Windows 更新・機能管理の基本
1. .NET Framework installation
.NET Frameworkは、多くのWindowsアプリケーションを動かすための実行基盤(ランタイム)です。
特徴: Windows 10/11以降では、バージョン4.8などは標準搭載されていますが、
古いアプリに必要な「3.5 (2.0/3.0含む)」は別途インストールが必要です。
注意点: インターネットに接続されていない環境(オフライン環境)では、
Windowsのインストールメディア(ISO)をソースとして指定してインストールする必要があります。
2. Features on Demand (FoD)
Features on Demandは、必要に応じて追加できるOSの機能パッケージです。
役割: OSの初期サイズを軽量化するため、言語パック、手書き認識、
古いエクスプローラーの機能などは標準では含まれていません。
仕組み ユーザーが「設定」やコマンド(DISM)から追加を要求した際に、
Windows Updateや指定されたサーバーからバイナリをダウンロードしてインストールします。
3. Installing additional features or roles
Windows Serverやデスクトップ版Windowsにおいて、特定の役割(Role)や機能(Feature)を有効化するプロセスです。
役割 (Roles): Webサーバー(IIS)やActive Directoryなど、コンピューターを特定の「役職」に就けるもの。
機能 (Features): バックアップツールや.NET Frameworkなど、役割を補助するツール群。
ツール: 主に「サーバーマネージャー」やPowerShellの `Install-WindowsFeature` コマンドを使用します。
4. Windows Patching
Windows Patchingは、OSの脆弱性の修正(セキュリティパッチ)やバグ修正を適用する作業全般を指します。
目的: セキュリティの維持とシステムの安定化。
現在の主流: 以前は個別の修正プログラムが配布されていましたが、
現在は複数の修正を一つにまとめた「累積更新プログラム(Cumulative Update)」形式が主流です。
5. Windows Servicing Architecture
Windowsがコンポーネントを管理し、更新するための内部構造のことです。
CBS (Component-Based Servicing): 更新の指示を出し、依存関係をチェックする司令塔。
CSI (Component Servicing Infrastructure): 実際にファイルを入れ替える作業員。
WinSxS(Windows Side-by-Side)フォルダは、
C:\Windows\WinSxS にあるシステムコンポーネントの格納領域(コンポーネントストア)です。
6. Windows Update Agent (WUA)
クライアントPC上で動作し、更新プログラムの確認・ダウンロード・インストールを制御するソフトウェア・エンジンです。
役割: Microsoft UpdateサーバーやWSUS(社内更新サーバー)と通信し、自分のPCに必要なパッチがあるか照会します。
実行: `wuauclt.exe` や `usoclient.exe` などのプロセスがこれに関連し、
バックグラウンドで「更新プログラムのチェック」を行っています。
---
まとめ:関係図
1. WUAが更新を見つけ、
2. Servicing Architecture (CBS) が処理を受け取り、
3. Patching(修正)や Features on Demand(機能追加)を WinSxS に書き込む。
[0回]
PR
BitLocker
ドライブ暗号化
回復キーが重要
MBAM
BitLocker管理ツール
Device Health Attestation(DHA)
デバイス正常性構成証明の事。
PCの起動プロセスやセキュリティ設定(暗号化、ファイアウォール等)が改ざんされていないか、TPM(セキュリティチップ)を利用して検証し、安全な状態であることを証明する機能です。
Managing BitLocker configuration through Group Policy
Managing BitLocker configuration through Group Policy(グループポリシーによるBitLocker構成の管理)とは、WindowsのActive Directory環境において、GPOを使用して組織内の複数PCのドライブ暗号化設定を集中管理・強制する手法です。
Windows Defender Application Control
Windows Defender Application Control(WDAC、現在はApp Control for Business)は、Windows 10/11およびServer 2016以降に組み込まれたセキュリティ機能で、事前に承認された信頼できるアプリやコード(ホワイトリスト)のみを実行し、マルウェアや未許可のプログラムの起動を強制的にブロックする仕組み
[0回]
認証
Multiple Activation Key(MAK) activetion
個別でインターネットや電話認証などで直接ライセンス認証を行う方式
(SIDの都合や、回数の制限、sysprepなど要検討)
Key Management Service(KMS)
各PCがライセンス認証サーバに接続することによって、ライセンス認証を行う方式。
(25台以上必要)
Active Directory-based activation(ADBS)
ADBAを使用すると、企業はドメインへの接続を介してPCをアクティベーションできる。
クライアントに汎用ボリュームライセンス気(GVLK)がインストールされていれば、
PCをドメインに参加させるだけで、ADBAオブジェクトはPCにインストールされている
Windowsを自動的にアクティブ化する。
==================
TIPS
==================
正確には、**KMS(Key Management Service)はライセンス認証を行うシステム(仕組み)**の名前であり、
GVLK(Generic Volume License Key)はそのシステムを利用するために各デバイスに割り当てられる共通のプロダクトキーのことです。
項目 | KMS (Key Management Service) | GVLK (Generic Volume License Key)
正体 | ライセンス認証のサービス・仕組み | 認証に使用する共通プロダクトキー
役割 | 社内ネットワーク等で認証を代行する | 「KMSサーバーを探せ」とPCに指示する
性質 | サーバー側のシステム | クライアント側の設定値
認証の流れ
1.PCにGVLKを入力する(または既に入っている)。
2.PCが「自分はGVLK持ちだから、社内のKMSサーバーを探そう」と動く。
3.KMSサーバーを見つけ、接続して認証が完了する。
==================
Subscription activation
windows 10/11 pro がライセンス認証を受けている場合Enterpriseにステップアップできる
[0回]
1. 計画フェーズ
1.1 要件定義
クライアント数、ネットワーク構成、セキュリティ要件などの確認
WSUSサーバーの役割(アップストリーム、ダウンストリーム)の決定
必要なストレージ容量、CPU、メモリの決定
1.2 設計
WSUSサーバーの構成設計(データベース、同期スケジュールなど)
グループポリシーの設計
ネットワーク構成の設計
1.3 構築計画
構築スケジュール、担当者の決定
必要なハードウェア、ソフトウェアの調達
テスト計画の作成
2. 構築フェーズ
2.1 ハードウェア、ソフトウェアの準備
サーバーハードウェアのセットアップ
Windows Server 2022のインストール
WSUS役割のインストール
2.2 WSUS設定
WSUSコンソールの設定
同期設定(アップストリームサーバー、同期する製品と分類など)
データベース設定
2.3 グループポリシー設定
WSUSクライアント設定のグループポリシー作成
グループポリシーの適用範囲設定
2.4 テスト
WSUSサーバーの同期テスト
クライアントの更新プログラム受信テスト
グループポリシーの適用テスト
負荷テスト
3. 移行フェーズ
3.1 クライアント移行
グループポリシーの適用
クライアントのWSUSサーバーへの接続確認
移行後の動作確認
3.2 運用開始
WSUS運用手順書の作成
関係者への操作説明
WSUSの監視、管理体制の確立
4. 運用フェーズ
4.1 定期的なメンテナンス
WSUSサーバーのディスククリーンアップ
WSUSデータベースのメンテナンス
更新プログラムの承認、拒否
4.2 トラブルシューティング
クライアントの更新プログラム受信エラー対応
WSUSサーバーの同期エラー対応
4.3 運用状況の監視
イベントログの監視
WSUSの同期状況などの監視
WBS作成のポイント:
各タスクの担当者、期限を明確にする。
タスク間の依存関係を考慮する。
リスク管理計画を含める。
テスト計画の作成は重要です。
Microsoft LearnのWindows Server Update Services (WSUS) のベスト プラクティス - Configuration Managerの内容は大変参考になるので参照ください。
https://learn.microsoft.com/ja-jp/windows-server/administration/windows-server-update-services/plan/plan-your-wsus-deployment
[0回]
Windowsで表示されるエラーコードの見方
Windowsでエラーがあるたびに表示される「エラーコード」。コードを調べると原因がわかるとされているが、インターネットでキーワード検索をしてみたところで、まともな答えが得られないことのほうが多い。よくてエラーコードの意味を理解しないで、単に対策だけが記載されている程度だ。
そこで、今回はこのエラーコードを解説することにしよう。とりあえず、マイクロソフトが出している正式なドキュメントは以下にある。
●[MS-ERREF]: Windows Error Codes
https://msdn.microsoft.com/en-us/library/cc231196.aspx
基本的には、これを読めばいいわけなのだが、量も結構あって、しかも英語である。そこで、今回は、よく見かけるエラーコードなどを例に、ごく大まかに解説することにする。
Windowsのエラーコードは、32bit値で、通常は16進数で表現されている。大きく「HRESULT」「Win32エラーコード」「NTSTATUS」の3つがある。よく見かける0x8007xxxxというのがWin32エラーコード、0xCxxxxxxxというがNTSTATUSである。
また、場合によっては、システムがこれらのエラーコードに「拡張コード」を付けて詳細情報を付加する場合もある。たとえば、Windows Updateによるアップグレードなどは、エラーの発生タイミングを通知する拡張コードをつける場合がある。
まずは、エラーコードの構造から見ていこう。エラーコードは、32bitで表現される整数値を16進数で表現したものだ。エラーコードの先頭にある「0x」は以下が16進数であることを示すために使われる記法の1つだ。コンピュータ言語などで数値を表現する場合に使われる。
エラーコードは常に16進数とするというルールがあれば、先頭に0xをつける必要はなさそうだが、実際には、コンピュータ内部には16進数も2進数も10進数もなく、みな同じ32bitのデータでしかない。人間に見えるように数値を画面などに表示する際に、どのように表示するのかを決めているだけだ。しかし、単に数字だけを表示すると10進数解釈してしまうかもしれない。16進数でも、A~Fが一回も使われない数字というのもあるわけで、見た目に紛らわしい。このため、エラーコードは16進数で表現するために必ず先頭に0xをつけているようだ。
このエラーコードのうち、まずは、0xの次の文字が8なのかCなのかで解釈の方法が変わってくる。まずは、先頭が8のWin32エラーコードからみていくことにする。
Win32エラーコード
Win32エラーコードは、本来はHRESULTと呼ばれるAPI呼び出しなどの処理の結果状態(成功したのかエラーなのか)を表現するデータの一種だ。そのデータ構造は下の図のようになっている。
Win32エラーの場合には、エラーコードは0x8007というパターンから始まる
HRESULTは、32bitデータの下位5ビットでエラーの種類を表している。ただし、5ビット目(bit4。Xビット)は使われておらず0に固定である。最下位にあるSビットはエラーなのか、そうでないのかを表していて、エラーの場合ここが1になる。残りはゼロになるため、エラーコードの先頭は、必ず8、つまり0x8xxxxxxx」(xは任意の16進数)というパターンになる。
HRESULTでは、bit5(6ビット目)からbit15は、ファシリティ(Facility)と呼ばれるフィールドで、エラーの分類(発生位置)を示す。ここが0x007の場合は、Win32エラーだ。なお、ファシリティのリストは前述の文書にある。
●HRESULT
https://msdn.microsoft.com/en-us/library/cc231198.aspx
つまり、エラーコードの上位4桁が「0x8007」になっているのはWin32エラーとなる。エラーコードの下位4桁は、ファシリティごとに意味が違っていて、Win32用のリストは、同様に以下のページにある
●Win32 Error Codes
https://msdn.microsoft.com/en-us/library/cc231199.aspx
簡単にいえば、表示されたエラーコードの先頭が0x8007だった場合には、前記のページにあるリストから下位4桁の数字を探せばいいことになる。
NTSTATUS
エラーコードの最初の桁が「C」だった場合、パターンはまた変わってくる。
エラーコードがNTSTATUS形式の場合、0xCから始まるエラーコードとなる
Win32と似ているが、ちょっと違う。NTSTATUSの場合、ファシリティはbit4(5ビット目)からbit15(16ビット目)までとなる。コードの部分は、Win32と同じく16ビットになっている。ただし、NTSTATUSの場合、ファシリティとエラーコードを一緒にしたリストになっているので、以下のページから、エラーコードそのものを探す。
●NTSTATUS Values
https://msdn.microsoft.com/en-us/library/cc704588.aspx
なお、ファシリティ部分がどのような意味を持つのかは、以下のページに記述がある。
●Appendix A: Product Behaviorの<4>以下 https://msdn.microsoft.com/en-us/library/cc231214.aspx#Appendix_A_4
これで、とりあえず、エラーコードを「エラーメッセージ」に変換することが可能になる。では、次回はもうすこし具体的にエラーコードについて見ていくことにしよう。
・元ネタ
http://ascii.jp/elem/000/001/432/1432965/
[0回]
