どうも、Tです。
WSUSを使うとき、WSUSクライアントを更新プログラムインストール後に自動的に再起動するためのグループポリシーの検証の備忘録です。
- スケジュールされた時刻に常に自動的に再起動する
先に結果を述べておくと「スケジュールされた時刻に常に自動的に再起動する」ポリシーはWindows 11では正常に動作しませんでした。
更新プログラムをインストールしたのち、ポリシーで指定した時間ではなく、アクティブ時間外に再起動が行われる動作になっていました。
目次
環境
バージョン
検証環境については、下記記事の「環境」をご参照ください。
事前に設定しているグループポリシー
以下のグループポリシーは事前に設定済みの環境で確認しています。
- 自動更新を構成する
- イントラネットのMicrosoft更新サービスの場所を指定する
- 自動更新の検出頻度
- インターネット上のWindows Updateに接続しない
設定の詳細は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の検証結果を参照してください。
また、「自動更新を構成する」ポリシーは以下のように設定し、15:00時に更新プログラムの自動インストールがされるようにしています。
GPOが未構成の場合
「スケジュールされた時刻に常に自動的に再起動する」ポリシーが未構成の場合、上記のようになっておりWindows Update後のOSの再起動はユーザーの操作に委ねられています。
このポリシーを使用して強制的に再起動していきます。
GPO設定
「コンピュータの構成」->「管理用テンプレート」->「Windows コンポーネント」->「Windows Update」->「スケジュールされた時刻に常に自動的に再起動する」をダブルクリックします。
「有効」を選択し、時間(分)に「30」を設定して「OK」をクリックします。
GPO名「windowsupdate-7」で作成していたため、テスト用のOUにリンクしました。
7の番号は、下記記事の「Windows Updateグループポリシーの評価・検証結果サマリ」の項目に記載しているNoです。
個人的に検証結果がわかりやすいように番号を振っているだけなので任意の名前で問題ありません。
GPO設定後
GPO設定後、WSUSクライアントを再起動するか「gpupdate /foce」コマンドでグループポリシーを反映します。
「スケジュールされた時刻に常に自動的に再起動する」ポリシーを適用すると、ピンク枠の箇所にあった「アクティブ時間」が表示されなくなり、アクティブ時間を指定できなくなります。
これで放置しておくと「自動更新を構成する」ポリシーで指定した15:00から更新プログラムのインストールが開始されます。
しかし、更新プログラムのインストールが完了して、「スケジュールされた時刻に常に自動的に再起動する」ポリシーの30分を超えても自動再起動がされませんでした。
Windows Update画面を見ると深夜に再起動が行われるメッセージが表示されていました。
そのまま一晩放置しておくと、Windows Update画面に表示されていた時刻に自動再起動が行われました。
なぜ自動再起動しない?
更新プログラムが完了した後「スケジュールされた時刻に常に自動的に再起動する」ポリシーで指定した時刻で自動再起動される想定でしたが、実際に再起動されたのは夜中の時間でした。
切り分けのため以下のような検証も行いました。
- 「スケジュールされた時刻に常に自動的に再起動する」ポリシー時間を2時間に長期にしてみる
- 「スケジュールされた時刻に常に自動的に再起動する」ポリシーを設定する前にアクティブ時間を変更してみる
- 「自動更新を構成する」ポリシーのインストール時間を変更する
どれも正常動作するには至らず、共通する挙動としては「アクティブ時間外に再起動する」ということです。
よく似たコミュニティ情報として以下がありました。検証は行っていないため、情報共有として残しておきます。
Nevertheless, we´ve found out that activating the “Get the latest updates as soon as they´re available” feature – we use GPP to create/update HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings\IsExpedited=0x00000001(DWORD) – made our clients to behave as expected. We still consider this a workaround but for now, after enabling that feature, clients download, install and reboot ant the time scheduled via GPO.
訳
しかしながら、「最新の更新プログラムが利用可能になったらすぐに入手する」機能を有効にすると (GPP を使用して HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings\IsExpedited=0x00000001(DWORD) を作成/更新します)、クライアントが期待どおりに動作することがわかりました。これはまだ回避策であると考えていますが、現時点では、その機能を有効にすると、クライアントは GPO でスケジュールされた時間にダウンロード、インストール、再起動します。
翻訳ツールを通しているのですが、「利用可能になったらすぐに最新の更新プログラムを入手する」設定のことかと思われます。
しかし、この設定は「自動更新を構成する」ポリシーでWSUSクライアントとして構成した時点で上図のようにGUIからは設定が行えなくなります。そのため、コミュニティ情報ではレジストリを用いて設定していると思われますが…。
いずれにしろ、かなり強引な回避方法のように見受けられます。
参考
まとめ
参考のURLには、Windows11でも「スケジュールされた時刻に常に自動的に再起動する」ポリシーは普通に使えるように記載されていますが、検証結果としては意図した動作にならないため設定しても意味がないように思われます。
これが環境依存や一時的な不具合などの問題という可能性は否定できませんが、現時点では少なくともWindows11では、積極的に使用しない方がよいという結論に至りました。