Japan WSUS Support Team Blog

マイクロソフト セキュリティサポートの斉藤です。

WSUS 3.0 SP2 では承認済みの更新に対象を絞ったレポートが追加されました。
新しいレポートでは未承認の更新プログラムが出力されないため、レポートの総ページ数を削減することができます。

WSUS 管理コンソール上では、更新レポートとコンピュータレポートそれぞれに 1 項目ずつ、表形式のメニューが追加されていますが、レポートを開き、レポートオプションから、従来のレポート同様に概要、詳細、表形式の 3 種類を選択することができます。

対象の更新プログラムが絞られているだけで、出力されるフォーマットは従来と同じであるため、従来のレポートと見分けがつきにくいところがありますが、レポートの先頭にある下記の表記で見分けることができます。

｢承認済み更新プログラムについての更新状態の詳細レポート｣

WSUS 3.0 SP2 にアップグレードし、新しく追加されたレポートをぜひご活用ください。

マイクロソフトの太田です。

今回は WSUS 3.0 SP2 の新機能の第 2 段として、「自動承認」の拡張機能についてご紹介させていただきます。

SP2 の新機能として、「自動承認」に以下の機能が追加されました。

  「Windows Server Update Services 3.0 SP2 リリース ノート」 より

  -----------------------------------------------------------------

  ・自動承認規則に、すべてのコンピュータまたは特定のコンピュータグループの承認の期日および時間を指定する機能が含まれました。

  -----------------------------------------------------------------

これまで「自動承認」の機能を既にご利用いただいていたお客様も多いかと思いますが、自動承認した更新プログラムに対して「インストール期日」を付加したいという場合には、後から手動で指定するしかありませんでした。

これに対し、SP2 では、「自動承認」の際に、「インストール期日」も併せて自動設定できるよう、機能が追加されました。

※  「インストール期日」とは、この日時までにクライアントへのインストールが実施されなかった場合、強制的にクライアントへのインストールと再起動を実行するという機能です。

※  期日を設定していた場合、それを過ぎると「自動更新の構成」の設定内容に関わらず、強制的なインストールと再起動が発生することになりますのでご注意ください。

実際にどのように設定するかを、スクリーンショットとともに解説させていただきます。

今回は既定の自動承認規則に加え、インストール期日を設定しています。

1.    WSUS の管理コンソールより、[オプション] の [自動承認] を選択します。

2. 開いた [自動承認] のウィンドウより、[新しい規則] をクリックします。

   [承認の期日の設定] というプロパティが以前より追加されているのが確認できます。

3. 期日を設定します。

   [承認の期日の設定] にチェックを入れると、「期日を以下に設定:  3:00 の承認の 7 日後」というプロパティが表示されます。

4. 期日の下線付きの値をクリックし、期日の選択をします。

   ※ 翻訳が非常に分かりにくい表現となっており、大変申し訳ございません。

      上記は「同期により WSUS に更新プログラムが着信したその日を基準として、7 日後の日付の時刻 3:00」をその更新プログラムの「インストール期日」として設定したことなります。

5. 規則が、任意の名前で指定されていることを確認し [OK] をクリックします。

以上となります。

これにより、「同期によりWSUS 更新プログラムが着信したその日を基準として、7 日後の日付の 時刻 3:00」をその更新プログラムの「インストール期日」として設定されました。

参考になれば幸いです。

こんにちは。マイクロソフトの太田です。

WSUS 3.0 も SP2 がリリースされ、1 か月ほど経過し、徐々に SP2 関連のお問い合わせもいただくようになりました。

今回は WSUS 3.0 SP2 の新機能について紹介させていただきます。

SP2 の新機能として「Windows Server 2008 R2 との統合」機能があります。

この機能は Windows Server 2008 R2 の “サーバー マネージャー” を使用することで、簡単に WSUS 3.0 がインストールできてしまう、大変便利な機能となります。

今回は実際に機能を使用した際のイメージを一部紹介させていただきますので、ご参考にしていただければと思います。

1.    サーバー マネージャーより「役割の追加」を選択します。

すると一覧に「Windows Server Update Services」がありますので、こちらを選択します。

2.    上記の選択をすることで、その他追加で必要な役割サービスの追加が確認されます。

3. IIS 関連のインストールされる役割サービスが自動的にチェックされます。

4．WSUS の詳細な説明が表示されます。

5. 確認などが表示され「次へ」ボタンを押して進めると、インストールに必要なプログラムが自動的にダウンロードされます。

6. ダウンロード完了すると通常の WSUS 3.0 SP2 のセットアップウィザードが実行されます。

   (ここから先は今までの WSUS 3.0 のセットアップウィザードと同様のため割愛させていただきます。)

7. セットアップウィザードが完了すると、結果が表示されます。

   これで WSUS が稼働している状態となります。

以上でインストールが完了しました！

非常に便利ですので、今後 Windows Server 2008 R2 をご使用の際は、是非ご利用いただければと思います。

補足:

サーバー マネージャーの役割として追加されているため、他の役割と同様に WSUS が管理できます。

なお、アンインストールも役割を削除いただくだけで可能ですので、非常に簡単になりました。

マイクロソフトの古水です。

今回のブログでは、更新プログラムインストール後に再起動を促す通知の設定についてご紹介いたします。

この間隔は既定で 10 分ですが、グループ ポリシー又は直接のレジストリ設定にて変更可能です。( 詳細は、後述の「再起動を促すダイアログを表示する間隔」 をご確認ください )

ただし、タイトルにある Windows Vista では本設定値を変更しても、動作には反映されない仕様となっております。

このように、クライアント コンピュータの OS によって動作が異なるため、注意が必要であるため、ご案内させていただきます。

-----------------------------------------------------------

A. クライアントコンピュータの OS による動作の違い

B. 再起動を促すダイアログを表示する間隔

-----------------------------------------------------------

A. クライアント コンピュータの OS による動作の違い

<Windows 2000 SP3以降、Windows XP SP1以降、Windows Server 2003 以降 ( 各 OS の SP を含みます)>

グループ ポリシー又は直接のレジストリ設定が有効になっている場合は、設定値が反映されます

既定又は無効の場合は、10 分間隔となります。Vista のように、選択バーはありません。

XP の画面例

<Windows Vista 全て>

グループ ポリシー又は直接のレジストリ設定は反映せず、クライアントコンピュータにて選択した時間 (10 分、1 時間、4 時間) が有効となります。

Vista の画面例

  参考情報

------------------------------------------------------

The Windows Update agent may not follow the "Re-prompt for restart with scheduled installations" Group Policy setting in Windows Vista

http://support.microsoft.com/kb/949590/en-us

------------------------------------------------------

<Windows 7>

リリース後、本ブログにも続情報として投稿することを検討したいと思います。

B. 再起動を促すダイアログを表示する間隔

グループ ポリシー等にて以下のような設定をしている場合、指定時間に、再起動が必要な更新プログラムをインストールした場合、再起動を促すメッセージが表示されます。

------------------------------------------------------

・[自動更新を構成する]-[4-自動ダウンロードしインストール日時を指定する] が有効

・[ログインしているユーザーがいる場合はスケジュールされた自動更新のインストールに対してシステムを自動的に再起動しない] が有効

------------------------------------------------------

この時、ユーザーに対して [今すぐ再起動] か [後で再起動] を選択するダイアログを表示しますが、[後で再起動] をクリック後、再度表示する時間を設定できます。

本設定は、グループポリシーエディタ内の [コンピュータの構成]-[管理用テンプレート]-[Windows コンポーネント]-[Windows Update] 内の [スケジュールされたインストール時の再起動を再確認する] にて設定可能です。下記に、グループポリシーエディタ内の設定画面およびレジストリ キーと値の範囲をご紹介いたします。

グループ ポリシーエディタ内の設定画面

レジストリ エントリは、次のサブキーに格納されます。
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
下記に、キーと値の範囲を示します。

レジストリ キーと値の範囲

参考情報

------------------------------------------------------

Active Directory 以外の環境で自動更新を構成する

http://technet.microsoft.com/ja-jp/library/cc708449(WS.10).aspx

------------------------------------------------------

以上です。

マイクロソフト セキュリティサポートの太田です。

WSUS 3.0 SP2 がリリース、配信されるにあたり、事前に想定される留意点をご案内させていただきます。

WSUS の運用にあたり、参考としていただければ幸いです。

A.   WSUS サーバー自身の「自動更新」設定について

B.   End User License Agreement (EULA) について

C.    インストール時の動作について

A.   WSUS サーバー自身の「自動更新」設定について

WSUS サーバーとしているコンピュータにて「自動更新」を設定されている場合（つまり Microsoft Update , Windows Update , WSUS のクライアントとして動作している場合）は、その「自動更新」の設定に伴い、更新プログラムの検出およびインストールが行われます。これは本 SP 2 も同様の動作となります。

つまり、WSUS サーバーとしているコンピュータにて、自動インストールを設定されている環境では、今回のリリースに伴い、WSUS 3.0 SP2 が自動適用される可能性がありますのでご注意ください。

※    上記で “可能性” と表現している件につきましては次項 「B. End User License Agreement (EULA) について」の項目をご参照ください。

例えば、自動インストールされるシナリオとしては以下のようなものが考えられます。

・Microsoft Update (Windows Update) のクライアントとして動作しており、自動インストール設定としている。本 SP2 が公開後に検出され、自動インストールが実施される。

・WSUS のクライアントとして動作しており、自動インストール設定としてる。また、WSUS サーバー側では自動承認設定をしている。SP2 公開後にコンテンツの同期が行われ、SP 2 が配信対象となった後、WSUS クライアントが接続し検出・インストールが実施される。

B.   End User License Agreement (EULA) について

Service Pack の種類によっては、適用する際に End User License Agreement (EULA) への同意が必要となる場合があります。

もし、本 SP 2 をインストールする際に EULA への同意が必要な場合、更新プログラムの自動インストールの設定をしていても、インストールは自動で開始されません。

一方、EULA への同意が必要でない場合には、(かつ、自動インストールの設定を行っている場合は) 自動インストールが行われることが想定されます。

C.    インストール時の動作について

WSUS 3.0 SP2 のインストール処理は以下のステップで行われます。

1.    データベースのバックアップ

2.    以前のバージョンをアンインストール

3.    WSUS 3.0 SP2 をインストール

上記動作により、インストール時には WSUS のサービスおよび、IIS のサービスの再起動が発生します。

このため、既存 Web サイトが存在する場合は、この IIS のサービスの再起動が影響する可能性がありますのでご注意ください。

以上となります。

コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。

マイクロソフト セキュリティサポートの太田です。

WSUS 3.0 SP2 が 日本時間 8 月 26 日 (米国時間 8 月 25 日) Windows Update (WU)/Microsoft Update (MU)/Windows Server Update Services (WSUS) を通じて配信が予定されています。

Description of Software Update Services and Windows Server Update Services changes in content for 2009

http://support.microsoft.com/kb/894199/en-us

--------------------------------------------------------------------

·         Windows Server Update Services 3.0 SP2 (KB972455)

Locale: All
Deployment: Windows Update, Microsoft Update, Important/Automatic Updates, WSUS, and Catalog
Classification: Service Packs
Supersedes:

o    KB948014 on Windows Vista and Windows Server 2003

o    KB935524 on Windows Vista and Windows Server 2003

Target platforms: Windows 7, Windows Server 2008 R2, Windows Server 2008 x86, Windows Server 2008 x64 Edition, Windows Vista, Windows Server 2003 x86, and Windows Server 2003 x64 Edition
Approximate file sizes:

o    Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Vista, Windows Server 2003 update: ~ 84386KB

o    Windows 7 x64, Windows Server 2008 R2 x64, Windows Server 2008 x64, Windows Vista x64, Windows Server 2003 x64 update: ~ 86770KB

Description:
Install Microsoft Windows Server Update Services 3.0 Service Pack 2 (WSUS 3.0 SP2) to obtain improvements including support for Windows Server 2008 R2, Windows 7 clients, BranchCache and additional features. After you install this item, you may have to restart your computer.

--------------------------------------------------------------------

カテゴリは Service Packs として配信されます。

新機能および、既知の問題が解消されますが、新機能につきましてはまたの機会に紹介させていただこうと思います。

また適用する際には再起動が発生する可能性がございますので、手動適用をされる際や、WSUS サーバー自身の自動更新を有効とされている場合はご注意ください。

以上よろしくお願いします。

コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。

マイクロソフト セキュリティ サポートの太田です。

先月 7 月 15 日に一般公開を行いました MS09-029 セキュリティ更新プログラムにおいて、適用後に不具合が発生することが確認されており、修正を行いましたセキュリティ更新プログラムの更新版を 8 月 12 日 (日本時間) に再リリースしました。

（以降、7/15に公開したMS09-029 セキュリティ更新プログラムの旧版を“7/15版”、8/12に公開したMS09-029 セキュリティ更新プログラムの更新版を“8/12版”とします）

お客様にはご迷惑をおかけいたしますが、以下の URL より各 OS に対応した8/12版の更新プログラムをダウンロードし、適用くださいますようお願いいたします。

--------------------------------------------------------------------

 [MS09-029] Embedded OpenType フォントエンジンの脆弱性により、リモートでコードが実行される

http://support.microsoft.com/kb/961371

Embedded OpenType フォントエンジンの脆弱性により、リモートでコードが実行される (961371)

http://www.microsoft.com/japan/technet/security/bulletin/ms09-029.mspx

--------------------------------------------------------------------

本更新プログラムの詳細につきましては、大変お手数ですが上記をご確認ください。

本 Blog では、この更新プログラムの “検出” の部分についてご案内させていただきます。

上記のWindows XP 用の8/12版セキュリティ更新プログラムは、 7/15版の MS09-029 セキュリティ更新プログラムが適用されていない環境に対してのみ、Windows Update (WU)/Microsoft Update (MU)/Windows Server Update Services (WSUS) を通じて配信しております。

これは、Windows XP 上でこの特定の問題が発生するシナリオ(Windows XP をプリンターサーバーとして稼働している状況)が Windows 2000, Windows Server 2003 と比較して限定されているためです。

このため、7/15版 MS09-029 セキュリティ更新プログラムが既に適用されております Windows XP の環境では、以下のいずれかの方法で更新された8/12版セキュリティ更新プログラムをインストール必要があります。

方法1: 上述の URL より Windows XP に対する8/12版セキュリティ更新プログラムをダウンロードしてインストールする。

方法2: 既にインストールされている 7/15版MS09-029 セキュリティ更新プログラムをアンインストールした後に 8/12 版をWindows Update からインストールする。

なお、Windows 2000、Windows Server 2003 では、7/15版MS09-029 を適用済みの場合でも 、WU/MU/WSUS から8/12版の更新プログラムが再度検出されますので、手動適用もしくは WU/MU/WSUS でインストール出来ます。

以上参考としていただければ幸いです。

<参考情報>:

Embedded OpenType フォントエンジンの脆弱性により、リモートでコードが実行される (961371)

http://www.microsoft.com/japan/technet/security/bulletin/ms09-029.mspx

--------------------------------------------------------------------

--------------------------------------------------------------------

[追記]

日本時間 8 月 26 日(米国時間 8 月 25 日) に配信方法の変更が行われ、Windows XP 日本語版オペレーティングシステムも検出されるようになりました。

コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。

マイクロソフト セキュリティ サポートの斉藤です。

本日緊急リリースされた MS09-035 (Visual Studio の重要な更新) について、WSUS からの配布に関する情報をご案内します。

MS09-035 は Visual Studio の更新プログラムなので、WSUS 同期オプションの [製品とクラス] で、" Visual Studio " を有効にすることでカタログが同期されます。

[製品とクラス] の設定を変更できない場合は、更新のインポート機能を使用して Microsoft Update カタログから MS09-035 用のカタログを同期することができます。

方法は、WSUS 管理コンソールの左ペインで [更新] を右クリックして [更新のインポート] を選択します。

Microsoft Update カタログのサイトが開きますので、MS09-035 を検索してください。

なお、” Microsoft Visual Studio .NET 2003 Service Pack 1 (KB971089)” 用の更新プログラムは、WSUSから配布することが出来ません。

これは、WSUS 3.0がVisual Studio .NET 2005 以降の製品のみを配布対象としてサポートしているためです。

SMS 2.0 SUSFPもしくはSMS 2003 with SUSFP はVisual Studio .NET 2003 用の更新プログラムを配布できます。

しかし、Visual Studio .NET 2005 以降のバージョンは配布できませんのでご注意ください。

詳細については、MS09-035セキュリティ情報の、「検出および展開ツールとガイダンス」 の内容を参考にしてください。

マイクロソフト セキュリティ情報 MS09-035 - 警告

http://www.microsoft.com/japan/technet/security/bulletin/MS09-035.mspx

マイクロソフト セキュリティ サポートの斉藤です。

WSUS 3.0 SP1 で親子構成を組んでいる場合、子サーバー側の言語設定部分で紛らわしい表記があり、本来想定していない言語の更新プログラムコンテンツ含めダウンロードしてしまう動作があります。

例えば、ダウンストリーム サーバーとして構成している WSUS 2.0 SP1 を WSUS 3.0 SP1 にアップグレードした場合、最初に起動される設定ウィザードで言語の選択の画面が下記 (図-1) の表記になります。

この画面自体、何気なくチェックを付けてしまいそうな紛らわしい画面ですが、表記されている ｢新しい言語を含むすべての言語｣は、WSUS 2.0 での ｢アップストリーム サーバーによってサポートされているすべての言語｣ との表記とは大きく意味が異なります。

WSUS 3.0 SP1 での表記 ｢新しい言語を含むすべての言語｣ は、WSUS 3.0 SP1 の製品としてサポートする全言語を意味しており、アップストリームサーバーの設定とは関係なく、すべての言語の更新がアップストリーム サーバーとダウンストリーム サーバーの両方にダウンロードされる結果となります。

これにより、本来は日本語と英語のみをダウンロードさせるつもりでも、それぞれのサーバーで全言語コンテンツをダウンロードし、想定以上のディスク領域を消費してしまいます。

この表記は、WSUS 3.0 管理コンソールから [オプション] --> [更新ファイルと更新言語] --> [言語の更新]で言語の選択を行う場合も同じ表記ですので、誤って選択しないよう十分にご注意ください。

安全を期すならば、親子構成で新規構築、もしくは WSUS 2.0 からのアップグレードいずれの場合においても、サーバー間の同期を行う前に、まずは親子サーバー両方の管理コンソールから [オプション] --> [更新ファイルと更新言語] --> [言語の更新] を選び、必要な言語のみ選択することをお勧めします。例えば、お使いの WSUS 3.0 環境内で英語と日本語のみが必要な場合には、親子それぞれのサーバーで [次の更新版の更新のみダウンロードする] から明示的に英語と日本語のみにチェックを入れる設定方法が安全です。

図-1

上記ウィザードでは、何も選択せずに一旦 ｢次へ｣ 進み、すぐに ｢戻る｣ ボタンを押すと下記 (図-2) のように WSUS 2.0 での設定を引き継いでいる状況を確認できる画面になります。

言語の選択では不要な言語をダウンロードする設定になっていないか十分にご注意ください。

図-2

なお、この紛らわしい表記、言語設定部分については、お使いの方の意図に反した全言語ダウンロード動作をより防げるよう現在開発中の WSUS 3.0 Service Pack 2 での修正が検討されています。

マイクロソフト セキュリティ サポートの斉藤です。 

WSUS 2.0 SP1 から WSUS 3.0 SP1 へアップグレードした際、SelfUpdate 仮想ディレクトリが登録されない場合があります。

SelfUpdate 仮想ディレクトリは、WSUS が要求するバージョンの Windows Update Agent (WUA) を提供するための仮想ディレクトリですが、これが存在しない場合、クライアントが WSUS サーバーに接続できなくなる可能性があります。

WSUS 3.0 SP1 が必要とするバージョンの WUA は Windows Update または Microsoft Update サイトに接続することで自動的にクライアントにインストールされます。

インターネットに接続できないクライアントが存在する場合は、後述の手順で SelfUpdate 仮想ディレクトリを作成してください。

本件は一部の WSUS 3.0 アップグレード環境において、タイミング問題で発生する可能性があります。タイミング問題のため、発生頻度は低いものの、WSUS 3.0 SP1 製品の不具合として認識されており、将来的に公開を予定している WSUS 3.0 SP2 では修正が予定されています。

仮想ディレクトリ Selfupdate の作成手順

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1. WSUS サーバーにローカル管理者権限を持つユーザーででログオンし、コマンドプロンプト画面を起動します。

2. コマンド プロンプトで以下のコマンドを順に実行します。

cd C:\Program Files\Update Services\Setup

cscript.exe installselfupdateonport80.vbs

WSUS を [既定の Web サイト] (80 番ポート) とは別のサイトで運用されている場合は、続けて下記のコマンドを実行してください。

cd C:\Inetpub\AdminScripts

cscript.exe adsutil.vbs CREATE W3SVC/<サイト識別子>/ROOT/Selfupdate "IIsWebVirtualDir"

cscript.exe adsutil.vbs SET W3SVC/<サイト識別子>/ROOT/Selfupdate/Path "C:\Program Files\Update Services\Selfupdate"

cscript.exe adsutil.vbs SET W3SVC/<サイト識別子>/ROOT/Selfupdate/AccessFlags 513

※ <サイト識別子> は、[WSUS の管理] サイトの識別子です。下記の手順でご確認ください。

2-1. WSUS サーバーで、[管理ツール] -- [インターネット インフォメーション サービス (IIS) マネージャ] を開きます。

2-2. 左ペインで、[コンピュータ名] - [Web サイト] - [WSUS の管理] と展開し、配下に仮想ディレクトリ [Selfupdate] が存在するかを確認します。

2-3. 存在していない場合、左ペインで、[コンピュータ名] - [Web サイト] をクリックし、右ペインで [WSUS の管理] サイトの識別子を確認します。

3. 仮想ディレクトリが作成されたことを確認するため、[管理ツール] -- [インターネット インフォメーション サービス (IIS) マネージャ] を確認します。

※ 最新の状態を確認するためには、IIS を再起動 (コマンドプロンプトで iisreset を実行) することが確実です。

4. [コンピュータ名] - [Web サイト] - [既定の Web サイト] を展開し、配下に "ClientWebService" および "Selfupdate" 仮想ディレクトリが存在していることを確認します。

5. 別サイトで運用されている場合は [WSUS の管理] も展開し、配下に "Selfupdate" 仮想ディレクトリが存在していることを確認します。

※ [既定の Web サイト] (80 番ポート) とは別のサイトで運用されている場合でも [既定の Web サイト] (80 番ポート) の SelfUpdate 仮想ディレクトリは必要です。

[参考資料]

タイトル : コンピュータの更新プログラムの管理に役立てられる Windows Update エージェントの最新のバージョンを入手する方法

<http://support.microsoft.com/kb/949104/ja>

マイクロソフト セキュリティ サポートの斉藤です。

発生する頻度は非常に稀ですが、IIS、ASP.Net などの WSUS が必要とする OS 上のパフォーマンス カウンタが破損している場合、WSUS 3.0 SP1 の新規インストールもしくはアップグレードを試みた際に、WSUS が必要とするカウンタを登録出来ず、インストール途中に失敗します。
画面上には以下のエラー メッセージが表示されます。
------------------------
「このWindowsインストーラパッケージには問題があります。セットアップの一部として実行されるプログラムは正しく完了しませんでした。サポート担当者またはパッケージのベンダに問い合わせてください。」
------------------------

同様のメッセージは、WSUS 3.0 SP1 インストールを試みたユーザーの %temp% フォルダ内に作成される WSUSSetupmsi_xxxxxx_xxxx.log (ファイル名は環境によって異なります) にも記録され、｢操作 PERF_COUNTER_INST｣ でエラーが発生したことがわかります。
MSI ログは記録内容が多いため判読が難しい部分がありますが、本件については一例として以下のようなエラー メッセージが記録されます。

------------------------
エラー 1722。 この Windows インストーラ パッケージには問題があります。セットアップの一部として実行されるプログラムは正しく完了しませんでした。サポート担当者またはパッケージのベンダに問い合わせてください。 操作 PERF_COUNTER_INST, 場所: C:\Program Files\Update Services\Setup\HideConsoleApp.exe, コマンド: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe /LogFile="C:\DOCUME~1\ADMINI~1.SEN\LOCALS~1\Temp\1\WSUSCa_080901_1118.log" /ShowCallStack /WsusInstall /CategoryMessageFile="C:\Program Files\Update Services\Common\EventCategories.dll " "C:\Program Files\Update Services\Setup\bin\Microsoft.UpdateServices.Setup.CustomActions.dll "
------------------------

このエラーによりアップグレードが失敗した場合、下記の参考情報に記載の方法にて、パフォーマンス カウンタの修復をお試しください。もし、カウンタの修復にても状況が変わらない場合には、OS のさらに深い部分で障害が発生している可能性もあるため、今後のことも考えますと OS の再インストールからお試しいただくことをお勧めします。

[参考情報]
パフォーマンス カウンタをロードするときにイベント ID 2003 の警告メッセージがログに記録される
<http://support.microsoft.com/kb/267831/ja>

パフォーマンス カウンタ ライブラリの値を手動で修正する方法
<http://support.microsoft.com/kb/300956/ja>

マイクロソフト セキュリティ サポートの斉藤です。

一度 WSUS 3.0 へのアップグレードに失敗した後では、WSUS 既定のデータベース Windows Internal Database (WID) 関連の情報が残っていることにより、次回のアップグレードが失敗します。
これを回避するためには、以下の手順で WID の情報を削除してください。

C:\WINDOWS\SYSMSI\SSEE\MSSQL.2005\MSSQL\Data のフォルダをリネームする。

(旧)
"C:\WINDOWS\SYSMSI\SSEE\MSSQL.2005\MSSQL\Data\"

(現)
"C:\WINDOWS\SYSMSI\old_SSEE\MSSQL.2005\MSSQL\Data\"

リネーム後、念のため Windows Internal Database を完全に削除します。
もし、[プログラムの追加と削除] にエントリがあれば、そこから削除します。
存在していない場合でも、念のため WID サービスがないことを確認してください。

Windows Internal Database サービスが残っているかの確認
================================
1. サーバー上の [管理ツール] から [サービス] を開きます。
2. サービス一覧より "Windows Internal Database" のサービスが存在するかをご確認ください。

もし、何らかの情報が残っている場合、下記の技術情報が参考になるかと存じます。

Windows Installer CleanUp ユーティリティについて
<http://support.microsoft.com/kb/290301/>

All program update information is removed when you use the Msizap.exe tool to uninstall a program from a Windows-based computer
<http://support.microsoft.com/kb/921296/en-us>

マイクロソフト セキュリティ サポートの斉藤です。

WSUS 2.0 SP1 では、データベース内に、同一コンピュータ名を有する複数クライアントのレコードが存在する場合があります。(※)
これに対し、WSUS 3.0 SP1 においては、同一コンピュータ名の複数クライアントの登録を許容しません。
この相違のため、WSUS 2.0 で同一名クライアントが複数存在する場合には、あらかじめそのレコードを削除してからデータを移行することが必要となります。
WSUS 3.0 SP1 のインストーラは内部にこのような処理を組み込んでおり、アップグレード時に重複名クライアントが存在する場合は最新の 1 件だけを残して他を削除し、WSUS 3.0 データベースへインポートを行います。
もし何らかの理由でこの削除が完了せず、重複名レコードが残った状態で後続処理に進むと、テーブルのキー制約違反が発生してアップグレードが失敗に終わる結果となります。

(※) WSUS 2.0 SP1 においては、同一コンピュータ名 (FQDN 名) を持つ複数クライアントの登録が可能です。Active Directory 配下では、物理的に異なる 2 台のコンピュータが同時に同一 FQDN 名を持つことはあり得ません。しかし WSUS はクライアントを一意に識別するために SusClientId というクライアントのレジストリ値を使用します。
クライアントを再セットアップするとこのレジストリが異なる値で再生成されることから、新規クライアントとして WSUS へ追加登録される結果となります。こうした理由で同一 FQDN 名の複数クライアントがデータベース内に存在する場合があります。WSUS 3.0 SP1 においてはこの動作に変更があり、同一FQDN 名の複数レコードを登録しないようになっています。

しかしWSUS 3.0 インストーラの不具合のため、この重複が残ったまま後続処理に進む場合があります。これは次の状況で発生します。

(a) WSUS アップグレードの処理中、稀にデータベース接続に関するエラーが発生して処理が中断されることがあります。
※ この事象は SQL Server 2005 の問題と考えられます。発生条件の詳細については特定できておりません。

(b) 上記事象 (a) が発生した場合は、WSUS インストーラによって必要処理が再試行されます。
しかし再試行の内容に不備があり、重複名クライアントの削除処理が正しく行われません。この結果アップグレードが失敗に終わります。

事象 (a) は SQL Server、また (b) は WSUS インストーラの問題です。このうち (b) は事象 (a) が発生したときにだけ表面化する問題です。
もし事象 (a) が発生しなければ WSUS インストーラは処理の再試行を行わず、重複名クライアントの削除が正常に完了しますので、アップグレードの問題は発生しません。
事象 (a) の発生条件は残念ながら明確になっておりませんが、発生率は比較的低いことが判っており、このため多くの場合は、重複名クライアントが存在しても問題 (b) が表面化せず、アップグレードは成功します。

[回避策]
弊社では、本現象を WSUS 3.0 の不具合として認識しております。
現時点では WSUS 3.0 SP2 にて修正を実施する方向で調整しておりますが、修正公開までの回避策として次の手順をご検討ください。

****************************************************
回避策 1　
・まず WSUS 2.0 (SP1) の環境を復旧します。
・次に、重複名クライアント (またはその可能性のあるクライアント) をすべて WSUS 2.0 (SP1) 上から削除し、その後で WSUS 3.0 SP1
へのアップグレードを再実行します。

回避策 2　
・WSUS 2.0 (SP1) を完全にアンインストールし、WSUS 3.0 SP1 を新規インストールします。
****************************************************

回避策 1 の重複クライアントを削除する手順としては、次のいずれかが考えられます。

・SQL クエリを使用して重複関係にある個々のクライアント名を特定しておき、それらを WSUS 管理画面にて手動で削除する。

・API サンプル ツール "CleanStaleComputers.exe" で、一定期間以上アクセスのないクライアントを一括削除する。実行後 SQL クエリを使用して重複クライアントの有無を確認し、重複が残っている場合はさらにクライアントを削除する。

このために必要な作業手順として以下をご案内申し上げます。
-----
A. SQL クエリで 重複クライアントの有無とそのクライアント名を調査する手順
B. "CleanStaleComputers.exe" ツールでクライアントを一括削除する手順
-----

========================================================================
A. SQL クエリで 重複クライアントの有無とそのクライアント名を調査する手順
========================================================================

A-1. SQL Server 2000 / 2005 をお使いの場合
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1) Microsoft SQL Server Management Studio ( SQL Server 2005 の場合 )　または SQL Server Enterprise Manager ( SQL Server 2000 の場合 ) を起動します。
2) [新しいクエリ] を開き、SUSDB を指定して以下の SQL コマンドを実行します。

select FullDomainName, count(*) from tbComputerTarget group by FullDomainName having count(*) > 1

※この結果、重複しているコンピュータ名とそれぞれの登録レコード件数がリストされます。
※出力結果が 0 件の場合、コンピュータ名の重複はありません。

A-2. WMSDE をお使いの場合
~~~~~~~~~~~~~~~~~~~~~~~~~~
1) コマンド プロンプトを起動します。

2) 下記コマンドを実行してフォルダを移動します。

cd "C:\Program Files\Update Services\Tools\osql"

3) 下記コマンドを実行して SQL 文の結果をテキストファイルに出力します。

osql -S %computername%\WSUS -E -Q "USE SUSDB SELECT FullDomainName, count(*) from tbComputerTarget group by FullDomainName having count(*) > 1" -oC:\temp\dup.txt -w2000

(注)
- -o にて、出力先テキストファイル名を指定します。上記では、C:\temp\dup.txt という名前で出力していますが任意の内容にご変更ください。
- -w2000 にて、改行しない形式で出力します。

※この結果、指定したテキストファイルへ、重複するコンピュータ名とそれぞれの登録レコード件数のリストが出力されます。
※出力結果が 0 件の場合、コンピュータ名の重複はありません。

重複しているコンピュータが確認できたら、管理画面から削除してください。

======================================================================
B. "CleanStaleComputers.exe" ツールでクライアントを一括削除する手順
======================================================================
WSUS の API を使用すると、一定期間以上 WSUS にアクセスしていないクライアントを一括削除する処理が可能です。

この サンプルツール "CleanStaleComputers.exe" が弊社サイトで公開されております。
ツール自体は恐縮ながらサンプルとしての位置づけのため不具合修正などの正式サポートの対象外とはなりますが、多くのお客様にお使いいただいているツールでありご検討頂けますと幸いです。

● WSUS API を使用したサンプル ツールは以下の URL からダウンロード可能です。
- Windows Server Update Services Downloads
<http://download.microsoft.com/download/8/d/0/8d068114-bd66-4fde-a04c-aeaa9d1fe640/Update%20Services%20API%20Samples%20and%20Tools.EXE>

このファイルを実行して展開・インストールしますと下記フォルダ内に "CleanStaleComputers.exe" が展開されます。

"C:\Program Files\Update Services API Samples and Tools\CleanStaleComputers\CleanStaleComputers.exe" を以下の要領でコマンド プロンプトから実行すると、一定期間 WSUS にアクセスがないクライアントのデータを一括して削除することができます。コマンドの構文は下記の通りです。

CLEANSTALECOMPUTERS /DAYS:[1-365] /DELETE:{YES | NO} /PROMPT:{YES | NO}

/DAYS. Days since the computer contacted the server
/DELETE. Delete from the WUS server or move to the Stale computers group
/PROMPT. Prompt before moving/deleting computers

使用例:
30日間アクセスのないコンピュータを削除する場合

CLEANSTALECOMPUTERS /DAYS:30 /DELETE:YES /PROMPT:YES

PROMPT: YES を指定すると、削除開始前に確認メッセージが表示されます。
多数のレコードを削除する場合は、ある程度の処理時間がかかります。
削除完了後は、上述 A の クエリを実行して重複クライアントの有無をご確認ください。まだ重複クライアントが存在する場合には、管理画面から手動で削除するか期間の指定を変えてさらに削除を実行してください。

マイクロソフト セキュリティ サポートの斉藤です。

WSUS 3.0 SP1 は圧縮ドライブにはインストールできません。
圧縮されていると 0x80070643 エラーでインストールに失敗します。
エラーコードは %temp% フォルダ内に作成される下記のログで確認することができます。

･ WSUSSetup.log
･ WSUSCa_090501_1234.log

データベースが圧縮ドライブに置かれている場合は、事前に圧縮を解除してからアップデートを行ってください。

[参考情報]
[SQL]INF: SQL Server は圧縮ボリュームをサポートしない
<http://support.microsoft.com/kb/231347>

Microsoft Windows Server Update Services 3.0 SP1 リリース ノート
<http://technet.microsoft.com/ja-jp/library/cc708525.aspx>
------------------------
WSUS 3.0 SP1 を圧縮ドライブにインストールすることはできません。インストール先に選択したドライブが圧縮されていないことを確認してください。
------------------------