Olá. Wellington Agápto por aqui. Neste rápido artigo eu separei pra você as boas práticas para WSUS, elas podem ajudá-lo a evitar um baixo desempenho devido a limitações de design ou de configurações erradas.
Embora o WSUS possa oferecer suporte a 100.000 clientes por servidor (150.000 clientes quando você usa o System Center Configuration Manager), não é recomendado se aproximar desse limite. Em vez disso, considere o uso de uma configuração de 2 a 4 servidores compartilhando o mesmo banco de dados do SQL Server.
O cenário de banco de dados compartilhado também impede o que chamamos de um bombardeio de varreduras.
Um bombardeio de varreduras pode ocorrer quando muitos clientes alteram os servidores WSUS e os servidores não compartilham um banco de dados. O WSUS rastreia a atividade no banco de dados para que ambos saibam o que foi alterado desde que um cliente foi verificado pela última vez e só enviará metadados que são atualizados desde então.
Se os clientes mudam para um servidor WSUS diferente que usa um banco de dados diferente, o cliente terá que fazer uma verificação completa. Isso pode resultar em grandes transferências de metadados. Vimos que transferências maiores que 1GB por cliente ocorrem nesses cenários, especialmente se o servidor WSUS não é mantido corretamente.
O WSUS implementa um cache interno que recupera os metadados de atualização do banco de dados. Recuperar metadados do banco de dados é muito caro e faz uso muito intensivo de memória podendo resultar no pool de aplicativos do IIS que hospeda a reciclagem do WSUS (conhecido como WSUSPool) quando supera os limites de memória privada e virtual padrão.
Quando o pool recicla, o cache é removido e deverá ser recriado. Isso não é um grande problema quando os clientes estão passando por varreduras Delta. Mas se você acabar em um cenário de bombardeio de varreduras, o pool será reciclado constantemente, e os clientes receberão erros quando você fizer solicitações de varredura, por exemplo, erros HTTP 503.
Como boas práticas para WSUS recomendamos que você aumente o Comprimento da Fila padrão e desabilite o Limite de Memória Virtual e Privada definindo-os como 0. O IIS implementa uma reciclagem automática do pool de aplicativos a cada 29 horas, Ping e Tempos limite Ociosos, todos os quais devem estar desabilitados. Essas configurações são encontradas no Gerenciador do IIS > Pools de aplicativos > escolha WsusPool e, em seguida, clique no link Configurações avançadas no painel do lado direito do Gerenciador do IIS.
A seguir está um resumo das alterações recomendadas e uma captura de tela relacionada.
Comprimento da Fila = 2000 (acima do padrão de 1000)
Tempo limite de ociosidade (minutos) = 0 (abaixo do padrão de 20)
Ping Habilitado = Falso (do padrão Verdadeiro)
Limite de memória privada (base de dados) = 0 (ilimitado, acima do padrão de 1843200 da base de dados)
Intervalo de tempo regular (minutos) = 0 (para evitar uma reciclagem, e modificado a partir do padrão de 1740)
O WSUS usa um tipo de compactação chamada Xpress Encoding. Ela implementa a compactação em metadados de atualização. Isso pode resultar em economias significativas de largura de banda.
A codificação Xpress está ativada no ApplicationHost.config do IIS com esta linha no elemento de <httpCompression> e uma configuração de registro:
ApplicationHost.Config
<scheme name=”xpress” doStaticCompression=”false” doDynamicCompression=”true” dll=”C:\Program Files\Update Services\WebServices\suscomp.dll” staticCompressionLevel=”10″ dynamicCompressionLevel=”0″ />
Chave do Registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services\Server\Setup\IIsDynamicCompression
Como boas práticas para WSUS se ambos não estiverem presentes, ela poderá ser habilitada executando este comando e, em seguida, reiniciando o pool de aplicativos WsusPool no IIS.
cscript “%programfiles%\update services\setup\DynamicCompression.vbs” /enable “%programfiles%\Update Services\WebServices\suscomp.dll”
A codificação Xpress adicionará alguma sobrecarga de CPU, e poderá ser desabilitada se a largura de banda não for uma preocupação, mas sim o uso da CPU. O comando a seguir irá desligá-la.
cscript “%programfiles%\update services\setup\DynamicCompression.vbs” /disable
Quando configurar o WSUS, escolha apenas os produtos e categorias que pretende implementar. Você sempre pode sincronizar categorias e produtos que precisará ter mais adiante, mas adicioná-los quando não planeja implantá-los aumenta o tamanho dos metadados e sobrecarga nos servidores do WSUS.
Isso não deverá ser um problema por muito mais tempo, porque o Windows Server 2008 R2 foi a última versão a oferecer suporte ao Itanium. Mas é necessário mencionar.
Como boas práticas para WSUS Personalize e use este script em seu ambiente para recusar atualizações de arquitetura do Itanium. O script também poderá recusar atualizações que contenham “Preview” ou “Beta” no título da atualização.
Isso faz com que o console do WSUS seja mais responsivo, mas não afeta a varredura do cliente.
Uma das coisas mais importantes que você pode fazer para ajudar o WSUS ter uma execução melhor. Manter as atualizações que foram substituídas por mais tempo do que o necessário (ou seja, depois que você não está mais implantado-as) é a causa número 1 para os problemas de desempenho do WSUS. Não há problema em manter as atualizações substituídas se você ainda estiver implantando-as. Mas depois que não precisar mais delas, é melhor removê-las.
Por predefinição, o WSUS não está configurado para utilizar SSL para comunicação de clientes. A primeira etapa de pós-instalação deverá ser configurar o SSL no WSUS para garantir a segurança nas comunicações entre Cliente e Servidor.
Você precisa criar um certificado autoassinado (o que não é ideal porque cada cliente teria que confiar nesse certificado), obter um de um provedor de certificados externo ou de sua infraestrutura de certificados interna.
Seu certificado deve ter o nome de servidor abreviado, FQDN e nomes de SAN (aliases) que ele representa.
Como boas práticas para WSUS depois de ter o certificado instalado, será necessário atualizar a Política de Grupo (ou definições de Configuração do Cliente para Atualizações de Software no System Center Configuration Manager) para utilizar o endereço e a porta SSL do servidor WSUS. Tipicamente, é 8531 ou 443.
Por exemplo, configure a GPO Especificar o local do serviço de atualização da intranet da Microsoft para https://WSUS.contoso.com:8531.
Tenha acesso a vários cursos em uma única plataforma pagando apenas R$ 9,90 por mês?
Conheça o Microsoft Club clicando aqui.
Fui premiado como Microsoft MVP por três anos consecutivos e atualmente atuo como Head de Security, apoiando clientes com soluções de arquiteturas e segurança em nuvem.
