日々進化するWindows Serverの運用において、更新プログラムの管理はとても重要です。最新の累積更新プログラムKB5038549を適用したくない場面や、運用上すぐには導入できない環境もあるでしょう。そこで、本記事ではOOBアップデートKB5037425を先に導入した後、KB5038549を自動インストールさせないための具体策をご紹介します。
Windows Server 2019の累積更新プログラムKB5038549を回避する背景
Windows Serverは、セキュリティ向上や機能追加を目的とした更新プログラムが定期的に提供されています。とりわけ累積更新プログラムは、これまでの更新内容をまとめて適用する性質があるため、管理面で非常に便利です。しかし、運用環境によっては、最新の更新プログラムをすぐに適用できないケースもあります。例えば、業務アプリケーションとの互換性試験や、慎重な動作検証が必要なミッションクリティカルなシステムでは、早急に導入すると予期せぬ不具合が生じるリスクがあるからです。
特に、3月にリリースされた累積更新プログラムKB5038549を適用したことで、既存の業務アプリがクラッシュしたり、特定のサービスが停止するといった不具合が報告されている場合、それを回避したいと考えるのは自然な流れでしょう。このような状況では、まずOOB(Out Of Band)更新のKB5037425を先行して適用し、問題が解消されるか確認しようとする場合が多いです。しかしながら、OOB更新を導入した後でも、Windows Update経由でKB5038549が「重要な更新プログラム」として提示されるケースがあります。放置すると自動的にインストールされてしまう可能性があるため、手動での回避策が求められるのです。
OOBアップデートKB5037425と累積更新KB5038549の関係
OOBアップデートとは、通常の月例アップデートとは別枠で緊急リリースされる更新プログラムです。Windows Server 2019におけるKB5037425は、特定の不具合修正やセキュリティ強化を主目的とした更新であり、通常の累積更新プログラムより先に適用することで、一部問題を回避できるようになっています。しかし、OOB更新を適用しても、それとは別に累積更新KB5038549が必要と判断されると、Windows Updateは引き続きインストールを推奨してきます。
このような挙動は、Windows Updateの仕組み上、各更新プログラムの依存関係や重要度によって自動で判断されているためであり、特定の更新プログラムをスキップしたままにしておきたい場合は、明示的にインストールを防ぐ設定を行う必要があります。
更新プログラムの自動インストールが招くリスク
Windows Updateの既定設定では、重要なセキュリティ更新プログラムや品質向上プログラムを自動的にインストールするようになっています。一見すると、それはセキュリティ面で望ましい設定ですが、企業や組織の運用ポリシーによっては、十分な検証期間を設ける前にアップデートが適用されてしまうと、サービス停止や障害発生につながるリスクがあります。
とりわけWindows Server環境では、一度の障害が大きな業務停止につながる可能性が高いです。したがって、制御された方法で更新プログラムを適用し、問題がないことを確認してから本番環境に反映するという流れが一般的です。KB5038549を今すぐ導入することで予期せぬトラブルを起こしたくない場合、明示的な回避策を講じることは重要です。
KB5038549の自動インストールを防ぐ手順
ここからは具体的な回避方法についてご紹介します。大きく分けると、「グループポリシーで自動更新をオフまたは手動化する方法」と「しばらく待つことで再提示を回避できるケースがある」という2点です。どちらもWindows Server 2019の運用方法や組織ポリシーに合わせて実行しましょう。
グループポリシーで自動更新を制御する
Windows Serverをドメイン参加させている環境では、ドメインコントローラー側のグループポリシーで設定する場合も多いですが、スタンドアロン環境や簡易的な設定であれば、ローカル グループポリシーを編集する方法でも十分です。
具体的な設定手順
- 「スタート」メニューから「ファイル名を指定して実行」を選択し、「gpedit.msc」と入力してローカル グループ ポリシー エディターを起動します。
- 次のパスをたどります。
コンピューターの構成
└ 管理用テンプレート
└ Windows コンポーネント
└ Windows Update
- 「自動更新の構成」をダブルクリックして設定画面を開きます。
- 「有効」を選択した上で、オプションのプルダウンから「2 – ダウンロードとインストールの通知」を選択します。
- 「ダウンロードとインストールの通知」を選ぶことで、更新プログラムが検出された際に自動インストールされず、通知のみ行われるようになります。必要に応じて手動でダウンロードやインストールを行う形に切り替わります。
- 設定後は「OK」をクリックし、ローカル グループ ポリシー エディターを閉じます。
- 管理者権限でコマンド プロンプトまたはPowerShellを開き、以下のコマンドを入力してポリシーを即時反映させます。
gpupdate /force
以上の手順で、Windows Updateが自動でダウンロードやインストールを行わなくなります。これにより、KB5038549が提示されても自分のタイミングでインストールを行うことが可能になります。
グループポリシーの設定内容一覧表
以下は「自動更新の構成」について代表的な設定値の一覧です。適切な項目を選択することで、自動化レベルを詳細に制御できます。
| オプション番号 | 内容 |
|---|---|
| 2 | ダウンロードとインストールの通知 |
| 3 | 自動ダウンロードしてインストールの通知 |
| 4 | 自動ダウンロードし、スケジュールされたインストール |
| 5 | ローカル管理者が設定を選択 |
通常は「2 – ダウンロードとインストールの通知」に設定することで、すべての更新プログラムを手動承認に切り替えるのが無難です。
OOB更新後すぐに提示される場合は待機も一手
OOB更新を適用してからすぐのタイミングでは、Windows Updateがまだシステムの状態を完全に把握できていない場合があります。再起動や各種ログの送信が完了していなかったり、Microsoftの更新サーバーとの同期に時間がかかっていたりすることが原因となるケースがあるのです。
そのため、OOB更新を適用した直後にKB5038549が提示されても、しばらく時間を置いてから更新チェックを行えば、提示されなくなることがあります。特に数時間〜数日置いてみて、再度手動で「更新プログラムのチェック」を実行してみると、状況が変わることがあるため、すぐにインストールしたくない場合は様子を見るのも一つの選択肢です。
再起動や再スキャンのタイミング
- 再起動の実施: OOB更新KB5037425インストール後、速やかにサーバーを再起動してシステムを最新の状態に反映させることが推奨されます。再起動することで、Windows Update関連の一連のタスクが実行され、状態が正しく同期される可能性があります。
- 再スキャンの実施: 再起動後に「Windows Update」画面で「更新プログラムのチェック」をクリックするか、コマンドラインから「wuauclt /detectnow」などのコマンドを用いて更新を再スキャンさせる方法もあります。ネットワーク環境によっては、更新サーバーと同期を取るまでに若干のタイムラグがあるため、時間をおいて数回試してみましょう。
その他の回避方法:WSUSやレジストリ編集
より高度な管理を行う環境では、Windows Server Update Services(WSUS)を用いて配布する更新プログラムを制御できます。WSUSを利用している場合は、KB5038549を一時的に「承認しない」状態にして、クライアント側・サーバー側には配布されないように設定することで回避が可能です。
また、一部のレジストリ値を編集して自動更新をオフにする方法もありますが、誤操作による障害リスクがあるため、あまり推奨されません。グループポリシーで対応できない特殊な状況を除き、レジストリ直編集は慎重に扱う必要があります。
WSUSでの承認管理の例
- WSUSコンソールを開き、「更新プログラム」項目から該当のKB5038549を検索します。
- 右クリックで表示されるメニューから「承認」を選択します。
- ここで「承認しない」を選んで適用すると、WSUS配下のサーバーには更新プログラムが配布されません。
- OOB更新KB5037425は別途承認しておき、問題が解決したか様子を見る運用形態が考えられます。
運用現場でよくあるトラブルとその対策
KB5038549を回避しようとする過程で、現場ではいくつかのトラブルが起こることがあります。ここでは代表的な例と対処法をまとめました。
トラブル1: ポリシー変更が反映されない
グループポリシーを編集して「ダウンロードとインストールの通知」に変更したはずなのに、Windows Updateの挙動が変わらない場合があります。これは、キャッシュや同期の遅延が原因となっていることが多いです。
- 対策: 「gpupdate /force」の実行や、システム再起動を実施し、時間をおいてから動作を確認する。ドメイン環境ではDCとの同期タイミングに注意する。
トラブル2: 一度適用済みのKB5038549をアンインストールしたい
すでにKB5038549がインストールされてしまい、問題が発生した場合はアンインストールを検討することになります。
- 対策: コントロールパネルの「プログラムと機能」から「インストールされた更新プログラムを表示」し、対象の更新プログラムをアンインストールする。管理者権限のコマンド プロンプトから「wusa /uninstall /kb:5038549」を実行する方法もあります。ただし、アンインストールにはサーバーの再起動が必要となる場合があるので注意してください。
トラブル3: OOB更新KB5037425を適用しても不具合が解消されない
OOB更新を先にインストールすることで期待される不具合解消が見られず、依然として問題が起きるケースもあります。
- 対策: そもそもKB5037425が解決する問題と、現在発生している問題が一致しているか再度確認する。ログを採取し、正式なサポート窓口へ問い合わせる。運用影響が大きい場合は、バックアップやスナップショットからのロールバックを検討する。
定期的なメンテナンス計画とリスク回避
Windows Server 2019を含むサーバー環境では、日常的なメンテナンスや事前検証が非常に大切です。累積更新やOOB更新がリリースされるたびに、以下のようなフローを確立しておくと、トラブルを最小限に抑えることが可能です。
- テスト環境での検証: 本番環境と似た構成のテストサーバーを用意し、事前に更新プログラムの適用テストを行う。
- アプリケーション互換性の確認: 特に業務アプリケーションを多数稼働させているサーバーでは、互換性検証を入念に実施する。
- バックアップの取得: 重要なサーバーでは、システムイメージやデータのバックアップを必ず取得してからアップデートを行う。
- WSUSなどのアップデート管理システムの活用: 大規模環境では、個別に設定するより中央集権的に管理できるWSUSの利用が効率的。
- 段階的な展開: いきなり全サーバーに適用するのではなく、部署やシステム単位で段階的に適用範囲を広げていく。
これらの手順を踏むことで、運用管理者はアップデートのリスクを最小限に抑えつつ、セキュリティや信頼性を高めていくことができます。KB5038549のようにタイミングをずらして適用したい更新プログラムがある際は、こうした計画の中で手動管理を行い、不具合が解消されたタイミングで導入するという流れが理想的です。
まとめ
OOB更新KB5037425を導入したにもかかわらず、Windows Update経由で累積更新KB5038549が引き続き提示され、自動インストールされる可能性を懸念している方に向けて、その回避策をご紹介しました。ポイントは、グループポリシーによる自動更新の制御と、OOBアップデート適用後の再起動や時間の経過を活用することです。こうした手順を踏むことで、本番環境への影響を最小限に抑えながら、必要に応じて更新プログラムを適切なタイミングで導入できるようになります。
また、Windows Serverの更新管理は非常に奥が深く、環境によって最適解は異なります。WSUSの活用やレジストリ編集など、いくつものアプローチが存在しますが、大切なのは「万が一に備えたリスク管理」と「運用チームでの綿密な連携」です。KB5038549を回避したい理由が明確であるならば、今回ご紹介した手順を参考に、自動インストールを防ぎながら適切なタイミングを見定めましょう。
最後までご覧いただきありがとうございました。皆様の環境が安全かつ安定して運用できるよう、本記事がお役に立てば幸いです。
コメント