WSUS 環境で誤って Windows 11 のアップグレードを承認してしまうと、「ダウンロードやインストールを止められないのでは」と焦る場面に出くわすかもしれません。そこで、承認を「未承認」に戻した後の具体的な対策や、クライアントへの反映を確実に行うための手順を丁寧にご紹介します。
WSUS で誤承認したアップグレードを取り消すポイント
WSUS でアップグレードを誤って承認してしまうと、対象となるクライアントは「承認済み」の情報を一度受け取った後、スケジュールに従ってアップデートをダウンロード・インストールしにいく可能性があります。対策としては、以下の手順が基本です。
1. アップデートを「未承認」に戻す
WSUS コンソールで誤承認したアップグレードを「未承認」に戻すのが第一ステップです。
- 対象のアップデートを特定
Windows 11 アップグレードなど誤承認した更新プログラムを探します。 - 承認状態を「未承認」に設定
WSUS 管理画面で該当アップデートを右クリックし、「承認」を選択して「未承認」に変更します。これにより、サーバー上では「配布しない」という設定になります。 - ただしクライアントには即時反映されない
クライアントが一度「承認済み」の情報を受け取っている場合、次の検出(スキャン)タイミングまで更新が止まらない可能性があります。
2. クライアントの同期スケジュールを理解する
WSUS からクライアントへの情報反映は、通常の構成では数時間から 1 日程度のスパンで行われることが多いです。GPO で検出頻度を調整している場合は、最短でも 1 時間間隔などに設定できます。
- GPO による自動更新の検出頻度
既定では 22 時間ごとに検出が行われるとされています。管理側で短めに変更しないと、クライアントはなかなか新しい承認情報を取得しません。 - 手動で同期を促す方法
クライアント OS によっては、以下のようなコマンドで手動同期が可能です。
# Windows 10 / 11 などの一部バージョンで利用可能なコマンド
usoclient startscan
# 旧式のコマンド (Windows Update Agent)
wuauclt /detectnow
wuauclt /reportnowこれらを実行すると、クライアントが WSUS サーバーと即時同期を試みるため、未承認の状態が反映されやすくなります。ただし OS のバージョンによって挙動が異なるため注意が必要です。
3. ネットワーク遮断のタイミングと注意点
「未承認」に戻しただけではクライアントがすぐに更新を止めるとは限りません。そこで一時的にネットワークを遮断することでダウンロードを阻止する方法があります。
- 遮断している間はダウンロードされない
WSUS サーバーへのアクセスや、Microsoft Update への通信が絶たれるため、データの取得は保留されます。 - 遮断解除後の注意点
再度ネットワークを有効にしたタイミングで、クライアントがスケジュールに従って同期を行い、そのときに「未承認」の情報をようやく受け取ります。すぐに同期するとは限らないため、遮断解除の後もしばらく注意が必要です。
4. 既にダウンロードが始まっている場合の対処
クライアントがすでにダウンロードを開始している、あるいは完了しているケースも考えられます。その場合、アップデートはインストール保留(Pending install)状態で止まっていることがあります。
- 未承認情報の反映
クライアントが次の検出で「このアップデートは承認されていない」と認識すれば、インストール保留が解除されることもあります。 - 確実に削除したい場合
クライアント上にキャッシュされているデータをクリアしたい場合は「SoftwareDistribution」フォルダーを削除する手段があります。以下は一般的な手順例です。
net stop wuauserv
net stop bits
# C:\Windows\SoftwareDistribution フォルダー名を変更または削除
ren C:\Windows\SoftwareDistribution SoftwareDistribution_old
net start bits
net start wuauservこの操作により、Windows Update のダウンロードキャッシュが一旦リセットされます。その後、クライアントが再度 WSUS に接続し直すため、最新の承認状況を取得できます。
ダウンロードとインストールを阻止する具体的な手順
誤承認の影響を最小限に抑え、かつ効率的にクライアントを制御するためには以下の手順を組み合わせて行うと効果的です。
1. WSUS コンソールで「未承認」にする
これはすでに述べたとおり、最初に行うべき作業です。WSUS 上の管理画面で対象のアップグレードを「未承認」に設定します。設定ミスの再発を防ぐために、承認作業時はグループごとにフィルタリングを行うなど、運用フローの見直しもしておきましょう。
2. ネットワーク遮断の実施
「未承認」に変更した直後に一斉にクライアントがネットワークからダウンロードし始める可能性がある場合は、一時的に WSUS サーバーやクライアントの通信を遮断してしまい、ダウンロードの継続を防ぎます。
- 遮断中はダウンロードが進行しないことを確認。
- 遮断期間は短めにし、管理者側で状況を把握しながら運用。
3. GPO の検出頻度を最短に変更
クライアントが「未承認」状態を素早く取得するには、グループポリシーで自動更新の検出頻度を短めに設定します。たとえば、1 時間ごとに検出させると、クライアントが承認変更を早期に認識できます。
- GPO の場所: [コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update]
- ポリシー名: 「スケジュールされた自動更新の検出頻度を指定する」
以下は、GPO 設定をまとめた表の一例です。
| ポリシー名 | 場所 | 役割 | 推奨設定 |
|---|---|---|---|
| 自動更新を構成する | コンピューターの構成 → 管理用テンプレート → Windows Update | Windows Update の自動更新方法を指定 | 4 – 自動ダウンロード/インストールを通知 (環境に合わせ調整) |
| スケジュールされた自動更新の検出頻度を指定する | 同上 | クライアントの検出頻度を設定 | 最短 1 時間を指定 |
| Microsoft Update サービスの場所を指定する | 同上 | WSUS サーバーの URL を指定 | http://(WSUSサーバー名):8530 など |
設定変更後、クライアントに対して gpupdate /force を実行すると、GPO の更新が即時反映されやすくなります。
4. 手動でクライアントに同期を促す
ネットワーク遮断を解除した後、できるだけ早くクライアントが「未承認」状態を取得できるように、先述したコマンドを使って手動で同期を実行します。
usoclient startscanまたはwuauclt /detectnowなどを利用- クライアント台数が多い場合は、スクリプトや管理ツールで一括実行を検討
5. ダウンロード済みクライアントへの対応
すでにダウンロードが完了しているクライアントがあれば、ソフトウェア配布フォルダーをリセットするなどの措置を行います。特に「もうインストールがかかってしまう!」という直前のケースでは、以下が有効です。
- クライアントの Windows Update サービス (
wuauserv) を停止 C:\Windows\SoftwareDistributionフォルダーを名称変更または削除- Windows Update サービスを再開
- 手動で同期を実行して「アップデートは未承認」情報をクライアントに反映
アップデート インストールを確実に防ぐためのポイント
誤承認からいち早く復旧するためには、クライアントのステータスを確認しながら段階的に対策を打つことが重要です。
1. WSUS レポート画面でステータス確認
WSUS コンソールには各クライアントが取得した更新のステータスが表示されます。ダウンロードが進んでいないか、インストール保留になっていないかをチェックしましょう。
- 「承認済み:未承認」に変わっているか
- クライアント側のダウンロード状況
- エラーや保留の状態が発生していないか
2. イベントログの活用
クライアントの「Windows Update ログ」(イベントビューアー → Windows ログ → システム)をチェックすることで、ダウンロード開始やインストールスケジュールに関するイベントが出力されます。
- イベント ID: 例えば 43(ダウンロード開始)、19(更新プログラムのインストール成功)など
- エラーコードが出ている場合は、未承認が反映されていない可能性もある
3. WSUS サーバー側の上流環境も確認
場合によっては、上流 WSUS や Microsoft Update から直接アップデートを取得しているクライアントが混在していることもあります。
- レジストリや GPO で「WSUS サーバーのみから取得」になっているか
- 混在環境 (ラップトップが社外ネットワークにつながっているなど)は特に注意
誤承認トラブルを防ぐための運用策
アップグレードや大規模パッチの誤承認は、組織全体に大きな影響を与える可能性があります。今後の再発を防ぐために、以下のような運用策を検討してみてください。
1. テストグループの設定
いきなり本番環境のクライアント グループに承認するのではなく、テスト用の WSUS グループを作成して少数のマシンで検証し、問題がないことを確認してから本番グループに承認を行う方法です。
- テスト結果が良好であれば本番グループに承認
- リスクを最小限に抑えられる
2. 自動承認ルールの見直し
WSUS には「自動承認ルール」という機能があり、特定の分類(例:セキュリティ更新)を自動で承認する設定が可能です。しかし、アップグレード分類(Feature Updates)が含まれていると、意図せず Windows 11 などが承認されるケースがあります。
- 自動承認ルールを確認し、「アップグレード」や「ドライバー」などを除外する設定を検討
- 重要度の高い更新だけを自動承認する
3. 定期的な WSUS メンテナンス
WSUS は定期的に不要な更新や古いコンピューターの情報をクリーンアップすることが推奨されています。不要なアップデートが多いと、誤承認のリスクが高まることも。
- サーバークリーンアップウィザード の実行
- 使用されていない更新プログラムやコンピューターの削除
4. 承認作業フローの複数人チェック
1 人で承認を行うと、うっかりミスで大量のクライアントに影響が出やすくなります。複数人でチェック体制を作り、承認前にレビューを行うなどの運用を整備しましょう。
トラブルシューティング:クライアントが未承認を反映しない場合
対策をしているのにクライアントが更新を続けてしまう場合、以下のような原因が考えられます。
1. DNS やネットワーク接続の問題
クライアントが実際に WSUS サーバーに到達できていないケースがあります。特に VPN 接続やリモート環境など、複雑なネットワーク構成の場合は通信経路を確認してください。
2. 古い GPO 設定が適用されている
グループポリシーが正しく更新されておらず、以前の設定のままになっている可能性があります。gpresult /r コマンドで現在のポリシー適用状況を確認し、必要に応じて gpupdate /force を実行します。
3. クライアントがキャッシュされた情報を参照している
ダウンロードをすでに完了している場合、WSUS が「未承認」となってもインストールが実行されるケースがごく稀にあります。前述の「SoftwareDistribution」フォルダー削除など、キャッシュのクリアを実行しましょう。
まとめ
WSUS で誤って Windows 11 アップグレードを承認してしまった場合でも、以下のステップを順次行うことでダウンロードやインストールを防止し、被害を最小化できます。
- WSUS コンソールで「未承認」に戻す
- ネットワークを一時的に遮断し、ダウンロードを止める
- GPO の検出頻度を短く設定し、素早く「未承認」を反映させる
- クライアントで手動同期を実行する
- 必要に応じてクライアントのダウンロード キャッシュを削除する
最終的にはクライアントが WSUS から「未承認」の情報を取得すれば、実際のアップグレードは進行しません。あとはレポートやイベントログで状況を把握しつつ、時間経過とともに安定稼働に戻していきましょう。今後同様のトラブルを回避するため、テストグループ運用や自動承認ルールの見直しなどの運用策をあわせて検討してみてください。
コメント