なんていうか、私が出入りしている会社の複数あるPCの内の1台が、
2年以上も更新していなかったものがあったのでそれを更新してみた。
まぁ、予想通り難航しましたが・・・。
で、解決したその手順を書いておこうと思う。
(あくまで私なりの解決手段。対策されるなら他の素晴らしいサイト様をあてにしてください。)
前提は、Windows Defender の定義更新とスキャンを行っておく。
① 【更新プログラムの確認】を開始後、ネットワークに問題なく Windows Update サイトへ接続しているか確認する。
コマンド プロンプト を開き、以下のように入力・実行
netstat -anp tcp 5
※末尾の数字は、同じコマンドを数字の秒数ごとに繰り返すためのもの。
秒数を指定しておき、①で実行したコマンド結果が常に見えるよう画面端へずらす。
② 出てきた結果を確認し、外部アドレスに表示されている数字がアップデートの有無を確認をしに行ってるか。
このコマンドを実行する時は、できるだけシステムへログオン直後に行なったほうがいい。
理想は、4枚目の画像のような出力状態ならアップデートできる。
IPアドレスは、その時によって変化するので画像と同一ではない。
私の知る範囲で Windows Update サイトは、47サブネット分を把握しているがここでは晒さない。
③ 3枚目の画像のように、外部サイトへアップデートの確認をしに行っていないようなら以下の対策をします。
--------------------------------------------------
【Windows Update で問題を解決する】 を行ってみる
--------------------------------------------------
「コントロール パネル」-
「トラブルシューティング」-
「システムとセキュリティ」-
「Windows Update で問題を解決する」をクリックし、問題解決を試みる。
上記が終われば Windows Update を行ってみて更新されるかを確認する。
netstat コマンドを同時に確認しながらアップデートサイトにつながっているかを確認する。
--------------------------------------------------
BITS のトラブルシューティング ツールで解決する
--------------------------------------------------
【Windows Update で問題を解決する】を行っても解決しない場合、
以下のマイクロソフトのサイトへのリンクをクリックし、ブラウザの下方に出てくる【実行】をクリックする。
http://download.microsoft.com/download/F/2/2/F22D5FDB-59CD-4275-8C95-1BE17BF70B21/BITSDiagnostic.diagcab
Background Intelligent Transfer Service (BITS のトラブルシューティング ツール) が起動します。
画面の指示に従います。終了して問題があれば7枚目の画像が出る。
この場合は、サービス登録が見つからないか、壊れていますと言っている。
上記が終われば Windows Update を行ってみて更新されるかを確認する。
netstat コマンドを同時に確認しながらアップデートサイトにつながっているかを確認する。
ルーター側のアクセスログが見れると尚いいんだけどね。
こちらの環境は SSG5 があるから確認できる。
この画像では、HTTP しかないけど、実際には HTTPS でアップデートデータのやりとりがされる。
<簡単に説明すれば以下のようになる。>
Source Address/Port
送信元ローカルIPアドレス/送信元ポート
Destination Address/Port
宛先IPアドレス/宛先ポート
Translated Source Address/Port
送信元グローバルIPアドレス/送信元ポート
Translated Destination Address/Port
宛先IPアドレス/宛先ポート
Service
宛先ポートの種類
Bytes Sent
データ送信量
Bytes Received
データ受信量
Close Reason やり取りが完了したか失敗(破棄)したかなど
ホームユーザー向けのルーターには内部 LAN から WAN 側宛のアクセスログが出ないものが多い。
っと、書き忘れ。以下のサービスの起動状態は見ておくといいかな。手動になってるけど、どのタイミングで開始するのか…。
私は手動で開始するものだけは3分ごとに開始するようにタスクスケジューラーにバッチファイルを仕込んでおいた。
Windows Modules Instaler(TrustedInstaller)
Windows Instller(Msiserver)
Cryptographic Service(Cryptsvc)
Windows Update(Wuauserv)
Background Intelligent Transfer Service(BITS)
netstat コマンドは有用ですよ。覚えたほうが絶対いいと思います。ネットワークのトラブルシューティングで大活躍。
それか、【TCP View(Windows 10 は使えるのかな…】や、【Network Monitor 4】ってマイクロソフト純正のツールとか。
--------------------------------------------------------
Windows 7 Service Pack 1 インストール エラー:0x800f0826 対策
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/202.html
Windows 7 Service Pack 1 インストール エラー 0x800b0101
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/200.html
ねこ鯖 nekoserver 鯖缶はたいへんだニャーの巻
更新してる時間なんてありゃしねぇよ(笑)
記事一覧
今さらながら Windows 7 のアップデートをする
- Date:2018/01/27(土)22:42
- Category:windows 更新など
SMB v1 無効化 Windows Server 2012 R2, 8.1, 10 編
- Date:2018/01/18(木)19:34
- Category:設定方法など
今後PowerShell だけになるんでしょうけど、あまり意味がないと思うんだけどね。
イタチごっこなんだからGUIなくしても無駄だとはよ気づいてほしいな。色々対策やってますアピールいらんから(笑)
---------------------------------------------------
ダッシュボードでの SMBv1 削除方法(Windows Server 2012 R2)
---------------------------------------------------
① サーバーマネージャーを開く
② ダッシュボードから「役割と機能の追加」を選択
③ 役割と機能の追加ウィザードが開く。ここでは【役割と機能の削除ウィザード】をクリック
(ここで「次へ」はクリックしないこと。追加ウィザードになってしまうから。)
④ 役割と機能の削除についての説明が表示される。「次へ」をクリック
⑤ 役割と機能を削除するサーバーまたは仮想ハードディスクを選択し、「次へ」をクリック
⑥ SMBは【役割】ではないので「次へ」をクリックし、【機能の削除】ウィンドウへ移動する。
⑦ 機能一覧の中から【SMB 1.0/CIFS ファイル共有のサポート】のチェックを外し「次へ」をクリック
⑧ 「削除」をクリック
(必要に応じて対象サーバーを自動的に再起動する、にチェックを入れてから削除をクリックしてもいいけど私的には好きじゃない・・・笑)
------------------------------------------------
PowerShell での SMBv1削除方法(Windows Server 2012 R2)
------------------------------------------------
① 現在のSMBv1 の状態を確認してみる
Get-WindowsFeature FS-SMB1
② SMBv1 無効化のコマンド
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
③ 現在のSMBv2 の状態を確認してみる
Get-SmbServerConfiguration | Select EnableSMB2Protocol
有効であれば③までで完了だけど、SMBv2/v3 が無効の状態であれば有効にするため以下のコマンドを実行する
Set-SmbServerConfiguration -EnableSMB2Protocol $true
---------------------------------------------------
プログラムと機能からの SMBv1 削除方法(Windows 8.1, 10 用)
---------------------------------------------------
① コマンド Appwiz.cpl
② プログラムと機能ウィンドウの左上に表示されている、【Windows の機能の有効化または無効化】をクリック
③ 機能一覧の中から【SMB 1.0/CIFS ファイル共有のサポート】のチェックを外し「OK」をクリック
④ 再起動する
----------------------------------------------------
PowerShell での SMBv1 削除方法(Windows 8.1, 10 用)
----------------------------------------------------
① 現在のSMBv1 の状態を確認してみる
Get-WindowsOptionalFeature –Online –FeatureName SMB1Protocol
② SMBv1 無効化のコマンド
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
③ 現在のSMBv2 の状態を確認してみる
Get-SmbServerConfiguration | Select EnableSMB2Protocol
実はほとんどコマンドは 2012 R2 と同じ。
有効であれば③までで完了だけど、SMBv2/v3 が無効の状態であれば有効にするため以下のコマンドを実行する
Set-SmbServerConfiguration –EnableSMB2Protocol $true
----------------------------------------------------
現在の状態の最終確認
Windows Server 2012 R2, Windows 8.1, 10 共通
----------------------------------------------------
上記それぞれで書いたコマンドをPowerShell にて実行後に表示される内容で、
SMB1Protocol のState(状態)が Disabled であるかどうか、
また、EnableSMB2Protocol と表示されたかどうか。
-----------------------------------------------------
以下は元の状態に戻したい人向けのコマンド。
Windows Server 2012 R2, Windows 8.1, Windows 10 共通
-----------------------------------------------------
いい言語に力を与えるには悪い言語も知らなきゃいけない。でも決して使うな、と昔おばあちゃんに言われ…てねーよ!笑
いつも思うのが、False がバルスに見える・・・
SMBv1 有効化のコマンド
Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol
SMBv2 無効化のコマンド
Set-SmbServerConfiguration -EnableSMB2Protocol $false
グループ ポリシーでの変更方法は以下。
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/81.html
SMB v1 無効化 Windows Server 2008, 2008 R2, Vista, 7 編
- Date:2018/01/17(水)23:05
- Category:設定方法など
一度書き出すとどんどんややこしくなったのですこし噛み砕く。
Windows Server 2012 R2 と Windows 8.1 は別のところで書きます。
ここでは、Server サービスと、Workstation サービスの設定をそれぞれ変更します。
※事前にレジストリのバックアップをしましょう。
--------------------------
① SMB v1 サーバーの削除
--------------------------
Server サービスの設定を変更します。ファイル サーバー側だと思ってください。
ただし、クライアント側にも管理共有があり、ファイルサーバーにもなりうるので注意。
ファイル サーバーが古いタイプのNAS などで SMBv2 対応していないなら設定しないほうがいい。
また、ドメイン環境次第ではサインイン(ログオン)等できなくなるので全てのPCで同じ設定を行うこと。
【SMB サーバーを、レジストリ で操作する】
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
値の名前:SMB1 (手動で作成する)
値のデータ:0 (既定値は 1 で有効)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
値の名前:SMB2 (手動で作成する)
値のデータ:1 (既定値は 1 で有効)
変更後、一度再起動しておく。
再起動後、下のSMB クライアントの設定を行う。
----------------------------------
② SMB v2 クライアントの設定
----------------------------------
WorkStation サービスの設定を変更します。
【SMB v1 クライアントを、コマンド プロンプトで無効化】
・状態の確認
sc query lanmanworkstation
・無効化(コマンドが2つあります)
sc config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc config mrxsmb10 start= disabled
・有効化(コマンドが2つあります。失敗した時など、元の状態に戻したい時に使います)
sc config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc config mrxsmb10 start= auto
【SMB v2 クライアントを、コマンド プロンプトで有効化】
・状態の確認 (有効になっているはずですが、念のため確認する)
sc query lanmanworkstation
・有効化(コマンドが2つあります)
sc config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc config mrxsmb20 start= auto
・無効化(コマンドが2つあります。失敗した時など、元の状態に戻したい時に使います)
sc config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc config mrxsmb20 start= disabled
もし変更していたら、ここでもう一度再起動しておく。
再起動後、SMB v2 の現在の状態を確認しておく。
グループ ポリシーでの変更方法は以下。
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/81.html
SMB v1 無効化の設定方法など
- Date:2018/01/17(水)00:10
- Category:設定方法など
いまさらな気もしますが改めて…。
SMB v1 無効化 Windows Server 2008, 2008 R2, Vista, 7 編
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/216.html
SMB v1 無効化 Windows Server 2012 R2, 8.1、10 編
https://www.nekoprint.jp/cgi-bin/nekonekodiary/archives/217.html
-------------------------------------------------
Windows Vista、7、8、10
Windows Server 2008、2008 R2、2012、2012 R2 共通
-------------------------------------------------
★レジストリで操作(設定箇所は3つ)
※事前にレジストリのバックアップを。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
REG_DWORD(32ビット)値
値の名前: SMB1
(デフォルトでは存在しないので手動で作成する)
値のデータ(10進数):0
(無効)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation
REG_MULTI_SZ(複数行文字列)値
値の名前:DependOnService
値のデータ:Bowser、MRxSmb20、NSI
(3行に分けて書く)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10
REG_DWORD(32ビット)値
値の名前:Start
値のデータ:4
(無効)
---------------------------------------------------------
コマンド プロンプトで操作(SMB サーバー側で操作)
---------------------------------------------------------
SMBv1 の無効化:
sc config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc config mrxsmb10 start= disabled
SMBv2/v3 の有効化(v2とv3はプロトコルが一緒なので同じ動作になる):
sc config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc config mrxsmb20 start= auto
ここまで設定を行ったあとに再起動し、以下のグループ ポリシーで改めて SMBv1 を無効化します。
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
※問題が発生した場合、元に状態に戻すためのコマンドは以下。
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
sc config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc config mrxsmb10 start= auto
sc config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc config mrxsmb20 start= disabled
----------------------------------------------------
グループ ポリシー で操作(Windows Vista 以降で共通)
----------------------------------------------------
ドメイン全体へ適用されるようにドメイン ルートへグループ ポリシーを配置する。
コンソール ツリーの
[コンピューターの構成]
[基本設定] フォルダーを展開し、
[Windows の設定] フォルダーを展開します。
[レジストリ] を右クリックし、
[新規作成] をポイントして
[レジストリ項目] を選択します。
[新しいレジストリのプロパティ] ダイアログ ボックスで、以下のとおりに設定します。(設定は3つ)
新しいレジストリ(SMB1) のプロパティ
全般タブ
アクション:作成
ハイブ: HKEY_LOCAL_MACHINE
キーのパス:SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
値の名前: SMB1
値の種類: REG_DWORD
値のデータ: 0
(無効)
新しいレジストリ(Start)のプロパティ
全般タブ
アクション:更新
ハイブ: HKEY_LOCAL_MACHINE
キーのパス: SYSTEM\CurrentControlSet\services\mrxsmb10
値の名前: Start
値の種類: REG_DWORD
値のデータ: 4
(無効)
新しいレジストリ(DependOnService)のプロパティ
全般タブ
アクション:置換
ハイブ: HKEY_LOCAL_MACHINE
キーのパス: SYSTEM\CurrentControlSet\Services\LanmanWorkstation
値の名前: DependOnService
値の種類: REG_MULTI_SZ
値のデータ:
Bowser
MRxSmb20
NSI
(コレを適用すると、置換え前のMRxSmb10 が削除される)
全て入力し終わったら全てのクライアント、サーバーにポリシーを適用させ、再起動する。
再起動後、問題なくSMBv1 が無効になっているかを確認する。
---------------------------------------------------------
Windows XP や Windows Server 2003 が存在している場合、
SMBv1が削除されないようにWMI フィルターの設定を行う
(ポリシーを適用する前に設定する)
---------------------------------------------------------
・WMI フィルターの名前は適当で。
・WMI クエリは以下のように設定
名前空間:root\CIMv2
クエリ:select * from Win32_OperatingSystem where Version like "6.%"
これでWindows Vista 以降のシステムにだけ適用されることになる。
ただ、Windows 10 だけは Winver で更新があるたびに確認しなきゃダメ?
上記で作成したWMI フィルターをグループ ポリシーにWMI フィルター処理としてリンクさせる。
-------------------------------
and ProductType = "x" について
-------------------------------
上記のフィルターにはつけなかった、ProductType についての説明。
"1" = クライアントのみの場合に使用
"2" = ドメイン コントローラーの場合に使用
"3" = DCではない、サーバーOSの場合に使用
ProductType = "x" の表記が無い場合は、全てのOSが対象になります。