System Center Configuration Manager で管理者が予期しない更新プログラムが配信されてしまったときの対応方法

  • Article

こんにちは。System Center Support Teamです。

本ポストでは、System Center Configuration Manager(以降Configuration Manager)で更新プログラムを配信する運用をしている中で、管理者が予期しない更新プログラムが配信されてしまったときの対応方法をご紹介いたします。

Configuration Manager で更新プログラムを展開する場合、手動で展開パッケージを作成し展開する方法と、自動展開規則を使用して配信する方法の 2 種類があります。誤って予期しない更新プログラムを配信する問題が生じた場合の多くが後者の自動展開規則によって、管理者が予期していない更新プログラムが自動展開規則の条件に含まれてしまい展開されるケースです。

 

万が一、予期しない更新プログラムが適用されてしまった場合は、各クライアントで個別にアンインストールが必要です。ただし、ここでいきなりクライアント側のアンインストール作業をしてはいけません。何故ならConfiguration Managerサーバー側の設定が引き続き有効な限り、アンインストールした後再びクライアントに同じ更新プログラムがインストールされてしまうからです。2次被害を出さないためにも、ここでは作業の順番が大切です。はじめに、Configuration Managerサーバー側で、予期しない更新を含む配信設定を無効にする対処を講じていただいたのち、各クライアントでアンインストールの作業を進めるようにしてください。この手順で進めていただくことで、2次被害の発生を防ぐことができます。

1. 該当する自動展開規則を無効化する

対象の自動展開規則を右クリックして [無効] をクリックします。まずは、これで自動展開規則が実行されることはなくなります。

P1

 

2. 予期しない更新プログラムを展開から削除する

自動展開規則が実行されると、同じ名前の更新プログラム グループが自動的に作成されます。対象の更新プログラム グループを右クリックして [メンバーの表示] をクリックします。グループの中には、自動展開規則で設定した条件に合致した更新プログラムが含まれますので、検索ボックスで予期しない更新プログラムの KB 番号やタイトルを入力して [検索] をクリックします。対象の更新プログラムを右クリックして [メンバー シップの編集] をクリックすることで、更新プログラムをグループから削除することができますので、対象のグループのチェックをオフにして [OK] をクリックします。これでグループから、予期せず配信された更新プログラムが外れます。

P2

チェックをオフにします。

P3

 

3. 予期しない更新プログラムが展開されていないことを確認する

念のため、予期しない更新プログラムの展開が存在しないことを確認します。[すべての更新プログラム] で 2. と同じように予期しない更新プログラムの KB 番号やタイトルを入力して [検索] をクリックします。対象の更新プログラムを選択して、右下ペインで [展開] タブを開き、展開が存在しないことを確認します。これで配信は停止していることの証明になります。

P4

 

4. 予期しない更新プログラムが含まれる展開パッケージを削除する

Configuration Manager クライアントは、配布ポイントから更新プログラムをダウンロードします。配布ポイントには既に予期しない更新プログラムを含む展開パッケージがコピーされていますので、展開パッケージから予期しない更新プログラムを削除することで、配布ポイントから対象の更新プログラムを削除することができます。[展開パッケージ] を開き、対象の展開パッケージを右クリックして [メンバーの表示] をクリックします。検索ボックスで予期しない更新プログラムの KB 番号やタイトルを入力して [検索] をクリックします。対象の更新プログラムを右クリックして [削除] をクリックすると、ダイアログが表示されます。ダイアログで [配布ポイントのリフレッシュ] をオンにした状態で、[OK] をクリックるすることで、更新プログラムを展開パッケージと配布ポイントから削除することができます。

P5 P6

 

5. 各クライアントでアンインストールの作業をする

Configuration Managerの配信停止後に各クライアントで予期しない更新プログラムをアンインストールします。台数が多く、手動では実施できない場合は、「パッケージ」機能を使用してアンインストール コマンドを配信する方法も有効です。Windows OS の更新プログラムにつきましては、基本的には wusa.exe を利用して、次のコマンドでインストールされている更新プログラムを削除することが可能です。

 

削除コマンド)

wusa.exe /uninstall /kb:<KB 番号> /quiet /norestart

例) 削除したい KB 番号を指定してください。

wusa.exe /uninstall /kb:1234567 /quiet /norestart

サイレントでアンインストールした後、再起動を抑制するために、/quiet と /norestart を付与しています。そのため、Configuration Manager でアンインストール コマンドを配信する場合は、アンインストール用のパッケージを作成いただき、プログラムに上記コマンドを登録して配信する手順となります。なお、再起動を抑制するオプション /norestart を付与した場合は、コマンドの実行が行われた後、再起動されることで正常に削除が完了します。

Windows の Windows Update スタンドアロン インストーラーについて
<https://support.microsoft.com/kb/934307/ja>

※ 64 bit OS に対して、パッケージ機能でアンインストール コマンドを配布する場合は、以下の通り、コマンドラインに Sysnative を付与してください。

 

%windir%\Sysnative\wusa.exe /uninstall /kb:1234567 /quiet /norestart

 

(補足情報)

削除コマンドについては、以下のように KB 情報の中でご案内している場合もございます。

セキュリティ更新プログラム 2823324 のインストール後に Windows 7 でイベント ID 55 または 0xc000021a Stop エラーが表示される

<https://support.microsoft.com/kb/2839011>

また、wusa.exe でアンインストールできない更新プログラムは、セキュリティ情報の「削除に関する情報」にてご案内している場合もございますので、コマンドを検証した結果アンインストールできない結果となった際は、KB 情報と合わせてご確認いただけると幸いです。

 

Internet Explorer 用の累積的なセキュリティ更新プログラム (2530548)

<https://technet.microsoft.com/library/security/ms11-050>

----- 抜粋ここから -----

Windows Vista:

WUSA.exe を使用してコマンドラインで更新プログラムをアンインストールすることはできません。WUSA.exe によりインストールされた更新プログラムをアンインストールする 1 つの方法として、[コントロール パネル] をクリックし、次に [セキュリティ センター] をクリックします。[Windows Update] の下の [更新履歴の表示] をクリックし、[インストールされた更新プログラム] をクリックして、更新プログラムの一覧から選択します。

----- 抜粋ここまで -----

 

急を要する時こそ、慌てず順番を確認して進めましょう。

 

免責事項
コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。