Wir haben eine neue Umgebung auf Basis von Windows Server 2016 installiert, in der sich einige Server in einem Netzwerk befinden, das keinen Zugriff auf das Internet hat. Wir haben Windows Server Update Services (WSUS) auf einem der Server installiert, der über zwei Netzwerkkarten (Dual-NIC) verfügt. Eine der NICs kann auf das Internet zugreifen, um Updates herunterzuladen und sie den übrigen Servern über die andere NIC (die speziell so konfiguriert ist, dass sie KEINEN Datenverkehr weiterleitet) bereitzustellen. Nach der Konfiguration meldeten sich alle Rechner beim WSUS-Server, luden aber nie Updates herunter.
Schließlich fanden wir die Richtlinie „Update-Aufschubrichtlinien dürfen keine Scans gegen Windows Update auslösen“, die wir aktivierten und die Server und Workstations im nicht über das Internet erreichbaren Segment zwang, den lokalen WSUS-Server weiter zu nutzen. In dieser Konfiguration funktionierten unsere Windows 10-Workstations vollständig, aber die Windows Server 2016-Rechner fielen immer noch ständig aus.
Wir fanden schließlich heraus, dass das „Private Memory Limit“ des mit der WSUS-Site verbundenen AppPools zu klein war, um Windows Server 2016-Scans abzuschließen. Das von WSUS installierte Standardlimit betrug etwa 2,8 GB. Die empfohlene Einstellung ist „0“ (unbegrenzt). Das Beobachten des Scans einer Windows Server 2016-Maschine deutet darauf hin, dass jede Windows Server 2016-Maschine während der „Scan“-Phase eines Updates mehr als 6 GB Speicher benötigt. Es gab einige Hinweise darauf, dass unser Server diesen Speicherbedarf nicht auf die Festplatte „auslagern“ würde, also erhöhten wir auch den physischen Speicher. Nachdem die Scan-Phase durchgehend abgeschlossen war, begannen die Server mit dem Herunterladen von Updates, aber die kumulativen OS-Patches konnten durchgehend nicht angewendet werden. Wir versuchten mit dem Befehl Get-WindowsUpdateLog herauszufinden, was passierte, aber das erstellte Protokoll wies nicht auf ein Problem hin. Wir durchsuchten andere Protokolle und Ereignisse, googelten den Rückgabecode des Update-Fehlers (0x800705b4), fanden aber keine Lösung/Hinweise. Aus Verzweiflung gingen wir davon aus, dass das Update aufgrund der Aktivität von Windows Defender abgelaufen sei. Hinweis: Wir installierten diese Updates schließlich manuell, indem wir sie von Microsoft herunterluden, und jedes Mal, wenn wir versuchten, sie manuell zu installieren, funktionierte die Installation ohne Probleme.
Da wir davon ausgingen, dass es sich um ein Timeout handelte, haben wir den „Echtzeitschutz“ von Windows Defender deaktiviert, was die Installation offensichtlich verlangsamte. Nachdem der Echtzeitschutz deaktiviert war, schien dies die Installation ausreichend beschleunigt zu haben, sodass sie abgeschlossen werden konnte. Dies wurde für eine Iteration durchgeführt, aber dann haben wir den Echtzeitschutz wieder aktiviert.
Zum Schluss noch die Frage: Gibt es eine Möglichkeit, die Zeit zu verlängern, die Windows Update zum Anwenden seiner Updates zur Verfügung steht? Oder gibt es Best Practices zum automatischen Anwenden dieser großen Updates?