Хранилище WSUS состоит из двух частей:

  • базы данных MS SQL (обычно на Windows Internal Database) с информацией о всех ПК, пречнем обновлений и их файлов, результатами установки и т.п.
  • папки со всеми файлами обновлений.

Со временем это хранилище «обрастает ракушками», то есть в нём накапливаются обновления, которые никому не нужны. Причин этому несколько. Значительную долю в замусоривание вносит автоматическое одобрение обновлений. Вещь очень хорошая, так как вручную фильтровать лишние и одобрять нужные обновления крайне трудоёмко и представляет собой типичный «мартышкин труд». Однако автомат обязательно наодобряет чего-нибудь лишнего. Наиболее распространённые лишние обновления – это обновления для платформы Itanium, которая в подавляющем большинстве компаний не используется. WSUS не позволяет разделять обновления по платформам. Поэтому настроив автоматическое одобрение, скажем, обновлений безопасности, вы одобрите обновления и для x86-32, и для x86-64 и для IA64. Их файлы WSUS в полном объёме скачает с вышестоящего сервера и сложит в хранилище. Соответственно, обновления для Itanium нужно отклонять вручную.

К замусориванию WSUS так же приводит устаревание обновлений. Устаревание, в свою очередь, тоже бывает двух видов. Во-первых, у обновления в прямом смысле есть срок действия, назначенный Микрософт, который со временем заканчивается. Во-вторых, старые обновления могут заменяться более новыми обновлениями. У каждого обновления на WSUS есть свойство, указывающее статус его замены. Возможные варианты – текущее обновление заменяет другое обновление, другое обновление заменило текущее, или текущее обновление вообще никак не связано с другими обновлениями.

Казалось бы, заменённые обновления надо удалять. Но тут кроется хитрость – не всегда Микрософт заменяет обновления на равнозначные. В статье про обновления и их свойства сказано, что аналогичное обновление для более нового продукта так же считается заменой старого обновления. К примеру, есть уязвимость в IE 7. Для её устранения выпустили обновление. Потом такую же уязвимость нашли в IE 8. Для него тоже выпустили обновление, которое будет считаться заменой обновления и для IE 7. Но это – обновления для разных продуктов. Нельзя одно поставить вместо другого. Положим, вы отклоните старое обновление. Если у вас остался ПК с IE 7, на который обновление не успело установиться, то ПК так и останется с уязвимостью. Поэтому Микрософт рекомендует следующую практику отклонения заменённых обновлений:

  1. Одобрить более новое обновление.
  2. Убедиться, что все ПК установили либо старое, либо более новое обновление. Не должно остаться ПК, которому старое обновление всё ещё требуется.
  3. Отклонить старое обновление.
  4. Не устанавливать старые продукты на новые ПК, чтобы не возникло ситуации, когда опять потребуется старое обновление.

Отклонение обновления не означает удаление его файлов. Отклонение – это просто пометка в базе WSUS о том, что обновление не нужно. Для удаления файлов нужно использовать мастер очистки WSUS. Он позволяет:

  • удалить старые обновление, которые так и не были приняты,
  • удалить ПК, которые давно не соединялись с WSUS,
  • удалить файлы, которые не нужны обновлениям,
  • отклонить устаревшие обновления,
  • отклонить заменённые обновления, которые находились на сервере более 30 дней, не требуются ни одному клиенту, уже 19 дней как никуда не устанавливались и заменяющее их обновление одобрено.

Опции можно выбирать. К примеру, можно удалять только старые обновления, а старые ПК не трогать и т.п.

Обратите внимание, что вышеописанную задачу с отклонение обновления для Itanium мастер не решает. Есть и ещё один нюанс. В компании может быть парк тестовых ПК, состояние обновлений которых не критично. На таких ПК может быть, к примеру, специально развёрнута устаревшая ОС. Регулярное появление таких ПК приведёт к тому, что WSUS не будет отклонять устаревшие обновления, так как они всё ещё нужны клиентам. Поэтому нами разработан скрипт очистки WSUS, который:

  1. Отклоняет обновления с Itanium или IA-64 в названии.
  2. Отклоняет заменённые обновления позволяя задать группы оборудования, на состояние которых не нужно обращать внимания.
  3. Запускает мастер очистки для окончательного удаления лишних обновлений.

Скрипт я выложу чуть позже. Первый его запуск на нашем WSUS освободил 46 Гб (сорок шесть гигабайт) места на диске. На WSUS клиентов результаты, кончено, на порядок скромнее – максимум, единицы гигабайт, а чаще несколько мегабайт. Просто у клиентов обновлений меньше, соответственно, и мусора на серверах меньше.

Вы можете первым оставить свой комментарий.

Добавить комментарий