皆さま こんにちは。WSUS サポート チームです。
WSUS サーバーを長期的に運用していただいている管理者より、「レプリカ WSUS サーバーの同期がタイムアウトにて失敗する」 というお問い合わせをいただくことがあります。
レプリカとして構成されている WSUS サーバーは 自律の WSUS サーバーと異なり、承認情報は親 WSUS サーバーが保持しています。
親 WSUS サーバーで大量の「拒否済み」の更新プログラムがある状態で、レプリカの WSUS サーバーが同期を行うとタイムアウトが発生し、同期が失敗する可能性があることが判っています。
目安としましては、親 WSUS サーバーにて一度に約 1,000 件ほどの更新プログラムを手動で「拒否済み」に変更し、レプリカ WSUS サーバーで同期を行いますと、タイムアウト発生に至る場合があることを確認しております。同期の条件 (初回か2回目以降か等) や 性能面の条件 (データベースの状態、サーバー スペック、WSUS サーバーの全体的な負荷等) によっても変動いたします。
また、多数の「拒否済み」データをレプリカ同期において取り扱えないという点は、WSUS サーバーの設計上の問題として認識しております。
「拒否済み」 の更新プログラムが大量にあることでレプリカの WSUS サーバーで同期が失敗する主な要因
拒否済みの更新プログラムの件数が多くなりやすく、この事象が特に顕著に出やすいパターンは以下の 3 点です。
WSUS サーバーの構築後、長期間にわたりサーバー クリーンアップ ウィザードを実施していないこと。
定義更新ファイル (※) をクラスとして選択していること。
定義更新プログラムは、下記の弊社サイトにてご紹介しているとおり、1 日に複数回の頻度で古い更新プログラムを置き換える、新しい更新プログラムが公開されます。
置き換えられた古い更新プログラムは、期限切れ(配信停止の設定)となり、この更新プログラムの承認ステータスは、自動的に「拒否済み」 となります。(既定のオプション設定の場合に限ります。)
そのため、定義更新プログラムを同期対象としている場合には、拒否済みの更新プログラムが蓄積されやすい構成といえます。
なお、期限切れとなった更新プログラムは、サーバー クリーンアップ ウィザードで削除する事ができます。
(※)
<参考情報>
Title: Microsoft Defender ウイルス対策更新プログラムのソースを管理する
URL: https://docs.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/manage-protection-updates-microsoft-defender-antivirus?view=o365-worldwide
————— 一部抜粋 ———————-
セキュリティ インテリジェンス更新プログラムにはエンジンの更新プログラムが含まれており、月単位でリリースされます。 セキュリティ インテリジェンスの更新プログラムも 1 日に複数回配信されますが、このパッケージにはエンジンは含まれていません。
—————————————————-WSUS サーバー管理者様が配信不要と判断し、手動にて 「拒否済み」 にステータスを変更した更新プログラムが大量にあること。
レプリカの WSUS サーバーで同期エラーの対処方法
対処方法といたしましては、「拒否済み」の更新プログラムの件数を、減らす事となります。
拒否済みの更新プログラムの件数を削減する、3 点の方法をご紹介いたします。
【手順 A】サーバー クリーンアップ ウィザードにて、 「不要な更新および更新のリビジョン」 を実行します。
これによって、期限切れとなった結果、拒否済みのステータスとなっている更新プログラムを、WSUS データベースから削除する事ができます。
<注意点>
クリーンアップは 子 WSUS サーバー ⇒ 親 WSUS サーバーの順番に実行します。
Title: レプリカ構成では サーバー クリーンアップ ウィザード にご注意ください
URL: https://jpmem.github.io/blog/wsus/2012-06-07_01/
<補足事項>
WSUS サーバーを長期的に運用され、一度もサーバー クリーンアップ ウィザードを実施されていない場合には、クリーンアップがタイムアウトしてしまう可能性がございます。
インデックスの再構成を実行して、WSUS データベースをメンテナンスする事によって、タイムアウトを軽減する事が可能です。
手順は、以下の情報もご参照下さい。
Title: WSUS DB インデックスの再構成の手順について
URL: https://jpmem.github.io/blog/wsus/2014-03-05_01/
【手順 B】 手順 A. にて解消せず、また WSUS 管理者様が明示的 (手動作業) に、手動で「拒否済み」に設定した更新プログラムが多い場合には、手動で「拒否済み」のステータス設定した更新プログラムを「未承認」に戻します。更新プログラムのステータスを「未承認」に変更することで「拒否済み」の件数が減少し、同期の失敗は解消されることが期待されます。
【手順 C】手順 A. および 手順 B. を実施して現象が改善した後にも、直ぐに現象が再発する場合や、手順 B の実施が運用ポリシー上、難しい場合には、親 WSUS サーバーの再構築を検討します。
配信不要な「製品」および「クラス」を同期対象から削除して再構築して頂く事によって、不要なデータが蓄積されていないクリーンな状態で運用して頂け、その結果として、レプリカ同期失敗の事象発生を回避する事が可能です。