22. 08. 2017 Alessandro Romboli Uncategorized

WSUS: Windows Computer aktualisieren

Upgrade_WSUS

Seit vielen Jahren ist WSUS (Windows Server Update Services, ex SUS, Software Update Services) die bevorzugte Komponente für das Aktualisieren von Windows Computern.

Das Produkt ist seit 2005 auf dem Markt und mit Windows Server 2008 R2 wurde es eine auf den Servern installierbare Rule.

WSUS ist eine Softwarekomponente des Microsoft Windows Server, die für Patches und Aktualisierungen zuständig ist. Außerdem ist WSUS in der Lage den Genehmigungszyklus und die Bereitstellung im lokalen Netzwerk zu steuern, hat aber keine Kontrolle darüber, wann und wie diese Updates auf den Bestimmungscomputern ausgeführt werden. Trotz dieser Limitierung, ist das kostenfreie und einfach zu bedienende WSUS die bevorzugte Wahl, besonders im direkten Vergleich mit dem System Center Configuration Manager (der Updates zentral Verwalten und auslösen könnte).

Welche Probleme bringt die Verwendung von WSUS

Bereits die erste WSUS Version benötigte ziemlich viel Plattenplatz um zu funktionieren, mindestens 100 GB. In der Zwischenzeit hat sich die Situation leider nicht verbessert, sondern noch weiter verschlechtert. Die Verschlechterung kommt vor Allem von der steigenden Anzahl an Microsoft Produkten die mit WSUS verwaltet werden und der hohen Frequenz neuer Releases. Besonders der Sicherheitsaspekt steht hier im Vordergrund.

Im Monitoring ist ein stetiger Anstieg des von WSUS verwendeten Plattenspeicher zu erkennen:

WSUS1

Der Plattenplatz ist voll mit Aktualisierungen die (manuell oder automatisch) von der WSUS Konsole genehmigt werden.

Leider gibt es noch ein weiteres Problem: WSUS antwortet über die Zeit immer langsamer, bis schlussendlich (auch innerhalb von nur wenigen Monaten) die Konsole überhaupt nicht mehr antwortet, und schlimmer noch, die Clients nicht mehr in der Lage sind die zu installierenden Aktualisierungen herunterzuladen.

Dieses Phänomen kommt von einer nicht optimalen Nutzung der Datenbank beim Speichern der Informationen.

Seit den letzten Versionen von WSUS verwendet die Datenbank standardmäßig die WID (Windows Internal Database). In C:\Windows\WID\Data ist die WSUS Datenbank zu finden. (Interessanterweise hat die Datenbank hier noch den alten Produktnamen, SUSDB.)

WSUS2

Es ist besonders wichtig die Größe der SUSDB zu kontrollieren, denn ist diese über 7-8 GB, beginnen bereits die ersten Probleme.

Gründe für schnelles Wachsen der Datenbank

Es gibt drei wesentliche Ursachen die das Wachsen der SUSDB herbeiführen:

  • Die Tabelle tbEventInstance die System Events sammelt
  • Das Versäumen der Auslassung von Aktualisierungen welche von anderen, neueren überholt (superseeded) wurden und jenen der Itanium Prozessoren
  • Unregelmäßiges “Säubern” von WSUS

Wenn sie nicht regelmäßig aufgeräumt wird, kann die Tabelle tbEventInstance sehr viele Zeilen beinhalten. Hier sehen wir ein übliches Beispiel mit mehreren Tausend Einträgen:

WSUS3

Ein wichtiger zu berücksichtigender Faktor ist das Ignorieren der Updates welche von anderen, neueren überholt wurden und jenen der Itanium Prozessoren (außer Sie haben Itanium Technologie im Haus). Leider bietet WSUS hierfür keine einfache Lösung, daher bleibt uns nichts anderes übrig als auf ein Powershell Skript zurückzugreifen.

Erst nachdem diese unnützen Updates ausdrücklich deaktiviert wurden, wird der Platz auf der Datenbank und vor allem der Plattenplatz frei.

WSUS kann über die Konsole, über den Server Cleanup Wizard oder ein Powershell Skript aufgeräumt werden:

WSUS4

Effizienten WSUS

Für einen effizienten WSUS ist es also wichtig:

  • Das Wachsen des Plattenplatzes und der SUSDB zu überwachen.
  • Powershell Skripts zu verwenden, um die Überholten Updates auszulassen.
  • Powershell Skripts für das Säubern des WSUS zu verwenden, inklusive Komprimierung der SUSDB und Befreiung des von den Aktualisierungen blockierten Plattenplatzes.

Nur so ist es möglich den von WSUS benötigten Plattenplatz unter 100 GB und die Datenbank unter 5 GB zu halten.

Alessandro Romboli

Alessandro Romboli

System Integration Consultant at Würth Phoenix
My name is Alessandro and I joined Würth-Phoenix early in 2013. I have over 20 years of experience in the IT sector: For a long time I've worked for a big Italian bank in a very complex environment, managing the software provisioning for all the branch offices. Then I've worked as a system administrator for an international IT provider supporting several big companies in their infrastructures, providing high availability solutions and disaster recovery implementations. I've joined the VMware virtual infrastructure in early stage, since version 2: it was one of the first productive Server Farms in Italy. I always like to study and compare different technologies: I work with Linux, MAC OSX, Windows and VMWare. Since I joined Würth Phoenix, I could also expand my experience on Firewalls, Storage Area Networks, Local Area Networks, designing and implementing complete solutions for our customers. Primarily, I'm a system administrator and solution designer, certified as VMware VCP6 DCV, Microsoft MCP for Windows Server, Hyper-V and System Center Virtual Machine Manager, SQL Server, SharePoint. Besides computers, I also like photography, sport and trekking in the mountains.

Author

Alessandro Romboli

My name is Alessandro and I joined Würth-Phoenix early in 2013. I have over 20 years of experience in the IT sector: For a long time I've worked for a big Italian bank in a very complex environment, managing the software provisioning for all the branch offices. Then I've worked as a system administrator for an international IT provider supporting several big companies in their infrastructures, providing high availability solutions and disaster recovery implementations. I've joined the VMware virtual infrastructure in early stage, since version 2: it was one of the first productive Server Farms in Italy. I always like to study and compare different technologies: I work with Linux, MAC OSX, Windows and VMWare. Since I joined Würth Phoenix, I could also expand my experience on Firewalls, Storage Area Networks, Local Area Networks, designing and implementing complete solutions for our customers. Primarily, I'm a system administrator and solution designer, certified as VMware VCP6 DCV, Microsoft MCP for Windows Server, Hyper-V and System Center Virtual Machine Manager, SQL Server, SharePoint. Besides computers, I also like photography, sport and trekking in the mountains.

Leave a Reply

Your email address will not be published. Required fields are marked *

Archive