不要な更新プログラムは「拒否済み」に設定しよう!

みなさま、こんにちは。WSUS サポート チームです。 今回は WSUS で設定出来る、更新プログラムの「拒否済み」の設定について、詳細を紹介いたします。 「そんなこと知ってどうするんだ…」と思われるかも知れませんが、WSUS はその性質上、過去にリリースされた更新プログラムの情報が、どんどん蓄積されてしまうシステムです。そのため、運用を行う上で、不要な更新プログラムを継続的に「拒否済み」に設定していき、不要な処理を実行させないようメンテナンスしていくことが非常に重要となります。本記事では、その詳細について説明していきます。   「拒否済み」とは? 「拒否済み」は、いわば「論理的な削除状態」です。具体的な他の承認状態との違いは、以下の通りとなります。 承認状態 クライアントへの配信 レポート情報の収集 設定の単位 インストール承認 配信される 収集される コンピューター グループ単位 未承認 (既定) 配信されない 収集される コンピューター グループ単位 削除の承認 配信されない (アンインストールがされる) 収集される コンピューター グループ単位 拒否済み 配信されない 収集されない WSUS サーバー全体   「拒否済み」に設定すると、「未承認」状態と同じくクライアントへの配信は行われませんが、レポート情報の収集も行わなくなります。この点が他の承認状態との大きな違いです。逆に言うと更新プログラムを WSUS 上で「拒否済み」に設定しない限り、実はクライアントや WSUS サーバーでは、レポート情報を収集するための処理を実行し続けることになります。 ちなみに一度「拒否済み」に設定した更新プログラムでも、他の承認状態に任意のタイミングで変更し、再度配信等を実施することは可能ですので、その点はご安心ください。   「拒否済み」に設定すると何が嬉しいの? 更新プログラムを「拒否済み」に設定することの、具体的なメリット・デメリットは下記の通りとなります。 1 ~ 2 件の更新プログラムを「拒否済み」に設定したところで大きな効果が得られるわけではありませんが、WSUS は数千から数万件の更新プログラムを管理することが当たり前なので、塵も積もれば山となり、WSUS の負荷やディスク容量に大きな影響を与えてしまいます。 既に配信の必要がなく、レポート情報も収集する必要がない更新プログラムについては「拒否済み」に設定することにメリットしかありません。どんどん不要な更新プログラムは「拒否済み」に設定していきましょう。  …


Windows 7 / Windows Server 2008 R2 以前の環境において、Microsoft Update 実行時に 0x80248015 エラーが発生する

皆さま、こんにちは。WSUS サポートチームです。   Windows 7 / Windows Server 2008 R2 以前の環境において、2017 年 12 月 4 日 (月曜日) より Microsoft Update 実行時に 0x80248015 エラーが発生する、というお問い合わせを多く頂いております。   本事象につきましては、弊社 Microsoft Update サイトに問題があったことに起因しており、2017 年 12 月 5 日 (火曜日) 午後 1 時に Microsoft Update サイト側の修正が完了いたしました。   この度は弊社 Microsoft Update サイトの問題により、ご迷惑をおかけいたしましたことを、深くお詫び申し上げます。   現時点では本問題は解消しているため、ご利用の端末側で対応を実施していただく必要はございません。しかし、一部の環境においては、依然として下記のエラー等が発生し続けるとの報告がございますため、本事象の詳細と現時点でエラーが発生し続ける環境での対処方法についてご案内いたします。   (事象) 2017 年 12 月 5 日…


WSUS のクリーンアップ ウィザードについて

こんにちは。WSUS サポート チームです。   今回は WSUS のオプションより実行する、クリーンアップ ウィザードについて紹介いたします。クリーンアップ ウィザードは WSUS の運用を行う上で、メンテナンスの一環として必ず定期実行することをお勧めしているので、WSUS の運用を行われている方は、是非ご一読ください!   クリーンアップ ウィザードは、管理コンソールのオプションの下記の箇所から実行することができ、   実行しようとすると以下の 5 つの項目が選べます。     いずれの項目も、WSUS で保持されている更新プログラムのデータや、コンピューターの情報を整理・削除するための処理を実行するものとなりますが、実際に何が実行されるのか、なかなか分かりづらいですよね。   これを理解するためには、WSUS が保持する更新プログラムのデータの種類が、2 種類あることを事前に知っておく必要があります。具体的には下記の 2 種類です。   (a) WSUS データベース内のメタデータ データベース内に保持される更新プログラムの情報です。WSUS 管理コンソール上に表示される下記のような更新プログラムの情報は、このメタデータの情報を元に表示しています。     (b) コンテンツ ファイル (更新プログラムのインストーラー本体) WSUSContent フォルダ内に格納されている更新プログラムのインストーラー本体等のファイルです。これらのファイルは実際にクライアントにて更新プログラムがインストールされる際に利用されます。 WSUS 上では、WSUSContent フォルダ配下にコンテンツ ファイルが保存されています。    以上を踏まえて、各項目の処理の詳細について説明していきます。   ① 「不要な更新プログラムと更新プログラムのリビジョン」 「不要な更新プログラムと更新プログラムのリビジョン」はメタデータの削除を行う唯一の項目です。削除対象となる更新プログラムのメタデータが削除されます。 具体的には下記の 2…


2017 年 10 月にリリースされた Windows 10 1607 / 1703 向け更新プログラム適用後に OS 起動不可になる問題について (WSUS)

皆さま、こんにちは。WSUS サポート チームです。 2017 年 10 月にリリースされた Windows 10 1607 / 1703 向け更新プログラム KB4041691 および KB4041676  適用後に OS 起動不可になる問題について、次の通りご案内いたします。 この度は弊社更新プログラムの問題により、ご迷惑をおかけいたしましたことを、深くお詫び申し上げます。   対象製品 WSUS / System Center Configuration Manager Windows 10 1607 / 1703, Windows Server 2016   概要 WSUS または System Center Configuration Manager から配信された KB4041691 および KB4041676   の「累積更新プログラム」と「差分更新プログラム」が同時にインストールされたマシンにおいて、再起動後に OS が起動できない問題が発生する可能性があります。インターネットの Windows Update からのみ更新プログラムを取得しているマシンは本問題の影響を受けません。   原因 日本時間の 2017 年 10…


WSUS サーバーのダウンロード障害について – BITS と Range ヘッダー

(更新) 2017/9/12 補足情報を追記しました。 こんにちは。WSUS サポート チームです。 今回は WSUS サーバーが Microsoft Update サイトや上位の WSUS サーバーから更新プログラムのインストーラーをダウンロードする際に、よくあるトラブル事例と対処方法をご紹介します。 もし下記のような症状が出ている場合には、本ブログ記事が役立つと思います。 ・いくつかの更新プログラムについてのみ、ダウンロードが失敗する ・ダウンロードが異常に遅い (例えば、月例のセキュリティ更新プログラムをダウンロードするのに数日かかる、など) ・アプリケーション イベントログに下記のようなエラーが記録されている イベントの種類: エラー イベント ソース: Windows Server Update Services イベント カテゴリ: (2) イベント ID: 364 日付: date 時刻: time ユーザー: 該当なし コンピューター: ServerName 説明:コンテンツ ファイルのダウンロードに失敗しました。原因:サーバーは必要な HTTP プロトコルをサポートしていません。バックグラウンド インテリジェント転送サービス (BITS) では、サーバーが Range プロトコル ヘッダーをサポートしている必要があります。 こういった場合、下記の技術情報でご紹介する対処方法をお試しください。 バックグラウンド インテリジェント転送サービスを使用してファイルをダウンロードしようとすると、次のエラー…


Windows 10 / Windows Server 2016 でも Windows Update の自動更新は止められます

みなさま、こんにちは。WSUS サポート チームです。   いきなり結論ですが Windows Server 2016 および Windows 10 でも Pro 以上のエディションであれば、下記のグループ ポリシーを利用することで Windows Update による自動更新は止めることが出来ます。このブログでも紹介している通り、「設定」画面から自動更新の設定が変更出来ないため、不安に思うかもしれませんが安心してください!   [コンピューターの構成] – [管理用テンプレート] – [Windows コンポーネント] – [Windows Update] [自動更新を構成する] を ”無効”   私も 3 年以上 WSUS / Windows Update のサポートをしており、何度も「無効にしていたはずなのに動作してしまった」「実際に Windows Update は無効に出来ないのではないか?」「勝手に Windows Update が実行された」とのお問い合わせをいただきましたが、それは上記のグループ ポリシーが正常に動作していないわけではなく、すべてのケースにおいて別の要因でした。   今回は自動更新が意図せず動作してしまったように見えるパターンも合わせてご紹介しますので、同じような状況の場合は是非チェックしてみてください。   手動で Windows Update を実行した Windows…


オフライン WSUS サーバーの構築方法

みなさま、こんにちは。WSUS サポート チームです。   オフライン環境でも更新プログラムの管理を WSUS から行ないたい!と、弊サポート チームによくお問い合わせをいただきます。オフライン環境でも、もちろん WSUS を利用することは可能なのですが、オフライン WSUS サーバーの構築には、ちょっとしたコツや注意点がいくつかあるので、今回のブログではオフライン WSUS サーバーの構築手順と合わせて、そのような点を紹介します。   是非これから構築を行われる方や、試しに構築してみたけど上手くいかないという方の一助となれば幸いです。   必要な構成 オフライン環境に WSUS を用意するためには、下記の 2 台の WSUS サーバーを用意する必要があります。 ※重要※ オンライン WSUS サーバーとオフライン WSUS サーバーは、WSUS のバージョンと更新プログラムの適用状況を合わせる必要があります。 – インターネットと接続できるオンライン WSUS サーバー – オフラインネットワーク内のオフライン WSUS サーバー     構築手順の概要 オフライン WSUS サーバーの構築時には、オンライン WSUS サーバーから下記の 2 つのデータを移行し、オフライン WSUS サーバーへインポートします。   – カタログのメタデータ…


Windows 10 を新しいバージョンにアップグレードするための機能更新プログラムの延期について

みなさま、こんにちは。WSUS サポート チームです。 今回は Windows 10 を新しいバージョンにアップグレードするための機能更新プログラムの延期方法について、ご案内します。   常に最新の機能更新プログラムを適用する運用であれば、特に考慮は不要ですが、社内で使用しているシステムが最新バージョンに対応していない等の理由で、なかなか常に最新の機能更新プログラムを行う運用は難しいという方も多くいらっしゃると思います。今回はそのような方に向けたブログとなります。   まず、機能更新プログラムの配信を制御する方法として、一般的に下記の 2 種類の方法がございます。   WSUS や SCCM 等を利用して、配信する機能更新プログラムを制御する。 Windows Update for Business のグループ ポリシーを利用して、機能更新プログラムの適用を延期する。   「1」の方法で制御が出来る場合には、WSUS や SCCM 等で配信を制御すれば問題ないため、このブログでは詳細な説明を割愛させていただきます。 ※ WSUS や SCCM をご利用の場合は、このブログで紹介している延期のグループ ポリシーを設定すると、こちらやこちらの事象が発生しますので、ご注意下さい。   今回は「2」の方法で、WSUS や SCCM 等を用いずに Windows Update for Business のグループ ポリシーで制御する方法をメインに紹介していきます。「とにかくサポート期間内に機能更新プログラムは適用したくない!」という方にとって、まず把握していただく必要がある情報は、「サポート期間」と「Windows Update サイト上で、CBB (Current Branch for Business)※ へリリースされた日」となるため、順を追って紹介していきます。 ※ 既に…


WSUS のレポートに表示される「状態」の項目の説明

みなさま、こんにちは。WSUS サポート チームです。   今回は WSUS サポート チームに、多くご質問いただく内容の 1 つである WSUS レポートに表示される「状態」の項目について説明いたします。WSUS のレポートからクライアントへの更新プログラムの配信可否を確認出来る、非常に便利かつ強力な機能です。   WSUS のレポートや管理コンソールに表示される「状態」情報には、以下 (A) (B) の 2 種類の表記があります。   (A) 詳細表示 下記の詳細レポート画面に表示される内容です。個々の更新プログラム毎の具体的な状態を示します。   (B) サマリー表記 下記の4種類に集計(サマライズ)した表記です。表形式レポートのほか、管理コンソールの更新ビューの「状態」フィルターなどに表示されている情報です。 本表記にて全てのクライアントが「インストール済みまたは該当しない」に該当している場合には、配信が必要なクライアントには全て配信が完了出来ているものと判断できます。 ※ ただし、通常のレポートや管理コンソール上での表記には、更新プログラムをインストール承認していない (配信対象としていない) クライアントもカウントの対象となっているため、ご注意ください。更新プログラムをインストール承認しているクライアントに限定して、レポートを表示する場合には、管理コンソール上の [レポート] メニューより [承認済み更新プログラムについての更新状態 (表形式)] や [承認済み更新プログラムについてのコンピューターの状態 (表形式)] を利用します。   それぞれの「状態」について詳細を案内しますので、是非普段のご運用にご活用してください。   (A) 詳細表示 下記 (A-1) ~ (A-7) の 7 通りが存在し、それぞれ以下のクライアントの状態を示します。  …


配信の最適化について #1 概要篇

2017/12/12 更新 – 「ポート要件」に記載した URL の情報を更新しました。 みなさま、こんにちは。WSUS サポート チームです。 今秋にも Windows 10 Fall Creators Update のリリースが予定されておりますが、Windows 10 の展開も進み、更新プログラムやアップグレードの配信についてどうするか検討されているお客様も多いのではないでしょうか。Windows 10 においては、更新プログラムが累積型となり、サイズが大きくなっております。また、アップグレード用の更新プログラム (機能更新プログラムと呼びます)  も数 GB のファイル サイズとなりますので、WSUS クライアントと WSUS サーバー間のネットワーク帯域を逼迫させないためにどうすべきか議論にあがることもあるかと存じます。 WSUS 環境におけるネットワーク帯域制御については、こちらのブログ記事が役に立ちますが、この設定に加えて、そもそも WSUS サーバーからファイルをダウンロードする際のネットワーク トラフィックを抑えることができないかとお思いの事もあるかと思います。現時点において、ダウンロードする際のネットワーク トラフィックを抑える方法としては、次の 3 つがあります。   高速インストール ファイルを有効にする BranchCache を使用する 配信の最適化を使用する   1. と 2. については、Windows 10 リリース以前から存在する方法ですので、ご存じの方も多いのではないでしょうか。(Windows 10 1607 以降で BranchCache を利用する際の条件については、こちらのブログ記事が役立ちますので、ご参照ください。) 3….