WSUS-Bereinigung bricht ab: Timeout für Datenbank und IIS erhöhen

Nutzt man stattdessen PowerShell für die Bereinigung, dann erscheint in dieser Situation folgende Meldung:

Invoke-WsusServerCleanup: Das Ausführungstimeout ist abgelaufen. Der Timeoutzeitraum wurde überschritten, bevor der Vorgang beendet wurde, oder der Server antwortet nicht.

Diskussionen zu diesem Problem finden sich in zahlreichen Foren. Sie laufen wie diverse Blog-Beiträge letztlich auf eine Handvoll Tipps hinaus, die Abhilfe schaffen können.

Aufgaben zur Bereinigung getrennt ausführen

Zuerst ist es einen Versuch wert, nicht alle Aufgaben für die Bereinigung auf einmal laufen zu lassen, sondern diese einzeln zu starten.

In PowerShell ruft man dazu Invoke-WsusServerCleanup immer nur mit einem einzelnen Parameter auf, und zwar einem aus

• CleanupObsoleteComputers
• CleanupObsoleteUpdates
• CleanupUnneededContentFiles
• DeclineExpiredUpdates
• DeclineSupersededUpdates

In den meisten Fällen bricht der Vorgang dann bei Cleanup­Obsolete­Updates trotzdem ab.

Timeout für Datenbank erhöhen

Die meisten WSUS-Installationen nutzen die interne Windows-Datenbank (WID). In diesem Fall sollte man ohnehin regelmäßig das Wartungs-Script für susdb ausführen. Falls das länger nicht passiert ist, dann empfiehlt sich, das jetzt tun (siehe Anleitung).

In der Regel wird auch das nicht zur erfolgreichen WSUS-Bereinigung verhelfen. Daher sollte man im nächsten Schritt den Timeout für die Datenbank heraufsetzen. Der Vorgabewert liegt bei 600 Sekunden. Wenn man hier den Wert 0 nimmt, dann entfernt man das Zeitlimit komplett.

Dafür führt man mit Hilfe von sqlcmd.exe das folgende T-SQL-Script aus, das man in einer Datei namens timeout.sql speichern könnte:

USE SUSDB; GO EXEC sp_configure 'remote query timeout', 0 ; GO RECONFIGURE ; GO

Ein Aufruf dafür würde so aussehen:

"C:\Program Files\Microsoft SQL Server\Client SDK\ODBC\110\Tools\Binn\sqlcmd.exe"  -I -S np:\\.\pipe\MICROSOFT##WID\tsql\query -i timeout.sql

Die hier gezeigte Variante für die Kommandozeile hat den Vorteil, dass sie auch unter Server Core läuft.

Index für susdb erzeugen

Eine weitere von Microsoft empfohlene Maßnahme besteht im Anlegen eines Custom Index, um die Datenbankoperationen zu beschleunigen. Zu diesem Zweck speichert man folgendes Script in einer Datei:

USE [SUSDB] CREATE NONCLUSTERED INDEX [nclLocalizedPropertyID] ON [dbo].[tbLocalizedPropertyForRevision] ( [LocalizedPropertyID] ASC )WITH (PAD_INDEX = OFF, STATISTICS_NORECOMPUTE = OFF, SORT_IN_TEMPDB = OFF, DROP_EXISTING = OFF, ONLINE = OFF, ALLOW_ROW_LOCKS = ON, ALLOW_PAGE_LOCKS = ON) ON [PRIMARY] CREATE NONCLUSTERED INDEX [nclSupercededUpdateID] ON [dbo].[tbRevisionSupersedesUpdate] ( [SupersededUpdateID] ASC )WITH (PAD_INDEX = OFF, STATISTICS_NORECOMPUTE = OFF, SORT_IN_TEMPDB = OFF, DROP_EXISTING = OFF, ONLINE = OFF, ALLOW_ROW_LOCKS = ON, ALLOW_PAGE_LOCKS = ON) ON [PRIMARY]

Dieses führt man nach dem gleichen Muster aus wie das obige zur Erhöhung des Timeouts:

"C:\Program Files\Microsoft SQL Server\Client SDK\ODBC\110\Tools\Binn\sqlcmd.exe"  -I -S np:\\.\pipe\MICROSOFT##WID\tsql\query -i .\CreateCustomIndex.sql

Falls der Index bereits existiert, gibt das Script einen Fehler aus.

Timeout für IIS-AppPool erhöhen

Eine weitere Maßnahme besteht in der Anpassung der IIS-Konfiguration. Auch hier besteht die Möglichkeit, den Timeout hinaufzusetzen bzw. mit dem Wert 0 ganz zu beseitigen. Dies lässt sich über den grafischen IIS-Manager erledigen, aber das folgende Vorgehen mittels PowerShell klappt auch unter Server Core.

Zuerst muss man sicherstellen, dass auf dem WSUS-Server das PowerShell-Modul für die IIS geladen ist. Dies kann man mittels

Get-Module WebAdministration

abfragen. Falls es nicht vorhanden ist, installiert man es mit

Add-WindowsFeature Web-Scripting-Tools

und importiert es mit

Import-Module WebAdministration

In der Folge steht der PSDrive IIS:\ zur Verfügung. Über diesen kann man die aktuelle Einstellung für den Timeout des WSUS-AppPools ermitteln:

Get-ChildItem IIS:\AppPools | ? name -eq "WsusPool" |
select name, @{Name="Timeout"; Exp={$_.processmodel.idletimeout}}

Diesen erhöht man nun auf den gewünschten Wert oder setzt ihn auf 0, um ihn außer Kraft zu setzen:

Set-ItemProperty IIS:\AppPools\WsusPool `
-Name processModel.idleTimeout -Value "00:00:00"

Private Memory Limit aufheben

Microsoft empfiehlt zudem als Best Practice, das Private Memory Limit für den WSUS-AppPool ebenfalls auf 0 und damit außer Kraft zu setzen. Den aktuellen Wert kann man so erfragen:

Get-ChildItem IIS:\AppPools | ? name -eq "WsusPool" | select name, @{Name="Memory"; Exp={$_.recycling.periodicrestart.privateMemory}}

Wenn notwendig, ändert man den Wert über diesen Befehl auf 0:

Set-ItemProperty IIS:\AppPools\WsusPool -Name recycling.periodicrestart.privateMemory -Value 0

Zusammenfassung

Wenn man die regelmäßige WSUS-Bereinigung und die Datenbankwartung vernachlässigt, dann scheitert ab einem gewissen Zeitpunkt das Löschen nicht mehr benötigter Updates. Dieses Problem ist weit verbreitet und oft ziemlich hartnäckig.

Die Beseitigung des Timeouts für die Datenbank und den IIS-AppPool für WSUS sowie die Erhöhung des Limits für dessen Private Memory sind Maßnahmen, die oft zu einer erfolgreichen Bereinigung von WSUS verhelfen.