Wartung von Softwareupdates

Gilt für: Configuration Manager (Current Branch)

Sie können WSUS-Bereinigungstasks über die Configuration Manager-Konsole über die Eigenschaften der Softwareupdatepunktkomponente planen und ausführen. Wenn Sie den WSUS-Bereinigungstask zum ersten Mal ausführen möchten, wird er nach der nächsten Softwareupdatesynchronisierung ausgeführt.

So planen und führen Sie den WSUS-Bereinigungsauftrag aus

Planen Sie den WSUS-Bereinigungsauftrag, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie in der Configuration Manager-Konsole zuVerwaltungsübersicht>>Standortkonfigurationsstandorte>.

  2. Wählen Sie den Standort oben in ihrer Configuration Manager-Hierarchie aus.

  3. Klicken Sie in der Gruppe Einstellungen auf Standortkomponenten konfigurieren, und klicken Sie dann auf Softwareupdatepunkt, um die Eigenschaften der Softwareupdatepunktkomponente zu öffnen.

  4. Überprüfen Sie das Ablösungsverhalten. Ändern Sie das Verhalten bei Bedarf.

    Screenshot des Ablösungsverhaltens

  5. Klicken Sie auf die Registerkarte Ablösungsregeln , und wählen Sie WSUS-Bereinigungs-Assistenten ausführen aus. In Version 1806 wird die Option in Run WSUS cleanup after synchronization umbenannt.

  6. Klicken Sie auf OK (klicken Sie auf Schließen , wenn Sie Version 1806 ausführen).

WSUS-Bereinigungsverhalten in Version 1802 und früher

Vor Configuration Manager Version 1806 führt die WSUS-Bereinigungsoption folgendes Element aus:

  • Die Option Abgelaufene Updates aus dem WSUS-Bereinigungs-Assistenten nur auf dem WSUS-Server der obersten Ebene des Standorts.

    Screenshot der WSUS-Updatebereinigung für abgelaufene Updates

  • Eine Bereinigung für Softwareupdatekonfigurationselemente in der Configuration Manager-Datenbank erfolgt alle sieben Tage und entfernt nicht benötigte Updates aus der Konsole.

    • Durch diese Bereinigung werden abgelaufene Updates nicht aus der Configuration Manager-Konsole entfernt, wenn sie derzeit bereitgestellt sind.

Für die WSUS-Datenbank der obersten Ebene und alle anderen WSUS-Datenbanken in der Umgebung ist weiterhin zusätzliche Wartung erforderlich. Weitere Informationen und Anweisungen finden Sie im Blogbeitrag The complete guide to Microsoft WSUS and Configuration Manager SUP maintenance .For more information and instructions, see The complete guide to Microsoft WSUS and Configuration Manager SUP maintenance blog post.

WSUS-Bereinigungsverhalten ab Version 1806

Ab Version 1806 erfolgt die WSUS-Bereinigungsoption nach jeder Synchronisierung und führt die folgenden Bereinigungselemente aus:

  • Die Option Abgelaufene Updates für WSUS-Server an CAS und primären Standorten.
    • WSUS-Server für sekundäre Standorte führen die WSUS-Bereinigung für abgelaufene Updates nicht aus.
  • Configuration Manager erstellt eine Liste der abgelösten Updates aus der Datenbank. Die Liste basiert auf dem Ablösungsverhalten in den Eigenschaften der Softwareupdatepunktkomponente.
    • Die Updatekonfigurationselemente, die die Ablösungsverhaltenskriterien erfüllen, sind in der Configuration Manager-Konsole abgelaufen.
    • Die Updates werden in WSUS für CAS und primäre Standorte abgelehnt, aber nicht für sekundäre Standorte.
  • Eine Bereinigung für Softwareupdatekonfigurationselemente in der Configuration Manager-Datenbank erfolgt alle sieben Tage und entfernt nicht benötigte Updates aus der Konsole.
    • Durch diese Bereinigung werden abgelaufene Updates nicht aus der Configuration Manager-Konsole entfernt, wenn sie derzeit bereitgestellt sind.

Hinweis

Die "Monate, die gewartet werden müssen, bis ein abgelöstes Update abgelaufen ist" basiert auf dem Erstellungsdatum des ablösenden Updates. Wenn Sie beispielsweise 2 Monate für diese Einstellung verwenden, werden abgelöste Updates in WSUS abgelehnt und sind in Configuration Manager abgelaufen, wenn das ablösende Update 2 Monate alt ist.

Die gesamte WSUS-Wartung muss auf WSUS-Datenbanken des sekundären Standorts manuell ausgeführt werden. Die folgenden Optionen des WSUS-Serverbereinigungs-Assistenten werden nicht am CAS und primären Standorten ausgeführt:

WSUS-Bereinigungsverhalten ab Version 1810

Ab Version 1810 können Sie Ablösungsregeln für Featureupdates getrennt von Nicht-Featureupdates in den Eigenschaften der Softwareupdatepunktkomponente angeben. Die WSUS-Bereinigungsoption erfolgt nach jeder Synchronisierung und führt die folgenden Bereinigungselemente aus:

  • Die Option Abgelaufene Updates für WSUS-Server an CAS-, primären und sekundären Standorten.
  • Configuration Manager erstellt eine Liste der abgelösten Updates aus der Datenbank. Die Liste basiert auf dem Ablösungsverhalten in den Eigenschaften der Softwareupdatepunktkomponente.
    • Die Updatekonfigurationselemente, die die Ablösungsverhaltenskriterien erfüllen, sind in der Configuration Manager-Konsole abgelaufen.
    • Die Updates werden in WSUS für CAS, primäre und sekundäre Standorte abgelehnt.
  • Eine Bereinigung für Softwareupdatekonfigurationselemente in der Configuration Manager-Datenbank erfolgt alle sieben Tage und entfernt nicht benötigte Updates aus der Konsole.
    • Durch diese Bereinigung werden abgelaufene Updates nicht aus der Configuration Manager-Konsole entfernt, wenn sie derzeit bereitgestellt sind.

Hinweis

Die "Monate, die gewartet werden müssen, bis ein abgelöstes Update abgelaufen ist" basiert auf dem Erstellungsdatum des ablösenden Updates. Wenn Sie beispielsweise 2 Monate für diese Einstellung verwenden, werden abgelöste Updates in WSUS abgelehnt und sind in Configuration Manager abgelaufen, wenn das ablösende Update 2 Monate alt ist.

Die folgenden Optionen des WSUS-Serverbereinigungs-Assistenten werden nicht an den CAS-, primären und sekundären Standorten ausgeführt:

WSUS-Bereinigung ab Version 1906

Sie verfügen über zusätzliche WSUS-Wartungstasks, die Configuration Manager ausführen kann, um fehlerfreie Softwareupdatepunkte aufrechtzuerhalten. Zusätzlich zur Ablehnung abgelaufener Updates in WSUS kann Configuration Manager den WSUS-Datenbanken nicht gruppierte Indizes hinzufügen und veraltete Updates aus den WSUS-Datenbanken entfernen. Die WSUS-Wartung erfolgt nach jeder Synchronisierung.

Ablehnen abgelaufener Updates in WSUS gemäß ablösenden Regeln

Das Ablehnen von Updates in WSUS verbessert die Leistung, indem diese Updates aus den Katalogen entfernt werden, die an Clients gesendet werden. Das Ablehnen von Updates, die von Configuration Manager als abgelöst markiert werden, minimiert die Kataloge weiter und verbessert die Leistung.

  1. Navigieren Sie in der Configuration Manager-Konsole zuVerwaltungsübersicht>>Standortkonfigurationsstandorte>.
  2. Wählen Sie den Standort oben in ihrer Configuration Manager-Hierarchie aus.
  3. Klicken Sie in der Gruppe Einstellungen auf Standortkomponenten konfigurieren , und klicken Sie dann auf Softwareupdatepunkt , um die Eigenschaften der Softwareupdatepunktkomponente zu öffnen.
  4. Wählen Sie auf der Registerkarte WSUS-Wartungdie Option Abgelaufene Updates in WSUS gemäß Ablösungsregeln ablehnen aus.

Hinzufügen nicht gruppierter Indizes zur WSUS-Datenbank zur Verbesserung der WSUS-Bereinigungsleistung

Das Hinzufügen von nicht gruppierten Indizes verbessert die WSUS-Bereinigungsleistung von Configuration Manager.

  1. Navigieren Sie in der Configuration Manager-Konsole zuVerwaltungsübersicht>>Standortkonfigurationsstandorte>.
  2. Wählen Sie den Standort oben in ihrer Configuration Manager-Hierarchie aus.
  3. Klicken Sie in der Gruppe Einstellungen auf Standortkomponenten konfigurieren , und klicken Sie dann auf Softwareupdatepunkt , um die Eigenschaften der Softwareupdatepunktkomponente zu öffnen.
  4. Wählen Sie auf der Registerkarte WSUS-Wartungdie Option Nicht gruppierte Indizes zur WSUS-Datenbank hinzufügen aus.
  5. In jeder von Configuration Manager verwendeten SUSDB werden den folgenden Tabellen Indizes hinzugefügt:
    • tbLocalizedPropertyForRevision
    • tbRevisionSupersedesUpdate

SQL Server-Berechtigungen zum Erstellen von Indizes

Wenn sich die WSUS-Datenbank auf einer SQL Server-Remotedatenbank befindet, müssen Sie möglicherweise Berechtigungen in SQL Server hinzufügen, um Indizes zu erstellen. Das Konto, das zum Herstellen einer Verbindung mit der WSUS-Datenbank und zum Erstellen der Indizes verwendet wird, kann variieren. Wenn Sie ein WSUS-Serververbindungskonto in den Eigenschaften des Softwareupdatepunkts angeben, stellen Sie sicher, dass das Verbindungskonto über die SQL Server-Berechtigungen verfügt. Wenn Sie kein WSUS-Serververbindungskonto angeben, benötigt das Computerkonto des Standortservers die SQL Server-Berechtigungen.

  • Zum Erstellen eines Indexes ist die Berechtigung für die Tabelle oder Sicht erforderlich ALTER . Das Konto muss Mitglied der sysadmin festen Serverrolle oder der db_ddladmin festen Datenbankrollen und db_owner sein. Weitere Informationen zum Erstellen und Index und berechtigungen finden Sie unter CREATE INDEX (Transact-SQL).For more information about creating and index and permissions, see CREATE INDEX (Transact-SQL).
  • Die CONNECT SQL Serverberechtigung muss dem Konto erteilt werden. Weitere Informationen finden Sie unter GRANT-Serverberechtigungen (Transact-SQL).

Hinweis

  • Wenn sich die WSUS-Datenbank auf einer SQL Server-Remotedatenbank befindet, die einen nicht standardmäßigen Port verwendet, werden möglicherweise keine Indizes hinzugefügt. Sie können einen Serveralias mit dem SQL Server-Konfigurations-Manager für dieses Szenario erstellen. Sobald der Alias hinzugefügt wurde und Configuration Manager eine Verbindung mit der WSUS-Datenbank herstellen kann, werden Indizes hinzugefügt.
  • Wenn sich der Softwareupdatepunkt remote zum Standortserver befindet und eine interne Windows-Datenbank verwendet, werden die Indizes nicht hinzugefügt.

Entfernen veralteter Updates aus der WSUS-Datenbank

Veraltete Updates sind nicht verwendete Updates und Updaterevisionen in der WSUS-Datenbank. Im Allgemeinen gilt ein Update als veraltet, wenn es nicht mehr im Microsoft Update-Katalog enthalten ist und von anderen Updates als Voraussetzung oder Abhängigkeit nicht benötigt wird.

  1. Navigieren Sie in der Configuration Manager-Konsole zuVerwaltungsübersicht>>Standortkonfigurationsstandorte>.
  2. Wählen Sie den Standort oben in ihrer Configuration Manager-Hierarchie aus.
  3. Klicken Sie in der Gruppe Einstellungen auf Standortkomponenten konfigurieren , und klicken Sie dann auf Softwareupdatepunkt , um die Eigenschaften der Softwareupdatepunktkomponente zu öffnen.
  4. Wählen Sie auf der Registerkarte WSUS-Wartungdie Option Veraltete Updates aus der WSUS-Datenbank entfernen aus.
    • Die Entfernung veralteter Updates darf maximal 30 Minuten lang ausgeführt werden, bevor sie beendet wird. Es wird nach der nächsten Synchronisierung erneut gestartet.

SQL Server-Berechtigungen zum Entfernen veralteter Updates

Wenn sich die WSUS-Datenbank auf einer SQL Server-Remotedatenbank befindet, benötigt das Computerkonto des Standortservers die folgenden SQL Server-Berechtigungen:

Hinweis

Wenn sich der Softwareupdatepunkt remote mit dem Standortserver befindet und eine interne Windows-Datenbank verwendet, werden veraltete Updates nicht entfernt.

WSUS-Bereinigungs-Assistent

Ab Version 1906 werden die folgenden Optionen des WSUS-Serverbereinigungs-Assistenten nicht mehr an den CAS-, primären und sekundären Standorten ausgeführt:

Bekanntes Problem

Stellen Sie sich folgendes Szenario vor:

  • Sie verwenden Configuration Manager Version 1906 oder höher.
  • Sie verfügen über Remotesoftwareupdatepunkte, die eine interne Windows-Datenbank verwenden
  • In den Eigenschaften der Softwareupdatepunktkomponente haben Sie auf der Registerkarte WSUS-Wartung eine der folgenden Optionen ausgewählt:
    • Hinzufügen nicht gruppierter Indizes zur WSUS-Datenbank
    • Entfernen veralteter Updates aus der WSUS-Datenbank

In diesem Szenario kann Configuration Manager die oben genannten WSUS-Wartungstasks für die Remotesoftwareupdatepunkte nicht mithilfe einer internen Windows-Datenbank ausführen. Dieses Problem tritt auf, weil die interne Windows-Datenbank keine Remoteverbindungen zulässt. Auf dem Standortserver werden die folgenden Fehler angezeigt WSyncMgr.log :

Indexing Failed. Could not connect to SUSDB.
SqlException thrown while connect to SUSDB in Server: <SUP.CONTOSO.COM>. Error Message: A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL Server is configured to allow remote connections. (provider: Named Pipes Provider, error: 40 - Could not open a connection to SQL Server)
...
Could not Delete Obselete Updates because ConfigManager could not connect to SUSDB: A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL Server is configured to allow remote connections. (provider: Named Pipes Provider, error: 40 - Could not open a connection to SQL Server) UpdateServer: <SUP.CONTOSO.COM>

Um das Problem zu umgehen, können Sie die WSUS-Wartung für die Remotesoftwareupdatepunkte mithilfe einer internen Windows-Datenbank automatisieren. Weitere Informationen und ausführliche Schritte finden Sie unter Der vollständige Leitfaden zur Wartung von Microsoft WSUS und Configuration Manager SUP.

Aktualisierungsbereinigungsprotokolleinträge

Sie können diese Bereinigung überprüfen, indem Sie die wsyncmgr.log für die folgenden Einträge überprüfen:

  • Die Ablehnung abgelöster Updates in WSUS ist abgeschlossen, wenn dieser Protokolleintrag angezeigt wird: Cleanup processed <number> total updates and declined <number>
  • Die WSUS-Bereinigung wird gestartet, wenn dieser Eintrag angezeigt wird: Calling WSUS Cleanup.
  • Die WSUS-Bereinigung für abgelaufene Updates ist abgeschlossen, wenn dieser Eintrag angezeigt wird: Successfully completed WSUS Cleanup.
  • Die Bereinigung der Konfigurationselemente für abgelaufene Configuration Manager-Updates wird gestartet, wenn dieser Eintrag angezeigt wird: Deleting old expired updates...
  • Die Bereinigung der Konfigurationselemente für abgelaufene Configuration Manager-Updates ist abgeschlossen, wenn dieser Eintrag angezeigt wird: Deleted <number> expired updates total