WSUS. Пять простых советов по работе

Статья из серии «Раньше я страдал, но потом открыл для себя...». Несмотря на то, что интернет завален мануалами по WSUS. некоторые нюансы слабо описаны либо их осознание приходит лишь с опытом. Я решил собрать 5 очень простых и даже банальных советов, которые помогут оптимизировать WSUS и не наломать дров.

С WSUS есть веселая штука — половина мороки связана не с самой службой, а с консолью, которая обожает крашиться, особенно на больших объемах данных. Так что поддержание сервера в чистоте и порядке помогает с этим хоть как-то бороться. Как и с производительностью службы iis, на которую WSUS сильно завязан.

1. Придерживайтесь минимализма

Не включайте ненужные классы и продукты. Об этом говорят везде, и это правда наилучшая практика. Например, драйвера. Или Office 2010. которого в вашей сети уже нет. «Пусть будет» — плохая практика для WSUS. Чем меньше база, тем быстрее синхронизации и шустрее работает служба.

Старайтесь держать как можно меньше обновлений в базе, удаляйте старые и уж точно не нужные, отклоняйте те, которые заменены и больше не требуются клиентам.

Не одобряйте и не загружайте обновления, которые не нужны или уже заменены.

2. Используйте мастер очистки или скрипт от Adamj

Мастер очистки лучше, чем ничего. Но на практике, особенно если сервер обслуживает сотни и тысячи клиентов, лучше принять дополнительные меры. Отличный способ - PowerShell-скрипт от Adamj. Сейчас он пропал с официальных ресурсов, так как автор продвигает новый, уже платный продукт - WAM. Он распространяется по подписке, стоит недорого. Но и старого скрипта более чем достаточно. Найти его легко. Скрипт устанавливает задание в планировщик Windows и запускается каждый день. Есть и ручной режим работы, но рекомендуется именно автоматическое выполнение. В определенные дни помимо рутины он еще и обслуживает БД, которую использует WSUS, а также удаляет файлы ненужных обновлений и, что немаловажно, удаляет сами отклоненные обновления из базы. Таким образом БД легко сократить, например, с 10 тыс. обновлений до 3 тыс. Более того, скрипт позволяет настроить, какие именно обновления зачищать. Например, он легко удаляет все назойливые апдейты для платформы Itanium и очень легко корректируется, чтобы удалять обновления Windows для ARM64.

3. Научитесь читать статусы замены

Это элементарно, в этом нет никакой сложности и это реально упрощает грамотное оперирование сервером, но об этом почему-то даже не все знают, так как по умолчанию отображение этих статусов в консоли отключено. Вот хорошая статья: https://www.tecknowledgebase.com/43/how-to-identify-and-decline-superseded-updates-in-wsus/

Если кратко и на русском: в любом списке с обновлениями в консоли щелкните правой кнопкой мыши по названию любого столбца и установите галочку напротив пункта «Замена».

Есть 3 типа значков (изображение иерархии с положением обновления) и вариант с отсутствием значка:

• без значка - обновление не связано с другими;
• синий прямоугольник сверху иерархии - обновление заменяет одно или несколько других;
• синий прямоугольник в середине иерархии - обновление заменяет одно или несколько других, но также есть минимум одно обновление, заменяющее данное;
• синий прямоугольник в правом нижнем углу иерархии - есть минимум одно обновление, которое заменяет данное, но оно само не заменяет другие обновления.

"Замена" означает, что есть одно или несколько обновлений, в которые уже включены все исправления из этого. Таким образом, одобрять логично только наивысшие в иерархии обновления - без значка или со значком с синим прямоугольником сверху.

Также надо помнить, что статус замены никак не отражает факта установки или необходимости обновлений. Однако, если есть 2 обновления, то заменяющее как правило новее и одобрять нужно его, т.к. оно уже содержит все правки.

4. Отклоняйте обновления, но осторожно

Отклонение обновлений - важный этап в поддержании здоровья служб WSUS. И тут есть нюанс. Отклонять обновления можно двумя способами:

• Первый - в лоб. Включите отображение колонки «Замена» в консоли, отсортируйте апдейты по ней, одобрите все без значка и со значком замены (синий прямоугольник сверху, т.е. обновление является самым актуальным и заменяет другие, но не заменено никаким). Затем отклоните все с двумя другими значками.
• Второй - осторожный. Пройдитесь по всем новым обновлениям, почитайте, что они делают и были ли с ними проблемы (technet, форумы, блоги), одобрите новые обновления на тестовую группу. Затем можно отклонять старые обновления, но осторожно. Начинать всегда стоит с обновлений, замененных другими и не заменяющих никакие, затем переходить к тем, что находятся «в середине иерархии». Не допускайте ситуаций, когда новые обновления развернуты на тестовые группы, а замененные ими уже отклонены для всех ПК - тогда те ПК, которые еще не успели обновиться, просто потеряют такую возможность пока вы не одобрите «тестовые» обновления на весь парк. Понять, нужно ли обновление каким-то ПК, можно, включив отображение колонки «Число необходимых обновлений».

Если вы пользуетесь скриптом из п. 2 или другим способом удаления не нужных обновлений, отклоненные будут вычищены с сервера, что опять же ускорит его работу.

5. Используйте тестовые коллекции и ручное одобрение

В WSUS есть правила для автоматического одобрения обновлений. Их удобно использовать, например, для одобрения новых версий сигнатур. Но одобрять все новые обновления для установки - так себе идея. Это можно сделать для тестовой группы, но я не практикую, предпочитаю руками смотреть, что есть, читать в блогах о проблемах с новыми апдейтами когда есть время, чтобы случайно не накатить что-то, что вызовет много проблем. Слышал истории, как у людей начинались масштабные баги на 50% ПК из-за такого - это редкость, но возможно.

Поэтому используйте тестовые коллекции. 

Пока все. В дальнейшем буду дополнять статью, если найдется что-то важное. Надеюсь, данные рекомендации будут полезными.