従業員約350名規模、都内に3拠点、地方に4拠点の会社(非IT業種)で上司と後輩の3名体制。, 2019年6月にActive Directoryと共にWSUS(Windows Server Update Service)を導入し、Windows Updateの管理をできる環境を構築していたのだが、このWSUSが正常に機能していないことが分かり、対策を講じた。, 今回は今夏にWSUSを導入していたものの、まだしっかり運用出来ていなかったため、やっと落ち着いて色々触りまくってみるかーと思った矢先に何故か全然Windows Updateが適用されないという問題に直面したため、解決するためにやったことを書いていきたいと思います。, さて、まずWSUSを使ったWindows Updateの流れについて簡単に説明します(ADのグループポリシーも活用する前提)。, 通常、WindowsのPCやサーバはインターネット上のWindows Updateを見に行って、そこから更新プログラムをダウンロードしたのち、インストールをします。, WSUSは、同様にインターネット上のWindow Updateからダウンロードをしてサーバに溜め込んでいきます。, そして、ADのグループポリシーで、Windowsクライアントはインターネット上のWindows Updateを見に行かず、WSUSサーバのみを見に行くよう制御することで、 WSUSでWindows Updateを制御することができるようになっています。, Windowsクライアントは、定期的(スパンはグループポリシーで設定可能)にWSUSサーバへ自分に適用が必要な更新プログラムがあるかどうかを検出しにいきます。, ※グループポリシーで「自動更新を構成する」を無効にしている場合は、手動で検出をする必要があります。, WSUSでは、指定したプログラムを指定したコンピュータグループに対して「承認」という動作を行い、Windowsクライアントはその「承認」された更新プログラムのみをWSUSサーバからダウンロードします。, ダウンロードされた更新プログラムは、グループポリシーで設定されたスケジュールの時間帯でインストールが行われ、再起動が必要なものは再起動時(再起動のスケジューリングもグループポリシーで適用可)に適用される。大まかにこんな流れになります。, まず、Windows Updateのログを確認してみると(ログはPower Shellで “Get-WindowsUpdateLog” と打ち込んで実行すればデスクトップ上にテキストファイル上で出力されます)、WSUSとの通信をしているっぽい箇所で、”0x8024500c” というエラーコードが出ていることを確認。, これ、自分も詳しいことはよくわからんのですが、Windowsのデュアルスキャンという機能が働いていて、WSUSとインターネット上のWindows Updaterの両方を見に行っちゃうらしいんです。これが有効になっていることで、WSUSからのダウンロードがうまくいっていないという記事をたくさん見ました。, 「コンピューターの構成」→「管理用テンプレート」→「Windows コンポーネント」→「Windows Update」, →「Windows Updateに対するスキャンを発生させる更新遅延ポリシーを許可しない」:有効, 設定を改めて確認したところ、なんとこの部分は元々グループポリシーで設定されていたのです。, もう少し調べていくと、このグループポリシーに対応したWindowsのレジストリの値があるとのこと。, コンピューター\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DisableDualScan, ややこしいですが、「DisableDualScan」とは「デュアルスキャンを無効にする」という意味。つまり、”0″ になっているとうことは、 デュアルスキャンの無効が無効になっている、イコールデュアルスキャンが有効になっているということ。あれ、グループポリシーが正しく適用されてない・・・, まず検証のためにこの値をとりあえず手動で “1” に変え、手動で更新プログラムの検出を実行してみると・・・ダウンロードが走り出した・・・これだ。, ということで、この値を強制的に変更できる方法はないかと模索したところ、はい、ありました。しかもちゃんとグループポリシーで制御できる。, 「コンピューターの構成」→「基本設定」→「Windowsの設定」→「レジストリ」→右クリック→「新規作成」→「レジストリ項目」, さて、これでレジストリの「DisableDualScan」の値が正しく “1” になるか・・・何度か再起動をしてみると・・・ “1” になっていたり”0″ になっていたり結果はまちまち。, どうやらWindowsが起動する時に、起動が速過ぎてグループポリシーを読み込まないまま起動されてしまうなんてことがあるみたい。, 高速ブートを無効にする、ということもできるみたいだけど、それはあまりやりたくなかったので、この方法を選択しました。, 「コンピュータの構成」→「管理者用テンプレート」→「システム」→「グループポリシー」→「コンピュータのグループポリシーの更新間隔」, とりあえず1時間で設定をして見たところ、依然として起動時にレジストリの「DisableDualScan」の値が必ずしも “1” にはなっていないものの、少し時間を置いて確認してみると、ちゃんと有効になっている!, 上述した通り、Windowsクライアントは、定期的に WSUSサーバへ自分に対して「承認」された更新プログラムを検出し、ダウンロードします。, このWSUSサーバへ検出しにいくタイミングで、デュアルスキャンが無効になっていないと意味がありません。, そこでクライアントが更新プログラムを検出するタイミングに着目したところ、毎朝PCを起動した直後だけで、それ以外では全く検出が行われていなかったのです。, これではたとえ起動後にデュアルスキャンが無効になるようにしたところで、意味がありませんよね。デュアルスキャンが有効になった状態で起動することも多々あったので、その状態で更新プログラムの検出をしちゃってたということです。, それならデュアルスキャンが有効になった後に更新プログラムの検出をしに行けばいいわけなので、こちらもグループポリシーで設定しました。, 「コンピューターの構成」→「ポリシー」→「管理用テンプレート」→「Windowsコンポーネント」→「Windows Update」→「自動更新の検出頻度」, 「コンピューターの構成」→「ポリシー」→「管理用テンプレート」→「Windowsコンポーネント」→「Windows Update」→「自動更新を更新する」, ちなみに、これは未構成や無効にしていると、デフォルトで22時間に1回検出するみたいです。どうりで毎朝PC起動直後にしか検出しないわけですね・・・, これで、とりあえずは1日に何回か更新プログラムの検出を行ってくれるようになったので(検出は1時間間隔にしているのに何故か2時間以上掛かったりすることはありますが・・・)、デュアルスキャンが無効状態で更新プログラムを検出する、という動きを取れるようになりました。ひとまず一件落着。, もちろん、ユーザーに夕方とかに手動でやってもらうという方法もありますが、やってくれない人も必ず出てくるため、この運用は現実的ではないと考えました。, はい、今回は非常に悪戦苦闘しました。WSUSが上手く動かない問題って、ググると大体グループポリシーの設定が正しく行われていない、というもので、今回のような事象(デュアルスキャンのレジストリ問題)は全然見当たりませんでした。, 今回の一件でWindowsクライアントがWSUSによってWindows Updateが適用される一連の流れについて理解することができ、非常に勉強になりました(実は冒頭で説明している「WSUSを使用したWindows Updateの流れ」、今回で初めてちゃんと理解しました・・・w)。, おそらくこの内容はレアケースだと思うので、なかなかないと思いますが、グループポリシーが正しく設定されているにもかかわらずWindows Updateが正しく適用されない場合は、是非参考にしてみてください。, とはいえ、今回の対策はADのグループポリシーがあってこそ。やっぱりWSUSとADはセットで考えるべきなんだなあと改めて実感させられました。. Windows Update for Business の設定を変更する前に、更新プログラムの展開戦略を検討し、計画しておく必要があります。You should consider and devise a deployment strategy for updates before you make changes to the Windows Update for Business setting… 「ドメイングループポリシーを設定しているがコンピュータの構成ポリシーだけが適用されない」と困る管理者の方がいらっしゃいます。 よくある原因と回避法を記載しておきますので、ご確認ください。 Force updated clients. 注意: 注意: Windows 10 Enterprise、 Education、および IoT Enterprise エディションの追加のサービス提供は 2019 年 4 月 10 日に終了します。 さらに延長されることはありません。 セキュリティおよび品質更新プログラムを引き続き入手するには、Windows 10 の最新バージョンに更新することをお勧めします。 WSUSを使用したWindows Updateが機能しなかった問題に対するActive Directoryグループポリシーを用いた解決方法(デュアルスキャンの強制無効、グループポリシー更新間隔の設定、Windows自動更新間隔の設定)について説明しています。 グループポリシーを無効にする → 更新プログラムのチェック → 押せるようになる. デュアル スキャン対策」の部分の更新プログラムの適用と、ポリシーの適用が正しく行われているか、対象のクライアント上で確認しましょう。 Windows10になってから、Windows Updateが勝手にPCを再起動するようになりました。 勝手に再起動したために、編集中の作業がすべてなくなってしまいました。 消えた作業分どうしてくれますの? 再起動するならするで構わないですが、編集中のものをちゃんと保存させて再起動させてください。 Windows 10では、Windows Updateの設定は「設定」アプリに移行している。Windows 10 Pro以上でWindows Updateを制御するには、グループポリシーエディタを使う。 WSUS クライアントのグループ ポリシー : その 3 – Windows 10 基本編; に紹介されている手順のうち、特に「4. CredSSP を使用するクライアント アプリケーションは、安全でないバージョンにフォールバックすることができなくなります。. Windows 10 バージョン 1703 と 1709 (Creators Update と Fall Creators Update) を対象にして解説しています。 クライアントの動作. ・通常は選択する必要がない項目. 以上で「Windows 10」のグループポリシーエディターから「Windows Update」の自動更新を変更することができました。 次に前項で記載する内容と同様に、お使いの「Windows 10」のコマンドプロンプト画面を管理者権限で表示します。 ローカルグループポリシーエディター(gpedit.msc)とは、Windows10の設定や制限などを行うツールのことです。本記事では、Windows10でローカルグループポリシーエディター(gpedit.msc)を起動する方法について解説させていただきます。 こういう問題では、いわゆる裏設定がないか調べるのが常套手段ですが、やはり存在しました。 ただし制限というか、以下の方法は「Windows 10 Pro」でしか利用できません。 ローカル グループ ポリシー エディターを開く 0. レジストリの値. サーバーの動作. グループポリシーにある「インターネット上の Windows Update に接続しない」を有効/無効にする方法です。, グループポリシーにある「Windows Update に対するスキャンを発生させる更新遅延ポリシーを許可しない」を有効/無効にする方法です。, グループポリシーにある「Windows Update からドライバーを除外する」を有効/無効にする方法です。, グループポリシーにある「Windows Update のすべての機能へのアクセスを削除する」を有効/無効にする方法です。, [GPO]「インターネット上の Windows Update に接続しない」をグループポリシーで設定する方法【Win10編】, [GPO]「Windows Update のすべての機能へのアクセスを削除する」をグループポリシーで設定する方法【Win10編】, [GPO]「Windows Update に対するスキャンを発生させる更新遅延ポリシーを許可しない」をグループポリシーで設定する方法【Win10編】, [GPO]「Microsoft Store のすべてのアプリを無効にする」をグループポリシーで設定する方法【Win10編】, [GPO]「更新プログラムの自動ダウンロードおよび自動インストールをオフにする」をグループポリシーで設定する方法【Win10編】, 管理用テンプレート -> Windows コンポーネント -> Windows Update, Software\Policies\Microsoft\Windows\WindowsUpdate, DoNotConnectToWindowsUpdateInternetLocations. Windows10では「Windows Update」という定期的な更新があります。Windows10のWindows Updateは、更新プログラムがあると自動で実行されて勝手にPCをが再起動されてしまいます。 アップデートによってはWindowsで不具合が出たり、操作が変更になってしまう場合もあるため、自動更新を停止させた … ポリシー設定. 対処法. 適用2:WindowsUpdateへアクセス禁止とするグループポリシーを”有効”設定する 今回は 元記事2 の「A. 役割と機能の追加ウィザード画面が表示されますので、<次へ>ボタンをクリックします。 4. 関連記事 [Windows 10]ローカルグループポリシー(Local Group Policy) Windows Update設定画面が変わった? 上記のグループポリシーエディター(gpedit.msc)で有効または無効に設定した後に、Windows Update設定画面上で更新プログラムのチェックを一度押してみても一見、特に変わった様子はありませ … (adsbygoogle = window.adsbygoogle || []).push({}); 新卒から4年程度は営業、その後Webエンジニアを半年経験した後社内SEへ職種転換。, 未経験から社内SEへの転職を考えている方の勇気になるよう、日々の経験をおもしろおかしく書いていければと思います。, キーのパス:SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate(参照可), Google Cloud Directory Sync(GCDS)でActive DirectoryとG Suiteを同期させたお話, Google Apps Script(GAS)でG Suite全ユーザーリストのスプレッドシート書き出しを自動化してみたお話, グループポリシーでレジストリの設定値を変更し、強制的にデュアルスキャンを無効にする. Active DirectoryではWindows Serverでプリンタ共有してドメイン内のPCにグループポリシーで自動配布、というケースも多いかと。 そんな環境でWindows10 1903適用時に発生した出来事です。 該当するサーバーに管理者権限アカウントでログインします。 2. 更新プログラムを WSUS サーバーのみから取得するようにしたい場合」で進めていきます。 Windows10は、標準の状態ではWindows Updateの実行時期等を自分で決めることができないようになっています。そこで、「グループポリシーエディター」を使って自由に設定を変更する方法について紹 … gpresult コマンドは適用されている GPO を表示したい時に使います。以下、参考に説明を書いておきます。 使い方としては、コマンドプロンプトを起動し、gpresult コマンドを入力して実行するだけです。実行後に結果が表示されます。 注意したいのが、ユーザー権限で gpresult を実行すると、コンピューターに適用されている GPO が表示されません。 コンピューターに適用されている GPO を表示したい時は、コマンドプロンプトを管理者として実行する必要があります。 gpresult /H を実行した場合、html … サーバーマネージャーを起動し、「役割と機能の追加」メニューをクリックします。 3. さて改めまして今回の投稿は、先日の投稿の投稿に引き続き、「Windows 10」のメジャーアップデートに関する投稿になります。 先日の投稿で記載したように、2018年5月1日(1)米国時間:2018年4月30日に「Windows 10」の次期メジャーアップデートとなる「Windows 10 April 2018 Update」の配信が開始されました。 そして当ブログ管理人のパソコン環境で使用する「Windows 10」においても、「Windows 10 April 2018 Update」を適用してみましたが、「Windows 10 April 2018 Update」の適用直 … Windows 10 (Pro版) で、通常の Windows update (月例で配信される更新プログラム / 品質更新プログラム) を延期する方法を紹介したページです。. 以下のバージョンでは、グループポリシーに、適用するWindows 10アップデートのバージョンを選択する設定が追加されています。この設定を有効にした場合も、必ず上記の延期設定を行ってください。 Windows 10で管理ツールの中にローカルグループ ポリシーエディターが見つからない場合があります。管理ツールをのぞいてもその中に無い場合には、ファイル名を指定して実行にgpedit.mscのコマンドを入力しても gpedit.msc が見つかりません。 6 入力内容に間違いがないことを確認し、「適用」をクリックします 以上で設定は完了です 動画:Windowsの機能で簡易に変更をする場合. ローカルグループポリシーエディターは次のエディションでそのまま使用することができますが. Windows10では、Windows Updateを自動で強制適用させるようになりましたが、適用を除外したい場合もあると思いますので、除外にする方法をご紹介します。 以下に、WSUSサーバーを構築する手順についてご紹介します。なお、本手順ではWindows 2012 R2 Serverにて評価しています。 1. 「役割ベースまたは機能ベースのインストール」を選 … 適用したいouにグループポリシーが割り当てられていない場合、当たり前ですがgpoは適用されません。 やりがちなのが、 「ユーザの構成」と「コンピューターの構成」を混同すること です。 前回、Windows10への移行で課題となる半年ごとのアップデートの概要と、円滑に進めるためのツールをご紹介しました。 今回は、WSUSやIT資産管理ツールを使うことでWindows10のアップデート管理がいかに便利になるのか、ご紹介します。 [GPO]「Windows Update に対するスキャンを発生させる更新遅延ポリシーを許可しない」をグループポリシーで設定する方法【Win10編】 202 views 2019.03.29 2019.10.16 グループポリシー管理コンソール (GPMC) を使用して、ビジネスの Windows Update の動作を制御することができます。You can use Group Policy through the Group Policy Management Console (GPMC) to control how Windows Update for Business works. 大型のシステム更新を遅らせる方法 [44秒] ※音声はありません. Windows 2000 では、グループ ポリシー オブジェクト エディタはグループ ポリシー エディタと呼ばれています。名前は異なりますが、グループ ポリシー オブジェクトを編集するための同じツールです。一般には、"gpedit" とも呼ばれます。 Windows 10 Pro; Windows 10 Enterprise; Windows 10 Education; その他(Windows 10 Home など)のエディションでは、グループポリシーエディターを有効にしないと使用できません。 動画:ローカルグループポリシーから設定する場合 上述のとおり、更新プログラムのチェックを1回やってあげないと、更新プログラムのチェックボタンが押せないということはお分かりいただけたかと思います。 ※本資料は、SDP-RIP用途で使用しているWindows 10機(Endeavor AT993EDIA9/Endeavor AT992EDIA8b/Endeavor AT993EDIA9/Endeavor AT993DIA10)が対象となります。 2017年4月以降配信されているWindows 10のWindows Update(またはCreators Update)実行後、以下の症状が報告されて …
クリスタ 登録 の 管理, 池田駅 事故 今日, ハイカット スニーカー おしゃれ, Hks フラッシュエディター S660 44g, ギブソン デカール タイムズ, 池田駅 事故 今日, Crown レッスン7 エクササイズ, それは良かった 英語 丁寧, 五十音表 古典 カタカナ, 明 場 由美子 本, 金運 パワーストーン 2020, パリーグ 観客 いつから, Rg1 ステップワゴン パワステ ポンプ 異音, 原宿 テイクアウト ピクニック, リミット ドラマ あらすじ, Asd 大人 チェックリスト, 韓国 通販 質がいい メンズ, びっくり箱 牛乳パック へび, 中学保健体育 教科書 中身, カーテン レール ランナー 足りない, Leave 過去形 左, Spotify ウィジェット 表示されない, 東京駅 時刻表 東北新幹線, 地方競馬 ネット投票 できない, 助手席ナビ バージョン アップ, F1 日本グランプリ 歴史, イラストレーター 文字 編集できない, 卒寿 プレゼント おしゃれ, 布わらじ スリッパ 作り方, インスタントコーヒー 消 臭, 上野樹里 平野レミ 明日香, Rx-8 ブレーキパッド おすすめ, エクセル 印刷範囲 線が消える, Excel 共同編集 Onedrive, 色鉛筆 グラデーション 夕焼け, アイビス 透過保存 できない, ライフ 映画 2013, 女性 プレゼント 人気,
