Compartilhar via


Práticas recomendadas do Windows Server Update Services

Este artigo fornece dicas para evitar configurações que têm baixo desempenho devido a limitações de design ou configuração no WSUS.

Versão original do produto: Gerenciador de Configurações (branch atual), Windows Server Update Services
Número original do KB: 4490414

Limites de capacidade

Embora o WSUS possa dar suporte a 100.000 por servidor (150.000 clientes quando você usa o Configuration Manager), não recomendamos abordar esse limite.

Em vez disso, considere usar uma configuração de 2 a 4 servidores que compartilham o mesmo banco de dados SQL Server. Assim, você tem segurança em números. Se um servidor ficar inativo, ele não causará um problema sério imediatamente, pois nenhum cliente poderá atualizar enquanto você precisar ser atualizado em relação à exploração de dia zero mais recente.

O cenário de banco de dados compartilhado também impede um bombardeio de varreduras.

Um bombardeio de varreduras pode ocorrer quando muitos clientes alteram os servidores do WSUS e os servidores não compartilham um banco de dados. O WSUS rastreia a atividade no banco de dados, para que ambos saibam o que mudou desde a última verificação do cliente e enviará apenas metadados atualizados desde então.

Se os clientes mudarem para um servidor do WSUS diferente que usa um banco de dados diferente, eles deverão fazer uma verificação completa. Uma verificação completa pode causar grandes transferências de metadados. As transferências de mais de 1 GB por cliente podem ocorrer nesses cenários, especialmente se o servidor do WSUS não for mantido corretamente. Isso pode gerar carga suficiente para causar erros quando os clientes se comunicam com uma instância do WSUS. E os clientes tentarão repetidamente nesse caso.

O compartilhamento de um banco de dados significa que, quando um cliente alterna para outra instância do WSUS que usa o mesmo BD, a penalidade de verificação não é incorrida. Os aumentos de carga não são a penalidade grande que você paga pela troca de bancos de dados.

As verificações de cliente do Configuration Manager colocam mais demanda no WSUS do que as Atualizações Automáticas autônomas. O Configuration Manager, uma vez que inclui verificação de conformidade, solicita verificações com critérios que retornarão todas as atualizações que estão em qualquer status, exceto recusadas.

Quando o Agente de Atualizações Automáticas examina ou você selecione Verificar Se há Atualizações no Painel de Controle, o agente envia critérios para recuperar apenas as atualizações aprovadas para Instalação. Os metadados retornados geralmente serão menores do que quando a verificação for iniciada pelo Configuration Manager. O Agente de Atualização armazena os dados em cache e as próximas solicitações de verificação retornarão os dados do cache do cliente.

Desabilitar a reciclagem e configurar limites de memória

O WSUS implementa um cache interno que recupera os metadados de atualização do banco de dados. Essa operação é cara e usa muita memória. Isso pode fazer com que o pool de aplicativos do IIS que hospeda o WSUS (conhecido como WSUSPool) seja reciclado quando o WSUSPool sobrecarregue os limites de memória virtual e privada padrão.

Quando o pool é reciclado, o cache é removido e deve ser recriado. Não é um grande problema quando os clientes estão passando por verificações delta. Mas se você acabar em um cenário de bombardeio de varreduras, o pool será reciclado constantemente. E os clientes receberão erros quando você fizer solicitações de verificação, como erros HTTP 503.

Recomendamos que você aumente o Comprimento da Fila padrão e desabilite o Limite de Memória Virtual e Privada definindo-os como 0. O IIS implementa uma reciclagem automática do pool de aplicativos a cada 29 horas, Ping e Tempos Limite Ociosos, tudo o que deve ser desabilitado. Essas configurações são encontradas em Pools> de Aplicativos do Gerenciador>do IIS, escolha WsusPool e clique no link Configurações Avançadas no painel do lado direito do gerenciador do IIS.

Aqui está um resumo das alterações recomendadas e uma captura de tela relacionada. Para obter mais informações, consulte Plano para atualizações de software no Configuration Manager.

Nome da configuração Valor
Comprimento de Fila 2000 (acima do padrão de 1000)
Tempo limite Ocioso (minutos) 0 (abaixo do padrão de 20)
Ping Habilitado False (do padrão de True)
Limite de Memória Privada (KB) 0 (ilimitado, acima do padrão de 1.843.200 KB)
Intervalo de Tempo Regular (minutos) 0 (para evitar uma reciclagem e modificação do padrão de 1740)

Captura de tela das configurações na janela Configurações avançadas.

Em um ambiente que tem cerca de 17 000 atualizações armazenadas em cache, mais de 24 GB de memória podem ser necessários, pois o cache é criado até que ele se estabiliza (em torno de 14 GB).

Verifique se a compactação está habilitada (se você deseja conservar a largura de banda)

O WSUS usa um tipo de compactação que se chama codificação Xpress. Ele implementa a compactação nos metadados de atualização e pode resultar em uma economia significativa de largura de banda.

A codificação Xpress está habilitada no IIS ApplicationHost.config com essa linha sob o elemento <httpCompression> e uma configuração do registro:

  • ApplicationHost.Config

    <nome do esquema = "xpress" doStaticCompression = "false" doDynamicComcompression = "true" dll = "C: \ Arquivos de programas \ Update Services \ WebServices \ suscomp.dll" staticCompressionLevel = "10" dynamicCompressionLevel = "0" />

  • Chave do Registro

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services\Server\Setup\IIsDynamicCompression

Se ambos não estiverem presentes, ele poderá ser habilitado executando esse comando e reiniciando o pool de aplicativos WsusPool no IIS.

cscript "%programfiles%\update services\setup\DynamicCompression.vbs" /enable "%programfiles%\Update Services\WebServices\suscomp.dll"

A codificação Xpress adicionará alguma sobrecarga de CPU e poderá ser desabilitada se a largura de banda não for uma preocupação, mas o uso da CPU for. O comando a seguir o desativará.

cscript "%programfiles%\update services\setup\DynamicCompression.vbs" /disable

Configurar produtos e categorias

Ao configurar o WSUS, escolha apenas os produtos e categorias que você planeja implantar. Você sempre pode sincronizar categorias e produtos que você deve ter posteriormente. Adicioná-los quando você não planeja implantá-los aumenta o tamanho e a sobrecarga dos metadados nos servidores do WSUS.

Desabilitar atualizações do Itanium e outras atualizações desnecessárias

Não deve ser um problema por muito mais tempo, porque o Windows Server 2008 R2 foi a última versão a suportar o Itanium. Mas tem de ser mencionado.

Personalize e use esse script em seu ambiente para recusar atualizações de arquitetura do Itanium. O script também pode recusar atualizações que contenham Visualização ou Beta no título da atualização.

Isso faz com que o console do WSUS seja mais responsivo, mas não afeta a verificação do cliente.

Recusar atualizações substituídas e executar manutenção

Uma das coisas mais importantes que você pode fazer para ajudar o WSUS a ser executado melhor. Manter as atualizações que são substituídas por mais tempo do que o necessário (por exemplo, depois que você não as implanta mais) é a principal causa de problemas de desempenho do WSUS. Não há problema em mantê-los por perto se você ainda os estiver implantando. Remova-os depois de terminar com eles.

Para obter informações sobre a recusa de atualizações substituídas e outros itens de manutenção do WSUS, consulte o Guia completo do Microsoft WSUS e manutenção do Configuration Manager SUP.

WSUS com configuração de SSL

Por padrão, o WSUS não está configurado para usar o SSL para comunicação de cliente. A primeira etapa pós-instalação deve ser configurar o SSL no WSUS para garantir a segurança entre as comunicações servidor-cliente.

Agora você deve tomar uma das seguintes ações:

  • Crie um certificado autoassinado. Não é ideal porque cada cliente precisaria confiar nesse certificado.
  • Obtenha um de um provedor de certificados terceiro.
  • Obtenha um de sua infraestrutura de certificados interna.

O seu certificado deve ter o nome curto do servidor, os nomes FQDN e SAN (aliases) pelos quais ele é conhecido.

Depois de instalar o certificado, atualize o Política de Grupo (ou configurações de cliente para atualizações de software no Configuration Manager) para usar o endereço e a porta SSL do servidor WSUS. A porta normalmente é 8531 ou 443.

Por exemplo, configure o GPO Especificar o local do serviço de atualização da intranet da Microsoft comohttps://wsus.contoso.com:8531<> .

Para começar, consulte WSUS seguro com o protocolo Secure Sockets Layer.

Configurar exclusões de antivírus

Sobre atualizações cumulativas e pacotes cumulativos mensais

Você pode ver os termos Pacotes cumulativos mensais e Atualização cumulativa usados para o sistema operacional Windows. Eles podem ser usados de forma intercambiável. Os pacotes cumulativos referem-se às atualizações publicadas para Windows 7, Windows 8.1, Windows Server 2008 R2 e Windows Server 2012 R2 que são apenas parcialmente cumulativas.

Para obter mais informações, consulte as seguintes postagens no blog:

Com Windows 10 e Windows Server 2016, as atualizações foram cumulativas desde o início:

Cumulativo significa que: você instala a versão de lançamento do sistema operacional e só precisa aplicar a atualização cumulativa mais recente para ser totalmente corrigida. Para os sistemas operacionais mais antigos, ainda não temos essas atualizações, embora essa seja a direção em que estamos indo.

Para Windows 7 e Windows 8.1, isso significa que, depois de instalar o pacote cumulativo mensal mais recente, mais atualizações ainda serão necessárias. Eis um exemplo para o Windows 7 e o Windows Server 2008 R2 no que é necessário para ter um sistema quase totalmente corrigido.

A tabela a seguir contém a lista de pacotes cumulativos mensais e atualizações cumulativas do Windows. Você também pode encontrá-los pesquisando o histórico de atualização da versão> do Windows<.

Versão do Windows Atualizar
Windows Server 7 SP1 e Windows Server 2008 R2 SP1 Histórico de atualizações do Windows 7 SP1 e Windows Server 2008 R2 SP1
Windows 8.1 e Windows Server 2012 R2 Histórico de atualizações do Windows 8.1 e do Windows Server 2012 R2
Windows 10 e Windows Server 2016 Histórico de atualizações do Windows 10 e do Windows Server
Windows Server 2019 Histórico de atualizações do Windows 10 e do Windows Server 2019

Outro ponto a ser considerado é que nem todas as atualizações são publicadas para que sejam sincronizadas automaticamente com o WSUS. Por exemplo, as Atualizações Cumulativas da semana C e D são atualizações de pré-visualização e não serão sincronizadas com o WSUS, mas devem ser importadas manualmente. Consulte a seção Atualizações de qualidade mensais da cadência de manutenção de atualização do Windows 10.

Usando o PowerShell para se conectar a um servidor do WSUS

Aqui está apenas um exemplo de código para começar a usar o PowerShell e a API do WSUS. Ele pode ser executado onde o Console de Administração do WSUS está instalado.

[void][reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$WSUSServer = 'WSUS'
# This is your WSUS Server Name
$Port = 8530
# This is 8531 when SSL is enabled
$UseSSL = $False
#This is $True when SSL is enabled
Try
{
    $Wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer($WSUSServer,$UseSSL,$Port)
}
Catch
{
    Write-Warning "$($WSUSServer)<$($Port)>: $($_)"
    Break
}

Referências