Dans ce tutoriel, je vais vous expliquer comment maintenir et optimiser l’installation de votre service WSUS afin de le garder en état de fonctionnement optimal.
Si votre console WSUS s’arrête régulièrement, je vous conseille de passer la base de données sur SQL Server. Pour cela vous avez deux solutions :
- Migrer la base existante sur SQL Server.
- Depuis Windows 2016, il est possible lors de l’installation de choisir un serveur SQL Server.
Maintenance et optimisation de WSUS
Refuser les mises à jour remplacées
Au fur et à mesure que les mois passent, les mises à jour s’accumulent sur le serveur WSUS et certaine mise à jour sont remplacées par d’autre.
Garder les mises à jour remplacées n’ont aucun intérêt.
Depuis la liste des mises à jour approuvées 1, sélectionner les mises à jour remplacées qui sont identifiable à l’aide à l’aide des pictogrammes visibles dans la capture.
Une fois les mises à jour sélectionnées, faire un clic droit dessus 1 et cliquer sur Refuser 2.
Confirmer l’action en cliquant sur Oui 1.
Patienter pendant le refus des mises à jour…
Les mises à jour remplacées sont maintenant refusées et ne sont plus présentées aux ordinateurs.
Nettoyer les fichiers inutilisés
Le nettoyage des fichiers inutilisés va permettre de supprimer les fichiers physiquement présents sur le serveur.
On va retrouver dans ces fichiers les mises à jour remplacées qui ont été refusées.
Depuis la console d’administration, cliquer sur Options 1 puis sur Assistant de nettoyage du serveur 2.
Au lancement de l’assistant, il faut choisir les éléments à nettoyer, laisser cocher la case Fichiers de mises à jour inutiles 1 et cliquer sur Suivant 2.
Patienter pendant le nettoyage…
Une fois le nettoyage terminé, cliquer sur le bouton Terminer 1 pour fermer l’assistant. Dans le résumé s’affiche l’espace libérée.
Réindexation de la base de données
Afin de garder des performances optimales de la base de données, il est nécessaire de réindexer celle-ci.
Un script est disponible sur le site Technet (cloner sur git) à cette adresse : Scripts/Maintenance and optimization/WsusDBMaintenance.sql · master · RDR-IT / WSUS · GitLab (rdr-it.com)
Lancer Microsoft SQL Server Management Studio et connectez-vous à la base l’instance où la base WSUS est exécutée.
Si vous utilisez la base interne Windows, il faut installer Microsoft SQL Server Management Studio sur le serveur WSUS et utiliser en nom de serveur :
\\.\pipe\Microsoft##WID\tsql\query
en utilisant l’authentification Windows.
Faire un clic droit sur SUSDB 1 et cliquer sur Nouvelle requête 2.
Coller le script dans la zone de saisie de la requête 1 et cliquer sur Exécuter 2.
Patienter pendant le traitement de la requête…
Une fois la requête exécutée, le résultat s’affiche sous celle-ci 1.
Réduire la taille de la base
Toujours depuis SSMS, faire un clic droit sur la base SUSDB 1 puis aller sur Tâches 2 / Réduire 3 et cliquer sur Base de données 4.
Cliquer sur OK 1 pour lancer la réduction de la base.
Une fois l’optimisation terminée, la fenêtre se ferme automatiquement.
Scripts de nettoyage et d’optimisation
Il est possible d’optimiser le nettoyage, la maintenance de WSUS à l’aide de scripts PowerShell. Il existe plusieurs scripts, dans ce tutoriel, je vais vous donner les scripts que j’utilise.
WSUS_Clean.ps1
Script simple d’utilisation, il permet de faire le même nettoyage que par la console WSUS avec un script.
Il est possible de désactiver une action en commentant la ligne, pour cela ajouter #
devant. Une fichier de log est généré avec le gain de place.
Exemple :
powershell.exe C:\Scripts\WSUS-Cleanup.ps1
wsus-cleanup-updates-v4.ps1
Ce script est un peu plus évolué dans son développement. En plus du nettoyage des mises à jour, le script redémarre le service IIS.
Le script permet d’avoir un retour console de ce qu’il est en train de faire. Pour les logs, ils se trouvent dans l’observateur d’évènements Windows.
Utilisation en sur le serveur WSUS :
powershell.exe C:\Scripts\wsus-cleanup-updates-v4.ps1
Refuser automatiquement les mises à jour Itanium et ARM64
Si vous souhaitez refuser les mises à jour Itanium et ARM64, vous trouverez deux scripts que j’ai fait :
- Powershell : Décliner automatiquement les mises à jours ARM64 sur WSUS
- Powershell : Décliner automatiquement les mises à jours Itanium sur WSUS
Complément : Tache planifiée exécuter un script PowerShell.
Si les scripts ne s’exécutent pas, changer l’execution policy, pour les autoriser.
Conclusion
Les différences astuces de cet article vont permettre de garder les services WSUS dans un état opérationnel.