WSUSで更新プログラムが配信されない!?WSUSサーバでありがちな落とし穴に注意!

MCM(MECM)
WSUSで更新プログラムが配信されない!?WSUSサーバでありがちな落とし穴に注意!

更新プログラムを配信する時に欠かせない大事な WSUS ですが、ちゃんと面倒は見ていますか?

WSUS 管理下のクライアント・サーバにはちゃんと更新プログラムを適用していても、WSUS サーバ自体がおろそかになってはいませんか?

今回はWSUSサーバにありがちな落とし穴をご紹介します。今すぐチェックした方がいいかもしれませんよ。

WSUS、固まる

WSUS、固まる

WSUS から更新プログラムを配信する場合はもちろん、SCCM を介して配信する時も、WSUS が正常に動いていることが大前提です。

何社かのお客様の SCCM 環境で、更新プログラムが配信エラーとなる現象が発生しました。

ログや状態を調べてみたところ、「w3wp.exe」がCPUを使い切っている状態のため WSUS が反応せず、結果としてエラーとなっていました。

とりあえずスペックを上げて、WSUSの設定を変えてみた

管理するクライアント数に対して、SCCM・WSUS のサーバのスペックが低く定義されており、さらに設定に改善の余地がありました。

恐らくスペック不足が問題だろうと、仮想マシンのスペックアップを行いました。更にWSUSアプリケーションプールのメモリを増やしたり、IIS の同時接続数を制限したりと、設定の改善を行いました。

最初は落ち着いて仕事をしてくれるのですが、しばらく経つと同じような状態に陥ってしまいました。

あとは、更新プログラムの配信対象クライアントをグループ分けしてアクセス数を減らすなど、サーバへの負荷を減らす方法を考えるしかないです。

WSUSのバグ

WSUSのバグ

運用での回避は色々と手間がかかり面倒ですので何とか避けたいところです。

ダメ元で色々調べた結果、以下のMS公式Blogにたどり着きました。

ソフトウェアの更新ポイント サーバーにおいて w3wp.exe の CPU 使用率が高騰化する – Japan System Center Support Team Blog

(2019/03/22)リンク先が無くなりましたので削除しました。

けっこう前に発表された WSUS のバグで、単独での更新プログラムはもちろん、最新のロールアップにも含まれています。

SCCM・WSUSサーバに適用されていない!?

各種サーバに対してもクライアントPCと同様に、SCCM・WSUS での更新プログラムの配信が行われていました。

そこでふと思ったわけです。じゃあ、SCCM・WSUS サーバ自体への更新プログラムの配信は誰がやっているの・・・?

問題のサーバに適用されている更新プログラムを確認したところ、例の WSUS のバグ対策は適用されていませんでした。

即、最新のロールアップをダウンロードし、手動で適用しました。幸運にも WSUS がCPUを使い切る現象は止み、正常に更新プログラムを配信できるようになりました。めでたく解決です。

実はこの更新プログラム適用だけでは解決しないケースがありました。どう解決したのかについては、別記事でご紹介する予定です。

なぜ適用されていなかった?

なぜ適用されていなかった?

そもそもどうして適用されていなかったのでしょう・・・?

原因は、単純な適用モレでした。SCCM・WSUS サーバに対しては、更新プログラムを手動で適宜適用していたのです。

クライアントへの配信に比べると管理がゆるく、明確に担当が決まっているわけではなく、MSから公開されてからの適用タイミングも不定期でした。

クライアントPCの場合、どんどん指摘・クレームが挙がるので、当然管理はシビアになりますよね。

ではどうする?

SCCM・WSUS サーバへの更新プログラムの適用方法は、だいたい以下の3種類のいずれかです。

手動で頑張る

適用モレが一番のネックですので、複数人でMSからの更新プログラム公開を確認したり、サーバへの適用を行う必要があります。

ただ、結局人に依存している以上、いずれまた適用モレが起きそうですね。

あまりオススメできせん。

SCCM・WSUS用のWSUSサーバを立てる

立てた WSUS サーバへの更新プログラム適用は、WindowsUpdateで行うことが多いようです。

万一OSに影響を与えるようなバグが更新プログラムに含まれていた場合、バグが直るまで止めればよいです。その間は SCCM・WSUS サーバに手動で更新プログラムを適用します。

そもそもそんなバグがあった時点でクライアントへの更新プログラム配信は中止ですけどね。

止めた時の影響を最小にするために、WSUS 以外の役割を持たせないようにすることも大事です。ストレージが空いているからと、ファイルサーバ代わりに使っちゃいけませんよ。

OSのCALライセンス上も問題になりそうですし

WindowsUpdateで自動適用する

最新の更新プログラムが適用されますので、モレは無くなりますね。一番お手軽です。検証作業せずにいきなり適用して大丈夫か?という心配はあります。

利便性と安全性をどう判断するか次第です。

そもそも検証作業は、業務で必要なアプリケーションや独自開発したプログラムが正常に動くか?がメインです。SCCM・WSUS サーバに余計なアプリケーションを入れなければ、別に問題ないですよね。

それに先に書きましたが、OSに影響が出るようなバグが含まれている時点で(以下省略)

個人的な意見としては、 WindowsUpdate での自動適用でよいのでは?と思います。

最後に

クライアントやサーバを管理しているサーバ自体が一番不健康だなんて、まさに医者の不養生です。

更新プログラムというと、どうしてもユーザーが使用するクライアントのことを考えてしまいますが、それ以外に各種サーバがあり、更にそれらを管理しているサーバがあることを忘れてはいけません。人知れず頑張っている縁の下の力持ちにも意識を向けましょう。