AD環境にWSUSサーバを構築
WSUS(Windows Server Update Services)を構築した訳は、単にアップデートの管理をしたいだけではなく、社内PC全台が特に週明けに一斉にウィンドウズアップデートを行った場合、インターネット回線を逼迫させ、結果的に社内のネットワーク、インターネット接続が遅くなってしまう現象を止めたかった為。WSUSを構築し事前にアップデートファイルを一括してダウンロードしておけば、各クライアントはウィンドウズアップデートの度にネット回線を使わず、社内LAN内のサーバからダウンロードする事でネットワークトラフィックを軽減する事が出来る。
ADグループポリシーにWSUS設定を追加
グループポリシーにWSUS設定を追加し、クライアント側でGPUPDATE /FORCEコマンドを実行する事で、インターネット上のアップデートサーバを見ないで、社内の指定したサーバを見るように設定変更が出来る。
しかし、ある1台の端末がどうやっても、設定を反映させる事ができない。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUServer
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServerGPUPDATEコマンドは勿論、手入力で追加しても、リロードすると消えてしまうのだ。
なので、この一台だけ態々インターネットを介してアップデートするようになってしまう。
まぁ、一台だけだから見逃してもトラフィックはそこまで逼迫しないとは思うが、グループポリシーが反映されない事は、WSUSだけではなくセキュリティー的にも問題があるので、問題快活はマストである。
原因調査
該当のPCは経理ファームバンキング操作を兼ねているPCで、確かにセキュリティーは各段に上げている。その中で、アンチウイルスソフトは勿論、各銀行が推奨するフィッシング対策ソフトをインストールされている。
- 原因の切り分けとして、まずは、アンチウイルスソフトの機能を一時停止して消えるかどうかを行ってみる。結果:消える。
- アンチウイルスソフトを削除して試してみる。結果:消える。
- フィッシング対策ソフトの機能を一時停止して試してみる。結果:消える。
- フィッシング対策ソフトを削除して試してみる。結果:消えない。←これだ。
原因
調査の結果、フィッシング対策ソフト(私の場合はSaAT Netizen)がレジストリの値変更に敏感に反応して、変更値を元に戻す動作をしていたようだった。
フィッシング対策ソフトを入れる前にGPUPDATE /FORCEを行い、レジストリ値に値が残っている事を確認してからフィッシング対策ソフトをインストールする事で消える事は無くなった。
これで無事グループポリシーも正常に反映出来たし、WSUSからのダウンロード、また、各端末、サーバのアップデート管理も出来るようになった。やれやれ。
ただ、メーカーに確認した所、マルウエア等からの不正動作が確認された時点で、ユーザに警告表示を行い、削除を許可された場合のみ削除するとの事で、勝手に消す事はないという事だった。じゃぁ、別に原因があるのか。しかし、この検証方法からすると、ビンゴのように思えるのだが。
考察
近年、SSDストレージが主流となり、メモリを増やすよりもSSDに換装する方が体感できるぐらいPCが早くなり、二世代前のPCでも現役ばりばりに動いてくれる優れものだが、SSDの弱点として、主に読み込みは出来るが書き込みが出来なくなるという症状が表れる事がある。今回もそれを疑ったが、他のソフトやDB自体は全く問題ないので、原因の切り分けに苦労した。
コメントを残す