Windows – ページ 6 – OSAKANA TAROのメモ帳

Windows 7を初期インストールしてWindows Updateを実行すると、「エラーコード 80072EFD」で失敗する。

Windows 7のルート証明書は１つ以外期限切れとなっている

手順1: Windows 7 Service Pack 1適用

インストールしたメディアがService Pack 1未適用であれば「Windows 7 Service Pack 1(KB976932)」から「windows6.1-kb2533552-x64_0ba5ac38d4e1c9588a1e53ad390d23c1e4ecd04d.msu」をインストールしてmsuパッケージ適用システムのアップデート(KB2533552)を実施。

続いてSP1本体の「windows6.1-kb976932-x64_74865ef2562006e51d7f9333b4a8d45b7a749dab.exe」を適用し、再起動

なお、SP1インストール中にKB976902 をダウンロードしてインストールしている模様

手順2:KB3020369適用

「Windows 7 for x64-Based Systems 用更新プログラム (KB3020369)」から windows6.1-kb3020369-x64_5393066469758e619f21731fc31ff2d109595445.msu を適用

手順3:KB3125574適用

「Windows 7 for x64-Based Systems 用更新プログラム (KB3125574)」からwindows6.1-kb3125574-v4-x64_2dafb1d203c8964239af3048b5dd4b1264cd93b9.msu を適用し、再起動

これでWindows Updateが実行できるようになりました。

有効なルート証明書も増えました

Internet Explorer 11適用について

DELLページではInternet Explorer 11のインストールが薦められていますが、2022年7月現在リンク先が動作していません。

現状は「x64 ベースシステム Windows 7 用 Internet Explorer 11」から入手となる様です。

ただ、DELLページだと別途Internet Explorer 11をインストールする、と書いてありますが、WIndows Updateからでインストールすることも出来ます。

単独でインストールする場合は上記リンクから ie11-windows6.1-x64-en-us_ddec9ddc256ffa7d97831af148f6cc45130c6857.exe を入手しインストールすると前提パッチ適用も行われます。ただ・・・インストール後もWinodws updateでIE11インストールの選択が残っていたので、おとなしくWindows Update経由でインストールした方が良さそうです。

IE11インストーラによるインストール中に以下が追加されていた
「Windows 7 x64 Edition 用プラットフォーム更新プログラム (KB2670838)」
「Windows 7 for x64-Based Systems 用更新プログラム (KB2729094)」
「Windows 7 for x64-Based Systems 用更新プログラム (KB2834140)」

Windows Updateで適用できないものがある

2022/07/15時点でWindows Updateを行うと２つの重要な更新プログラムで「エラーコード 80092004 Windows Updateで不明なエラーが発生しました」という失敗が発生した。

失敗している更新は以下の２つ

2019-09 x64 ベースシステム用 Windows 7 向けセキュリティマンスリー品質ロールアップ (KB4516065)

2020-01 Windows 7 および Server 2008 R2 (x64 版) 用 .NET Framework 3.5.1、4.5.2、4.6、4.6.1、4.6.2、4.7、4.7.1、4.7.2、4.8 のセキュリティおよび品質ロールアップ (KB4535102)

それぞれ定期的に更新されていそうなものなのでMicrosoft Catalogで検索してみるとかｋ

「Windows 7 向けセキュリティマンスリー品質ロールアップ」で検索すると、2022/07/15時点では「2022-07 x64 ベースシステム用 Windows 7 向けセキュリティマンスリー品質ロールアップ (KB5015861)」が最新となる。

「Windows 7 用 .NET Framework 3.5.1、4.5.2、4.6、4.6.1、4.6.2、4.7、4.7.1、4.7.2、4.8 のセキュリティおよび品質ロールアップ」で検索すると、2022/07/15時点では「2022-04 Windows 7 (x64 版) 用 .NET Framework 3.5.1、4.5.2、4.6、4.6.1、4.6.2、4.7、4.7.1、4.7.2、4.8 のセキュリティおよび品質ロールアップ (KB5012329)」が最新となる。

2022-07のロールアップの適用を試みたところ、エラーとなり、「Windows を実行しているコンピューターに .msu 更新プログラムパッケージをインストールするときのエラーメッセージ: 「このパッケージをインストールする前に、Windows モジュールインストーラーを更新する必要があります」」というリンクが案内された。

しかし上記記事内に各OSごとの更新プログラム情報のリンクが存在していない。

英語版の「Error message when you install a .msu update package on a computer that is running Windows: “The Windows Modules Installer must be updated before you can install this package”」には記載されている。

ただ、リンク先は「An update that prevents a “0xC0000034” error message when you try to install Windows 7 SP1, Windows Server 2008 R2 SP1, or Windows Embedded Standard 7 SP1 is available」という記事でそこからリンクされているアップデートファイルはアクセス出来ない。

「Update the Windows Update Agent to the latest version」の”Stand-alone packages for Windows 7 SP1 and Windows Server 2008 R2 SP1″にてダウンロードできそうだったのですがアクセス出来ず。

「2533552」で検索すると、そこにはWindows 7 x64 についてのファイルがないが、「Windows Embedded Standard 7 for x64-Based Systems 用更新プログラム (KB2533552)」で適用しようとしたが、すでに適用されてる、となった。

「https://www.catalog.update.microsoft.com/Search.aspx?q=KB3150513」
「https://www.catalog.update.microsoft.com/Search.aspx?q=KB3185319」

ここらを適用しつつ再起動を繰り返したら次は 2020年 1月 31日マンスリーロールアップの適用で止まった。

そこは以下を適用していったらなんとなった。

「2020 年 1 月 31 日 — KB4539601 (マンスリーロールアップのプレビュー)」に記載されている前提パッチ
　2019-03×64 ベースシステム用 Windows 7 サービススタック更新プログラム (KB4490628)
　2019-09 x64 ベースシステム用 Windows 7 のセキュリティ更新プログラム (KB4474419)
　そしてパッチ本体 2020-01 x64 ベースシステム用 Windows 7 向けマンスリー品質ロールアップのプレビュー (KB4539601)

2022年7月13日

Windows Server インストール時にドライバ追加したけど、このドライブにインストールすることはできませんとなる場合

Check

Windows Server 2012R2 / Windows Server 2016 / Windows Server 2019 / Windows Server 2022 の標準的なインストールメディア内にストレージドライバが含まれていない場合、インストール途中にドライバが含まれてるメディアに差し替えて読み込む必要がある。

ストレージがなにも認識されていないので「ドライバーの読み込み」を選択

Windows Serverのインストール用DVDを抜いて、ドライバが含まれているCDに交換して、OK

該当するストレージのドライバディレクトリを指定

指定したドライバが正解であるなら「インストールするドライバーの選択」に表示されます。

次へをクリックしてドライバを読み込みます。

スキャンが終了すると、以下の様にディスクが表示されます。

しかし、よく見てみると「このドライブに Microsoft サーバーオペレーティングシステムをインストールすることはできません (詳しい情報の表示) 」という注意マークがついています。

選択した場所に Microsoft Server オペレーティングをインストールできませんでした。メディアドライブを確認してください。詳細については、次の情報をご覧ください: 0x80300001

これはWindows Serverのインストール用DVDが認識できない場合の表示です。

先ほどドライバが含まれているCDに交換しているので、Windows Server のインストール用DVDに交換し、「最新の情報に更新」をクリックします。

上記の様に警告が消えて「次へ」が選択できるようになりました。

あとは普通に進めていけば大丈夫です。

この現象はWindows Server 2012R2 , 2016, 2019, 2022で発生することを確認しました。

出したくないのであれば、Windows Serverのインストールメディアにドライバを組み込むか、DVDドライブやUSBメモリを複数用意し、同時にマウントするかです。

インストールメディアにドライバを組み込む際の参考資料:UEFIブートのサーバでWindows Server 2016のインストール用USBメモリが起動しない

2022年7月12日2024年1月25日

Amazonで1万5千円だったタッチ対応モバイル液晶を買ったらペンタブにもなった件

Check

twitterでAmazonで1万5千円だったタッチ対応モバイル液晶を買ってメーカー名のロゴを剥がしたらLenovoと書いてあった、というのを見た。

注意:この記事は既にワコムAESペンを持っている人を対象に書いています。(AESペンは6千円～1万円ちょいで買えます)

＜今回届いた液晶はLenovoのペン対応タッチパネル液晶でしたが、Amazonのレビューを見るとLenovoのロゴがないものもあるようです。その場合ペン動作がするのかどうかは不明です。たぶんガラス部分に印字されてないバージョンなだけだとは思いますが…＞

調べて見ると、Lenovoが保守用に販売している液晶を流用してモバイル液晶のケースに入れたものらしい。

興味を持ったので探してみると発見

表示は21999円となっているが、~~7/14~~ ~~7/31~~ 8/31までクーポンで7000円引きとなっていて 14999円である。

→ Visual Beat モバイルモニターモバイルディスプレイ13.3インチ FHD 1080p 2024/01/25現在 15999円

じゃあ、Lenovoの何の製品で使われているのか？

「13.3インチ」「10点タッチ」あたりで調べて見るとLenovo ThinkPad Yoga 730あたりで使われているやつじゃないかなーとあたりを付けた。

もし、この液晶であるならワコムAESペンが使えるはずなのでは？ということで買ってみた。

裏面にはVESAマウント用の穴もある。

まずは普通にHDMIモニタとして使えることを確認

続いて気になる左下のシールを剥がしてみます。

Lenovo!

続いてタブレットとしてつなげてみます。

Type-C 1本でディスプレイ出力もできるDisplayPort Alternate Mode対応のノートパソコンなどは「通信用C」とパソコンをType-Cケーブルで繋ぎます。「電源用C」にUSB PD電源アダプタをつなげるとパソコンへの電源供給も可能です。

HDMI出力しかないパソコンに繋いで液晶タブレットとして使うには、まず、「通信用C」と「パソコン」を「Type-Cコネクタ<=>Aコネクタ」のケーブルで繋ぎます。
繋いだあとで、miniHDMIケーブルをさすとパソコン側で認識してくれます。

なお、HDMI接続でタブレットとして使おうとした場合、おかしなUSBデバイス認識となる場合があります。その場合はケーブルを抜いて30秒程度放置したあと、USBケーブルから先に繋いで見てください。

(おそらく、Type-Cケーブル1本で繋ぐと誤認されてしまってDisplayPort Alternate Mode用に内部設定を変えて通信を行おうとするもののネゴシエーションに失敗しておかしなUSBデバイスになっている。)

次に、Windows 10の場合、Windows Inkの設定を変更して、「ペンの使用中はタッチ入力を無視する」にチェックを入れておくといいと思います。(ペンで操作中に画面に手が当たると、手で操作した、という扱いになるため)

この設定項目がない場合は後述のWacomのドライバを追加インストールすると現れると思いますので、インストール後に設定してください。

さて、この液晶タブレット、ワコムのAESペンが使えます。

~~これは「Wacom One」、「raytrektabなど一部のWindows タブレット」、「Samsung のタブレット(Sペン)」「BOOXのAndroidタブレット」と互換性があるペンです。~~

すみません↑の記述は誤認していました。

Bamboo Ink が入手しやすいものとなります。

うちにあったWACOM Bamboo Ink CS321AKをAESモードにして試してみます。

Krita でのペン動作の様子 pic.twitter.com/P7d9BImm30
— OSAKANA TARO (@osakanataro2) July 12, 2022

kritaで試してみたのですが、少し遅めな反応ですね。

他にDELL アクティブペン PN556W/750-AANM でも動きました。(PN556Wは電池が単6と特殊なボタン電池2個が必要なのでお薦めしません)

いま入手できて、単6電池1本で動くあたり、となるとBamboo Ink（CS323AG0C）か DELL アクティブペン PN5122W あたりが良さそうに見えます。

USB充電式としてはBamboo Ink Plus CS322AK0C ですかね

Wacomの販売ページ
　USB充電式「Bamboo Ink Plus CS322AK0C」12,650円
　単６電池１本式「Bamboo Ink 2nd generation CS323AG0C」 6,050円

ヨドバシでの販売ページ
　USB充電式「ワコム WACOM CS322AK0C [Bamboo Ink Plus]」 10,800円
　単６電池１本式「ワコム WACOM CS323AG0C [Bamboo Ink]」 5,830円

aliexpressで見つけた謎のType-Cコネクタで充電できるStylus Penも動作しました
　買ったセラー「PN556W 2048 Rechargeable Stylus Pen for Dell Latitude 7285 7390 7400/ for HP Elite X2 1012 G1 G2 G3 G4 G5 G6 1020 EliteBook」$14.79
　その他のセラー「Active Stylus Digital Stylus Pen Pressure Sensitivity Stylus Pen for HP Elite X2 1012 G1 G2 G3 G4 G5 EliteBook」$14.25

なお、ペンが全然反応しない、という場合は、Windowsのディスプレイ設定を開いてタブレット側を「メインディスプレイ」にしてみてください。(うちは１枚目のディスプレイがタッチ操作対応だったのでこれを設定しないとうまく動きませんでした）

どちらの番号がタブレットなのか分からない場合は「識別」をクリックすると画面上に番号が表示されますので、それで判断してください。

選択したあと、下の方にある「マルチディスプレイ」のところにある「これをメインディスプレイにする」にチェックを入れます。

無事ペンも使えるようになった状態というのは、Windows Ink / Tablet APIのタブレットとして動作している、という状態です。

これは最近の絵描きソフトであればだいたい対応している動作モードです。

ここにワコムが提供している「Wacom Components Driver version: 7.7-61」をインストールすると、SAI ver1などのWinTab API対応の古めのソフトも動くようになります。

2023/08/15追記:設定状況によっては「Lenovo Pen Settings Driver」じゃないと認識しない場合があるようです。(version 7.7-111にて遭遇)

また、インストールすることによりデバイスの認識も変わります。

デバイスのインスタンスパスを一部公開

Wacom Components DriverにはAESペンの細かい設定を行えるソフトもインストールされます。

このため、他に使用している液晶タブレットが無い場合や、Wintab.dllの競合問題が発生しないような場合は、できる限りインストールしておいた方がいいと思います。

なお、普通の液晶ペンタブレットだとペンの位置と画面上のカーソルの位置を合わせるためのキャリブレーション用のソフトウェアがありますが、そういったものが無いようです。（見つけられなかった）

人間側で補正する必要があるので繊細な人には向かないかもしれません。

2022年7月8日2022年7月11日

Windows Server 2008 SP2のWindows Updateがうまくいかない件への対処策 2022/07/07版

Check

検証用にWindows Server 2008 SP2 (64bit)環境を新規でつくろうとすると、2022/07/07時点ではかなり面倒でした。

問題点1: ルート証明書が期限切れで使えないものばかりなのでhttps通信ができない
問題点2: Windows Updateの仕組みが古いためWindows Updateで更新プログラムが取得出来ない
問題点3: Internet Explorer 9のインストーラの入手方法が分かりづらい
問題点4: Windows Updateができるようになっても10～30個ぐらい残したところでそれ以上進まないように見える

また、 WSUS Offline Update というオフライン適用のためのソフトがあります。

これのESR version 11.9.1 は Windows Server 2008 に対応しているので、アップデートISOを作成することができます。しかし、実行してみると証明書のエラーによりスクリプト処理が失敗しパッチの適用ができません。(ルート証明書の更新とWindows Updateの対応は行われます)

このような状況下でいかにしてWindows Updateを行うか、ということを検証しました。

問題点1: ルート証明書が期限切れで使えないものばかりなのでhttps通信ができない

これはかなり深刻な問題です。

詳細は「初期インストール状態のWindows Server 2008 SP2のルート証明書を更新する 2022/07/07版」を参照のこと

ルート証明書の問題だけを対処するのであれば上記記事の手順を実行なのですが、後述の問題点2を解決すると同時に問題点1も解決されます。

問題点2: Windows Updateの仕組みが古いためWindows Updateで更新プログラムが取得出来ない

Windows Updateを実行すると「新しい更新プログラムを検索できませんでした」「エラーコード 80072EFD」で失敗します。

こちらはルート証明書の問題とWindows Updateの仕組みが古いための合わせ技です。(Windows UpdateサイトがTLS1.0/1.1アクセスを廃止したことなどが影響)

いろいろ調査したところ、更新プログラムを適用することでWindows Updateが可能になった。

なお、毎回再起動が求められるが、6個適用してから再起動でも問題なかった。

(1個目) KB3205638

KB3205638は何故かWindows Server 2008 for x64-Based System用だけないけどVista x64用の windows6.0-kb3205638-x64_a52aaa009ee56ca941e21a6009c00bc4c88cbb7c.msu が適用できた。再起動はしない。

(2個目) Windows Server 2008 for x64-Based Systems 用セキュリティ更新プログラム (KB4012583)

windows6.0-kb4012583-x64_f63c9a85aa877d86c886e432560fdcfad53b752d.msu を適用。再起動はしない。

(3個目) Windows Server 2008 for x64-Based Systems 用セキュリティ更新プログラム (KB4022887)

windows6.0-kb4022887-x64_18ce762c6a6b021444844fff1bf787a137f384dd.msu を適用。再起動はしない。

(4個目) Windows Server 2008 for x64-Based Systems 用セキュリティ更新プログラム (KB4022883)

windows6.0-kb4022883-x64_ca51e3905658274dc222d06096f9f63e9f70bac2.msu を適用。再起動はしない。

(5個目) Windows Server 2008 for x64-Based Systems 用セキュリティ更新プログラム (KB4493730)

windows6.0-kb4493730-x64_5cb91f4e9000383f061b80f88feffdf228c2443c.msu を適用。再起動はしない。

(6個目) 2019-09 x64 ベースシステム用 Windows Server 2008 のセキュリティ更新プログラム (KB4474419)

windows6.0-kb4474419-v4-x64_09cb148f6ef10779d7352b7269d66a7f23019207.msu を適用

そして、再起動実施。

これでWindows Updateが可能となる。

問題点3: Internet Explorer 9のインストーラの入手方法が分かりづらい

Windows Updateが実行できる状態になればWindows Updateからインストールを行うことはできます。

Internet Explorer 9だけを取り急ぎインストールしたい場合、ダウンロードURLとインストールに必要な前提条件が非常に分かりづらい状態となっています。

詳細は「Windows Server 2008 SP2にInternet Explorer 9をインストールする 2022/07/06版」を参照してもらうとして、最低限必要なことだけはここに書きます。

(1個目) KB2117917

windows6.0-kb2117917-x64_655a21758801e9648702791d7bf30f81b58884b3.msu を適用。再起動はしない。

(2個目) KB2506014

windows6.0-kb2506014-x64_e4a62be05adf6d07841dd3df49fb5d63d1d3ba05.msu を適用。再起動はしない。

(3個目) KB971512

windows6.0-kb971512-x64_0b329b985437c6c572529e5fd0042b9d54aeaa0c.msu を適用。再起動はしない。

(4個目) KB2999226

windows6.0-kb2999226-x64_0befbb0b78588f7c9f17ead1da3abeda2b6f4c7f.msu を適用

再起動を実施。

(5個目) Internet Explorer 9をインストール

Microsoft Updateカタログで「Internet Explorer 9 2008用」を検索して3ページ目に出てくる「x64 ベースシステム Windows Server 2008 用 Windows Internet Explorer 9」から「wu-ie9-windowsvista-x64_f599c02e7e1ea8a4e1029f0e49418a8be8416367.exe」を適用してインストール。

再起動を実施。

問題点4: Windows Updateができるようになっても10～30個ぐらい残したところでそれ以上進まないように見える

Internet Explorer 9をインストールしている場合、残り29個ぐらいのところでそれ以上更新バーが動かなくなる。

内部処理に問題があるようで、複数回実施しても似たような箇所で止まります。

ここで「インストールの停止」をクリックしてもうまく停止されませんでした。

いろいろ検証したところ、止まったように見える表示のままWindows OSの再起動を行うことで、処理が進むことが多い様なことがわかりました。ただ、処理に結構時間がかかるようで１時間程度は見込んでください。

再起動が完了すると、だいたい３０個ぐらいが未適用な状態となっています。

引き続きWindows Updateを行って最新としてください。

ただ、この停止処理がうまく動かない状態で再起動もできない状態となることも多かったです。そのような場合は電源を強制オフするしかなくなるのですが、その場合は、ロールバック処理が行われました。

穏当に実行するのであれば、Windows Updateを行う際、日付順でソートして、新しいものから３０個ぐらいを非適用とすることで現象を回避できるようです。

いろいろ検証した結果、2017/09/12 より後の日付の更新を全て除外することでWindows Updateで止まることはなくなりました。

2022年7月7日

初期インストール状態のWindows Server 2008 SP2のルート証明書を更新する 2022/07/07版

Check

2022/07/07時点でWindows Server 2008 SP2を新規インストールすると、OSが持っているルート証明書の有効期限が1つ残りして他は切れています。

この結果、何がおこるかと言えば、Windows Update に失敗します。

これはWindows Updateは SSL証明書を使用する https通信を利用していて、いま残っているルート証明書だけでは目的とするサイトにアクセスできないために発生しています。

WIndows Server 2008 R2であればルート証明書の更新プログラムが提供されているのですが、Windows Server 2008には有りません。

いろいろ調べていくとASHER TOOLSの「Root Certificate Updater」というのを発見しました。

こちらPower Shellスクリプトとして作成されており github にてソースコードが公開されています → https://github.com/asheroto/Root-Certificate-Updater

内容を確認すると至って簡単で、要約すると以下を実行しているだけです。

rem 信頼できるルート証明書をダウンロード
certutil -urlcache -f http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab authrootstl.cab

rem 信頼されていない証明書をダウンロード
certutil -urlcache -f http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab disallowedcertstl.cab

rem ダウンロードしたcabファイルを展開
expand authrootstl.cab -R .\
expand disallowedcertstl.cab -R .\

rem 証明書を登録
certutil -addstore -f root authroot.stl
certutil -addstore -f disallowed disallowedcert.stl

実際に実行してみます。

Microsoft Windows [Version 6.0.6002]
Copyright (c) 2006 Microsoft Corporation.  All rights reserved.

C:\Users\Administrator>mkdir t

C:\Users\Administrator>cd t

C:\Users\Administrator\t>certutil -urlcache -f http://ctldl.windowsupdate.com/ms
download/update/v3/static/trustedr/en/authrootstl.cab authrootstl.cab
****  Online  ****
CertUtil: -URLCache コマンドは正常に完了しました。

C:\Users\Administrator\t>certutil -urlcache -f http://ctldl.windowsupdate.com/ms
download/update/v3/static/trustedr/en/disallowedcertstl.cab disallowedcertstl.ca
b
****  Online  ****
CertUtil: -URLCache コマンドは正常に完了しました。

C:\Users\Administrator\t>expand authrootstl.cab -R .\
Microsoft (R) File Expansion Utility  Version 6.0.6001.18000
Copyright (c) Microsoft Corporation. All rights reserved.

.\authroot.stl を展開キューに追加しています

ファイルを解凍しています...

ファイルの解凍が完了しました...

C:\Users\Administrator\t>expand disallowedcertstl.cab -R .\
Microsoft (R) File Expansion Utility  Version 6.0.6001.18000
Copyright (c) Microsoft Corporation. All rights reserved.

.\disallowedcert.stl を展開キューに追加しています

ファイルを解凍しています...

ファイルの解凍が完了しました...

C:\Users\Administrator\t>certutil -addstore -f root authroot.stl
root
証明書 "CN=Microsoft Certificate List CA 2011, O=Microsoft Corporation, L=Redmon
d, S=Washington, C=US" がストアに追加されました。
証明書 "CN=Microsoft Certificate Trust List Publisher, O=Microsoft Corporation,
L=Redmond, S=Washington, C=US" がストアに追加されました。
CertUtil: -addstore コマンドは正常に完了しました。

C:\Users\Administrator\t>certutil -addstore -f disallowed disallowedcert.stl
disallowed
証明書 "CN=Microsoft Certificate List CA 2011, O=Microsoft Corporation, L=Redmon
d, S=Washington, C=US" がストアに追加されました。
証明書 "CN=Microsoft Certificate Trust List Publisher, O=Microsoft Corporation,
L=Redmond, S=Washington, C=US" がストアに追加されました。
CertUtil: -addstore コマンドは正常に完了しました。

C:\Users\Administrator\t>

実行後はOSの再起動が必須です。

再起動後 certmgr.msc を実行して確認すると有効期限が切れていない証明書が増えています。

これでWindows Updateもうまくいことでしょう！

あれ？

次！

エラーコード 80072efeで検索すると「Windows Server 2008 R2 でWindows Updateが実行できない」というのを発見

こちらはWindows Server 2008 R2の事例ですが、「トランスポート層セキュリティ 1.0 および 1.1 の無効化」によりTLS1.0/TLS1.1アクセスが廃止されたためにアクセスできないのでは？という推測から対処を行っているが、KB3140245 はWindows Server 2008に対応して折らず、またレジストリを設定してみても状況は変わらない。

お手上げになったのでとりあえずWSUS Offline Updateを適用してみて、何のパッチが増えたのかを確認

まず、ルート証明書が増えている

しかし、WSUS Offline Update実行中にKB???? といったファイルが８個ぐらい適用されたような感じだったのに、更新履歴にはない

しかし、Windows Updateはできるようになった。

WSUS Offline Updateのログは %SystemRoot%\wsusofflineupdate.log にあるので確認してみる

2022/07/07 17:23:37.24 - Info: Started service 'Windows Update' (wuauserv)
2022/07/07 17:23:39.39 - Info: Installed ..\w60-x64\glb\windows6.0-kb3205638-x64_e32da6effffd299aaacb0f293602c7e55832bfad.cab
2022/07/07 17:23:45.73 - Info: Installed ..\w60-x64\glb\windows6.0-kb4012583-x64_e881e527ca32b3c47b008fd42ea1ecc87c017a71.cab
2022/07/07 17:23:47.38 - Info: Installed ..\w60-x64\glb\windows6.0-kb4022887-x64_fb2bd4b42ea68149eeffc1ef53bb469345c36f26.cab
2022/07/07 17:23:49.11 - Info: Installed ..\w60-x64\glb\windows6.0-kb4022883-x64_519ce72edf20b1a75c181362d75e13a22242f455.cab
2022/07/07 17:23:53.48 - Info: Installed ..\w60-x64\glb\windows6.0-kb4493730-x64_de2cd401093a5c42254c7bd69349821ad10341ff.cab
2022/07/07 17:24:32.75 - Info: Installed ..\w60-x64\glb\windows6.0-kb4474419-v4-x64_a5f1b40e6afb4874248c3a71583010b4b7d4512e.cab
2022/07/07 17:25:47.35 - Info: Installed ..\w60-x64\glb\windows6.0-kb4537830-x64_b91926b46eb406b6a52766e7fc8c88e4255a192c.cab
2022/07/07 17:26:50.90 - Info: Installed ..\w60-x64\glb\ie9-windows6.0-kb4525106-x64_72d91f2712d4a944b285407f774db20298b19624.cab
2022/07/07 17:26:50.93 - Info: Installed 8 updates
2022/07/07 17:26:50.93 - Info: Installed Windows Update scan prerequisites
2022/07/07 17:26:50.93 - Info: Installation successful (Updates pending)
2022/07/07 17:26:50.95 - Info: Ending WSUS Offline Update

Windows Updateを適用するために上記８個の更新を適用しているらしい。

とりあえず、Windows Server 2008 SP2+Internet Explorer 9インストール直後という状態にもどしてから、下記をダウンロードして順に適用してみた。

KB3205638は何故かWindows Server 2008 for x64-Based System用だけないけどVista x64用で適用できた

Windows Server 2008 for x64-Based Systems 用セキュリティ更新プログラム (KB4012583)

Windows Server 2008 for x64-Based Systems 用セキュリティ更新プログラム (KB4022887)

Windows Server 2008 for x64-Based Systems 用セキュリティ更新プログラム (KB4022883)

Windows Server 2008 for x64-Based Systems 用セキュリティ更新プログラム (KB4493730)

2019-09 x64 ベースシステム用 Windows Server 2008 のセキュリティ更新プログラム (KB4474419)

2020-02×64 ベースシステム用 Windows Server 2008 サービススタック更新プログラム (KB4537830) と 2019-11×64 ベースシステム Windows Server 2008 用 Internet Explorer 9 の累積的なセキュリティ更新プログラム (KB4525106) は下記の様なメッセージが出て適用失敗。おそらく証明書更新関連の問題している。