Procedimientos recomendados para los servicios de actualización de Windows Server

En este artículo se proporcionan sugerencias para evitar configuraciones que experimenten un rendimiento insuficiente debido a limitaciones de diseño o configuración en WSUS.

Versión original del producto: Configuration Manager (rama actual), Windows Server Update Services
Número KB original: 4490414

Límites de capacidad

Aunque WSUS puede admitir 100 000 clientes por servidor (150 000 clientes cuando se usa Administrador de configuración), no se recomienda abordar este límite.

En su lugar, considere la posibilidad de usar una configuración de 2-4 servidores que compartan la misma base de datos de SQL Server. De esta forma, tiene seguridad en los números. Si un servidor deja de funcionar, no estropeará inmediatamente su fin de semana porque ningún cliente pueda actualizar mientras usted debe ser actualizado contra el último ataque de día cero

El escenario de base de datos compartida también evita una tormenta de análisis.

Una tormenta de análisis puede producirse cuando muchos clientes cambian los servidores WSUS y los servidores no comparten una base de datos. WSUS realiza un seguimiento de la actividad en la base de datos para que ambos sepan lo que ha cambiado desde la última vez que un cliente examinó y solo enviará metadatos que se actualizan desde entonces.

Si los clientes cambian a servidor WSUS diferente que usa una base de datos diferente, deben realizar un análisis completo. Un análisis completo puede causar grandes transferencias de metadatos. Las transferencias de más de 1 GB por cliente pueden producirse en estos escenarios, especialmente si el servidor WSUS no se mantiene correctamente. Puede generar suficiente carga para producir errores cuando los clientes se comuniquen con una instancia de WSUS. Y los clientes vuelvan a intentarlo repetidamente en este caso.

Compartir una base de datos significa que si un cliente cambia a otra instancia WSUS que utiliza la misma base de datos, no se incurre en la penalización de análisis. Los aumentos de carga no son la gran penalización que paga por cambiar de base de datos.

Los exámenes de cliente del Administrador de configuración ponen más demanda en WSUS que las actualizaciones automáticas independientes. Administrador de configuración, debido a que incluye la comprobación de cumplimiento, las solicitudes analizan con criterios que devolverán todas las actualizaciones que están en cualquier estado excepto rechazadas.

Cuando el Agente de actualizaciones automáticas examina, o hace clic en Buscar actualizaciones en el Panel de control, el agente envía criterios para recuperar solo las actualizaciones aprobadas para la instalación. los metadatos devueltos suelen ser menores que cuando el administrador de configuración inicia el análisis. El Agente de actualización almacena en caché los datos y las siguientes solicitudes de análisis devolverán los datos de la memoria caché del cliente.

Deshabilitar el reciclaje y configurar los límites de memoria

WSUS implementa una memoria caché interna que recupera los metadatos de actualización de la base de datos. Esta operación es cara y hace un uso intensivo de la memoria Puede causar que el grupo de aplicaciones IIS que hospeda WSUS (conocido como WSUSPool) se recicle cuando WSUSPool sobrecarga los límites de memoria privada y virtual predeterminados.

Cuando el grupo se recicla, la memoria caché se quita y se debe volver a generar. No es un gran problema cuando los clientes están experimentando análisis delta. Pero si termina en un escenario de tormenta de análisis, el grupo se reciclará constantemente. Y los clientes recibirán errores cuando realice solicitudes de análisis, por ejemplo, errores HTTP 503.

Se recomienda aumentar la longitud de la cola predeterminada y deshabilitar el límite de memoria virtual y privada estableciéndolos en 0. IIS implementa un reciclaje automático del grupo de aplicaciones cada 29 horas, Ping y tiempos de espera inactivos, todos los cuales deben deshabilitarse. Estos ajustes se encuentran en Administrador de IIS>Pools de aplicaciones> seleccione WsusPool y, a continuación, haga clic en el enlace Configuración avanzada del panel lateral derecho del administrador de IIS.

Este es un resumen de los cambios recomendados y una captura de pantalla relacionada. Para obtener más información, consulte Planificación de actualizaciones de software en el Administrador de configuración.

Nombre de valor de configuración Valor
Longitud de la cola 2000 (en vez de 1000)
Tiempo de espera inactivo (minutos) 0 (por debajo del valor predeterminado de 20)
Ping habilitado Falso (del valor predeterminado de True)
Límite de memoria privada (KB) 0 (ilimitado, en vez del valor predeterminado de 1.843.200 KB)
Intervalo de tiempo regular (minutos) 0 (para evitar un reciclaje y modificado desde el valor predeterminado de 1740)

Captura de pantalla de la configuración de la ventana de Configuración avanzada.

En un entorno que tenía alrededor de 17 000 actualizaciones almacenadas en caché, hemos visto más de 24 GB de memoria necesaria a medida que se construye la memoria caché hasta que se estabiliza (alrededor de 14 GB).

Compruebe si la compresión está habilitada (si desea conservar el ancho de banda)

WSUS utiliza un tipo de compresión llamado Xpress Encoding. Implementa la compresión en los metadatos de actualización y puede resultar en ahorros significativos de ancho de banda.

La codificación Xpress está habilitada en ApplicationHost.config de IIS con esta línea bajo el elemento <httpCompression> y una configuración del registro:

  • ApplicationHost.Config

    <scheme name="xpress" doStaticCompression="false" doDynamicCompression="true" dll="C:\Program Files\Update Services\WebServices\suscomp.dll" staticCompressionLevel="10" dynamicCompressionLevel="0" />

  • Clave del registro

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services\Server\Setup\IIsDynamicCompression

Si ambos no están presentes, se puede habilitar ejecutando este comando y, a continuación, reiniciando el grupo de aplicaciones WsusPool en IIS.

cscript "%programfiles%\update services\setup\DynamicCompression.vbs" /enable "%programfiles%\Update Services\WebServices\suscomp.dll"

La codificación Xpress agregará algo de sobrecarga de CPU y se puede deshabilitar si el ancho de banda no es un problema, pero el uso de la CPU sí. El siguiente comando lo desactivará.

cscript "%programfiles%\update services\setup\DynamicCompression.vbs" /disable

Configurar de productos y categorías

Al configurar WSUS, elija solo los productos y categorías que planea implementar. Siempre puede sincronizar categorías y productos que debe tener más adelante. Agregarlos cuando no planee implementarlos aumenta el tamaño de los metadatos y la sobrecarga en los servidores WSUS.

Desactivar actualizaciones de Itanium y otras actualizaciones innecesarias

No debería ser un problema durante mucho más tiempo, porque Windows Server 2008 R2 fue la última versión que admite Itanium. Pero hay que mencionarlo.

Personalice y use este script en su entorno para rechazar las actualizaciones de la arquitectura de Itanium. El script también puede rechazar las actualizaciones que contienen Versión previa o Beta en el título de la actualización.

Esto lleva a que la consola WSUS sea más receptiva, pero no afecta al análisis del cliente.

Rechazar actualizaciones reemplazadas y ejecutar el mantenimiento

Una de las cosas más importantes que puede hacer para ayudar a WSUS a funcionar mejor. Mantener las actualizaciones que se reemplazan más tiempo del necesario (es decir, después de que ya no las implemente) es la principal causa de problemas de rendimiento de WSUS. Está bien tenerlas cerca si todavía está desplegándolas. Retírelas cuando termine con ellas.

Para obtener información acerca de la disminución de las actualizaciones reemplazadas y otros elementos de mantenimiento de WSUS, consulte el artículo Guía completa sobre el mantenimiento de Microsoft WSUS y del Administrador de configuración SUP.

WSUS con configuración SSL

De forma predeterminada, WSUS no está configurado para usar SSL para la comunicación con el cliente. El primer paso posterior a la instalación debe ser configurar SSL en WSUS para asegurarse de la seguridad entre las comunicaciones servidor-cliente.

Debe realizar una de las acciones siguientes:

  • Crear un certificado autofirmado. No es ideal porque cada cliente tendría que confiar en este certificado.
  • Obtener uno de un proveedor de certificados de terceros.
  • Obtenga uno de la infraestructura de certificación interna.

El certificado debe tener el nombre de servidor corto, el FQDN y los nombres SAN (alias) que realiza.

Después de tener instalado el certificado, actualice la directiva de grupo (o la configuración de cliente para las actualizaciones de software en Administrador de configuración) para usar la dirección y el puerto SSL del servidor WSUS. El puerto es, por lo general, 8531 o 443.

Por ejemplo, configure el GPO Especificar ubicación del servicio de actualización de Microsoft de la intranet en <https://wsus.contoso.com:8531>.

Para empezar, consulte Proteja WSUS con el protocolo Secure Sockets Layer Protocol.

Configurar exclusiones antivirus

Acerca de las actualizaciones acumulativas y los paquetes acumulativos mensuales

Es posible que vea los términos paquetes acumulativos mensuales y actualización acumulativa que se usan para las actualizaciones del sistema operativo Windows. Se pueden usar indistintamente. Los paquetes acumulativos hacen referencia a las actualizaciones publicadas para Windows 7, Windows 8.1, Windows Server 2008 R2 y Windows Server 2012 R2 que solo son parcialmente acumulativas.

Para obtener más información, consulte el siguiente artículo de blog:

Con Windows 10 y Windows Server 2016, las actualizaciones eran acumulativas desde el principio:

Acumulativa significa que: usted instala la versión de lanzamiento del sistema operativo y solo tiene que aplicar la última actualización acumulativa para ser totalmente revisado. Para los sistemas operativos más antiguos todavía no tenemos tales actualizaciones, aunque esta es la dirección, todavía estamos en ello.

Para Windows 7 y 8.1, esto significa que después de instalar el paquete acumulativo mensual más reciente, seguirán siendo necesarias actualizaciones adicionales. Este es un ejemplo de Windows 7 y Windows Server 2008 R2 sobre lo que se necesita para tener un sistema casi totalmente revisado.

La tabla siguiente contiene la lista de paquetes acumulativos mensuales y actualizaciones acumulativas de Windows. También puede encontrarlas buscando Historial de actualizaciones de Windows <versión>.

Versión de Windows Actualizar
Windows 7 SP1 y Windows Server 2008 R2 SP1 Historial de actualizaciones de Windows 7 SP1 y Windows Server 2008 R2 SP1
Windows 8.1 and Windows Server 2012 R2 Historial de actualizaciones de Windows 8.1 y Windows Server 2012 R2
Windows 10 y Windows Server 2016 Historial de actualizaciones de Windows 10 y Windows Server
Windows Server 2019 Historial de actualizaciones de Windows 10 y Windows Server 2019

Otro punto a tener en cuenta es que no todas las actualizaciones se publican para que se sincronicen automáticamente con WSUS. Por ejemplo, las actualizaciones acumulativas de semana C y D son actualizaciones de vista previa y no se sincronizarán con WSUS, sino que deben importarse manualmente. Consulte la sección Actualizaciones mensuales de calidad de la cadencia de mantenimiento de actualizaciones de Windows 10.

Usar PowerShell para conectarse a un servidor WSUS

Este es solo un ejemplo de código para empezar a usar PowerShell y la API de WSUS. Se puede ejecutar donde está instalada la consola de administración de WSUS.

[void][reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$WSUSServer = 'WSUS'
# This is your WSUS Server Name
$Port = 8530
# This is 8531 when SSL is enabled
$UseSSL = $False
#This is $True when SSL is enabled
Try
{
    $Wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer($WSUSServer,$UseSSL,$Port)
}
Catch
{
    Write-Warning "$($WSUSServer)<$($Port)>: $($_)"
    Break
}

Referencias