こんにちは、マイクロソフトの福島です。
最近、新しく構築された WSUS サーバーなどで、更新プログラムの一部がダウンロードに失敗する、とお伺いすることがあります。
調べてみますと、WSUS サーバーに、更新プログラム:KB2749655 が適用されていないことがポイントでした。
この現象に合致する場合は、WSUS のログ (※) に、以下のような記録が出力されています。( イベント ログだけでは残念ながらわかりません )
(※) %programfiles%\Update Services\LogFiles の SoftwareDistribution.log
黄色部分が現象判別のポイントです。
―――――――――――――――――――――――――――
2013-01-25
06:42:14.309 UTC Info WsusService.14 CabUtilities.CheckCertificateSignature File cert verification failed
for d:\WSUS\WsusContent\3E\2C6AB49C5353003F7CBEE327195137A8A9DA4F3E.exe with 2148204801
2013-01-25 06:42:14.316 UTC Warning WsusService.14
ContentSyncAgent.WakeUpWorkerThreadProc Invalid file deleted:
d:\WSUS\WsusContent\3E\2C6AB49C5353003F7CBEE327195137A8A9DA4F3E.exe
―――――――――――――――――――――――――――
昨年リリースされた弊社の更新プログラムの中には、KB2749655 に記載された “問題を含む証明書” を使ってファイル署名されたものがあります。
こうした不適切な署名を持つファイルは、証明書の期限が切れると、正常に検証が行われなくなります。期限切れ後のタイミングで WSUS サーバーがファイルの取得を試みますと、ファイル検証動作に失敗し、結果としてダウンロードが失敗に終わります。
KB2749655 を WSUS サーバーへ適用すれば、問題点への対処がなされ、正常にダウンロードを完了できるようになります。
なお、ファイル検証動作はダウンロード時点で発生しますので、問題の証明書の期限が切れる前に、こうしたファイルのダウンロードを既に済ませた WSUS サーバーでは、問題が発生しません。
反対に次のようなケースでは、問題が発生する可能性が大いにありますので、お手数ですが、KB2749655 の適用をぜひご検討ください。
・2013 年になってから、WSUS を新規セットアップし更新プログラムの取得を開始した。
・しばらく (数か月) 同期を行っていなかった WSUS を、最近久しぶりに同期し、更新プログラムを取得した。
なお、インターネットに接続していないWSUS や、レプリカ構成の 子WSUS サーバーでも、ファイル検証時に同じ問題が発生し、クライアントへの配信ができなくなる可能性がありますので、KB2749655 の適用をお願いいたします。
情報:
更新プログラム:KB2749655 については以下のページをご参照ください。
当更新はWSUS や Windows Update でも「重要な更新」というクラスで提供されています。
マイクロソフト セキュリティ アドバイザリ (2749655)
署名されたマイクロソフトバイナリに影響を与える互換性の問題
http://technet.microsoft.com/ja-jp/security/advisory/2749655
ダウンロードはこちらから:
マイクロソフト セキュリティ アドバイザリ: 署名済みマイクロソフト バイナリに影響する互換性の問題
http://support.microsoft.com/kb/2749655/ja