none
「更新プログラムを自動的にインストールする(推奨)」になっていない。 RRS feed

  • 質問

  • お世話になります。

    Windows Answersで投稿したらこちらでの投稿を勧められましたので再度というかたちで質問させて頂きます。

    以下の環境です。

    サーバ:
    WindowsServer2003R2
    ActiveDirectry

    クライアント
    Windows7
    ドメインにログイン

    クライアントで、WindowsUpdate-設定の変更を選択します。
    重要な更新プログラム(I)がグレイアウトされ編集できないようになっています。これは正しいと思います。
    「更新プログラムを自動的にインストールする(推奨)」と設定したいのですが、
    選択されているのは、
    「更新プログラムを確認しない(推奨されません)」となっています。

     

    WindowsServer2003R2のADのグループポリシーの設定では以下のようになっています。
    Active Directory ユーザとコンピュータ-xxx.local-コンピュータ-クライアント-BBB-CCC(コンピュータ名)
    で、BBBで右クリックのプロパティからグループポリシーを作成しています。

    グループポリシーは、
    コンピュータの構成-管理用テンプレート-Windowsコンポーネント-Windows Updateで
    その中の、
    自動更新を構成する-有効-自動更新の構成3-自動ダウンロードしインストールを通知
    ログオンしているユーザが入る場合はスケジュールされた自動更新のインストールに対してシステムを自動的に再起動しない-有効
    自動更新を直ちにインストールすることを許可する-有効
    としています。それ以外は未構成です。

    なぜこのポリシーが適用されないのか、また、チェックポイントがありましたらご指摘ご指示をお願い致します。

    2012年5月2日 10:16

回答

  • 1.「グループポリシーの管理」と「RSOP.msc」で矛盾・・・・・クライアントでRSOP.mscでみた「自動更新を構成する」をダブルクリックして「優先順位」をみてください。
    (「ソースGPO」は何になっており、そのGPOの設定はどうなっているか確認してください。)

    2.WSUSのサーバ-を定義していないとクライアントはMicrosoft Updateサーバ-から直接、更新プログラムを受信するようになります。(各クライアントが個々に
    Microsoft Updateをかけるのと同じことになります。)

    3.1と同じことになりますが、グループポリシーの優先順位によります。
    (MSぺージ)
    グループポリシーの優先順位
    http://technet.microsoft.com/ja-jp/library/cc783171(WS.10).aspx
    (@IT資料)
    http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy06/gpolicy06_01.html
    http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy07/gpolicy07_05.html


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)

    • 回答の候補に設定 田中夢 2012年5月25日 1:41
    • 回答としてマーク 田中夢 2012年5月29日 0:50
    2012年5月7日 14:50
  • この無償の掲示板は有志による情報交換の場程度なので、直接のサポートのできる場ではありません。外していたら申し訳ありませんというのが前提での回答となります。

    Active Directory ユーザとコンピュータ-xxx.local-コンピュータ-クライアント-yyy(組織名)で、xxx.localと同じ設定(OUの下の階層でGPOを定義)←(AAA Policy をリンク)
    では、「グループポリシーの優先順位」の結果とおりです。
    「自動更新を構成するのプロパティ」の「優先順位」タブ
    GPO名
    AAA Policy 有効←(上にあるので優先順位が高い)
    xxx.local Policy 有効

    Active Directory ユーザとコンピュータ-xxx.localにグループポリシーの設定をしたパターン
    「自動更新を構成するのプロパティ」の「優先順位」タブ
    GPO名
    xxx.local Policy 無効
    となっている結果ですが、「Default Domain Policy」を直接編集されたのでしょうか。

    Windows 7では(例えば)したのブログにあることで「自動更新を構成する」が無効となるようなので、(ActiveDirectry側もWindows 7側も)細かくチェックが必要かもしれません。
    http://menushowdelay.blog13.fc2.com/blog-entry-2122.html

    また、問題となっているWindows 7側でイベントビューアを立ち上げアプリケーションログにエラーログが出ていないか、詳細なログをクライアントで取得する方法もしたにあります。
    グループ・ポリシーの反映状況について詳細なログを確認する
    http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040415/77/
    (MS KB)
    製品版 Windows でユーザー環境デバッグログを有効にする方法
    http://support.microsoft.com/kb/221833

    申し訳ありませんが、無償の掲示板では事細かく説明できませんので、間違いのないことはご自身で(キーワードでWeb検索されるなどして)チェックされるか(それが難しく、急がれる場合には)MSに直接確認されるのがよいように思います。


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)

    • 回答の候補に設定 田中夢 2012年5月25日 1:41
    • 回答としてマーク 田中夢 2012年5月29日 0:50
    2012年5月10日 12:32

すべての返信

  • ActiveDirectry
    WindowsServer2003R2

    クライアント
    Windows7
    の組み合わせの検証環境が無いのですが、したのMSページの
    グループ ポリシーを使用して自動更新を構成する
    http://technet.microsoft.com/ja-jp/library/cc720539(WS.10).aspx

    Windows Update(WSUS)のポリシーはコンピュータに対して適用されるので、
    [コンピュータの構成]→[管理用テンプレート]→[Windows コンポーネント] →[Windows Update]  の
    ドメインコントローラで作成・リンクしたWindows Update(WSUS)のポリシーが、コンピュータをまとめたOUにリンクされていますか。

    [イントラネットの Microsoft の更新サービスの場所を指定する]のポリシーが 「http://<WSUSサーバー名>」 となっていますか。

    3-[自動ダウンロードしインストールを通知]については
    4-[自動ダウンロードしインストール日時を指定]にして、インストールの日時も設定した方がよいのでは。

    クライアント(Windows7)で「ファイル名を指定して実行」からRSOP.msc と叩いてみてWindows Update(WSUS)のポリシーが正しく適用されているか確認してみてください。※Windows7から「コンピュータの構成」をみるにはローカルの管理者でログオンしてRSOP.msc を叩く必要があるようなので補足しておきます。


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)




    2012年5月2日 14:44
  • 試験問題作成委員会 様

    早期のご回答ありがとうございました。
    返事が遅れて申し訳ございません。

    >コンピュータをまとめたOUにリンクされていますか。
    リンクされていると考えますが以下の設定、現象で判断をお願い致します。

    わかりにくい文章で申し訳ありませんが説明させてください。

    管理コンソールから、
    コンソールルート
    Active Directory ユーザとコンピュータ-xxx.localにグループポリシーの設定をしています。
    コンピュータの構成-管理用テンプレート-Windowsコンポーネント-Windows Updateで
    その中の、
    自動更新を構成する-有効-自動更新の構成3-自動ダウンロードしインストールを通知
    ログオンしているユーザが入る場合はスケジュールされた自動更新のインストールに対してシステムを自動的に再起動しない-有効
    自動更新を直ちにインストールすることを許可する-有効
    としています。

    それの結果を「グループポリシーの管理」というツールで
    AD配下のクライアント(PC01)に対して実際に適用されているか確認しました。

    グループポリシーの作成で、ウイザードを起動しモデルを作成しました。
    右側の画面で設定を選択し、
    コンピュータの構成-管理用テンプレート
    Windows Components/Windows Updateの表示を確認しました。
    Allow automatic Updates immediate 有効
    installation
    Configure Automatic updates 有効
     Configure Updating: 3 - Auto download and~
     The follwing~
    No auto-restart with logged on 有効


    となっていました。つまり3つとも有効になっていました。

    それで教えていただいたコマンド(RSOP.msc)をAD配下のクライアント(PC01)で実行しました。
    結果は、
    コンピュータの構成-管理用テンプレート-Windowsコンポーネント-Windows Update-自動更新を構成する-無効
    自動更新を直ちにインストールすることを許可する-有効
    スケジュールされた自動更新のインストールでログオンしているユーザが入る場合には自動的に再起動しない-有効

    となっていました。
    つまり、
    サーバで実行した「グループポリシーの管理」では3つとも有効となっているのですが、
    クライアントで実行した「RSOP.msc」では、1つが無効で残りが有効となっています。

    上記のような現象です。

    追加情報です。
    ・WSUSのサーバはありません。なくても自動更新ができるという前提で設定していますがいかがでしょうか。
    ・Active Directory ユーザとコンピュータ-xxx.localにグループポリシーの設定をしていますが、
    それでは正常に行かなかったので以下の設定を行いました。
    Active Directory ユーザとコンピュータ-xxx.local-コンピュータ-クライアント-yyy(組織名)で、
    xxx.localと同じ設定(2つ下の階層で設定)をすると、
    サーバで実行した「グループポリシーの管理」とクライアントで実行した「RSOP.msc」は、
    3つとも有効になり、実際のPC01もWindowsUpdateが有効になりました。

    問題点を整理すると
    1.「グループポリシーの管理」とRSOP.msc」で矛盾しているのはなぜか。
    2.WSUSのサーバは定義していないが、そもそもWindowsUpdateはできるか。
    3.OUの下の階層でGPOを定義するとWindowsUpdateはできるのはなぜか。

    以上のようになります。
    長くなり申し訳ございませんがよろしくお願い致します。

    2012年5月7日 8:17
  • 1.「グループポリシーの管理」と「RSOP.msc」で矛盾・・・・・クライアントでRSOP.mscでみた「自動更新を構成する」をダブルクリックして「優先順位」をみてください。
    (「ソースGPO」は何になっており、そのGPOの設定はどうなっているか確認してください。)

    2.WSUSのサーバ-を定義していないとクライアントはMicrosoft Updateサーバ-から直接、更新プログラムを受信するようになります。(各クライアントが個々に
    Microsoft Updateをかけるのと同じことになります。)

    3.1と同じことになりますが、グループポリシーの優先順位によります。
    (MSぺージ)
    グループポリシーの優先順位
    http://technet.microsoft.com/ja-jp/library/cc783171(WS.10).aspx
    (@IT資料)
    http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy06/gpolicy06_01.html
    http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy07/gpolicy07_05.html


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)

    • 回答の候補に設定 田中夢 2012年5月25日 1:41
    • 回答としてマーク 田中夢 2012年5月29日 0:50
    2012年5月7日 14:50
  • ご回答ありがとうございます。

    >1.「グループポリシーの管理」と「RSOP.msc」で矛盾・・・・・クライアントでRSOP.mscでみた「自動更新を構成する」
    >をダブルクリックして「優先順位」をみてください。
    確認しました。
    コンソールルート
    Active Directory ユーザとコンピュータ-xxx.localにグループポリシーの設定をしたパターンです。

    「自動更新を構成するのプロパティ」の
    「優先順位」タブを確認しました。
    GPO名
    xxx.local Policy 無効

    となっています。一つしかありません。

    Active Directory ユーザとコンピュータ-xxx.local-コンピュータ-クライアント-yyy(組織名)で、
    xxx.localと同じ設定(2つ下の階層で設定)でAAAというGPOを設定したパターンです。
    (AAAの内容はxxx.localのGPOと同じ内容です。)

    「自動更新を構成するのプロパティ」の
    「優先順位」タブを確認しました。
    GPO名
    AAA Policy 有効
    xxx.local Policy 有効

    でした。
    >2.WSUSのサーバ-を定義していないとクライアントはMicrosoft Updateサーバ-から直接、
    >更新プログラムを受信するようになります。(各クライアントが個々に
    >Microsoft Updateをかけるのと同じことになります。)
    ありがとうございます。承知しました。

    >3.1と同じことになりますが、グループポリシーの優先順位によります。
    1の検証と同じですが、
    なぜ、無効・・・になるか。無効と設定しているGPOはどこにもないです。
    検証機の他のAD配下のクライアントを本日確認しました。
    そしたら期待通りの動作(windows updateが「更新プログラムを自動的にインストールする(推奨)」)をしていました。
    ADで統一できていないという現象があり不思議です。
    これ以上検証方法がありましたらお手数ですがご教示をお願い致します。

    2012年5月10日 8:42
  • この無償の掲示板は有志による情報交換の場程度なので、直接のサポートのできる場ではありません。外していたら申し訳ありませんというのが前提での回答となります。

    Active Directory ユーザとコンピュータ-xxx.local-コンピュータ-クライアント-yyy(組織名)で、xxx.localと同じ設定(OUの下の階層でGPOを定義)←(AAA Policy をリンク)
    では、「グループポリシーの優先順位」の結果とおりです。
    「自動更新を構成するのプロパティ」の「優先順位」タブ
    GPO名
    AAA Policy 有効←(上にあるので優先順位が高い)
    xxx.local Policy 有効

    Active Directory ユーザとコンピュータ-xxx.localにグループポリシーの設定をしたパターン
    「自動更新を構成するのプロパティ」の「優先順位」タブ
    GPO名
    xxx.local Policy 無効
    となっている結果ですが、「Default Domain Policy」を直接編集されたのでしょうか。

    Windows 7では(例えば)したのブログにあることで「自動更新を構成する」が無効となるようなので、(ActiveDirectry側もWindows 7側も)細かくチェックが必要かもしれません。
    http://menushowdelay.blog13.fc2.com/blog-entry-2122.html

    また、問題となっているWindows 7側でイベントビューアを立ち上げアプリケーションログにエラーログが出ていないか、詳細なログをクライアントで取得する方法もしたにあります。
    グループ・ポリシーの反映状況について詳細なログを確認する
    http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040415/77/
    (MS KB)
    製品版 Windows でユーザー環境デバッグログを有効にする方法
    http://support.microsoft.com/kb/221833

    申し訳ありませんが、無償の掲示板では事細かく説明できませんので、間違いのないことはご自身で(キーワードでWeb検索されるなどして)チェックされるか(それが難しく、急がれる場合には)MSに直接確認されるのがよいように思います。


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)

    • 回答の候補に設定 田中夢 2012年5月25日 1:41
    • 回答としてマーク 田中夢 2012年5月29日 0:50
    2012年5月10日 12:32
  • こんにちは。
    フォーラム オペレーターの田中夢です。
     
    試験問題作成員会 さん
    参考になるアドバイスをありがとうございます。
     
    hoku0000 さん
    最後に投稿されてからしばらく経過しましたが、その後 試験問題作成員会 さんからの投稿をご覧になっていただけましたでしょうか?
     
    こちらのご質問につきましては、試験問題作成員会 さんからのアドバイスをトラブルシューティングの手がかりとしていただけたのではないかと思われますので、勝手ながら私のほうで [回答としてマーク] とさせていただきすね。
     
     
    また何かありましたら、TechNet フォーラムをご活用くださいね。
    ---------------------------------------------------------------------
    日本マイクロソフト株式会社 フォーラム オペレーター 田中夢
    2012年5月29日 0:50