WSUSで設定失敗
5月19日。ついにWindows10の21H1がリリースされましたね。
https://try-widely.com/windows-10-1909/今回の変更は、月例の、再起動が必要な更新と同じような時間で完了しました。って、もうアップデートしたの?と言われそうですが、「間違えて」してしまったんです。
自動承認の思い違い
会社のWSUS運用に携わっているんですが、一般社員のPCはリリースから一定期間を置いてアップデートしてもらいたい、という思惑だったのでWSUSの「自動承認」で
「期日を以下に設定:承認された〇日後の3:00」
としていました。「一般社員は」としたのは、それ以外があるからで、先行で確認するグループには「期日を以下に設定:承認された翌日の3:00」としていたんです。
先行確認グループで動作(影響)確認をして、それを〇日後に一般社員グループで適用する、と。
ただ、この設定は間違いでした。
適用開始は、承認と同時に始まり、一般社員グループのPCは「〇日後に強制的に適用される」ということのようです。例えば、Upgrades(大型アップデート)がこれに含まれていると(除外していないと)、WSUSの同期後、一般社員グループのPCからWSUSへのアクセスがあると、待ってましたとばかりに大型アップデートのアップデートプログラムを配信します。
承認期限の〇日後には、それまで適用せずに置いておいたアップデートが自動的に適用される、ということのようです。強制的にアップデートが走り、再起動がかかってしまうようにも見えます。
自分のPC(もちろん、会社の話)はというと、「設定」>「更新とセキュリティ」と進み、「今すぐインストール」を押してしまったんでしょうね。21H1へのアップデートが始まりました。
ものの数分でアップデートが完了したのが救いですが、誰よりも先駆けて21H1になりました。。
承認されたインストールを回避する
これはまずい(大型アップデートは〇日後に配信と、宣言していたので)と、とっさに取った行動はUpgradesの承認の取り消し。未承認化です。「拒否」してしまうと面倒なことになりそうなので、ひとまず「未承認」に。
すると、それ以降にWSUSへとアクセスしたPCは「この更新が必要なコンピュータ」にカウントはされますが、ダウンロードもインストールも始まりません。ダウンロード済みだったPCも、「今すぐインストール」をしなければ、以降は「更新とセキュリティ」にも「21H1へのアップデート」は現れなかったようです。
WSUS上は承認されていないわけですからね。
適切な運用とは
とはいえ、WSUSの運用は、ある程度自動化したいという目論見があったんですが、やっぱり、「リリースから〇日後に適用したい」というようなケースは、通常のWSUSの設定では難しいようですね。
毎日は無理でも、周期的に必要なアップデートプログラムを「承認」してあげるという手間は避けられなさそうです。