナリオ実行一覧」画面の「ステータス」に“正常終了”と表示されたら,シナリオは完了です。

以上でシナリオによる管理対象コンピュータへのWindows Server 2003 SP1の適用は完了です。

(10) Windows Server 2003 SP1 を適用したコンピュータをDPMで管理する

Windows Server 2003 SP1を適用したコンピュータをDPMで管理する場合は,以下の手順で通信設定を行ってください。

【重要!】
コンピュータでファイアウォールサービスを自動起動に設定している場合,ファイアウォール機能の有効/無効に関わらず,コンピュータ起動からファイアウォールサービスが起動するまでの間はすべてのポートが閉じられています。このためこのタイミングでシナリオ実行,電源状態取得,シャットダウンなどのDPMからの命令を発行すると失敗します。
  1. 管理対象コンピュータで使用するポートを手動で開放します。
    「スタート」メニュー(または「スタート」メニュー→「設定」)→「コントロールパネル」→「セキュリティセンター」→「Windowsファイアウォール」をクリックします。
    以下の画面が表示されますので「例外」タブをクリックします。

    [図データ]

  2. 「例外」タブの「ポートの追加」をクリックします。

    [図データ]

  3. 「ポートの追加」画面が表示されますので「名前」項目,「ポート番号」に下表の各名前,ポート番号を入力し,プロトコルの「TCP/UDP」を選択して「OK」をクリックします。
    「ポート番号」はDPMのバージョンによって異なります。それぞれについて,同様の要領で追加してください。
    (例)「TCP56010」ポートを追加する場合
    [図データ]
     
    名前ポート番号プロトコル
    DeploymentManager(TCP56000)56000TCP
    DeploymentManager(UDP56001)56001UDP
    DeploymentManager(TCP56010)56010TCP
    DeploymentManager(UDP56025)56025UDP
    UDP137※137UDP
    ※ NetBIOSによる名前解決を行う場合だけ
    【注意!】
    DNSサーバやhostsファイルを利用していない場合は,個別に開けるポートに「UDP137」も追加してください。
    DPMでは,コンピュータの生存確認やシナリオ実行を行うときに登録されているコンピュータ名を使用しています。内部的には,そのコンピュータ名から名前解決を行い,取得したIPアドレスを使ってTCP/IP通信を行っています。
    そのため,コンピュータ名から名前解決ができるネットワーク環境が必要になります。
    「UDP137」を開放するには,Windowsファイアウォール画面の「例外」タブで「ファイルとプリンタの共有」を編集し,「UDP137」にチェックを入れます。
  4. 次に「詳細設定」タブをクリックし,「ICMP」項目内の「設定」をクリックします。

    [図データ]

  5. 「ICMP設定」画面が表示されるので「エコー要求の着信を許可する」にチェックを入れて「OK」をクリックします。

    [図データ]

以上で,Windows Server 2003 SP1を適用したコンピュータをDPMで管理するための設定は完了です。