WSUS Debug Drama, oder wie eine regelmäßige Wartung und Kontrolle der Windows Update Dienste im Regelbetrieb und Fehlerfall durchgeführt werden kann

Viele wollen es nicht wahr haben, aber ja – auch die Windows Update Dienste (WSUS) brauchen Wartung und Pflege. Erst recht, wenn der lokale Computer oder Windows Server stark belastet ist.


Einleitung

Viele größere Unternahmen haben bereits Windows Update Dienste (WSUS), die entsprechenden Prozesse und Zugriffe implementiert. Einige Starten erst damit. Für beide ist es jedoch unabdingbar eine schnelle Liste & Übersicht zu haben, wie Fehler im Regelbetrieb zu lösen oder anzupacken sind, damit in der verbleibenden Arbeitszeit andere administrative Tätigkeiten auch erledigt werden können.

Für alle die noch keinen WSUS Aufbau, Prozesse oder Update Strukturen haben, gibt es zahlreiche Anleitungen im Internet. Eine sehr gute Anlaufstelle wäre hier https://www.ajtek.ca/wsus/how-to-setup-manage-and-maintain-wsus-part-1-choosing-your-server-os/ oder hier https://learn.microsoft.com/de-de/windows-server/administration/windows-server-update-services/get-started/windows-server-update-services-wsus.

Für alle die sich diese Zeit sparen wollen, biete ich die Unterstützung 

Windows Update Client

Windows Update Log des Clients einsehen

  • Notepad c:\windows\windowsUpdate.log

oder

  • Powershell Get-WindowsUpdateLog

Das Logfile liegt dann auf dem Desktop

oder

  • Ereignisanzeige

Microsoft-Windows-WindowsUpdateClient/Operational

%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-WindowsUpdateClient%4Operational.evtx

Windows Update Log zeigt generischen Fehler HTTP 500

Deutet darauf hin, dass die Client Webservices auf dem angesprochenen WSUS Server nicht funktionsfähig sind

Testen mittels

  • https://<Hostname Ihres WUS Servers>/ClientWebService/client.asmx
  • https://<Hostname Ihres WUS Servers>:<Port>/selfupdate/wuident.cab

Überwachung der Funktionsfähigkeit eines WSUS Servers

  • HTTP Rückgabecode

Testwebseiten der WSUS Dienste müssen HTTP 200 als Ergebniscode liefern

  • Antwortzeit der Webseiten

Zu lange Antwortzeiten (Anfrage bis HTTP Statuscode) deuten auf SQL oder Serviceprobleme hin

Zu kurze Antwortzeiten sind leider auch ein Indiz dafür das etwas nicht passt

  • Läuft der IIS?
  • Lauft der WSUS App Pool

WSUS Testaufrufe

https://<DNS Name WSUS Server>:<TCP Port>/ClientWebService/client.asmx

Ausgabe:

WSUS Client Server URL

https://<DNS Name WSUS Server>:<TCP Port>/selfupdate/wuident.cab

Ausgabe ist der Download der “wuident.cab”-Datei.

Windows Update Client “Wissen”/”Gedächtnis” oder lokale Datenbank zurücksetzen

net stop wuauserv
net stop bits
rename c:\windows\SoftwareDistribution "SoftwareDistribution_%date:~-4%-%date:~-7,2%-%date:~-10,2%_backup"
net start bits
net start wuauserv

Windows Update Client verwendet einen Proxy Server

Auch wenn kein Proxy Server in Ihrem Netzwerk (WPAD oder DHCP Option 252) gesetzt ist, kann der Client dennoch einen gesetzt bekommen haben

Über die Kommandozeile kann dies herausgefunden werden.

proxycfg.exe (für ältere Systeme)
netsh winhttp show proxy

Lokalen Update Client erneut an WSUS melden

wuauclt /resetauthorization /detectnow
wuauclt /reportnow

Bis der Client vollständig neu im WSUS zu sehen ist, kann es bis zu 30 Minuten dauern.

Während dieser Zeit sieht man eine erhöhte CPU Aktivität im Prozess “svchost.exe” beim Client

Suche nach Update mittels USOClient

Seit Windows Server 2016 & Windows 10 gibt es noch den USOClient als Command Line

Usoclient startscan
Usoclient startdownload
Usoclient startinstall

Windows Update Client Einstellungen aktualisieren

Entweder via Gruppenrichtlinien (GPO)

GPUPDATE /force

dies kann je nach Anzahl und Einstellungen der Gruppenrichtlinienverarbeitung länger dauern, oder

USOClient refreshsettings

Windows Updates über PowerShell Modul PSWindowsUpdate verwalten

Microsoft hat mit der PowerShell und dem WindowsUpdate Modul eine MEGA Arbeitserleichterung für Administratoren geschaffen.

Diese ermöglichen nicht nur dem Admin schneller zu Arbeiten, sondern die Befehle auch Remote oder via einer Zentralverwaltung zu steuern.

Hier die aus meinem “Leben” wichtigsten Befehle:

  • Installation & Bereitstellung der passenden Befehle
Install-Module -Name PSWindowsUpdate
Import-Module PSWindowsUpdate
Get-Command -Module PSWindowsUpdate
  • Updates & Informationen erhalten
Get-WindowsUpdate
Get-WUServiceManager
  • wenn mal Updates nicht installiert werden sollen
Hide-WindowsUpdate -KBArticleID KBxxxxxx
  • Oder auch mal eines Deinstalliert werden muss
Remove-WindowsUpdate -KBArticleID KBxxxxxx
  • Wenn Sie wissen wollen ob das System einen Reboot benötigt
Get-WURebootStatus
  • Wenn Sie einfach nur Updates jetzt incl. Reboot installieren wollen
Install-WindowsUpdate -AcceptAll -AutoReboot
  • Was wurde eigentlich installiert
Get-WUHistory

Windows Update Server

Überwachung der Funktionsfähigkeit eines WSUS Servers

  • HTTP Rückgabecode

Testwebseiten der WSUS Dienste müssen HTTP 200 als Ergebniscode liefern

  • Antwortzeit der Webseiten

Zu lange Antwortzeiten (Anfrage bis HTTP Statuscode) deuten auf SQL oder Serviceprobleme hin

Zu kurze Antwortzeiten sind leider auch ein Indiz dafür das etwas nicht passt

  • Läuft der IIS?
  • Lauft der WSUS App Pool

WSUS Testaufrufe

https://<DNS Name WSUS Server>:<TCP Port>/ClientWebService/client.asmx

Ausgabe:

WSUS Client Server URL

https://<DNS Name WSUS Server>:<TCP Port>/selfupdate/wuident.cab

Ausgabe ist der Download der “wuident.cab”-Datei.

Die WSUS Bereinigung schlägt durchgehend fehl / bricht ab

Die WSUS Bereinigung ist das A&O des WSUS-Servers. Auf einigen Systemen muss man ihr jedoch helfen.

Schlagen die Fehler (HTTP Status 401) trotz Server Neustart weiter auf, kann die Ursache sein, dass der Server von localhost nicht über einen anderen Namen angesprochen werden möchte.

Abhilfe: DisableStrictNameChecking auf 1 setzen und in BackConnectionHostNames den angesprochenen Hostnamen setzen.

Hierzu kann in in der Registry unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 

Der Parameter DisableStrictNameChecking auf “1” gesetzt werden

Zusätzlich kann unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

Ein neuer MultiString Value mit Namen “BackConnectionHostNames” angepasst werden

Darin einfach die zusätzlichen DNS oder Systemnamen für den Computer eintragen

Nach einem Neustart des “IIS Admin service” kann dann die Bereinigung erneut durchgeführt werden

Weitere Details unter <https://support.solarwinds.com/SuccessCenter/s/article/HTTP-Status-401-error-when-testing-the-WSUS-connection-to-Patch-Manager?language=en_US>

WSUS Bereinigung schlägt nach Zeit X fehl

In einigen Fällen kann es sein, dass die gesamte Bereinigung im Windows Update Server fehlschlägt. Hier hat sich bewährt die Punkte einzeln auszuwählen und im Anschluss eine Vollständige WSUS Bereinigung durchzuführen.

WSUS Server Bereinigungsassistent

WSUS Bereinigung mittels “Adamj Clean-WSUS” – Jetzt Defunct Software “WSUS Automated Maintenance (WAM)©”

Das von Adam Marshall erstellte Script (zuletzt in der Version 3.2) ist nun lizenzpflichtig. Es kombiniert einige SQL Befehle mit der zuletzt beschriebenen WSUS Bereinigung.

Es gibt einige dieser Scripte in diversen Foren. Aus meiner Erfahrung heraus war das von Adam erstellte, das wahrscheinlich beste.

SQL Command Line Tools installieren.

Powershell aufrufen

“Clean-WSUS.ps1 -FirstRun” eingeben und laufen lassen.

Schon haben sich die meisten internen WSUS Server “Macken” wieder gefangen.

WSUS Server hat hohe CPU Last / Client Anfragen brechen ab

Optimieren der IIS Einstellungen für Laufzeiterhöhung von 2 Minuten auf 60 Minuten

\Program Files\Update Services\WebServices\ClientWebService\Web.Config“ folgende Zeile finden:

<httpRuntime maxRequestLength="4096" />

Diese muss dann um den Parameter „ExecutionTimeout“ erweitert werden:

<httpRuntime maxRequestLength="4096" executionTimeout="3600" />

danach ein IIS Reset und die Laufzeit der Anfrage wurde verlängert. Dadurch können Performanceschwächen der WSUS Installation, des Servers oder gar des Netzwerks besser verarbeitet werden.

Der WSUS IIS Pool stürzt laufend ab / Bricht mit HTTP 503 ab

WSUS-App-Pools (Erweiterte Einstellungen im IIS Manager)

  1. Queue Length von 1.000 auf 25.000 stellen
  2. Maximum Worker Processes von 1 auf 0 stellen
  3. Service Unavailable von HttpLevel auf TcpLevel umstellen
  4. Failure Interval (minutes) von 5 auf 30 umstellen
  5. Maximum Failures von 5 auf 60 umstellen
  6. iisreset

Aus Microsoft Technet -> https://docs.microsoft.com/de-de/archive/blogs/the_secure_infrastructure_guy/windows-server-2012-r2-wsus-issue-clients-cause-the-wsus-app-pool-to-become-unresponsive-with-http-503

Was wurde am Windows Update Server (WSUS) gemacht?

Der WSUS Server hat ein ChangeLog. Darin kann man wunderbar nachschauen welche Updates Freigegeben oder wer eine WSUS Konfiguration verändert hat. Es befindet sich unter

C:\Program Files\Update Services\LogFiles\Change.log

Zusammenfassung

Die oben dargestellte Übersicht sollte für alle WSUS Administratoren eine Arbeitshilfe sein. Sollten Befehle oder Wissen fehlen, gerne in die Kommentare schreiben, dann erweitere ich die Übersicht


Änderungshistorie

Erstellt: 2022-10-09Zuletzt geändert: 2022-10-11
Änderungshistorie:
2022-10-09: Basis – Layout + Text
2022-10-11: Anpassung Layout
Änderungshistorie d. Artikels

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

zehn + 1 =