SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

ISA 2006 経由で Windows Update を実行

leave a comment

ISA 2006 には Windows Update 用のルールがデフォルトで作成されていますが、現在の Windows Update で
必要となるドメイン名セットがいくつか入っていません。
# 投稿を書く前に設定をしてしまったので、具体的にどのドメイン名が抜けていたのかが記載できません…。

必要となるドメイン名は以下の KB に記載されています。

ISA Server を実行するサーバーを経由して Windows Update Version 6 の Web サイトにアクセスするときにエラーが発生する

Windows Update の設定ですが、既定のポリシーでは設定されている個所が 2 個所ありそうです。

  1. システム ポリシーの許可サイト
  2. Microsoft Update ドメイン名

[システム ポリシーの許可サイト] は ISA サーバー自身のアクセスが許可されるドメイン名が定義されています。
# Enterprise Edition の場合はエンタープライズのポリシーとして設定されています。
ISA サーバーが Windows Update に接続できない場合はこのポリシーにドメイン名を設定します。

[Microsoft Update ドメイン名] はアレイにデフォルトで作成されている Windows Update ドメイン名です。
Web プロキシを使用する場合は、許可する宛先としてこのドメイン名セットを指定してルールを作成します。

Windows Update ができない場合は、上記ポリシーの内容を変更して、許可するドメインを増やしていきます。

手動で Windows Update をした場合、 [go.microsoft.com] 経由でアクセスされることがありますので、
KB の記載以外に [go.microsoft.com] または、[*.microsoft.com] の定義も追加が必要かもしれません。
# Windows Update → Microsoft Update への切り替えで必要だったみたいです。

ドメイン名セットだけでアクセスできない場合は、[65.55.0.0 / 16] のセグメントや [202.232.140.15] への
アクセスが拒否されて実行できていないこともあるようです。
アクセス拒否のログを確認していたところ、上記 IP アドレスへのアクセスが拒否となって Windows Update が
できなかったことがありました。

65.55 のセグメントは Microsoft が使用しているもののようですね。202.~ は akamai のようです。
65.55 はサブネットでは開けたくないのですが、Windows Update 用にいくつか IP があるみたいなんですよね。

サーバーで Windows Update を実行するのであれば、この辺の設定を構築段階で確認しておいた方が良さそうです。

TMG でも IP を設定しておかないと手動で Windows Update できませんでした。
私の環境特有の問題なのでしょうか??DNS の逆引きがうまくいっていないのかな…。

ちなみに TMG になると KB のドメイン名はデフォルトで設定されていました。
# [forefrontdl.microsoft.com] が増えているようですね。

ドメイン名セットを確認したくて TMG をインストールしてみたのですがインストーラーに
適切な役割を追加する機能が付いていてかなり簡単にインストールできました。
TMG は x64 専用なんですね。はじめて知りました。

Written by masayuki.ozawa

10月 25th, 2009 at 2:42 pm

Posted in ISA

Leave a Reply

*