こんにちは。WSUS サポート チームです。
本ポストでは、WSUS で更新プログラムを配信する運用をしている中で、管理者が予期しない更新プログラムを展開してしまったときの対応方法をご紹介いたします。
WSUS で更新プログラムを展開する場合、手動で更新プログラムを承認して配信する方法と、自動承認規則を使用して配信する方法の 2 種類があります。誤って予期しない更新プログラムを配信する問題が生じた場合の多くが後者の自動承認規則によって、管理者が予期していない更新プログラムが自動承認規則の条件に含まれてしまい展開されるケースです。
万が一、予期しない更新プログラムが適用されてしまった場合は、更新プログラムのアンインストールが必要です。ただし、ここでいきなりクライアント側のアンインストール作業をしてはいけません。なぜなら WSUS サーバー側で対象の更新プログラムが「インストール承認」されている限り、アンインストールした後再びクライアントが WSUS サーバーに更新プログラムの確認を行うことで、同じ更新プログラムをインストールされてしまいかねないからです。2 次被害を出さないためにも、ここでは作業の順番が大切です。はじめに、WSUS サーバー側で、予期しない更新の配信を停止した後、各クライアントでアンインストールの作業を進めるようにしてください。この手順で進めていただくことで、2 次被害の発生を防ぐことができます。
1. 更新プログラムを「拒否済み」または「削除の承認」にする
アンインストールしたい対象の更新プログラムを右クリックして [拒否] をクリックすることで、更新プログラムが「拒否済み」となり、クライアントへの配信が停止します。もしくは、[削除の承認] を設定することによってクライアントへの配信を停止し、既に適用済みのコンピューターから予期しない更新プログラムをアンインストールすることが可能です。
「拒否済み」に設定する手順
- WSUS サーバーにログインします。
- [スタート] – [管理ツール] – [Windows Service Update Services] をクリックします。
- WSUS 管理コンソールが起動しますので、左画面から、[すべての更新プログラム] をクリックします。
- 中央画面の上部から、”承認” を [承認済み]、”状態” を [任意] に設定し、[最新の情報に更新] をクリックし画面を更新します。
- 中央画面のリストから、問題の更新プログラムを右クリックして、[拒否] をクリックします。
- ダイアログが表示されますので、.[はい] をクリックして、画面を閉じます。
- 承認の状態が「拒否済み」となったことを確認します。
- WSUS クライアントは定期的に WSUS サーバーへ接続を行いますので、そのタイミングで「拒否」の設定を受け取り、配信が停止します。
「削除の承認」に設定する手順
「削除の承認」については、次のブログ記事でご紹介していますので、ご確認ください。
“WSUS で「削除の承認」を行い、更新プログラムを削除する”
https://blogs.technet.microsoft.com/jpwsus/2016/03/29/delete_updates/
「削除の承認」が実施できた場合は、ここで手順は終了です。「削除の承認」ができず、「拒否済み」に設定した場合の更新プログラムのアンインストール方法について次に記載します。
2. 「削除の承認」ができない更新プログラムをアンインストールする
「削除の承認」に対応していない更新プログラムについては、各クライアントで個別にアンインストールが必要となります。台数が多く、手動では実施できない場合は、コマンドをご利用いただく方法も有効です。Windows OS の更新プログラムにつきましては、基本的には wusa.exe を利用して、次のコマンドでインストールされている更新プログラムを削除することが可能です。
削除コマンド
wusa.exe /uninstall /kb:<KB 番号> /quiet /norestart
例) 削除したい KB 番号を指定してください。
wusa.exe /uninstall /kb:1234567 /quiet /norestart
サイレントでアンインストールした後、再起動を抑制するために、/quiet と /norestart を付与しています。再起動を抑制するオプション /norestart を付与した場合は、コマンドの実行が行われた後、再起動されることで正常に削除が完了します。
Windows の Windows Update スタンドアロン インストーラーについて
https://support.microsoft.com/kb/934307/ja
こちらは AD のログオフ スクリプト等の手段で実施することも可能ですので、もし AD 環境で、多数のクライアントに配布されてしまった可能性がある場合には、ログオフ スクリプトをご検討ください。
(参考情報)
一例ではありますが、シャットダウン スクリプト内で上記コマンドを実行する手順について、ご紹介します。
まず上記のコマンドを含む BAT ファイルを作成し、ドメインに割り当てられたグループポリシーのシャットダウンスクリプトに指定します。作成した BAT ファイルはあらかじめ、ドメインコントローラーの以下のパスに配置しておきます。
<SysVol 共有フォルダ>\<ドメイン名>\Policies\<GUID>\Machine\Scripts\Shutdown
<GUID>は グループポリシーのGUIDになります。
グループポリシー管理エディタで対象のGPOに接続し、以下を選択します。
[コンピューターの構成] – [ポリシー] – [Windows の設定] – [スクリプト(スタートアップ/シャットダウン)]
詳細ペインより「シャットダウン」のプロパティを開き、「追加」-「参照」より先のパスに配置した BAT ファイルをスクリプトとして選択します。
シャットダウンスクリプト設定後、コンピューターポリシーは、最大で 120 分以内に各クライアントに反映されます。以降各コンピューターがシャットダウンする際に、予期しない更新プログラムが適用されて、再起動待ちとなっている状況から更新プログラムを削除できます。
3. 該当する自動承認規則を無効にする
自動承認規則を有効にすると、その規則に合致した更新プログラムであれば、自動的に承認されることになります。そのため、規則に指定した製品や分類に意図しない更新プログラムが含まれた場合の配信を防ぎたい場合には、自動承認規則を無効にしていただくことをお勧めします。
WSUS 管理コンソールの [オプション] より [自動承認] をクリックします。[更新規則] タブに表示されている規則のチェックをオフにすることで、自動的に実行されることはなくなります。
免責事項
コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。