WSUS-Server bereinigen mittels GUI-Assistenten oder PowerShell

Zur Aufblähung des Daten­volumens trägt zudem die Eigenart der Windows Server Update Services bei, auch jene Updates herunterzuladen, die durch neuere Updates ersetzt wurden ("Superseded Updates").

Schließlich kann auch der Admin durch ungeschickte Maßnahmen dazu beitragen. Neben einer zu großzügigen Freigabe von Updates zählt dazu auch die Aktivierung der Express-Option ("Schnell­installations­dateien") oder der Download von noch nicht genehmigten Updates.

Kommen einige der genannten Aspekte zusammen, dann über­schreitet der Platz­verbrauch für herunter­geladene Updates ohne Weiteres 100 GB.

Wenn für die lokale Speicherung von Update-Dateien generell der Platz knapp ist, dann kann man ganz darauf verzichten, diese auf den WSUS-Server herunterzuladen. In diesem Fall würde man zwar noch die Updates über WSUS genehmigen, die Clients beziehen diese aber dann direkt über Microsoft Update.

Die dafür zuständige Einstellung findet sich ebenfalls unter Optionen => Updatedateien und Sprachen.

Vorüberlegungen

Bevor man sich ans Aufräumen macht, sollte man sich dafür ein paar Regeln in Erinnerung rufen.

• Die Bereinigung sollte nicht zu einer Zeit erfolgen, zu der WSUS die Updates synchronisiert. Hat man eine zeit­gesteuerte Synchronisierung konfiguriert, dann liegt es nahe, ausreichend Abstand zum nächsten Sync-Lauf zu halten. Das ist auch zu beachten, wenn man zu diesem Zweck ein Script über die Aufgaben­planung startet. Ein Cleanup kann manchmal sehr lange dauern.
• Betreibt man mehrere WSUS-Server in einer Hub-and-Spoke-Topologie, dann müssen zuerst die Downstream-Server bereinigt werden. Man beginnt in der Hierarchie der vernetzten WSUS-Server also ganz unten und arbeitet sich dann zu den Instanzen hoch, von denen die zuvor bereinigten Server ihre Updates beziehen.
• Unabhängig davon, ob man die GUI oder ein Script einsetzt, sollte man bei einer ersten Bereinigung nach einer langen Pause nicht alle Mecha­nismen gleichzeitig ausführen, weil es dann leicht zu einem Time-out des Prozesses kommen kann. Ein solches Vorgehen hilft auch, um eine lange Laufzeit und somit eine Kollision mit der Synchro­nisierung zu vermeiden.

Zur Auswahl steht die Bereinigung folgender Ressourcen:

• Nicht verwendete Updates und Updaterevisionen: Trifft auf Updates zu, die seit mindestens 30 Tagen nicht genehmigt wurden.
• Computer, die keine Verbindung mit dem Server herstellen: Auch hier gilt die 30-Tage-Frist, um inaktive Computer zu identifizieren.
• Nicht erforderliche Updatedateien: Dabei handelt es sich um Dateien, die weder von Clients noch von abhängigen WSUS-Servern angefordert wurden. Davon können auch Dateien betroffen sein, die man selbst aus dem Update-Katalog importiert hat, etwa das Update auf IE11.
• Abgelaufene Updates: Updates, die von Microsoft als abgelaufen markiert und vom Admin nicht genehmigt wurden, erhalten den Status abgelehnt.
• Ersetzte Updates: Updates, die seit mehr als 30 Tage nicht genehmigt und durch neuere, bereits genehmigte Updates ersetzt wurden, wechseln auf den Status abgelehnt.

Will man die Bereinigung aus den oben genannten Gründen in mehreren Schritten erledigen, dann könnte man mit dem Entfernen inaktiver Computer beginnen. In einem zweiten Durchlauf würde man dann abgelaufene und ersetzte Updates auf den Status Abgelehnt zurücksetzen, um sie für das spätere Entfernen vorzubereiten.

Schließlich kann man sich noch die nicht verwendeten Updates und die nicht erforderlichen Update-Dateien vornehmen.

Wenn die Ergebnisse des Aufräumens weit hinter den Erwartungen bleiben, dann kann dies daran liegen, dass zahl­reiche Updates durch ein automatisches Genehmigen für die Installation freigegeben sind. In diesem Fall liegt es nahe, die nicht benötigten Updates erst abzulehnen.

WSUS mit PowerShell bereinigen

In der Vergangenheit grassierten mehrere Scripts, um WSUS aufzuräumen, und sie finden sich im Web noch in vielen Anleitungen. Viele davon riefen dazu .NET-Assemblies auf. Dies ist nicht mehr erforderlich, weil seit Windows Server 2012 ein eigenes Cmdlet für diese Aufgabe namens Invoke-WsusServerCleanup existiert.

Es unterstützt mehrere Parameter, die den jeweiligen Optionen im Wizard des WSUS-Managers entsprechen. Sie lauten

• CleanupObsoleteComputers
• CleanupObsoleteUpdates
• CleanupUnneededContentFiles
• DeclineExpiredUpdates
• DeclineSupersededUpdates

Hinzu kommt noch CompressUpdates, das überflüssige Update-Revisionen aus der Datenbank entfernt. Den Namen des WSUS-Servers übergibt man nicht als String, sondern ermittelt diesen erst mit Hilfe von Get-WsusServer:

$WSUS = Get-WsusServer -Name ws2016-wsus -PortNumber 8530

Invoke-WsusServerCleanup -UpdateServer $WSUS -CleanupObsoleteComputers -Verbose

Mit Hilfe dieser Befehlssequenz würde man inaktive Computer bereinigen.

Möchte man die Bereinigung über die Aufgaben­planung zeitgesteuert ausführen, dann besteht entweder die Möglichkeit, alle Parameter in einen Aufruf des Cmdlets zu packen oder den Vorgang in mehrere Aufgaben zu zerteilen.

Für die zweite Option könnte man das Cmdlet mit verschiedenen Parametern in zeitlichen Abständen mehrmals starten.