WSUS : maintenance et optimisation

Windows Server 2012R2  Windows Server 2016  Windows Server 2019

Dans ce tutoriel, je vais vous expliquer comment maintenir et optimiser l’installation de votre service WSUS afin de le garder en état de fonctionnement optimal.

Si votre console WSUS s’arrête régulièrement, je vous conseille de passer la base de données sur SQL Server. Pour cela vous avez deux solutions :

Maintenance et optimisation de WSUS

Refuser les mises à jour remplacées

Au fur et à mesure que les mois passent, les mises à jour s’accumulent sur le serveur WSUS et certaine mise à jour sont remplacées par d’autre.

Garder les mises à jour remplacées n’ont aucun intérêt.

Depuis la liste des mises à jour approuvées 1, sélectionner les mises à jour remplacées qui sont identifiable à l’aide à l’aide des pictogrammes visibles dans la capture.

updates replaced

Une fois les mises à jour sélectionnées, faire un clic droit dessus 1 et cliquer sur Refuser 2.

Confirmer l’action en cliquant sur Oui 1.

Confirm action

Patienter pendant le refus des mises à jour…

Wait

Les mises à jour remplacées sont maintenant refusées et ne sont plus présentées aux ordinateurs.

Nettoyer les fichiers inutilisés

Le nettoyage des fichiers inutilisés va permettre de supprimer les fichiers physiquement présents sur le serveur.

On va retrouver dans ces fichiers les mises à jour remplacées qui ont été refusées.

Depuis la console d’administration, cliquer sur Options 1 puis sur Assistant de nettoyage du serveur 2.

WSUS options

Au lancement de l’assistant, il faut choisir les éléments à nettoyer, laisser cocher la case Fichiers de mises à jour inutiles 1 et cliquer sur Suivant 2.

Select option for cleanup

Patienter pendant le nettoyage…

wait...

Une fois le nettoyage terminé, cliquer sur le bouton Terminer 1 pour fermer l’assistant. Dans le résumé s’affiche l’espace libérée.

WSUS - clean space

Réindexation de la base de données

Afin de garder des performances optimales de la base de données, il est nécessaire de réindexer celle-ci.

Un script est disponible sur le site Technet à cette adresse : https://gallery.technet.microsoft.com/scriptcenter/6f8cde49-5c52-4abd-9820-f1d270ddea61

Lancer Microsoft SQL Server Management Studio et connectez-vous à la base l’instance où la base WSUS est exécutée.

SSMS

Si vous utilisez la base interne Windows, il faut installer Microsoft SQL Server Management Studio sur le serveur WSUS et utiliser en nom de serveur : 

\\.\pipe\Microsoft##WID\tsql\query en utilisant l’authentification Windows.

Faire un clic droit sur SUSDB 1 et cliquer sur Nouvelle requête 2.

New query

Coller le script dans la zone de saisie de la requête 1 et cliquer sur Exécuter 2.

Patienter pendant le traitement de la requête…

Une fois la requête exécutée, le résultat s’affiche sous celle-ci 1.

Query result

Réduire la taille de la base

Toujours depuis SSMS, faire un clic droit sur la base SUSDB 1 puis aller sur Tâches 2 / Réduire 3 et cliquer sur Base de données 4.

Cliquer sur OK 1 pour lancer la réduction de la base.

Start the reduction of the database

Une fois l’optimisation terminée, la fenêtre se ferme automatiquement.

Scripts de nettoyage et d’optimisation

Il est possible d’optimiser le nettoyage, la maintenance de WSUS à l’aide de scripts PowerShell. Il existe plusieurs scripts, dans ce tutoriel, je vais vous donner les scripts que j’utilise.

WSUS_Clean.ps1

Script simple d’utilisation, il permet de faire le même nettoyage que par la console WSUS avec un script.

Il est possible de désactiver une action en commentant la ligne, pour cela ajouter # devant. Une fichier de log est généré avec le gain de place.

Exemple :

powershell.exe C:\Scripts\WSUS-Cleanup.ps1

wsus-cleanup-updates-v4.ps1

Ce script est un peu plus évolué dans son développement. En plus du nettoyage des mises à jour, le script redémarre le service IIS.

Le script permet d’avoir un retour console de ce qu’il est en train de faire. Pour les logs, ils se trouvent dans l’observateur d’évènements Windows.

Utilisation en sur le serveur WSUS :

powershell.exe C:\Scripts\wsus-cleanup-updates-v4.ps1

Refuser automatiquement les mises à jour Itanium et ARM64

Si vous souhaitez refuser les mises à jour Itanium et ARM64, vous trouverez deux scripts que j’ai fait :

Complément : Tache planifiée exécuter un script PowerShell.

Si les scripts ne s’exécutent pas, changer l’execution policy, pour les autoriser.

Conclusion

Les différences astuces de cet article vont permettre de garder les services WSUS dans un état opérationnel.