KB2720211 適用後に WSUS サーバーが起動しなくなった


こんにちは。マイクロソフトの伊藤です。

先日のブログ記事にて WSUS 3.0 SP2 サーバー環境へ適用する更新プログラムについて、ご紹介をしました。

WSUS のセキュリティ強化に関する修正プログラムについて
http://blogs.technet.com/b/jpwsus/archive/2012/06/12/wsus-update-kb2720211.aspx

その後、この更新プログラム KB2720211 を適用後に WSUS サーバーが起動しなくなった、という事例が数件ではありますが報告されています。
まだはっきりとわかっていない点もいくつかあるのですが、現時点で把握できている情報をまとめましたので、同様の症状でお困りの方はご一読下さい。

■ 問題の詳細について
WSUS 3.0 SP2 が既定で利用するデータベース Windows Internal Database (WID) が、下記のエラーで利用不可となることが、直接の原因です。

2012-06-14 11:39:40.93 spid53      Access to module dbo.spSetupLogin is blocked because the signature is not valid.

このエラーは WID のエラーログに記録されます。
WID のエラーログは既定の設定で、下記のファイル (ERRORLOG という名前の拡張子を持たないファイルです) へ出力されます。

C:\Windows\SYSMSI\SSEE\MSSQL.2005\MSSQL\LOG\ERRORLOG

もしこのパスにログファイルが見つからない場合には、ファイル名 “ERRORLOG” で検索して下さい。

エラーの内容としては “the signature is not valid” と書かれており、署名に関連するエラーです。
これまでに何件かの WSUS サーバーについて詳細を確認し、下記ファイルの更新日付で現象発生の有無が分かれることがわかりました。

C:\Windows\SYSMSI\SSEE\MSSQL.2005\MSSQL\SchemaSig フォルダ内の下記ファイルの更新日付が 2008 年ではなく 2010 年の環境で、問題が発生しています。

systemdbsig.cer
systemdbsig.dll
systemdbsig.sql

なぜファイルの更新日付が 2010 年のファイルへ更新されるのか、その契機についてはまだ確認が取れていません。

■ 対処方法について
WID が利用するシグネチャの日付に不整合があるため、WSUS を再インストールすることで、環境を正常な状態に戻します。
下記手順で WSUS の再インストールを行うことで、同期済みの更新やインストール承認の状態、ダウンロード済みコンテンツは失われません。
念のため作業の実施前には、システム全体のバックアップを取得して下さい。

1. サービス “Windows Internal Database (MICROSOFT##SSEE)” を停止します。

2. WSUS のデータベース SUSDB を構成するファイルを、別のパスへコピーしてバックアップします。
C:\WSUS\UpdateServicesDbFiles\SUSDB.mdf
C:\WSUS\UpdateServicesDbFiles\SUSDB_log.ldf

3. サービス “Windows Internal Database (MICROSOFT##SSEE)” を開始します。

4. WSUS 管理画面を開き、[オプション] 内の設定項目を一通りメモします。

5. WSUS をアンインストールします。
この時 [Windows Server Update Services 3.0 SP2 データベース] は削除し、[ダウンロードされた更新ファイル] は削除しません。

6. WSUS を再インストールします。
データベースは WID を選択し、既存のデータベースを使用せず新規にデータベースを構築します。

7. WSUS 再インストール後、ステップ 4 でメモした設定と同じオプションに設定変更します。

8. KB2720211 をインストールします。

9. サービス “Windows Internal Database (MICROSOFT##SSEE)” を停止します。

10. ステップ 2 でバックアップしたファイルで、再インストールした WSUS のデータベース ファイルを上書きします。

11. サービス “Windows Internal Database (MICROSOFT##SSEE)” を開始します。

12. 以上で再構築は完了です。WSUS サーバーの動作に問題が無いことを、ご確認ください。

(参考情報)
英語のサイトですが、本現象に関する情報がまとまっているサイトがいくつかありますので、ご紹介します。

WSUS 3.0 SP2 will not run after installing update 2720211
http://social.technet.microsoft.com/Forums/en-US/winserverwsus/thread/e918a191-ef6d-4c4b-b83a-7a4ae20a5217

KB 2720211 Kills WSUS
http://byronwright.blogspot.nl/2012/06/kb-2720211-kills-wsus.html

KB2720211 issues?
http://msmvps.com/blogs/bradley/archive/2012/06/12/kb2720211-issues.aspx

 

2012/7/2 追記

KB2720211 適用後に WSUS サーバーが起動しなくなった – 続報
http://blogs.technet.com/b/jpwsus/archive/2012/07/02/wsus-kb2720211-issue-update.aspx

2012/9/5 追記

KB2720211 の適用に関する問題を修正した、新しい更新プログラムがリリースされました。
KB2720211 を未適用の WSUS 管理者さまは、こちらの適用をご検討ください。
 
WSUS 3.0 SP2 の Windows 8 / Windows Server 2012 対応について (KB2734608)
http://blogs.technet.com/b/jpwsus/archive/2012/09/05/kb2734608.aspx

Comments (6)

  1. 匿名 より:

    こちらではKB2720211のインストール自体が失敗したようです。

    イベントログにはKB2720211のインストールに失敗しましたと記載されていました。

    また、WIDのエラーログも見ましたが、シグネチャに関するエラーメッセージはなく、以下のメッセージがありました。

    Error: 2803, Severity: 10, State: 1. (Params:). The error is printed in terse mode because there was error during formatting. Tracing, ETW, notifications etc are skipped.

    この場合でもWSUSの再インストールを行えば良いのでしょうか?

  2. HomeCloset より:

    WSUS 3.0 SP2 を入れたあと、Windows Update で KB2463332 をインストールしただけで、 systemdbsig.* のタイムスタンプは 2010-12-10 になってしまうのですが。

  3. jpwsus より:

    n-yama さん、KB2720211 のインストール処理に問題があり、その問題を修正した KB2734608 がリリースされました。KB2734608 の適用をお試しください。

  4. HomeCloset より:

    2010 年の systemdbsig.* で即発生だともっと大惨事になっていると思うので、何か別の要因なのでしょうけれど、

    いずれにせよ現状では怖くて KB2720211 を入れられないので(^^;)、確実に安全にインストールできるようになるのを望んでおります。

  5. jpwsus より:

    貴重な情報をありがとうございます!SQL Server 2005 SP4 の適用であれば、タイムスタンプが更新されるのも納得ですね。。

    この情報から現象の発生条件が絞り込めるようであれば、ブログに反映をさせていただきます。

  6. Robert より:

    KB2734608 は KB2720211 の修正を含んでいるとのことですが、修正プログラム自体を置き換えているわけではないように思います
    また、2015年8月6日現在、KB2720211はWindowsUpdateから重要な更新として配信されています
    それに対して、KB2734608 は WindowsUpdateでは配信されていません(個別にダウンロードする必要がある)
    現実問題として、KB2720211を「わざと」適用せずに、KB2734608を適用するという手順は無理があると思います
    KB2720211に本当に問題があるというのであれば、WindowsUpdateによるKB2720211の配信を停止して、KB2734608 を配信するようにするべきだと思うのですが、、、

    なおこちらの環境では KB2720211 を WindowsUpdateで適用後、KB2734608 を個別適用しましたが、どちらも問題なくインストールされました

Skip to main content