Viele Forefront Definition Updates die auf „nicht genehmigt“ stehen verursachen 100% CPU Last auf clients

Obwohl das Problem mit der 100% CPU Auslastung beim Update Detection langsam mit der Verwendung von Dual-Core Maschinen von der Spielfläche verschwindet, gibt es noch Unternehmen die im Bestand immer noch Single-Core Maschinen  haben, die bei einer falschen Konfiguration oder Verwaltung des WSUS Servers anfälliger gegen Performanceprobleme sind.

 

Insbesondere sind diejenigen davon betroffen die Definition Update für Forefront Client Security über WSUS verteilen. Da bis zu 5 FCS Definition Updates pro Tag erscheinen können, ist das Risiko erhöht dass diese schnell zu einem Problem beim Update Detektion auf Single-Core Maschinen werden können.

Diese werden in der Regel von uns aus der WSUS Liste entfernt sobald es neuere Update Definitionen gibt, aber je nach Kundenumgebung kann es dazu kommen, dass diese Updates genügen um zB. einen Rechner für 5-15 Minuten lamn zu legen bis das Detection beendet ist.

 

Hier sehen wir einen WSUS Replika Server wo viele Forefront Definition Updates auf „nicht genehmigt“ stehen:

 

Damit man erkennt welche Updates man ablehnen kann, muss man in der WSUS Konsole bei „All Updates“ die Supersedence (Ersatz) Spalte einzublenden. Man lehnt dann alle Updates ab welche von neueren Updates superseded (ersetzt) sind.

Bitte auch „nicht genehmigt“ als auch „genehmigte“ Updates ablehnen. Auch wenn die Updates auf „nicht genehmigt“ liegen werden diese den Clients trotzdem beim Detection angeboten damit der Windows Update Agent diese evaluieren kann und dem WSUS Server dann mitteilen kann ob er den Update benötigt oder nicht.

Diese Evaluierung verursacht CPU Last auf den Maschinen, uns insbesondere bei älteren Single-Core Maschinen sieht man dass der CPU für längere Zeit bei 100% CPU bleibt bis der WU Agent alle Updates evaluiert hat.

 

Wir empfehlen auch das regelmäßige  Ausführen des “Server Cleanup Wizard“ damit die unnötigen und superseded Updates entfernt.

Ein Kollege von uns, Joe Tindale hat einen Tool erstellt mit dem man das Clean-up und auch das Re-Indexing der DB per Task Scheduler automatisieren kann:

https://wsus.codeplex.com/releases/view/17612

 

Stefan Chivu
Platforms Core Team