ソフトウェア更新ポイント、及びWSUS のSSL 化について

ソフトウェア更新ポイント、及びWSUS のSSL 化についてですが、まずその目的を理解する必要があります。

ここでは簡単のため、主にWSUS サーバーにフォーカスして説明いたします。

WSUS はスタンドアロン構成とリモート構成の２パターンが主にあります。

この内、リモート構成の場合にSSL 化の検討が必要となるかと思います。

これはリモート構成の場合、２拠点間のWSUS の同期時にデータを暗号化するかどうか、という点を検討する必要があるからとなります。

また、クライアントとサーバー間でのデータのやり取りについても同様のことが言えます。

また、WSUS は公開情報にもある通り、メタデータ（WSUS コンソールに表示される情報のデータとお考えください）については、暗号化の対象となりますが、更新プログラムのコンテンツファイル自体は、暗号化の対象となりません。

WSUS をSSL 化する場合、より具体的にはサーバー証明書を導入する場合は、このサーバー証明書を利用して、WSUS はコンテンツファイルに署名をします。（より具体的にいうと、WSUS サーバーは秘密鍵を使ってファイルを署名し、クライアントは公開鍵によってそのファイルの正当性を検証できるようにします）

これに加え、更新プログラムのファイルハッシュを生成し、そのデータをクライアントに送り、クライアントはダウンロードした更新プログラムのファイルハッシュを生成して、サーバーから送られてきたファイルハッシュを比較し、同一であれば、その更新プログラムは正しいものと判断し、更新プログラムのインストールを開始します。

つまり、WSUS をSSL 化することにより、クライアントが更新プログラムをWSUS のサーバー証明書を利用することで検証することができるようになります。

これらの手順について、以下に簡単にまとめました。

基本的には、公開情報にある以下のリンクを見れば導入が可能となりますが、その中であまり具体的に案内がない箇所にフォーカスして手順を記載してありますので、ご参考いただければと思います。

手順 2 - WSUS を構成する | Microsoft Docs

また、WSUS のSSL 化は、Configuration Manager のソフトウェア更新ポイントをTLS/SSL を利用するように構成する手順の一部でもありますので、今回は、下記の公開情報も参考にして、WSUS のSSL 化からソフトウェア更新ポイントのTLS/SSL 化までを試してみたいと思います。

PKI 証明書チュートリアルで TLS/SSL を使用するソフトウェア更新ポイントを構成する - Configuration Manager | Microsoft Docs

しかしながら、上記のWSUS をSSL 化する公開情報で、大前提となる証明書テンプレートの生成方法から、導入までの手順が、かなり分かりづらいものとなっておりますので、下記では、その手順を画面付きで記載してありますので、ご参考にしていただければと思います。

事前準備：ドメインコントローラー上でのサーバー証明書の作成

■概要

ここでは、WSUS サーバーが所属しているドメインのドメインコントローラー上で証明書テンプレートを利用して、証明書を生成する手順を示します。

■手順

1-1) [サーバーマネージャー] > [ツール] > [証明機関] （*1）をクリックします。

*1) 証明機関はデフォルトで役割が存在しないので、役割の追加をしてください。

1-2) [certsrv] で、[証明書テンプレート] を右クリックし、[管理] をクリックします。

1-3) [証明書テンプレート コンソール] 画面で、[Web サーバー] を右クリックし、[テンプレートの複製] をクリックします。

1-4) [新しいテンプレートのプロパティ] の[全般] タブにある、[テンプレートの表示名] に、[WSUS-SUP] と入力します。

1-5) [新しいテンプレートのプロパティ] 画面で、[要求処理] タブをクリックし、[秘密キーのエクスポートを許可する] をクリックします。

1-6) [新しいテンプレートのプロパティ] で、[セキュリティ] タブをクリックし、[Enterprise Admins] グループをクリックして、登録のアクセス許可を外します。

1-7) [新しいテンプレートのプロパティ] で、[追加] をクリックします。

1-8) [ユーザー、コンピューター、サービス アカウントまたはグループの選択] で、[オブジェクトの種類] から[コンピューター] にチェックをつけてOK を押します。

1-9) [ユーザー、コンピューター、サービス アカウントまたはグループの選択] に戻り、WSUS のサーバー名を指定して、[名前の確認] を押し、CM サーバー、もしくはWSUS サーバーが指定できたら、OK を押します。

1-10) [新しいテンプレートのプロパティ] で、1-9) で指定したWSUS サーバーを選択し、[アクセス許可] で、[登録] にチェックを入れてOK を押します。

1-11) [証明書テンプレート  コンソール] で、[WSUS-SUP] テンプレートが追加されたことを確認し、画面を閉じます。

1-12) [certsrv] で、[証明書テンプレート] を右クリックし、[新規作成] > [発行する証明書テンプレート] をクリックします。

1-13) [証明書テンプレートの選択] 画面で、[WSUS-SUP] を選択します。

1-14) [certsrv] で、[WSUS-SUP] が追加されたことを確認します。

事前準備はここまでとなります。
ここまで準備ができれば、後は下記の公開情報の通りに手順を踏めば、WSUS のSSL 化ができます。

PKI 証明書チュートリアルで TLS/SSL を使用するソフトウェア更新ポイントを構成する - Configuration Manager | Microsoft Docs

作成したテンプレートを利用して証明書要求をサーバーからドメインコントローラーに対して行い、IIS に証明書をバインドする手順となります。
確認方法として、MECM のログを確認することになりますが、問題なく確認できるかと思います。

2022年1月の帯域外リリース for Windows Server OS

１月にリリースされている累積的な更新プログラムについてですが、色々な問題が含まれている状況となっております。
また、１月以前にもいくつか問題を含んだ更新プログラムがリリースされており、中にはサーバーOS で勝手に再起動が動作してしまうような致命的なものが含まれていたりします。

そのため、こちらではどの更新プログラムで問題が混入し、どの更新プログラムでその問題が解消できるのかという内容をまとめてみましたので、ご参考にしてみてください。

※WSUS から配信したい場合はすべてWSUS に手動インポートする必要があります。

もし、WSUS Import がうまく行かない場合は、以下のリンク先をご確認ください。

Nautilus: WSUS でカタログからインポートできない場合の対処策 (dah8ra.blogspot.com)

該当 OS	原因となる更新プログラム	対策となる更新プログラム	解消される事象（代表的なもの）	公開情報
Windows Server 2019	KB5008218	KB5010196	リモート デスクトップを使用してサーバーにアクセスできない場合があります。 最終的に、サーバーが応答を停止する可能性があります。 さらに、黒い画面が表示され、サインインと一般的なパフォーマンスが低下する	https://support.microsoft.com/ja-jp/topic/2021-%E5%B9%B4-12-%E6%9C%88-14-%E6%97%A5-kb5008218-os-%E3%83%93%E3%83%AB%E3%83%89-17763-2366-0d9c500d-6e71-4cb4-99e2-416655622769
Windows Server 2019	KB5009557	KB5010791	Windows Server が予期せず再起動 / ベンダー ID を含む IP セキュリティ (IPSEC) 接続が失敗（VPN 接続不可）	https://support.microsoft.com/ja-jp/topic/january-18-2022-kb5010791-os-build-17763-2458-out-of-band-43697313-d8e0-4918-b6df-7f64d4d9a8cd
Windows Server 2016	KB5008207	KB5010195	リモート デスクトップを使用してサーバーにアクセスできない場合があります。 最終的に、サーバーが応答を停止する可能性があります。 さらに、黒い画面が表示され、サインインと一般的なパフォーマンスが低下する	https://support.microsoft.com/ja-jp/topic/2021-年-12-月-14-日-kb5008207-os-ビルド-14393-4825-35421e45-96b3-4585-9faa-02576d813e7a
Windows Server 2016	KB5009546	KB5010790	予期せず再起動 / ベンダー ID を含む IP セキュリティ (IPSEC) 接続が失敗（VPN 接続不可）	https://support.microsoft.com/ja-jp/topic/2022-%E5%B9%B4-1-%E6%9C%88-11-%E6%97%A5-kb5009546-os-%E3%83%93%E3%83%AB%E3%83%89-14393-4886-0c2cac57-13b6-42e6-b318-41ca32428f91
Windows Server 2012	KB5008285	KB5010215	Windows Server 2012が停止する可能性があります。 さらに、黒い画面、サインインの遅さ、または時間の一般的な遅さが発生して、最終的にサーバーが応答を停止	https://support.microsoft.com/ja-jp/topic/2021-年-12-月-14-日-kb5008285-セキュリティ専用更新プログラム-5c1ac43e-ddd4-48d9-a3af-68d03968080f
Windows Server 2012	KB5009595	KB5010794	サーバーが予期せず再起動	https://support.microsoft.com/ja-jp/topic/kb5010794-windows-8-1-%E3%81%8A%E3%82%88%E3%81%B3-r2-windows-server-2012%E3%81%AE%E5%B8%AF%E5%9F%9F%E5%A4%96%E6%9B%B4%E6%96%B0-2022-%E5%B9%B4-1-%E6%9C%88-17-%E6%97%A5-a92500fb-f227-400e-b70e-f7dd50386fd3
Windows Server 2012	KB5009619	KB5010797	Windows Server が予期せず再起動	https://support.microsoft.com/ja-jp/topic/kb5010797-windows-server-2012-2022-%E5%B9%B4-1-%E6%9C%88-17-%E6%97%A5-1f14f497-8404-404d-8d78-0c962c9e486d

Windows Server 2012R2 からWindows Server 2016、2019 へのインプレースアップグレードとWSUS の移行について

Windows Server 上でWSUS サーバー以外の機能を追加して運用している場合、そちらの機能を継続して運用するために、Windows Server のアップグレードが必要になる可能性があります。

その場合、WSUS の役割が追加されている場合、WSUS サーバーをインプレースアップグレードできるかどうかに焦点が当たることとなります。

結論としましては、インプレースアップグレードする場合は、WSUS の役割を一旦削除してからインプレースアップグレードを実施し、アップグレード後に再度WSUS の役割を追加することをお勧めします。

私が調べたところ、WSUS の役割を入れたままでインプレースアップグレードをすると、管理コンソールが開かなかったり、再度インストールしても、IIS にある「WSUS の管理」という項目が残っていると、インストール直後の後処理に失敗するとのことであったため、改めて新規にWSUS をセットアップしてデータベースを移行する方が、設定抜けに気づかないといったことがないと思いますので、おすすめです。

では、どのようにしてWSUS の移行を実行するかというと、WSUS のデータベースをでタッチ後、バックアップして、インプレースアップグレードしたら、WSUS のデータベースをリストアするという流れになります。

具体的な手順は2012R2 での移行手順となっていますが、下記のURL の2.3, 2.4 を参考に実施すれば移行可能と思いますので、困った場合は下記を参照してみてください。

2.3. WSUS データベースをバックアップする
2.4. WSUS データベースのバックアップを移行先サーバーで復元する

WSUS 3.0 SP2 から Windows Server 2012 R2 WSUS への移行手順 その 1 (WID -> WID の場合) | Microsoft Docs

WSUS 3.0 SP2 から Windows Server 2012 R2 WSUS への移行手順 その 2 (SQL -> SQL の場合) | Microsoft Docs

 

Chrominium Edge の更新プログラムをWSUS サーバーに同期させる手順

 WSUS 管理コンソールから、[サーバー名]>[オプション]>[製品と分類] より、[製品] タブで、「Microsoft Edge」を、[分類] タブで「更新」を選択して同期をすると、Chrominium Edge の更新プログラムが同期できる。

どの製品、分類を選択してよいかがわからない場合は、下記のMicrosoft のカタログサイトを確認すればわかる。

Microsoft Update カタログ

対象の更新プログラムで検索をすると、「製品」列と「分類」列があるので、これが上記で設定したものと同じものを選択すれば、検索した対象の更新プログラムが同期できます。

KB5005565 の不具合について

現時点で９月の累積更新プログラムである、KB5005565 を適用することで発生する事象については、下記３点があるようです。

• エラーコード「0x0000011b」でネットワーク上の共有プリンターから印刷ができなくなる不具合
• Bluetooth機器が接続されない不具合
• ローマ字/カナ入力モードが自動的に切り替わらない不具合
  

そのうち、２番目のBluetooth機器が接続されない不具合は私も確認しました。

事象としては、下記の赤丸の場所にBluetooth を有効にするスイッチが表示されません。

そして、一番下の項目にあるように「Bluetooth が無効です」と表示されます。

これらを回避するには、下記のようにコントロールパネルからアンインストールをします。（下記の画像は、すでにアンインストールしてしまったので、別の更新プログラムになります）

ちなみに、デバイスマネージャーを開いても、Bluetooth のツリーが存在していないようでした。

（表示＞非表示のデバイスの表示、をすれば見えるようにはなります）

そしてこの事象を治すのに、以外と時間がかかりました。

なぜならKB5005565 をアンインストールして再起動しても事象が解消していなかったからです。

私が利用している端末は、Win10 20H2 のデスクトップですが、色々調べてた結果、嘘のような話ですが、電源OFF 後に、電源コードを根本から抜いて、１分くらい経過したら、再度つないで起動することで、Bluetooth が使えるように戻ります。

本当にこれで治りました。ドライバの認識を初期化しているんじゃないかと思います。

2021年8月のSSU（KB5005260）について

 現在、恐らく一番多く利用されているエンドユーザー向けWindows10 のバージョンである、2004, 20H2, そして21H1 ですが、こちらの累積更新プログラムを適用するために必要なサービススタック更新プログラムについての備忘録になります。

まず、６月、７月の累積更新プログラムについてですが、こちらは５月の累積の更新プログラムが前提条件となっています。

2021 年 6 月 8 日 — KB5003637 (OS ビルド 19041.1052、19042.1052、および 19043.1052) (microsoft.com)

2021 年 7 月 13 日 — KB5004237 (OS ビルド 19041.1110、19042.1110、および 19043.1110) (microsoft.com)

抜粋：
===========================
最新の累積的な更新プログラムをインストールする前に、2021 年 5 月 11 日の更新プログラム(KB5003173)をインストールします。
===========================

しかしながら、今までは最新のSSU が適用されていれば、最新の累積更新プログラムは適用ができていました。

2021 年 5 月 11 日 — KB5003173 (OS ビルド 19041.985、19042.985、および 19043.985) (microsoft.com)

抜粋：
===========================
この LCU をインストールする前に、最後のスタンドアロン SSU (KB4598481) をインストールしてください。
===========================

しかし、５月の累積更新プログラムに同梱されているSSU がないと、６月、７月の累積更新プログラムが適用できなくなってしまったため、６、７月の累積を適用したい場合は、５月の累積の適用がMUST となってしまいました。

しかしながら、運用の手法として、置き換えられた更新プログラムは、WSUS サーバーにて拒否済みにし、しっかりメンテナンスしている環境である場合、６月の累積が５月の累積を置き換えるので、５月の累積が拒否済みとなり、６月の前提条件の５月が適用されない状況となってしまうことが発生しているようです。

つまり、６月、７月の累積を適用したい場合は、５月や６月の置き換えられる累積更新プログラムを拒否済みにせず、配信し続ける必要があります。

ただ、こちらの事象は、８月の最新のサービススタック更新プログラム（KB5005260）を適用することで、すべて解決できます。

現時点でのベストプラクティスは、８月のSSU を適用して最新の累積更新プログラムを適用することです。

SSU:
==========================
KB5005260: Windows 10 Version 2004、20H2、および 21H1 のサービス スタック更新プログラム: 2021 年 8 月 11 日 (microsoft.com)
==========================

累積更新プログラム：
==========================
2021 年 8 月 10 日 — KB5005033 (OS ビルド 19041.1165、19042.1165、および 19043.1165) (microsoft.com)

2021 年 9 月 14 日 — KB5005565 (OS ビルド 19041.1237、19042.1237、および 19043.1237) (microsoft.com)
==========================

８月のSSU を適用することで、６月、７月の累積更新プログラムも適用が可能となりますが、最新の累積更新プログラムではないため、やはり、最新の累積更新プログラムを適用していく方が運用としては望ましいと思います。

WSUS でカタログからインポートできない場合の対処策

WSUS サーバーに着信しない更新プログラムというのが存在するのですが、これをWSUS サーバー経由でクライアントに配信、展開したい場合は、カタログサイトからインポートをする必要があります。

上記の「更新のインポート」からインポートしたいKB 番号の更新プログラムを選択して、下記のインポートのボタンを押します。

しかし、構築したての何も設定を変更していないWSUS サーバーだと、下記のように失敗してしまいます。

よくある回避策として、w3wp.exe.config を利用したやり方がありますが、こちらは.NET Framework に、OS 側で設定されている暗号化方式を参照してね、という設定をすることになるのですが、SchUseStrongCrypto のレジストリを追加したやり方の場合、.NET Framework に、強力な暗号化を構成してね、という設定となり、現時点ではTLS1.2 を利用するように構成されることになります。

ただ、.NET Framework に強力な暗号化を構成するように指定したとしても、OS 側の設定も結局のところ参照することにはなるので、OS側でTLS1.2 が無効になっていたら通信できないはずです。（現時点でTLS1.2 を無効にする人はいないと思いますが。。。）

また、TLS1.2 が使えない場合は、TLS1.1, 1.0 というようにバージョンを下げてリトライしますが、これを無効化する場合は、下記の過去記事を参照ください。

Nautilus: Windows Server 2016 でのTLS の設定について (dah8ra.blogspot.com)

ということで、SchUseStrongCrypto を追加するやり方ですが、下記の過去記事にまとめてありますので、ご参照ください。

Nautilus: Windows Server 2016 でRC4 を無効化 (dah8ra.blogspot.com)

また、公開情報としても下記に情報がありますので、こちらもご参照いただくとよいかと思います。

トラブルシューティング Windows Server Update Services (WSUS) の同期とインポートの問題 - Configuration Manager | Microsoft Docs

カタログ情報をDB から削除するコマンド

 WSUS に着信しない更新プログラムは、手動でインポートする必要があります。

インポートのやり方は管理コンソールの右側に[更新のインポート] という項目があるので、こちらをクリックしてカタログサイトからインポートを実施します。

初めてインポートする場合は、エラーがでてインポートできないかもしれませんので、その場合は、%SystemRoot%\system32\inetsrv　にw3wp.exe.config　ファイルを生成して、ファイルの内容に下記を追加して保存すれば、大体うまくインポートできるようになります。
---------------------------------
$wsus = Get-WSUSServer
$wsus.DeleteUpdate("XXXXXXXXXXXXX")
---------------------------------
※ "XXXXXXXXXXXXX" の部分につきましては UpdateID を入力します。

上記コマンドを実施して以下のエラーが発生する場合は、対象の更新プログラムが承認済みの状態だったりしますので、元の未承認の状態に戻すことで、事象が解消しますのでご確認ください。

===================================
PS C:\Users\administrator> $wsus.DeleteUpdate("628f5572-7e1a-4934-b864-3e6e24d3c758")
"1" 個の引数を指定して "DeleteUpdate" を呼び出し中に例外が発生しました: "spDeleteRevision: cannot delete revisionid: 11
3652 because it is still deployed to a Non DSS Target Group
spDeleteUpdate got error from spDeleteRevision
spDeleteUpdateByUpdateID got error from spDeleteUpdate"
発生場所 行:1 文字:1
+ $wsus.DeleteUpdate("628f5572-7e1a-4934-b864-3e6e24d3c758")
+
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [], MethodInvocationException
    + FullyQualifiedErrorId : SqlException
===================================

Japan Microsoft Endpoint Manager Support Team のブログ公開

下記のリンクから、Japan Microsoft Endpoint Manager Support Team のブログにいけます。

日本マイクロソフト サポート情報 (cssjpn.github.io)

今までのフォーラムの情報もアーカイブとして残っていますが、いつ削除されるかわからないので、保存しておきたい情報はスクショしておきましょう。

ちなみにブログのリンクは以下。

Japan Microsoft Endpoint Manager Support Blog (jpmem.github.io)

WSUS にインポートしたカタログ情報を削除

 WSUS から配信できない更新プログラムを手動でインポートしたが、これを消したいということがあるかと思います。

その場合、下記のコマンドをPowerShell から実行すればカタログ情報から削除できます。

- サンプル コマンド
--------------------------------
$wsus = Get-WSUSServer
$wsus.DeleteUpdate("13b5a526-7f85-4546-adde-95ced26276e5")
--------------------------------
※ "13b5a526-7f85-4546-adde-95ced26276e5" の部分は UpdateID を入力します。

UpdateID を確認する場合、カタログサイトの対象の更新プログラムを選択した時に表示されるURL 情報を確認するとよいでしょう。

Microsoft Update カタログ

Windows10 2004 にKB5001567 をWSUS 経由で配布すると適用できない

KB5001567 ですが、こちらの更新プログラムは既定でWSUS からの配信ができない更新プログラムとなります。

そのため、WSUS を利用して配信したい場合、WSUS へのインポート作業が必要となります。

2021 年 3 月 15 日 - KB5001567 (OS ビルド 19041.868 および 19042.868) 帯域外 (microsoft.com)

WSUS へKB5001567 を無事インポートできたところで、こちらの更新プログラムをWindows10 2004 のクライアントへ配信すると、クライアント側には何故か適用できていないが、WSUS レポート上はKB5001567 がインストール済みと表示されます。

※Windows10 20H2 は問題なく適用できます。

原因は不明ですが、私の検証だと、KB5000802 をインストールすると、KB5001567 がインストール済みと判定されてしまうようです。

また、KB5000802 をインストールすると、同梱されているサービススタックの更新プログラム、KB5000858 がインストールされますので、KB5000802 かKB5000858 がインストールされると、KB5001567 がインストール済み、という判定がされてしまうようです。

現状こちらの更新プログラムを適用したい場合は、Windows Update カタログサイトからスタンドアロンの更新プログラムをダウンロードして適用するか、Windows Update から適用するしか方法がないようです。

しかしながら、すでにKB5001649 がリリースされているので、こちらを適用するのが正解でしょう。

2021 年 3 月 18 日 - KB5001649 (OS ビルド 19041.870 および 19042.870) 帯域外 (microsoft.com)

SCCM で管理しているクライアントで、意図せずパッチが適用され再起動されてしまう場合

SCCM で管理しているクライアントに再起動をしないように展開設定してパッチを適用しているが、意図せずクライアント側でパッチ適用、及び再起動が実行されてしまう場合があります。

この原因の多くは、WSUS のグループポリシーによるものです。

具体的には、下記のグループポリシーが有効になっている場合、WSUS 側で管理されているパッチが適用され、再起動がされてしまいます。

そのため、クライアントのパッチのすべてをSCCM で管理したい場合は、こちらの項目を[無効] にするのがよいでしょう。