2018/02/27

WSUS コンソールの「バージョン」列の誤解(OS build ではなく WUA ver)

Windows Server Update Services (WSUS) のコンソールでコンピューターの一覧に表示可能な「バージョン」列ですが、クライアントの OS ビルド番号と一致しなくて悩んでいる方へ。
14393.1914 は November 27, 2017-KB4051033 の OS ビルドと同じだけど、現在の OS ビルドは February 13, 2018-KB4074590 の 14393.2068。

「バージョン」列は、Windows Update Agent (WUA) のバージョンのことであり、%Windir%\System32\wuaueng.dll のファイル バージョン(製品バージョン)を報告しているものです。OS ビルドと一致していることもあれば、その後の Windows 10 の品質更新で WUA が更新されなければ一致しなくなることもあります。つまり、一致しないのは、まったくもって正常なこと。

WSUS データベース(SUSDB)だと、PUBLIC_VIEWS.vComputerTarget(またはdbo.tbComputerTargetDetail)の ClientVersion です。

Using WSUS Views
[URL] https://msdn.microsoft.com/en-us/library/windows/desktop/bb410149(v=vs.85).aspx
"ClientVersion|Version of the Automatic Update agent installed on the computer"
Windows 8.1 や Windows Server 2012 R2 なら「7.9.9600.18838」とか、Windows 7 や Windows Server 2008 R2 なら「7.6.7601.23806」とか表示されます。これらの OS バージョンは、「OSバージョン 6.3 ビルド 9600」「OS バージョン 6.1 ビルド 7601 Service Pack 1」ですから、「バージョン列」が OS バージョンでないことがわかると思います。

残念ですが、Windows 10 や Windows Server 2016 のバージョン(1607、1703、1709)や OS ビルド(14393.x、15063.x、 16299.x)の情報は WSUS のインベントリとしては収集されていません(Windows 7/8.1 も扱う WSUS にとっては知ったことではないから)。


先週リリースされたバージョン 1607 向けの累積更新プログラム February 22, 2018- KB4077525 (14393.2097) が未適用だったので、先ほどの Windows Server 2016 を更新かけて再起動すると...

こんな感じ↓で OS ビルドと WUA バージョンが一致することもあるからややこしい。”一致していることが正常、不一致は異常”と誤解してしまうかも。


OS ビルドをコマンドラインから確認する方法については、こちらをご参考に。
https://yamanxworld.blogspot.jp/search?q=UBR

例:
Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion" -Name "CurrentBuild","UBR","ReleaseID"



2018/02/22

最近の Windows Update はアンインストールもどうかしちゃってる?

Windows 10 Fall Creators Update(バージョン 1709、ビルド 16299.x)の話です。今年に入ってから(前からもよくあったような気がしますけど)の Windows Update はいろいろトラブルがあるようで、私にも的中。

更新プログラムが原因の問題は犯人である更新プログラムのアンインストールで解決できる場合がほとんどだと思いますが、そのアンインストールで別の戦いが始まることも。最近、更新プログラムをアンインストールする必要に迫られる人が多いと思うので(KB4074588 の USB マウス/キーボード問題を発症前に回避しようとするとか)、参考までにメモ。

※Windows 10 バージョン 1507/1511/1607 で、KB4023057 と Windows 10 Update Assistant をアンインストールしても、Windows 10 Update Assistant がゾンビのように復活する(ネット未接続でも)問題については、2/16 の投稿の最後に追記してあります。

2018/02/21

Windows 10 ver 1709 “品質”更新の問題:Exploit Protection の設定、開いたらそっと閉じて

3/24 追記)この問題は March 22, 2018 - KB4089848 (OS Build 16299.334)で直りました。

2018-02 KB4074588(16299.248)はいろいろと困ったちゃんらしいです。いつの更新からの問題かわかりませんが、16299.248 まで更新された PC でまた 1 つ、問題が発見されました。


Windows Defender セキュリティ センターの Exploit Protection の設定を開くと、なにやら表示がずれてめちゃくちゃ。このまま設定を変更すると、おかしくなっちゃうと思います。


日本語環境での表示上の問題みたいです。設定項目と設定値の部分関係なくずれてぐちゃぐちゃなので、表示上だけの問題とは言えませんね。設定変更すれば、すべての設定がずれちゃうかも。設定アプリと同じように、選択を変更するだけで、確定するような作り(OKとか適用ボタンがない)なので、絶対に触らない方がいいと思う。ぐちゃぐちゃの日本語表示の状態で設定を変更なんてしちゃったら、最悪、PC が正常起動しなくなるかも。

英語言語パックが入っている PC で英語表示にすると、ちゃんとしている。どの累積更新からかは不明だけど、少なくとも 2018-02 KB4074588(16299.248) にはこの問題が入っている。KB4074588 のアンインストールにはとてつもなく長い時間がかかるかもしれないので、このまま触らず、見なかったことにして、次の品質更新で修正されることを期待してそっとしとくのが一番かも。

“さすがだね、品質更新プログラム”

追記あり(↓)犯人はやっぱり 2018-02 KB4074588 でした(↓)。

2018/02/19

昔 SCCM の SUP だった WSUS の「まだ報告されていません」問題の解消 (Windows Server 2016 の場合)

Windows Server 2016 の Windows Server Update Services (WSUS) で、クライアントのレポートレベル(ClientReportingLevel)の設定を None (SCCM 用のなし) から All(WSUS の既定)に戻す方法のメモ。 CodePlex (現在は Archive) の WSUS_Reporting_Level.exe と同じことを PowerShell の Get-WSUSServer で行う方法。Windows Server 2012/2012 R2 にも Get-WSUSServer あるので、同じ方法でいけると思う(未確認)。

注:普通の運用環境で発生するかもしれない「まだ報告されていません」問題の解決策ではありません。SCCM を評価して、その後、通常の WSUS に戻したときに遭遇するかもしれない問題の、SUSDB とコンテンツを維持したまま解決する方法です。

Windows Sysinternals 最新情報(2018 年 2 月 13 日)

Process Monitor v3.50, Autoruns v13.82, Du v1.61, SDelete v2.01
[URL] https://blogs.technet.microsoft.com/sysinternals/2018/02/17/process-monitor-v3-50-autoruns-v13-82-du-v1-61-sdelete-v2-01/


Autoruns v13.81 -> v13.82 (Feb 13, 2018)
Disk Usage (Du) v1.6 -> v1.61 (Feb 13, 2018)
Process Monitor (Procmon) v3.4 -> v3.50 (Feb 13, 2018)
Sdelete v2.0 -> v2.01 (Feb 13, 2018)

全部入りの SysinternalsSuite.zip もいつものように更新されています。

Sysinternals Utilities Index
[URL] https://docs.microsoft.com/en-us/sysinternals/downloads/

2018/02/16

WSUS と WUfB の関係とデュアルスキャン問題がわかった(気がする)+ KB4023057 の謎


Windows 10 を Windows Server Update Services (WSUS) でパッチ管理しようという場合、いろいろトラブルがあるようです。そんなトラブルに対する修正を含め、WSUS は後追いで Windows 10 に対応してきた感じです。

中でも、Windows 10 バージョン 1607 からは WSUS と Windows Update for Business (WUfB) の組み合わせがサポートされたんですが(WUfB の実装はバージョン 1511 から)、デュアルスキャン問題というのがあります。これが非常に分かり難い。以下のドキュメントやブログで理解しようとしてもかなり複雑。バージョン間でポリシーの名称とか変わっているのが、さらに分かり難くしている。

Windows Server Update Services (WSUS) を使った Windows 10 更新プログラムの展開
[URL] https://docs.microsoft.com/ja-jp/windows/deployment/update/waas-manage-updates-wsus
Windows Update for Business の管理ソリューションとの統合
[URL] https://docs.microsoft.com/ja-jp/windows/deployment/update/waas-integrate-wufb

WSUS での Windows 10 管理まとめ (Japan WSUS Support Team Blog)
[URL] https://blogs.technet.microsoft.com/jpwsus/2018/01/26/win10-matome/

まずは、基本から。WSUS クライアントは WSUS サーバーから、WUfB クライアントは Microsoft Update サービスから直接に更新を受け取ります。これは、WSUS と WUfB を組み合わせた場合でも変わらない。ここが重要...

2018/02/14

Windows 10 ver 1709 x64 2018-02 x64 累積更新 KB4074588 がエラー 0x80073715 で失敗(からの復帰)

今日は毎月恒例の Windows と Office の Patch Tuesday。メインの Windows 10 バージョン1709 x64、ビルド 16299.192 から 2018-02 累積更新 KB4074588 (.248)がエラー 0x80073715 で失敗を繰り返し中。物理 PC 3 台中 2 台 (買ったばかりの 1 台はなぜかセーフ)。いつものように問題なく終わる物理/仮想マシンもあります。x86 は問題なさそう。
この下にいろいろなチャレンジ&失敗&成功が書いていますが、まとめると、上記のエラー+その後の試行錯誤中の不完全な更新プログラムのアンインストールの問題は、次の方法で正常に復帰しました。同じような問題に遭遇している方、あくまでも参考まで(自己責任で)。上記のエラーだけのときは、次の追記の手順で。

(1) 2017 年 12 月更新版のインストール メディア(https://www.microsoft.com/ja-jp/software-download/windows10 から作成可能、ISO を作成して、ローカル マウントして、Setup.exe を実行で OK。DVD や USB を作る必要なし。Enterprise/Education はこの ISO では NG)を使って、アップグレード インストール(現在のメディアだと 16299.x → 16299.125 にアップグレード)。
(2) アップグレード完了後に Windows Update を実行。
(3) ディスク クリーンアップ(Cleanmgr.exe) を管理者として実行して、「以前の Windows インストール」とか不要なものを削除。

追記:
上記のエラーでKB4056892 のアンインストールが成功する場合は、次の手順で回復できるかも(Windows Server, version 1709 の仮想マシンで遭遇した、たぶうん同じ問題は、これで解決できました)。

(1)KB4056892 のアンインストール&再起動(16299.125へ)
(2)Dism.exe /online /Cleanup-Image /StartComponentCleanup の実行(すごく時間がかかります)
(3)Dism.exe /online /Cleanup-Image /RestoreHealth の実行(すごく時間がかかります)
(4)念のため再起動(しなくても大丈夫かもしれませんが、念のため)。
(5)Windows Update で KB4074588 のインストール&再起動(16299.248へ)、またはMicrosoft Update Catalog からダウンロードした KB4074588(フル、x64.msu)をインストール&再起動

丸一日かかりましたが(追記を含めると+半日)、同じ画像に固定されてた Windows スポットライトが動くようにもなって少しうれしい。いや、仕事進まなくて全然うれしくない。並行して作業した雪かきも飽きた。

注意:KB4074588 は他のエラーで失敗することや、いろいろ問題が生じる場合があるみたい。この記事は、あくまでも0x80073715 (14101)エラーに対するものです。ですが、にっちもさっちもいかないときに、同一バージョン、同一エディション間のアップグレード インストールによる回復は有効かも(ただし、アップグレード非対応の SKU もあります。Windows Server, version 1709 とか)。
追記: KB4074588 で再起動ループの問題、マウス/キーボード死亡問題Exploit Protection ぐちゃぐちゃ問題などあるようですが、この記事はそれらの問題を解消するものではありません。

以下、解決までの長い、ながーい道のり。

失敗したチャレンジ:

2018/02/13

ADMT v3.2 のダウンロード URL 変更(Microsoft Connect 閉鎖の影響か?)

2018 年 2 月 9 日付けで Active Directory 移行ツール(Active Directory Migration Tool:ADMT) v3.2 がマイクロソフト ダウンロード センターに出現。Windows Server 2012 R2 以前向けの古いツールですが、何か新しくなったのかと思いきや、最近、Microsoft Connect サイトが終了した影響で、ダウンロード センターから最新版(2014 June Update)がダウンロード可能になっただけでした。関連する Password Export Server v3.1 (PES v3.1)も同様。

Active Directory 移行ツール バージョン 3.2
[URL] https://www.microsoft.com/ja-jp/download/details.aspx?id=56570
Password Export Server version 3.1 (x86)
[URL] https://www.microsoft.com/en-us/download/details.aspx?id=10370
Password Export Server version 3.1 (x64)
[URL] https://www.microsoft.com/en-us/download/details.aspx?id=1838


“Windows 10 S、セーフモードでも S モード”

Windows 10 バージョン 1703 で初登場し、バージョン 1709 への機能更新も行われた Windows 10 S (S は School の S?)ですが、なにやら SKU 廃止で代わりに Windows 10 Home/Pro/Enterprise/Education に S mode が搭載されるみたいな噂が出ていますが、真偽のほどは全く知りません。関係ありませんが、ここで一句。

“Windows 10 S、セーフモードでも S モード”
(注:噂の“S mode”は“セーフモード”のことではありません)


Windows のトラブルを解決するためには、コマンドプロンプトや PowerShell、レジストリエディターとか使わなければどうしようもないことがありますが、Windows 10 S ではこれらの使用が禁止されています。セーフモードで起動しても禁止のまま。だから、トラブルシューティングが面倒なことも。

更新プログラムのアンインストール、システムの復元、この PC の初期化(Reset this PC)、新たに開始(Fresh start)とかは可能。Windows 回復環境(WinRE)のコマンドプロンプトでオフラインアクセスも可能。WinRE のレジストリエディターでオフラインのハイブ(System32\Config\SOFTWAREとかSYSTEMとか、ユーザーのNTuser.datとか)を読み込んで編集することはできます。

関連:
Windows 10 S はこんな Windows 10(2017/08/01)

2018/02/09

速報:System Center, version 1801 (Semi-Annual Channel)

Semi-Annual Channel(半期チャネル)リリースの System Center がリリースされたようです。System Center, version 1801 (SCOM、SCDPM、SCVMM、SCO、SCSM)、18 か月サポート。

First System Center Semi-Annual Channel release now available
[URL] https://azure.microsoft.com/ja-jp/blog/first-system-center-semi-annual-channel-release-now-available/
System Center Evaluations > System Center, version 1801(評価版)
[URL] https://www.microsoft.com/en-us/evalcenter/evaluate-system-center-release
System Center Documentation
[URL] https://docs.microsoft.com/en-us/system-center/#pivot=more

System Center 2016 は 5+5 年サポートの Long Term Servicing Channel(LTSC、旧称 LTSB)リリースであり、System Center 2016 の次のバージョンというわけではない。Windows Server 2016 (LTSC) と Windows Server, version 1709 (Semi-Annual Channel) と同じような関係。

半年後には次のバージョンが出るんでしょうから、試す気になれない、というか手が出せない(導入したら、その後簡単に更新できるのかもしれませんが←未確認)。

ところで、ずっと前からある System Center Configuration Manager Current Branch は version 1511 (最初) ・・・ 1610、1702、1706、1710(最新?)と半期に一度どころじゃないですが(評価版は 1702、Technical Preview は 1801、次の正式版は 1802 らしい)、今後、Semi-Annual Channel に名前変わるのかしらん? 1710 からは 18か月サポート(1710 より前は 12 か月サポート)で Semi-Annual Channel と揃ったみたいですが...

Support for System Center Configuration Manager current branch versions
[URL] https://docs.microsoft.com/en-us/sccm/core/servers/manage/current-branch-versions-supported

2018/02/06

メモ:Windows 8.1/10 の IE/Edge で Adobe Flash を無効にする方法


Adobe Flash のゼロデイ脆弱性に早急にアップデートして対処を、とかアンインストールを!とか言われても、できないんだけど?どうやってするの?という Windows の Internet Explorer (IE)/ Microsoft Edge ユーザーの方へ。

Windows 8.x/10 の IE/Edge の Adobe Flash Player アドインは OS 同梱で、Windows Update で更新が配布されます。通常、第二火曜日(日本はその翌日)に配布されるため、最新版がくるまでタイムラグがあることも。

本日(2/6)、Adobe から 28.0.0.161 が出ましたが、Windows 8.1/10 向けはおそらく次の第二火曜日の翌日である 2/14 まで配布されないので、しばらく 28.0.0.137 (1 月更新版)のまま。Adobe Flash とバイバイしたくても、アンインストールする方法はないみたい(今日、それしようとしていろいろ工夫してみましたが失敗)

心配な人は、いますぐ無効化を! で、どうしても必要な場面に出くわすまで、永遠に無効化したままにしておいたほうが安心かもね。

2/7 追記)
Windows Update で更新の配布が始まりました(再起動が要求される場合と、そうでない場合があるみたい)。17:00 現在、手動でチェックして検出される PC とされない PC があります。よくわからん。急ぎの人は Microsoft Update Catalog から入手。https://support.microsoft.com/ja-jp/help/4074595/

Device Guard = Windows Defender アプリケーション制御?

Windows 10 Enterprise の Device Guard 機能が、Windows 10バージョン1709から「Windows Defender Application Control(WDAC)」、日本語では「Windows Defenderアプリケーション制御」に代わったという話。Windows 10バージョン1709 からの「Windows Defender Application Guard(WDAG)」(Microsoft Edge をコンテナーで動かすセキュリティ機能)と名前が似ていますが別物なのでご注意。

Windows Defender Application Control の紹介
[URL] https://blogs.technet.microsoft.com/jpsecurity/2018/02/05/introducing-windows-defender-application-control/


これに関連して、ポリシーの名称が変わってるので注意。(以前が分かり難かったというのもありますが、バージョンでポリシー名が違うのはややこしい。しかも変わりすぎ)


公式ドキュメントもこんな感じでまだまだ混在しています...

2018/02/02

Office 365 ProPlus/Office 2016 のバージョン表示の位置がまた...

Office デスクトップアプリの[ファイル > アカウント]に表示されるバージョン番号とビルド番号の表示位置ですが、元々は[更新オプション]ボタンの横にありましたが、2017年 4 月に最新機能提供チャネル(現在の月次チャネル)で製品名の下に移動し、その後、他のチャネルにも段階的に反映されました。

いつのことかはっきりしませんが、最近になって月次チャネルでまた位置が変わり、[<アプリ名> のバージョン情報] のところに移動。製品名の下だと、アプリを選択的にインストールしたときにバージョン情報が表示されなくなる問題(↓)がありましたが、月次チャネルについては問題解消。半期チャネル(対象限定)と半期チャネルに反映されるには、まだしばらく先のことと思います。


関連:
Office 365 ProPlus/Office 2016 のバージョン表示の位置が...(+更新チャネル切替方法)(2017/04/26)
Office 2016 のアプリケーションを選択的にインストールしたい(2015/09/25)

[速報]Windows 10 ver 1607 は 2018/4/10 に EOS とか

Windows 10 Anniversary Update (バージョン 1607、ビルド 14393)の EOS (End of Support、サポート終了で、品質更新プログラム提供おしまいってこと)は、これまで 2018 年 3 月 (仮) とされてきましたが、2018 年 4 月 10 日で確定らしい。

Changes to Office and Windows servicing and support (February 1, 2018)
[URL] https://blogs.technet.microsoft.com/windowsitpro/2018/02/01/changes-to-office-and-windows-servicing-and-support/

Windows 10 Creators Update (バージョン 1703、ビルド 15063)の EOS は 2018 年 10 月 9 日まで、Windows 10 Fall Creators Update (バージョン 1709、ビルド 16299)は 2019 年 4 月 9 日まで。また、1511 で例外的に Enterprise と Education 向けの品質更新が半年間延長されましたが、1607 以降も同様に半年間延長提供されるそうで... その他にも、いろいろ重要なアナウンスが...