Windows Server Update Services(WSUS)は、社内クライアントの更新管理において非常に有効なツールだが、その運用には注意が必要だ。Microsoftもドキュメント(例:WSUS Best Practices)で注意喚起しており、よくある運用ミスを放置すると、更新の未配信やセキュリティリスクにつながる。この記事では、現場で頻出する5つの「あるある」とその対策を紹介する。
WSUSはMicrosoft Updateとの同期設定が必要だが、「同期に失敗していた」「定期実行されていなかった」ことに気づかないケースが多い。
対策: WSUSコンソールで「最後の同期日時」を確認し、タスクスケジューラやIISサービスの状態も合わせて点検すること。
同期されただけでは更新は配布されない。「承認操作」が必要だが、定期的に実行されていない企業も多い。
対策: 重要な更新は自動承認ルールを活用し、毎週の承認レビューをルーチン化する。
更新ファイルが蓄積されることで、WSUSサーバーのディスクが肥大化し、動作不良や同期エラーにつながる。
対策: 「サーバークリーンアップウィザード」または wsusutil.exe による定期クリーンアップを設定する。
WSUSの対象クライアントは、GPO(グループポリシー)設定で登録されるが、設定漏れやドメイン構成の影響で誤動作することも。
対策: gpresult /h コマンドなどでGPOの反映状況を定期監査し、グループ構成も見直す。
WSUSはIIS(Webサービス)をベースに動作しているため、IIS設定やWSUSサービスが無意識に停止していることがある。
対策: WSUS/IISの稼働監視を自動化し、PowerShellや監視ソリューションで状態を可視化する仕組みを導入する。
WSUSは一度構築すれば終わりではなく、「更新対象・更新内容・配布状況・ストレージ状況」を定期的に監視・管理することが肝要だ。Microsoftのベストプラクティスを参照し、属人化しないチェック体制を整えることで、安定した更新運用が実現を目指そう。