Viele wollen es nicht wahr haben, aber ja – auch die Windows Update Dienste (WSUS) brauchen Wartung und Pflege. Erst recht, wenn der lokale Computer oder Windows Server stark belastet ist.
- Einleitung
- Windows Update Client
- Windows Update Log des Clients einsehen
- Windows Update Log zeigt generischen Fehler HTTP 500
- Überwachung der Funktionsfähigkeit eines WSUS Servers
- WSUS Testaufrufe
- Windows Update Client “Wissen”/”Gedächtnis” oder lokale Datenbank zurücksetzen
- Windows Update Client verwendet einen Proxy Server
- Lokalen Update Client erneut an WSUS melden
- Suche nach Update mittels USOClient
- Windows Update Client Einstellungen aktualisieren
- Windows Updates über PowerShell Modul PSWindowsUpdate verwalten
- Windows Update Server
- Überwachung der Funktionsfähigkeit eines WSUS Servers
- WSUS Testaufrufe
- Die WSUS Bereinigung schlägt durchgehend fehl / bricht ab
- WSUS Bereinigung schlägt nach Zeit X fehl
- WSUS Bereinigung mittels “Adamj Clean-WSUS” – Jetzt Defunct Software “WSUS Automated Maintenance (WAM)©”
- WSUS Server hat hohe CPU Last / Client Anfragen brechen ab
- Der WSUS IIS Pool stürzt laufend ab / Bricht mit HTTP 503 ab
- Was wurde am Windows Update Server (WSUS) gemacht?
- Zusammenfassung
Einleitung
Viele größere Unternahmen haben bereits Windows Update Dienste (WSUS), die entsprechenden Prozesse und Zugriffe implementiert. Einige Starten erst damit. Für beide ist es jedoch unabdingbar eine schnelle Liste & Übersicht zu haben, wie Fehler im Regelbetrieb zu lösen oder anzupacken sind, damit in der verbleibenden Arbeitszeit andere administrative Tätigkeiten auch erledigt werden können.
Für alle die noch keinen WSUS Aufbau, Prozesse oder Update Strukturen haben, gibt es zahlreiche Anleitungen im Internet. Eine sehr gute Anlaufstelle wäre hier https://www.ajtek.ca/wsus/how-to-setup-manage-and-maintain-wsus-part-1-choosing-your-server-os/ oder hier https://learn.microsoft.com/de-de/windows-server/administration/windows-server-update-services/get-started/windows-server-update-services-wsus.
Für alle die sich diese Zeit sparen wollen, biete ich die Unterstützung
Windows Update Client
Windows Update Log des Clients einsehen
- Notepad c:\windows\windowsUpdate.log
oder
- Powershell Get-WindowsUpdateLog
Das Logfile liegt dann auf dem Desktop
oder
- Ereignisanzeige
Microsoft-Windows-WindowsUpdateClient/Operational
%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-WindowsUpdateClient%4Operational.evtx
Windows Update Log zeigt generischen Fehler HTTP 500
Deutet darauf hin, dass die Client Webservices auf dem angesprochenen WSUS Server nicht funktionsfähig sind
Testen mittels
- https://<Hostname Ihres WUS Servers>/ClientWebService/client.asmx
- https://<Hostname Ihres WUS Servers>:<Port>/selfupdate/wuident.cab
Überwachung der Funktionsfähigkeit eines WSUS Servers
- HTTP Rückgabecode
Testwebseiten der WSUS Dienste müssen HTTP 200 als Ergebniscode liefern
- Antwortzeit der Webseiten
Zu lange Antwortzeiten (Anfrage bis HTTP Statuscode) deuten auf SQL oder Serviceprobleme hin
Zu kurze Antwortzeiten sind leider auch ein Indiz dafür das etwas nicht passt
- Läuft der IIS?
- Lauft der WSUS App Pool
WSUS Testaufrufe
https://<DNS Name WSUS Server>:<TCP Port>/ClientWebService/client.asmx
Ausgabe:
https://<DNS Name WSUS Server>:<TCP Port>/selfupdate/wuident.cab
Ausgabe ist der Download der “wuident.cab”-Datei.
Windows Update Client “Wissen”/”Gedächtnis” oder lokale Datenbank zurücksetzen
net stop wuauserv
net stop bits
rename c:\windows\SoftwareDistribution "SoftwareDistribution_%date:~-4%-%date:~-7,2%-%date:~-10,2%_backup"
net start bits
net start wuauservWindows Update Client verwendet einen Proxy Server
Auch wenn kein Proxy Server in Ihrem Netzwerk (WPAD oder DHCP Option 252) gesetzt ist, kann der Client dennoch einen gesetzt bekommen haben
Über die Kommandozeile kann dies herausgefunden werden.
proxycfg.exe (für ältere Systeme)
netsh winhttp show proxy
Lokalen Update Client erneut an WSUS melden
wuauclt /resetauthorization /detectnow
wuauclt /reportnow
Bis der Client vollständig neu im WSUS zu sehen ist, kann es bis zu 30 Minuten dauern.
Während dieser Zeit sieht man eine erhöhte CPU Aktivität im Prozess “svchost.exe” beim Client
Suche nach Update mittels USOClient
Seit Windows Server 2016 & Windows 10 gibt es noch den USOClient als Command Line
Usoclient startscan
Usoclient startdownload
Usoclient startinstall
Windows Update Client Einstellungen aktualisieren
Entweder via Gruppenrichtlinien (GPO)
GPUPDATE /forcedies kann je nach Anzahl und Einstellungen der Gruppenrichtlinienverarbeitung länger dauern, oder
USOClient refreshsettingsWindows Updates über PowerShell Modul PSWindowsUpdate verwalten
Microsoft hat mit der PowerShell und dem WindowsUpdate Modul eine MEGA Arbeitserleichterung für Administratoren geschaffen.
Diese ermöglichen nicht nur dem Admin schneller zu Arbeiten, sondern die Befehle auch Remote oder via einer Zentralverwaltung zu steuern.
Hier die aus meinem “Leben” wichtigsten Befehle:
- Installation & Bereitstellung der passenden Befehle
Install-Module -Name PSWindowsUpdate
Import-Module PSWindowsUpdate
Get-Command -Module PSWindowsUpdate- Updates & Informationen erhalten
Get-WindowsUpdate
Get-WUServiceManager- wenn mal Updates nicht installiert werden sollen
Hide-WindowsUpdate -KBArticleID KBxxxxxx
- Oder auch mal eines Deinstalliert werden muss
Remove-WindowsUpdate -KBArticleID KBxxxxxx
- Wenn Sie wissen wollen ob das System einen Reboot benötigt
Get-WURebootStatus- Wenn Sie einfach nur Updates jetzt incl. Reboot installieren wollen
Install-WindowsUpdate -AcceptAll -AutoReboot
- Was wurde eigentlich installiert
Get-WUHistory
Windows Update Server
Überwachung der Funktionsfähigkeit eines WSUS Servers
- HTTP Rückgabecode
Testwebseiten der WSUS Dienste müssen HTTP 200 als Ergebniscode liefern
- Antwortzeit der Webseiten
Zu lange Antwortzeiten (Anfrage bis HTTP Statuscode) deuten auf SQL oder Serviceprobleme hin
Zu kurze Antwortzeiten sind leider auch ein Indiz dafür das etwas nicht passt
- Läuft der IIS?
- Lauft der WSUS App Pool
WSUS Testaufrufe
https://<DNS Name WSUS Server>:<TCP Port>/ClientWebService/client.asmx
Ausgabe:
https://<DNS Name WSUS Server>:<TCP Port>/selfupdate/wuident.cab
Ausgabe ist der Download der “wuident.cab”-Datei.
Die WSUS Bereinigung schlägt durchgehend fehl / bricht ab
Die WSUS Bereinigung ist das A&O des WSUS-Servers. Auf einigen Systemen muss man ihr jedoch helfen.
Schlagen die Fehler (HTTP Status 401) trotz Server Neustart weiter auf, kann die Ursache sein, dass der Server von localhost nicht über einen anderen Namen angesprochen werden möchte.
Abhilfe: DisableStrictNameChecking auf 1 setzen und in BackConnectionHostNames den angesprochenen Hostnamen setzen.
Hierzu kann in in der Registry unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters Der Parameter DisableStrictNameChecking auf “1” gesetzt werden
Zusätzlich kann unter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0Ein neuer MultiString Value mit Namen “BackConnectionHostNames” angepasst werden
Darin einfach die zusätzlichen DNS oder Systemnamen für den Computer eintragen
Nach einem Neustart des “IIS Admin service” kann dann die Bereinigung erneut durchgeführt werden
Weitere Details unter <https://support.solarwinds.com/SuccessCenter/s/article/HTTP-Status-401-error-when-testing-the-WSUS-connection-to-Patch-Manager?language=en_US>
WSUS Bereinigung schlägt nach Zeit X fehl
In einigen Fällen kann es sein, dass die gesamte Bereinigung im Windows Update Server fehlschlägt. Hier hat sich bewährt die Punkte einzeln auszuwählen und im Anschluss eine Vollständige WSUS Bereinigung durchzuführen.
WSUS Bereinigung mittels “Adamj Clean-WSUS” – Jetzt Defunct Software “WSUS Automated Maintenance (WAM)©”
Das von Adam Marshall erstellte Script (zuletzt in der Version 3.2) ist nun lizenzpflichtig. Es kombiniert einige SQL Befehle mit der zuletzt beschriebenen WSUS Bereinigung.
Es gibt einige dieser Scripte in diversen Foren. Aus meiner Erfahrung heraus war das von Adam erstellte, das wahrscheinlich beste.
SQL Command Line Tools installieren.
Powershell aufrufen
“Clean-WSUS.ps1 -FirstRun” eingeben und laufen lassen.
Schon haben sich die meisten internen WSUS Server “Macken” wieder gefangen.
WSUS Server hat hohe CPU Last / Client Anfragen brechen ab
Optimieren der IIS Einstellungen für Laufzeiterhöhung von 2 Minuten auf 60 Minuten
\Program Files\Update Services\WebServices\ClientWebService\Web.Config“ folgende Zeile finden:
<httpRuntime maxRequestLength="4096" />
Diese muss dann um den Parameter „ExecutionTimeout“ erweitert werden:
<httpRuntime maxRequestLength="4096" executionTimeout="3600" />danach ein IIS Reset und die Laufzeit der Anfrage wurde verlängert. Dadurch können Performanceschwächen der WSUS Installation, des Servers oder gar des Netzwerks besser verarbeitet werden.
Der WSUS IIS Pool stürzt laufend ab / Bricht mit HTTP 503 ab
WSUS-App-Pools (Erweiterte Einstellungen im IIS Manager)
- Queue Length von 1.000 auf 25.000 stellen
- Maximum Worker Processes von 1 auf 0 stellen
- Service Unavailable von HttpLevel auf TcpLevel umstellen
- Failure Interval (minutes) von 5 auf 30 umstellen
- Maximum Failures von 5 auf 60 umstellen
- iisreset
Aus Microsoft Technet -> https://docs.microsoft.com/de-de/archive/blogs/the_secure_infrastructure_guy/windows-server-2012-r2-wsus-issue-clients-cause-the-wsus-app-pool-to-become-unresponsive-with-http-503
Was wurde am Windows Update Server (WSUS) gemacht?
Der WSUS Server hat ein ChangeLog. Darin kann man wunderbar nachschauen welche Updates Freigegeben oder wer eine WSUS Konfiguration verändert hat. Es befindet sich unter
C:\Program Files\Update Services\LogFiles\Change.logZusammenfassung
Die oben dargestellte Übersicht sollte für alle WSUS Administratoren eine Arbeitshilfe sein. Sollten Befehle oder Wissen fehlen, gerne in die Kommentare schreiben, dann erweitere ich die Übersicht
Änderungshistorie
| Erstellt: 2022-10-09 | Zuletzt geändert: 2022-10-11 |
| Änderungshistorie: 2022-10-09: Basis – Layout + Text 2022-10-11: Anpassung Layout |