WSUS Automated Maintenance im Test: Updates ablehnen und entfernen, Datenbank und IIS optimieren

Diese bestehen nicht nur in einer unflexiblen und umständlichen Verwaltung der Verteiler­ringe, der fehlenden Suchfunktion oder den limitierten Reporting-Fähigkeiten. Das größte Problem für Admins sind die laufend nötigen Wartungs­arbeiten, die sich kaum automatisieren lassen.

Wenn man diese vernachlässigt, dann verursacht ein WSUS-Server früher oder später Probleme. Dazu zählen etwa enormer Verbrauch von Speicherplatz und extrem eingeschränkte Performance mit ständigen Verbindungs­abbrüchen der Konsole.

Bordmittel und Behelfslösungen für die Wartung

Zu den Bordmitteln von WSUS gehört der Wizard for Sserver Cleanup, welcher nicht mehr benötigte Updates oder inaktive Clients entfernen soll. Diesen muss man jedoch regelmäßig von Hand starten und er ist schnell überfordert, wenn seit der letzten Ausführung viele Updates aufgelaufen sind. Er bricht seine Tätigkeit dann ab.

Für andere Aufgaben, wie das Reindexieren der Datenbank, kann man sich ein SQL-Script von GitHub herunterladen und dieses über eine geplante Aufgabe regelmäßig ausführen. Um ein Backup der Datenbank darf man sich dann extra kümmern.

WAM mit vordefinierten Wartungsroutinen

Diese und viele weitere Aufgaben der WSUS-Wartung kann AJ Tek dem Admin mit seinem WSUS Automated Maintenance (WAM) abnehmen. Eine regelmäßig ausgeführte Task räumt den WSUS-Server auf und hält ihn in einem funktions­tüchtigen Zustand, wobei der Admin kaum noch eingreifen muss.

Nach seiner Ausführung, egal ob zeitgesteuert oder manuell von der Kommandozeile, generiert das Tool auf Wunsch einen Report im HTML- oder Textformat über die erzielten Ergebnisse. Diesen kann man einfach speichern oder sich via Mail zuschicken lassen.

WAM enthält insgesamt 14 Routinen für Wartungs­aufgaben (der Hersteller bezeichnet sie als Streams), die in verschiedenen Intervallen ausgeführt werden. Sie sind in der ausführlichen Dokumentation genau beschrieben. Hinzu kommen mehrere Utilities, die der Admin bei Bedarf nutzen kann (etwa zur Konfiguration des Application Pool Memory oder von IIS-Einstellungen).

Manche Streams sollen täglich laufen, andere aber nur wöchentlich, monatlich oder gar nur einmal im Quartal. Die Vorgaben von WAM sind hier plausibel und dürften für die meisten Umgebungen passen. Bei Bedarf lässt sich die Frequenz für jeden Stream individuell einstellen.

WSUS-Optimierung zum Auftakt

Am Ende der Installation bietet die Software an, die Routine FirstRun auszuführen. Diese startet Aktionen, die man in der Regel nur einmal ausführen muss. Dazu zählen das Einrichten der geplanten Aufgabe für WAM sowie die Optimierung der Datenbank, indem das Tool SQL Indexes zu SUSDB hinzufügt. AJ Tek zufolge führt dies zu einer erheblichen Verbesserung der WSUS-Performance.

Microsoft sieht diese Maßnahme nur vor, wenn man in SCCM oder Endpoint Manager die entsprechende Option aktiviert, bietet sie aber für WSUS alleine aus unerfindlichen Gründen jedoch nicht an. Nutzt man WAM, dann sollte man diese Einstellung in SCCM nicht konfigurieren.

Außerdem führt FirstRun einige Aufgaben aus, die nachher nur einmal im Monat oder pro Quartal laufen. Dazu zählen etwa ein Backup der Datenbank, das Kürzen der IIS-Logs oder das Löschen von Treibern.

Einer der Streams mit der Bezeichnung Server­Cleanup­Wizard führt das PowerShell-Äquivalent zum erwähnten Assistenten für die WSUS-Bereinigung aus, per Vorgabe mit FirstRun und dann jeden Tag. Diese Variante vermeidet den häufigen Timeout, der zum Abbruch der Routine führt, wenn man sie aus der WSUS-Konsole startet.

Im Gegensatz zum WSUS-eigenen Assistenten kann man bei WAM zudem die Zahl der Tage festlegen, nach denen inaktive Clients entfernt werden.

Entfernung unnötiger Updates

Die wohl wichtigste wieder­kehrende Aufgabe eines solchen Tools besteht darin, die Unmengen an nicht benötigten, veralteten oder ersetzten Updates abzuräumen. Die Bordmittel sind hier nur von beschränktem Nutzen, vor allem um Updates von Produkten los zu werden, die man eine Zeitlang bezogen und dann abgewählt hat.

Unnötige Speicherfresser sind besonders Updates, die zwar zu den gewählten Produkten gehören, aber für Plattformen gedacht sind, die kaum jemand nutzt. Das gilt etwa für Itanium, ARM64 oder zunehmend auch für 32-Bit-Versionen von Windows.

Bei Windows 10 kommt hinzu, dass man Updates für Releases nicht mehr braucht, deren Support Microsoft bereits eingestellt hat oder die man im Unternehmen nicht mehr nutzt.

WSUS selbst sieht keine Möglichkeit vor, bestimmte Updates für ein Produkt gezielt zu entfernen. Dafür müsste man sich wieder mit Scripts aus dem Internet behelfen, um WSUS-Plattenplatz zurückzugewinnen.

Während man dort die Zeichenketten zum Filtern bestimmter Versionen erst selbst zusammen­stellen muss, kann man in WAM komfortabel über die GUI auswählen, welche Updates für ein abonniertes Produkt nicht erwünscht sind.

Das betrifft nicht nur Windows, sondern etwa auch Edge, wo man ungefragt den Dev- und Beta-Channel dazubekommt. Auch Office-Updates lassen sich abhängig von der Architektur entfernen.

Ersetzte Updates löschen

Ein großes Potenzial zur Rück­gewinnung von Speicherplatz stellen Superceded Updates dar, also solche, die durch neuere vollständig ersetzt werden. Der WSUS-Assistent räumt diese erst ab, nachdem man das aktuellste Update genehmigt und die ersetzten nicht freigegeben hat.

Außerdem müssen 30 Tage vergangen sein, seit die vorigen Updates zuletzt von einem Client angefordert wurden. WAM beseitigt diese Updates schon, sobald der Admin die neueste Version für die Installation genehmigt.

Installation

Bevor man WAM auf einem WSUS-Server einrichten kann, müssen mehrere Voraus­setzungen erfüllt sein. Dazu gehören Windows Server ab 2008 R2, PowerShell 4, der ODBC-Treiber und die Command Line Utilities für SQL Server. Die Website des Herstellers schlüsselt die Anforderungen nach OS-Version auf und verlinkt auf die Download-Quellen bei Microsoft. Das SQL Server PowerShell-Modul installiert das WAM-Setup selbst.

Das Konto, unter dem man das Setup ausführt, sollte administrative Rechte auf dem WSUS-Server haben, in seinem Kontext läuft nachher auch die geplante Aufgabe. AJ Tek empfiehlt die Verwendung eines Service Accounts.

Das Setup lässt sich auch unbeaufsichtigt ausführen, in der Regel wird man aber die interaktive Methode über die GUI bevorzugen. Diese lässt sich auch unter Server Core nutzen. Der Wizard bietet die Wahl zwischen Standard- und erweiterter Installation an. Erste dürfte für die meisten Umgebungen passen.

Beim Dialog zur Konfiguration des Mail-Versands sind die Parameter für outlook.com sowie GMail schon vorgegeben. Wenn man für diese Dienste eine Multifaktor-Authentifizierung aktiviert hat, dann benötigt man anstatt des regulären ein App-Passwort.

Nachdem man dieses für das jeweilige Konto erzeugt hat, sollte man einige Zeit warten, bis es vom Mail-Service akzeptiert wird. Andernfalls kassiert man den Fehler

5.7.57 Client not authenticated to send mail

Wenn man das Setup erneut startet, nachdem man WAM bereits installiert hat, dann wechselt es automatisch in den erweiterten Modus, wo man alle Einstellungen im Detail konfigurieren kann. Nach dessen Abschluss sollte man aufpassen, dass man nicht versehentlich erneut FirstRun startet, das im letzten Dialog standardmäßig aktiviert ist.

Wenn man die Konfiguration nach der Installation anpassen möchte, dann findet sich ein entsprechender Link zur Configuration.ps1 im Startmenü. Falls man Server Core für WSUS verwendet, dann muss man sie unter "%ProgramData%\AJ Tek\WAM" von Hand öffnen. In der nächsten Version soll es dann möglich sein, das Setup nochmals im Advanced Mode zu durchlaufen, um die Einstellungen zu ändern.

Fazit

WAM rüstet alle erforderlichen Routinen zur Automatisierung der WSUS-Wartung nach, die eigentlich Microsoft schon längst in das Produkt hätte integrieren müssen. Da WSUS aber schon bei den letzten Updates keine neuen Funktionen erhielt, dürften alle bekannten Mängel auch in Server 2022 erhalten bleiben.

Wenn die System­voraussetzungen gegeben sind, fällt die Installation von WAM sehr einfach. Die nachträgliche Anpassung der Einstellungen lässt sich über das Bearbeiten der gut dokumentierten Konfigurations­datei erledigen. Reports per E-Mail informieren regelmäßig über die ausgeführten Wartungs­aufgaben.

Angesichts der Zeit, die Admins mit der WSUS-Wartung verschwenden können, sind die 60 Dollar für WAM pro Jahr und Server gut angelegt. Die jährliche Gebühr für Downstream-Server kostet 30 Dollar.