はじめに
WSUSは承認の粒度と帯域最適化に強みがある一方、メンテナンスを怠ると性能劣化が顕著です。
ここでは“止まらないWSUS”を目標に、定期メンテと承認設計の両輪を提示します。
定期メンテナンスの型
- DBクリーンアップ(毎月):未使用の更新・不要なコンピュータ・古い置換済み更新を削除。
- 再インデックス(四半期):SUSDBの断片化を解消。I/O待ちを短縮。
- 同期監視(毎日):失敗時はプロキシ/証明書/帯域を確認。
- レポート棚卸(毎月):承認/未承認・期限切れ・エラー端末を可視化。
製品/分類の絞り込み
- 使わない製品・アーキテクチャを外す(例:Itanium、使用しないServer製品)。
- ドライバーは原則除外し、別運用に分離。
- セキュリティのみ優先→品質更新を中心に、機能更新は別波で扱う。
承認フローの設計
- パイロット→一般→残置の3層承認。検証済みのものだけ一般承認。
- 自動承認ルールは範囲を限定(セキュリティ/重大/定義)。誤爆防止に除外条件も併記。
- 例外端末は対象グループを分け、リスク許容度に合わせて配布タイミングを調整。
配布と帯域の実務
- 夜間適用+勤務帯の再起動抑制で業務影響を最小化。
- 地理分散拠点には下位WSUS/DPやキャッシュ活用を検討。
- 混在環境ではクライアントのスキャンソースを意識(WSUSとWUfBの競合を避ける)。
失敗例と対策
- 膨張WSUS:製品/分類の広げすぎ。→ 年2回の棚卸で範囲縮小。
- 承認渋滞:人手承認の一本化。→ 自動承認とレポートで例外処理に集中。
- 同期失敗の放置:累積で“未検出”端末が増える。→ アラート化して早期復旧。
コメント