カテゴリー: Windows

Windows Updateで繰り返しエラーが発生する場合の対処法でも直らなかったので、続き・・・

と言うわけで様々な方法を試してみても回復せず。当初80070003だったエラーコードも、対応を続けている内に80073701に変わってしまい、相変わらずインストールできない。そこで、Windows Updateが出力するエラーログを解析して、対処方法の見当をつけることにする。

Windows Updateを実施したときのログはC:\Windows\Logs\CBS\CBS.logに保存されている。エラーが発生するとログファイルも異常に大きな物になっているため、普通にメモ帳では開けない可能性があるので注意。私の場合には1.2GBを超える巨大ファイルになっていた。このファイルの中から「日時, Error～」となっている場所を検索する。

2016-04-12 03:21:12, Error                 CSI    00000017@2016/4/11:18:21:12.414 (F) d:\win7sp1_gdr\base\wcp\componentstore\csd_locking.cpp(324): Error STATUS_SXS_ASSEMBLY_MISSING originated in function CCSDirectTransaction::LockComponent expression: (null)
[gle=0x80004005]
2016-04-12 03:29:39, Error                 CSI    00000018 (F) STATUS_SXS_ASSEMBLY_MISSING #520062# from CCSDirectTransaction::OperateEnding at index 0 of 1 operations, disposition 2[gle=0xd015000c]
2016-04-12 03:29:39, Error                 CSI    00000019 (F) HRESULT_FROM_WIN32(ERROR_SXS_ASSEMBLY_MISSING) #519947# from Windows::ServicingAPI::CCSITransaction::ICSITransaction_InstallDeployment(Flags = 0, a = fe9c22555b6f13ab7c014ac3462882cc, Version = 6.1.7601.18658, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, cb = (null), s = (null), rid = [77]"Package_30_for_KB3011780~31bf3856ad364e35~x86~~6.1.1.5.3011780-85_neutral_GDR", rah = [2]"16", manpath = (null), catpath = (null), disp = 0)[gle=0x80073701]
2016-04-12 03:29:39, Info                  CBS    Failed to begin deployment installation for Update: 3011780-85_neutral_GDR [HRESULT = 0x80073701 - ERROR_SXS_ASSEMBLY_MISSING]

ERROR_SXS_ASSEMBLY_MISSINGの発生している行を見ると「rid = [77]”Package_30_for_KB3011780~31bf3856ad364e35~x86~~6.1.1.5.3011780-85_neutral_GDR” 」となっており、KB3011780の依存関係を解決する過程でエラーになっていたことが分かる。

どうもKB3011780が正常にインストールできていないことが原因のようなので、「更新プログラムのアンインストール」からKB3011780を探してアンインストールする。KBKB3011780のアンインストール後にWindows Updateから更新プログラムの確認を行うと、先ほどまでエラーになっていた更新に加えてKB3011780もインストールすべきアップデートとして表示されるので、そのままWindows Updateを適用する。

私の場合は先ほどまでエラーになっていた15個に加えて、今アンインストールしたKB3011780を加えた16個が表示され、内13個のインストールに成功。残3個がエラーとなった。OSの再起動後にあらためてWindows Updateから更新プログラムの確認を行い、エラーとなった残3個のアップデートのインストールを試みる。・・・が、再びエラーコード80073701になってしまった。あらためてログファイルを確認する。さっきよりも大分小さい300MB程度になっている。

2016-04-12 12:58:22, Error                 CSI    0000001f@2016/4/12:03:58:22.544 (F) d:\win7sp1_gdr\base\wcp\componentstore\csd_locking.cpp(324): Error STATUS_SXS_ASSEMBLY_MISSING originated in function CCSDirectTransaction::LockComponent expression: (null)
[gle=0x80004005]
2016-04-12 12:58:23, Error                 CSI    00000020 (F) STATUS_SXS_ASSEMBLY_MISSING #31564# from CCSDirectTransaction::OperateEnding at index 0 of 1 operations, disposition 2[gle=0xd015000c]
2016-04-12 12:58:23, Error                 CSI    00000021 (F) HRESULT_FROM_WIN32(ERROR_SXS_ASSEMBLY_MISSING) #31449# from Windows::ServicingAPI::CCSITransaction::ICSITransaction_PinDeployment(Flags = 0, a = Microsoft-Windows-RemoteDesktopClient-WinIP-Deployment, Version = 7.2.7601.16415, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, cb = (null), s = (null), rid = [118]"Microsoft-Windows-RemoteDesktopClient-BlueIP-Package~31bf3856ad364e35~x86~~7.2.7601.16415.RemoteDesktopClient81-BlueIP", rah = (null), manpath = (null), catpath = (null), ed = 0, disp = 0)[gle=0x80073701]
2016-04-12 12:58:23, Info                  CBS    Failed to pin deployment while resolving Update: RemoteDesktopClient81-BlueIP from file: (null) [HRESULT = 0x80073701 - ERROR_SXS_ASSEMBLY_MISSING]
2016-04-12 12:58:23, Info                  CBS    Failed to resolve item[0] in Package: Microsoft-Windows-RemoteDesktopClient-BlueIP-Package~31bf3856ad364e35~x86~~7.2.7601.16415, Update: RemoteDesktopClient81-BlueIP [HRESULT = 0x80073701 - ERROR_SXS_ASSEMBLY_MISSING]
2016-04-12 12:58:23, Info                  CBS    Failed to resolve execution update. [HRESULT = 0x80073701 - ERROR_SXS_ASSEMBLY_MISSING]
2016-04-12 12:58:23, Error                 CBS    Failed to resolve execution package: Microsoft-Windows-RemoteDesktopClient-BlueIP-Package~31bf3856ad364e35~x86~~7.2.7601.16415 [HRESULT = 0x80073701 - ERROR_SXS_ASSEMBLY_MISSING]
2016-04-12 12:58:23, Info                  CSI    00000022@2016/4/12:03:58:23.948 CSI Transaction @0x1738ce0 destroyed
2016-04-12 12:58:23, Info                  CBS    Perf: Resolve chain complete.
2016-04-12 12:58:23, Info                  CBS    Failed to resolve execution chain. [HRESULT = 0x80073701 - ERROR_SXS_ASSEMBLY_MISSING]
2016-04-12 12:58:23, Error                 CBS    Failed to process single phase execution. [HRESULT = 0x80073701 - ERROR_SXS_ASSEMBLY_MISSING]

今度は「rid = [118]”Microsoft-Windows-RemoteDesktopClient-BlueIP-Package~31bf3856ad364e35~x86~~7.2.7601.16415.RemoteDesktopClient81-BlueIP” 」とあります。どうもリモートデスクトップクライアントが正常にインストールできていないようです。RemoteDesktopClient81とあることから、Remote Desktop Client 8.0から8.1へのアップデートが上手く適用できていないと思われれます。KB2803477 Update for RemoteApp and Desktop Connections feature is available for Windowsを先ほどと同じ要領でアンインストールしてから、あらためてインストールし直します。

もういちどWindows Updateを実行した結果、ついに残りのエラーは1個になりました。
OSを再起動して、さらにもう一度Windows Update（何度か繰り返す）・・・・Complete！
全てのWindows Updateを無事に適用できました。

もしWindows Updateで修復不能なエラーに悩まされたなら、CBS.LOGをのぞいてみて下さい。

PS…
Windows 8.1またはWindows 10であれば次のようにdismコマンドで壊れた環境を修復できる場合があるようです。

> dism.exe /online /cleanup-image /restorehealth

残念ながらWindows7ではrestorehealtオプションがありません。エラーを報告はしてくれるが、修復はしてくれないので、手作業でアンインストール/インストールを繰り返す以外にありません。

WEBで検索するとWindows Updateで繰り返しエラーが発生する場合の様々な対処法を見つけられるが、特定のセキュリティパッチ限定の方法だったり、汎用性がなかったり、自身が遭遇している問題とは関係なかったりする。そのため適切な対処方法になかなか巡り会えずに、困っている人も多いのじゃないかと思う。

次の手順がおそらく最も汎用性があって、ほぼ確実に不具合を修復出来ると思う。

1. オフィシャルのトラブルシューティングガイドを使う

あいにくと英語のページしかありませんが「I got an error code from Windows Update」と言うページがあります。こちらでOSの種類とエラーコードを入力すると、それに対応した修復手順を案内してくれます。頻繁に情報もアップデートされているようで、これが最も確実な対処法になるとおもう。

2. それでもよく分からない場合は・・・

よく分からない場合には、最も汎用性が高いと思われる、次の手順をお勧めします。
次の操作は管理者権限を持つユーザーで行って下さい。

2.1. OSのシステムファイルを修復する

https://support.microsoft.com/ja-jp/kb/929833
コマンドプロンプトを右クリックして「管理者で実行」を選択します。
コマンドプロンプトが開いたら次のコマンドを実行します。
sfc /scannow
システムファイルの修復が終わったらOSを再起動します。

Windows Updateが異常中断したためにシステムファイルの整合性が壊れたのが原因の場合には、これで直るはずです。

2.2. Windows Updateのバージョンを更新する

https://support.microsoft.com/ja-jp/kb/949104
上のページから使用しているOSにあわせて最新のWindows Update Agentをダウンロードしてインストールします。
インストールが終わったらOSを再起動します。

Windows Updateのバージョンに起因する問題の場合は、これで直るはずです。

2.3. 自動解決ツールを利用する

https://support.microsoft.com/ja-jp/gp/windows-update-issues/
上のページの「更新プログラムのインストールで問題が発生する場合、どうすればよいですか。
」から「Windows Update のトラブルシューティング ツール」をクリックして「WindowsUpdateDiagnostic.diagcab」をダウンロードします。ウィザードに従って次へ次へと進んでいくと、自動的に問題を修復してくれます。
「最新の更新プログラムのインストールに関する問題」が［未解決］と表示されますが、これは未適用のWindowsUpdateがあると言う意味（WindowsUpdateに失敗しているのだから当たり前）なので気にしなくて良いです。
修復が終わったらOSを再起動します。

Windows Updateが作成する作業ファイルや、ダウンロードしたファイルの破損などに起因する問題は、これで直るはずです。

グループポリシーでコンピューターにログインできるユーザーを制限するには、グループポリシーの「コンピューターの構成→Windowsの設定→セキュリティの設定→ローカルポリシー→ユーザー権利の割当→ローカルログオンを許可」の設定を有効にします。

この設定を有効にすると各PCのログインを許可するユーザーグループが全て設定値に置き換えられます。通常は「Administrators、Backup Operators、Power Users、Users、Guest」の5つのユーザーグループが登録されています。このうち「Users、Guest」を除く「Administrators、Backup Operators、Power Users」に加えて、ログインを許可したいユーザーグループをログインを許可するユーザーグループとして登録します。

例えば「ほげ」というユーザーグループにアクセスを許可したい場合には、「Administrators、Backup Operators、Power Users、ほげ」の4つのユーザーグループを設定します。

誤って「Administrators」を設定に加え忘れると、管理者もログイン出来なくなるため非常に困ることになります。気をつけましょう。

WindowsUpdateを適用して再起動するコマンドは用意されていないが、InitiateShutdown APIを使用すればWindowsUpdateを適用して再起動するアプリケーションを作ることは容易に出来る。サーバーの運用では指定の時間にWindows Updateを適用して再起動する様な処理が必要になる事が多いが、このAPIを使用して自作したコマンドをタスクに登録しておけば良い。

以下がサンプルコード。

#include "stdafx.h"
#include <stdlib.h>
#include <Windows.h>
#include <winreg.h>

int wmain()
{
	// 引数文字列の解析
	DWORD	dwShutdownFlags = 0;
	bool	showHelp = false;
	LPTSTR	comment = NULL;
	for (int i = 0; i < __argc; i++)
	{
		if (0 == _tcsicmp(__targv[i], _T("/r")) || 0 == _tcsicmp(__targv[i], _T("-r")))
		{
			dwShutdownFlags |= SHUTDOWN_RESTART;
		}
		if (0 == _tcsicmp(__targv[i], _T("/s")) || 0 == _tcsicmp(__targv[i], _T("-s")))
		{
			dwShutdownFlags |= SHUTDOWN_POWEROFF;
		}
		if (0 == _tcsicmp(__targv[i], _T("/n")) || 0 == _tcsicmp(__targv[i], _T("-n")))
		{
			dwShutdownFlags |= SHUTDOWN_NOREBOOT;
		}
		if (0 == _tcsicmp(__targv[i], _T("/f")) || 0 == _tcsicmp(__targv[i], _T("-f")))
		{
			dwShutdownFlags |= SHUTDOWN_FORCE_OTHERS;
		}
		if (0 == _tcsicmp(__targv[i], _T("/u")) || 0 == _tcsicmp(__targv[i], _T("-u")))
		{
			dwShutdownFlags |= SHUTDOWN_INSTALL_UPDATES;
		}
		if (0 == _tcsicmp(__targv[i], _T("/m")) || 0 == _tcsicmp(__targv[i], _T("-m")))
		{
			i++;
			if (i < __argc)
				comment = __targv[i];
		}
		if (0 == _tcsicmp(__targv[i], _T("/h")) || 0 == _tcsicmp(__targv[i], _T("-h")))
		{
			showHelp = true;
		}
	}

	if (showHelp)
	{
		_tprintf(_T("/r : The computer is shut down and rebooted.\n"));
		_tprintf(_T("/s : The computer is shut down and powered down.\n"));
		_tprintf(_T("/n : The computer is shut down but is not powered down or rebooted.\n"));
		_tprintf(_T("/u : The computer installs any updates before starting the shutdown.\n"));
		_tprintf(_T("/f : All sessions are forcefully logged off.\n"));
	}
	else
	{
		HANDLE				hToken;
		TOKEN_PRIVILEGES	TokenPri;

		// プロセストークンを取得
		if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken) == FALSE)
		{
			return GetLastError();
		}

		// シャットダウン権限の LUID を取得
		if (LookupPrivilegeValue(NULL, SE_SHUTDOWN_NAME, &TokenPri.Privileges[0].Luid) == FALSE)
		{
			return GetLastError();
		}

		// シャットダウン権限を与える
		TokenPri.PrivilegeCount = 1;
		TokenPri.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
		AdjustTokenPrivileges(hToken, FALSE, &TokenPri, 0, (PTOKEN_PRIVILEGES)NULL, 0);
		if (GetLastError() != ERROR_SUCCESS)
		{
			return GetLastError();
		}

		// Windows Updateを適用して再起動する
		DWORD errCode = ::InitiateShutdown(NULL, comment, 0, dwShutdownFlags, SHTDN_REASON_MINOR_OTHER);
		_tprintf(_T("InitiateShutdown Result Code = 0x%08X.\n"), errCode);
		return errCode;
	}

	return 0;
}

以下はバイナリ（実行ファイル）のダウンロード
InitiateShutdown_x32
InitiateShutdown_x64

Windows7以降のOSで、グループポリシーやバッチファイル等から「Windowsの機能の有効化または無効化」を行うには、DISMコマンドを使用します。DISMコマンドはWindows自動インストールキット（Windows AIK）という、Windowsを多数のPCに導入するための支援ツールの一つです。Windowsのインストール支援ツールはOSのメジャーバージョンが変わる度に大きな変更が加えられるのが常ですが、DISMコマンド自体はWindows7以降はWindows 10でも後方互換性は維持されているようです。

現在有効化または無効化されている機能の一覧を得るには以下のコマンドを実行します。

dism  /online /Get-Features

特定の機能を有効化するには以下のコマンドを実行します。

dism /online /Enable-Feature /FeatureName:[機能名]

特定の機能を無効化するには以下のコマンドを実行します。

dism /online /Disable-Feature /FeatureName:[機能名]

以下のように機能名を指定すれば、特定機能について有効化されているか取得できますが、%ERRORLEVEL%の値としては取得出来ないようです。

dism  /online /Get-Features /FeatureName:[機能名]

また依存関係を自動では解決してくれません。機能Bを有効化するために、機能Aが必要となる場合には、以下のように依存関係を意識して順番に有効化する必要があります。

dism /online /Enable-Feature /FeatureName:[機能A]
dism /online /Enable-Feature /FeatureName:[機能B]

ActiveDirectory（以下AD）のユーザーは人事異動等にともなって定期的に大きく変更されるので、手作用で更新していると非常に煩雑な事になります。Powershellの活用でADのユーザー管理の省力化を目指したいと思います。

Remote Server Administration Toolsのインストール

PowershellでActive Directoryのユーザー管理の為のコマンドレットを呼び出すためには、Remote Server Administration Tools（以下RSAT）をインストールする必要がある。インストールするRSATはクライアントOS毎に異なるので、対応するインストーラを以下からダウンロードする。
Remote Server Administration Tools (RSAT) for Windows Client and Windows Server (dsforum2wiki)

ADユーザーを更新する

更新する対象がデータベースなら削除して登録することを繰り返しても問題ない場合が多いが、ADユーザーの場合には削除して追加すると言うわけにはいきません。一度削除してしまうと、再登録してもユーザーを一意に識別するために使っているSIDやGUIDが異なる値になってしまい、別のユーザーとして識別されてしまいます。従って面倒でも既存のユーザーの有無を調べ、無ければ新規に作成し、あるなら必要に応じて項目を更新すると言う手続きにならざる得ません。

既存ユーザー有無確認

既存ユーザーの有無を確認するにはGet-ADUserを使う。Get-ADUserは一致するユーザーが存在しない場合には例外を投げるので、$existUserの値は変更されないまま$NULLとなる。

     $existUser = $NULL
     $existUser = Get-ADUser -Identity [ユーザー名]
     if ($existUser -eq $NULL)
     {
          # ユーザーが登録されていない場合の処理
     }
     else
     {
          # ユーザーが登録されている場合の処理
     }

ユーザーの追加

ユーザーを追加するにはNew-ADUserを使用します。ユーザーに関する諸設定を行うためにコマンドラインパラメータが非常に多いです。必要最低限を指定して、残りはSet-ADUserで処理した方が実装が容易かと思います。

     New-ADUser "[ユーザー名]"  -UserPrincipalName "[ユーザー名]@[ドメイン] .local") -DisplayName "[表示名]" -Path"OU=[新部署] , OU=[部門], DC=[ドメイン], DC=local " -Enabled $TRUE

既存ユーザーの一覧を取得

Get-ADUserは指定した条件にマッチするユーザーのリストを返す。フィルタ条件にアスタリスクを指定すると全てのユーザーが得られる。抽出条件の指定方法は多岐に渡るので詳細はオンラインヘルプに委ねる。

    $userAccountList = Get-ADUser -Filter *
     foreach ($userAccount in $userAccountList)
     {
          # 各ユーザーに対する処理
     }

組織単位の移動

組織単位はGet-ADUser で取得したユーザーアカウントのプロパティを参照すれば得られる。組織単位を変更する場合には、Move-ADObjectを使用して移動先の組織単位を設定する。

     if ($userAccount.DistinguishedName -notmatch ".*OU=[旧部署].*")
     {
           Move-ADObject -Identity $userAccount. ObjectGUID -TargetPath "OU=[新部署] , OU=[部門], DC=[ドメイン], DC=local"
     }

グループ設定の変更

ユーザーグループに割り当てるにはaddNoneGroupMemberを、ユーザーグループから削除するにはremoveExistGroupMemberを使う。

     # グループに追加する
     addNoneGroupMember $userAccount "グループ名"

     # グループから削除する
     removeExistGroupMember $userAccount "グループ名"

ユーザーの削除

Remove-ADUserを使えば削除する事が出来るが、誤って削除してしまうと同じSIDやGUIDを持つユーザーを復活させようとすると非常に難しくなる。従って削除するのではなくSet-ADUserでユーザーを無効にした上で、特定の組織単位に移動するに止める方が良い。

     if ($userAccount . Enabled)
     {
          $userAccount .Enabled = $FALSE
          Set-ADUser -Instance $userAccount
     }

     if ($userAccount . DistinguishedName -notmatch ".*OU=削除対象.*" )
     {
           Move-ADObject -Identity $userAccount. ObjectGUID -TargetPath "OU=削除対象 , OU=[部門], DC=[ドメイン], DC=local"
     }

Windows 7でexplorer.exeを起動し、フォルダやコンピュータのプロパティ、コントロールパネル等を開こうとすると、しばらく待った後「 サーバーの実行に失敗しました。」とエラーが表示され、開くことができなくなった。

原因は標準のユーザーフォルダが失われた為でした。 レジストリの”HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders”にある、”Personal”の値が%USERPROFILE%\Desktop\Documentsに書き換わっていました。その後何かの拍子にDesktop\Documentsを削除したためマイドキュメントフォルダがなくなり、その為にExplorer.exeが動作しなくなっていました。

まずはレジストリエディタを起動して、”HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders”にあるPersonalの内容をデフォルトの%USERPROFILE%\Documentsに戻します。次にコマンドプロンプトを開いてmkdir Documentsを実行し、あるべき場所にマイドキュメント用のフォルダを作成しました。

これでフォルダが開けるようになり解決しました。

参考にしたブログ：http://meochika-value.hatenablog.com/entry/2013/07/27/142113