要約
わい「Winhttp Proxy設定しよ」
Windows Update「わしじゃよ!」
はじめに
やらかした話が盛り上がる年末ときいて、ひと月ふた月ほど前にやらかした話を供養したいと思います。
なお、皆さん大好きな本番環境でのやらかしですが、残念ながらダメージはかすり傷程度でした。
もうほとぼりも冷めてると思うし
凡ミスのたぐいなのでどうか皆様もお気をつけください。
何が起こったのか
要約で書いてあるとおりなのですが、
- Winhttp Proxyを設定したら(開けたら)
- Windows Update サービスがアップデートを
勝手に始め - 環境が逝きそうになりました。
環境
Windows クライアントはProxyを通らないと外部インターネットには接続できず、
直接GWに行っても基本的にはブロックされる一般的な環境
くだんのWindows Update自体もProxyを通らないとアップデート ファイルをダウンロードできない
Windows クライアント
Winhttp Proxy:未設定
Windows Update サービス:生きてる
WSUS:なし
Windows Updateの実行:君のような勘のいいガキは嫌いだよ
このような状況をろくに確認せずWinhttpを設定したら、Windows Update サービスは生きており、
WSUSもないのでグローバルのアップデート ファイルのダウンロードを始め、
気づいた頃にはダウンロードとインストールが終わっていました。
不幸中の幸い
もともと、WinhttpはADからGPOで設定を配布しようとしていました。
しかし、GPOの追加にはいろいろ処理だったりなんだりが必要とのことだったので、
念の為とWindows クライアント1台にのみ実施した作業でした。
そのため、影響はこのクライアント1台のみにとどまりました。
Q & A
Q. Windows Updateのなにがだめなの?
A. 色々理由があってこの環境ではクライアントの状態が同一でなければなりませんでした。
Windowsのバージョンも同一の必要があるため、1台だけアップデートされると困るのでした。
Q. Windows Updateの設計どうなってるの?
A. 別チームの担当なので詳しくはわからないです。
あともう関わりたくない・・・
Q. そもそも気づけなかったの?
A. いや、まともな環境ならWSUSでWindows Updateくらいしてるだろうし
仮にWindows Update実行しないならサービスのスタートアップ無効化してるじゃないですか!
まさかWindows UpdateをWinhttp閉じてるだけで無効化に近いことやってるとは思わないじゃないですか!