Рекомендации для Windows Server Update Services

Статья
12/05/2023

В этой статье приведены советы по избеганию конфигураций с низкой производительность из-за ограничений дизайна или конфигураций в WSUS.

Оригинальная версия продукта: Диспетчер конфигураций (текущая ветвь), Windows Server Update Services
Оригинальный номер базы знаний: 4490414

Ограничения мощности

Несмотря на то, что WSUS поддерживает до 100 000 клиентов на сервер (150 000 клиентов при использовании Диспетчера конфигураций), мы не рекомендуем приближаться к этому пределу.

Вместо этого рекомендуется конфигурация из 2–4 серверов, использующих одну базу данных SQL Server. Это обеспечит безопасность в цифрах. Если один сервер выйдет из строя, это не испортит Ваши выходные из-за того, что ни одному клиенту не удается обновиться до тех пор, пока Вы ждете обновления, устраняющего последнюю уязвимость нулевого дня.

Общий сценарий базы данных также предотвращает так называемые штормы сканирований.

Шторм сканирований возникает когда много клиентов меняют сервера WSUS, а сервера не используют общую базу данных. WSUS отслеживает активность в базе данных, чтобы оба сервера знали что изменилось с последнего сканирования клиентом, и отправит только метаданные, которые были обновлены с этого момента.

Если клиент хочет перейти на другой сервер WSUS, использующий другую базу данных, ему необходимо выполнить полное сканирование. Полное сканирование может привести к большим передачам метаданных. В таких случаях может произойти передача объемом больше 1 ГБ на клиента, особенно если сервер WSUS не обслуживался должным образом. Это может вызвать достаточно высокую нагрузку для возникновения неполадок при обмене клиентов и экземпляра WSUS данными. А в этом случае клиенты несколько раз пытаются повторить попытку.

Совместное использование базы данных означает, что когда клиент переключается на другой экземпляр WSUS, использующий ту же базу данных, это не вызывает задержек из-за сканирования. Увеличение нагрузки менее существенно, чем огромные неудобства, вызванные переключением между базами данных.

Сканирования клиента Диспетчера конфигураций более требовательны к WSUS, чем отдельные автоматические обновления. Из-за того, что Диспетчер конфигураций включает в себя проверку соответствия, он требует сканирования по критериям, возвращающими все обновления, которые не были отменены.

Когда Служба автоматических обновлений выполняет сканирование, или при нажатии Проверить наличие обновлений на Панели управления, служба отправляет критерии для получения только тех обновлений, которые были утверждены для установки. Возвращаемые метаданные обычно меньше, чем при запуске сканирования Диспетчера конфигураций. Агент Центра обновлений кэширует данные, и при последующих запросах на сканирование вернет данные из кэша клиента.

Отключение перемещения в корзину и настройка ограничений памяти

WSUS использует внутренний кэш, получающий метаданные обновлений из базы данных. Эта операция является ресурсоемкой и использует очень много памяти. Это может привести к перезапуску пула приложения IIS, в котором размещается WSUS (также называемый WSUSPool), в случаях, когда WSUSPool перезаписывает ограничения частной и виртуальной памяти по умолчанию.

При перезапуске пула кэш удаляется и его необходимо воссоздать. Это не является серьёзной проблемой, если клиенты проходят дельта-сканирование. Но в условиях шторма сканирований пул перезапускается непрерывно. В таком случае при запросах на сканирование клиенты будут получать ошибки, такие как HTTP 503.

Рекомендуется увеличить Длину очереди по умолчанию и отключить лимиты виртуальной и частной памяти, установив для них значение 0. IIS выполняет автоматическую очистку пула приложения каждые 29 часов, проверку связи и времени простоя. Все это необходимо отключить. Эти параметры находятся вразделе Пулы приложений>диспетчера> IIS, выберите WsusPool, а затем щелкните ссылку Дополнительные параметры в правой боковой области диспетчера IIS.

Ниже приведена сводка рекомендуемых изменений и соответствующий снимок экрана. Дополнительные сведения см. в Планирование обновлений программного обеспечения в Диспетчере конфигураций.

Имя параметра	Значение
Длина очереди	2000 (по сравнению с 1000 по умолчанию)
Тайм-аут простоя (мин)	0 (ниже значения по умолчанию 20)
Проверка связи включена	False (по умолчанию True)
Лимит выделенной памяти (КБ)	0 (без лимита, выше значения по умолчанию 1 843 200 КБ)
Постоянный временной интервал (мин)	0 (для предотвращения очистки, по сравнению со стандартным значением 1740)

Снимок экрана настроек в окне «Дополнительные параметры».

В среде, в кэше которой находится около 17 000 обновлений, при сборке кэше может использоваться более 24 ГБ, до момента, пока кэш не стабилизуется (около 14 ГБ).

Убедитесь, что включено сжатие (при необходимости экономить пропускную способность)

WSUS использует сжатие типа Xpress Encoding. Этот тип реализует компрессию метаданных обновлений, что может значительно сэкономить пропускную способность.

Для включения кодирования Xpress используйте следующую строку под элементом <httpCompression> в ApplicationHost.config IIS и параметр реестра:

ApplicationHost.Config

<scheme name="xpress" doStaticCompression="false" doDynamicCompression="true" dll="C:\Program Files\Update Services\WebServices\suscomp.dll" staticCompressionLevel="10" dynamicCompressionLevel="0" />
Раздел реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services\Server\Setup\IIsDynamicCompression

Если оба параметра отсутствуют, сжатие можно включить, выполнив эту команду, а затем перезапустив пул приложений WsusPool в IIS.

cscript "%programfiles%\update services\setup\DynamicCompression.vbs" /enable "%programfiles%\Update Services\WebServices\suscomp.dll"

Кодирование Xpress приводит к дополнительной нагрузке на ЦП и может быть отключено при отсутствии необходимости экономить пропускную способность для уменьшения использования ЦП. Для отключения используйте указанную ниже команду.

cscript "%programfiles%\update services\setup\DynamicCompression.vbs" /disable

Настройка продуктов и категорий

При настройке WSUS необходимо выбирать только продукты и категории, которые Вы планируете развертывать. Продукты и категории, которые будут необходимы в будущем, можно синхронизировать в любое удобное время. Добавление продуктов и категорий, которые Вы не планируете развертывать, увеличивает размер метаданных и нагрузку на сервера WSUS.

Отключение обновлений Itanium и других ненужных обновлений

Отключение Itanium не вызовет неполадок, поскольку последней версией, поддерживавшей Itanium, является Windows Server 2008 R2. Но об этом стоит упомянуть.

Настройте и используйте этот сценарий в своей среде, чтобы отклонить обновления архитектуры Itanium. Также этот сценарий может отклонять обновления, в заголовке которых указано Preview или Beta.

Это ускоряет ответы консоли WSUS, но не влияет на сканирование клиента.

Отклонение замененных обновлений и запуск обслуживания

Это одно из наиболее важных решений для улучшения работы WSUS. Сохранение обновлений, замена которых выполняется дольше, чем необходимо (например, если они больше не развертываются), является главной причиной проблем с производительностью WSUS. Если они по-прежнему развертываются, их можно оставить. Обновления можно удалить по окончанию их использования.

Сведения об отказе от замененных обновлений и других элементов обслуживания WSUS см. в статье Полное руководство по обслуживанию Microsoft WSUS и поддержке SUP Диспетчера конфигураций.

WSUS с настройкой SSL

По умолчанию в WSUS отсутствует настройка для использования SSL для обмена данными с клиентами. Для обеспечения безопасности при обмене данными между клиентом и сервером первым шагом после установки необходимо настроить SSL в WSUS.

Необходимо выполнить одно из следующих действий.

Создание самозаверяющего сертификата. Это не идеальный вариант, поскольку каждому клиенту необходимо будет доверять этому сертификату.
Получение сертификата у стороннего поставщика.
Получение сертификата из внутренней инфраструктуры сертификатов пользователя

Сертификат должен содержать короткое имя сервера, полное доменное имя и имена SAN (псевдонимы), которые он использует.

После установки сертификата необходимо обновить групповую политику (или настройки конфигурации клиента для обновлений ПО в Диспетчере конфигураций), чтобы использовать адреса и SSL-порт сервера WSUS. Обычно используется порт 8531 или 443.

Например, настройте объект групповой политики. Укажите расположение службы обновления Майкрософт в интрасети<https://wsus.contoso.com:8531>.

Для начала работы см. Безопасный WSUS с протоколом SSL.

Настройка исключений антивирусного ПО

Сведения о накопительных обновлениях и ежемесячных накопительных пакетах

Вы можете ознакомиться с условиями для Ежемесячных накопительных пакетах и Накопительных обновлениях, используемых для обновлений ОС Windows. Их можно использовать взаимозаменяемо. Под накопительными пакетами имеются в виду обновления для Windows 7, Windows 8.1, Windows Server 2008 R2 и Windows Server 2012 R2, которые являются только частично накопительными.

Дополнительные сведения см. в следующих публикациях в блоге:

Обновления Windows 10 и Windows Server 2016 были накопительными с самого начала:

Частота обслуживания обновлений Windows 10

«Накопительный» означает, что пользователь устанавливает последнюю версию ОС, и для полного обновления достаточно применить только последнее Накопительное обновление. Для более старых операционных систем такие обновления пока недоступны, но мы движемся в этом направлении.

В случае с Windows 7 и Windows 8.1 это означает, что после установки последнего ежемесячного накопительного пакета обновлений по-прежнему потребуется установить дополнительные обновления. Пример всего, что необходимо для почти полного обновления системы с Windows 7 или Windows Server 2008 R2.

В следующей таблице указан список ежемесячных накопительных пакетов и накопительных обновлений Windows. Их также можно найти, выполнив поиск по запросу Журнал обновлений версий> Windows<.

Версия Windows	Update
Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1)	Журнал обновлений Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1)
Windows 8.1 и Windows Server 2012 R2	Журнал обновлений Windows 8.1 и Windows Server 2012 R2
Windows 10 и Windows Server 2016	Журнал обновлений Windows 10 и Windows Server
Windows Server 2019	Журнал обновлений Windows 10 и Windows Server 2019

Также следует учитывать, что не все обновления автоматически синхронизируются с WSUS при публикации. Например, накопительные обновления недель C и D являются обновлениями для предварительного просмотра и не синхронизируются с WSUS, а импортируются вручную. См. раздел Ежемесячные исправления в Частота обслуживания обновлений Windows 10.

Подключение к серверу WSUS с помощью PowerShell

Ниже приведен пример кода для начала работы с PowerShell и API WSUS. Этот код можно выполнить на системах с установленной консолью администрирования WSUS.

[void][reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$WSUSServer = 'WSUS'
# This is your WSUS Server Name
$Port = 8530
# This is 8531 when SSL is enabled
$UseSSL = $False
#This is $True when SSL is enabled
Try
{
    $Wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer($WSUSServer,$UseSSL,$Port)
}
Catch
{
    Write-Warning "$($WSUSServer)<$($Port)>: $($_)"
    Break
}

Поделиться через