Migrate a wsus database from wid to sql server

Pipe microsoft wid tsql query

Как удалить обновления windows 10 в командной строке?

Наиболее продвинутый путь удаление ненужных обновлений ОС windows версии 10, заключается в использовании командной строки.

Чтобы зайти в командную строку надо совершить нажатие пкм на «Пуск», и в выпадающем меню ввести «Командная строка», обязательно запустить надо как администратор. В появившемся окне редактора командной строки вводим соответствующую команду:

WMIC QFE LIST BRIEF /FORMAT:TABLE

И подтверждаем выполнение действия клавишей Enter. В итоге получаем табличные данные всех возможных в системе обновлений.

Чтобы убрать определенное обновление надо выполнить команду:

WUSA /UNINSTALL /KB:

Номер обновления берем из таблицы с данными. Выглядит он примерно так КВ1234567.

Чтобы отложить перезагрузку системы, можно ввести другую команду вместо предыдущей:

WUSA /UNINSTALL /KB: /QUIET

Таким образом, легко удалить любые обновления, надо просто набрать команду и указать номер.

Оптимизация WSUS

Настройка Internet Information Server

В конфигурации «по-умолчанию» пул приложений «WsusPool» настроен неоптимально. Давайте донастроим его. Для этого запустите оснастку IIS, откройте «Application pools», выберите WsusPool и откройте «Advanced settings»:

По умолчанию процессу w3wp.exe выделяется мало памяти. Давайте уберем лимиты:

В поле «Private Memory Limit (KB)» установите в качестве лимита 0

При большом количестве клиентов WSUS, особенно получающих обновления впервые, рекомендуем увеличить следующие параметры:

  1. В поле «Queue Length» установите значение 25 000 или даже 50 000 (по умолчанию там всего 1000).
  2. Если у Вас используется NUMA, в поле «Maximum Worker Processes» поставьте значение 0 (по умолчанию 1). Если Вы не знаете, поддерживает ли сервер NUMA, оставьте значение по умолчанию.
  3. В поле «»Service Unavailable» Response Type» поставьте значение TcpLevel (по умолчанию — HttpLevel).
  4. В поле «’Failure Interval (minutes)» поставьте значение 30 (по умолчанию 5).
  5. В поле «Maximum Failures» поставьте значение 60 (по умолчанию 5)

После изменения настроек перезагрузите сервер или только IIS. Для перезагрузки IIS выполните в командной строке от имени администратора: iisreset

Настройка TempDB

Настройте базу TempDB: укажите количество файлов базы данных равным количеству процессоров на SQL сервере. Если количество процессоров больше 8, используйте 8 файлов в базе данных TempDB. Microsoft рекомендует: As a general rule, if the number of logical processors is less than or equal to 8, use the same number of data files as logical processors. If the number of logical processors is greater than 8, use 8 data files and then if contention continues, increase the number of data files by multiples of 4 (up to the number of logical processors) until the contention is reduced to acceptable levels or make changes to the workload/code.

Category Archives: администрирование Windows

November 11, 2015 – 12:56 pm

Роль Software Update Point (SUP) в System Center Configuration Manager тесно связана и зависит от старого доброго Windows Server Update Services (WSUS).  База WSUS может быть расположена в  Windows Internal Database (WID).  В данной статье мы рассмотрим метод резервного копирования данной базы в условиях Windows Server 2012 R2. Для успешного завершения задания необходимо следующее: Получить

|

|

June 17, 2013 – 3:18 pm

Условия появления ошибки: Я установил бета-версию агента Microsoft Online Backup Я делал локальные бэкапы на USB диск, который вышел из строя Резервные копии были запланированы на выполнение как локально так и на онлайн-хранилище После удаления агента Microsoft Online Backup (сейчас Azure) и моего вышедшего из строя диска я больше не смог запустить графический интерфей Windows

|

|

October 31, 2011 – 1:35 pm

При запуске панели управления Microsoft Lync Server 2010 у вас всегда появляется запрос на ввод пароля, даже если отмечаете чекбоск «Remember my credentials». Для того чтобы решить данную проблему необходимо просто добавить FQDN пула Lync Server в список Local Intranet internet Explorer. Давайте посмотрим подробнее что необходимо сделать:

|

|

August 31, 2011 – 5:30 pm

Новая модель приложений в Configuration Manager 2012 требует от администраторов изучить как развертывать программное обеспечение, так как в новом подходе очень мало из традиционного развертывания ПО, с которым вы могли быть знакомы по ConfigMgr 2007. Я недавно настроил Office 2010 как приложение в ConfigMgr 2012 Beta 2.  Далее я опубликую необходимые для этого этапы –

|

|

September 14, 2010 – 11:57 am

Планировщик задач (Task Scheduler) является очень важным компонентом операционной системы Windows. Он может использоваться для создания напоминаний о важных встречах или планирования выполнения определенных задач, которые вы выполняете на компьютере регулярно.. Я всегда использую планировщик задач для выполнения задач на своем компьютере. В данный момент у меня запланировано 24 задачи. Задачи создаются очень просто. Просто

|

|

December 9, 2009 – 2:34 pm

Если на SBS сервере закончилось место, очень часто в качестве решения применяется перенос содержимого и баз WSUS на другой раздел. В этой статье я объясню как сделать следующее:: Как переместить содержимое WSUS Как переместить файлы баз данных WSUS Как очистить базу данных WSUS Для начала проверим размер разделов. Для этого откройте SBS Console и выберите вкладку

|

|

November 27, 2009 – 12:22 pm

Хотя клиентское и серверное приложение telnet существует уже очень долго, оно все еще крайне полезно, и некоторые, например я, пользуются им ежедневно для решения различных задач настройки сети. В Windows Server 2008 настройка вашего сервера на отклики на telnet-запросы и использование вашего сервера для telnet-запросов на другие системы могут значительно отличаться. Давайте же разберемся, как

|

|

October 29, 2009 – 8:52 pm

Резервное копирование настроек принт-сервера в Windows 2000 / 2003Предположим у вас есть один или несколько Windows серверов, к которым подключены все ваши сетевые принтеры, и пользователи подключаются и используют их. Каждый из принтеров добавлен вручную, установлено множество драйверов, все настроено и вообще у вас все хорошо. Если эти сервера выйдут из строя, вы должны будете

|

|

August 28, 2009 – 11:24 pm

Большинство из нас знакомо с командой IPCONFIG /ALL, которая отображает полную IP конфигурацию, включая MAC адреса для каждого сетевого адаптера. Если нам из всего вывода необходимо всего лишь получить MAC адреса, то тут возникает небольшая проблема, связанная с слишком большим количеством информации, особенно если компьютер имеет несколько интерфейсов. Другая проблема  — данная команда запускается только на

|

|

August 19, 2009 – 2:39 pm

Если вы не смогли найти в Outlook 2010 опцию, включающую очищение папки Удаленные во время выхода из Outlook, или просто забыли как это делается, для вас данная статья-напоминание. 1. Откройте Outlook. 2. Перейдите в самый верх окна и нажмите Office Button(выделено красным).

|

|

What is it? Where does it reside? How do we get inside?

A quick blurb since these questions do come up occasionally.

***  Warning this may only be interesting to the inquisitive -SQL minded IT folks roaming the face of this planet    ***

Then again in case you are responsible for a i.e. WSUS server you may find this interesting as well.

For starters – the database resides – drum roll please in

%windir%\wid

meaning we can go and have a look at what we can find there.

  • WID\Binn
    • \Data
    • \Log

starts to look very familiar to a SQL DBA and sure enough it is.

Browsing the \Data folder you’ll see master, model, temp, msdb data and log files and in case you chose to configure WSUS to use the Windows Internal Database (WID) you’ll find SUSDB.mdf and SUSDB_log.ldf there as well.

Like SQL server we need to get permission to look into the \Log folder to find the currently in use error log. Grab a copy and examine it.

Interestingly enough Microsoft chose to stay with SQL 2014 as platform for the internal database on a Windows 2016 Server. (see below)

Microsoft SQL Server 2014 – 12.0.2000.8 (X64) Feb 20 2014 20:04:26
Copyright (c) Microsoft CorporationWindows Internal Database (64-bit) on Windows NT 6.3 (Build 14393: ) (Hypervisor)

Next interesting aspect is the service account ‘NT SERVICE\MSSQL$MICROSOFT##WID’

(see below) indicating the hidden aspect of this SQL Server ($)

Logging SQL Server messages in file ‘C:\Windows\WID\Log\error.log’.
The service account is ‘NT SERVICE\MSSQL$MICROSOFT##WID’

Interesting parameters in addition to the standard -d,-l and -e. (see below)

A quick look over at Trace Flags (Transact-SQL) doesn’t shed any light on

-K, -T1617 or -W65535  all three are possibly aspects to limit WID resource demands.

Registry startup parameters:
-d C:\Windows\WID\Data\master.mdf
-l C:\Windows\WID\Data\mastlog.ldf
-e C:\Windows\WID\Log\error.log-K  -T 1617  -w 65535

Followed by 2 more interesting Command Line Startup Parameters (see below)

Server      Command Line Startup Parameters:-S “MSWIN8.SQLWID”-s “MICROSOFT##WID”      instead of  -s “MSSQLSERVER” for a default SQL server

Next interesting aspect

The password regeneration attempt for SA was successful.

Telling us the server name in the form of machine name\SQL Server name

Server name is ‘LAB-DC\MICROSOFT##WID’.

Informing us where we could connect to

Server local connection provider is ready to accept connection on .

Until we finally see below – SQL giving us the all important meaning its ready for work – before starting  SUSDB for the WSUS server running on this server

Recovery is complete. This is an informational message only. No user action is required. Starting up database ‘SUSDB’.

Successfully connected to the WID database running our WSUS server  using SSMS 16.4.1

Important:  Your login may have to be added to the WSUS Administrators role before you can connect. In addition you may have to start SQL Server Management Studio by right clicking – Run as administrator

Be aware if you choose to use WID as the backend for your WSUS installation the BPA (Best Practice Analyzer) for BPA will understandably raise a warning in the Performance Category like this

To test this you can use PowerShell (see below)

Clear-Host

Invoke-BpaModel -ModelId Microsoft/Windows/UpdateServices

Get-BpaResult -ModelId Microsoft/Windows/UpdateServices | Select Source, Severity, Category, Title, Problem, Impact, Resolution, Compliance, Help | Where {$_.Severity -NotMatch “Information”} | Format-List

Advertisement

Appending SUSDB to SQL Server

When configuring SQL Server, keep in mind that WSUS only allows Windows authentication. If the database is running on a separate server, you have to make sure the computer account of the WSUS server gets the necessary login permission.

Attaching SUSDB to SQL Server via the graphical SQL Server Management Studio

Now you can attach SUSDB remotely from a workstation in SQL Server Management Studio. To do this, open the Databases context menu in the Object Explorer and execute the Attach command. In the following dialog, click on Add, navigate to the directory where you have stored SUSDB, and open the database.

Creating a gMSA

We need a group Managed Service Account (gMSA) to be used as the AD FS service account across the AD FS farm. A gMSA is the safest way to host this account from Active Directory.

When using SQL Server opposed to using WID, however, the serviceaccount becomes really important, because it is not only used to run the AD FS service on AD FS servers in the AD FS Farm, but also to connect to the SQL Server backend: The service account specified when using the script from Export-AdfsDeploymentSQLScript, will be added as a login to the SQL Server installation and will be provided with privileges in the database.

Use the following lines of PowerShell on a system with the Active Directory Module for Windows PowerShell installed, while signed in with a user account that is a member of the Domain Admins group, supposing ADFSServer1 is the hostname of the first AD FS server in the farm:

Import-Module ActiveDirectory

New-ADServiceAccount ADFSgMSA -DNSHostName adfsgmsa.domain.tld -PrincipalsAllowedToRetrieveManagedPassword ADFSServer1

Первый запуск и настройка WSUS

После установки наш сервер еще не готов к работе и требуется его первичная настройка. Она выполняется с помощью мастера.

В диспетчере сервера кликаем по Средства — Службы Windows Server Update Services:

При первом запуске запустится мастер завершения установки. В нем нужно подтвердить путь, по которому мы хотим хранить файлы обновлений. Кликаем по Выполнить:

… и ждем завершения настройки:

Откроется стартовое окно мастера настройки WSUS — идем далее:

На следующей странице нажимаем Далее (при желании, можно принять участие в улучшении качества продуктов Microsoft):

Далее настраиваем источник обновлений для нашего сервера. Это может быть центр обновлений Microsoft или другой наш WSUS, установленный ранее:

* в нашем примере установка будет выполняться из центра Microsoft. На данном этапе можно сделать сервер подчиненным, синхронизируя обновления с другим WSUS.

Если в нашей сети используется прокси-сервер, задаем настройки:

* в нашем примере прокси-сервер не используется.

Для первичной настройки WSUS должен проверить подключение к серверу обновлений. Также будет загружен список актуальных обновлений. Нажимаем Начать подключение:

… и дожидаемся окончания процесса:

Выбираем языки программных продуктов, для которых будут скачиваться обновления:

Внимательно проходим по списку программных продуктов Microsoft и выбираем те, которые есть в нашей сети, и для который мы хотим устанавливать обновления:

* не стоит выбирать все программные продукты, так как на сервере может не хватить дискового пространства.

Выбираем классы обновлений, которые мы будем устанавливать на компьютеры:

* стоит воздержаться от установки обновлений, которые могут нанести вред, например, драйверы устройств в корпоративной среде не должны постоянно обновляться — желательно, чтобы данный процесс контролировался администратором.

Настраиваем синхронизацию обновлений. Желательно, чтобы она выполнялась в автоматическом режиме:

Мы завершили первичную настройку WSUS. При желании, можно установить галочку Запустить первоначальную синхронизацию:

После откроется консоль управления WSUS.

Programmability

Компонент Enterprise Standard Интернет Express с дополнительными службами Express
Базовая интеграция R 1 Да Да Да Да Нет
Расширенная интеграция R 2 Да Нет Нет Нет Нет
Базовая интеграция Python Да Да Да Да Нет
Расширенная интеграция Python Да Нет Нет Нет Нет
Сервер машинного обучения (автономный) Да Нет Нет Нет Нет
Вычислительный узел PolyBase Да Да 3 Да 3 Да 3 Да 3
Головной узел PolyBase Да Нет Нет Нет Нет
JSON Да Да Да Да Да
Хранилище запросов Да Да Да Да Да
Temporal Да Да Да Да Да
Интеграция со средой CLR Да Да Да Да Да
Собственная поддержка XML Да Да Да Да Да
Индексирование XML Да Да Да Да Да
Возможности MERGE & UPSERT Да Да Да Да Да
поддержка FILESTREAM Да Да Да Да Да
FileTable Да Да Да Да Да
Типы данных даты и времени Да Да Да Да Да
Поддержка международного использования Да Да Да Да Да
Семантический поиск и полнотекстовый поиск Да Да Да Да Нет
Определение языка в запросе Да Да Да Да Нет
Компонент Service Broker (сообщения) Да Да Нет (только клиент) Нет (только клиент) Нет (только клиент)
конечные точки в языке Transact-SQL Да Да Да Нет нет
График Да Да Да Да Да

1 Базовая интеграция ограничена двумя ядрами и наборами данных в памяти.

2 В расширенной интеграции можно использовать все доступные ядра для параллельной обработки наборов данных в любом масштабе с учетом ограничений оборудования.

3 Для масштабного развертывания с несколькими вычислительными узлами требуется головной узел.

Варианты включения

Центр обновления Виндовс 10 находится в директории «Параметры» под пунктом «Обновления и безопасность».

Запуск через панель управления

Автообновление Виндовс 10 выполняется, как правило, самостоятельно, но встречаются случаи, когда автоматического апдейта не происходит, тогда необходимо выполнить настройку вручную.

Из привычного всем места центр обновлений перенесен, разработчиками Майкрософт, в приложение «Параметры». Для этого следует перейти в Меню Пуск. После выбираем «Параметры». В окне переходим на вкладку «Обновление и безопасность», далее находим пункт «Центр обновления Виндовс».

Включение в локальной групповой политике

Если центр обновления windows 10 не работает, необходимо выполнить следующие действия:

  1. Зажатием клавиш Win+R открываем команду «Выполнить».
  2. Пишем в строке «Открыть:» services.msc
  3. Щелкаем по кнопке ОК (Рисунок 2).

Таким образом, мы вызовем окошко «Службы». В списке справа располагается «Центр обновления Виндовс». Наводим курсор и кликаем ПКМ, после чего появится список с пунктом «Свойства». В новом окне на вкладке «Общее» выбираем строку «Тип запуска» и устанавливаем параметр «Автоматически». Не забудьте щелкнуть по кнопке ОК.

Конечным этапом нужно выполнить перезагрузку устройства.

Рисунок 2. Прописывание команды service.msc в служебном окне

Запуск через диспетчер задач

Как включить службу апдейта Виндовс 10? Для этого требуется запустить «Диспетчер задач», быстро сделать это можно, одновременно зажав, клавиши CTRL+SHIFT+ESC. Двигаемся в дирекцию «Службы» и находим службу «wuauserv». С помощью этой службы на устройстве выполняется автообновление в фоновом режиме (Рисунок 3).

Рисунок 3. Служба wuauserv запущенная в диспетчере задач для автообновления ОС

Через командную строку

Бывает так, что на получение апдейта наложен запрет через настройки системы. В этом случае обновить вашу машину вышеуказанными способами не получится — это можно сделать принудительно, воспользовавшись командной строкой. Как включить апдейт Виндовс 10 принудительно? С помощью клика ПКМ на меню Пуск и из списка найти «Командная строка» либо Windows PowerShell. В появившемся окне нужно написать следующую команду: wuaclt.exe/updatenow и ударить по клавише Enter (не сильно) (Рисунок 4).

Рисунок 4. Окно центра обновления Windows с наличием обновлений

Исправить значение параметра в реестре

Чтобы проверить наличие апдейта для компьютера, нужно щелкнуть по кнопке «Проверка наличия обновлений». Он также может не работать, если не исправить значение параметра в реестре. Чтобы исправить это недоразумение придется выполнить следующие шаги:

  1. Открываем окно «Выполнить», зажимаем клавиши Win+R и далее пишем команду «regedit».
  2. В окне «Редактор реестра» в строке поиска вставляем этот путь: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv.
  3. В списке находим интересующий нас параметр «Start» и щелкаем по нему ПКМ, для выбора пункта «Изменить».
  4. Наверняка вы будете видеть значение параметра 4. Чтобы запустить нужную нам службу и начать загрузку поменяйте значение на 1 (Рисунок 5).

Рисунок 5. Исправление значения параметров в реестре для активации обновления

Программа WSUS Offline Update

Утилита WSUS Offline Update — лайфхак для юзеров, которые не хотят отставать от свежих новинок для Windows и Office. Ведь именно через эту утилиту можно ввести установку различных дополнений для устройств, при этом это удобно тем, что можно производить установку апдейта оффлайн — интернет-подключение не потребуется. К списку для загрузки компонентов, можно добавлять и удалять сервис-паки, различные библиотеки и другие «фишки» (Рисунок 6).

А также существует возможность собирать данные в образы ISO, что может быть полезно для дальнейшего их использования.Так же на нашем сайте Вы можете огромное количество полезных программ для Windows.

Рисунок 6. Внешний вид интерфейса приложения WSUS Offline Update

Использование SQL Server с веб-сервером

На веб-сервере (например, под управлением служб IIS) обычно устанавливают клиентские средства SQL Server . Клиентские средства включают в себя клиентские компоненты соединения, которые используются приложениями, соединяющимися с экземпляром SQL Server.

Примечание

Хотя возможна установка экземпляра SQL Server на тот же компьютер, где работают службы IIS, обычно это делается только для небольших веб-сайтов, состоящих из одиночного серверного компьютера. У большинства веб-сайтов их системы IIS среднего уровня расположены на одном сервере или серверном кластере, а базы данных — на отдельном сервере или федерации серверов.

Администрирование Windows Internal Database | Windows для системных администраторов

Windows Internal Database (WID) представляет собой «облегченной» базу данных SQL, основанную на SQL Server Express. Windows Internal Database предлагается в качестве бесплатной базы данных SQL, которую можно использовать в различных продуктах Microsoft (или сторонних разработчиков) в качестве легкого и бесплатного SQL- решения для хранения данных. В частности, WID может использоваться SharePoint или таким ролями Windows Server, как WSUS, ADRMS, ADFS, Connection Broker и т.п.

Windows Internal Database включается в состав серверных ОС Window, начиная с версии Windows Server 2008. В Windows 2008 независимо от разрядности доступна только 32 битная версия WID (устанавливается в C:\Program Files (x86)\Microsoft SQL Server), в Windows Server 2012 версия WID — 64-битная (база находится в каталоге C:\Windows\WID). В качестве отдельного продукта Windows Internal Database пользователям не доступна.

Примечание. Для больших продуктивных сред Microsoft рекомендует размещать инфраструктурные БД на полноценном инстансе SQL. WID – рекомендуется использовать в небольших организациях, тестовых средах (или «от бедности», при высокой лицензионной нагрузкой «старших» версий SQL Server).

Основные особенности Windows Internal Database:

  • База данных WID предполагает только локально использование, удаленно к ней подключиться не получится
  • Отсутствуют ограничения на размер файлов БД (в отличии от той же редакции SQL Express)
  • Не требует для своего использования лицензии.

Управление базой Windows Internal Database

По задумке разработчиков база WID предназначена только для консольной или скриптовой установки, а все операции с ней должны выполняться через командную строку. Но к счастью базой WID можно управлять и через GUI с помощью SQL Management Studio.

Для этого нужно:

  1. Скачать и установить SQL Server Management Studio Express 2012 (входит в состав Microsoft SQL Server 2012 Express, но ее можно скачать и отдельно, выбрав ENU\x64\SQLManagementStudio_x64_ENU. exe)
  2. Запустить консоль Management Studio с правами администратора
  3. Подключится к базе, указав следующее имя сервера:
    • в Windows Server 2008 / R2 —
    • в Windows Server 2012 / R2 —

Для подключения через sqlcmd.exe следует выполнить такую команду:

sqlcmd -S \\.\pipe\MICROSOFT##WID\tsql\query –E

Как удалить базу WID

После удаления роли Windows, которая использует базу Windows Internal Database, сам инстанс SQL с базой WID не удаляется, причем инструментов для ее удаление в системе нет. Деинсталлировать базу Windows Internal Database можно только при помощи Windows Installer.

Для удаления базы WID на Windows Server 2008 нужно:

В Windows Server 2012 базу WID можно удалить гораздо проще — с помощью Powershell:

Remove-WindowsFeature Windows-Internal-DB

Сами файлы базы данных (.

Определить версию установленную версию WID можно по файлу:

  • Для Windows Server 2008: %WINDIR%\SYSMSI\SSEE\MSSQL.2005\MSSQL\LOG
  • Для Windows Server 2012: %WINDIR%\WID\Log\error.log

Содержит он примерно такую информацию:

Characteristics of the Windows Internal Database

The Windows Internal Database is used by Active Directory, WSS, WSUS and other Windows Server services as their data storage. Some of its main characteristics are:

  • It cannot be used as a regular SQL Server instance as it is intended to be only used by Windows Services/Programs.
  • It cannot be removed by using the “Add or Remove Programs” tool because it does not appear in the list of currently installed programs (more info here). Note that it is not recommended to uninstall SSEE as it might affect the operation of Windows Services that use it.
  • It only supports Windows Authentication.
  • You can only connect to the instance using Named Pipes.

Configuring AD FS

On the proposed first AD FS server, perform the following lines of Windows PowerShell  in an elevated window to configure the AD FS Server role with a SQL Server named SQLServer, listening on the default port (TCP 1433):

$ADFSFarmName = «sts.domain.tld»

$Thumb = (Get-ChildItem -path cert:\LocalMachine\My | Where-Object {$_.Subject -match $ADFSFarmName}).Thumbprint

Install-ADFSFarm -CertificateThumbPrint $thumb -FederationServiceDisplayName «Organization Name» -FederationServiceName $ADFSFarmName -GroupServiceAccountIdentifier «DOMAIN\ADFSgMSA$» -OverwriteConfiguration -SQLConnectionString «Data Source=SQLSERVER;IntegratedSecurity=True»

Restart-Computer

In some environments, complex SQL connection strings might be returned by a SQL admin as answer to the AD FS SQL scripts. In these cases, it is wise to test the SQL connection string manually on the AD FS Servers, before implementation. Use the following lines of Windows PowerShell to this purpose:

$conn = New-Object System.Data.SqlClient.SqlConnection

$conn.ConnectionString = «Data Source=SQLServerName:Port;Integrated Security=True;»

# If no error occurs here, then connection was successful.

$conn.Open();

$conn.Close();

How to install additional AD FS Servers with Microsoft SQL Server

After setting up the AD FS farm by implementing the first AD FS server, adding additional AD FS servers to the farm is straightforward.

Make sure:

  1. The same TLS certificate is available for the additional AD FS servers as used on the first AD FS server in the AD FS farm. Install the certificate in the personal certificate store for the local machine.
  2. The proposed AD FS server is a domain-joined Windows Server installation and you are logged on with a domain account that is a member of the Domain Admins group.
  3. The Microsoft SQL Server is available.

On the proposed AD FS server, install the AD FS Server role with the following line of Windows PowerShell in an elevated window:

Install-WindowsFeature ADFS-Federation -IncludeManagementTools

Then, in the same PowerShell window, use the following lines of Windows PowerShell, replacing the values for $ADFSFarmName, -GroupServiceAccountIdentifier and -SQLConnectionString in the same way as you did for the first AD FS server:

$ADFSFarmName = «sts.domain.tld»

$Thumb = (Get-ChildItem -path cert:\LocalMachine\My | Where-Object {$_.Subject -match $ADFSFarmName}).Thumbprint

Add-AdfsFarmNode -CertificateThumbPrint $thumb -GroupServiceAccountIdentifier «DOMAIN\ADFSgMSA$» -SQLConnectionString «Data Source=SQLSERVER;IntegratedSecurity=True»

Restart-Computer

Checking for Token Replay Detection

Token replay detection is enabled by default when you deploy AD FS with SQL Server. However, after deploying AD FS with SQL Server, you may want to check if Token Replay Detection is enabled. Run the following line of Windows PowerShell in an elevated window to do so:

(Get-ADFSProperties).PreventTokenReplays

Concluding

SAML Artifact Resolution and Token Replay Detection should be available for hardened Hybrid Identity implementation. To gain access to these features, install Active Directory Federation Services (AD FS) with Microsoft SQL Server as its back-end.

Очистка WSUS

Для того, чтобы почистить WSUS (чтобы он начал работать или заработал быстрее), есть несколько средств:

  1. Штатные средства консоли Windows Server Update Services.
  2. Дефрагментация / реиндексация базы данных WSUS.
  3. Ускорение работы WSUS с помощью чистки/оптимизации базы данных.
  4. Удаление устаревших / ненужных обновлений из командной строки.
  5. Проверка и исправление испорченных файлов обновлений WSUS.

Применять все эти средства рекомендуем по порядку: они перечислены в порядке от более слабых к более сильным средствам.

Штатные средства очистки в консоли Windows Server Update Services

Для чистки WSUS стандартными средствами:

  1. Откройте консоль Windows Server Update Services
  2. Выберите «Options» => «Server Cleanup Wizard»
  3. Отметьте все пункты для очистки:
  1. Unused updates and update revisions
  2. Computers not contacting the server
  3. Unneeded update files
  4. Expired updates
  5. Superseded updates

Нажмите Next и выполните очистку всех указанных пунктов

Главный секрет состоит в том, что запускать Server Cleanup Wizard со всеми пунктами необходимо регулярно, не реже одного раза в месяц (или при одобрении большой пачки обновлений). Одобрили свежую пачку обновлений — очистите сервер. Если этого не делать, мастер прекращает нормально работать. После запуска он висит несколько часов, после чего консоль «падает» с ошибкой.

Для решения проблемы можно попробовать запускать каждый из перечисленных пунктов в Server Cleanup Wizard по отдельности. Если же и это не помогает, нужно переходить к другим средствам оптимизации WSUS.

Дефрагментация / реиндексация базы данных WSUS.

Название базы данных WSUS по умолчанию — SUSDB. Для выполнения запросов к этой базе данных (независимо от того, является эта база MS SQL или Windows Internal Database) рекомендуем установить SQL Management Studio (SMSS). Это ПО теперь является отдельным (и бесплатным) продуктом от Microsoft.

Подключение к Windows Internal Database

В случае, если формат базы данных WSUS — Windows Internal Database, для работы с базой необходимо установить SQL Management Studio на сервер WSUS и для подключения к базе данных использовать строку:

Ускорение работы WSUS с помощью чистки/оптимизации базы данных

Несколько советов, которые могут во многих случаях значительно ускорить сервер.

  1. Очистка базы
  2. Переиндексация
  3. Настройка TempDB

Очистка базы

Для очистки базы выполните 4 волшебные команды:

Отклонение «просроченных» обновлений:

Отклонение «устаревших» обновлений (взамен которых вышли другие обновления):

«Сжатие» обновлений (для команды spCompressUpdate используется «обертка»):

Удаление отклоненных обновлений (для команды spDeleteUpdate используется такая же «обертка»):

Во время работы «обёрток» клиенты прекращают получать обновления. Вы можете в любой момент прервать выполнение скрипта без потери прогресса. Для того, чтобы продолжить процесс, не забудьте удалить временную таблицу:

В мастере очистки WSUS 5 команд, мы вполнили 4 из них. Команду «Delete computers not contacting server» следует выполнить из мастера.

«Ручная» переиндексация базы данных:

Понравилась статья? Поделиться с друзьями:
Быть в курсе нового
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: