<重要> WSUS の更新プログラムは確実に最新版の適用を行ってください

弊社米国本部の WSUS 開発部門より通達があり、ご案内をいたします。 WSUS の更新プログラムは、全 WSUS サーバーにおいて、確実に適用を行っていただきますようお願いいたします。OS やアプリケーションの通常の更新プログラムにおける、「問題が発生した時のみ任意に適用いただく」という考え方ではありませんので、ご注意願います。 上記につきまして、背景にあるのは以下のような考え方となります。 1.  企業全体のシステムのセキュリティを司る WSUS サーバーにおいて、最大限の安定性を保証する必要がある。2.  いくつかの WSUS の更新においては、Windows Update エージェントの更新が不可欠となる。セキュリティ更新プログラムは、各企業が任意のテストを実施いただき、適用可否や時期を検討いただくことに差支えないが、そのアップデート適用を各クライアントで行う Windows Update エージェントについては最新版とすることが任意ではなく、サポート上必須である。Windows Update エージェントは、WSUS サーバーとの通信課程で自動アップグレードされるため、WSUS サーバーを常に最新版とする必要がある。   WSUS サーバーのアップグレードに伴う懸念点の解消や、アップグレードに伴うトラブルシュートについては、サポート部門にてご支援をいたしますので、お気軽にご相談をお寄せください。 弊社開発部門におきましても、WSUS の更新プログラムの提供頻度を最小に心がけ、また、適用時に発生する問題も最小限とするよう、開発とテストについて尽力してまいります。また、弊社サポート部門におきましては、WSUS 更新プログラムのリリースや、適用にあたっての注意事項については、本ブログにて最速での情報発信を心掛けてまいります。ご不便をおかけしますが、何卒ご協力をいただきますようお願いいたします。   2013 年 3 月 13 日現在、WSUS 3.0 SP2 用の更新プログラムの最新版は KB2734608 となります。適用時の注意点等、詳細は以下ポストをご参考ください。 WSUS 3.0 SP2 の Windows 8 / Windows Server 2012 対応について (KB2734608)http://blogs.technet.com/b/jpwsus/archive/2012/09/05/kb2734608.aspx

1

インストール済みの KB2604092 (MS12-035) が再度インストール要求された

こんにちは。マイクロソフトの三島です。 2013 年 1 月分のセキュリティ更新プログラムを適用した際に、インストール済みの KB2604092 (MS12-035) が再度インストール要求された、というお問い合わせが増加しています。もし同様の現象が発生する場合には、現在、KB2604092 の新しいリビジョンをインストール承認しているかを確認してください。 なお KB2604092 の検出条件設定には一部問題があったため、昨年の 5 月 22 日に、問題を修正した新しいリビジョンを公開致しました。修正前の古いリビジョンをインストール承認している場合には、このような現象が発生することを確認しています。 以下の手順で確認と対処を行って下さい。   1.WSUS 管理コンソールのから、KB2604092 を更新プログラムの一覧から見つけて右クリックし、[リビジョン履歴] を選択します。リビジョン履歴を開きます。   2.以下のように改訂番号の大きい新しいリビジョンが未承認で、改訂番号の小さい古い方のリビジョンが、インストール承認の状態であるかを確認します。 3. 同様の状態である場合には、新しいリビジョンをインストール承認し、古いリビジョンを未承認としてください。 ※拒否にはしないでください。   これで対処は終了です。この作業後にも KB2604092 (MS12-035) が再ダウンロードされることはありませんのでご安心ください。   「リビジョン(改訂版)」についてhttp://blogs.technet.com/b/jpwsus/archive/2011/10/31/3462305.aspx [MS12-035] Windows XP および Windows Server 2003 上の .NET Framework 2.0 Service Pack 2 のセキュリティ更新プログラム (2012 年 5 月 8 日) についてhttp://support.microsoft.com/kb/2604092/ja

2

WSUS サーバーに大量の改訂版が同期された

こんにちは。マイクロソフトの伊藤です。 先月から、運用中の WSUS サーバーに大量の改訂版が同期された、というお問い合わせが増えています。その理由について、米国の WSUS ブログに関連記事が公開されました。 Support Tip: Many new revisions of updates may be downloaded by the WSUS serverhttp://blogs.technet.com/b/sus/archive/2012/10/31/support-tip-many-new-revisions-of-updates-may-be-downloaded-by-the-wsus-server.aspx WSUS 3.0 SP2 サーバーへ KB2734608 を適用することで、WSUS クライアントとして Windows 8 / Windows Server 2012 を管理可能になります。ただし、Windows 8 / Windows Server 2012 はファイルの署名検証が強化されているため、従来の更新プログラム インストーラーをそのまま適用することが出来ません。 その問題を解決するために、既に公開済みの更新プログラムについて、Windows 8 / Windows Server 2012 に対応するようファイルへの署名方法が変更され、改訂版としてリリースされました。WSUS サーバーが同期対象とする製品、クラス、言語にもよりますが、1,000 – 3,000 程度の改訂版が一度に同期される場合もあります。 また、米国のブログに内容には含まれていませんが、Windows 7 /…

0

WSUS 3.0 SP2 をデータベースごと移行する方法について

こんにちは。マイクロソフトの美馬です。 WSUS 3.0 SP2 をデータベースごと移行する手順をご紹介いたします。 移行する方法としては、レプリカを利用する方法と、データベース自体を移行する方法の 2 通りがあります。   前者(レプリカ利用)は、旧環境と新環境が同一ネットワークに存在する状態となりますので、既存クライアントへの影響が少なくてすむ反面、ホスト名や IP アドレスは別となり、同期される間はネットワーク負荷がかかる可能性があり、オプション設定やクライアント情報は移行できません。 一方、後者(データベース移行)は、旧環境と新環境で同じホスト名や IP アドレスを同じ場合に利用でき、オプション設定なども同時に引き継ぐことができますが、旧環境との並行運用はできません。 どちらの方法でも、移行先・移行元の OS / プラットフォーム (x86, x64) の相違は問いません。   レプリカ利用における移行方法は、下記 Blog でご紹介しておりますので、ご参照ください。 WSUS サーバーを新しいハードへ移設したい http://blogs.technet.com/b/jpwsus/archive/2012/05/07/wsus-server-replace.aspx   WSUS 3.0 SP2 をデータベースごと移行する手順は下記のとおりとなります。 <前提条件など> 全データは媒体経由で移行できますので、旧環境と新環境とがネットワークで接続されていなくても問題ありません。   <この手順により移行される情報> すべての情報が移行されます。   <作業手順> 1) 移行先に WSUS 3.0 SP2 をインストールしておきます。 ※更新ファイルの格納パスなど、インストーラ―に対して指示する設定値は旧環境と同じにしてください。   2) データベースとして Windows Internal Database を使用している場合は、データベース…

2

WSUS 3.0 SP2 の Windows 8 / Windows Server 2012 対応について (KB2734608)

こんにちは。マイクロソフトの伊藤です。 WSUS 3.0 SP2 用に、下記の更新プログラムがリリースされました。 An update for Windows Server Update Services 3.0 Service Pack 2 is available (KB2734608)http://support.microsoft.com/kb/2734608/en-us この更新プログラムを適用することで、Windows 8 / Windows Server 2012 を WSUS クライアントとして、管理することが出来るようになります。また、KB2734608 は 2012/6 にリリースされた WSUS 用の更新プログラム KB2720211 の修正内容を含み、更に適用時、適用後の問題を修正しています。 WSUS サーバーへ KB2720211 を未適用のお客様は、KB2734608 の適用をご検討ください。なお、親子構成の WSUS サーバーへ KB2734608 を適用する際には、下記の順で適用をお願いします。 (※本ブログの末尾に記載しました 「2013/02/08 追記:KB2734608 適用時の注意事項」 も併せて必ずご確認ください。) 1. 親の WSUS サーバーを Microsoft Update…

8

WSUS クライアントがエラー 0x800B0001 で更新プログラムの検出に失敗する

こんにちは。マイクロソフトの伊藤です。 先月の中旬より、WSUS クライアントの検出動作がエラー 0x800B0001 で失敗する現象について、お問い合わせが増えています。また、これらのお問い合わせは下記のサポート技術情報で紹介されている対処方法では解決できず、別の原因があることを確認しました。 エラー コード “0x800B0001” が、Windows Update または Microsoft Update を使用して更新プログラムをインストールしようとすると表示されるhttp://support.microsoft.com/kb/958045 今回はエラーの発生要因と、対処方法についてご説明します。(エラー ID は %windir%\WindowsUpdate.log ファイルに記録されます。更新の検出に失敗する場合には、ログを 0x800B0001 で検索して有無を確認して下さい。) エラーの発生要因について==========================本日時点で最新の Windows Update Agent (WUA) は、バージョンが 7.6.7600.256 です。ご利用の WSUS クライアントがどのバージョンの WUA を使用しているかは、下記ファイルのプロパティでご確認ください。 %windir%\System32\wuaueng.dll 最新版の WUA が WSUS クライアントに適用される経路としては、下記 2 通りのパターンがあります。 A. Windows Update サイトに接続する B. KB2720211 が適用済みの WSUS サーバーに接続する これまでの調査からエラー 0x800B0001 が発生する条件の一つとして、”最新版の WUA で…

0

KB2720211 適用後に WSUS サーバーが起動しなくなった – 続報

こんにちは。マイクロソフトの伊藤です。 先日の投稿にて、KB2720211 適用後に WSUS サーバーが起動しなくなるトラブルについてご紹介しましたが、その後の調査でいくつか確認できたことがあります。現時点での最新情報をまとめましたので、まだ KB2720211 の適用が正常に完了していない WSUS 管理者のかたは、ぜひご一読ください。 ■ お問い合わせの傾向について6/18 に前回の投稿を公開してから本日 7/2 まで、KB2720211 の適用後に WSUS サーバーが起動しなくなるトラブルに関するお問い合わせは、日本国内で 1 件も対応実績がありません。適用前にご相談いただくケースは何件かありましたが、念のためバックアップの取得後に KB2720211 適用を実施いただきましたところ、問題なく適用が完了しています。 なお、お問い合わせいただいたケースについては、WSUS サーバーの環境面についてヒアリングを実施しました。前回の投稿を書いた時点では Windows Internal Database (WID) の署名に関連するファイル日付によって現象発生の有無が分かれると推測していましたが、下記パターンでの成功例が確認出来ましたので、何かほかの要因が KB2720211 の失敗を引き起こしていると考えられます。 パターン AWID をご利用で C:\Windows\SYSMSI\SSEE\MSSQL.2005\MSSQL\SchemaSig フォルダ内のファイル日付が 2010 年の環境 パターン BWID ではなく SQL Server をご利用の環境 なお、前回の投稿にて SQL Server 2005 SP4 の WID 用 (KB2463332) を適用することでファイル日付が 2010 年になる、というコメントをいただきました。弊社の環境でも…

0

KB2720211 適用後に WSUS サーバーが起動しなくなった

こんにちは。マイクロソフトの伊藤です。 先日のブログ記事にて WSUS 3.0 SP2 サーバー環境へ適用する更新プログラムについて、ご紹介をしました。 WSUS のセキュリティ強化に関する修正プログラムについて http://blogs.technet.com/b/jpwsus/archive/2012/06/12/wsus-update-kb2720211.aspx その後、この更新プログラム KB2720211 を適用後に WSUS サーバーが起動しなくなった、という事例が数件ではありますが報告されています。まだはっきりとわかっていない点もいくつかあるのですが、現時点で把握できている情報をまとめましたので、同様の症状でお困りの方はご一読下さい。 ■ 問題の詳細についてWSUS 3.0 SP2 が既定で利用するデータベース Windows Internal Database (WID) が、下記のエラーで利用不可となることが、直接の原因です。 2012-06-14 11:39:40.93 spid53      Access to module dbo.spSetupLogin is blocked because the signature is not valid. このエラーは WID のエラーログに記録されます。WID のエラーログは既定の設定で、下記のファイル (ERRORLOG という名前の拡張子を持たないファイルです) へ出力されます。 C:\Windows\SYSMSI\SSEE\MSSQL.2005\MSSQL\LOG\ERRORLOG もしこのパスにログファイルが見つからない場合には、ファイル名 “ERRORLOG” で検索して下さい。 エラーの内容としては “the signature is not…

6

WSUS のセキュリティ強化に関する修正プログラムについて

こんにちは。マイクロソフトの伊藤です。 つい先日、WSUS 3.0 SP2 用に修正プログラムがリリースされました。 An update for Windows Server Update Services 3.0 Service Pack 2 is availablehttp://support.microsoft.com/kb/2720211 2012/6/4 に公開されたセキュリティ アドバイザリ 2718704 に関連し、セキュリティの強化を主な目的とした修正です。WSUS サーバー管理者のみなさま、適用のスケジュール調整をよろしくお願いします。なお、適用時には OS の再起動が必要となりますので、ご注意ください。 セキュリティ アドバイザリに関する詳しい情報は、セキュリティ チームのブログをご参照ください。 セキュリティ アドバイザリ 2718704: Flame の攻撃と WU の強化 http://blogs.technet.com/b/jpsecurity/archive/2012/06/11/3503098.aspx

0

WSUS 3.0 SP2 について

こんにちは。マイクロソフトの森です。 今回は、WSUS 3.0 SP2 についていくつかお役に立つと思われる情報をおまとめしましたのでご紹介します。 これから WSUS 3.0 SP2 の導入を検討されておりましたら是非一度ご覧いただければと思います。     1. WSUS 3.0 SP2 ファイルのダウンロード先 =========================================   「Windows Server Update Services 3.0 SP2」ダウンロード   http://www.microsoft.com/downloads/details.aspx?FamilyId=a206ae20-2695-436c-9578-3403a7d46e40&displaylang=en   該当ページは英語のみで記載されておりますが、実際のモジュールは多言語対応となっております。 そのまま日本語 OS 環境上で実行すると 日本語版 WSUS 3.0 SP2 がインストールされます。     その他関連ドキュメントは以下からご入手いただけます。インストール前に是非一度ご一読下さい。   「Microsoft Windows Server Update Services 3.0 SP2 のファースト ステップ ガイド」(日本語版)   http://www.microsoft.com/downloads/details.aspx?familyid=DF628245-8449-4B93-948C-0926DEB1197A&displaylang=ja   「Microsoft Windows Server…

0