Boas práticas para WSUS

Shape Image One
Boas práticas para WSUS

Olá. Wellington Agápto por aqui. Neste rápido artigo eu separei pra você as boas práticas para WSUS, elas podem ajudá-lo a evitar um baixo desempenho devido a limitações de design ou de configurações erradas.
 

Limites de capacidade

Embora o WSUS possa oferecer suporte a 100.000 clientes por servidor (150.000 clientes quando você usa o System Center Configuration Manager), não é recomendado se aproximar desse limite. Em vez disso, considere o uso de uma configuração de 2 a 4 servidores compartilhando o mesmo banco de dados do SQL Server.

O cenário de banco de dados compartilhado também impede o que chamamos de um bombardeio de varreduras.

Um bombardeio de varreduras pode ocorrer quando muitos clientes alteram os servidores WSUS e os servidores não compartilham um banco de dados. O WSUS rastreia a atividade no banco de dados para que ambos saibam o que foi alterado desde que um cliente foi verificado pela última vez e só enviará metadados que são atualizados desde então.

Se os clientes mudam para um servidor WSUS diferente que usa um banco de dados diferente, o cliente terá que fazer uma verificação completa. Isso pode resultar em grandes transferências de metadados. Vimos que transferências maiores que 1GB por cliente ocorrem nesses cenários, especialmente se o servidor WSUS não é mantido corretamente.

 

Desabilite a reciclagem e configure limites de memória

O WSUS implementa um cache interno que recupera os metadados de atualização do banco de dados. Recuperar metadados do banco de dados é muito caro e faz uso muito intensivo de memória podendo resultar no pool de aplicativos do IIS que hospeda a reciclagem do WSUS (conhecido como WSUSPool) quando supera os limites de memória privada e virtual padrão.

Quando o pool recicla, o cache é removido e deverá ser recriado. Isso não é um grande problema quando os clientes estão passando por varreduras Delta. Mas se você acabar em um cenário de bombardeio de varreduras, o pool será reciclado constantemente, e os clientes receberão erros quando você fizer solicitações de varredura, por exemplo, erros HTTP 503.

Como boas práticas para WSUS recomendamos que você aumente o Comprimento da Fila padrão e desabilite o Limite de Memória Virtual e Privada definindo-os como 0. O IIS implementa uma reciclagem automática do pool de aplicativos a cada 29 horas, Ping e Tempos limite Ociosos, todos os quais devem estar desabilitados. Essas configurações são encontradas no Gerenciador do IIS > Pools de aplicativos > escolha WsusPool e, em seguida, clique no link Configurações avançadas no painel do lado direito do Gerenciador do IIS.

A seguir está um resumo das alterações recomendadas e uma captura de tela relacionada.

Comprimento da Fila = 2000 (acima do padrão de 1000)

Tempo limite de ociosidade (minutos) = 0 (abaixo do padrão de 20)

Ping Habilitado = Falso (do padrão Verdadeiro)

Limite de memória privada (base de dados) = 0 (ilimitado, acima do padrão de 1843200 da base de dados)

Intervalo de tempo regular (minutos) = 0 (para evitar uma reciclagem, e modificado a partir do padrão de 1740)

Configurações avançadas

 

A compactação está habilitada (se você quiser economizar largura de banda)?

O WSUS usa um tipo de compactação chamada Xpress Encoding. Ela implementa a compactação em metadados de atualização. Isso pode resultar em economias significativas de largura de banda.

A codificação Xpress está ativada no ApplicationHost.config do IIS com esta linha no elemento de <httpCompression> e uma configuração de registro:

ApplicationHost.Config

<scheme name=”xpress” doStaticCompression=”false” doDynamicCompression=”true” dll=”C:\Program Files\Update Services\WebServices\suscomp.dll” staticCompressionLevel=”10″ dynamicCompressionLevel=”0″ />

Chave do Registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services\Server\Setup\IIsDynamicCompression

Como boas práticas para WSUS se ambos não estiverem presentes, ela poderá ser habilitada executando este comando e, em seguida, reiniciando o pool de aplicativos WsusPool no IIS.

cscript “%programfiles%\update services\setup\DynamicCompression.vbs” /enable “%programfiles%\Update Services\WebServices\suscomp.dll”

A codificação Xpress adicionará alguma sobrecarga de CPU, e poderá ser desabilitada se a largura de banda não for uma preocupação, mas sim o uso da CPU. O comando a seguir irá desligá-la.

cscript “%programfiles%\update services\setup\DynamicCompression.vbs” /disable

 

Configurando produtos e categorias

Quando configurar o WSUS, escolha apenas os produtos e categorias que pretende implementar. Você sempre pode sincronizar categorias e produtos que precisará ter mais adiante, mas adicioná-los quando não planeja implantá-los aumenta o tamanho dos metadados e sobrecarga nos servidores do WSUS.

 

Desabilitar atualizações do Itanium e outras atualizações desnecessárias

Isso não deverá ser um problema por muito mais tempo, porque o Windows Server 2008 R2 foi a última versão a oferecer suporte ao Itanium. Mas é necessário mencionar.

Como boas práticas para WSUS Personalize e use este script em seu ambiente para recusar atualizações de arquitetura do Itanium. O script também poderá recusar atualizações que contenham “Preview” ou “Beta” no título da atualização.

Isso faz com que o console do WSUS seja mais responsivo, mas não afeta a varredura do cliente.

 

Recuse Atualizações Substituídas e execute a manutenção.

Uma das coisas mais importantes que você pode fazer para ajudar o WSUS ter uma execução melhor. Manter as atualizações que foram substituídas por mais tempo do que o necessário (ou seja, depois que você não está mais implantado-as) é a causa número 1 para os problemas de desempenho do WSUS. Não há problema em manter as atualizações substituídas se você ainda estiver implantando-as. Mas depois que não precisar mais delas, é melhor removê-las.

 

WSUS com Configuração SSL

Por predefinição, o WSUS não está configurado para utilizar SSL para comunicação de clientes. A primeira etapa de pós-instalação deverá ser configurar o SSL no WSUS para garantir a segurança nas comunicações entre Cliente e Servidor.

Você precisa criar um certificado autoassinado (o que não é ideal porque cada cliente teria que confiar nesse certificado), obter um de um provedor de certificados externo ou de sua infraestrutura de certificados interna.

Seu certificado deve ter o nome de servidor abreviado, FQDN e nomes de SAN (aliases) que ele representa.

Como boas práticas para WSUS depois de ter o certificado instalado, será necessário atualizar a Política de Grupo (ou definições de Configuração do Cliente para Atualizações de Software no System Center Configuration Manager) para utilizar o endereço e a porta SSL do servidor WSUS. Tipicamente, é 8531 ou 443.

Por exemplo, configure a GPO Especificar o local do serviço de atualização da intranet da Microsoft para https://WSUS.contoso.com:8531.

 

Links que podem te ajudar