安裝圍繞 Windows Server 2016 建置的新環境,其中一些伺服器位於無法存取 Internet 的網路上,我們在其中一台具有兩個網路卡(雙網卡)的伺服器上安裝了 Windows Server Update Services (WSUS) )其中一個NIC可以存取互聯網下載更新,並透過另一個NIC(專門配置為不路由流量)將更新提供給其餘伺服器。配置完成後,所有電腦都會向 WSUS 伺服器報告自身情況,但從未下載更新。
我們最終發現我們啟用了「不允許更新延遲策略導致掃描 Windows 更新」策略,該策略強制非 Internet 可存取區段上的伺服器和工作站進一步使用本機 WSUS 伺服器。在此配置中,我們的 Windows 10 工作站完全正常運作,但 Windows Server 2016 電腦仍持續出現故障。
我們最終發現與 WSUS 網站關聯的 AppPool 的「專用記憶體限制」太小,無法完成 Windows Server 2016 掃描。 WSUS 安裝的預設限制約為 2.8GB。建議設定為“0”(無限制)。觀察一台 Windows Server 2016 電腦的掃描表明,每台 Windows Server 2016 電腦在更新的「掃描」階段將佔用超過 6GB 的記憶體。有一些證據表明我們的伺服器不會將此記憶體需求「分頁」到磁碟,因此我們也增加了實體記憶體。一旦掃描階段持續完成,伺服器就開始下載更新,但作業系統累積修補程式始終無法套用。我們使用 Get-WindowsUpdateLog 指令嘗試找出發生的情況,但產生的日誌並未指出問題。我們查看了其他日誌和事件,並用 Google 搜尋了更新失敗的回傳代碼 (0x800705b4),但沒有找到解決方案/指標。出於絕望,我們假設更新由於 Windows Defender 的活動而逾時。注意:我們最終會透過從 Microsoft 下載這些更新來手動安裝這些更新,每次我們嘗試手動安裝它們時,它們都安裝得沒有問題。
基於我們正在處理超時的假設,我們禁用了 Windows Defender 的“即時保護”,這顯然減慢了安裝速度。禁用即時保護後,安裝速度似乎足以完成安裝。這是在一次迭代中完成的,但隨後我們重新啟用了即時保護。
最後的問題是:有沒有辦法增加 Windows Update 應用程式更新的時間?或者是否有關於如何自動套用這些大型更新的最佳實務?