인터넷에 연결할 수 없는 네트워크의 일부 서버가 있는 Windows Server 2016을 기반으로 구축된 새 환경을 설치하면서 두 개의 네트워크 카드(이중 NICed)가 있는 서버 중 하나에 WSUS(Windows Server Update Services)를 설치했습니다. ) NIC 중 하나는 인터넷에 연결하여 업데이트를 다운로드하고 다른 NIC(트래픽을 라우팅하지 않도록 특별히 구성됨)를 통해 나머지 서버에 업데이트를 제공할 수 있습니다. 일단 구성되면 모든 컴퓨터가 WSUS 서버에 자신을 보고했지만 업데이트를 다운로드하지 않았습니다.
결국 우리는 인터넷에 액세스할 수 없는 세그먼트의 서버와 워크스테이션이 로컬 WSUS 서버를 추가로 사용하도록 강제하는 "Windows 업데이트에 대한 검색을 유발하는 업데이트 연기 정책을 허용하지 않음" 정책을 발견했습니다. 이 구성에서는 Windows 10 워크스테이션이 완벽하게 작동했지만 Windows Server 2016 시스템은 여전히 지속적으로 실패했습니다.
결국 우리는 WSUS 사이트와 연결된 AppPool의 "개인 메모리 제한"이 너무 작아서 Windows Server 2016 검색을 완료할 수 없다는 사실을 발견했습니다. WSUS에서 설치된 기본 제한은 2.8GB 정도였습니다. 권장 설정은 "0"(무제한)입니다. 하나의 Windows Server 2016 시스템에 대한 스캔을 관찰하면 각 Windows Server 2016 시스템이 업데이트의 "스캔" 단계 동안 6GB 이상의 메모리를 차지한다는 것을 알 수 있습니다. 우리 서버가 이 메모리 요구 사항을 디스크에 "페이징"하지 않는다는 증거가 있었기 때문에 물리적 메모리도 늘렸습니다. 스캔 단계가 지속적으로 완료되면 서버는 업데이트를 다운로드하기 시작했지만 OS 누적 패치는 지속적으로 적용되지 않았습니다. Get-WindowsUpdateLog 명령을 사용하여 무슨 일이 일어나고 있는지 알아보려고 시도했지만 생성된 로그에는 문제가 표시되지 않았습니다. 다른 로그와 이벤트를 살펴보고 업데이트 실패(0x800705b4)의 반환 코드를 검색했지만 해결/포인터를 찾지 못했습니다. 필사적으로 우리는 Windows Defender의 활동으로 인해 업데이트 시간이 초과되었다고 가정했습니다. 참고: 결국에는 이러한 업데이트를 Microsoft에서 다운로드하여 수동으로 설치하게 되었으며, 수동으로 설치하려고 할 때마다 문제 없이 설치되었습니다.
시간 초과 문제를 처리하고 있다는 가정하에 Windows Defender의 "실시간 보호"를 비활성화하여 설치 속도가 확실히 느려졌습니다. 실시간 보호가 비활성화되면 설치가 완료될 수 있을 만큼 설치 속도가 빨라진 것 같습니다. 이는 한 번의 반복으로 수행되었지만 그런 다음 실시간 보호를 다시 활성화했습니다.
마지막으로 질문: Windows 업데이트가 업데이트를 적용하는 데 허용되는 시간을 늘릴 수 있는 방법이 있습니까? 아니면 이러한 대규모 업데이트를 자동으로 적용하는 방법에 대한 모범 사례가 있습니까?