Configuration Managerのソフトウェア更新プログラムの前提条件

Configuration Manager (現在のブランチ) に適用

この記事では、Configuration Managerのソフトウェア更新プログラムの前提条件の一覧を示します。 前提条件ごとに、外部依存関係と内部依存関係が別々のテーブルに一覧表示されます。

Configuration Managerの外部にあるソフトウェア更新プログラムの依存関係

次のセクションでは、ソフトウェア更新プログラムの外部依存関係の一覧を示します。

インターネット インフォメーション サービス

ソフトウェアの更新ポイント、管理ポイント、配布ポイントを実行するには、サイト システム サーバーにインターネット インフォメーション サービス (IIS) をインストールする必要があります。 詳細については、「 サイト システムの役割の前提条件」を参照してください。

注:

• "mimeMap" 型の重複するコレクション エントリを追加できないエラーが発生した場合は、「 WSUS トラブルシューティング のヒント」を参照してください。

Windows Server Update Services

ソフトウェア更新プログラムの同期とクライアントでのソフトウェア更新プログラムの適用性スキャンには、Windows Server Update Services (WSUS) が必要です。 ソフトウェアの更新ポイントの役割を作成する前に、WSUS サーバーをインストールする必要があります。 ソフトウェアの更新ポイントでは、次のバージョンの WSUS がサポートされています。

• WSUS 10.0.14393 (Windows Server 2016での役割) (2023-02 累積的な更新プログラム、またはそれ以降の累積的な更新プログラム)
• WSUS 10.0.17763 (Windows Server 2019 の役割) (Configuration Manager 1810 以降が必要) (2023-02 累積的な更新プログラム、またはそれ以降の累積的な更新プログラム)
• WSUS 10.0.20348 (Windows Server 2022 の役割) (2023-02 累積的な更新プログラム、またはそれ以降の累積的な更新プログラム)
• WSUS 6.2 および 6.3 (Windows Server 2012 および Windows Server 2012 R2 の役割) (2023-03 累積的な更新プログラム、またはそれ以降の累積的な更新プログラム)
  • WINDOWS のアップグレードを展開する場合は、WSUS 6.2 と 6.3 に KB 3095113と KB 3159706 (または同等の更新プログラム) が必要です。

注:

• 2023 年 3 月 28 日以降、オンプレミスのWindows 11バージョン 22H2 デバイスは統合更新プラットフォーム (UUP) を介して品質更新プログラムを受け取ります。2023-02 累積的な更新プログラムが必要です。これらの更新プログラムをインストールできない場合は、WSUS サーバーに必要な MIME の種類を手動で追加できます。
• サイトに複数のソフトウェア更新ポイントがある場合は、それらがすべて同じバージョンの WSUS を実行していることを確認します。

WSUS 管理コンソール

ソフトウェアの更新ポイントがリモート サイト システム サーバー上にあり、WSUS がまだサイト サーバーにインストールされていない場合は、WSUS 管理コンソールがConfiguration Manager サイト サーバーに必要です。

重要

• サイト サーバー上の WSUS バージョンは、ソフトウェアの更新ポイントで実行されている WSUS バージョンと同じである必要があります。
• WSUS 管理コンソールを使用して WSUS 設定を構成しないでください。 Configuration Managerは、ソフトウェアの更新ポイントで実行されている WSUS のインスタンスに接続し、適切な設定を構成します。

Windows Update Agent

WSUS サーバーに接続できるように、クライアントにはWindows Update エージェント (WUA) クライアントが必要です。 WUA は、コンプライアンスをスキャンする必要があるソフトウェア更新プログラムの一覧を取得します。

Configuration Managerをインストールすると、最新バージョンの WUA がダウンロードされます。 その後、Configuration Manager クライアントをインストールすると、必要に応じて WUA がアップグレードされます。 インストールが失敗した場合は、別の方法を使用して WUA をアップグレードする必要があります。

Configuration Managerの内部にあるソフトウェア更新プログラムの依存関係

次のセクションでは、Configuration Managerのソフトウェア更新プログラムの内部依存関係の一覧を示します。

管理ポイント

管理ポイントは、クライアント コンピューターとConfiguration Manager サイト間で情報を転送します。 管理ポイントは、ソフトウェア更新プログラムに必要です。

ソフトウェアの更新ポイント

ソフトウェア更新プログラムをConfiguration Managerに展開するには、WSUS サーバーにソフトウェア更新ポイントをインストールする必要があります。 詳細については、「 ソフトウェアの更新ポイントをインストールして構成する」を参照してください。

配布ポイント

ソフトウェア更新プログラムのコンテンツを格納するには、配布ポイントが必要です。 配布ポイントをインストールしてコンテンツを管理する方法の詳細については、「 コンテンツとコンテンツ インフラストラクチャの管理」を参照してください。

ソフトウェア更新プログラムのクライアント設定

ソフトウェア更新プログラムは、既定でクライアントに対して有効になっています。 クライアントがソフトウェア更新プログラムのコンプライアンスを評価する方法とタイミングを制御し、ソフトウェア更新プログラムのインストール方法を制御するその他の使用可能な設定があります。

詳細については、次の記事を参照してください。

• ソフトウェア更新プログラムのクライアント設定

• ソフトウェア更新プログラムのクライアント設定

重要

2020 年 9 月の累積的な更新プログラム以降、HTTP ベースの WSUS サーバーは既定でセキュリティ保護されます。 HTTP ベースの WSUS に対して更新プログラムをスキャンするクライアントは、既定でユーザー プロキシを利用できなくなります。 セキュリティのトレードオフにもかかわらずユーザー プロキシが必要な場合は、これらの接続を許可するための新しいソフトウェア更新プログラムのクライアント設定を使用できます。 WSUS をスキャンするための変更の詳細については、「WSUS をスキャンする Windows デバイスのセキュリティを向上させるための 2020 年 9 月の変更」を参照してください。 最適なセキュリティ プロトコルを確実に導入するには、TLS/SSL プロトコルを使用してソフトウェア更新プログラム インフラストラクチャを保護することを強くお勧めします。

レポート サービス ポイント

Reporting Services ポイント サイト システムの役割では、ソフトウェア更新プログラムのレポートを表示できます。 このロールは省略可能ですが、推奨されます。 レポート サービス ポイントを作成する方法の詳細については、「レポートの 構成」を参照してください。

WSUS 6.2 および 6.3 で必要な更新プログラムはどれですか?

WSUS 6.2 と 6.3 で アップグレード 分類を同期するために、2 つの更新が必要です。 KB3095113 と KB3159706 がインストールされる前にアップグレードが同期されている場合、アップグレードのダウンロードまたは展開中にエラーが発生することがあります。 考えられる問題に関する情報は、次のセクションにあります。

• アップグレード分類を同期する前に、2015 年 10 月にリリースされた KB 3095113をソフトウェアの更新ポイントとサイト サーバーにインストールする必要があります。
  • この更新プログラムでは、 アップグレード 分類が有効になります。
• Windows 10以降のクライアントにサービスを提供するには、KB 3159706をインストールして構成する必要があります。 KB 3159706は 2016 年 5 月にリリースされました。
  • この更新プログラムを使用すると、WSUS はバージョン 1607 以降Windows 10アップグレードするために使用されるファイルをネイティブに暗号化解除できます。

重要

KB 3095113と KB 3159706の両方が、2017 年 7 月以降の セキュリティ月次品質ロールアップ に含まれています。 つまり、KB 3095113と KB 3159706は、ロールアップと共にインストールされているため、インストールされた更新プログラムとして表示されない可能性があります。 ただし、これらの更新プログラムのいずれかが必要な場合は、WSUS の clientwebservice のメモリ使用率を減らす追加の WSUS 更新プログラムが含まれるため、2017 年 10 月以降にリリースされた セキュリティ月次品質ロールアップ をインストールすることをお勧めします。

Windows アップグレードのダウンロードが "エラー: 無効な証明書署名" または0xc1800118で失敗する

このセクションで説明する更新プログラムと問題は、Windows Server 2012または Windows Server 2012 R2 マシン (WSUS 6.2 および 6.3) で実行されている WSUS にのみ適用されます。 通常、2017 年 7 月より前に WSUS をインストールし、最近 アップグレード 分類を有効にした場合にのみ、このセクションで説明されている問題が表示されます。 ただし、他の状況でもこれらの問題を確認できます。

KB 3095113に関する履歴情報

KB 3095113は、WSUS へのWindows 10アップグレードのサポートを追加するために、2015 年 10 月に修正プログラムとしてリリースされました。 この更新プログラムを使用すると、WSUS は Windows の アップグレード 分類で更新プログラムを同期および配布できます。

KB 3095113を最初にインストールせずにアップグレードを同期する場合は、WSUS データベース (SUSDB) に使用できないデータを設定します。 アップグレードを適切にデプロイする前に、そのデータをクリアする必要があります。 この状態の Windows アップグレードは、ソフトウェア 更新のダウンロード ウィザードを使用してダウンロードすることはできません。

ソフトウェア 更新のダウンロード ウィザードの [完了] ページに、次のようなエラーが表示されます。

Error: Upgrade to Windows 10 Pro, version 1511, 10586
Failed to download content id {content_id}. Error: Invalid certificate signature

さらに、PatchDownloader.log ファイルには、次のようなエラーが記録されます。

Download http://wsus.ds.b1.download.windowsupdate.com/d/upgr/2015/12/10586.0.151029-1700.th2_release_...esd...
Authentication of file C:\Users\{username}\AppData\Local\Temp\2\{temporary_filename}.tmp failed, error 0x800b0004
ERROR: DownloadContentFiles() failed with hr=0x80073633
# This log is truncated for readability.

これまで、これらのエラーが発生すると、 WSUS の解決手順の変更されたバージョンを実行することで解決されます。 これらの手順は、KB 3159706インストール後に必要な手動手順を実行しない場合の解決策に似ているため、以下のセクションでは、両方の手順セットを 1 つの解決に組み合わせています。

• KB 3095113 または KB 3159706をインストールする前に、アップグレードの同期から復旧するには。

KB 3159706に関する履歴情報

KB 3148812は、WSUS が Windows 10 パッケージのアップグレードに使用される .esd ファイルをネイティブに復号化できるようにするために、2016 年 4 月に最初にリリースされました。 KB 3148812一部のお客様に問題が発生 し、 KB 3159706に置き換えられました。 KB 3159706は、バージョン 1607 以降のデバイスWindows 10サービスを提供する前に、すべてのソフトウェア更新ポイントとサイト サーバーにインストールする必要があります。 ただし、KB がインストール後に次の手動手順を必要としないと、問題が発生する可能性があります。

1. 管理者特権のコマンド プロンプトから を実行 "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicingします。
2. すべての WSUS サーバーで WSUS サービスを再起動します。

インストール後に KB 3159706に手動の手順があることに気付かない場合、または KB 3159706をインストールする前にアップグレードで同期した場合は、WSUS コンソールへの接続とアップグレードの展開に関する問題が発生します。 クライアントがアップグレード ファイルをダウンロードすると、 0xC1800118 エラー コードが表示されます。

解決手順は KB 3095113 インストール前のアップグレードの同期の解決策に似ていますので、次のセクションでは、両方の手順セットを 1 つの解像度に組み合わせています。

KB 3095113 または KB 3159706をインストールする前にアップグレードの同期から回復するには

次の手順に従って、0xc1800118 エラーと "エラー: 無効な証明書署名" の両方を解決します。

1. WSUS とConfiguration Managerの両方でアップグレード分類を無効にします。 次の手順に従って指示されるまで、同期を行いたくありません。
   • 最上位サイトのソフトウェア更新ポイント コンポーネントプロパティの アップグレード 分類をオフにします。
     • 詳細については、「 分類と製品を構成する」を参照してください。
   • [オプション] ページの [製品と分類] の下にある WSUS からのアップグレード分類をオフにするか、管理者として実行されている PowerShell ISE を使用します。

     Get-WsusClassification | Where-Object -FilterScript {$_.Classification.Title -Eq "Upgrades"} | Set-WsusClassification -Disable
     

     • 複数の WSUS サーバー間で WSUS データベースを共有する場合は、データベースごとに [アップグレード] を 1 回だけオフにする必要があります。
2. 各 WSUS サーバーで、管理者特権のコマンド プロンプトから を実行します。 "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing 次に、すべての WSUS サーバーで WSUS サービスを再起動します。
   • WSUS は、サービスが必要かどうかを確認する前に、データベースを シングル ユーザー モード にします。 サービスは、チェックの結果に基づいて実行されるか、実行されません。 その後、データベースはマルチユーザー モードに戻されます。
   • WSUS データベースを複数の WSUS サーバー間で共有する場合は、データベースごとに 1 回だけこのサービスを実行する必要があります。
3. 管理者として実行されている PowerShell ISE を使用して、各 WSUS データベースからすべてのWindows 10アップグレードを削除します。

   [reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
   $wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer();
   $wsus.GetUpdates() | Where {$_.UpdateClassificationTitle -eq 'Upgrades' -and $_.Title -match 'Windows 10'} `
   | ForEach-Object {$wsus.DeleteUpdate($_.Id.UpdateId.ToString()); Write-Host $_.Title removed}
   

4. ソフトウェアの更新ポイントで使用される各 WSUS データベースから tbFile テーブルからファイルを削除します。 WSUS データベースで、SQL Server Management Studioから次のコマンドを実行します。

   declare @NotNeededFiles table (FileDigest binary(20) UNIQUE)
   insert into @NotNeededFiles(FileDigest) (select FileDigest from tbFile where FileName like '%.esd%'  except select FileDigest from tbFileForRevision)
   delete from tbFileOnServer where FileDigest in (select FileDigest from @NotNeededFiles)
   delete from tbFile where FileDigest in (select FileDigest from @NotNeededFiles)
   

5. Configuration Managerで最上位サイトでソフトウェア更新プログラムの同期を開始し、完了するまで待ちます。 アップグレードを削除したときにConfiguration Manager分類を変更したため、完全同期が発生します。 (詳細については、「 ソフトウェア更新プログラムの同期」を参照してください。
6. ソフトウェア更新ポイント コンポーネントのプロパティで [アップグレードの分類 ] を選択します。 次に、別のソフトウェア更新プログラムの同期を開始して、アップグレードを WSUS とConfiguration Managerに戻します。 WSUS でアップグレード分類を有効にする必要はありません。これは、Configuration Managerによって行われます。
7. アップグレードのダウンロード時にクライアントが0xC1800118エラー コードを受け取った場合は、Windows Update エージェントによって使用されるデータ ストアを削除する必要があります。 また、デバイス上の非表示の ~BT フォルダーを削除する必要がある場合もあります。 次回クライアントがスキャンすると、差分ではなく WSUS サーバーに対するフル スキャンになります。 次のサンプル スクリプトに似た PowerShell スクリプトを使用できます。

   stop-service wuauserv
   remove-item -path c:\windows\softwaredistribution\datastore -recurse -force
   # If the device has a hidden ~BT folder on the c drive, delete it too by uncommenting the next line.
   # remove-item -path c:\~BT -recurse -force
   start-service wuauserv
   

次の手順

ソフトウェア更新プログラムの管理の準備