WSUS(Windows Server Update Services)を長期間運用していると、次第に発生するのが「更新ファイルやメタデータの肥大化」「動作遅延」「同期失敗」などのトラブルだ。これらは放置すると更新配信の遅れやディスク圧迫につながり、最悪の場合、WSUS自体が機能停止するリスクもある。
私自身、ある企業でWSUSを導入した際、最初の3か月はクリーンアップを全く実施していなかった。その結果、WSUS管理コンソールの起動に5分以上かかるようになり、同期処理も頻繁にタイムアウトするようになった。ディスクを確認すると、150GBもの容量が使用されており、その大半が不要な更新ファイルだった。
慌ててクリーンアップを実施したところ、ディスク使用量が40GBまで削減され、コンソールの起動時間も30秒以内に改善された。この経験から、WSUSのクリーンアップは「やればいい」ではなく「必須の定期メンテナンス」だと痛感した。
Microsoftは公式に「定期的なクリーンアップ」を推奨しており、その方法はGUIベースでもスクリプトベースでも実行可能だ。ここでは、実務で使える最適なWSUSクリーンアップ戦略を解説する。
WSUSでは更新の履歴・メタデータ・未使用な更新ファイルなどがデータベースとディスクに蓄積される。特に以下のような状況が重なると、著しくパフォーマンスが低下する:
→ 結果として「コンソールが開かない」「同期に数時間かかる」「エラーが頻発する」などの支障が出る。
| 症状 | 原因 | 影響 |
|---|---|---|
| WSUS管理コンソールの起動が遅い | データベースの肥大化 | 管理者の作業効率低下 |
| 同期処理がタイムアウトする | 未承認更新の蓄積 | 最新の更新が配信されない |
| ディスク容量が逼迫する | 未使用の更新ファイルの蓄積 | サーバーの停止リスク |
| クライアントへの配信が遅延する | メタデータの肥大化 | セキュリティリスクの増大 |
特に、ディスク容量が逼迫すると、WSUS自体が機能停止する可能性がある。これを防ぐためには、月1回以上のクリーンアップが必須だ。
WSUS管理コンソールの以下の手順で実施可能:
| 項目 | 効果 | 削除対象 |
|---|---|---|
| 未使用の更新ファイルの削除 | ディスク容量の削減 | 承認されていない、または期限切れの更新ファイル |
| 未承認の更新の削除 | データベースサイズの削減 | 90日以上未承認の更新プログラム |
| 期限切れの更新の削除 | データベースサイズの削減 | Microsoftが期限切れとマークした更新 |
| 不明または削除されたコンピュータの削除 | データベースサイズの削減 | 30日以上同期していないクライアント |
| 古いレポートの削除 | データベースサイズの削減 | 90日以上前のレポート |
以下のタイミングでクリーンアップを実行するのが理想的:
業務で毎月定期実行する場合は、以下のようなスクリプトによる自動化が現実的。PowerShellスクリプトをつくってタスクスケジューラに登録することで、夜間や休日に無人実行させることが可能。
以下のスクリプトで、WSUSのクリーンアップを完全自動化できる:
# WSUS クリーンアップスクリプト
# 実行前にWSUSサーバーのバックアップを取得すること
[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration") | Out-Null
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
# クリーンアップの範囲を設定
$cleanupScope = New-Object Microsoft.UpdateServices.Administration.CleanupScope
# 未承認の更新を削除
$cleanupScope.DeclineSupersededUpdates = $true
# 期限切れの更新を削除
$cleanupScope.DeclineExpiredUpdates = $true
# 未使用の更新を削除
$cleanupScope.CleanupObsoleteUpdates = $true
# 更新ファイルを圧縮
$cleanupScope.CompressUpdates = $true
# 未使用のコンテンツファイルを削除
$cleanupScope.CleanupUnneededContentFiles = $true
# クリーンアップ実行
$cleanupManager = $wsus.GetCleanupManager()
$result = $cleanupManager.PerformCleanup($cleanupScope)
# 結果をログファイルに出力
$logPath = "C:\WSUSLogs\cleanup_$(Get-Date -Format 'yyyyMMdd_HHmmss').log"
$result | Out-File -FilePath $logPath
# コンソールに結果を表示
Write-Host "========================================"
Write-Host "WSUS クリーンアップ完了"
Write-Host "========================================"
Write-Host "削除された期限切れ更新: $($result.ExpiredUpdatesDeleted)"
Write-Host "削除された未承認更新: $($result.SupersededUpdatesDeclined)"
Write-Host "削除されたクライアント: $($result.ObsoleteComputersDeleted)"
Write-Host "解放されたディスク容量: $($result.DiskSpaceFreed) bytes"
Write-Host "========================================"
C:\Scripts\WSUS-Cleanup.ps1 として保存# タスクスケジューラで実行する場合のコマンド
powershell.exe -ExecutionPolicy Bypass -File "C:\Scripts\WSUS-Cleanup.ps1"
タスクスケジューラの設定:
taskschd.msc)powershell.exe-ExecutionPolicy Bypass -File "C:\Scripts\WSUS-Cleanup.ps1"以下のコードを追加すれば、クリーンアップ結果をメールで通知できる:
# メール通知の追加
$subject = "WSUS クリーンアップ完了通知"
$body = @"
WSUS クリーンアップが完了しました。
削除された期限切れ更新: $($result.ExpiredUpdatesDeleted)
削除された未承認更新: $($result.SupersededUpdatesDeclined)
削除されたクライアント: $($result.ObsoleteComputersDeleted)
解放されたディスク容量: $([math]::Round($result.DiskSpaceFreed / 1GB, 2)) GB
ログファイル: $logPath
"@
Send-MailMessage -From "wsus@contoso.com" -To "admin@contoso.com" `
-Subject $subject -Body $body -SmtpServer "smtp.contoso.com"
WSUSではデータベースにWindows Internal Database(WID)かSQL Serverを使用しており、データベースの断片化もパフォーマンス低下の原因になる。
Microsoftが公式に推奨するインデックス再構築スクリプト(参考)を使用する。
以下のSQLスクリプトを C:\Scripts\WSUS-DBMaintenance.sql として保存:
USE SUSDB
GO
-- インデックスの再構築
DECLARE @TableName VARCHAR(255)
DECLARE TableCursor CURSOR FOR
SELECT table_name FROM information_schema.tables
WHERE table_type = 'base table'
OPEN TableCursor
FETCH NEXT FROM TableCursor INTO @TableName
WHILE @@FETCH_STATUS = 0
BEGIN
EXEC('ALTER INDEX ALL ON ' + @TableName + ' REBUILD')
FETCH NEXT FROM TableCursor INTO @TableName
END
CLOSE TableCursor
DEALLOCATE TableCursor
GO
-- 統計情報の更新
EXEC sp_updatestats
GO
コマンドプロンプトで以下のコマンドを実行:
sqlcmd -S np:\\.\pipe\MICROSOFT##WID\tsql\query -E -i "C:\Scripts\WSUS-DBMaintenance.sql"
SQL Serverを使用している場合:
sqlcmd -S localhost -E -i "C:\Scripts\WSUS-DBMaintenance.sql"
インデックス再構築は、以下の頻度で実行するのが理想的:
以下のSQLクエリで、データベースサイズを確認できる:
sqlcmd -S np:\\.\pipe\MICROSOFT##WID\tsql\query -E -Q "USE SUSDB; EXEC sp_spaceused"
データベースサイズが10GB以上の場合、クリーンアップとインデックス再構築を実施することを推奨する。
WSUS設定で、不要な製品や分類を無効化することで、同期時間とディスク使用量を大幅に削減できる。
| 製品 | 理由 |
|---|---|
| Windows Vista | サポート終了(2017年) |
| Windows 7 | サポート終了(2020年) |
| Office 2010 | サポート終了(2020年) |
| Windows Server 2008 | サポート終了(2020年) |
| Internet Explorer | 廃止(2022年) |
これにより、次回の同期から不要な更新がダウンロードされなくなる。
原因:
解決法:
原因:
解決法:
net stop "Windows Internal Database" && net start "Windows Internal Database"sqlcmd -S np:\\.\pipe\MICROSOFT##WID\tsql\query -E -Q "DBCC CHECKDB(SUSDB)"原因:
解決法:
| 項目 | 推奨対応 |
|---|---|
| 不要な製品・分類の無効化 | 「Office 2010」「Windows Vista」など、更新が不要な製品はWSUS設定で外す |
| 自動承認の見直し | 定例パターンを確認し、手動作業を減らす |
| クリーンアップ頻度 | 月1回以上を推奨。半年以上未実行はリスクが高い |
| データベースメンテナンス | インデックス再構築を月1回実行 |
| バックアップ | クリーンアップ前に必ずバックアップを取得 |
| ログの確認 | クリーンアップ後、Event Viewerでエラーがないか確認 |
WSUSは放置すると確実に”肥大化”し、業務に支障をきたすリスクがある。Microsoftは明確に「WSUSには定期メンテナンスが必須」と示しており、GUI/PowerShell/SQL管理の3点からメンテナンスを設計することが重要だ。
特に、以下の3点を忘れずに:
更新を配信するインフラそのものの健全性を保つことで、セキュリティと業務継続性の両方が担保される。IT担当者として、WSUSを放置しないこと。
もし、WSUSのメンテナンスに疲れた、もっと自動化された環境で働きたいと感じているなら、クラウドベースの管理ツール(Intuneなど)を積極的に導入している企業への転職も選択肢の一つだ。IT管理者としてのスキルを活かしつつ、最新技術に触れられる環境を探すなら、レバテックキャリアでIT・Web業界の求人を探してみるのもおすすめだ。