目次
はじめに
Windows10のリリースがWaaSとなり、更新サイクルが早まったことで、
Windows UpdateやWSUS管理下のクライアントPCでのエラーが増加したような気がしています。今回はWSUS管理下PCの意図しない更新プログラム適用を阻止する方法(勝手に更新プログラムが適用されてしまうのを阻止する)をまとめます。
事象の整理
発生する事象は、WSUSの管理下となっているクライアントPCに対して、WSUSやグループポリシーで制御したスケジューリングとは全く別のタイミングで勝手に更新プログラムを取得し、適用されてしまう、という事象です。
推測される原因
考えられる原因は2つあります。
- グループポリシーの明示的な設定がされていない
- Windows10のデュアルスキャン機能が動作している
それぞれの原因に対する手順を示します。
以下の Japan WSUS Support Team Blog記事に詳細な設定手順があります。
【2019/04/11追記リンク切れ。移行先分かり次第更新します】
グループポリシーの明示的な設定を行うことでWindowsUpdateからの更新プログラムの取得を停止させる
以下引用です。
1. 上述のレジストリに対応する、下記の 3 つグループ ポリシーを “未構成” に設定する。
・[コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update] -> [Windows Update の延期]
-> [機能更新プログラムをいつ受信するかを選択してください]
-> [品質更新プログラムをいつ受信するかを選択してください]
・[コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update]
-> [Windows Update からドライバーを除外する]2. 下記のグループ ポリシーを “有効” に設定し、Windows Update サイトへの接続が行えない状態とする。
・[コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update]
-> [インターネット上の Windows Update に接続しない]または
・[コンピューターの構成] -> [管理用テンプレート] -> [システム] -> [インターネット通信の管理] -> [インターネット通信の設定]
-> [Windows Update のすべての機能へのアクセスをオフにする]※ [インターネット上の Windows Update に接続しない] を有効にした場合は、ストアアプリのインストールや更新ができません。ストアアプリのインストールや更新を許可したい場合は、[Windows Update のすべての機能へのアクセスをオフにする] を有効にしてください。
Windows10のデュアルスキャン機能を停止させる
以下引用です。
・グループ ポリシー
[コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update]
-> [Windows Update に対するスキャンを発生させる更新遅延ポリシーを許可しない]
(英語名は[Do not allow update deferral policies to cause scans against Windows Update] です。)・対応するレジストリ
キー名 : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
値の名前 : DisableDualScan
値の種類 : REG_DWORD
値 : 0 (無効)、1 (有効)このグループポリシーを有効にすると、WSUS 環境下で次のいずれかのグループポリシーを有効にした場合に発生するデュアル スキャンの動作を無効にすることができます。
また、別な記事として、
- 更新プログラムを WSUS サーバーのみから取得するようにしたい場合
- 更新プログラムの自動適用は WSUS サーバーから行なうが、外部へ端末を持ち出した際等に手動で Windows Update / Microsoft Update サイトより更新プログラムの取得を行えるようにしたい場合
についての設定方法もこちらで整理されています。
【2019/04/11追記リンク切れ。移行先分かり次第更新します】
最後に
引用ばかりの記事となってしまいましたが、原因切り分けしにくいWindowsUpdateの設定についての情報をまとめました。役に立ちましたら、ぜひ他の記事も読んでみてください。
