こんにちは、マイクロソフトの福島です。

今回も前回に続き、Windows Update / Microsoft Update の情報を投稿いたします。

# WSUS は 本現象の影響は受けません。
# Windows Update 専用のサポート担当ブログは無いのでここに投稿いたします。
# ちなみに WSUS と Windows Update は同じ担当者がサポートしております。

最近 「Windows Update が エラー 0x8024800A で失敗する」と、複数のお客様からご指摘をいただきました。

確認の結果、これは弊社サイト側に一過性の問題が生じていたことが原因であり、3/23 時点で問題が解消していることが判りましたので、ご報告させていただきます。

ただし、問題発生時のデータがコンピューター側にキャッシュされていると、その影響によってクライアントのエラーが現在も続いてしまう可能性があります。依然として 0x8024800A で失敗し続けているコンピューターがありましたら、まことに恐れ入りますが、データのクリアをお試しください。この手順は以下のとおりです。

コンピューター上のデータをクリアする手順

1)   管理者権限でコマンド プロンプトを起動し、��下のコマンドを実行して、サービスを停止します。

net stop wuauserv

net stop bits

2)   引き続き以下コマンドを実行して、フォルダをリネームします。リネーム先のフォルダ名は、ここでは SD.old としてありますが任意で結構です。またエクスプローラ画面から「名前の変更」を行ってももちろん結構です。

ren %windir%\SoftwareDistribution SD.old

3)   以下コマンドを実行して、サービスを再開します。

net start wuauserv

net start bits

※補足：上記手順の実施による影響：

・[更新履歴の表示] の情報がクリアされます。

・過去、クライアント側の操作にて「非表示」設定（処理対象から除外する）していた更新プログラムが存在する場合は、その設定が解除されます。

こんにちは、マイクロソフトの福島です。

本日、月例公開された「悪意のあるソフトウェアの削除ツール」の日本語版タイトルが、本来「2013年4 月」となるべきところ、誤って 3 月と表記されております。( ただし英語環境では正しく April となります )　WSUS、Microsoft Update カタログ、Windows Update いずれもそのようになります。こちらの件、ただいま対応中ですので、申し訳ございませんが少々お待ちください。なお本来の３月版との判別には、リリース日や置き換え関係などの情報をご参照いただければと思います。

この問題はタイトル部の日本語表記のみで、内容については正しい 2013 年 4 月バージョンとなっており、配布・実行動作上の差し障りはございません。（ただしログ等の記録上は誤った日本語タイトルが残ってしまいますがご容赦ください）

2013/04/11 追記

本日、修正されております。まことにご迷惑をお掛けいたしました。

こんにちは。マイクロソフトの三島です。

今回は、「WSUS サーバーにおける Firewall の構成方法」と、それに関連して「よくいただくご質問への回答」をご紹介します。
なお、ご紹介する構成方法は、Windows Update / Microsoft Update 環境にも適用されます。

「WSUS サーバーにおける Firewall の構成方法」
～～～～～～～～～～～～～～～～～～～～～～～

以下 2 点の通信を Firewall にて許可してください。

- 80 番ポートの HTTP 通信
- 443 番ポートの SSL (HTTPS) 通信

すべてのインターネット アドレスに対してこれらの通信を許可できない場合には、以下の 2 点の技術情報サイトに記載されているすべての URL に対して通信を許可してください。

You cannot download updates when you access the Windows Update Web site from a Windows XP-based computer that is behind a firewall or a proxy server
http://support.microsoft.com/kb/896226/en-us
(※Resolution の項目を参照ください。)

You experience problems when you access the Windows Update Version 5 Web site through a server that is running ISA Server
http://support.microsoft.com/kb/885819/en-gb
（※WORKAROUND の項目を参照ください。）

※注意：
通信を許可していただきたい URL のリストは、将来的に更新される可能性があります。
ご不便をおかけいたしますが、上記のサイトを定期的に、あるいは通信に問題が発生した際に、URL のリストに更新がないかを確認してくださいますようお願いいたします。

「よくいただくご質問への回答」
～～～～～～～～～～～～～～～～～～～～～～～

ご質問：
Firewall で通信を許可するため、Windows Update / Microsoft Update サイトの IP アドレスやサーバー名を教えてほしい。

回答：
Windows Update / Microsoft Update サイトの IP アドレス、サーバー名、および使用するドメイン名は、弊社サイトの運用状況に応じて不定期で変更いたします。
そのため、通信の許可を行っていただく際には、上記 2 点のサイトでご案内しております、ワイルドカード (*) を含むドメイン名の指定にて通信を許可してください。

----Update 4/24/2013 --------

MS13-036 (KB2829996)  の問題を修正する更新プログラム KB2840149 を再リリースいたしました。
詳細は、以下のページをご参照ください。

KB2823324 (MS13-036) を修正する更新プログラム KB2840149 を再リリースしました
http://blogs.technet.com/b/jpwsus/archive/2013/04/24/kb2823324-ms13-036-kb2840149.aspx
-------------------------------------

こんにちは。マイクロソフトの伊藤です。

今月リリースされた MS13-036 について、適用後に一部の環境で OS が起動しなくなる問題が報告されています。
このため、Microsoft Update サイトからは MS13-036 の配信を一時的に停止しております。

WSUS にも同期のタイミングで配信停止となる予定ですが、配信サーバーが複数存在する関係上、すべての WSUS サーバーへ配信停止が行き渡るまでには時間がかかる見込みです。
もし、WSUS 管理をされていて、MS13-036 の配布を実施している場合には配布の停止をお願いします。

マイクロソフト セキュリティ情報 MS13-036 - 重要
カーネルモード ドライバーの脆弱性により、特権が昇格される (2829996)
http://technet.microsoft.com/ja-jp/security/bulletin/MS13-036

現在、対処方法について確認を進めております。
既知の問題の詳細や暫定的な対処方法については、下記の技術情報をご参照下さい。

2823324 のセキュリティ更新プログラムをインストールした後、Windows 7 で停止 0xc000000e スタートアップ エラーが表示されます。
http://support.microsoft.com/kb/2839011

You receive a Stop 0xc000000e startup error in Windows 7 after you install security update 2823324
http://support.microsoft.com/kb/2839011/en-us

早急に当該更新プログラムの削除を実施したい場合
==================
上記の KB2839011 でもご案内しておりますが、もしインストール対象の OS 上で既に MS13-036 のインストール処理が完了し、OS 再起動待ちとなっている場合には、アンインストールのコマンドを実行することで対処可能です。
具体的には KB 内の “Scenario A - Recovery steps for computers that have installed security update 2823324 but have not yet restarted” に書かれた、下記のコマンドを実行ください。

> wusa.exe /uninstall /kb:2823324 /quiet /norestart

こちらは AD のログオフ スクリプト等の手段で実施することも可能ですので、
もし AD 環境で、多数のクライアントに配布されてしまった可能性がある場合には、ログオフ スクリプトをご検討ください。

(参考情報)
一例ではありますが、シャットダウン スクリプト内で上記コマンドを実行する手順について、ご紹介します。

まず上記のコマンドを含む BAT ファイルを作成し、ドメインに割り当てられたグループポリシーのシャットダウンスクリプトに指定します。
作成した BAT ファイルはあらかじめ、ドメインコントローラーの以下のパスに配置しておきます。

<SysVol 共有フォルダ>\<ドメイン名>\Policies\<GUID>\User\Scripts\Logon

＜GUID＞は グループポリシーのGUIDになります。

グループポリシー管理エディタで対象のGPOに接続し、以下を選択します。

コンピューターの管理
― ポリシー
　－ Windows の設定
　　－ スクリプト（スタートアップ/シャットダウン）
詳細ペインより「シャットダウン」のプロパティを開き、「追加」－「参照」より先のパスに配置した BAT ファイルをスクリプトとして選択します。

シャットダウンスクリプト設定後、コンピューターポリシーは、最大で 120 分以内に各クライアントに反映されます。

以降各コンピューターがシャットダウンする際に、KB2829996 適用後、再起動待ちとなっている状況から KB2829996 を削除できます。

WSUS での配布の停止手順
==================
KB2823324 を [拒否] もしくは [削除の承認] を実施ください。
既に配信してしまった場合には [削除の承認] を実施いただくことを推奨します。

[削除の承認] を設定することによってクライアントへの配信を停止し、また既に KB2823324 が適用済みのコンピューターから KB2823324 をアンインストールすることが可能です。

1. WSUS サーバーにログインします。
2. [スタート] - [管理ツール] - [Windows Service Update Services] をクリックします。
3. WSUS 管理コンソールが起動しますので、左画面から、[セキュリティ更新プログラム] をクリックします。
4. 中央画面の上部から、”承認” を [拒否された更新以外のすべて]、”状態” を [すべて] に設定し、[最新の情報に更新] をクリックし画面を更新します。
5. 中央画面のリストから、問題の更新プログラムである KB2823324 を見つけます。
6. KB2823324 を右クリックして、[承認] をクリックします。
7. “更新の承認” 画面が起動しますので、すべてのコンピューターのドロップダウンから、[削除の承認] をクリックします。
8. [OK] をクリックして、画面を閉じます。
9. WSUS クライアントは定期的に WSUS サーバーへ接続を行いますが、下記コマンドを実行することで WSUS サーバーへ即時接続させ、[削除の承認] の効果を反映させることも可能です。

>  wuauclt /resetauthorization /detectnow

※  KB2823324 は OS ごと、プラットフォームごとに公開されておりますので、上記の手順ですべての KB2823324 に対して、削除の承認を設定してください。

ご迷惑をおかけして申し訳ありません。
最新の状況については、追って本ブログでも公開を予定しております。

(関連情報)
KB2839011 Released to Address Security Bulletin Update Issue
http://blogs.technet.com/b/msrc/archive/2013/04/11/kb2839011-released-to-address-security-bulletin-update-issue.aspx

MS13-036 2823324 適用後の問題について
http://blogs.technet.com/b/jpsecurity/archive/2013/04/12/3566398.aspx

日本マイクロソフトの三島です。

皆様に多大なるご迷惑をおかけいたしておりました KB2823324 (MS13-036) について、
修正を行う更新プログラムを、本日、再リリースいたしました。

再リリース版は「KB2840149」としてリリースされており、配信停止した KB2823324 とは別の KB 番号が割り当てられています。
お手数ではございますが、問題の発生した/していない端末にかかわらず「KB2840149」の更新プログラムの適用をお願いいたします。

Microsoft Security Bulletin MS13-036 - Important
http://technet.microsoft.com/en-us/security/bulletin/ms13-036

-----本文抜粋------
V3.0 (April 23, 2013): Rereleased bulletin to replace the 2823324 update with the 2840149 update for NTFS.sys when installed on supported editions of Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2. See the Update FAQ for details.
-------------------

MS13-036: Description of the security update for the Windows file system kernel-mode driver (ntfs.sys): April 9, 2013
http://support.microsoft.com/kb/2840149

※現在は、英語記載のみでの更新となっておりますが、日本語記載のページについても順次公開が予定されています。
　恐れ入りますが、今しばらくお待ちください。

※KB2840149 の詳細についてのご質問につきましては MS13-036 の FAQ をご参照ください。

こんにちは。
WSUS サポート担当の三島です。

2013 年 5 月の月例セキュリティ更新プログラムの公開より、「セキュリティ更新プログラム」 および 「セキュリティ アドバイザリ」 として配信される更新プログラムの公開について、運用に一部変更を加えさせて頂いております。
変更内容については、以下の弊社技術情報サイトでもご案内させて頂いておりますが、本ブログでは、より判りやすく変更点と変更理由を皆様にご案内させて頂きます。

Security advisories in the current landscape and the May 2013 bulletin release Changes to the classification of security content in advisories and bulletins
http://support.microsoft.com/kb/2849195

========
変更点
========
1. 多層防御の観点からリリースしたセキュリティ更新プログラム（※1）については、MSRC 重要度を 「指定なし」 で公開いたします。

- 変更前
クラス ： 「セキュリティ問題の修正プログラム」
MSRC 重要度 ： 「緊急」「重要」「警告」「注意」 のいずれかを設定しておりました。

- 変更後
クラス ： 「セキュリティ問題の修正プログラム」
MSRC 重要度 ： 「指定なし」 で今後公開いたします。 

 
図 1 ： MS13-038 (KB2847204) の Internet Explorer 9 については多層防御の観点からセキュリティ更新プログラムが公開されております。そのため MSRC 重要度は 「指定なし」 となっております。(画像をクリックすると大きく表示されます。)
 
2. セキュリティ アドバイザリ（※2）で配信される更新プログラムは、セキュリティ問題の修正プログラムのクラスで公開いたします。

- 変更前
クラス ：  「重要な更新」あるいは「修正プログラム集」 などのセキュリティ以外のクラスで公開しておりました。
MSRC 重要度 ： 「指定なし」

- 変更後
クラス ：  「セキュリティ問題の修正プログラム」 のクラスで今後公開いたします。
MSRC 重要度 ： 「指定なし」

 
図 2.： KB2837285 はセキュリティ アドバイザリですが、「セキュリティ問題の修正プログラム」 のクラスで公開されております。 (画像をクリックすると大きく表示されます。)

- 補足：上記の変更は、2013 年 5 月の月例の公開日以降に新規あるいは更新で配信されるもののみが対象となります。

（※1）
影響を受けるコードが悪用されることはありませんが、影響を受けるコードが存在しているため、将来的に特定される可能性のある攻撃方法を防ぐために公開させていただくセキュリティ更新プログラムを指します。
例として、セキュリティ情報のサイトでは、以下のような内容で多層防御の観点からリリースした更新プログラムであるとご説明しております。

～～～
このセキュリティ更新プログラムは、Microsoft Windows 2000、Windows XP および Windows Server 2003 について、深刻度を「重要」と評価しています。Windows Server 2008、Windows Vista、Windows 7 および Windows Server 2008 R2 については、影響を受けるコードが悪用されることはありませんが、影響を受けるコードが存在しているため、多層防御としてこの更新プログラムが提供されており、深刻度の評価の対象とはなっていません。
～～～

（※2）
セキュリティ アドバイザリの詳細は、以下をご参照ください。

マイクロソフト セキュリティ アドバイザリ
http://technet.microsoft.com/ja-jp/security/advisory/

========
変更を行わせて頂いた理由
========
セキュリティ アドバイザリが「セキュリティ問題の修正プログラム」以外のクラスでリリースされる事によって、セキュリティの強化を目的とした更新プログラムである事を把握して配信する事が難しいとのご意見を多数頂いておりました。
今回の変更によって、「セキュリティ問題の修正プログラム」 を適用するだけで、セキュリティに関わる更新を把握・管理できるようにし、少しでも管理者様の運用・管理工数の軽減になれば幸いです。

こんにちは。
日本マイクロソフトの石井です。

Windows Server 2012 上の WSUS (WSUS 4.0) が、Microsoft Update と正常に接続出来ない問題について、修正プログラムがリリースされました。

WSUS の役割をインストールしている環境で、Proxy サーバーを使用する場合、Proxy サーバーとの認証が必要と構成されている場合には、あらかじめ WSUS のオプション設定で認証情報を登録可能です。
しかしながら、このように設定していても、正常に接続出来ない場合があった問題を修正いたしました。

WSUS server can't connect to Windows Update in Windows Server 2012
http://support.microsoft.com/kb/2838998

下記の設定箇所を利用している場合に、更新プログラムの適用をお願いいたします。
その他の問題の修正はありませんので、お客様の Proxy サーバーにおいてユーザー認証が必要な環境でのみ、適用して下さい。

更新プログラムの適用にあたって、サーバーの再起動が発生する可能性があります。
WSUS を System Center 2012 Configuration Manager から利用している場合も、条件に一致する場合には、本更新の適用をお願いいたします。

皆さま こんにちは。 マイクロソフトの香取です。

先日の投稿にて、WSUS からエクスポートしたカタログファイルが 0KB になる事象についてご紹介しましたが、この事象を解決するプログラムがリリースされております。

現時点での最新情報をまとめましたので、WSUS 管理者の方は、是非ご一読ください。

WSUS 4.0 (Windows Server 2012) の場合

CAB file that is exported by using the Wsusutil.exe command is displayed as 0 KB on a Windows Server 2012-based WSUS server
http://support.microsoft.com/kb/2819484/en-us

 ※ 修正プログラムとしてのリリースとなります。適用の注意点につきましては以下のサイトを参照ください。

Hotfix Online Submission – 修正プログラムの入手に関するご案内とご注意
http://support.microsoft.com/gp/HotfixNotice

WSUS 3.0 SP2 (Windows Server 2003 R2, Windows Server 2008, or Windows Server 2008 R2) の場合

An update for Windows Server Update Services 3.0 SP2 is available (KB2828185)
http://support.microsoft.com/kb/2828185/en-us 

WSUS サーバーに上述の修正プログラムを適用したうえで、エクスポート / インポート時に実行するコマンドを、以下例のように変更することにより、問題を回避できます。

  wsusutil.exe export export.xml.gz export.log
  wsusutil.exe import import.xml.gz import.log  

なお適用後はサーバーを再起動してください。

また KB2828185 には KB2734608 が含まれております。 適用する際にはご留意くださいますようお願いいたします。

KB2734608 の詳細につきましては以下のサイトをご参照ください。

<重要> WSUS の更新プログラムは確実に最新版の適用を行ってください
http://blogs.technet.com/b/jpwsus/archive/2013/03/13/lt-gt-wsus.aspx

WSUS を親子構成されている環境の場合、または WSUS NLB を構成されている場合には、手順上の留意点があります。

この点は 上記 KB2828185 上に記載されておりますが、若干わかりづらいため、以下の blog をあわせてご参照ください。blog の内容は KB2734608 を対象としておりますが、今回の更新プログラムについても同様です。

WSUS 3.0 SP2 の Windows 8 / Windows Server 2012 対応について (KB2734608)
http://blogs.technet.com/b/jpwsus/archive/2012/09/05/kb2734608.aspx

 ---------一部抜粋---------

親子構成の WSUS サーバーへ KB2734608 を適用する際には、下記の順で適用をお願いします。

1. 親の WSUS サーバーを Microsoft Update サイトと同期させる

2. KB2734608 を適用する

3. 再度 Microsoft Update サイトと同期させる

4. 同期が完了するまで待つ

5. 子の WSUS サーバーへ KB2734608 を適用し、親の WSUS サーバーと同期させる

NLB 構成の WSUS サーバーを運用されている場合には、KB2734608 の "How to upgrade NLB on all computers" セクション内手順をご確認ください。

ちなみに、ステップ 2 と 3 は記載が曖昧なため、下記操作であるとご理解ください。

2. すべてのフロント エンド WSUS サーバーで、下記コマンドを実行し IIS と WSUS のサービスを停止します。

iisreset /stop
net stop wsusservice

3. すべてのフロント エンド WSUS サーバーで、nlb.exe disable コマンドを実行します。

※コマンド実行例
nlb.exe disable all

もし KB2734608 の適用前に Windows 8 / Windows Server 2012 を WSUS 3.0 SP2 サーバーへ接続した場合には、KB2734608 の適用後に WSUS クライアント上で下記手順を実施してください。

1. 管理者権限のコマンドプロンプトを起動します

2. 下記のコマンドを順に実行します

> Net stop wuauserv
> rd /s %windir%\softwaredistribution\
> Net start wuauserv

3. 次回の WSUS サーバー接続時には、正しく処理が行われます

---------------------------

皆さま こんにちは。 マイクロソフトの香取です。

本日は Windows Server 2012 の WSUS の主な変更点についてご紹介します。

現在、WSUS 3.0 SP2 をご利用いただいている WSUS 管理者様や今後、Windows Server 2012 にて WSUS の構築をご検討いただいていらっしゃる方々にご一読いただけますと幸いです。

－ WSUS の概要

－ WSUS の製品バージョン

－ WSUS 3.0 SP2 との WSUS 4.0 の主な変更点

－ WSUS 4.0 のインストールについて

【 WSUS の概要 】

WSUS の機能概要については下記の公開情報をご参照ください。

WSUS 3.0 SP2 との変更点についても、こちらでご紹介しております。

Windows Server Update Services の概要
http://technet.microsoft.com/library/hh852345.aspx

【 WSUS の製品バージョン 】

Windows Server 2012 の WSUS 製品バージョンは WSUS 4.0 となります。WSUS のヘルプから確認することができます。

また、以下の弊社 technet サイトにおいても WSUS 4.0 として言及おります。

System Requirements: Update Management
http://technet.microsoft.com/en-us/library/gg610633.aspx
(Software requirements の Software 列)

Step 3: Configure WSUS
http://technet.microsoft.com/en-us/library/hh852346.aspx
(3.1. Configure network connctions の Note)

【 WSUS 3.0 SP2 との WSUS 4.0 の主な変更点 】

WSUS 3.0 SP2 との WSUS 4.0 の主な変更点としましては、以下の 2 点です。

1. 既定ポートは 80 から 8530 に変更されました。

WSUS 3.0 SP2 は 既定のポートが 80 に指定されておりました。 WSUS 4.0 では既定のポートが 80 から 8530 に変更されました。

手順1: WSUS 展開の準備を行う
http://technet.microsoft.com/ja-jp/library/hh852344.aspx
----------一部抜粋----------
既定では、WSUS サーバーでは、Microsoft から更新プログラムを取得するために、HTTP プロトコルにはポート 8530、HTTPS プロトコルにはポート 8531 を使用します。
-----------------------------

2. WSUS 4.0 のアンインストールは従来の手順では実施出来ません。

WSUS 3.0 SP2では、[コントロールパネル] - [プログラムと機能] からアンインストール時にデータベース、ログファイル、コンテンツを選択し、削除することができました。

WSUS 4.0 では、アンインストール後も IIS 上の サイト、データベース、コンテンツ、いずれもすべて残ります。これらを削除したい場合は手動で別途、削除作業が必要となります。　(こちらの詳細は、別途ブログにてご紹介予定です)

【 WSUS 4.0 のインストールについて 】

WSUS 4.0 のインストールについては、以下のサイトにサーバー マネージャーの [役割と機能の追加] から WSUS をインストールする手順が公開されております。

※  WSUS 4.0 のインストーラーのご用意はなく、Windows Server 2012 の役割と機能の追加から構築してください。 

手順 2: WSUS サーバーの役割をインストールする
http://technet.microsoft.com/ja-jp/library/hh852338.aspx

また、WSUS 4.0 のインストールをコマンドから実施する方法もあります。

STEP 1 ：サーバーマネージャーの 「役割と機能の追加」 から WSUS の追加を選択し、PowerShell で使用するための構成ファイルを作成します。

STEP 2 ： PowerShell を起動し、STEP 1 の構成ファイルを指定し、Install –WindowsFeature を実行します。

Install-WindowsFeature
http://technet.microsoft.com/en-us/library/jj205467.aspx

 Installing WSUS on Windows Server “8” Beta using PowerShell
http://blogs.technet.com/b/sus/archive/2012/03/20/installing-wsus-on-windows-server-8-beta-using-powershell.aspx

----------一部抜粋 (データベースが WID を利用の場合) ----------
3. In the PowerShell Console type Install-WindowsFeature -Name UpdateServices, UpdateServices-Ui and press ENTER.

4. The installation process will start and a progress counter will appear on the screen. Wait until the installation reaches 100% and you receive a message that the installation succeeded before moving on to the next step.
-------------------------------------------------------------------

STEP 3 ： wsusutil postinstall コマンドを実行します。

コンテンツ フォルダのパスおよびデータベースの情報をオプションとして指定します。データベースが WID の場合は、後者のオプションは不要となり、以下例の要領で実行します。

wsusutil postinstall contentdir=C:\MyContent

注意点としましては、コマンド投入後、処理が開始された旨のメッセージが表示されますので、そのままお待ちください。

完了するとさらに、終了メッセージが一行追加されます。

----------上記資料より一部抜粋 (データベースが WID を利用の場合) ---
5. Type & ‘C:\Program Files\Update Services\Tools\WsusUtil.exe’ postinstall contentdir=C:\Mycontent and press ENTER.
------------------------------------------------------------------------

こんにちは、マイクロソフトの福島です。

今月 公開されたセキュリティ更新プログラム MS13-044 のうち Visio 2010 用のパッケージ KB2810068 のメタデータについて問題が見つかり、それを修正するリビジョンが本日、公開されました。

この影響により、設定によっては 「急に 本日 KB2810068 が WSUS サーバーに新規着信した」 ということが生じることがあります。月例リリースから一週間以上遅れてのご提供となり、お客様にはご迷惑をお掛けいたしますことお詫び申し上げます。

本件の影響の有無は次のとおりです。

WSUS サーバーのオプション「更新ファイルと更新言語」の言語設定にて「英語」が選択されているお客様：

本修正の影響はありません。既にクライアントへの配信を開始されていた場合、サーバー/クライアントとも、昨日までの同じ動作を継続します。お客様におけるアクションは不要です。

 ※ なお WSUS サーバー上で　KB2810068 を確認すると、昨日までは「サポートされる言語」が「英語」と表示されていましたが、本日のリビジョンを着信した後は「すべて」に変わります。

「英語」が選択されていないお客様：

今回の修正により WSUS に初めて KB2810068 が着信します。申し訳ございませんが、必要に応じ検証や承認など、通常のセキュリティ更新のリリースに対するご対応をお願いいたします。

こんにちは。マイクロソフト　伊藤です。

本日リリースされたセキュリティ アドバイザリ KB2661254 を WSUS から配布する場合には、通常の更新とは異なる手続きが必要となります。

Microsoft Security Advisory (2661254)
Update For Minimum Certificate Key Length
http://technet.microsoft.com/en-us/security/advisory/2661254

WSUS へ配信される更新プログラムの情報が書かれた KB894199 を確認すると、本セキュリティ アドバイザリは "カタログ" のみへの配信であることがわかります。

Description of Software Update Services and Windows Server Update Services changes in content for 2012
http://support.microsoft.com/kb/894199/en-us

Update for Windows (KB2661254)
Locale: All
Deployment: Catalog

カタログのみへ配信される更新プログラムは、WSUS サーバーを Microsoft Update サイトと同期させても入手は出来ません。
Microsoft Update カタログ サイトから、個別にインポートする必要があります。

もし配布をご検討の WSUS 管理者さまは、下記のブログ記事を参考にインポートをしてください。
なおインポート後のインストール承認は、通常の更新プログラムと同じ操作です。

Microsoft Update カタログの活用法について
http://blogs.technet.com/b/jpwsus/archive/2012/03/19/using-mu-catalog.aspx

また、KB894199 の読み方については、下記をご参照ください。

WSUS サーバーへ同期される更新に関する公開情報について
http://blogs.technet.com/b/jpwsus/archive/2012/03/30/description-of-wsus-changes-in-content.aspx

(参考情報)
セキュリティ アドバイザリの動作詳細については、セキュリティ チームのブログもご覧ください。

1024 ビット未満の暗号キーをブロックする更新プログラム (KB2661254) を 8/14 に公開
http://blogs.technet.com/b/jpsecurity/archive/2012/07/30/3511493.aspx

1024 ビット未満の暗号キーをブロックする更新プログラム (KB2661254) を 8/14 に公開 - その ２
http://blogs.technet.com/b/jpsecurity/archive/2012/08/10/3513621.aspx

1024 ビット未満の暗号キーをブロックする更新プログラム (KB2661254) を 8/14 に公開 - その 3
http://blogs.technet.com/b/jpsecurity/archive/2012/08/14/3514260.aspx

こんにちは。マイクロソフトの伊藤です。

WSUS 3.0 SP2 用に、下記の更新プログラムがリリースされました。

An update for Windows Server Update Services 3.0 Service Pack 2 is available (KB2734608)
http://support.microsoft.com/kb/2734608/en-us

この更新プログラムを適用することで、Windows 8 / Windows Server 2012 を WSUS クライアントとして、管理することが出来るようになります。
また、KB2734608 は 2012/6 にリリースされた WSUS 用の更新プログラム KB2720211 の修正内容を含み、更に適用時、適用後の問題を修正しています。

WSUS サーバーへ KB2720211 を未適用のお客様は、KB2734608 の適用をご検討ください。
なお、親子構成の WSUS サーバーへ KB2734608 を適用する際には、下記の順で適用をお願いします。

（※本ブログの末尾に記載しました 「2013/02/08 追記：KB2734608 適用時の注意事項」 も併せて必ずご確認ください。）

1. 親の WSUS サーバーを Microsoft Update サイトと同期させる

2. KB2734608 を適用する

3. 再度 Microsoft Update サイトと同期させる

4. 同期が完了するまで待つ

5. 子の WSUS サーバーへ KB2734608 を適用し、親の WSUS サーバーと同期させる

NLB 構成の WSUS サーバーを運用されている場合には、KB2734608 の "How to upgrade NLB on all computers" セクション内手順をご確認ください。
ちなみに、ステップ 2 と 3 は記載が曖昧なため���下記操作であるとご理解ください。

2. すべてのフロント エンド WSUS サーバーで、下記コマンドを実行し IIS と WSUS のサービスを停止します。

iisreset /stop
net stop wsusservice

3. すべてのフロント エンド WSUS サーバーで、nlb.exe disable コマンドを実行します。

※コマンド実行例
nlb.exe disable all

もし KB2734608 の適用前に Windows 8 / Windows Server 2012 を WSUS 3.0 SP2 サーバーへ接続した場合には、KB2734608 の適用後に WSUS クライアント上で下記手順を実施してください。

1. 管理者権限のコマンドプロンプトを起動します

2. 下記のコマンドを順に実行します

> Net stop wuauserv
> rd /s %windir%\softwaredistribution\
> Net start wuauserv

3. 次回の WSUS サーバー接続時には、正しく処理が行われます

2013/02/08 追記：

～～～～～～～～～～～～～～～～～～～

KB2734608適用時の注意事項！！

～～～～～～～～～～～～～～～～～～～

ごくまれに  KB2734608 のインストールが ファイル共有違反で失敗するケースを確認しています。

この予防策として、KB2734608 のインストール前に、IIS のサービスを停止するとともに、wsusservice サービスのスタートアップを無効化していただくことをおすすめします。(インストール後に [自動] に戻してください)

 手順：

1. サービスコンソールを起動します。
2. 「Update Services」を右クリックして [プロパティ] を表示します。
3.  [スタートアップの種類] のドロップダウンを操作し「無効」に変更し [OK] をクリックします。
4. コマンド プロンプトを管理者権限で起動し、 IISRESET /STOP を実行します。
5. KB2734608 を適用します。
6. インストーラーの処理が完了したら、上記1～3　と同じ要領で [スタートアップの種類] を [自動] に戻します。
7. 適用を完了するために、システムを再起動します。

なお作業の実施前には WSUS サーバーのバックアップ取得をお勧めしています。これは、今回の一連の更新に限らず、一般にWSUS に対する更新プログラム/Service Pack 適用の際にお願いしています。

バックアップの具体的な手順については、下記のブログ記事をご参照ください。（いずれも移設目的の記事ですが、手順はバックアップ&リストア用途にも使えます）

WSUS 3.0 SP2 をデータベースごと移行する方法について

http://blogs.technet.com/b/jpwsus/archive/2012/09/20/wsus-sql-migration.aspx

WSUS サーバーを新しいハードへ移設したい - B. 更新プログラム情報をファイル ベースで移行する

http://blogs.technet.com/b/jpwsus/archive/2012/05/07/wsus-server-replace.aspx

こんにちは。マイクロソフトの美馬です。

WSUS 3.0 SP2 をデータベースごと移行する手順をご紹介いたします。

移行する方法としては、レプリカを利用する方法と、データベース自体を移行する方法の 2 通りがあります。

前者（レプリカ利用）は、旧環境と新環境が同一ネットワークに存在する状態となりますので、

既存クライアントへの影響が少なくてすむ反面、ホスト名や IP アドレスは別となり、

同期される間はネットワーク負荷がかかる可能性があり、オプション設定やクライアント情報は移行できません。

一方、後者（データベース移行）は、旧環境と新環境で同じホスト名や IP アドレスを同じ場合に利用でき、

オプション設定なども同時に引き継ぐことができますが、旧環境との並行運用はできません。

どちらの方法でも、移行先・移行元の OS / プラットフォーム (x86, x64) の相違は問いません。

レプリカ利用における移行方法は、下記 Blog でご紹介しておりますので、ご参照ください。

WSUS サーバーを新しいハードへ移設したい

http://blogs.technet.com/b/jpwsus/archive/2012/05/07/wsus-server-replace.aspx

WSUS 3.0 SP2 をデータベースごと移行する手順は下記のとおりとなります。

＜前提条件など＞

全データは媒体経由で移行できますので、旧環境と新環境とがネットワークで接続されていなくても問題ありません。

＜この手順により移行される情報＞

・すべての情報が移行されます。

＜作業手順＞

1) 移行先に WSUS 3.0 SP2 をインストールしておきます。

 ※更新ファイルの格納パスなど、インストーラ―に対して指示する設定値は旧環境と同じにしてください。

2) データベースとして Windows Internal Database を使用している場合で、データベース 移行用のツールを準備します。

　 以下のサイトより "Microsoft SQL Server 2005 用 Feature Pack" のコンポーネント 2 点をダウンロードし、

　 移行元と移行先、両方のサーバーにインストールしてください。

　※移行元と移行先のいずれか、または両方が SQL Server (製品版) を使用、もしくはインストールしている場合は、

　　SQL Server Management Studio を利用してSUSDB データベースのフルバックアップ、またはフルリストアを行うことができます。

　Microsoft SQL Server 2005 用 Feature Pack - 2008 年12 月

　http://www.microsoft.com/downloads/details.aspx?FamilyID=536fd7d5-013f-49bc-9fc7-77dede4bb075&DisplayLang=ja

　下記のコンポーネント2点をダウンロードし、この順にインストールします。

 　-Microsoft SQL Server Native Client  

　　(x86 プラットフォームの場合はsqlncli.msi 、x64 の場合はsqlncli_x64.msi)

　-Microsoft SQL Server 2005 コマンド ライン クエリ ユーティリティ 

　　(x86 プラットフォームはSQLServer2005_SQLCMD.msi、x64 はSQLServer2005_SQLCMD_x64.msi)

3) コンテンツの移行

　移行元の WSUSContent フォルダの内容を、何らかの方法で サブフォルダごと、移行先の WSUSContent 下へコピーします。

4) データベースバックアップ作業：移行元サーバーで下記を実行し、WSUS データベースをバックアップします。

4-1） コマンド・プロンプトから下記コマンドを実行し、WSUS サービスと IIS サービスを停止します。

　　net stop wsusservice

　　net stop w3svc

4-2) 下記コマンドを実行してフォルダを移動します。(この手順はWindows Server 2003 では通常、不要です)

　　cd "C:\Program Files\Microsoft SQL Server\90\Tools\Binn"

4-3) 引き続き下記コマンドを実行し、バックアップを取得します。

　　 <バックアップ先のパス>は データ保存に使用する任意のドライブ名とディレクトリを指定してください。( 例：D:\TEMP )

　　Sqlcmd -S np:\\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query

　　>BACKUP DATABASE SUSDB TO DISK=N'<バックアップ先のパス>\SUSDB.Dat' WITH INIT, STATS=10

　　>go

　※処理完了後、下記コマンドで Sqlcmd を終了します。

　　>exit

4-4) バックアップ取得後、下記コマンドを実行しサービスを開始します。

　　net start wsusservice

　　net start w3svc

※ この後、4-3) で取得したバックアップファイルを 移行先サーバーからアクセス可能な場所へコピーし、以下のリストア作業を実施します。

5) リストア作業：移行先サーバーで下記を実行します。

5-1) コマンド・プロンプトから下記コマンドを実行し、WSUS サービスと IIS サービスを停止します。

　　net stop wsusservice

　　net stop w3svc

5-2) 下記コマンドを実行してフォルダを移動します

　　cd "C:\Program Files\Microsoft SQL Server\90\Tools\Binn"

5-3) 下記のコマンドを順に実行してリストアを実施します。

　　Sqlcmd -S np:\\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query

　　>USE master ALTER DATABASE SUSDB SET SINGLE_USER WITH ROLLBACK IMMEDIATE

　　>go

　　>RESTORE DATABASE SUSDB FROM DISK=N'<バックアップ先のパス>\SUSDB.Dat' WITH REPLACE, STATS=10

　　>go

　　>ALTER DATABASE SUSDB SET MULTI_USER

　　>go

　※処理完了後、下記コマンドで Sqlcmd を終了します。

　　>exit

5-4) リストア完了後、下記コマンドを実行しサービスを開始します。

　　net start wsusservice

　　net start w3svc

手順は以上です。

それではごきげんよう。

こんにちは。マイクロソフトの伊藤です。

先月から、運用中の WSUS サーバーに大量の改訂版が同期された、というお問い合わせが増えています。
その理由について、米国の WSUS ブログに関連記事が��開されました。

Support Tip: Many new revisions of updates may be downloaded by the WSUS server
http://blogs.technet.com/b/sus/archive/2012/10/31/support-tip-many-new-revisions-of-updates-may-be-downloaded-by-the-wsus-server.aspx

WSUS 3.0 SP2 サーバーへ KB2734608 を適用することで、WSUS クライアントとして Windows 8 / Windows Server 2012 を管理可能になります。
ただし、Windows 8 / Windows Server 2012 はファイルの署名検証が強化されているため、従来の更新プログラム インストーラーをそのまま適用することが出来ません。

その問題を解決するために、既に公開済みの更新プログラムについて、Windows 8 / Windows Server 2012 に対応するようファイルへの署名方法が変更され、改訂版としてリリースされました。
WSUS サーバーが同期対象とする製品、クラス、言語にもよりますが、1,000 - 3,000 程度の改訂版が一度に同期される場合もあります。

また、米国のブログに内容には含まれていませんが、Windows 7 / Windows Server 2008 R2 以前の環境についても、同じ理由で改訂版がリリースされたことを確認しています。
(KB2734608 よりも先にリリースされた KB2720211 は WSUS のセキュリティ機能を強化する修正であり、その強化に対応するため改訂版リリースが必要な更新プログラムもありました。)

WSUS 管理者のみなさまへ特に注意いただきたいポイントを、以下に整理しました。

・WSUS サーバーに KB2734608 または KB2720211 を適用することが前提条件です。
・インストーラーの動作には変更が無いため、既に更新を適用済みのクライアントに対して、改訂版を再適用する必要はありません。
・SCCM をご利用の場合には、対象の更新プログラムを含むパッケージを再作成する必要があります。
・WSUS と SCCM の連携機能そのものに影響はありません。
・署名方法が変更されたファイルをダウンロードする際に、一時的にネットワーク負荷が上昇する可能性があります。

2013/01/29 追記

現段階では、WSUS サーバーにKB2720211 または KB2734608 が適用されていない場合でも上述の改訂版(リビジョン) が Microsoft Update サイトから提供される動作となっています。そのため これらの更新プログラム未適用の WSUS サーバーでも多量の改訂版が着信する可能性があります。

こんにちは。マイクロソフトの三島です。

2013 年 1 月分のセキュリティ更新プログラムを適用した際に、インストール済みの KB2604092 (MS12-035) が再度インストール要求された、というお問い合わせが増加しています。
もし同様の現象が発生する場合には、現在、KB2604092 の新しいリビジョンをインストール承認しているかを確認してください。

なお KB2604092 の検出条件設定には一部問題があったため、昨年の 5 月 22 日に、問題を修正した新しいリビジョンを公開致しました。
修正前の古いリビジョンをインストール承認している場合には、このような現象が発生することを確認しています。

以下の手順で確認と対処を行って下さい。

1．WSUS 管理コンソールのから、KB2604092 を更新プログラムの一覧から見つけて右クリックし、[リビジョン履歴] を選択します。
リビジョン履歴を開きます。

2．以下のように改訂番号の大きい新しいリビジョンが未承認で、改訂番号の小さい古い方のリビジョンが、インストール承認の状態であるかを確認します。

3. 同様の状態である場合には、新しいリビジョンをインストール承認し、古いリビジョンを未承認としてください。
 ※拒否にはしないでください。

これで対処は終了です。
この作業後にも KB2604092 (MS12-035) が再ダウンロードされることはありませんのでご安心ください。

「リビジョン（改訂版）」について
http://blogs.technet.com/b/jpwsus/archive/2011/10/31/3462305.aspx

[MS12-035] Windows XP および Windows Server 2003 上の .NET Framework 2.0 Service Pack 2 のセキュリティ更新プログラム (2012 年 5 月 8 日) について
http://support.microsoft.com/kb/2604092/ja

こんにちは。マイクロソフトの三島です。

WSUS や Windows Update をご利用の環境では、クライアントは既定で約 22 時間に 1 回の頻度で、新しい更新プログラムの検出処理を行います。
適用の必要な更新プログラムが見つかった場合、その後続処理としてダウンロード、インストール、再起動が行われます。

クライアントの設定を変更することで、ダウンロードやインストールの開始されるタイミングをある程度決められますが、例えば下記のような細かい制御は実現できません。

• 更新プログラムの検出を、時間単位の頻度設定ではなく、ある週のある時間に一回だけに実行するように設定する。
• ダウンロードの開始時間を指定する。
• 特定の更新プログラムに対してのみ検出・ダウンロード・インストールを行うように設定する。

こういった要件を満たす設定を行うためには、検出、ダウンロード、インストール、の処理をスクリプトから個別に実行する方法があります。
具体的には Windows Update Agent API を利用するスクリプトを作成し、タスク スケジューラー等から実行します。

なお、更新プログラムの検出・ダウンロード・インストールまで実行するサンプルスクリプトを、以下の弊社サイトに公開しています。

-------------------------------------------------------------
Searching, Downloading, and Installing Updates
http://msdn.microsoft.com/en-us/library/aa387102(VS.85).aspx
-------------------------------------------------------------

本サンプルスクリプトは、更新プログラムをインストールしてよいかを確認するための Y/N のプロンプトが表示され、ユーザーの入力を要する作りとなっていますが、カスタマイズすることで、処理を完全に自動化することも可能です。
実際にスクリプトを使用して運用を行う際には、エラー処理やログ出力など必要に応じて追加し、十分に動作を検証されることをお勧めします。

こんにちは。マイクロソフトの三原です。

今回は、インデックスの再構成の手順をご紹介いたします。

WSUS サーバー自身には、データベースのインデックスをメンテナンスする機能が含まれていません。

運用継続に伴ってデータベースのパフォーマンスが劣化する可能性があります。(※1)

このメンテナンス用スクリプトが公開されていますので、

これを利用し定期的にインデックスの再構成を実施いただくことをお勧めします。

(※1) 例えばWSUS サーバーを運用するにあたり、

定期的にクリーンアップ ウィザードを実施していただくことを推奨しておりますが、

今まで、定期的にクリーンアップ ウィザードを実施していない場合は、

クリーンアップ処理に数時間を要することもあります。

処理完了までの時間を少しでも削減するために、まずはインデックスの再構成を行ってください。

インデックスの再構成を行う手順は下記のとおりとなります。

＜作業概要＞

WSUS のデータベースである SUSDB に対して、

下記ページに記載されている WSUS データベースメンテナンス用のスクリプトを実行します。

 スクリプトをコピーペーストする際の注意点をこちらの記事の最後に記載してございますので、ご一読ください。 (※2)

スクリプトは WSUS サーバー上で実行してください。

WSUS サーバーを親子構成している場合は、親子両方の WSUS サーバー上で実行してください。

“Re-index the WSUS 3.0
Database"

http://go.microsoft.com/fwlink/?LinkId=87027

＜作業手順＞

ご利用いただいているデーターベース製品にあわせて、以下のいずれかの作業を実施してください。

＜SQL Server (製品版) を使用している場合＞

1) SQL Server Management Studio を起動し、WSUS 用のデータベースが動作しているインスタンスに接続します。

2) SUSDB に対する新しいクエリ画面を開きます。

3) クエリ画面内に、上述のWSUS データベースメンテナンス用スクリプトをコピーペースト (※2) して、実行します。

データベースの最適化が終了すると"Statistics for all tables have been updated"

または"全テーブルの統計が更新されました" というメッセージが表示されます。

＜Windows Internal Database (WID) を使用している環境の場合＞

SQL Server Management Studio Express を下記よりダウンロード、インストールしてから、

上述の SQL Server の場合と同じ要領で実行します。

本ツールでは 製品版の SQL Server Management Studio とほぼ同等の GUI 操作ができます。

1) 下記 URL より SQL Server Management Studio Express をダウンロードし、WSUS サーバーにインストールします。

<http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=C243A5AE-4BD1-4E3D-94B8-5A0F62BF7796>

(.NET Framework 2.0, MSXML 6.0 のインストールが必要となります。もし未導入の場合にはページ内のリンクからインストールを行って下さい)

2) SQL Server Management Studio
Express を起動し、下記のパラメータを入力してデータベースへ [接続] を行います。

サーバーの種類 : データベース エンジン

サーバー名 : \\.\pipe\mssql$microsoft##ssee\sql\query

認証 : Windows 認証

3) 左ペインのデータベースのツリーから
[SUSDB] を右クリックして[新しいクエリ] を選択します。

4) 右ペインのクエリ画面内に、上述のWSUS
データベースメンテナンス用スクリプトをコピーペースト (※2) して、実行します。

データベースの最適化が終了すると
"Statistics for all tables have been updated" または"全テーブルの統計が更新されました" というメッセージが表示されます。

※2　スクリプトをコピーペーストする場合は、スクリプト右上の "Copy Code" を押してコピーせず、

スクリプト全体をマウスで選択し、コピーペーストしてください。

手順は以上です。

-補足

WSUS 3.0 SP2 操作ガイド (Operations Guide) では、

少なくとも月次でこのメンテナンスの実施を推奨しております。

下記ページをご参照ください。

“Appendix I: Database Maintenance”

http://technet.microsoft.com/ja-jp/library/dd939795(v=ws.10).aspx

************* 3/13 Update *************

本問題についての最終結論といたしまして、WSUS 3.0 SP2 最新のアップデートである、KB2734608 を適用いただくことで回避をお願いいたします。
本アップデートは、任意ではなく、全 WSUS サーバーに対して必須の扱いとなります。詳細は以下をご参考願います。 

<重要> WSUS の更新プログラムは確実に最新版の適用を行ってください
http://blogs.technet.com/b/jpwsus/archive/2013/03/13/lt-gt-wsus.aspx

現状、KB2734608 が未適用であるが、更新プログラムのカタログ同期に支障無い場合には、緊急性は低いものとなりますが、問題が将来的に発生する可能性もありますため、ご検討をお願いします。

こんにちは、マイクロソフトの石井です。

2/3 以降、マイクロソフト アップデート サーバーにて問題が生じており、一部 WSUS サーバーからはインターネット接続を行ってのカタログの同期が失敗するという現象が報告されています。

マイクロソフト アップデート サーバー側の問題が原因の場合、WSUS インストール フォルダの LogFiles\SoftwareDistribution.log に下記内容のログが記録されます。

<html><head><title>Object
moved</title></head><body>

<h2>Object
moved to <a
href="%2fmicrosoftupdate%2fv6%2ferrorinformation.aspx%3ferror%3d15">here</a>.</h2>

</body></html>

問題が存在するアップデート サーバーは、旧バージョンの弊社アップデートサーバーの一部であることが絞り込まれています。

WSUS サーバーは、しばらくの間、特定のアップデート サーバーに接続するという動作であるため、環境によっては日数が経過しても問題が発生しているアップデートサーバーに接続し続ける状況となります。

旧サーバーにおける本問題については、弊社にて解決に向けて調査中ですが、問題を回避する方法について、実績が寄せられておりますので、ご紹介します。

現時点で問題が発生している WSUS 環境には、2 月の月次セキュリティ更新プログラムのリリースまでに適用をいただくことをお奨めいたします。

-回避策

WSUS に更新プログラム KB 2734608 を適用いただくことで、自動的に新しいアップデート
サーバーに接続されるようになります。このため、一部問題の発生している旧サーバーへの接続は無くなり、問題を回避可能です。

技術情報
2734608:

Windows Server
Update Services 3.0 Service Pack 2 用更新プログラム (KB2734608) をご利用いただけます。

http://support.microsoft.com/kb/2734608/ja
(日本語機械翻訳版)

http://support.microsoft.com/kb/2734608/en-us
(英語版)

補足情報:

適用にあたっての注意事項など、以下の公開情報でもご紹介しています。

WSUS 3.0 SP2 の Windows 8 / Windows Server 2012 対応について (KB2734608)

http://blogs.technet.com/b/jpwsus/archive/2012/09/05/kb2734608.aspx

Q. KB2734608 が未適用のサーバーで、現時点で問題は発生していません。このような WSUS サーバーには対応が必要ですか。

A. 緊急性は低いですが、今後の発生の予防の意味での適用をお奨めします。

前述の通り、同じWSUS サーバーは、特定のアップデート サーバーと親和性が高く、長期間、同じアップデート サーバーに接続する動作となります。

このため、現在問題が無い WSUS サーバーは、引き続き正常なアップデート サーバーに接続するものと考えられます。しかしながら、何らかの契機にて、問題が発生するサーバーに切り替わるという可能性もありますので、予防の意味でも KB 2734608 の適用をお奨めいたします。

ご参考:

Technet フォーラムにおいても、KB 2734608 適用が有効であるという報告が多数寄せられております。

Synchronize
from Microsoft updates An http error occurred

http://social.technet.microsoft.com/Forums/ja/winserverwsus/thread/d2d60b1e-8f0a-4106-9c95-22938ff92978

************* 16/5/2013 Update ************* 

WSUS からエクスポートしたカタログファイルが 0KB になる事象 を解決するプログラムがリリースされております。

 詳細につきましては以下のサイトをご覧ください。

 WSUS からエクスポートしたカタログファイルが 0KB になる事象について - 続報
http://blogs.technet.com/b/jpwsus/archive/2013/05/16/wsus-cab-0kb.aspx

*******************************************

皆さま こんにちは。 マイクロソフトの香取です。

本日は WSUS サーバーからエクスポートしたカタログファイル (CAB ファイル) が 0 KB になる事象の原因 と その暫定回避方法についてご紹介します。

【 エクスポートしたカタログファイルが 0 KB になる事象の原因 】

WSUS サーバーの機能として、 wsusutil.exe コマンドを実行することによりカタログを親 WSUS よりエクスポートし、インターネットの接続が制限または制約されているネットワークに存在する 子 WSUS サーバーへカタログを手動でインポートできます。

作成されるこのカタログ ファイルは CAB ファイル形式の技術的な制約から、2 GB までとのサイズ制限があります。

また、WSUS サーバーは運用期間に比例して　データベース内のカタログ データが蓄積、増大していく傾向があります。

WSUS サーバーは明示的にクリーンアップをしない限り、データベース内のカタログ情報が減少することは無いためです。

一方、 wsusutil.exe  によるエクスポート動作は、その時点でデータベースに存在する全ての更新プログラム情報を抽出し、カタログ ファイルとして出力します。

そのため、運用中のある時点で、出力結果が 2 GB の制限を超えることがあります。

この状態に至った場合、WSUS サーバーからカタログファイルをエクスポートしようとすると、エクスポートが失敗し、出力された CAB ファイルが 0 KB となる事象が発生します。

なお、この事象につきましては弊社として製品の問題として認識しており、対応方法について検討中です。

修正され次第、本ブログなども通じてお伝えしていく予定です。

WSUS 管理者様には本事象が発生した場合の暫定回避方法をご案内します。

【 暫定回避方法 】

3 つの回避方法をご紹介します。　いずれも暫定的な対処となりますが、運用に沿った回避方法をお試しください。

方針1： クリーンアップを実施する。

ウィザードで実施する場合：

[WSUS 管理コンソール ] - [オプション] - [サーバー クリーンアップ ウィザード]

- [不要な更新および更新のリビジョン] を定期的に実行する。

階層構造のWSUS レプリカ構成が存在する場合には以下のサイトを参照ください。

レプリカ構成では サーバー クリーンアップ ウィザード にご注意ください

http://blogs.technet.com/b/jpwsus/archive/2012/06/08/3502667.aspx

PowerShell で実施する場合：

以下のサイトを参照し、CompressUpdates と CleanupObsoleteUpdates を

実行します。適宜テストし、ご利用ください。

WSUS Cleanup (英語版)

http://gallery.technet.microsoft.com/ScriptCenter/fd39c7d4-05bb-4c2d-8a99-f92ca8d08218/

方針2： 更新プログラムの対象となる 「製品とクラス」 を減らす。

今後の同期対象を必要最小限に留める手法です。

既に過去に同期済みの更新プログラムのメタデータは削除されないまま残るため、方針 1 のクリーンアップと併せて実施ください。

方針3 : WSUS サーバーのデータベースを含めて再構築を行う。

方針 1 と 2 を実施した後にも現象が改善しない場合には、データベース内に格納されたカタログ情報を強制的に削減するため、WSUS サーバーをデータベースを含めて再構築する方法をご検討ください。

再構築を行う際には、同期対象に設定する更新プログラムのクラスや製品を精査し、最小限に設定してください。

再構築前と同じ量の更新プログラムを同期対象とした場合には、数日後同じだけのカタログ情報がデータベース内に格納され、同様の現象が発生する事が考えられます。

こんにちは、マイクロソフトの福島です。

最近、新しく構築された WSUS サーバーなどで、更新プログラムの一部がダウンロードに失敗する、とお伺いすることがあります。

調べてみますと、WSUS サーバーに、更新プログラム：KB2749655 が適用されていないことがポイントでした。

この現象に合致する場合は、WSUS のログ (※) に、以下のような記録が出力されています。( イベント ログだけでは残念ながらわかりません )

(※)  %programfiles%\Update Services\LogFiles の SoftwareDistribution.log

    黄色部分が現象判別のポイントです。

―――――――――――――――――――――――――――

2013-01-25
06:42:14.309 UTC Info WsusService.14 CabUtilities.CheckCertificateSignature File cert verification failed
for d:\WSUS\WsusContent\3E\2C6AB49C5353003F7CBEE327195137A8A9DA4F3E.exe with 2148204801

2013-01-25 06:42:14.316 UTC Warning WsusService.14
ContentSyncAgent.WakeUpWorkerThreadProc Invalid file deleted:
d:\WSUS\WsusContent\3E\2C6AB49C5353003F7CBEE327195137A8A9DA4F3E.exe

―――――――――――――――――――――――――――

昨年リリースされた弊社の更新プログラムの中には、KB2749655 に記載された “問題を含む証明書” を使ってファイル署名されたものがあります。

こうした不適切な署名を持つファイルは、証明書の期限が切れると、正常に検証が行われなくなります。期限切れ後のタイミングで WSUS サーバーがファイルの取得を試みますと、ファイル検証動作に失敗し、結果としてダウンロードが失敗に終わります。

KB2749655 を WSUS サーバーへ適用すれば、問題点への対処がなされ、正常にダウンロードを完了できるようになります。

なお、ファイル検証動作はダウンロード時点で発生しますので、問題の証明書の期限が切れる前に、こうしたファイルのダウンロードを既に済ませた WSUS サーバーでは、問題が発生しません。

反対に次のようなケースでは、問題が発生する可能性が大いにありますので、お手数ですが、KB2749655 の適用をぜひご検討ください。

・2013 年になってから、WSUS を新規セットアップし更新プログラムの取得を開始した。

・しばらく (数か月) 同期を行っていなかった WSUS を、最近久しぶりに同期し、更新プログラムを取得した。

なお、インターネットに接続していないWSUS や、レプリカ構成の 子WSUS サーバーでも、ファイル検証時に同じ問題が発生し、クライアントへの配信ができなくなる可能性がありますので、KB2749655 の適用をお願いいたします。

情報：

更新プログラム：KB2749655 については以下のページをご参照ください。

当更新はWSUS や Windows Update でも「重要な更新」というクラスで提供されています。

マイクロソフト セキュリティ アドバイザリ (2749655)

署名されたマイクロソフトバイナリに影響を与える互換性の問題

http://technet.microsoft.com/ja-jp/security/advisory/2749655

ダウンロードはこちらから：

マイクロソフト セキュリティ アドバイザリ: 署名済みマイクロソフト バイナリに影響する互換性の問題

http://support.microsoft.com/kb/2749655/ja