none
распространение обновлений с минимальной нагрузкой на сеть RRS feed

  • Вопрос

  • В доменной инфраструктуре имеются клиентские ОС Win7,8.1,10.

    Актуальна задача минимизации нагрузки на сеть при распространении обновлений (синхронизация с серверами WSUS настроена в ручном режиме).

    Для решения задачи создал группу TestGroup (в дополнение к имеющейся группе Unassigned Computers). Перед выполнением очередной синхронизации перемещаю ПК из группы TestGroup в группу Unassigned Computers (так, что группа TestGroup не содержит ни одного ПК), затем выполняю синхронизацию и подтверждаю вновь выпущенные обновления для группы TestGroup. Затем в данную группу помещаю ПК небольшими порциями (по 50-100 ПК в сутки).

    Есть вопрос, является ли данный способ действенным и есть ли другие (возможно, рекомендованные) способы?

    16 сентября 2019 г. 11:32

Ответы


  • Есть вопрос, является ли данный способ действенным и есть ли другие (возможно, рекомендованные) способы?

    https://docs.microsoft.com/en-us/windows/deployment/update/waas-optimize-windows-10-updates 

    17 сентября 2019 г. 6:29
    Модератор
  • А для чего нужны группы WSUS?

    Есть ли указание, что их нельзя использовать для ограничения установок обновлений на ПК в больших инфраструктурах?


    WSUS может поддерживать 100 000 клиентов на сервере

    https://support.microsoft.com/ru-ru/help/4490414/windows-server-update-services-best-practices

    1.5. Планирование групп компьютеров службы WSUS

    Служба WSUS позволяет направлять обновления на группы клиентских компьютеров, таким образом обеспечивается получение определенными компьютерами нужных обновлений в самое подходящее время. Например, если компьютеры в одном отделе (например, бухгалтерии) имеют особую конфигурацию, то можно настроить группу для данного отдела, определить, какие обновления нужны на их компьютерах и в какое время их нужно устанавливать, а затем использовать отчеты WSUS для оценки данных обновлений.

    Можно создать иерархические группы компьютеров (например, создать группу "Зарплата" и группу "Расчеты с поставщиками" в группе "Бухгалтерия"). Обновления, одобренные для высшей группы, будут автоматически развернуты помимо высшей группы и в низшей группе. В данном примере после одобрения Обновление 1 для группы "Бухгалтерия" будет развернуто на всех компьютерах этой группы, всех компьютерах группы "Зарплата", а также на всех компьютерах группы "Расчеты с поставщиками".

    https://docs.microsoft.com/ru-ru/windows-server/administration/windows-server-update-services/plan/plan-your-wsus-deployment#15-plan-wsus-computer-groups

    Развертывание крупных обновлений

    Чтобы избежать перегрузки сети при развертывании крупных обновлений (таких как пакеты обновлений), применяются следующие методики.

    1. Регулирование количества запросов фоновой интеллектуальной службы передачи (BITS). Ограничения пропускной способности BITS можно контролировать посредством истинного времени, но эти ограничения распространяются на все приложения, которые используют BITS. Узнайте, как управлять регулированием BITS, см. в разделе групповых политик.

    2. Регулирование количества запросов Internet Information Services (IIS) для ограничения количества запросов к одной или нескольким веб-службам.

    3. Использование групп компьютеров для контроля управления выгрузкой. Клиентский компьютер определяет себя членом отдельной группы компьютеров, когда отсылает сведения на сервер WSUS. Сервер WSUS использует данную информацию для определения тех обновлений, которые необходимо развернуть на этом компьютере. Можно настроить несколько групп компьютеров и последовательно утвердить загрузки крупных пакетов обновлений для подмножества этих групп.

    https://docs.microsoft.com/ru-ru/windows-server/administration/windows-server-update-services/plan/plan-your-wsus-deployment#15-plan-wsus-computer-groups

    Да, действительно есть сценарий, в котором предлагают управлять крупными обновлениями через членства в группах. Самый трудоемкий из всех предложенных способ. ладно если ПК не много, а если их несколько тысяч... 

    Наиболее часто используемые группы:  серверные ПК, рабочие ПК с принудительной установкой и перезагрузкой, ПК на которых автоматическая перезагрузка отключена, тестовые( ПК, на которых первыми накатываются обновы и работают неделю-две), группа с отключенным WSUS...

     


    17 сентября 2019 г. 19:42

Все ответы

  • вы занимаетесь удивительными вещами :) для того что-бы снизить нагрузку на сеть вы создаете нагрузку на человека...

    10 могут раздавать обновления внутри сети аналогично торентам

    создаете группы по софту + по ос, добавляете машины в необходимые группы, настраиваете несколько политик по ou или группам ад когда необходимо устанавливать обновы

    например 7 в пн, 8.1 в среду, 10 в пятницу

    далее живете с этим 3-4 года без рукоприкладства до возникновения проблем со всусом. Потом в зависимости от проблемы создаете тему на данном ресурсе и живете спокойно следующие 3-4 года.


    The opinion expressed by me is not an official position of Microsoft

    16 сентября 2019 г. 11:49
    Модератор
  • Добрый день,

    Я сомневаюсь что внутри чисто локальной сети WSUS может положить сеть даже с очень большим количеством клиентов. Проблема может возникнуть с удалёнными сайтами, компы которых тянут обновления через ограниченный канал - в таком случае на удалённых сайтах разворачивают реплики WSUS, а при невозможности - ограничивают траффик WSUS на канале на сетевых железках. 

    16 сентября 2019 г. 11:57
  • Win10 немного.

    Вы имеете в виду группы во WSUS или AD?

    Думаю, постоянно поддерживать данные группы в актуальном состоянии очень затратно по времени.

    16 сентября 2019 г. 11:58
  • Win10 немного.

    Вы имеете в виду группы во WSUS или AD?

    Думаю, постоянно поддерживать данные группы в актуальном состоянии очень затратно по времени.

    если на пк стоит win7 то она никуда не денется, а если вы поставите на этот же пк win10 то с точки зрения wsus это будет новый пк, следовательно поддерживать ничего не нужно. При заведении нового пк в домен - добавили в группы wsus и все. Раз в месяц проверяете рапорты всем ли всего хватает и делаете точечные правки добавляя пару пк в месяц в пару новых групп.

    В политиках же речь илет про группы ад, или ou - тут вам виднее по какому принцыпу вам удобнее создавать политики. Если все машины в одной ou то разграничивать можете группами, если пк лежат в ou древовидной структуры то можна с группами не париться. И опять таки раз в месяц делаете рапорт кто не входит ни в одну из групп wsus и добавляете в необходимую. Делается это одной командой posh (пусть возможно и длинной).

    Всяко веселее чем пол месяца добавлять/удалять по 50-150 машин в группу wsus. А если учесть что наличие пк в группе wsus ничего не гарантирует (от добавления в группу до установки обнов может пройти 3-4 дня и пара ребутов), то затея с добавлением машин на 1 день вообще теряет смысл.


    The opinion expressed by me is not an official position of Microsoft

    16 сентября 2019 г. 14:30
    Модератор
  • заведением ПК в домен и управлением WSUS занимаются разные специалисты. Специалист, который вводит ПК в домен, не обязан сообщать администратору WSUS имя ПК.

    Добавлять ПК в группу WSUS можно скриптом.

    В вопросе хотелось бы управление обновлениями рассматривать с точки зрения WSUS, а не AD, групповых политик.

    Сейчас есть одна политика, в которой указан период проверки обновлений (4 часа) и время установки обновлений (14:00) для всех ПК. Политика не содержим целевую группу WSUS.

    Добавление ПК в целевую группу WSUS имеет результат: обновления на ПК загружаются и устанавливаются в течение суток.

    • Изменено Mikhail_sa 17 сентября 2019 г. 0:44
    16 сентября 2019 г. 23:03
  • я написал механизм как управлять установкой обновлений с минимальными трудозатратами о чем вы и спрашивали в своем первом вопросе. Если вы считаете что я не прав, то можете игнорировать мои рекоммендации и делать что угодно другое

    Просто стоит понимать что ваше решение будет довольно уникальным, и когда прийдет пора новому человеку разбираться в ваших механизмах и почему они не работают (а ломаются все даже штатные) то я вас уверяю что будет много удивленных матюков.


    The opinion expressed by me is not an official position of Microsoft

    17 сентября 2019 г. 4:52
    Модератор
  • заведением ПК в домен и управлением WSUS занимаются разные специалисты. Специалист, который вводит ПК в домен, не обязан сообщать администратору WSUS имя ПК.

    Добавлять ПК в группу WSUS можно скриптом.

    В вопросе хотелось бы управление обновлениями рассматривать с точки зрения WSUS, а не AD, групповых политик.

    Сейчас есть одна политика, в которой указан период проверки обновлений (4 часа) и время установки обновлений (14:00) для всех ПК. Политика не содержим целевую группу WSUS.

    Добавление ПК в целевую группу WSUS имеет результат: обновления на ПК загружаются и устанавливаются в течение суток.

    помоему вы пошли длинной дорогой... просто ограничьте трафик WSUS если это вас так заботит, а группы в WSUS они не для этого.

    https://computerstepbystep.com/limit-the-maximum-network-bandwidth-for-bits-background-transfers-gpo.html

    17 сентября 2019 г. 5:58

  • Есть вопрос, является ли данный способ действенным и есть ли другие (возможно, рекомендованные) способы?

    https://docs.microsoft.com/en-us/windows/deployment/update/waas-optimize-windows-10-updates 

    17 сентября 2019 г. 6:29
    Модератор
  • В скрипте, который перемещает ПК из одной группы WSUS в другую, уникального особо ничего нет.

    Большим числом групп WSUS не менее сложно управлять для больших инфраструктур (особенно обновление состава групп, если часто вводятся в домен новые ПК).


    • Изменено Mikhail_sa 17 сентября 2019 г. 7:01
    17 сентября 2019 г. 6:58
  • А для чего нужны группы WSUS?

    Есть ли указание, что их нельзя использовать для ограничения установок обновлений на ПК в больших инфраструктурах?

    17 сентября 2019 г. 7:03
  • В скрипте, который перемещает ПК из одной группы WSUS в другую, уникального особо ничего нет.

    Большим числом групп WSUS не менее сложно управлять для больших инфраструктур.

    для чего это надо? если нет желания применять политки нацеливания на ОУ, то есть targeting, которым очень тонко можно раскидать компы по нужным группам, в пределах одной ГПО и без ОУ.

    https://www.dell.com/support/article/ru/ru/rudhs1/sln285439/сервер-windows-использование-функции-определения-конечных-объектов-на-уровне-элемента-с-помощью-параметров-групповых-политик?lang=ru

    Скрипт - это дело последнее, когда нет готового инструмента, это как команда Go To в программировании, безвыходный костыль... ИМХО

    17 сентября 2019 г. 7:04
  • Компьютер в группу WSUS может попадать разными способами - с помощью настроек групповых политик или вручную. Данные вопросы понятны.

    Интересуют другие вопросы:

    1. какие негативные эффекты могут быть, если, например, компьютер с ОС Win7 помещен в группу WSUS, на которую назначены для установки обновления сразу для многих ОС (Win7, 8.1, 10)

    2. какие негативные эффекты могут быть, если ПК добавляются в группу (на которую назначены для установки обновления) небольшими порциями.

    Здесь нужно понимать, как работает WSUS на хорошем уровне.

    17 сентября 2019 г. 10:53
  • 1 ефект будет таким что найти необходимые обновы в большом количестве обнов занимает больше времени чем в малом. Репорты по группам будут не информативными

    2 для всуса фиолетово какими порциями добавляются пк в группу но первая инициализация занимает часто вагон времени о чем я писал выше. Как следствие если вы выключенный пк добавите в группу на 1 день а потом удалите он ничего не узнает о том что вы какие-то дейсвия предпринимали с ним. Если пк был включен и вы его добавили на 1 день то он может через день два узнать что вы его добавили, а к тому моменту вы его уже удалите. Как результат обновы не прийдут и установлены не будут. А еще стоит понимать что проверка обновлений происходит со смещением во времени дабы все разом не положили wsus и это смещение трудно прогнозировать.


    The opinion expressed by me is not an official position of Microsoft


    17 сентября 2019 г. 11:12
    Модератор
  • п.1 спасибо.

    п.2 WSUS начинает загрузку обновления из Интернет, если обновление назначено хотя бы на одну группу во WSUS (даже если в группе нет ПК). Возможно, поэтому требуется первоначальное время для установки новых обновлений. Если в политике задан период проверки 4 часа, то, думаю, даже с учётом смещения времени обновления будут загружены на ПК в течение 8-12 часов.

    Также (зная значение параметра период проверки и время последней синхронизации для ПК) можно вычислить время, когда ПК должен обратиться к WSUS (при условии, что ПК включен) и поместить его в группу, на которую назначена установка новых обновлений, заранее.

    Если ставить задачу распространить обновления WSUS как можно быстрее, подход может ускорить процесс.


    • Изменено Mikhail_sa 17 сентября 2019 г. 14:46
    17 сентября 2019 г. 14:45
  • если пк у вас 2-3 то отследить время можно попробовать но если их сотня, то я вас уверяю что проблемы будут вылазить рандомно на 20-30% из общего количества. Но можете мне не поверить и убедиться лично :)

    The opinion expressed by me is not an official position of Microsoft

    17 сентября 2019 г. 15:04
    Модератор
  • А для чего нужны группы WSUS?

    Есть ли указание, что их нельзя использовать для ограничения установок обновлений на ПК в больших инфраструктурах?


    WSUS может поддерживать 100 000 клиентов на сервере

    https://support.microsoft.com/ru-ru/help/4490414/windows-server-update-services-best-practices

    1.5. Планирование групп компьютеров службы WSUS

    Служба WSUS позволяет направлять обновления на группы клиентских компьютеров, таким образом обеспечивается получение определенными компьютерами нужных обновлений в самое подходящее время. Например, если компьютеры в одном отделе (например, бухгалтерии) имеют особую конфигурацию, то можно настроить группу для данного отдела, определить, какие обновления нужны на их компьютерах и в какое время их нужно устанавливать, а затем использовать отчеты WSUS для оценки данных обновлений.

    Можно создать иерархические группы компьютеров (например, создать группу "Зарплата" и группу "Расчеты с поставщиками" в группе "Бухгалтерия"). Обновления, одобренные для высшей группы, будут автоматически развернуты помимо высшей группы и в низшей группе. В данном примере после одобрения Обновление 1 для группы "Бухгалтерия" будет развернуто на всех компьютерах этой группы, всех компьютерах группы "Зарплата", а также на всех компьютерах группы "Расчеты с поставщиками".

    https://docs.microsoft.com/ru-ru/windows-server/administration/windows-server-update-services/plan/plan-your-wsus-deployment#15-plan-wsus-computer-groups

    Развертывание крупных обновлений

    Чтобы избежать перегрузки сети при развертывании крупных обновлений (таких как пакеты обновлений), применяются следующие методики.

    1. Регулирование количества запросов фоновой интеллектуальной службы передачи (BITS). Ограничения пропускной способности BITS можно контролировать посредством истинного времени, но эти ограничения распространяются на все приложения, которые используют BITS. Узнайте, как управлять регулированием BITS, см. в разделе групповых политик.

    2. Регулирование количества запросов Internet Information Services (IIS) для ограничения количества запросов к одной или нескольким веб-службам.

    3. Использование групп компьютеров для контроля управления выгрузкой. Клиентский компьютер определяет себя членом отдельной группы компьютеров, когда отсылает сведения на сервер WSUS. Сервер WSUS использует данную информацию для определения тех обновлений, которые необходимо развернуть на этом компьютере. Можно настроить несколько групп компьютеров и последовательно утвердить загрузки крупных пакетов обновлений для подмножества этих групп.

    https://docs.microsoft.com/ru-ru/windows-server/administration/windows-server-update-services/plan/plan-your-wsus-deployment#15-plan-wsus-computer-groups

    Да, действительно есть сценарий, в котором предлагают управлять крупными обновлениями через членства в группах. Самый трудоемкий из всех предложенных способ. ладно если ПК не много, а если их несколько тысяч... 

    Наиболее часто используемые группы:  серверные ПК, рабочие ПК с принудительной установкой и перезагрузкой, ПК на которых автоматическая перезагрузка отключена, тестовые( ПК, на которых первыми накатываются обновы и работают неделю-две), группа с отключенным WSUS...

     


    17 сентября 2019 г. 19:42