OS:Windows Server 2008 R2 SP1
.NET4.5.2のセキュリティパッチ11個(KB37581,KB3035490,KB3023224,KB3074230,KB3074550,KB3097996,KB3098781,KB3122656,KB3127229,KB3135966,KB3163251)を適用しようとしたところ、KB3163251とKB3135996のみが適用できない事象が発生しました。
適用が失敗するときに出力されるメッセージは"証明書チェーンを、信頼されたルート証明機関として構築出来ませんでした"が出力されていたため、該当する情報がないか探したところ、KB3149737の事例が見つかりました。
KB3135996は該当しているようで、KB3163251については該当しないようですが、原因に記載されている「インターネットから切断された環境または次の URL からのコンテンツをブロックするファイアウォールを使用している環境で運用しているときに発生します。http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en」があることから、恐らくこれが原因ではと考えています。
実際のサーバーは、インターネットから切断された環境に設置されているから一致していると考えましたが気になる点があります。KB3163251、KB3135996の証明書チェーンを確認したところ、ルート証明書(Microsoft Root Certificaticate Authority)-中間証明書(Microsoft Code Signing PCA)-証明書(Microsoft Corporation)になっているので証明書チェーンは問題ないように見られます。
------------------------------------------------------------------------------------------------------------------------------------------
https://support.microsoft.com/ja-jp/kb/3149737
Windows Vista SP2、Windows Server 2008 SP2、Windows 7 SP1、および Windows Server 2008 R2 SP1 用の .NET Framework 4.6.1/4.6 のセキュリティ更新プログラム 3136000 および .NET Framework 4.5.2 のセキュリティ更新プログラム 3135996 の既知の問題
-----------------------------------------------------------------------------------------------------------------
実際のサーバーでKB3149737に記載されている対応を試すためにはKB3149737が一致している可能性を立証するよう言われており、以下の手順を試しましたが、KB3163251とKB3135996が適用できてしまいます。検証をするにはテスト用のサーバー再構築して試す以外に方法はないでしょうか。
<実施した手順>
1.テストサーバーで既にインストールされているKB3163251とKB3135996をアンインストール。
2.テストサーバーからhttp://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/enにアクセスできないようにゲートウェイ,DNSを空白に設定→ネットワークアダプタ無効/有効実施。
3.テストサーバーにてcertmgr.exeを実行して信頼されたルート証明機関から"Microsoft Root Certificate Authority 2011を削除。
4.テストサーバーを再起動。
5. テストサーバーでKB3163251とKB3135996のインストールを試みると、KB3163251とKB3135996が「プログラムと機能」に存在。certmgr.exeを実行して信頼されたルート証明機関に削除した"Microsoft Root Certificate
Authority 2011がインストールされている。