皆さま、こんにちは。
WSUS サポートチームです。
Windows XP や Windows Server 2003 環境において、Windows Update 実行時に Svchost.exe の CPU 使用率が 100 % となる、時間を大幅に要する というお問い合わせを多く頂いております。
本事象につきましては、現在恒久対策の確認を弊社にて行わせて頂いておりますが、ご案内までにしばらくお時間を要する見込みです。
恐れ入りますが、事象の詳細と、現在判明している暫定対処策を以下にご紹介させて頂きますので、恒久対処のご案内まで、こちらのご実施をご検討くださいますようお願いいたします。
(事象の詳細)
WSUS サーバーへの更新プログラムの検出実行時において、svchost.exe の CPU 使用率が 100% となる。
更新プログラムの検出処理自体は時間を要する場合があるものの、最終的には成功に至りインストールも正常に完了する。
(発生環境)
以下 2 点の条件を満たす環境で、本事象が発生する事を確認いたしております。
- Windows Server 2003 および Windows XP
- Single Core CPU、Hyper Threading なし等、マシン スペックが比較的不利である
(原因)
本事象は「Internet Explorer の累積的なセキュリティ更新プログラム」の検出処理に起因しており、下記の 4 点において特に顕著であることが確認されております。
KB2846071(7月公開分)
KB2862772(8月公開分)
KB2870699(9月公開分)
KB2879017(10月公開分)
(暫定対処策)
以下の 2 点を暫定対処策としてご検討くださいますようお願いいたします。
- 暫定対処策 (1)
「Internet Explorer の累積的なセキュリティ更新プログラム」を事前に単独で配信しインストール完了させる。
- 暫定対処策 (2)
承認状態とする「Internet Explorer の累積的なセキュリティ更新プログラム」を 1 点のみとし、その他 WSUS サーバー上に同期されているすべての「Internet Explorer の累積的なセキュリティ更新プログラム」については、すべて拒否済みに設定して頂く。
この場合、その他の更新プログラムを同時に承認して頂いても問題ありません。
※補足 1
現時点において最新の Internet Explorer の累積的なセキュリティ更新プログラムは、10 月公開分の KB2879017 となります。
最新の Internet Explorer の累積的なセキュリティ更新プログラムは過去に公開された Internet Explorer の累積的なセキュリティ更新プログラムの修正内容をすべて含んでおりますので、最新のもののみを承認して、古いものをすべて拒否済みに設定して頂いて問題ございません。
※補足 2
以下の手順にて「Internet Explorer の累積的なセキュリティ更新プログラム」をまとめて拒否済みに設定する事ができます。
(なお、同時に選択して拒否済みとする件数は、WSUS の負荷状況に応じて調整して下さい。)
1. WSUS 管理コンソールを起動し、[Update Services] – [<サーバー名>] – [更新] に移動します。
2. メニューバーから [操作] – [検索] の順に選択します。
3. 検索画面が表示されますので、Internet Explorer と入力して [検索] をクリックします。
4. 検索結果が表示されますので、拒否に設定する「Internet Explorer の累積的なセキュリティ更新プログラム」を Shift キーを押下しながら複数一括選択します。
5. 選択した当該更新プログラム上で右クリックし、[拒否] を選択します。
6. メッセージが表示されますので [はい] を選択します。
