目次
Windows10のリリースがWaaSとなり、更新サイクルが早まったことで、
Windows UpdateやWSUS管理下のクライアントPCでのエラーが増加したような気がしています。今回はWSUS管理下PCの意図しない更新プログラム適用を阻止する方法(勝手に更新プログラムが適用されてしまうのを阻止する)をまとめます。
発生する事象は、WSUSの管理下となっているクライアントPCに対して、WSUSやグループポリシーで制御したスケジューリングとは全く別のタイミングで勝手に更新プログラムを取得し、適用されてしまう、という事象です。
考えられる原因は2つあります。
それぞれの原因に対する手順を示します。
以下の Japan WSUS Support Team Blog記事に詳細な設定手順があります。
【2019/04/11追記リンク切れ。移行先分かり次第更新します】
以下引用です。
1. 上述のレジストリに対応する、下記の 3 つグループ ポリシーを “未構成” に設定する。
・[コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update] -> [Windows Update の延期]
-> [機能更新プログラムをいつ受信するかを選択してください]
-> [品質更新プログラムをいつ受信するかを選択してください]
・[コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update]
-> [Windows Update からドライバーを除外する]2. 下記のグループ ポリシーを “有効” に設定し、Windows Update サイトへの接続が行えない状態とする。
・[コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update]
-> [インターネット上の Windows Update に接続しない]または
・[コンピューターの構成] -> [管理用テンプレート] -> [システム] -> [インターネット通信の管理] -> [インターネット通信の設定]
-> [Windows Update のすべての機能へのアクセスをオフにする]※ [インターネット上の Windows Update に接続しない] を有効にした場合は、ストアアプリのインストールや更新ができません。ストアアプリのインストールや更新を許可したい場合は、[Windows Update のすべての機能へのアクセスをオフにする] を有効にしてください。
以下引用です。
・グループ ポリシー
[コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update]
-> [Windows Update に対するスキャンを発生させる更新遅延ポリシーを許可しない]
(英語名は[Do not allow update deferral policies to cause scans against Windows Update] です。)・対応するレジストリ
キー名 : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
値の名前 : DisableDualScan
値の種類 : REG_DWORD
値 : 0 (無効)、1 (有効)このグループポリシーを有効にすると、WSUS 環境下で次のいずれかのグループポリシーを有効にした場合に発生するデュアル スキャンの動作を無効にすることができます。
また、別な記事として、
についての設定方法もこちらで整理されています。
【2019/04/11追記リンク切れ。移行先分かり次第更新します】
引用ばかりの記事となってしまいましたが、原因切り分けしにくいWindowsUpdateの設定についての情報をまとめました。役に立ちましたら、ぜひ他の記事も読んでみてください。