none
WSUS3.0SP1にて、レジストリで制御していたが強制再起動が動いてしまった。 RRS feed

  • 質問

  • WSUS3.0SP1にて、MSセキュリティパッチの配信を行っております。
    8月度のMSセキュリティパッチを配信した所、グループポリシーにて強制再起動を行なわないように設定をしていましたが、勝手に再起動がされてしまいました。
    何か設定に問題があるのでしょうか?

    クライアント環境
    ・WindowsXP端末
    ・ワークグループ環境

    以下のURL「AD以外の環境で自動更新を構成する」を参考に、レジストリ登録を行うBATファイルを作成して配信しております。
    http://technet.microsoft.com/ja-jp/library/cc708449(WS.10).aspx
    ※NoAutoRebootWithLoggedOnUsers の設定を行い、再起動は無効化しています。
    ※レジストリ登録内容
    reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v NoAutoUpdate /t REG_DWORD /d 00000000 /f
    reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v AUOptions /t REG_DWORD /d 00000004 /f
    reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v ScheduledInstallDay /t REG_DWORD /d 00000007 /f
    reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v ScheduledInstallTime /t REG_DWORD /d 00000003 /f
    reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v UseWUServer /t REG_DWORD /d 00000001 /f
    reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" /v NoAutoRebootWithLoggedOnUsers /t REG_DWORD /d 00000001 /f


    WSUSでは、自動承認の設定を行い、対象のグループへの更新の承認を行なっております。

    プロパティ値
    更新が、「セキュリティ問題の修正プログラム、ツール、ドライバ、更新、修正プログラム集、重要な更新、定義更新プログラム」に含まれる場合
    更新が、「任意のOffice製品、Windows XP」に含まれる場合
    「グループ名」への更新を承認する。

    クライアントのシステムのイベントビューアを確認した所、上記レジストリの指定時間にパッチが配信された後に、
    以下のイベントが残っていました。
    ---------------------------------------------------
    次の理由で、プロセス winlogon.exe は、PC名 の再実行を初期化しました: この理由のタイトルが見つかりません
     マイナな理由: 0x2
     シャットダウンの種類: 再起動
     コメント:

    詳細な情報は、http://go.microsoft.com/fwlink/events.asp の [ヘルプとサポート センター] を参照してください。
    ---------------------------------------------------

    なお、6月よりWSUSでの配信を行っておりますが、6月/7月度ではこのような問題にはならず、別途手動で再起動を行なえておりました。

    2009年8月21日 8:56

回答

  • こんにちは、フォーラムオペレーターの三沢健二です。

    ご投稿されたご質問について私の方で調べてみて、参考になればという情報をご紹介させていただきますね。

    - 参考資料
    そこが知りたい Windows Server Update Services(第12回)
    http://www.atmarkit.co.jp/fwin2k/operation/wsusqa12/wsusqa12_01.html

    そこが知りたい Windows Server Update Services(第13回)
    http://www.atmarkit.co.jp/fwin2k/operation/wsusqa13/wsusqa13_01.html


    上記の情報を確認しますと、ユーザーがログオンしていない状態だと、PC が自動的に再起動される旨が記述されていますので、自動的に再起動された端末がログオン状態だったのかどうかを確認されてみてはいかがでしょうか?
    もし、ログオン状態で自動的に再起動されたのであれば、再起動の確認ダイアログが表示されたのかどうか、表示されたのならどういった選択肢があったのか、などを確認してみて下さい。


    それでは、こちらの情報がお役に立てる事を願っています!

    ______________________________________
    マイクロソフト株式会社 フォーラムオペレーター 三沢健二

    2009年8月25日 5:33
    モデレータ
  • > 強制的に再起動がかかってしまったというのは、WSUSの仕様になってしまうのですね。

    デザインという意味では、WSUS サーバー側というより、OS の自動更新サービス (Automatic Updates) のデザインになります。

    WSUS は構築もお手軽ではありますが、技術そのものとしてはパッチを格納する Web サーバーであり、サーバー側からアクションを行うことは想定していないんですよね。。。
    「パッチを持って待っていますので、どうぞ皆さん取りに来てください」 という設計思想ですので、管理者の側からがっちりとクライアント管理を行うのであれば、エージェントを送り込むタイプのシステム管理製品が必要になります。

    マイクロソフト
    田村 晶多
    2009年8月28日 15:02

すべての返信

  • こんにちは、フォーラムオペレーターの三沢健二です。

    ご投稿されたご質問について私の方で調べてみて、参考になればという情報をご紹介させていただきますね。

    - 参考資料
    そこが知りたい Windows Server Update Services(第12回)
    http://www.atmarkit.co.jp/fwin2k/operation/wsusqa12/wsusqa12_01.html

    そこが知りたい Windows Server Update Services(第13回)
    http://www.atmarkit.co.jp/fwin2k/operation/wsusqa13/wsusqa13_01.html


    上記の情報を確認しますと、ユーザーがログオンしていない状態だと、PC が自動的に再起動される旨が記述されていますので、自動的に再起動された端末がログオン状態だったのかどうかを確認されてみてはいかがでしょうか?
    もし、ログオン状態で自動的に再起動されたのであれば、再起動の確認ダイアログが表示されたのかどうか、表示されたのならどういった選択肢があったのか、などを確認してみて下さい。


    それでは、こちらの情報がお役に立てる事を願っています!

    ______________________________________
    マイクロソフト株式会社 フォーラムオペレーター 三沢健二

    2009年8月25日 5:33
    モデレータ
  • 三沢様

    対象端末はログオフした状態になっており、利用者がいない夜間にセキュリティパッチの適用を行なっておりました。

    その為、三沢様にご案内いただいた資料内容の通り、誰もログインしていない状態だった為、
    強制的に再起動がかかってしまったというのは、WSUSの仕様になってしまうのですね。

    また、6月/7月で再起動がかからなかったのは、再起動が必須のセキュリティパッチが無かったという事ですね。

    ご回答ありがとうございました。

    指定した時間に再起動するように構成したかったのですが、wSUSの仕様では難しそうなので運用方法を再検討いたします。

    2009年8月28日 8:30
  • > 強制的に再起動がかかってしまったというのは、WSUSの仕様になってしまうのですね。

    デザインという意味では、WSUS サーバー側というより、OS の自動更新サービス (Automatic Updates) のデザインになります。

    WSUS は構築もお手軽ではありますが、技術そのものとしてはパッチを格納する Web サーバーであり、サーバー側からアクションを行うことは想定していないんですよね。。。
    「パッチを持って待っていますので、どうぞ皆さん取りに来てください」 という設計思想ですので、管理者の側からがっちりとクライアント管理を行うのであれば、エージェントを送り込むタイプのシステム管理製品が必要になります。

    マイクロソフト
    田村 晶多
    2009年8月28日 15:02
  • こんにちは、フォーラムオペレーターの高橋春樹です。

    M-Kamiさん、初めまして。
    TechNetフォーラムのご利用ありがとうございます。

    弊社三沢からのアドバイスが疑問点の解決に繋がるものでよかったです。

    今回、弊社三沢と田村のアドバイスが有用なものであった、と思いましたので、
    こちらの方で、回答マークを付けさせてもらいました。

    今後ともTechNetフォーラムのご利用、よろしくお願いします。


    マイクロソフト株式会社 フォーラム オペレーター 高橋春樹
    2009年9月4日 5:53