Instalando um novo ambiente construído em torno do Windows Server 2016 que possui alguns dos servidores em uma rede que não consegue acessar a Internet, instalamos o Windows Server Update Services (WSUS) em um dos servidores que possui duas placas de rede (dupla NICed ) uma das NICs pode acessar a Internet para baixar atualizações e fornecê-las ao restante dos servidores ATRAVÉS da outra NIC (que é especificamente configurada para NÃO rotear o tráfego). Depois de configuradas, todas as máquinas reportaram-se ao servidor WSUS, mas nunca baixaram atualizações.
Finalmente encontramos a política "Não permitir que políticas de adiamento de atualização causem verificações no Windows Update" que habilitamos e que forçou os servidores e estações de trabalho no segmento não acessível pela Internet a fazer uso adicional do servidor WSUS local. Nessa configuração, nossas estações de trabalho Windows 10 funcionaram totalmente, mas as máquinas Windows Server 2016 ainda falharam consistentemente.
Finalmente descobrimos que o AppPool associado ao site WSUS tinha seu "Limite de memória privada" muito pequeno para permitir a conclusão das verificações do Windows Server 2016. O limite padrão instalado pelo WSUS era algo em torno de 2,8 GB. A configuração sugerida é “0” (ilimitado). Observar a verificação de uma máquina com Windows Server 2016 sugere que cada máquina com Windows Server 2016 ocupará mais de 6 GB de memória durante a fase de “verificação” de uma atualização. Havia algumas evidências de que nosso servidor não "paginaria" esse requisito de memória para o disco, por isso também aumentamos a memória física. Depois que a fase de verificação foi concluída de forma consistente, os servidores começaram a baixar atualizações, mas os patches cumulativos do sistema operacional falharam consistentemente em serem aplicados. Usamos o comando Get-WindowsUpdateLog para tentar descobrir o que estava acontecendo, mas o log produzido não apontou para um problema. Examinamos outros logs e eventos, pesquisamos no Google o código de retorno da falha de atualização (0x800705b4), mas não encontramos nenhuma resolução/indicadores. Por desespero, postulamos que o tempo limite da atualização expirou devido à atividade do Windows Defender. Observação: eventualmente instalaríamos essas atualizações manualmente baixando-as da Microsoft e cada vez que tentávamos instalá-las manualmente, elas eram instaladas sem problemas.
Com base na suposição de que estávamos lidando com um tempo limite, desabilitamos a “proteção em tempo real” do Windows Defender, o que obviamente atrasou a instalação. Depois que a proteção em tempo real foi desativada, parece ter acelerado a instalação o suficiente para permitir que ela fosse concluída. Isso foi feito em uma iteração, mas depois reativamos a proteção em tempo real.
Por fim, a pergunta: Existe uma maneira de aumentar o tempo permitido para o Windows Update aplicar suas atualizações? ou existem práticas recomendadas sobre como fazer com que essas grandes atualizações sejam aplicadas automaticamente?