cлужбы Windows Server Update Services методов

В этой статье данная статья содержит советы по предотвращению конфигураций с низкой производительностью из-за ограничений конструкции или конфигурации в WSUS.

Оригинальная версия продукта: Диспетчер конфигурации (текущая ветвь), cлужбы Windows Server Update Services
Исходный номер КБ: 4490414

Ограничения емкости

Хотя WSUS может поддерживать 100 000 клиентов на сервере(150 000 клиентов при использовании Configuration Manager), мы не рекомендуем приближаться к этому ограничению.

Вместо этого рассмотрите возможность использования конфигурации 2-4 серверов с одной SQL Server базой данных. Таким образом, у вас есть безопасность в цифрах. Если один сервер выходит из эксплуатации, он не будет сразу портить выходные, так как ни один клиент не может обновиться, пока вы должны быть обновлены в отношении последнего использования нулевого дня.

Сценарий общей базы данных также предотвращает шторм проверки.

Может возникнуть шторм сканирования, когда многие клиенты меняют WSUS-серверы, а серверы не делятся базой данных. WSUS отслеживает действия в базе данных, чтобы оба знали, что изменилось с момента последнего сканирования клиента, и будут отправлять только обновленные с тех пор метаданные.

Если клиенты меняются на другой сервер WSUS, использующий другую базу данных, они должны сделать полное сканирование. Полное сканирование может привести к большим переносам метаданных. В этих сценариях могут происходить переводы свыше 1 ГБ на каждого клиента, особенно если сервер WSUS не поддерживается правильно. Он может генерировать достаточно нагрузки, чтобы вызвать ошибки при общении клиентов с экземпляром WSUS. И клиенты повторно повторяются в этом случае.

Совместное использование базы данных означает, что при переходе клиента в другой экземпляр WSUS, использующий тот же DB, штраф за проверку не понес. Увеличение нагрузки не является большим штрафом, который вы платите за переключение баз данных.

Сканы клиентов Configuration Manager требуют большего спроса на WSUS, чем автономные автоматические обновления. Диспетчер конфигурации, так как он включает проверку соответствия требованиям, запрашивает проверку с помощью критериев, которые возвращают все обновления, которые находятся в любом состоянии, кроме отклоненных.

Когда агент автоматического обновления сканирует или выбирает проверку обновлений в панели управления, агент отправляет критерии для получения только тех обновлений, которые утверждены для установки. Возвращенные метаданные обычно будут меньше, чем при инициировании проверки диспетчером конфигурации. Агент обновления кэширует данные, и следующие запросы на сканирование возвращают данные из клиентского кэша.

Отключение рециркуляции и настройка ограничений памяти

WSUS реализует внутренний кэш, который извлекает метаданные обновления из базы данных. Эта операция является дорогостоящей и очень интенсивной памятью. Это может привести к повторной переработке пула приложений IIS, в котором размещен WSUS (известный как WSUSPool), когда WSUSPool завышает ограничения частной и виртуальной памяти по умолчанию.

При повторной переработке пула кэш удаляется и должен быть перестроен. Это не большая проблема, когда клиенты проходят сканирование дельты. Но если вы в конечном итоге в сценарии сканирования шторма, пул будет перерабатывать постоянно. И клиенты будут получать ошибки при сканировании запросов, таких как ошибки HTTP 503.

Рекомендуется увеличить длину очереди по умолчанию и отключить ограничение виртуальной и частной памяти, установив их до 0. IIS реализует автоматическую переработку пула приложений каждые 29 часов, ping и idle time-outs, все которые должны быть отключены. Эти параметры находятся в пулах приложений диспетчера IIS> > WsusPool, а затем щелкните ссылку Advanced Settings в правой стороне области диспетчера IIS.

Ниже представлены сводка рекомендуемых изменений и соответствующий снимок экрана. Дополнительные сведения см. в программе Plan for software updates in Configuration Manager.

Имя параметра	Значение
Длина очереди	2000 (по умолчанию 1000)
Простое время ожидания (минуты)	0 (по умолчанию 20)
Включено Ping	False (по умолчанию true)
Частное ограничение памяти (KB)	0 (безлимитный, по умолчанию 1 843 200 КБ)
Регулярный интервал времени (минуты)	0 (для предотвращения повторной переработки и изменения по умолчанию 1740 г.)

В среде, в которой кэшируются около 17 000 обновлений, может потребоваться более 24 ГБ памяти по мере того, как кэш будет построен до стабилизации (около 14 ГБ).

Проверьте, включено ли сжатие (если вы хотите сохранить пропускную способность)

WSUS использует кодиуминг Xpress типа сжатия. Он реализует сжатие метаданных обновления и может привести к значительной экономии пропускной способности.

Кодировка Xpress включена в iiS ApplicationHost.config с этой строкой под элементом и параметром реестра:

ApplicationHost.Config

Раздел реестра

Если обе команды не представлены, ее можно включить с помощью этой команды и перезапуска пула приложений WsusPool в IIS.

Кодиление Xpress добавит часть накладных расходов ЦП и может быть отключена, если пропускная способность не является проблемой, но использование ЦП является. Следующая команда отключит ее.

Настройка продуктов и категорий

При настройке WSUS выберите только продукты и категории, которые планируется развернуть. Вы всегда можете синхронизировать категории и продукты, которые должны иметься позже. Добавление их, если вы не планируете их развертывать, увеличивает размер метаданных и накладные расходы на серверах WSUS.

Отключение обновлений itanium и других ненужных обновлений

Это не должно быть проблемой в течение длительного времени, так как Windows Server 2008 R2 была последней версией для поддержки Itanium. Но это имеет упоминания.

Настройка и использование этого скрипта в среде, чтобы отклонять обновления архитектуры Itanium. Скрипт также может отклонять обновления, содержащие предварительную версию или бета-версию в заголовке обновления.

Это приводит к тому, что консоль WSUS будет более отзывчивой, но не влияет на проверку клиента.

Отклонение от перенастройки обновлений и обслуживания запуска

Одна из наиболее важных вещей, которые можно сделать, чтобы помочь WSUS работать лучше. Сохранение обновлений, которые будут больше, чем требуется (например, после их развертывания), является основной причиной проблем с производительностью WSUS. Это нормально, чтобы держать их вокруг, если вы по-прежнему развертывание их. Удалите их после их окончания.

Сведения о снижении перенаправленных обновлений и других элементов обслуживания WSUS см. в статье Полное руководство по техническому обслуживанию Microsoft WSUS и Configuration Manager SUP.

WSUS с установкой SSL

По умолчанию WSUS не настроен на использование SSL для клиентской связи. Первым шагом после установки должна стать настройка SSL на WSUS, чтобы убедиться в безопасности между серверно-клиентской связью.

Необходимо принять одно из следующих действий:

• Создание самозаверяемого сертификата. Это не идеально, так как каждый клиент должен доверять этому сертификату.
• Получение одного из сторонних поставщиков сертификатов.
• Получение одного из внутренней инфраструктуры сертификатов.

Сертификат должен иметь короткое имя сервера, имена FQDN и SAN (псевдонимы), которые он проходит.

После установки сертификата обновим параметры групповой политики (или конфигурации клиентов для обновлений программного обеспечения в Configuration Manager), чтобы использовать адрес и SSL-порт сервера WSUS. Обычно порт 8531 или 443.

Например, настройте расположение службы обновления microsoft в интрасети, чтобы https://wsus.contoso.com:8531 >.

Настройка исключений антивируса

О накопительных обновлениях и ежемесячных откатах

Вы можете увидеть термины Ежемесячные откаты и накопительное обновление, используемые для обновлений ОС Windows. Они могут использоваться взаимозаменяемо. В откатах ссылаются на обновления, опубликованные для Windows 7, Windows 8.1, Windows Server 2008 R2 и Windows Server 2012 R2, которые являются только частично накопительными.

Дополнительные сведения см. в следующих блогах:

С Windows 10 и Windows Server 2016 обновления были накопительными с самого начала:

Накопительный означает, что: вы устанавливаете версию выпуска ОС и должны применять только последнее накопительное обновление, чтобы быть полностью исправлена. Для старых операционных систем у нас пока нет таких обновлений, хотя это направление, в каком мы движемся.

Для Windows 7 и Windows 8.1 это означает, что после установки последнего ежемесячного обновления потребуется еще больше обновлений. Вот пример windows 7 и Windows Server 2008 R2 о том, что требуется, чтобы иметь почти полностью исправленную систему.

В следующей таблице содержится список ежемесячных откатов Windows и накопительных обновлений. Вы также можете найти их, ища историю обновления Windows .

Версия Windows	Update
Windows 7 SP1 и Windows Server 2008 R2 SP1	Windows 7 SP1 и Windows Server 2008 R2 обновления SP1
Windows 8.1 и Windows Server 2012 R2	Windows 8.1 и история обновления Windows Server 2012 R2
Windows 10 и Windows Server 2016	История обновления Windows 10 и Windows Server
Windows Server 2019	История обновления Windows 10 и Windows Server 2019

Еще один момент, который следует учитывать, это то, что не все обновления публикуются таким образом, чтобы они автоматически синхронизировали с WSUS. Например, накопительные обновления недели C и D являются обновлениями предварительного просмотра и не будут синхронизироваться с WSUS, но должны импортироваться вручную. См. раздел ежемесячных обновлений качества в кадре обслуживания обновлений Windows 10.

Использование PowerShell для подключения к серверу WSUS

Вот только пример кода для начала работы с PowerShell и API WSUS. Его можно выполнять там, где установлена консоль администрирования WSUS.

Как перестать беспокоиться и победить Центр обновления Windows?

Эта статья рассказывает о новой функциональности Parallels Desktop 12, позволяющей контролировать установку обновлений и обслуживание Windows 10. Все помнят 1995 год, когда операционная система Windows приобрела рабочий стол со значками, панель задач и меню «Пуск». Более знаковый 1998 год помнят почему-то далеко не все — а ведь именно тогда в Windows появился Центр обновления. Теперь пользователи всегда имели на своих компьютерах самую актуальную и безопасную версию операционной системы.

Скорость доступа в Интернет была такая, что не разгуляешься, так что поначалу через сайт Windows Update на пользовательские компьютеры приходили дополнения и новые технологии только для самой операционной системы Windows. Затем начали поставляться исправления безопасности для других приложений. Чем больше предлагалось обновлений, тем больше файлов нужно было загружать.

Все версии Windows до Windows 8 включительно позволяли выбирать, какие именно обновления будут установлены на данный компьютер.

В актуальной версии Windows 10 возможности выбора нет — пользователь может отказаться от обновлений других продуктов Microsoft кроме операционной системы, отложить обновления на несколько дней и попросить систему не устанавливать обновления без его ведома. Но даже обновления одной лишь операционной системы в наше время — далеко не фунт изюма.

Система обновляется буквально все время. Каждый день выходят новые сигнатуры для встроенного антивируса, обновления компонентов Windows и целые новые версии, такие как Windows 10 Anniversary Update. С одной стороны, функциональность обновления Windows, прозрачного для пользователя, по определению должна быть удобна, если этот процесс облегчает жизнь пользователю, а не отвлекает его. С другой стороны, есть пользователи, которые Центром обновления Windows очень недовольны. Посмотрите на популярные запросы в поисковике.

Некоторым принципиально не нравится, что система постоянно что-то делает без их ведома, но большинство пользователей испытывает дискомфорт по существенно более прозаическим причинам — загрузка и установка обновлений поглощает трафик и ресурсы компьютера. На PC, как правило, это происходит, когда компьютер не используется, и пользователи узнают об очередном обновлении, услышав шум жесткого диска или вентилятора оставленного компьютера, или увидев ничем вроде бы не спровоцированное предложение перезагрузиться.

Механизм обслуживания Windows, работающий во время простоя системы, появился еще в Windows 8. Он контролирует периодичность запуска большинства задач из планировщика, таких как сбор различных статистик, отправку телеметрии, дефрагментацию, сессии антивирусного контроля и пр.

А как на Mac?

Виртуальная машина Windows 10 на Mac «живет» несколько иначе, и сценарий обновления Windows в ней отличается от обычного сценария для PC. Главное отличие заключается в том, что она работает не эксклюзивно.

Поэтому часто возникают два неприятных сценария:
1) Пока виртуальная машина работает в фоновом режиме, пользователь, как обычно, работает с основной системой или другой виртуальной машиной. Проблема в том, что Windows в первой виртуальной машине ничего не знает о том, что компьютер используется для других задач, и начинает загружать и устанавливать обновления, а также запускать другие задачи, которые должны выполняться в время простоя.

2) Виртуальная машина запущена впервые после длительного перерыва. И первым делом она начинает искать в Интернете обновления операционной системы и запускать пропущенные задачи из планировщика задач. Пользователь озадачен: он просто запустил Windows, чтобы по старой памяти разложить «Косынку» или пройти по минному полю, а система безбожно тормозит!

К чему это приводит? Многие пользователи, которые работая на ПК, ничего бы не заметили, жалуются, что виртуальная машина Windows на Mac постоянно что-то устанавливает, перезагружает систему, портит какие-то настройки и т.д. На самом-то деле случаи неработоспособности Windows после установки обновлений известны, но, конечно, не в катастрофических масштабах.

Главная проблема заключается, в том, что виртуальная машина Windows работающая в фоновом режиме считает, что за компьютером никого нет, и слишком много на себя берет — начинает устанавливать обновления, дефрагментировать диски и т. п. Это создает серьезную проблему производительности, повышая нагрузку на диск и сеть — особенно если виртуальных машин несколько. И все потому что Windows Update выкачивает из интернета сотни мегабайт каждый месяц, и каждый день тоже качает какие-то обновления, антивирусы для программ. Производительность компьютера падает, он неожиданно начинает шуметь, нагреваться и быстро расходовать ресурсы батареи. Негативный пользовательский опыт, как говорится, неизбежен.

Надо сказать, что в корпоративной среде, где обновление и обслуживание компьютерных систем поставлено на поток, эти проблемы решаются проще. Если в компании используются, например, Windows 10 Enterprise и Windows Server Update Services, то даже в Windows 10 можно настроить выполнение всех операций обновления, обслуживания и перезагрузки по расписанию. Но далеко не все наши пользователи трудятся в корпоративных сетях.

Что сделали мы?

Изучив проблему, мы сделали неизбежный вывод — виртуальную машину нужно научить правильно понимать состояние компьютера-хозяина (хоста). Традиционный механизм запуска процедур обслуживания по расписанию мы тоже решили реализовать, но без решения основной проблемы это была бы полумера.

Поэтому главное, что мы сделали — мы научили нашу систему Parallels Desktop передавать состояние простоя из хоста в виртуальную машину. И если на Mac происходит ввод с клавиатуры, мыши и т. д., то виртуальная машина Windows узнает об этом и не уходит в состояние простоя.

Проще всего это было бы сделать, симулируя внутри виртуальной машины ввод с устройств — поэтому оцените, что мы выбрали менее инвазивный, документированный способ — SetThreadExecutionState (ES_DISPLAY_REQUIRED). Функция обнуляет таймер простоя дисплея, так что, если вы когда-нибудь будете писать видеоплеер для Windows, этот вызов вам точно пригодится.

Разумеется, мы не забыли о варианте управления обновлением и обслуживанием Windows по расписанию. Поскольку никто на рынке пока не реализовал корректный способ отключить автоматические обновления Windows 10, мы сделали это самостоятельно. Parallels Desktop временно отключает механизм обслуживания назначенные задачи Центра обновления. Интерфейс настроек виртуальной машины с Windows 10 мы дополнили вкладкой «Обслуживание», которая позволяет настроить расписание для выполнения обновлений и обслуживания Windows. Каждую виртуальную машину можно настроить индивидуально. Таким образом, наша функциональность временно выключает обслуживание и задачи обновления Windows, программы Windows Store, Microsoft Office, встроенного антивируса, и запускает их только в то время, которое назначено пользователем в настройках виртуальной машины. И теперь виртуальная машина тормозит только тогда, когда она должна делать это по расписанию.

Вы можете назначить периоды обслуживание на ночное время или на выходные. Это более удобное решение, чем вариант, реализованный в Windows 10. В нашем варианте все задачи обслуживания Windows — обновления, проверка антивирусом, дефрагментация, сбор телеметрии и прочее — выполняются одним сеансом, в достаточно короткий промежуток времени. Задачи отрабатываются, компьютер перезагружается, если нужно, и все готово — виртуальная машина обновлена и не будет мешать вам работать.

Здесь вы можете вспомнить, что в корпоративных сетях эти проблемы уже решены, а значит ИТ-администраторам предприятий наша функциональность вроде как без надобности. На самом деле любая сложная задача по администрированию система может и должна иметь более одного хорошего решения, и раз уж мы включили нашу функциональность в состав Parallels Desktop, это дает возможность администраторам решить данную проблему еще одним способом — через массовое внедрение Parallels Desktop с виртуальными машинами, предварительно настроенными на оптимизацию обновления и обслуживания систем.

А может, совсем его отключить?

Есть пользователи — их довольно много, особенно среди непрофессиональных пользователей — которые были бы не против навсегда отключить обновления Windows 10, оставив разве что возможность обновления антивируса. Скажем честно — мы против.

Да, в случае операционной системы Windows 10 корпорация Microsoft проявила себя, так сказать, с позиций силы, но основания у такого решения есть. Обновления нужны и с точки зрения безопасности, и с точки зрения актуальности технологий, и с точки зрения производительности программных компонентов. Если двадцать лет назад было более или менее безразлично, работаете вы с версией Windows, выпущенной в этом году, год назад или пять лет назад, то теперь каждый год в мире технологий происходит огромный скачок. Даже браузер, выпущенный всего год назад, может подвести вас в работе с новыми веб-сайтами, а уж антивирус и система сетевой безопасности, не обновлявшиеся с прошлого года, станут рассадником вирусов и «находкой для шпиона».

Советы постороннего

Самое главное в реализованной нами новой функциональности Parallels Desktop 12 для Mac в части обновления Windows — возможность ее персонализации. Для нас важно, чтобы пользователи знали о ней и могли включить. По умолчанию мы ее не запускаем, потому что такой функциональности нет в стандарте Windows. К тому же, если мы включим ее по умолчанию, нам придется предложить пользователям некий безальтернативный режим ее работы. Нам кажется, что это неправильно.

Таким образом, на данный момент пользователи, которым требуется оптимизация обновления и обслуживания виртуальной машины Windows, включают и настраивают ее сами. Статистика показывает, что так поступают около 20% наших пользователей — можно предположить, что это те самые 20% профессиональных пользователей, которых можно выделить из любого сообщества.

Возможно, в будущем мы придумаем адаптивный алгоритм, который не будет требовать ручной настройки времени обслуживания, и тогда можно будет включить данную функциональность автоматом. Тем же, кто хочет настроить свои виртуальные машины, но не знает, на какой час, мы можем предложить для начала попробовать ежедневный запуск обслуживания в 24:00 и посмотреть, что из этого выйдет — очень скоро вы найдете оптимальный для вашего случая режим.