Windows Server Güncelleştirme Hizmetleri en iyi uygulamaları

Bu makalede, WSUS'deki tasarım veya yapılandırma sınırlamaları nedeniyle düşük performansla çalışan yapılandırmalardan kaçınmaya yönelik ipuçları sağlanır.

Orijinal ürün sürümü: Yapılandırma Yöneticisi (geçerli dal), Windows Server Güncelleştirme Hizmetleri
Orijinal KB numarası: 4490414

Kapasite sınırları

WSUS, sunucu başına 100.000 istemciyi destekleyebilse de (Yapılandırma Yöneticisi kullandığınızda 150.000 istemci) bu sınıra yaklaşmanızı önermeyiz.

Bunun yerine, aynı SQL Server veritabanını paylaşan 2-4 sunucunun yapılandırmasını kullanmayı düşünün. Bu şekilde, sayı güvenliğine sahip olursunuz. Bir sunucu çökerse bu durum hafta sonunuzu hemen mahvetmez çünkü en son sıfır gün istismarına karşı güncellenmeniz gerekirken hiçbir istemci güncelleme yapamaz.

Paylaşılan veritabanı senaryosu, tarama fırtınasını da önler.

Birçok istemci WSUS sunucularını değiştirdiğinde ve sunucular bir veritabanını paylaşmadığında tarama fırtınası oluşabilir. WSUS, veritabanındaki etkinliği izler böylece her ikisi de istemcinin son taranmasından bu yana nelerin değiştiğini bilir ve yalnızca o zamandan beri güncelleştirilen meta verileri gönderir.

İstemciler farklı bir veritabanı kullanan farklı bir WSUS sunucusuna geçerse tam tarama yapmalıdırlar. Tam tarama, büyük meta veri aktarımına neden olabilir. Bu senaryolarda, özellikle WSUS sunucusu doğru şekilde muhafaza edilmiyorsa istemci başına 1 GB'tan büyük aktarımlar gerçekleşebilir. Bu, istemciler bir WSUS örneğiyle iletişim kurarken hatalara neden olacak kadar yük oluşturabilir. Ve istemciler bu durumda tekrar tekrar yeniden dener.

Veritabanı paylaşımı, istemci aynı veritabanını kullanan başka bir WSUS örneğine geçtiğinde tarama cezasının uygulanmayacağı anlamına gelir. Yük artışları, veritabanlarını değiştirmek için ödediğiniz büyük ceza değildir.

Yapılandırma Yöneticisi istemci taramaları, WSUS'ye tek başına Otomatik Güncelleştirmeler'den daha fazla talep getirir. Yapılandırma Yöneticisi, uyumluluk denetimi içerdiği için reddedildi dışında herhangi bir durumdaki tüm güncelleştirmeleri döndürecek ölçütlerle taramalar istemektedir.

Otomatik Güncelleştirmeler Aracısı taradığında veya Denetim Masası'ndan Güncelleştirmeleri Denetle'yi seçtiğinizde aracı, yalnızca Yükleme için Onaylanan güncelleştirmeleri almak için ölçütler gönderir. Döndürülen meta veriler genellikle Yapılandırma Yöneticisi tarafından başlatılan taramadan daha az olur. Güncelleştirme Aracısı verileri önbelleğe alır ve sonraki tarama istekleri istemci önbelleğinden verileri döndürür.

Geri dönüşümü devre dışı bırakma ve bellek sınırlarını yapılandırma

WSUS, veritabanından güncelleştirme meta verilerini alan bir iç önbellek uygular. Bu işlem pahalıdır ve çok yoğun bellek kullanır. WSUSPool varsayılan özel ve sanal bellek sınırlarını aştığında, WSUS'u barındıran IIS uygulama havuzunun (WSUSPool olarak bilinir) geri dönüştürülmesine sebep olabilir.

Havuz geri dönüşüme geçtiğinde önbellek kaldırılır ve yeniden oluşturulması gerekir. İstemcilerde delta taramaları yapıldığında bu büyük bir sorun değildir. Ancak bir tarama fırtınası senaryosu karşınıza çıkarsa havuz sürekli olarak geri dönüşüme geçecektir. Ve tarama talebi yaptığınızda istemciler, HTTP 503 hataları gibi hatalar alacaklardır.

Varsayılan Sıra Uzunluğunu artırmanızı ve hem Sanal hem de Özel Bellek Sınırını 0 olarak ayarlayarak devre dışı bırakmanızı öneririz. IIS, uygulama havuzuna her 29 saatte bir otomatik olarak geri dönüşüm, Ping ve boşta kalma zaman aşımları uygular ve bunların tümü devre dışı bırakılmalıdır. Bu ayarlar IIS Yöneticisi>Uygulama Havuzları'nda>WsusPool'u seçip IIS yöneticisinin sağ tarafındaki Gelişmiş Ayarlar bağlantısına tıklayın.

İşte önerilen değişikliklerin özeti ve ilgili ekran görüntüsü. Daha fazla bilgi için bkz. Yapılandırma Yöneticisi'nde yazılım güncelleştirmeleri planı.

Ayar adı Değer
Sıra Uzunluğu 2000 (varsayılan değer 1000'den fazla)
Boşta Kalma Zaman Aşımı (dakika) 0 (varsayılan değer olan 20'den aşağı)
Ping Etkin False (varsayılan olan True'dan farklı)
Özel Bellek Sınırı (KB) 0 (sınırsız, varsayılan değer olan 1.843.200 KB'den yukarı)
Normal Zaman Aralığı (dakika) 0 (geri dönüşümü önlemek için ve varsayılan değer olan 1740'tan değiştirildi)

Gelişmiş Ayarlar penceresindeki ayarların ekran görüntüsü.

Önbelleğe alınmış yaklaşık 17.000 güncelleştirmenin bulunduğu bir ortamda, önbellek sabitlenene kadar (yaklaşık 14 GB) oluşturulduğundan 24 GB'tan fazla bellek gerekebilir.

Sıkıştırmanın etkinleştirilip etkinleştirilmediğini denetleyin (bant genişliğini korumak istiyorsanız)

WSUS, Xpress kodlaması çağıran bir sıkıştırma türü kullanır. Güncelleştirme meta verilerinde sıkıştırma uygular ve önemli bant genişliği tasarrufu sağlayabilir.

Xpress kodlaması, IIS ApplicationHost.config öğesinde, <httpCompression> ayarı altında şu satırla ve bir kayıt defteri ayarıyla etkinleştirilir:

  • ApplicationHost.Config

    <scheme name="xpress" doStaticCompression="false" doDynamicCompression="true" dll="C:\Program Files\Update Services\WebServices\suscomp.dll" staticCompressionLevel="10" dynamicCompressionLevel="0" />

  • Kayıt defteri anahtarı

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services\Server\Setup\IIsDynamicCompression

Her ikisi de yoksa, bu komut çalıştırılıp sonrasında IIS'deki WsusPool uygulama havuzu yeniden başlatılarak etkinleştirilebilir.

cscript "%programfiles%\update services\setup\DynamicCompression.vbs" /enable "%programfiles%\Update Services\WebServices\suscomp.dll"

Xpress kodlaması biraz CPU yükü ekler ve bant genişliği sorun değil ancak CPU kullanımı önemliyse devre dışı bırakılabilir. Aşağıdaki komut bunu kapatacaktır.

cscript "%programfiles%\update services\setup\DynamicCompression.vbs" /disable

Ürünleri ve kategorileri yapılandırın

WSUS'yi yapılandırırken yalnızca dağıtmayı planladığınız ürünleri ve kategorileri seçin. Sahip olmanız gereken kategorileri ve ürünleri daha sonra istediğiniz zaman eşitleyebilirsiniz. Dağıtmayı planlamadığınız halde bunları eklemek, WSUS sunucularında meta veri boyutunu ve ek yükü artırır.

Itanium güncelleştirmelerini ve diğer gereksiz güncelleştirmeleri devre dışı bırakın

Windows Server 2008 R2, Itanium'u destekleyen son sürüm olduğundan bu durum daha uzun süre sorun oluşturmamalıdır. Ama bundan bahsedilmesi gerekir.

Itanium mimarisi güncelleştirmelerini reddetmek için ortamınızdaki bu betiği özelleştirin ve kullanın. Betik ayrıca güncelleştirme başlığında Önizleme veya Beta içeren güncelleştirmeleri de reddedebilir.

Bu, WSUS konsolunun daha hızlı yanıt vermesini sağlar ancak istemci taramasını etkilemez.

Yerine geçen güncelleştirmeleri reddedin ve bakımı çalıştırın

WSUS'nin daha iyi çalışmasına yardımcı olmak için yapabileceğiniz en önemli şeylerden biri. Gerekenden daha uzun süre yerine geçen güncelleştirmeleri tutmak (örneğin, dağıtmayı bıraktıktan sonra), WSUS performans sorunlarının en önemli nedenidir. Dağıtmaya devam ediyorsanız bunları etrafta tutmanız sorun değil. İşiniz bittiğinde bunları kaldırın.

Yerine geçen güncelleştirmeleri ve diğer WSUS bakım öğelerini geri çevirme hakkında bilgi için Microsoft WSUS ve Yapılandırma Yöneticisi SUP bakımı için tam kılavuz makalesine bakın.

SSL kurulumu ile WSUS

Varsayılan olarak WSUS, istemci iletişimi için SSL'yi kullanacak şekilde yapılandırılmamıştır. Yükleme sonrası ilk adım, sunucu-istemci iletişimleri arasında güvenlik sağlamak için WSUS üzerinde SSL'yi yapılandırmak olmalıdır.

Aşağıdaki eylemlerden birini gerçekleştirmelisiniz:

  • Kendinden imzalı bir sertifika oluşturun. Her istemcinin bu sertifikaya güvenmesi gerekeceğinden bu ideal değildir.
  • Üçüncü taraf sertifika sağlayıcısından bir sertifika alın.
  • İç sertifika altyapınızdan bir tane alın.

Sertifikanızın, kullandığı kısa sunucu adı, FQDN ve SAN adları (takma adlar) olmalıdır.

Sertifikayı yükledikten sonra, WSUS sunucusunun adresini ve SSL bağlantı noktasını kullanmak için Grup İlkesi'ni (veya Yapılandırma Yöneticisi'ndeki yazılım güncelleştirmeleri için İstemci Yapılandırması ayarlarını) yükseltin. Bağlantı noktası genellikle 8531 veya 443'dür.

Örneğin, GPO intranet Microsoft güncelleştirme hizmeti konumunu olarak belirtin'i <https://wsus.contoso.com:8531>yapılandırın.

Başlamak için bkz. Güvenli Soket Katmanı Protokolü ile WSUS güvenliğini sağlayın.

Virüsten Koruma Harici Bırakılanları Yapılandırın

Toplu Güncelleştirmeler ve Aylık Toplamalar Hakkında

Windows işletim sistemi güncelleştirmeleri için kullanılan Aylık Toplamalar ve Toplu Güncelleştirme terimlerini görebilirsiniz. Bunlar birbirinin yerine kullanılabilir. Toplamalar, Windows 7, Windows 8.1, Windows Server 2008 R2 ve Windows Server 2012 R2 için yayımlanan ve yalnızca kısmen toplu olan güncelleştirmelerdir.

Daha fazla bilgi için aşağıdaki blog gönderilerine bakın:

Windows 10 ve Windows Server 2016 ile güncelleştirmeler, baştan itibaren toplu şekildeydi:

Toplu şu anlama gelir: İşletim sisteminin yayın sürümünü yüklersiniz ve tam olarak yamalanmak için yalnızca en son Toplu Güncelleştirmeyi uygulamanız gerekir. Eski işletim sistemleri için henüz bu tür güncelleştirmeler yok ancak bu yönde ilerliyoruz.

Windows 7 ve Windows 8.1 için en son aylık toplamayı yükledikten sonra bile daha fazla güncelleştirme gerekeceği anlamına gelir. Windows 7 ve Windows Server 2008 R2'de neredeyse tamamen yamalanmış bir sisteme sahip olmak için gerekenlere bir örnek aşağıdadır.

Aşağıdaki tabloda Windows Aylık Toplamalar ve Toplu Güncelleştirmeler listesi yer alır. Bunları Windows <sürüm> güncelleştirmesi Geçmişi'ne bakarak da bulabilirsiniz.

Windows sürümü Güncelleştirme
Windows 7 SP1 ve Windows Server 2008 R2 SP1 Windows 7 SP1 ve Windows Server 2008 R2 SP1 güncelleştirme geçmişi
Windows 8.1 ve Windows Server 2012 R2 Windows 8.1 ve Windows Server 2012 R2 güncelleştirme geçmişi
Windows 10 ve Windows Server 2016 Windows 10 ve Windows Server güncelleştirme geçmişi
Windows Server 2019 Windows 10 ve Windows Server 2019 güncelleştirme geçmişi

Göz önünde bulundurulması gereken bir diğer nokta da tüm güncelleştirmelerin WSUS ile otomatik olarak eşitlenebilecek şekilde yayımlanmamasıdır. Örneğin, C ve D haftalık Toplu Güncelleştirmeleri önizleme güncelleştirmeleridir ve WSUS ile eşitlenmez ancak bunun yerine el ile içeri aktarılmalıdır. Windows 10 güncelleştirme hizmet sıklığı'nın Aylık kalite güncelleştirmeleri bölümüne bakın.

WSUS sunucusuna bağlanmak için PowerShell kullanma

PowerShell ve WSUS API'sini kullanmaya başlamanıza yardımcı olacak kod örneği aşağıda verilmiştir. WSUS Yönetim Konsolunun yüklü olduğu yerde yürütülebilir.

[void][reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$WSUSServer = 'WSUS'
# This is your WSUS Server Name
$Port = 8530
# This is 8531 when SSL is enabled
$UseSSL = $False
#This is $True when SSL is enabled
Try
{
    $Wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer($WSUSServer,$UseSSL,$Port)
}
Catch
{
    Write-Warning "$($WSUSServer)<$($Port)>: $($_)"
    Break
}

Başvurular