レジストリを編集して、WSUSを利用し、WindowsUpdateを実施しています。 一部、クライアントで、WSUSサーバーを見に行かず、通常のWindowsUpdateが適用されてしまいます。 念のため、グループポリシーを使用した方法を下記を参考に試してみましたが、現象は変わりません。 関連情報:重要な事項を含みます !function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0],p=/^http:/.test(d.location)? WSUS に向けてるんだから Windows Update からは取ってこないでよ。 Windows 10 1607 や 1703 の場合、最新パッチまで当てているとグループポリシーに「Windows Update に対するスキャンを発生させる更新遅延ポリシーを許可しない」が出てきます。 従業員約350名規模、都内に3拠点、地方に4拠点の会社(非IT業種)で上司と後輩の3名体制。, 2019年6月にActive Directoryと共にWSUS(Windows Server Update Service)を導入し、Windows Updateの管理をできる環境を構築していたのだが、このWSUSが正常に機能していないことが分かり、対策を講じた。, 今回は今夏にWSUSを導入していたものの、まだしっかり運用出来ていなかったため、やっと落ち着いて色々触りまくってみるかーと思った矢先に何故か全然Windows Updateが適用されないという問題に直面したため、解決するためにやったことを書いていきたいと思います。, さて、まずWSUSを使ったWindows Updateの流れについて簡単に説明します(ADのグループポリシーも活用する前提)。, 通常、WindowsのPCやサーバはインターネット上のWindows Updateを見に行って、そこから更新プログラムをダウンロードしたのち、インストールをします。, WSUSは、同様にインターネット上のWindow Updateからダウンロードをしてサーバに溜め込んでいきます。, そして、ADのグループポリシーで、Windowsクライアントはインターネット上のWindows Updateを見に行かず、WSUSサーバのみを見に行くよう制御することで、 WSUSでWindows Updateを制御することができるようになっています。, Windowsクライアントは、定期的(スパンはグループポリシーで設定可能)にWSUSサーバへ自分に適用が必要な更新プログラムがあるかどうかを検出しにいきます。, ※グループポリシーで「自動更新を構成する」を無効にしている場合は、手動で検出をする必要があります。, WSUSでは、指定したプログラムを指定したコンピュータグループに対して「承認」という動作を行い、Windowsクライアントはその「承認」された更新プログラムのみをWSUSサーバからダウンロードします。, ダウンロードされた更新プログラムは、グループポリシーで設定されたスケジュールの時間帯でインストールが行われ、再起動が必要なものは再起動時(再起動のスケジューリングもグループポリシーで適用可)に適用される。大まかにこんな流れになります。, まず、Windows Updateのログを確認してみると(ログはPower Shellで “Get-WindowsUpdateLog” と打ち込んで実行すればデスクトップ上にテキストファイル上で出力されます)、WSUSとの通信をしているっぽい箇所で、”0x8024500c” というエラーコードが出ていることを確認。, これ、自分も詳しいことはよくわからんのですが、Windowsのデュアルスキャンという機能が働いていて、WSUSとインターネット上のWindows Updaterの両方を見に行っちゃうらしいんです。これが有効になっていることで、WSUSからのダウンロードがうまくいっていないという記事をたくさん見ました。, 「コンピューターの構成」→「管理用テンプレート」→「Windows コンポーネント」→「Windows Update」, →「Windows Updateに対するスキャンを発生させる更新遅延ポリシーを許可しない」:有効, 設定を改めて確認したところ、なんとこの部分は元々グループポリシーで設定されていたのです。, もう少し調べていくと、このグループポリシーに対応したWindowsのレジストリの値があるとのこと。, コンピューター\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DisableDualScan, ややこしいですが、「DisableDualScan」とは「デュアルスキャンを無効にする」という意味。つまり、”0″ になっているとうことは、 デュアルスキャンの無効が無効になっている、イコールデュアルスキャンが有効になっているということ。あれ、グループポリシーが正しく適用されてない・・・, まず検証のためにこの値をとりあえず手動で “1” に変え、手動で更新プログラムの検出を実行してみると・・・ダウンロードが走り出した・・・これだ。, ということで、この値を強制的に変更できる方法はないかと模索したところ、はい、ありました。しかもちゃんとグループポリシーで制御できる。, 「コンピューターの構成」→「基本設定」→「Windowsの設定」→「レジストリ」→右クリック→「新規作成」→「レジストリ項目」, さて、これでレジストリの「DisableDualScan」の値が正しく “1” になるか・・・何度か再起動をしてみると・・・ “1” になっていたり”0″ になっていたり結果はまちまち。, どうやらWindowsが起動する時に、起動が速過ぎてグループポリシーを読み込まないまま起動されてしまうなんてことがあるみたい。, 高速ブートを無効にする、ということもできるみたいだけど、それはあまりやりたくなかったので、この方法を選択しました。, 「コンピュータの構成」→「管理者用テンプレート」→「システム」→「グループポリシー」→「コンピュータのグループポリシーの更新間隔」, とりあえず1時間で設定をして見たところ、依然として起動時にレジストリの「DisableDualScan」の値が必ずしも “1” にはなっていないものの、少し時間を置いて確認してみると、ちゃんと有効になっている!, 上述した通り、Windowsクライアントは、定期的に WSUSサーバへ自分に対して「承認」された更新プログラムを検出し、ダウンロードします。, このWSUSサーバへ検出しにいくタイミングで、デュアルスキャンが無効になっていないと意味がありません。, そこでクライアントが更新プログラムを検出するタイミングに着目したところ、毎朝PCを起動した直後だけで、それ以外では全く検出が行われていなかったのです。, これではたとえ起動後にデュアルスキャンが無効になるようにしたところで、意味がありませんよね。デュアルスキャンが有効になった状態で起動することも多々あったので、その状態で更新プログラムの検出をしちゃってたということです。, それならデュアルスキャンが有効になった後に更新プログラムの検出をしに行けばいいわけなので、こちらもグループポリシーで設定しました。, 「コンピューターの構成」→「ポリシー」→「管理用テンプレート」→「Windowsコンポーネント」→「Windows Update」→「自動更新の検出頻度」, 「コンピューターの構成」→「ポリシー」→「管理用テンプレート」→「Windowsコンポーネント」→「Windows Update」→「自動更新を更新する」, ちなみに、これは未構成や無効にしていると、デフォルトで22時間に1回検出するみたいです。どうりで毎朝PC起動直後にしか検出しないわけですね・・・, これで、とりあえずは1日に何回か更新プログラムの検出を行ってくれるようになったので(検出は1時間間隔にしているのに何故か2時間以上掛かったりすることはありますが・・・)、デュアルスキャンが無効状態で更新プログラムを検出する、という動きを取れるようになりました。ひとまず一件落着。, もちろん、ユーザーに夕方とかに手動でやってもらうという方法もありますが、やってくれない人も必ず出てくるため、この運用は現実的ではないと考えました。, はい、今回は非常に悪戦苦闘しました。WSUSが上手く動かない問題って、ググると大体グループポリシーの設定が正しく行われていない、というもので、今回のような事象(デュアルスキャンのレジストリ問題)は全然見当たりませんでした。, 今回の一件でWindowsクライアントがWSUSによってWindows Updateが適用される一連の流れについて理解することができ、非常に勉強になりました(実は冒頭で説明している「WSUSを使用したWindows Updateの流れ」、今回で初めてちゃんと理解しました・・・w)。, おそらくこの内容はレアケースだと思うので、なかなかないと思いますが、グループポリシーが正しく設定されているにもかかわらずWindows Updateが正しく適用されない場合は、是非参考にしてみてください。, とはいえ、今回の対策はADのグループポリシーがあってこそ。やっぱりWSUSとADはセットで考えるべきなんだなあと改めて実感させられました。. WSUSを使用したWindows Updateが機能しなかった問題に対するActive Directoryグループポリシーを用いた解決方法(デュアルスキャンの強制無効、グループポリシー更新間隔の設定、Windows自動更新間隔の設定)について説明しています。 Configuration Manager クライアント、サイト サーバー、リモート サイト システムでのタスク Tasks for Configuration Manager clients, site servers, and remote site systems. レジストリを編集して、WSUSを利用し、WindowsUpdateを実施しています。, 一部、クライアントで、WSUSサーバーを見に行かず、通常のWindowsUpdateが適用されてしまいます。, 念のため、グループポリシーを使用した方法を下記を参考に試してみましたが、現象は変わりません。, https://blogs.technet.microsoft.com/jpwsus/2018/01/24/wsus-gp3/, KB44566550 WSUSを無効にしてインストールする方法 「0x800F0954」エラーが発生してインストールできない場合は、レジストリエディタでWSUS(Windows Server Update Service)をオフにしてから、インストールしてみてください。 Windows 10、バージョン1803のスタックアップデートのサービス:2018年9月11日 更新プログラムのインストール処理を改善するサービススタック更新プログラムについて 'http':'https';if(!d.getElementById(id)){js=d.createElement(s);js.id=id;js.src=p+'://platform.twitter.com/widgets.js';fjs.parentNode.insertBefore(js,fjs);}}(document, 'script', 'twitter-wjs'). (adsbygoogle = window.adsbygoogle || []).push({}); 新卒から4年程度は営業、その後Webエンジニアを半年経験した後社内SEへ職種転換。, 未経験から社内SEへの転職を考えている方の勇気になるよう、日々の経験をおもしろおかしく書いていければと思います。, キーのパス:SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate(参照可), Google Cloud Directory Sync(GCDS)でActive DirectoryとG Suiteを同期させたお話, Google Apps Script(GAS)でG Suite全ユーザーリストのスプレッドシート書き出しを自動化してみたお話, グループポリシーでレジストリの設定値を変更し、強制的にデュアルスキャンを無効にする. Windows 10 の WSUS クライアントが Windows Update から更新プログラムを取得するようになってしまう事象について – Japan WSUS Support Team Blog, Windows Update for Business 関連のポリシーを一つでも構成した場合、WSUS クライアントであるにも関わらず自動更新で Windows Update から更新プログラムを取得する、という動作をします。デュアルスキャンというやつです。, WSUS に向けてるんだから Windows Update からは取ってこないでよ。, Windows 10 1607 や 1703 の場合、最新パッチまで当てているとグループポリシーに「Windows Update に対するスキャンを発生させる更新遅延ポリシーを許可しない」が出てきます。こいつを有効にするとデュアルスキャンをしなくなります。, 対応するレジストリは、 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate の DisableDualScan を 1 に設定です。. Tweet Windows NT/2000/XP/2003/2008 Page > Windows Server 2012 > WSUSサーバーおよび自動更新レジストリ WSUSサーバの設定レジストリ HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate CBS のコンポーネントを構成する各モジュール (cbscore.dll 等) が更新され、KBをいったんインストールするとアンインストールすることはできません。, また、「WSUSサーバーを見に行かず、通常のWindowsUpdateというより」も両方見に行ってしまうという障害?の話が先月か先々月にあったと思うのですが見つけられません。(私も続けて探してみますが)双方とも見に行ってしまうというようなキーワードで探してみてくださいね。, フィードバックをお送りいただきありがとうございます。今後のサイト改善に役立てて参ります。, Windows 10 の WSUS クライアントが Windows Update から更新プログラムを取得するようになってしまう事象について, TechNet フォーラム「WSUSサーバーを見に行かず、通常のWindowsUpdateが適用されます。」に続きます。, 質問への返信はこのスレッドに投稿せず、TechNet フォーラムのスレッドに投稿してください。, このスレッドはロックされています。質問をフォローすることや役に立つと投票することはできますが、このスレッドに返信することはできません。, ここは一般向けのコミュニティなので、社内の WSUS 環境など、システム管理者向けの内容であれば下記の technet のフォーラムで質問された方が良いと思います。. 2018-09 x64 ベース システム用 Windows 10 Version 1803 更新プログラム (KB4456655)