【2026年最新版】Windows 11 WSUSオフライン更新の承認同期失敗の対処法【完全ガイド】

公開日：2026/04/17　更新日：2026/04/17　

※本ページにはプロモーション(広告)が含まれています

【2026年最新版】Windows 11 WSUSオフライン更新の承認同期失敗の対処法【完全ガイド】

「WSUSサーバーを使っているのにオフライン環境のクライアントに更新が配信されない」「wsusutil importは成功しているのに承認ステータスが同期されない」「クライアントがWindows Updateを確認しても『最新の状態です』と表示されるが、実際には未適用の更新がある」——こうしたWSUS（Windows Server Update Services）のオフライン更新にまつわるトラブルは、Windows 11環境のIT管理者を悩ませる典型的な問題です。

特にインターネットに接続できないエアギャップ環境（物理的に隔離されたネットワーク）でWSUSを運用している場合、更新ファイルのインポートと承認ステータスの同期は別々の作業であり、ここに多くの落とし穴があります。

本記事では、WSUSオフライン更新において承認同期が失敗する根本原因と、確実に解決できる具体的な対処法をステップ形式で解説します。

この記事でわかること

WSUSオフライン更新における承認同期の仕組み
承認が同期されない5つの主な原因
wsusutilコマンドを使った正しいエクスポート・インポート手順
承認ステータスを強制同期させる方法
オフライン環境でのWSUS運用のベストプラクティス

WSUSオフライン更新の基本的な仕組み

WSUSのオフライン更新（エアギャップ更新とも呼ばれる）は、インターネットに接続された「インターネット接続WSUSサーバー」と、隔離環境にある「オフラインWSUSサーバー」の2台構成で行います。

オフライン更新の3ステップ

ステップ	作業内容	実施場所
Step 1：エクスポート	wsusutil export でメタデータ（承認情報含む）をエクスポート	インターネット接続WSUSサーバー
Step 2：転送	エクスポートファイル＋更新バイナリをUSBメモリ等で物理移送	物理メディア経由
Step 3：インポート	wsusutil import でメタデータを取り込み、承認同期を実行	オフラインWSUSサーバー

この3ステップのうち、問題が最も多いのはStep 3のインポート後の承認同期です。wsusutil importコマンドが正常に完了しても、クライアント側に承認情報が伝わらないケースが多く報告されています。

承認同期が失敗する5つの主な原因

原因1：wsusutil export時にlangage指定が不一致

エクスポート時に指定した言語と、オフラインWSUSサーバーの言語設定が一致していないと、インポートは成功するように見えても承認ステータスが正しく引き継がれません。Windows 11向けの更新では日本語（ja）と英語（en）が混在することがあり、この不一致が原因になります。

原因2：コンピューターグループの承認が含まれていない

wsusutil exportはデフォルトで「すべてのコンピューター」グループの承認情報のみをエクスポートします。特定のコンピューターグループ（例：「Windows 11 Pro端末」「経理部PC」など）に対して個別に承認を設定している場合、その承認情報がエクスポートに含まれず、インポート後に消えてしまいます。

原因3：WSUSデータベースのインデックス破損

Windows Server 2022以降のWSUSでは、Windows Internal Database（WID）またはSQL Serverのインデックスが破損していると、承認情報のインポートが途中で失敗します。エラーが表示されずに「成功」と表示されることがあるため、非常に気づきにくい問題です。

原因4：SSL証明書の期限切れ

WSUS管理コンソールとサーバー間の通信にSSL証明書を使用している環境では、証明書の期限切れが承認同期のエラーを引き起こすことがあります。特にオフライン環境では証明書の更新が遅れやすく、見落としがちな原因です。

原因5：Windows 11クライアントのWUAgent（Windows Update Agent）バージョン不一致

Windows 11 24H2以降のクライアントは新しいバージョンのWUAgentを使用しており、古いバージョンのWSUSサーバー（Windows Server 2016時代のもの）とプロトコルの互換性問題が発生する場合があります。この場合、サーバー側で承認が完了していても、クライアントが更新を認識しません。

対処法：承認同期を確実に成功させる手順

対処法1：正しいwsusutil export/importコマンドの実行（根本解決）

最も重要なのは、エクスポート・インポートのコマンドを正確に実行することです。

Step A：インターネット接続WSUSサーバーでエクスポート

管理者権限のコマンドプロンプトで以下を実行します。

cd C:\Program Files\Update Services\Tools
wsusutil.exe export export.xml.gz export.log

export.xml.gz が承認情報を含むメタデータファイルです。このファイルと更新バイナリ（WSUSContent フォルダ）を物理メディアでオフライン側に移送します。

Step B：オフラインWSUSサーバーでインポート

wsusutil.exe import export.xml.gz import.log

import.log を必ず確認してください。「ImportComplete」という文字列があれば正常完了です。エラーがある場合は後述の各対処法を参照してください。

Step C：承認を強制同期（重要）

インポート後、WSUS管理コンソールを開き、以下を実行します。

WSUS管理コンソールで対象のサーバーを右クリック
「同期」→「今すぐ同期」をクリック
同期完了後、「更新プログラム」→「すべての更新プログラム」で承認状態を確認
「承認済み」になっていれば成功

対処法2：コンピューターグループの承認を手動で再設定

コンピューターグループ固有の承認が消えた場合は、手動で再承認します。

手順

WSUS管理コンソールを開き、「更新プログラム」→「すべての更新プログラム」に移動
未承認の更新プログラムをすべて選択（Ctrl+Aで全選択）
右クリック→「承認」をクリック
ダイアログで対象のコンピューターグループを選択し、「インストールの承認」を選ぶ
「OK」をクリックして承認を完了

更新数が多い場合はPowerShellスクリプトで一括承認できます。

PowerShellによる一括承認スクリプト

[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration") | Out-Null
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer("localhost", $false, 8530)
$group = $wsus.GetComputerTargetGroups() | Where-Object { $_.Name -eq "TargetGroupName" }
$updates = $wsus.GetUpdates() | Where-Object { $_.ApprovalSummary.NotApproved -gt 0 }
foreach ($update in $updates) {
    $update.Approve([Microsoft.UpdateServices.Administration.UpdateApprovalAction]::Install, $group)
}

「TargetGroupName」の部分を実際のコンピューターグループ名に変更してください。

対処法3：WSUSデータベースのインデックス再構築

データベースのインデックス破損を修復します。

手順（Windows Internal Database使用環境）

管理者権限でSQLCMDをインストール（Microsoftの公式ページからダウンロード）
以下のコマンドでデータベースに接続する

sqlcmd -S \\.\pipe\Microsoft##WID\tsql\query -E -d SUSDB

接続後、以下のSQLを実行してインデックスを再構築します。

EXEC sp_msforeachtable 'ALTER INDEX ALL ON ? REBUILD'
GO

完了後、WSUSサービスを再起動してから再度インポートを試みます。

対処法4：SSL証明書の更新確認

手順

WSUSサーバーでIISマネージャーを開く
「サイト」→「WSUS Administration」→「バインド」をクリック
HTTPSバインドを選択し、SSL証明書の有効期限を確認
期限切れの場合は新しい証明書を発行・バインドし直す
WSUSサービスを再起動する

対処法5：WUAgentのバージョン確認と更新

手順

クライアントPCでPowerShellを管理者権限で開く
Get-WindowsUpdateLog を実行してWSUSとの通信ログを確認
ログで「Protocol version mismatch」エラーがある場合はWSUSサーバー側のアップデートが必要
WSUSサーバーでWindows Update経由またはMicrosoft Catalogから最新のWSUS更新プログラムをインストール

対処法の効果比較

対処法	難易度	解決率	所要時間
正しいexport/importコマンド実行	★★☆☆☆	約70%	30〜60分
グループ承認の手動再設定	★★★☆☆	約85%	1〜3時間
DBインデックス再構築	★★★★☆	約90%	2〜4時間
SSL証明書更新	★★★☆☆	（SSL環境のみ）	30分
WUAgentバージョン確認・更新	★★☆☆☆	約60%	1〜2時間

オフライン環境でのWSUS運用ベストプラクティス

エクスポート前に必ずWSUSコンソールの同期を完了させてから実行する
import.logは毎回保存して前回と比較できるようにする
月次定期作業としてDBインデックス再構築を組み込む（障害予防）
SSL証明書の有効期限をカレンダーに登録して事前に更新する（有効期限90日前が目安）
PowerShell一括承認スクリプトを定型化してミスを減らす
承認後はwuauclt /detectnowでクライアントに即時確認させる（Windows 11では UsoClient StartScan）

🛒

この記事に関連するおすすめ商品

USB 3.0対応高速USBメモリ 64GB（データ移送用）

約1,800円

読込200MB/s以上・エアギャップ環境のWSUSファイル移送に最適・耐衝撃設計

🛒 Amazonで探す

Windows Server 2022 解説書（WSUS管理・グループポリシー実践）

約4,500円

WSUS・グループポリシー・Active Directory 管理者向け実践ガイド

🛒 Amazonで探す

外付けSSD 1TB ポータブル（大容量WSUSコンテンツ移送用）

約9,800円

読込1,000MB/s・耐衝撃・WSUSContentフォルダのオフライン移送に対応

🛒 Amazonで探す

※ 価格は変動します。最新価格はリンク先でご確認ください

よくある質問（FAQ）

Q1. wsusutil importが「成功」と表示されるのに承認状態が変わりません

wsusutil importはメタデータのインポートが完了したことを示すだけで、承認情報が正しくDBに書き込まれたかは別問題です。対処法2のPowerShellスクリプトで承認状態をクエリし、未承認の更新があれば手動で再承認してください。また、WSUS管理コンソールで「今すぐ同期」を実行することも重要です。

Q2. エクスポートファイルが非常に大きく転送に時間がかかります

wsusutil exportのメタデータファイル（.xml.gz）は圧縮されているため通常は数百MB以下ですが、更新プログラムのバイナリファイル（WSUSContentフォルダ）は数十GBになることがあります。バイナリは差分のみを転送する「ロバスト・ファイルコピー（robocopy /mir /xo）」を使うと移送時間を大幅に短縮できます。

Q3. 承認したはずなのにクライアントに配信されません

承認後、クライアントがWSUSに問い合わせるタイミングまで待つ必要があります（デフォルトは22時間間隔）。即時確認させるには、クライアントのコマンドプロンプト（管理者権限）で UsoClient StartScan を実行してください。それでも反映されない場合はグループポリシーのWSUS設定を再確認してください。

Q4. WSUS管理コンソールが「接続できません」と表示されます

WSUSサービス（Update Services）が停止している可能性があります。services.mscでWindows Server Update Servicesが「実行中」になっているか確認してください。また、WSUSのアプリケーションプール（IISマネージャーで「WsusPool」）が停止している場合も同様の症状が出るため、こちらも確認してください。

Q5. 月次更新のたびに毎回同じ問題が発生します。自動化できますか？

はい、PowerShellスクリプトとタスクスケジューラを組み合わせて承認プロセスを自動化できます。インポート完了後に対処法2のPowerShellスクリプトを自動実行するバッチ処理を作成し、タスクスケジューラに登録することで、毎月の手動作業を最小化できます。

Q6. Windows 11 24H2向けの更新が特に同期されません

Windows 11 24H2はWindows Update for Businessの新しい配信スキームを採用しており、古いWSUSサーバー（Windows Server 2016ベース）ではサポートが不完全な場合があります。Windows Server 2022以降のWSUSサーバーへのアップグレード、またはWindows Server 2019以降へのWSUSロールの移行をご検討ください。