Windows XP や Windows Server 2003 環境において、Windows Update 実行時に Svchost.exe の CPU 使用率が 100 % となる、時間を大幅に要する

12/11/2013 更新
~~~~~~~~~
本事象が、12 月公開分の IE の累積更新プログラム(KB2898785)の検出時においても発生するとの報告がございました。
なお、KB2898785 をインストール完了して頂く事によって事象が改善する事も確認されております。(※こちらは暫定対処策 1 に該当します。)
この事象につきましては、情報に更新があり次第、随時当該ブログでご案内させて頂きます。
~~~~~~~~~
11/27/2013 更新

~~~~~~~~
本日、本事象への恒久対処策として、数年前に公開させて頂いた古い「Internet Explorer の累積的なセキュリティ更新プログラム」を期限切れ(公開停止)とする対処を実施させて頂きました。
暫定対処策を実施されていない WSUS 環境におきましても、これによって置き換え関係を参照する対象が少なくなり、その結果として、IE の累積更新プログラムを検出する際の高負荷の状況が緩和される事が考えられます。
なお、期限切れの情報は、WSUS サーバーを Microsoft Update サイトと同期して頂ければ、着信可能です。

また、以下の WSUS のオプションを既定のままオンで運用されている場合には、期限切れの着信に伴って期限切れとなった古い IE の累積更新プログラムが、自動的に拒否済みに設定される動作となります。
そのため、管理者様が恒久対処策の反映のために追加で作業を実施する必要はございません。

--------
WSUS サーバーの [自動承認] オプションの [詳細] タブの設定

- [承認済み更新プログラムの新しいリビジョンを自動的に承認する] がオン
- [新しいリビジョンにより期限切れとなった更新プログラムを自動的に拒否する] がオン
--------

しかしながら、オフで運用されている場合には、期限切れが着信した後にも IE の累積更新プログラムは自動的に拒否済みとなりません。
管理者様が手作業で期限切れとなった IE の累積更新プログラムを拒否済みに設定して頂く必要がございますので、ご注意くださいますようお願いいたします。
~~~~~~~~

11/22/2013 更新
~~~~~~~~
本事象は、11 月公開分の「Internet Explorer の累積的なセキュリティ更新プログラム」でも同様に発生する事を確認しております。
恒久対策につきましては、現在、検討中の段階でございますので、ご不便をおかけいたしておりますが、暫定対処策の実施をご検討賜りますようお願い申し上げます。
~~~~~~~~
11/20/2013 更新
~~~~~~~~~~

暫定対処策 (2) に、「※補足 3」 を追記いたしました。
~~~~~~~~~~

皆さま、こんにちは。
WSUS サポートチームです。

Windows XP や Windows Server 2003 環境において、Windows Update 実行時に Svchost.exe の CPU 使用率が 100 % となる、時間を大幅に要する というお問い合わせを多く頂いております。

本事象につきましては、現在恒久対策の確認を弊社にて行わせて頂いておりますが、ご案内までにしばらくお時間を要する見込みです。
恐れ入りますが、事象の詳細と、現在判明している暫定対処策を以下にご紹介させて頂きますので、恒久対処のご案内まで、こちらのご実施をご検討くださいますようお願いいたします。

(事象の詳細)
WSUS サーバーへの更新プログラムの検出実行時において、svchost.exe の CPU 使用率が 100% となる。
更新プログラムの検出処理自体は時間を要する場合があるものの、最終的には成功に至りインストールも正常に完了する。

(発生環境)
以下 2 点の条件を満たす環境で、本事象が発生する事を確認いたしております。

- Windows Server 2003 および Windows XP
- Single Core CPU、Hyper Threading なし等、マシン スペックが比較的不利である

(原因)
本事象は「Internet Explorer の累積的なセキュリティ更新プログラム」の検出処理に起因しており、下記の 4 点において特に顕著であることが確認されております。

KB2846071(7月公開分)
KB2862772(8月公開分)
KB2870699(9月公開分)
KB2879017(10月公開分)

(暫定対処策)
以下の 2 点を暫定対処策としてご検討くださいますようお願いいたします。

- 暫定対処策 (1)

「Internet Explorer の累積的なセキュリティ更新プログラム」を事前に単独で配信しインストール完了させる。

最新の "Internet Explorer の累積的なセキュリティ更新プログラム" は、以下のサイトよりダウンロードして頂けます。
(現在最新である 11 月公開分は、KB2888505 で検索してダウンロードして頂けます。)
(※12/11/2013 追加:現在最新である 12 月公開分は KB2898785 で検索してダウンロードして頂けます。)

Microsoft Update カタログ
http://catalog.update.microsoft.com/v7/site/home.aspx

- 暫定対処策 (2)

承認状態とする「Internet Explorer の累積的なセキュリティ更新プログラム」を 1 点のみとし、その他 WSUS サーバー上に同期されているすべての「Internet Explorer の累積的なセキュリティ更新プログラム」については、すべて拒否済みに設定して頂く。
この場合、その他の更新プログラムを同時に承認して頂いても問題ありません。

※補足 1
現時点において最新の Internet Explorer の累積的なセキュリティ更新プログラムは、11 月公開分の KB2888505 となります。
現時点において最新の Internet Explorer の累積的なセキュリティ更新プログラムは、12 月公開分の KB2898785 となります。
最新の Internet Explorer の累積的なセキュリティ更新プログラムは過去に公開された Internet Explorer の累積的なセキュリティ更新プログラムの修正内容をすべて含んでおりますので、最新のもののみを承認して、古いものをすべて拒否済みに設定して頂いて問題ございません。

※補足 2
以下の手順にて「Internet Explorer の累積的なセキュリティ更新プログラム」をまとめて拒否済みに設定する事ができます。
(なお、同時に選択して拒否済みとする件数は、WSUS の負荷状況に応じて調整して下さい。)

1. WSUS 管理コンソールを起動し、[Update Services] – [<サーバー名>] – [更新] に移動します。
2. メニューバーから [操作] – [検索] の順に選択します。
3. 検索画面が表示されますので、Internet Explorer と入力して [検索] をクリックします。
4. 検索結果が表示されますので、拒否に設定する「Internet Explorer の累積的なセキュリティ更新プログラム」を Shift キーを押下しながら複数一括選択します。
5. 選択した当該更新プログラム上で右クリックし、[拒否] を選択します。
6. メッセージが表示されますので [はい] を選択します。

 

※補足 3
古い Internet Explorer の累積的なセキュリティ更新プログラムをすべて拒否済みに設定して頂いた後にも事象改善に至らない場合には、累積的なセキュリティ更新プログラム "以外" の更新プログラムにつきましても、追加で拒否済みに設定可能な更新プログラムがございます。
拒否済みに設定可能な更新プログラムの一覧につきましては、以下の手順で確認して頂く事が可能です。
一覧の中に、拒否に設定していない更新プログラムがある場合には、すべて拒否済みに設定し、事象が改善するかを確認して下さい。

1. Microsoft Update カタログ サイトに接続します。

Microsoft Update カタログ
http://catalog.update.microsoft.com/v7/site/home.aspx

2. 画面右に表示されているテキストボックスに、置き換え関係を調べる対象とする "Internet Explorer の累積的なセキュリティ更新プログラム" の KB 番号を入力して、[検索] をクリックします。
(10 月分を対象とする場合には、KB2879017 と入力します。)

3. 表示された更新プログラムの一覧から、問題が発生している クライアントの OS  と IE のバージョンに対応するものを見つけてクリックします。
4. 追加で表示された画面から、[パッケージの詳細] タブを表示します。

[この更新プログラムは、次の更新プログラムを置き換えます] に表示されている更新プログラムが、
検索した累積的な更新プログラムが置き換えている更新プログラムとなります。
こちらが、WSUS サーバー上で拒否済みの設定対象となります。