[MCM(MECM)]Windows 11のQU/FU失敗はデュアルスキャンが原因かも

MCM(MECM)

特定条件下でWindow 11の累積更新プログラムが適用できないという事象が発生しています。

その原因はデュアルスキャンだったのですが、そもそもデュアルスキャンとはどんなもので、一体何が起きていたのでしょうか?

デュアルスキャンとは

まずはデュアルスキャンという言葉にピンとこない方もいらっしゃるかと思いますのでご説明します。

デュアルスキャンとは、WSUSとWindows Update for Business(以下 WUfB)を同時運用した際に発生する可能性がある動作のことです。

Windows Update for Business と Windows Server Update Services (WSUS) を併用する – Windows Deployment | Microsoft Learn

まず前提として、WSUSとWUfBには以下のような差異があります。

WSUS

WSUSはマイクロソフト社が主に企業向けに提供している、同社製品の更新プログラム適用を制御するソフトウェアです。

WSUSを使用しない場合、個々のPCがそれぞれマイクロソフトのアップデートサーバに対し更新プログラムの取得を試みます。

一方WSUSを利用した場合、更新プログラムをWSUSにダウンロードしWSUSと各PC間で更新プログラムの配信を行います。その結果、外部との通信がアップデートサーバとWSUS間のみとなるため、帯域の圧迫を防ぐことが可能です。また、更新プログラムの配信を数台のグループごとに時間差で行うことで、内部の帯域の軽減も可能です。

MCMはこのWSUSの機能を使用して更新プログラムの配信を行っています。

WUfB

対してWUfBはWindows Updateをそのまま使用します。

ただそのままでは個々のPCが一度にサーバにアクセスし帯域の圧迫を引き起こします。そこで取得する更新プログラム自体に以下のような制限をかけています。

  • 取得する更新プログラムの種類を絞る
  • 更新プログラムの取得タイミングを遅らせる

デュアルスキャンの落とし穴

上記2つの機能を組み合わせて使いたい、特にWUfBで最新の更新プログラムを遅延するポリシーを設定し、更新プログラム自体はWSUSで展開したい、と考える方は多くいらっしゃいます。

しかし、この動作を設定してしまうと更新プログラムの既定の取得先がマイクロソフト社のアップデートサーバになってしまいます。

その結果、WSUSを使用しているMCMからのWindows Defenderの定義ファイルや更新プログラムの配信がうまくいかなくなってしまいます。

2023年11月に起きたデュアルスキャンの問題

このデュアルスキャンですが、マイクロソフト社からも非推奨であると明言されています。

ビジネス向けWindows Updateと WSUS を一緒に使用する

加えて、MCMでPCを管理している場合、MCMクライアントが既定で以下に記載するレジストリを設定することでデュアルスキャンの抑止を行っています。

パス: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
キー: UseUpdateClassPolicySource

そのため基本的にはデュアルスキャンは発生しません。

・・・ですが、実際には今年の11月にこのデュアルスキャンが原因でWindows 11の累積更新プログラムが適用できない事象が発生しています。原因はWindows 11では上記のレジストリが正しくセットされていないことでした。

発生条件

  • Windows 11以降のデバイスである。
  • 2023年7月以降の累積更新プログラムが適用されている。
  • 以下のいずれかの Windows Update に関するGPO(ローカルグループポリシー) が設定されている。

    •  ・品質更新プログラムをいつ受信するかを選択してください
     ・プレビュービルドや機能更新プログラムをいつ受信するかを選択してください

対処方法

以下に3つの対処方法を記載しますので、自社の環境に合わせて必要な対策を行ってください。

1. MCMの修正プログラムを適用する、もしくはバージョンアップを行う

MCM バージョン2303の修正プログラム(KB25506239)、及びMCM バージョン2309には前述のデュアルスキャンを抑制するレジストリを自動構成する修正がされています。

そのため、MCMの更新した上でMCMクライアントの更新を行うことで状況の改善が見込めます。

2. GPOを未構成にする

MCMを更新しても状況が改善しない場合、発生条件のGPOを未構成にすることで改善される可能性があります。

パス: [コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [Windows Update] -> [Windows Update for Business]
項目: [品質更新プログラムをいつ受信するかを選択してください]、[プレビュービルドや機能更新プログラムをいつ受信するかを選択してください]

もし上記のポリシーを直接レジストリで設定している場合は、以下のレジストリを削除してください。

パス: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
キー: DeferQualityUpdatesPeriodInDays、DeferFeatureUpdatesPeriodInDays

3. レジストリを追加する

MCMの更新、GPOの未構成を実施しても改善が見られない場合、デュアルスキャンの抑止を行う以下レジストリを追加することで改善が見込まれます。
パス :HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
値  :UseUpdateClassPolicySource
データ:1
種類 :REG_DWORD

情報ソース

Windows 11 以降のデバイスにおいて、Windows Defender の定義ファイルや OS の更新プログラムが配布されない事象について

最後に

この記事がこの現象で悩んでいる企業様、そしてこれからWindows 11を運用開始する企業様の助けになることを願っております。

弊社はMCMに関する知見を多数持っております。お困りの際はぜひご連絡下さい!