none
WSUS環境下でWindowsのセキュリティ更新プログラムが適用されない RRS feed

  • 質問

  • WSUS環境下のWindows10 1607のクライアント全台にて、Office関連の更新プログラムは90個程度インストールされていますが、Windows関連の更新プログラムがすべて「適用なし」となっており、まったくインストールされない状況です。

    明らかに必要な更新プログラムが、WSUSで不要(適用なし)と判断されてしまっているように思えます。

    なお、WSUS管理画面の「オプション」-「製品と分類」で次の項目にチェックが入っております。

    ■製品タブ

    ・Microsoft - Office2016

    ・Microsoft - Windows - Windows 10 and later drivers

    ・Microsoft - Windows - Windows 10 and later upgrade & servicing drivers

    ・Microsoft - Windows - Windows 10 Anniversary Update and Later Servicing Drivers

    ・Microsoft - Windows - Windows 10 Dynamic Update

    ・Microsoft - Windows - Windows 10 Feature On Demand

    ・Microsoft - Windows - Windows 10 GDR-DU LP

    ・Microsoft - Windows - Windows 10 GDR-DU

    ・Microsoft - Windows - Windows 10 Language Interface Packs

    ・Microsoft - Windows - Windows 10 Language Packs

    ・Microsoft - Windows - Windows 10

    ■分類タブ

    ・セキュリティ問題の修正プログラム

    ・重要な更新

    ・定義更新プログラム

    以上です。

    修正点や確認すべき点があればご指摘いただけますでしょうか。

    2018年1月16日 8:29

すべての返信

  • こちらと類似の事象かもしれませんね。

    以下のブログを確認して、グループポリシーやローカルで Windows Update for Business 関連の設定が無いか確認してみて下さい。(もしくはデュアルスキャンを無効にする等)

     

    Windows 10 の WSUS クライアントが Windows Update から更新プログラムを取得するようになってしまう事象について

    https://blogs.technet.microsoft.com/jpwsus/2016/11/15/windows-10-1607-wufb/

     

     

    別スレッドで投稿されている、WSUS、ウイルスバスターCorp.環境下でKB4056890が適用できないもこれが原因かもしれませんね。



    2018年1月16日 8:53
  • 返信ありがとうございます。

    CBB環境のため、デュアルスキャンを無効にするべくhttps://blogs.technet.microsoft.com/jpwsus/2016/11/15/windows-10-1607-wufb/

    を参照し、KB4025334をカタログからWSUSへ手動インポートして配信したところ、KB4025334自体が「適用なし」となってしまいました。そのため、スタンドアロンインストーラをクライアントへ直接適用したところ問題なく適用されたため、WSUS側の設定に何か問題があるように思えます。

    なお、直接適用したクライアントに対してデュアルスキャンを無効にするレジストリを適用しましたが、やはりWindows関連の更新プログラムは状況です。

    2018年1月18日 7:12
  • スタンドアロンインストーラーでの手動インストールの場合、クライアント側の設定に関わらず適用されます (既に適用済み等の場合は除く) ので、問題が WSUS 側に有ると判断するのは早計に思います。

     

    CBB 環境との事ですが、品質更新プログラムの受信延期や一時停止する様な設定はされていませんか?

    2018年1月18日 7:52
  • 返信ありがとうございます。

    機能更新プログラムについてはCBB、受信延期180日に設定しておりますが、品質更新プログラムについては未構成です。

    2018年1月18日 8:42
  • なるほど、ご確認ありがとうございます。

    この様な事象は Windows 10 でしか発生してない為、Windows 10 から追加された Windows Update 関連の設定が影響して事象が発生している可能性を疑っています。

     

    以下の階層のレジストリについて確認頂き、問題になりそうな設定が無いか確認頂けないでしょうか。

    レジストリを記載頂ければ、私の方でも確認してみます。

     

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

    2018年1月19日 0:35
  • ご返信ありがとうございます。

    レジストリを確認いたしましたが、問題になりそうな設定はなさそうに思います。以下にレジストリを記載いたしますので、ご指摘いただけますと幸いです。

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings]
    "ActiveHoursEnd"=dword:00000011
    "ActiveHoursStart"=dword:00000008
    "DeferUpgrade"=dword:00000000
    "LastToastAction"=dword:00000070
    "UxOption"=dword:00000000

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
    "WUServer"="http://10.1.120.101:8530"
    "WUStatusServer"="http://10.1.120.101:8530"
    "DisableDualScan"=dword:00000001
    "DeferFeatureUpdates"=dword:00000001
    "BranchReadinessLevel"=dword:00000020
    "DeferFeatureUpdatesPeriodInDays"=dword:000000b4
    "PauseFeatureUpdatesStartTime"=""
    "DoNotConnectToWindowsUpdateInternetLocations"=dword:00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
    "NoAutoUpdate"=dword:00000000
    "AUOptions"=dword:00000004
    "ScheduledInstallDay"=dword:00000000
    "ScheduledInstallTime"=dword:00000003
    "UseWUServer"=dword:00000001
    "AlwaysAutoRebootAtScheduledTime"=dword:00000000
    "AUPowerManagement"=dword:00000000

    2018年1月19日 1:04
  • 私も同じような状況になってしまいましたので調査していたところ、こちらのスレッドにたどり着きました。

    試しにWindows7端末を1台だけ同WSUS配下にしたところ、明らかに必要そうな更新プログラムに対し、この更新プログラムが必要なコンピュータと判断されました。

    その他のWin10端末(1607,1703)は、明らかに必要な更新プログラムが、不要(適用なし)と判断されてしまっているように見えます。

    前回の状態レポート日付は、直近の日時で更新されているのですが、承認=承認済み、状態=インストール済みまたは該当しない で検索すると承認している更新プログラムがヒットせず、承認=承認済み、状態=インストール済み、該当しない、または状態の報告なし で検索すると大量にヒットする状態になっている為、状態レポートの中身のやりとり・判断がおかしくなってしまっているように思います。

    WSUS管理初心者ですので誤った理解をしている点もあるかもしれませんが、引き続き当スレッドを参考にさせて頂きます。 

    2018年1月19日 4:58
  • 特に問題になりそうなレジストリは見当たりませんね・・・

    もう少し調べてみますので、また後日返信いたします。

    2018年1月21日 15:22
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

    BranchReadinessLevel  0000020(32)

    でしょうか

    となると

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings

    ここにも同様のレジストリを追加しないとと思われます(デフォルトで自分のPCにはありました)

    自分は両方にBranchReadinessLevel  0000010(16)でしたけど

    2018年1月22日 5:07
  • 更新が遅れてしまい申し訳ありません。。

    デュアルスキャンを無効にしても更新されないのは私の勘違いだったようです。

    下記の手順にてKB4056890が適用されました。

    次のレジストリを追加

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat]
    "cadca5fe-87d3-4b96-b7fb-a231484277cc"=dword:00000000


    KB4025334をインストールし、次のグループポリシーを有効に設定
     [コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update]
     -> [Windows Update に対するスキャンを発生させる更新遅延ポリシーを許可しない

    ただ、KB4025334をWSUSから配信しても「適用なし」となるため、クライアント全台にスタンドアロンインストーラによる適用が必要となり、現実的ではありません。

    https://blogs.technet.microsoft.com/jpwsus/2016/11/15/windows-10-1607-wufb/

    に記載されている「補足1」の内容でも解消できるか確認しようと思います。



    2018年1月25日 2:47
  • なるほど、やはりデュアルスキャン動作が原因の様ですね。

     

    「補足1」にある Windows Update for Business 関連のポリシーを未構成にする方法ですが、実施すると CBB から CB となりますが、CB になったとしても WSUS を参照しているのであれば、WSUS で承認した更新プログラムのみがインストールされますので、機能更新プログラムの延長等を目的に CBB にしているのであれば、本来は不要な設定です。(WSUS での承認制御のみで良い)

     

    続報をお待ちしております。

    2018年1月25日 3:40
  • 当方もmasumi00004さんと同じように[Windows Update に対するスキャンを発生させる更新遅延ポリシーを許可しない]が含まれる管理テンプレートを設定し、GPで有効に設定したところ、あるバージョン以降のWin10 WSUSクライアントについては、現象が解消されたように見えます。

    [Windows Update に対するスキャンを発生させる更新遅延ポリシーを許可しない]がまだないWin10 WSUSクライアントの対応の為、https://blogs.technet.microsoft.com/jpwsus/2016/11/15/windows-10-1607-wufb/ の「補足1」を試してみようと思いますが、[機能更新プログラムをいつ受信するかを選択してください]と[品質更新プログラムをいつ受信するかを選択してください]は、ローカルグループポリシーの方でも設定していたかもしれませんので、GP側で未構成に設定したとしても、思い通りの結果にならないような気がしております。

    2018年1月25日 3:54
  • 更新が遅れまして申し訳ありません。

    「補足1」の内容のみでクライアント全台にKB4056890が適用できました。

    こちらの環境からの変更点は、次の一点を未構成にしただけです。

    ・[コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update] -> [Windows Update の延期]
    -> [機能更新プログラムをいつ受信するかを選択してください]

    今後は、再度上記を「CBB/180日」の設定に戻し、正常に更新が行われるか経過をみたいと思います。

    ありがとうございました。

    2018年2月2日 1:54