みなさま、こんにちは。WSUS サポート チームです。
今回は第 1 回の「考え方篇」に引き続き、Windows Update 実行時のプロキシ設定の具体的な手法について、オススメの設定と注意点を紹介していきます。「Windows Update を実行するときにプロキシ設定って必要なの?」という方は、まずは「考え方篇」をご参照ください。
プロキシを利用する環境でのオススメの設定
プロキシを利用する環境の場合には、Windows Update の実行時にプロキシ設定が読み込まれるように設定を行っていただく必要があります。オススメの設定としては、以下の 2 種類があるため紹介をします。是非以下のいずれかの設定について、ご検討をください。
A. WPAD を利用した設定方法
WPAD (Web Proxy Auto-Discovery) はクライアントにプロキシの設定を自動配布するための方法として開発された技術であり、WPAD を利用すると DHCP サーバーもしくは DNS サーバーからプロキシの設定をクライアントに対して自動的に配布することが可能です。
Windows Update による通信でも WPAD は参照されるため、WPAD を利用することで各クライアントにて個別にプロキシの設定を行うことなく、プロキシ経由で通信を行うようすることが可能です。
WPAD の設定方法の詳細については、以下ブログで紹介しているため、ご参考としてください。
また、特にクライアント端末を外に持ち出すような環境では、静的にプロキシ設定をクライアントにしてしまうと、外部のネットワークに接続したタイミングで、意図せずプロキシ設定が読み込まれてしまう可能性があるため、WPAD の利用を是非ご検討ください。
B. IE および WinHTTP の両方に静的にプロキシ設定を行う方法
Windows Update の通信で確実にプロキシ設定を読み込ませるためには、IE (Internet Explorer) および WinHTTP のプロキシ設定の両方を実施していただく必要があります。このため静的にプロキシ設定を行う場合には IE のプロキシ設定と WinHTTP のプロキシ設定を両方共に実施していただくことをオススメしております。
IE のプロキシ設定については、以下ブログにて紹介しているため、ご参考としてください。静的にプロキシ サーバーのアドレス等を指定する場合には「2) プロキシ サーバー」の箇所の設定を行います。
また、WinHTTP のプロキシ設定については、以下のコマンドを管理者権限で実行することで設定が可能です。
<< WinHTTP のプロキシ設定をする場合 >>
netsh winttp set proxy proxy-server =<プロキシ サーバー> bypass-list=<バイパス リスト><< 上記コマンドの実行例 >>
netsh winhttp set proxy proxy-server="myProxyServer:8080" bypass-list="<local>;*.microsoft.com;*.foo.ne"なお、以下のコマンドを実行することで IE のプロキシ設定を、そのまま WinHTTP のプロキシ設定へ反映することが可能です。
<< IE のプロキシ設定を WinHTTP のプロキシ設定へインポートする場合 >>
netsh winhttp import proxy source=ie加えて以下のコマンドで現在の WinHTTP のプロキシ設定の確認やリセットが可能です。
<< 現在の WinHTTP のプロキシ設定を参照する場合 >>
netsh winhttp show proxy<< WinHTTP のプロキシ設定をリセットする場合 >>
netsh winhttp reset proxy
プロキシを利用する上での注意点
プロキシ サーバーを利用している環境において、よく失敗するポイントや注意点について紹介をします。
静的にプロキシ設定を行う場合
上述の通り、静的にプロキシ設定を行う場合には、IE および WinHTTP のプロキシ設定を両方共にしていただくことをオススメしております。
Windows Update の通信では、どちらのプロキシ設定も参照される可能性があり、細かい使い分けについて以下のブログにて紹介をしております。
https://blogs.technet.microsoft.com/jpwsus/2017/03/02/proxy-settings-used-by-wu/
IE のプロキシ設定はユーザー単位で設定が保持され、WinHTTP のプロキシ設定は端末全体での設定となるため、基本的な考え方としてはユーザーが介する動作では、ユーザーの IE のプロキシ設定が参照され、システムがバックグラウンドで実行される通信については、WinHTTP のプロキシ設定が参照されます。
しかしながら、Windows Update による通信は、自動更新等のユーザーが意図しないところでバックグラウンドでの通信が発生することが多くあるため、確実に Windows Update の通信を成功させるためには、両方共に設定していただくことをオススメしております。
認証が必要なプロキシをご利用の場合
以下の公開情報でも紹介している通り、認証が必要なプロキシを介して Windows Update を実行すると、Windows Update の動作が不安定になることがあります。認証が必要なプロキシを利用している場合には、接続先の WSUS サーバーもしくは Windows Update / Microsoft Update サイトへの接続ついては、認証が不要なよう除外してください。
https://support.microsoft.com/ja-jp/help/323166/how-to-download-updates-that-include-drivers-and-hotfixes-from-the-win
--- 該当箇所抜粋 ---
Windows Update または Microsoft Update の使用中に、以下のいずれかまたは複数の問題が発生する場合があります。
(中略)
統合プロキシ認証 (NTLM 認証) を使用して認証を行う Web プロキシ サーバーを経由して Windows Update サイトまたは Microsoft Update サイトに接続すると、これらの Web サイトが表示されないことがあります。
--- 該当箇所抜粋 ---
インターネット上の Windows Update / Microsoft Update サイトに対して Windows Update をする場合
インターネット上の Windows Update / Microsoft Update サイトに対して Windows Update をする場合には、以下のブログにて紹介している URL への通信が必要となります。
https://blogs.technet.microsoft.com/jpwsus/2017/02/27/wu-mu-list/
プロキシ サーバー等で接続先の URL によってブロック等を実行している場合には、上記のブログにて紹介している URL に対する通信を許可する必要があるので、ご注意ください。また、上述の通り、認証が必要なプロキシを利用している場合には、ブログ内で紹介している URL について認証が不要なようにしてください。
全 2 回に渡る投稿いかがでしたでしょうか。プロキシ設定が環境に合わせて正しく構成されていないと、ネットワーク系のエラー (0x80240030 / 0x80072efe / 0x80244022 / 0x80072efd / 0x80072ee2 / 0x80072ee7 / 0x8024402c 等) が発生したり、異常に Windows Update に時間を要したり、様々な事象が発生します。
プロキシ設定を正しく見直すことで、こういった問題の発生を未然に防ぐことが可能なので、是非ご参考としていただければ幸いです。