Jaa


System Center Configuration Manager 2007 でサーバー ロケータ ポイントが動作しなくなる問題について

皆さま、こんにちは。System Center Configuration Manager サポート チームです。

System Center Configuration Manager 2007 のサーバー ロケータ ポイントの役割を構成したサーバーに、2017 年 5 月のセキュリティ更新プログラムを適用した後、サーバー ロケータ ポイントが動作せず、ワークグループ環境などサーバー ロケータ ポイントを必要とするクライアントにおいて、パッケージの配布や更新プログラムの配布ができなくなるという問題が報告されております。本記事では問題の概要と影響、対処方法についてご案内いたします。なお、System Center Configuration Manager 2007 は延長サポート フェーズに入っておりますので、本問題に対する修正プログラムのリリース予定は現時点でございません。恐れ入りますが、何卒ご理解賜りますようお願い申し上げます。本問題に関する技術情報は次の通りです。

 

Configuration Manager 2007 client operations fail after you install a May 2017 security update for Windows Server 2008 or 2008 R2

対象製品

System Center Configuration Manager 2007

 

概要

System Center Configuration Manager 2007 のサーバー ロケータ ポイントの役割を構成したサーバーに、次の更新プログラムを適用するとサーバー ロケータ ポイントが動作しなくなります。

 

- Windows Server 2008
KB4018556 : Windows Server 2008 の Windows COM の特権の昇格の脆弱性を解決するためのセキュリティ更新プログラム: 2017 年 5 月 9 日

- Windows Server 2008 R2
KB4019263 : 2017 年 5 月 10 日 - KB4019263 (セキュリティのみの更新プログラム)
KB4019264 : 2017 年 5 月 10 日 - KB4019264 (マンスリー ロールアップ)

※ 上述の更新プログラムを置き換える更新プログラムを適用した場合も同様に発生します。

 

本問題が発生している場合、サーバー ロケータ ポイントの役割を構成したサーバー上で次の URL にアクセスすると「Could Not Initialize」エラーが表示されます。

https://localhost/sms_slp/slp.dll?site&sc=S01

 

原因

更新プログラムの適用後、LOCAL SERVICE アカウントで動作しているサーバー ロケータ ポイントのワーカープロセスが SMSSLPExec.exe にアクセスできなくなることが原因です。SMSSLPExec.exe は、LOCAL SERVICE アカウントのアクセス許可が付与されておりません。

 

影響

AD スキーマ拡張を実施していない場合や、ワークグループ環境のクライアントなど、管理ポイントを検出するためにサーバー ロケータ ポイントが必須となっている環境において、System Center Configuration Manager 2007 クライアントが管理ポイント サーバーと通信することができず、対象クライアントにおいて「ソフトウェアの配布」や「ソフトウェアの更新」など、管理ポイントを必要とする多くの機能が利用できなくなります。なお、サーバー ロケータ ポイントを利用していない環境や、AD スキーマ拡張を実施しており AD から情報が取得できるクライアントには、本問題の影響はありません。

(参考情報)
Configuration Manager クライアントにサーバー ロケータ ポイントが必要かどうかを判断する

 

対処方法

SMS_SLP\SLPExec.exe のプロパティを開き、[セキュリティ] タブより、LOCAL SERVICE に対して、[読み取り] と [読み取りと実行] のアクセス許可を付与します。

アクセス許可を付与した後、上述の URL にアクセスした時に、XML 情報が表示されれば問題は解消しています。