Обновление Windows Server 2016 для Windows на локальном сервере WSUS не выполняется
Устанавливая новую среду, основанную на Windows Server 2016, в которой некоторые серверы в сети не могут подключиться к Интернету, мы установили службы Windows Server Update Services (WSUS) на один из серверов, на котором установлены две сетевые карты (с двумя сетевыми картами).) один из сетевых адаптеров может подключаться к Интернету, чтобы загружать обновления и поставлять их на остальные серверы VIA, а другой сетевой адаптер (который специально настроен для НЕ маршрутизации трафика). После настройки все машины сообщили о себе на сервер WSUS, но никогда не загружали обновления.
В конечном итоге мы обнаружили политику "Не разрешать политикам отсрочки обновлений вызывать сканирование в Windows Update", которую мы включили, что заставило серверы и рабочие станции в недоступном для Интернета сегменте в дальнейшем использовать локальный сервер WSUS. В этой конфигурации наши рабочие станции с Windows 10 полностью работали, но машины с Windows Server 2016 по-прежнему постоянно отказывали.
В итоге мы обнаружили, что AppPool, связанный с сайтом WSUS, имеет слишком маленький "лимит частной памяти", чтобы завершить сканирование Windows Server 2016. Ограничение по умолчанию, установленное WSUS, было примерно 2,8 ГБ. Рекомендуемая настройка: "0" (без ограничений). Просмотр сканирования одного компьютера под управлением Windows Server 2016 показывает, что каждый компьютер под управлением Windows Server 2016 займет более 6 ГБ памяти во время фазы обновления сканирования. Существовали некоторые свидетельства того, что наш сервер не "распаковывал" это требование к памяти на диск, поэтому мы также увеличили физическую память. После того, как фаза сканирования последовательно завершалась, серверы начали загружать обновления, но накопительные исправления ОС постоянно не применялись. Мы использовали команду Get-WindowsUpdateLog, чтобы попытаться выяснить, что происходит, но созданный журнал не указывал на проблему. Мы просмотрели другие журналы и события, гуглили код возврата после сбоя обновления (0x800705b4), но не нашли разрешения / указателей. В отчаянии мы постулировали время ожидания обновления из-за активности Защитника Windows. Примечание. В конечном итоге мы устанавливаем эти обновления вручную, загружая их из Microsoft, и каждый раз, когда мы пытались установить их вручную, они устанавливались без проблем.
Исходя из предположения, что мы имеем дело с таймаутом, мы отключили "Защиту в реальном времени" Защитника Windows, что, очевидно, замедлило установку. Как только защита в режиме реального времени была отключена, она, по-видимому, ускорила установку достаточно, чтобы позволить завершить установку. Это было сделано за одну итерацию, но затем мы снова включили защиту в реальном времени.
И наконец, вопрос: есть ли способ увеличить время, которое Windows Update может применить для обновления? or is there a best practices on how to get these large updates to apply automatically?