Windows 10 の WSUS クライアントが Windows Update から更新プログラムを取得するようになってしまう事象について


2017/5/8 更新: WSUS クライアントが Windows Update から更新プログラムを取得する動作 (デュアル スキャン) をさせることなく、機能の更新の延期を可能にするポリシーを追加する品質更新プログラムを Windows 10 1607 向けに今夏リリース予定です。Windows 10 1703 向けには、Windows 10 1703 CBB がリリースされる前に同様の品質更新プログラムをリリース予定です。詳細は、弊社米国 WSUS 開発チームが公開している以下ブログ記事をご参照ください。

Demystifying “Dual Scan”

こんにちは。WSUS サポート チームの柴谷です。

 

本日は、Windows 10 1607 (Anniversary Update) バージョンにおける Windows Update for Business WSUS の関係についてご紹介します。

 

最近のお問い合わせで、上記タイトルの通り Windows 10 WSUS クライアントが Windows Update から更新プログラムを取得するようになってしまうという事象が複数報告されております。

また、そのような動作を行った結果、プロキシー サーバー等でインターネットへの接続を制限している環境においては、Update の適用に失敗するという事象として報告いただくこともあります。

このような動作は、Windows 10 1607 バージョンで変更された Windows Update for Business の影響で発生している可能性があります。

 

Windows Update for Business では、サービス オプションの選択や各更新プログラムの適用時期をコントロールするなどの機能が提供されており、1607 バージョンではこの機能と WSUS からの展開を組み合わせて利用できるようになりました。

詳細は以下の技術情報をご参照いただきたいと思いますが、大きなポイントとしては、Windows Update for Business のポリシーを構成した場合、その構成によって Windows Update および WSUS の両方から更新プログラムを受け取るようになることです。

 

Windows Update for Business の管理ソリューションとの統合

 

以下は上記技術情報で紹介されている一例を抜き出したものですが、Windows の更新をインターネット上の Windows Update から取得し、それ以外の更新を WSUS から取得している点に注目してください。

jpg1

このように、更新プログラムを WSUS および Windows Update の双方から取得するような構成はこれまではありませんでした。

Windows Update for Business のポリシーにて更新プログラムの延期設定を構成することで、WSUS 側での承認管理を行うことなく、クライアント側で更新プログラムの延期をコントロールすることができます。

 

 

しかし一方で、WSUS クライアントであるにも関わらず、自動更新で Windows Update から更新プログラムを取得する、という側面もあるため、WSUS 管理者の目線からすると注意が必要です。

具体的には、以下の Windows Update for Business 関連のポリシーを一つでも Windows 10 1607 バージョンで構成をした場合、この Windows 10 は更新プログラムを Windows Update から取得するようになります。

もちろん、WSUS クライアントであることを指定する、[イントラネットの Microsoft 更新サービスの場所を指定する] の設定を行っている環境においてのお話です。WSUS クライアントであることを示す本ポリシーを設定していても、Windows Update for Business のポリシーの動作が優先されるとお考えいただくと分かりやすいと思います。

 

GPO: HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate

jpg2

 

WSUS クライアントに対しては WSUS からのみ更新プログラムを展開したいため、Windows Update から取得されては困る」、という場合の対応としては、上記ポリシーを設定しないことです。これは、各ポリシーをレジストリで直接指定した場合も同様です。

 

なお、上記ポリシーの中に BranchReadinessLevel という、CB CBB かを選択するポリシーがあります。この CB/CBB の選択は、Windows 10 [設定] – [更新とセキュリティ] – [Windows Update] – [詳細オプション] 内の [機能の更新を延期する] の設定と連動しています。デフォルトではこのチェックはオフになっており、CB として動作していますが、本オプションのチェックを入れて CBB に設定した場合も、「Windows Update for Business のポリシーが設定されている」とみなされ、Windows Update から Windows の更新プログラムを取得するようになります。結果的に、現状では CBB 環境に対しては WSUS から Windows の更新プログラムを展開することはできません。WSUS クライアントに対しては本チェックは行わないようにしておく必要があります。

また、ユーザーが [機能の更新を延期する] のチェックを入れられないように、BranchReadinessLevel 16 (CB) に固定するように設定をした場合も、同様に「Windows Update for Business のポリシーが設定されている」とみなされ、Windows Update から Windows の更新プログラムを取得するようになります。

 

以上の通り、WSUS 環境においてクライアントが Windows Update から更新プログラムを取得しないように構成したい場合には注意が必要となります。

もし、意図せず Windows Update から更新が配布されているような状況でお困りの場合には、Windows Update for Business のポリシーが適用されていないか確認してみてください。

 

なお、この部分の動作については私たちサポート部門としても以前のバージョンとの動作の差異、影響が非常に大きいと感じており、何らかの対応ができないか、開発部門への確認を行っております。進展が得られ次第本ブログを更新する予定です。

 

※ 補足 : 本事象に対して有効な処方法 ※

上述のレジストリに対応する、対象のグループ ポリシーを “未構成” としていただければ、本事象は発生を防ぐことが可能です。しかし、それでもユーザーが [設定] [更新とセキュリティ] [Windows Update] [詳細オプション] 内の [機能の更新を延期する] に手動でチェックを入れた場合には、本事象は発生してしまいます。

 

上記のユーザー操作が実行された場合の影響を考慮した際には、加えてグループ ポリシー  [インターネット上の Windows Update に接続しない] を設定することが有効な対処となります。本グループ ポリシーを設定していただけますと、Windows Update サイトへの接続時にエラーが発生するため、Windows Update サイトへの接続を完全に防止することが可能です。

 

以上を纏めますと、下記の 2 つの対処を両方実施することで、WSUS  クライアントが Windows Update へ接続してしまう動作を防ぐことが出来ます。

 

1. 上述のレジストリに対応する、下記の 3 つグループ ポリシーを “未構成” に設定する。

・[コンピューターの構成] – [管理用テンプレート] – [Windows コンポーネント] – [Windows Update] – [Windows Update の延期]
– [機能更新プログラムをいつ受信するかを選択してください]
– [品質更新プログラムをいつ受信するかを選択してください]
・[コンピューターの構成] – [管理用テンプレート] – [Windows コンポーネント] – [Windows Update]
–  [Windows Update からドライバーを除外する]

 

2. 下記のグループ ポリシーを “有効” に設定し、Windows Update サイトへの接続が行えない状態とする。

・[コンピューターの構成] – [管理用テンプレート] – [Windows コンポーネント] – [Windows Update]
– [インターネット上の Windows Update に接続しない]

または

・[コンピューターの構成] – [管理用テンプレート] – [システム] – [インターネット通信の管理] – [インターネット通信の設定]
– [Windows Update のすべての機能へのアクセスをオフにする]

 [インターネット上の Windows Update に接続しない] を有効にした場合は、ストアアプリのインストールや更新ができません。ストアアプリのインストールや更新を許可したい場合は、[Windows Update のすべての機能へのアクセスをオフにする] を有効にしてください。

Skip to main content