Windows Server 2019 WSUS

[owl2010]

Guten Morgen,
ich habe am Wochenende mal testweise einen WSUS auf meinem Server (Windows Server 2019) aufgesetzt.
In meiner Domäne sind 35 PC`s, die darüber dann mit Updates versorgt werden sollen.
Die Idee ist ja sehr gut, dass das alles zentral geregelt wird und nicht mehr jeder Client für sich.
Aber in der Praxis ist das ja mit dem WSUS eine Katastrophe. Erst einmal ist die Maske des WSUS sehr träge und langsam und gefühlt bei jedem zweiten Aufruf kommt dann immer ein Verbindungsfehler und nichts geht mehr.
Kennt ihr auch diese Probleme? Sollte man doch lieber wieder dahin übergehen, jedem Client eigenständig nach Updates zu suchen lassen und diese selbst zu downloaden?

 

[lolmachine4]

Du verschweigst die wichtigsten Details. SQL-Datenbank oder WID? Wie lautet der Fehler genau? Hat die Maschine vllt zu wenig Bums oder ist sie im Hintergrund noch mit Downloaden beschäftigt? Wie viele Produkte sind zum Download/patchen angehakt? All das und noch viel mehr hat Einfluss auf die Performance.
Und nein, gerade in Zeiten von Updates mit lächerlichem QM seitens MS sollte man unbedingt dafür sorgen das Clients/Server nicht wahllos Updates ziehen.

 

[sklaes]

• Re-Indexierung regelmäßig, automatisiert ausführen lassen: https://docs.microsoft.com/de-de/pr...ows-server-2008-R2-and-2008/dd939795(v=ws.10)
• keine Kategorien abonnieren die nicht benötigt werden
• alle Updates ablehnen [!] die nicht benötigt werden, z.b. itanium, x86, Preview und Updates die ersetzt wurden
• IIS Limit aufheben:

https://www.404techsupport.com/2016/03/21/iis-wsus-private-memory/
- ggf. Ablehnte Updates aus den WSUS entfernen (geht nur per Powershell)

 

[derlorenz]

Nein die Probleme kenne ich so auch nicht. Die Tipps sind schon ganz gut bisher.
Wie hast du denn der Server gesized?

 

[owl2010]

Moin,
also der läuft auf einem Server mit 64GB RAM und XEON Silver 4208 2,1GHz.
Auf diesen Server laufen dann noch drei virtuelle Server (4GB, 16GB und 16GB).

Düfte doch eigentlich nicht an der Performance scheitern oder?
Datenbank ist die WID.

 

[prian]

Kann mich den "Vorpostern" nur anschließen, mit den Tipps von #3 fährt man gut. Probleme sind mir nicht bekannt-

 

[owl2010]

Sollte der WSUS virtualisiert werden und nicht auf dem Host laufen?

 

[Nilson]

Das mit dem IIS Limit, den @sklaes erwähnt hat mich auch genervt, bis ich das rausgefunden hatte. Führt genau zu dem "Verbindungsfehler", wenn man die WSUS Konsole aufrufen will.

 

[snaxilian]

läuft auf einem Server

Kein Storage? Daten werden mit Luft und Liebe abgespeichert? Wenn das lahme HDDs sind ist klar warum der WSUS lahmt. Die WSUS-interne Datenbank mag, wie eigentlich jede Datenbank, hohe IOPS und niedrige Latenzen.

 

[Scirca]

Gibt es einen besonderen Grund wieso du den Thread fast zeitgleich in 2 IT Boards aufgemacht hast?

https://administrator.de/forum/wsus-langsam-und-instabil-664970.html

Ist jetzt nicht so das ein WSUS so kritisch ist.

 

[t-6]

Sollte der WSUS virtualisiert werden und nicht auf dem Host laufen?

Auf einem Virtualisierungshost sollte nach Möglichkeit keine anderen Rollen laufen als die Virtualisierung selber. WSUS schon mal doppelt und dreifach nicht.

 

[holdes]

Ich hab den WSUS mit einem externen SQL Server laufen, selbst da kommt es auch nach Aufhebung aller Limits manchmal vor, dass IIS bzw. dessen Verbindung zur Datenbank abraucht wenn man mal größere Berichte aufruft. Ansonsten ist der WSUS selbst leider nie mehr groß verbessert worden, dass siehst du auch an der SQL Versionsbasis welcher er mitliefert oder der Reporting Runtime.

Wichtig ist daher regelmäßig Datenbank bereinigen lassen und ein Skript zur Re-Indexierung der Datenbank. Das in Kombination mit den aufgehobenen IIS Limits sollte deutlich besser funktionieren, aber das haben die anderen ja bereits geschrieben.

 

[owl2010]

Alles klar, dann werde ich das mal testen mit den zusätzlichen Einstellungen und Skripts. Sollte man die Treiber auch mit bereitstellen lassen oder lieber nicht?

 

[holdes]

Treiber sind massiv viel und erzeugen zum einen enormen Speicherverbrauch und zum anderen aufgrund der Anzahl neigen sie auch gerne mal dazu wieder die Datenbankverbindung zu überlasten. Ich würde sie rauslassen.

 

[snaxilian]

Sollte man die Treiber auch mit bereitstellen lassen oder lieber nicht?

Da gibt's keine pauschale Antwort drauf. Wenn du eine sehr einheitliche "Flotte" an Endgeräten/Servern hast, die möglichst einheitlich ausgestattet sind dann kann man das machen.
Wenn du aber zwei Notebooks von Medion hast, je einen Acer und HP Laptop, einen Intel NUC und drei Lenovo Tiny PC dann willst du das nicht unbedingt machen^^

 

[owl2010]

Jetzt läuft alles flüssig, jedoch lädt der WSUS keine Updates herunter. Es kommt immer der folgende Fehler:

 

[sklaes]

Der WSUS Content darf nicht auf einem Netzwerk Share liegen

 

[owl2010]

Oh, das ist ja nicht so schön!
Dann könnte ich ja zu Testzwecken einmal einen lokalen Pfad angeben und dann müsste er ja mit den Downloads beginnen.
Wie kann ich denn am geschicktesten den Pfad ändern? Geht das mittels Registry?

 

[holdes]

Man kann auch den WSUS so Konfigurieren, dass er selbst gar keine Updates lädt sondern die Clients direkt selbst. Dann dient der WSUS lediglich zur Kontrolle und Übersicht. Da die Win10 Clients die Updates unter sich selbst verteilen können habe ich das auch genauso.

 

[owl2010]

Ja, ich glaube so werde ich es auch machen! Dann lasse ich die Gruppenrichtlinie so, dass auf den WSUS-Server verwiesen wird und bei den Einstellungen des WSUS setze ich dann so den Haken, dass keine Updates lokal gespeichert werden-richtig?