Устанавливая новую среду, построенную вокруг Windows Server 2016, в которой некоторые серверы находятся в сети, не имеющей выхода в Интернет, мы установили службы обновления Windows Server (WSUS) на одном из серверов, имеющем две сетевые карты (двойные сетевые карты), одна из сетевых карт может выходить в Интернет для загрузки обновлений и предоставления их остальным серверам ЧЕРЕЗ другую сетевую карту (которая специально настроена НЕ на маршрутизацию трафика). После настройки все машины сообщали о себе серверу WSUS, но никогда не загружали обновления.
В конце концов мы обнаружили политику «Не разрешать политикам отсрочки обновления вызывать сканирование Центра обновления Windows», которую мы включили, что заставило серверы и рабочие станции в сегменте, недоступном через Интернет, продолжать использовать локальный сервер WSUS. В этой конфигурации наши рабочие станции Windows 10 работали полностью, но машины Windows Server 2016 по-прежнему постоянно выходили из строя.
В конце концов мы обнаружили, что AppPool, связанный с сайтом WSUS, имел слишком малый «Private Memory Limit» для завершения сканирования Windows Server 2016. Предел по умолчанию, установленный WSUS, составлял около 2,8 ГБ. Предлагаемое значение — «0» (неограниченно). Наблюдение за сканированием одной машины Windows Server 2016 показывает, что каждая машина Windows Server 2016 будет занимать более 6 ГБ памяти во время фазы «Сканирования» обновления. Были некоторые свидетельства того, что наш сервер не «выгружал» эту потребность в памяти на диск, поэтому мы также увеличили объем физической памяти. После того, как фаза сканирования последовательно завершилась, серверы начали загружать обновления, но накопительные исправления ОС постоянно не применялись. Мы использовали команду Get-WindowsUpdateLog, чтобы попытаться выяснить, что происходит, но созданный журнал не указывал на проблему. Мы просмотрели другие журналы и события, погуглили код возврата от сбоя обновления (0x800705b4), но не нашли решения/указателей. Отчаявшись, мы предположили, что обновление истекло из-за активности Защитника Windows. Примечание: в конечном итоге мы устанавливали эти обновления вручную, загружая их с сайта Microsoft, и каждый раз, когда мы пытались установить их вручную, они устанавливались без проблем.
Исходя из предположения, что мы имеем дело с тайм-аутом, мы отключили "Защиту в реальном времени" Windows Defender, что, очевидно, замедлило установку. После отключения защиты в реальном времени, похоже, это ускорило установку достаточно, чтобы позволить ей завершиться. Это было сделано для одной итерации, но затем мы снова включили защиту в реальном времени.
Наконец, вопрос: есть ли способ увеличить время, отведенное Центру обновления Windows для применения обновлений? Или есть ли какие-то рекомендации, как заставить эти большие обновления применяться автоматически?