WSUS-Updates für SharePoint-Server?

Published on Tuesday, 05 May 2020

Seit 2013 werden SharePoint-Updates über das "Standard"-Windows update verteilt. Anfangs nur CU-Updates, seit 2014 auch kleine updates und Hotfixes. Ist dies ein Problem? Vielleicht.

Updates in eine laufende SharePoint-Farm einzuspielen ist kein Point-und-Klick-Prozess, sondern durchaus komplexer und will auch durchdacht sein. Immerhin ist mit dem Update mindestens eine down-time der Farm verbunden. Sollten also SharePoint-Updates eingespielt werden? Ich denke schon. Sollte das immer, automatisiert und unbeobachtet laufen. Ich denke nicht.

Für Kunden, die keinen eigenen WSUS-Server haben und entsprechend die Updates auch nicht so feingranular steuern können empfehle ich meistens, die SharePoint-Updates mittels eines PowerShell-Skripts auszublenden.

Hierfür empfiehlt es sich die PSWindowsUpdate-Cmdlets zu verwenden. Sie können einfach aus der PowerShellGallery installiert werden:

# https://www.powershellgallery.com/packages/PSWindowsUpdate/
Install-Module PSWindowsUpdate

Dann können die anstehenden SharePoint-Updates ganz einfach ausgeblendet werden:

# hide SharePoint updates
(Get-WindowsUpdate -MicrosoftUpdate) | ? { $_.Title -like "*sharepoint*" } | % { Hide-WindowsUpdate -KBArticle $_.KB -Confirm:$false } 

Da Updates aber gerne aufeinander aufbauen, bzw. abhängigkeiten haben, könnten nun, nachdem einige updates ausgeblendet wurden neuen SharePoint-Updates "auftauchen". Daher verwende ich immer die folgende Zeile um "alle" Updates auszublenden:

# hide all SharePoint updates
do { $x = (Get-WindowsUpdate -MicrosoftUpdate) | ? { $_.Title -like "*sharepoint*" }; $x | % { Hide-WindowsUpdate -KBArticle $_.KB -Confirm:$false } } while ($x)

Die ausgeblendeten Updates werden dabei aufgelistet - man kann also perfekt (anhand der KB-Nummern) nachlesen ob das eine- oder andere Update nicht doch dringenden installiert werden sollte.