Ускоряем работу WSUS

[AmmA]

1) Экземпляр SQL базы не обязательно будет иметь такое имя. параметры можно посмотреть HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services\Server\Setup
параметр SqlServerName
2) Management Studio запускается исключительно от имени администратора, в противном случае к экземпляру базы подключиться не удастся
3) для настройки и решения проблем с wsus очень полезная утилита WsusUtil.exe, которая находится C:\Program Files\Update Services\Tools>

[gotch]

По делу комментарий, спасибо.
Что касается Management Studio, то в первый раз ее надо, конечно, от администратора запустить. После этого следует назначить роль sysadmin экземпляра хорошей доменной группе, и больше под администратором не запускать.

[AmmA]

да согласен, можно создать пользователя с правамиsysadmin, об этом не подумал :) :) :)

[AmmA]

Хотелось бы вопрос задать, а что вы делаете если компьютеры не отправляют отчет о своем состоянии.
Сразу скажу
net stop wuauserv
net start wuauserv
wuauclt /resetauthorization /detectnow
а так же удаление SusClientId не помогают, какие еще есть варианты?

[gotch]

Делаю чуть по-другому:

net stop wuauserv
rmdir /s /q %windir%\SoftwareDistribution
net start wuauserv
wuauclt /detectnow

Некоторые ошибки исправляю как в этой статье.

[Daimos]

1257936 килоБайт лимита вам мало? А куда уж больше то?

[gotch]

На 2000+ клиентов его и больше 4Gb раздувает.

[LoadRunner]

Это всего лишь 1,2 гигабайта. Думаете, WSUS этого достаточно?

[Daimos]

У нас 250 клиентов — не замечали проблем. И вся работа его — только дать скачать файл — зачем там гигабайты памяти? Web сервера обходятся и меньшим количеством памяти.

2000 клиентов — а есть ли смысл их на одном WSUS держать? Логично раскидать на несколько через подчиненные WSUS.

[gotch]

Одобряешь десяток обновлений и наблюдаешь как процесс набирает память. Каждый клиент устанавливает https сессию и делает долгоиграющий запрос. Можно посмотреть детально в SQL Activity Monitor.

Ставить подчиненные серверы — дублировать хранилище обновлений, а это 110Gb на сервер.
Поэтому основной критерий для нас при установке подчиненного сервера — утилизация канала для скачивания обновлений.

А так один WSUS без проблем обслуживает эти 2000 клиентов, думаю потянет и значительно больше — добавляй только процессоры да память.

[gotch]

Ситуация такая. Когда одобряешь пачку обновлений, после патчинга десяток-другой клиентов выпадают в ошибку обновления. Тогда начинаешь с каждым разбираться. До того, как подняли лимит памяти, на клиентах висела такая ошибка:
GetCookie failure, error = 0x8024400D, soap client error = 7, soap error code = 300, HTTP status code = 200
SyncUpdates failure, error = 0x80072EE2, soap client error = 5, soap error code = 0, HTTP status code = 200
Windows Update Client failed to detect with error 0x80072ee2

По-простому — ERROR_INTERNET_TIMEOUT. IISreset помогал, но причина была найдена и исправлена.

[Daimos]

После изменения лимита еще и очистку пула рекомендуется делать.

[gotch]

Мы люди простые, iisreset не брезгуем, или просто перезапуском сервера.

[vmoskalenko]

Когда настраивате TempDB то ставьте пожалуйста Autogrowth не по 1Мб, а хотя бы по 10Мб. Или больше. Зависит от текущего размера TempDB.
И лучше ставить Мбайты, чем проуенты — здесь все верно.

[gotch]

Очень правильное замечание. На «серьезных» базах так и делаем, правда стараемся сделать совокупный initial size превышающий реально рабочий. Здесь схалтурил немножко.

[Daimos]

Коллеги, как вы решаете задачу просмотра лога WindowsUpdate на Windows 10?
Его просто так теперь посмотреть нельзя, только через выполнение Powershell команды.
Может есть какое централизованное решение?

[gotch]

Два способа, один чудовищнее другого https://blogs.technet.microsoft.com/charlesa_us/2015/08/06/windows-10-windowsupdate-log-and-how-to-view-it-with-powershell-or-tracefmt-exe/

Спасибо телеметрии, она как раз и отсылается в etl формате, Microsoft решил сделать администраторам удобно.

[Daimos]

Это я видел. Думал есть попроще варианты.
Кроме как запускать сессию Powershell от админа домена, потом коннектиться на комп юзера, запускать там get-windowsupdatelog, возможно сразу с записью лога на какую шару.

[Daimos]

Попробовал такой варинт
psexec \\computer powershell.exe get-windowsupdatelog

Получил бесполезный лог
2017/06/01 13:26:03.8240088 4212 16064 Unknown( 38): GUID=107f070f-4372-3a30-c1fd-8ce7f568096d (No Format Information found).
2017/06/01 13:26:03.8240098 4212 16064 Unknown( 31): GUID=107f070f-4372-3a30-c1fd-8ce7f568096d (No Format Information found).
2017/06/01 13:26:03.8240101 4212 16064 Unknown( 23): GUID=107f070f-4372-3a30-c1fd-8ce7f568096d (No Format Information found).
2017/06/01 13:26:03.8240156 4212 16064 Unknown( 36): GUID=46641f75-366c-31f6-7f30-83631c82b255 (No Format Information found).
2017/06/01 13:26:03.8240213 4212 16064 Unknown( 42): GUID=46641f75-366c-31f6-7f30-83631c82b255 (No Format Information found).
2017/06/01 13:26:03.8240313 4212 16064 Unknown( 14): GUID=dc58b7a2-b4cb-301e-a01f-d9a58e6e171d (No Format Information found).
2017/06/01 13:26:03.8240367 4212 16064 Unknown( 11): GUID=dc58b7a2-b4cb-301e-a01f-d9a58e6e171d (No Format Information found).



[Daimos]

Поисками по такому варианту наткнулся на такой вариант
Запустить powershell от имени администратора домена и выполнить такую команду

Get-WindowsUpdateLog -ETLPath \\\C$\windows\Logs\WindowsUpdate -SymbolServer https://msdl.microsoft.com/download/symbols -LogPath C:\LOGS\windowsupdate_.log


Но не прокатывает такой способ - не хочет качать symbols из интернета.
Вывод получаю в виде
2017/06/01 13:26:03.8240367 4212 16064 Unknown( 11): GUID=dc58b7a2-b4cb-301e-a01f-d9a58e6e171d (No Format Information found)

[Daimos]

Коллеги, что скажите про совет увеличить размер файла XML в запросе?

The current number of round trips allowed by WSUS is 200 per client session.
The default maximum size of XML data that WSUS allows during each request is currently 200 KB.
To reduce the number of round trips to be within the 200 round trips limit per client session, you can adjust the adjust the maximum size of XML data downloaded per request from the 200 KB limit to an unlimited size.

To adjust the maximum size of XML allowed per request, you will need to adjust a setting within the WSUS SUSDB database.

You can adjust this setting by running the following SQL script on the WSUS server:

==========
USE SUSDB
GO
UPDATE tbConfigurationC SET MaxXMLPerRequest = 0
==========

[gotch]

Неплохо!
Проверить просто. На Windows 7:
net stop wuauserv
rmdir /s /q %windir%\SoftwareDistribution
net start wuauserv
wuauclt /detectnow

Если после в логе не появится ошибка

Failed to find updates with error code 80244010

то это победа

[Daimos]

Да, я один сервак так вылечил и он стал получать обновления с WSUSa нашего :)

Но вообще творится что-то странное — железные компы на 10-ах массово не хотят ставить обновления, самая распространенная проблема — процесс загрузки обновлений стоит на 0% и все, никакого эффекта.
Некоторые компы и виртуалки просто не могут отправить отчет — в всусе видно, что они подключались недавно, а отчеты — месяц-два назад, или вообще никогда.

Пока борьба шаманская — 8, 8.1 — стоп сервиса, удаление папки SoftwareDistribution, потом wuauclt /resetAuthorization и wuauclt /detectnow

С Win10 — всего вообще непонятно как лечить. Еще отчеты еще как-то лечатся таким же способом, то скачивание обновлений стопорится на 0%.
Вроде как помогает стоп сервисов bits wuauserv appidsvc cryptsvc

удаление "%ALLUSERSPROFILE%\Microsoft\Network\Downloader\*.*"
удаление SoftwareDistribution
зачистка "%SYSTEMROOT%\system32\Catroot2"

Потом старт сервисов. Но и то не всегда лечится.

[gotch]

OMG, эта боль нам предстоит.

[Daimos]

Есть интересный набор Powershell скриптов — Windows Update PowerShell Module

https://gallery.technet.microsoft.com/scriptcenter/2d191bcd-3308-4edd-9de2-88dff796b0bc

Закинул на удаленный комп, подключился к сессии powershell на нем и можно работать.

Правда остается проблема со штатным скриптом Get-WindowsUpdateLog на Windows 10 в таком режиме — выдает, что не знает таких GUID.