更新プログラムに用いられるコード証明書の SHA-2 への移行について

みなさま、こんにちは。WSUS サポート チームです。   こちらの公開情報でも紹介している通り、Microsoft ではセキュリティ保護のために SHA-1 から SHA-2 への移行を段階的に進めており、この一環として Windows Update や WSUS 等から配信される更新プログラムに付与されているコード証明書についても SHA-2 へ移行を行うことを予定しております。   具体的なタイムラインについては、以下の公開情報で最新の情報を随時紹介しております。特に WSUS 3.0 SP2 や Windows 7 SP1、Windows Server 2008 SP2、Windows Server 2008 R2 SP1 を利用しているお客様は、これからリリースされる SHA-2 の証明書のみが付与された更新プログラムを適用・配信するために、期限までに更新プログラムの適用が必要になります。   適用すべき更新プログラムや今後の移行スケジュールの情報は、次の公開情報に記載しております。ご一読いただき、期限までに更新プログラムを適用くださいますようお願いいたします。 Windows および WSUS の 2019 sha-2 コード署名のサポートの要件 https://support.microsoft.com/ja-jp/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus  


WSUS の同期先の URL の追加について

2019/03/04 更新:公開情報を更新いたしました。 みなさま、こんにちは。WSUS サポート チームです。   WSUS の同期時に接続する URL については以下の公開情報の「2.1.1. Connection from the WSUS server to the Internet」の箇所にて紹介をしておりますが、今回接続先の URL の追加を行いましたため紹介をいたします。   – Step 2: Configure WSUS https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/deploy/2-configure-wsus#BKM_ConfigurenetworkConnections   具体的には、WSUS サーバーが弊社サイトから更新プログラムをダウンロードする際に以下の URL を追加で利用するように変更を行いました。ご不便をおかけしますが、プロキシやファイア ウォールにて接続先の URL を制御している場合には、以下の URL に対する通信についても許可していただけますようお願い申し上げます。   [ 追加 URL ] http://dl.delivery.mp.microsoft.com https://dl.delivery.mp.microsoft.com ※1 上述の公開情報についても更新を行う予定です。 ※2 本ブログの執筆時点 (2019 年 2 月 14 日) で本…


[3 – 自動ダウンロードとインストールを通知] を選択していても、機能更新プログラムが自動インストールされてしまう問題

2019/2/12 更新 ~~~~~~~~~ 本問題の修正状況について開発部門より進展があり、バージョン 1809 以外の環境に対しては、2019 年 3 月の第 3 週 (3/18 週) に本問題に対する修正を含む更新プログラムをリリースする予定であることが確認出来ております。予定に変更やアップデートがございましたら、随時本ブログを更新してまいります。 ~~~~~~~~~   みなさま、こんにちは。WSUS サポート チームです。 今回は Windows 10 バージョン 1703 以降の環境で、機能更新プログラムの配信時に以下のグループ ポリシーを設定しても、自動的にインストールまで進んでしまう問題について紹介します。問題の修正については、さらに開発部門から進展が得られた場合には、本ブログを更新する予定です。ご不便をおかけしますが、何卒ご了承賜りますようお願い申し上げます。 [コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update] -> [自動更新を構成する] を ”有効”、オプションにて [3 – 自動ダウンロードとインストールを通知] に指定   – 事象の概要 上記の設定を実施している場合でも、機能更新プログラムの配信時に Windows 10 バージョン 1703 以降の環境では、インストールまでが自動実行されてしまう問題が発生してしまいます。なお、この問題は月々リリースされている品質更新プログラムや、機能更新プログラム以外のその他の更新プログラムでは発生いたしません。 なお、本問題が発生した場合でも、再起動の時間はアクティブ時間によって制御されます。   -…


配信の最適化について #3 効果測定篇

みなさま、こんにちは。WSUS サポート チームです。 今回は「概要篇」、「グループポリシー篇」に引き続き第 3 回は「効果測定篇」として、実際に配信の最適化でどの程度ピアからファイルを取得出来ているか、確認を行う手順について紹介をしていきます。 Windows 10 もバージョン アップが重ねられ、配信の最適化の機能も効果を確認することが出来る、以下の「アクティビティ モニター」の機能がバージョン 1709 から追加されています。 [スタート]  ボタン > [設定]  > [更新とセキュリティ]  > [詳細オプション] > [配信の最適化] > [アクティビティ モニター] 上記のアクティビティ モニターを利用することで、配信の最適化の効果もかなり簡単に確認が出来るようになったため、その手順について今回の記事では紹介していきます。   検証環境の構成および設定 今回の検証では、以下のシンプルな構成でバージョン 1803 のクライアントを 2 台用意し検証を行います。 実際の検証を行う場合には、本番環境に可能な限り近い構成で検証していただくことをオススメします。特にクライアントの台数は多いほど効果が得られ易いので、可能であれば多くのクライアント (例えば 10 台以上) を用意して検証をしてください。 また、今回は配信の最適化の機能について、効果を得られやすくするために、以下グループ ポリシーの設定を行います。これらのグループ ポリシーはいずれも「グループポリシー篇」で紹介しておりますので、詳細についてはそちらの記事をご参照ください。 ダウンロード モード : “グループ (2)” グループ ID : 共通したグループ ID 最小ピア キャッシュ…


配信の最適化について #2 グループポリシー篇

みなさま、こんにちは。WSUS サポート チームです。 ちょっと期間が空いてしまいましたが、今回は第 1 回は「概要篇」に引き続き、配信の最適化のグループ ポリシーについて紹介をいたします。グループ ポリシーの一覧や各設定を行った場合の詳細については、以下の公開情報にて紹介していますので、今回はポイントを絞ってよくご利用いただくグループ ポリシーについて案内していきます。 Windows 10 更新プログラムの配信の最適化の構成 https://docs.microsoft.com/ja-jp/windows/deployment/update/waas-delivery-optimization   ダウンロード モードの設定 配信の最適化の機能を利用する上で、一番重要なグループ ポリシーが以下のダウンロードの設定です。この設定で配信の最適化でピアとしてクライアントが選択される範囲を指定することが出来ます。 – [コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [配信の最適化] -> [ダウンロード モード] 配信の最適化を有効に活用して、クライアント同士で P2P の通信を行いたい場合には、以下の 3 つの内いずれかを選択します。これらについては図も含めて後ほど詳細を紹介します。 LAN (1 – 既定) : 同じパブリック IP アドレスを使用してインターネットに接続するクライアント同士 グループ (2) : 同じドメインや同じ Active Directory サイトのクライアント同士、または同じグループ ID のクライアント同士 インターネット (3) :…


Get-WindowsUpdateLog で WindowsUpdate.log の出力に失敗する場合

みなさま、こんにちは。WSUS サポート チームです。 今回は Windows 10 / Windows Server 2016 で Get-WindowsUpdateLog による WindowsUpdate.log の出力に失敗する場合に、確認していただきたい点について紹介をいたします。 Windows 10 / Windows Server 2016 ではリアルタイムに WindowsUpdate.log が出力されなくなっており、通常はこちらのブログで紹介している ReportingEvents.log を見ていただいておりますが、より詳しい情報の確認をする必要が出てくることが稀にあります。このような場合には Powershell にて Get-WindowsUpdateLog を実行し、デスクトップに出力される WindowsUpdate.log よりログを確認するのですが、本ログの出力に失敗することがあるため、本記事ではよくお問い合わせいただくパターンについて紹介をしていきます。   「SymSrv.dll が存在しないため検出できません」エラーが表示される Get-WindowsUpdateLog の実行後に、以下のようなエラー メッセージが出力されてしまうことがあります。   < エラー メッセージ > Copy-Item : パス ‘C:\Program Files\Windows Defender\SymSrv.dll’ が存在しないため検出できません。 発生場所 C:\Windows\system32\WindowsPowerShell\v1.0\Modules\WindowsUpdate\WindowsUpdateLog.psm1:56 文字:5 + Copy-Item…


稀に WsusService.exe が意図せず停止する事象について

みなさま、こんにちは。WSUS サポート チームです。   今回は WSUS 環境で稀に発生が報告されている、意図せず WsusService.exe が停止してしまう事象について紹介をします。この事象が発生した場合には、「%programfiles%\Update Services\LogFiles」フォルダ内に保存されている SoftwareDistribution.log もしくは SoftwareDistribution.log.old にサービスが停止したタイミングにて、以下の記録が行われます。   YYYY-MM-DD HH:MM:SS   UTC   Error  WsusService.3  ContentSyncAgent.ProcessSqlException  File RowId: de386af7-2fd1-44a6-86a8-ee4db3d571ec: ActualState: DownloadingFile; Event: FileDownloaded; SqlException.Number: 50000; SqlException.State: 1; Message: spFireStateMachineEventEx found invalid EventName: FileDownloaded, FROM State: FileReady, on StateMachineName: FileOnServerActualStateMachine spFireStateMachineEvent got failure from spFireStateMachineEventEx for StatemachineName: FileOnServerActualStateMachine, RowID: 6f65e2a6-ffe6-40fd-ba56-925b11ef100c,…


2018 年 9 月に発生していた WSUS – 弊社サイト間の一時的な同期障害について

皆さま、こんにちは。WSUS サポートチームです。 2018 年 9 月に WSUS と弊社 Microsoft Update サイト間において、一時的に同期が失敗する事象が発生しておりましたので、本記事にてご報告いたします。 本事象については、弊社 Microsoft Update サイトの更新に伴う問題があったことに起因しておりました。そのため、事象発生直後より、開発部門にて調査、対応を行い、根本要因を特定の上、9 月中に全ての問題について対策を実施いたしました。そのため、本問題は既に解消しており、現在は発生いたしません。 この度は弊社サイトの問題により、ご迷惑をおかけいたしましたことを、深くお詫び申し上げます。 なお、現時点で本問題は解消しているため、WSUS 側で対応を実施していただく必要はございません。 また、今回の問題を受けて、既に弊社内にて弊社サイトの変更時のプロセスの見直しを行っております。 今後とも継続的改善を実施し、サービスの安定と充実を目指して更なる品質の向上に努めて参りますので、何とぞご理解賜りたくお願い申し上げます。


Windows 10 の [更新プログラムのチェック] ボタンの無効化について

みなさま、こんにちは。WSUS サポート チームです。 今回は、Windows 10 の Windows Update 設定画面にある [更新プログラムのチェック] ボタンの無効化についてご紹介いたします。 Windows 10 において、手動で更新プログラムを取得したい場合、[設定] -> [更新とセキュリティ] -> [Windows Update] 画面を開き、[更新プログラムのチェック] ボタンをクリックすることで、即座に WSUS や Windows Update から更新プログラムを取得することができますが、社内の規定で「ユーザーが手動で更新プログラムの取得を行う操作を禁止したい」という運用をされたいというご要望もあるかと思います。 その場合は、次のグループ ポリシーを有効にすることで、[更新プログラムのチェック] ボタンをグレーアウトさせて、ボタンを無効化することができます。   [コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update] [Windows Update のすべての機能へのアクセスを削除する] : 有効   (対応するレジストリ値) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate SetDisableUXWUAccess (0 : 無効、1 : 有効)    …


WSUS 上に配信が必要な更新プログラムが同期されてこない!と思ったら

みなさま、こんにちは。WSUS サポート チームです。 今回は「配信したい更新プログラムが WSUS 上に同期されてこない!」という場合に、実施すべき対応や一般的に考えられる要因について紹介をしてまいります。   対応方法 まずは WSUS 上に本当に更新プログラムが存在しないか、念のため検索して確認を行います。 WSUS 管理コンソール上の以下の箇所より、同期されている更新プログラムの検索が可能ですので、KB 番号やタイトル等から対象の更新プログラムが同期されていないか確認を行います。 もし検索結果に対象の更新プログラムが存在しない場合には、個別に Microsoft Update カタログから対象の更新プログラムをインポートする方法がオススメです。インポートの手順については、以下のブログにて紹介しているので、こちらをご参考にしてください。 Microsoft Update カタログの活用法について – A. 特定の更新プログラムのみ WSUS へインポートしたい https://blogs.technet.microsoft.com/jpwsus/2012/03/19/microsoft-update/#a   考えられる要因 ではなぜこのような事が発生してしまうのでしょうか。よくあるパターンとして以下のような要因が考えられます。 「製品と分類」の設定にて、対象の更新プログラムの製品や分類が選択されていない 対象の更新プログラムが WSUS へ公開されていない 弊社サイトと WSUS の同期に失敗している   「製品と分類」の設定にて、対象の更新プログラムの製品や分類が選択されていない 対象の更新プログラムが、リリースされている製品や分類にチェックが入っていない場合には、WSUS 上に対象の更新プログラムは同期されてきません。対象の更新プログラムの製品や分類については、Microsoft Update カタログから確認が出来ます。 例えば、Microsoft Update カタログ上で検索して、以下のように表示される更新プログラムは、製品は「Windows 10 Anniversary Update and Later Servicing Drivers」、分類は「ドライバ」としてリリースされています。このため、以下の更新プログラムについてはオプションの「製品と分類」にて、この両方にチェックが入っていないと同期されてきません。 「製品と分類」の設定を変更し、今回必要な製品や分類にチェックを入れてしまう方法も対処の 1…