Wdrożenie usługi Windows Server Update Services (WSUS)

Usługa Windows Server Update Service (WSUS) daje możliwość zarządzania dystrybucją aktualizacji oraz poprawek dotyczących produktów firmy Microsoft, przeznaczonych dla komputerów (stacji roboczych) w środowisku korporacyjnym. WSUS pobiera aktualizacje ze strony Microsoft Update, a następnie dystrybuuje je na komputery docelowe poprzez sieć. Wcześniejsza wersja aplikacji WSUS nosiła nazwę Software Update Services (SUS).

Do podstawowych zasad bezpieczeństwa IT należy upewnienie się, że wszystkie serwery infrastruktury są zawsze zaktualizowane pod kątem znanych exploitów i zagrożeń. Za pomocą usługi Windows Server Update Services (WSUS) można osiągnąć ten cel z dużo mniejszą ilością błędów.
Usługi Windows Server Update Services (WSUS) są aplikacją sieciową wykonaną w architekturze klient/serwer, która daje administratorom pełną kontrolę nad procesem aktualizacji systemów Windows (usługą Windows Update). Rozwiązanie WSUS może zostać wdrożone na kilka różnych sposobów, wliczając w to również wdrożenie w formie zintegrowanego komponentu System Center Configuration Manager.

- Usługi WSUS mogą zostać wdrożone w formie pojedynczego serwera lub w postaci replikowanej farmy serwerów. Serwery drugorzędne, nazywane również podrzędnymi (ang. downstream), pozyskują swoje aktualizacje z serwera nadrzędnego, nazywanego również serwerem głównym (ang. master). Z kolei serwer główny pobiera aktualizacje z usługi Windows Update przez Internet.
- Grupy komputerów ułatwiają nam testowanie oraz wdrażanie aktualizacji i poprawek dla systemu Windows. Na przykład, możemy mieć grupę serwerów rozwojowych, które wykorzystujemy do testów , aby mieć pewność, że aktualizacje nie wpłyną negatywnie na usługi po ich wdrożeniu w środowisku produkcyjnym.

Topologia WSUS Zdjęcie 1. Topologia WSUS.

Podstawowe korzyści płynące ze stosowania usług WSUS są następujące:
- Oszczędzamy przepustowość, ponieważ lokalne serwery i komputery klienckie pobierają aktualizacje w obrębie szybkiej sieci LAN bezpośrednio z lokalnego serwera WSUS.
- Podnosimy stabilność naszej sieci, ponieważ mamy możliwość przetestowania, a następnie zatwierdzenia lub zablokowania aktualizacji przed ich wdrożeniem na wspierane przez nas komputery.
- Kontrolujemy, w jaki sposób oraz kiedy zatwierdzone aktualizacje są instalowane na maszynach klienckich w naszym środowisku.

Wdrożenie usługi Windows Server Update Services (WSUS)
Środowisko testowe, w którym wdrożona zostanie usługa składa się ze środowsika Active Directory (domena wewnętrzna: msa.domena.pl) oraz serwerów i stacji roboczych będących jej członkami:
- serwer DC1: kontroler domeny (nazwa DNS: dc1.msa.domena.pl)
- serwer Server1: serwer członkowski pełniący dowolną funkcję np.: serwera plików lub serwera www (nazwa DNS: server1.msa.domena.pl)
- komputery PC1, PC2, PC3: stacje robocze używane przez pracowników firmy (nazwy DNS: pc1.msa.domena.pl, itd)
- serwer WSUS: serwer członkowski, na którym zainstalowana zostanie usługa WSUS (nazwa DNS: wsus.msa.domena.pl)

Aby zainstalować usługi WSUS na przyłączonym do domeny serwerze członkowskim z systemem Windows Server 2016, wykonaj poniższe kroki:
1. Wykorzystując konsolę Server Manager lub powłokę Windows PowerShell zainstaluj rolę serwera Windows Server Update Services (WSUS). Poniżej znajduje się przykładowe polecenie cmdlet instalujące usługi WSUS wraz z określeniem bazy Windows Internal Database (WID) jako docelowego magazynu danych:

Install-WindowsFeature -Name UpdateServices, UpdateServices-WiDB, UpdateServices-Services, UpdateServices-API, UpdateServices-UI

W przypadku użycia konsoli Server Manager należy w oknie konsoli zaznaczyć ikonę Local Server a następnie z rozwijanej listy Manage wybrać Add Roles and Features. W kreatorze instalacji ról i usług, na karcie Installation Type należy wybrać opcję Role-based or feature-based installation, a na karcie Server Roles zaznaczyć opcję Windows Server Update Services (Zdjęcie 3).

Instalacja usługi WSUS z poziomu konsoli Server Manager Zdjęcie 2. Instalacja usługi WSUS z poziomu konsoli Server Manager.

Kreator zasugeruje instalację komponentów niezbędnych do działania usługi WSUS. Należy wyrazić zgodę na instalację klikając przycisk Add Features. Na karcie Role Services należy pozostawić domyślnie zaznaczone opcje, które oznaczają, że baza danych usługi zostanie zainstalowana na serwerze wraz z usługą WSUS. Zaznaczenie opcjii SQL Server Connectivity (zdjęcie 5) pozowli na instalację bazy danych na osobnym serwerze MS SQL.
Windows Server 2016 pozwala bowiem na wykorzystanie w tym celu pełnej instalacji systemu SQL Server, co może okazać się dobrym rozwiązaniem w przypadku większych organizacji, które kładą nacisk na regularne sporządzenie kopii zapasowych baz danych oraz dbają o ich ciągłą optymalizację.

Instalacja usługi WSUS przy użyciu kreatora Zdjęcie 3. Instalacja usługi WSUS przy użyciu kreatora.

W opisywanym tu wdrożeniu testowym nie zostanie wykorzystany zewnętrzny serwer MS SQL a wbudowany serwer baz danych (Windows Internal Database (WID)).

Instalacja usługi WSUS przy użyciu kreatora Zdjęcie 4. Instalacja usługi WSUS przy użyciu kreatora.

2. Po zakończeniu instalacji najlepiej ponownie uruchomić serwer i otworzyć w konsoli Server Manager konsolę Windows Server Update Services. Spowoduje to uruchomienie kreatora kończącego proces instalacji usług WSUS (zdjęcie 5), w ramach którego instalator poprosi o wskazanie lokalizacji do przechowywania aktualizacji. Należy podać wybraną przez ścieżkę, a następnie kliknąć przycisk Run (Uruchom).

Końcowe kroki poinstalacyjne do wykonania w konsoli Server Manager Zdjęcie 5. Końcowe kroki poinstalacyjne do wykonania w konsoli Server Manager.

3. Przez kilka kolejnych minut wykonywać się będą zadania poinstalacyjne, po zakończeniu których uruchomiony zostanie kolejny kreator. Zamiast jednak opisywać szczegółowo każdy kolejny krok, wylistujemy teraz po prostu nazwy jego poszczególnych stron wraz z podaniem dla nich krótkiego opisu:
- Before You Begin (Zanim rozpoczniesz). Krok weryfikacyjny, w ramach którego kreator sprawdza, czy reguły zapory sieciowej serwera WSUS są odpowiednio skonfigurowane, oraz czy jesteśmy załogowani przy użyciu wymaganych poświadczeń.
- Microsoft Update lmprovement Program (Program poprawy jakości rozszerzenia Microsoft Update). Oferuje możliwość przystąpienia do programu poprawy jakości.
- Choose Upstream Server (Wybierz serwer nadrzędny). Tu wybieramy, czy aktualizacje pobierane będą bezpośrednio z witryny Microsoft Update, czy też z nadrzędnego serwera WSUS dostępnego w naszym środowisku.

Server Manager i konsola WSUS Zdjęcie 6. Server Manager i konsola WSUS.

- Specify Proxy Server (Określ serwer proxy). W zależności od reguł stosowanych w naszej sieci możemy w tym kroku skorzystać z serwera pośredniczącego. W takim przypadku będziemy musieli zastosować wprowadzone zmiany i utworzyć wstępne połączenie z naszym serwerem nadrzędnym. Ukończenie tego kroku może zająć kilka minut.
- Choose Languages (Wybierz języki). W tym kroku należy wybrać tylko te języki, które rzeczywiście chcemy wspierać. W innym przypadku serwer WSUS będzie pobierał znacznie więcej danych niż potrzeba.
- Choose Products (Wybierz produkty). Tutaj również należy pamiętać, aby skonfigurować pobieranie aktualizacji tylko dla tych systemów operacyjnych i oprogramowania Microsoft, które faktycznie obsługujemy.
- Choose Classifications (Wybierz klasyfikacje). Domyślnie zaznaczone są tylko aktualizacje krytyczne, aktualizacje definicji złośliwego oprogramowania dla programu Windows Defender oraz aktualizacje zabezpieczeń. Zgodnie z potrzebą możemy uwzględnić w tym kroku dowolne dodatkowe rodzaje aktualizacji.
- Configure Sync Schedule (Konfiguruj harmonogram synchronizacji). W tym kroku możemy odpowiednio zaplanować ręczną lub automatyczną synchronizację z naszym partnerem nadrzędnym. Jako że proces ten może zająć mniej lub więcej czasu, w zależności od konfiguracji innych elementów, mamy możliwość określenia godziny wykonywania tego procesu.
4. Po ukończeniu wstępnej synchronizacji możemy przystąpić do definiowania grup komputerów, określania zasad zatwierdzania oraz konfiguracji aktualizacji automatycznych. Operacji tych możemy dokonać z poziomu konsoli MMC o nazwie Update Services. Uruchomić ją można z poziomu konsoli Server Manager > Tools > Windows Server Update Services.

Server Manager i konsola WSUS Zdjęcie 7. Dostęp do konsoli MMC: Windows Server Update Services.

Tworzenie grup komputerów i konfigurowanie aktualizacji automatycznych
Domyślnie WSUS tworzy (ale nie wypełnia elementami) pojedynczą grupę komputerów o nazwie Unassigned Computers (Komputery nieprzypisane). Niektórzy administratorzy systemu Windows tworzą grupy w oparciu o lokalizacje geograficzne, inni zaś wykorzystują w tym celu poszczególne wydziały swojej organizacji.
W poniższym wdrożeniu otworzone zostaną grupy rozdzielające stacje robocze od serwerów członkowskich. Dodatkowo serwery zostaną podzielone na podgrupy związane z rolami jakie pełnią i jakie oprogramowanie zostało na nich zanistalowane. Na zdjęciu 7 ukazana została struktura grup. Podstawowe grupy to Servers i Workstations. Grupa Servers posiada podgrupy Exchange, SQLServers itd. Do tych podgrup przypisane zostaną serwery z zainstalowaną aplikacją Microsoft Exchange, serwera MS SQL itd. Każdy z serwerów będzie członkiem grupy Servers oraz dodatkowej grupy o ile zawiera on aplikację opisaną przez nazwę grupy.

Konsola MMC: Update Services Zdjęcie 8. Konsola MMC: Update Services.

Przy takim podziale na grupy, wszystkie aktualizacje przeznaczone bezposrednio do systemów serwerowych (Windows Server 2008, Windows Server 2008R2, Windows Server 2012, itd.) będą przypisywane do grupy Servers, natomiast aktualizacje odnoszące się do poszczególnych aplikacji np. aktualizacje serwera pocztowego Exchange, bedą przypisywane do podgrupy Exchange.

Przypisanie komputera do grupy Servers Zdjęcie 9. Przypisanie komputera do grupy Servers.

Dzięki temu aktualizacje do serwera Exchange bedą dostępne tylko dla serwerów z zainstalowaną aplikacją Microsoft Exchange (bez dodatkowego podziału na wersje Exchange, gdyż system operacyjny Windows Server sam pobierze tylko te aktualizacje, które pasują do wersji aplikacji Exchange jaka została na nim zainstalowana).

Na zdjęciu 9 komputer został przypisany do grupy Servers, do której administrator przypisał wszystkie aktualizacje dotyczące systemów Windows Server. Na zdjęciu 10 komputer, na którym zainstalowany został serwer Microsft SQL, przypisany został do grupy Servers oraz grupy SQLServers, do której przypisane zostały wszystkie aktualizacje i paczki serwisowe dotyczące serwerów Microsoft SQL wszystkich wersji jakie zostały wdrożone na serwerach w organizacji.

Przypisanie komputera do grupy Servers i SQLServers Zdjęcie 10. Przypisanie komputera do grupy Servers i SQLServers.

Aby stacja robocza lub serwer, będąca członkiem domeny Active Directory, została zarejestrowana w usłudze WSUS i pojawiła się w konsoli Update Services w grupie Unassigned Computers, wymagane jest wprowadzenie dodatkowych ustawień w usłudze klienta aktualizacji, w którą wyposażony jest każdy system operacyjny Windows i Windows Server. W tym celu odpowiednie ustawienia można wdrożyć przy użyciu polityki GPO usługi Active Diretory.





Korzystając z konsoli Group Policy Management należy utworzyć nową politykę GPO i skonfigurować poniższe ustawienia zawarte w pod ścieżką: Computer configuration/Administrative Templates/Windows Components/Windows Update:
1. Specify internet Microsoft update service location: ustawienie to pozwala na wskazanie serwera z usługą WSUS. W opisanym przykładzie wpisy dla środowiska testowego są następujące:
Set the internet update service for detecting updates: http://wsus.msa.domena.pl:8530
Set the intranet statistics server: http://wsus.msa.domena.pl:8530

To ustawienie jest najważniejszym wpisem pozwalającym każdemu komputerowi w domenie A.D odszukać i zarejestrować się w usłudze WSUS. Pozostałe ustawienie pod ścieżką: Computer configuration/Administrative Templates/Windows Components/Windows Update można wzdrożyć w zależności od preferencji administratora.

Oczywiście nie ma potrzeby tworzenia nowej polityki. Można wykorzystać istniejącą politykę Default Domain Policy. Warto jednak unikać wprowadzania zmian w domyślnych politykach (Default Domain Policy, Default Domain Controllers Policy) wdrożonych podczas instalacji usługi katalogowej Active Directory.

Po zaczytaniu polityki GPO przez stacje robocze w części Update & Security aplikacji ustawień widnieć będzie komunikat zarządzania informujący, że niektórymi ustawieniami zarządza organizacja.
Jeżeli stacja robocza lub serwer nie zarejestrowała się w usłudze WSUS może może zajść potrzeba uruchomienia polecenia wuauclt /reportnow z poziomu konsoli PowerShell z podniesionymi uprawnieniami, jak również odświeżenie zawartości okna konsoli Update Services. Modyfikacją tego polecenia jest wuauclt /resetauthorization /detectnow. Parametr /resetauthorization wymusza natychmiastowe wygaśnięcie pliku cookie wskazującego położenie serwera WSUS. Zwykle plik cookie wygasa po około 60 minutach. Należy również zauważyć, że kolejność tych parametrów jest krytyczna - przełącznik /resetauthorization musi być pierwszy w wierszu polecenia.
Tak się składa, że program wuauclt.exe jest klientem Windows Update Client, który przydaje się przy rozwiązywaniu innych problemów.

Nowe widoki (T-Drivers, T-Updates, T-Upgrades) wprowadzone w celu ograniczenia ilości wyświetlanych aktualizacji Zdjęcie 11. Nowe widoki (T-Drivers, T-Updates, T-Upgrades) wprowadzone w celu ograniczenia ilości wyświetlanych aktualizacji.

Konsola MMC: Update Services pozwala zdefiniować, które aktualizacje mają być pobierane oraz w jakich językach. Można także określić czy aktualizacje mają być pobierane przez komputery bezpośrednio z serwera WSUS lub z serwerów aktualizacji Microsoft.
Druga opcja powoduje, że aktualizacje nie są składowane na serwerze z usługą WSUS. Dzięki temu serwer nie potrzebuje przestrzeni dyskowej na poziomnie 2/4 TB do składowania aktualizacji. Na serwerze przetrzymywany jest tylko wykaz zatwierdzonych aktualizacji.
Jeżeli w środowisku A.D. przedsiębiorstwa istnieje grupa komputerów, nie posiadająca dostępu do Internetu, wówczas aktualizacje muszą być składowane na serwerze z usługą WSUS.
Warto zapoznać się ze wszystkimi ustawieniami konsoli. Daje ona dużo możliwości konfiguracyjnych.

Zarządzanie aktualizacjami z wykorzystaniem usługi WSUS
Zatwierdzaniem i wdrażaniem aktualizacji systemu Windows zarządzamy z poziomu węzła Updates (Aktualizacje) w konsoli Update Services. Węzeł ten podzielony jest na cztery oddzielne widoki:
· All Updates (Wszystkie aktualizacje) - Nieprzefiltrowana lista wszystkich pobranych aktualizacji.
· Critical Updates (Aktualizacje krytyczne) - Szeroko dostępne poprawki dla konkretnych problemów.
· Security Updates (Aktualizacje zabezpieczeń) - Aktualizacje definicji złośliwego oprogramowania oraz szeroko dostępne poprawki dla luk związanych z bezpieczeństwem.
· WSUS Updates (Aktualizacje WSUS) - Poprawki dla samej roli serwera WSUS.

Proces zatwierdzania aktualizacji składa się z trzech głównych kroków:
1. Zlokalizowanie wybranej aktualizacji korzystając z jednego z powyższych widoków.
2. Kliknąć wybraną aktualizację prawym przyciskiem i wybrać opcję Approve (Zatwierdź).
3. W oknie dialogowym Approve Updates (Zatwierdzanie aktualizacji) wybrać odpowiednią grupę komputerów, a następnie otworzyć menu i wybrać opcję Approved For Install (Zatwierdzone do instalacji).

Konfigurowanie raportowania WSUS
Sprawowanie kontroli nad aktualizacjami, które mają zostać zastosowane do wybranych komputerów w sieci to tylko polowa czynności do wykonania. Jeśli zachodzi potrzeba spełnienia wymagań audytu zgodności, lub gdy coś pójdzie nie tak po dokonaniu aktualizacji, możemy zostać rozliczeni z podjętych przez nas decycji.
Węzeł Reports (Raporty) w konsoli Update Services zawiera szereg wbudowanych raportów.
Należy pamiętać, że zanim będzie można przejrzeć te raporty, należy zainstalować środowisko Microsoft Report Viewer 2012 Runtime oraz systemowe typy CLR z dodatku SQL Server 2012 SP1 Feature Pack. Jest to w pełni uzasadnione, gdyż WSUS wykorzystuje albo wewnętrzną bazę danych systemu Windows (WID), albo pełną bazę danych SQL Server do uruchamiania odpowiednich zapytań T-SQL i generowania raportów.
Po zainstalowaniu wymaganych komponentów (które mogą być już zainstalowane, jeśli korzystamy z instancji SQL Server) oraz ponownym otwarciu konsoli Update Services możemy kliknąć dowolny raport w celu jego uruchomienia. Zanim konsola wygeneruje ten raport, będziemy mogli skorzystać z jednego lub kilku poniższych filtrów:
· Klasyfikacja
· Produkt
· Komputer
· Stan komputera
· Stan podrzędnych serwerów repliki
W ramach narzędzia Report Viewer możemy skorzystać z przycisku Print (Drukuj) w celu wydrukowania przeglądanego raportu, lub przycisku Export (Eksportuj) pozwalającego na jego wyeksportowanie do postaci skoroszytu Excel lub dokumentów PDF i Word.

Rozwiązywanie problemów w usługą WSUS
Większość problemów z konfiguracją i wdrożeniem usługi WSUS występuje po stronie klienta. Tę część rozdziału zakończymy więc krótkim przeglądem czynności, które pomogą nam rozwiązać wybrane problemy z klientami WSUS.
· Należy upewnić się, że klient ma właściwe ustawienia. Innymi słowy należy sprawdzić, czy polityka GPO wprowadzająca ustawienia konfiguracyjne dla usługi Windows Update została zastosowana dla danej stacji roboczej. Przydatne będzie wygenerowanie raportu Resultant Set of Policy (Wynikowy zestaw zasad), a następnie podejrzenie go w Notatniku poprzez wykonanie dwóch poniższych poleceń w konsoli PowerShell z podniesionymi uprawnieniami:
gpresult /V > %temp%\gpresult.txt
notepad %temp%\gpresult.txt.
· Sprawdzić występowanie problemów związanych z usługą BITS. Windows do pobierania aktualizacji z serwera WSUS lub witryny Windows Update wykorzystuje usługę Background Intelligent Transfer Service (BITS). Do odpytywania stanu tej usługi, uruchamiania jej i restartowania można wykorzystać poniższe polecenia PowerShell:
Get-Service -Name BITS
Start-Service -Name BITS
Restart-Service -Name BITS -Force
Warto upwenić się, że usługa ta skonfigurowana jest do wykonywania w kontekście konta użytkownika Local System.
· Problemy z usługą agenta WSUS. Do sprawdzenia bieżącego stanu działania usługi Windows Update na stacji roboczej lub serwerze należy skorzystać z powłoki Windows PowerShell. Najważniejsze jest jednak to, że powłoka ta umożliwia również administrację zdalną. W poniższym przykładzie sprawdzony zostanie stan tej usługi na dwóch serwerach jednocześnie:
Get-Service -ComputerName serverl, server2 -Name wuauserv

Należy upewnić się, że serwer WSUS jest osiągalny z poziomu danej stacji roboczej. W tym celu należy otworzyć przeglądarkę internetową na rozpatrywanym kliencie i spróbować pobrać testowy plik usługi WSUS: http://server01.contoso.local/Sdfupdatc/ iuidcnt.cab.
Jeśli klientowi uda się pobrać ten niewielki plik, będzie to oznaczać, że połączenie z serwerem WSUS działa bezproblemowo.

Liczba dostępnych aktualizacji i paczek serwisowych powoduje spore obciążenie serwera. Typowa konfiguracja obejmująca wszystkie aktualizacje i sterowniki do systemów operacyjnych od Windows 7 i Windows Serwer 2008R2 wzwyż wymaga 2 TB wolnej przestrzeni dyskowej. Bez uwzględnienia sterowników przestrzeń ta wynosi 2 TB. Dla zwiększenia wydajności serwer powienień posiadać dwa dyski: dla systemu operacyjnego (dysk C:) i dla magazynu paczek aktualizacyjnych (drugi dysk oznaczony np.: literą D:).
Serwer z systemem operacyjnym Windows Server 2008 R2/2012/2012 R2/2016/2019 do prawidłowego działania usługi WSUS, uwzględniając składowanie pakietów aktualizycajnych, potrzebuje następujących zasobów:
· pamięć RAM: 16 GB (zalecane 32 GB)
· przestrzeń dyskowa: dysk systemowy: 100 GB, dysk składowania aktualizacji: 1 TB (aktualizacje systemowe dla dwóch systemów klienckich i dwóch systemów serwerowych, oprogramowania np. MS Office), 4 TB (aktualizacje systemowe dla serwerów, klientów, i oprogramowania np. MS Office, MS SQL, MS Exchange i sterowniki dla Windows 10/11.
· liczba procesorów: 4 (zalecane 8)

Konfiguracja serwera produkcyjnego działającego jako maszyna wirtualna VMWare z systemem operacyjnym Windows Serwer 2016 i usługą WSUS, zawierającą aktualizacje systemów operacyjnych Windows 7/8.1/10/11, Windows Server 2008R2/2012/2016/2019, sterowniki dla Windows 10/11 oraz aktualizacje pakietu MS Office, baz MS SQL 2012/2014/... jest następująca:
· dysk C: 100 GB
· dysk D: 4 TB, zawiera repozytorium danych
· liczba procesorów: 4
· liczba RAM: 64 GB
Użycie 32 GB pamięci RAM skutkowało częstym zawieszaniem się konsoli MMC Update Services podczas ładowania listy sterowników lub aktualizacji.

Jeżeli serwer pracuje w środowisku wirtualnym VMware warto odrazu zastosować wartości zalecane.

Konsola Update Services bazuje na witrynie internetowej WSUS Administration skonfigurowanej w usłudze IIS. Domyślne paramtetry tej witryny często okazują się niewystarczające dla prawidłowego działa konsoli. Objawia się zawieszeniem konsoli podczas próby wyświetlenia listy aktualizacji przez kliknięcie widoku All Updates.
Warto w tym miejscu wspomnieć o możliwości utworzenia własnych widoków ograniczających liczbę wyświetlanych aktualizacji. Na zdjęciu 11 widoczne są trzy nowe widoki T-Drivers, T-Updates i T-Upgrades.

W celu rozwiązania opisanych problemów należy zmienić niektóre parametry puli aplikacji WsusPool w konsoli zarządzania IIS. W przypadku kłopotów z konsolą Update Service w logu Application pojawiają się między innymi poniższe błędy:
· Level: Error, Source: System.ServiceModel 4.0.0.0, Event ID: 3
· Level: Error, Source: Windows Server Update Services, Event ID: 12032
· Level: Error, Source: Windows Server Update Services, Event ID: 7053
· Level: Error, Source: Windows Server Update Services, Event ID: 12002

W konsoli IIS Manager należy przejść do gałęzi Application Pools, zaznaczyć pulę WsusPool i z wybrać opcję Advanced Settings... . Poniżej przedstawiona została lista parametrów, które należy zmienić:
Process Model
· Ping Maximum Response Time (seconds): 300 (wartość domyślna 90)
· Shutdown Time limit (seconds): 300 (wartość domyślna 90)
Rapid-Fail Protection
· Failure Interval (minutes): 10 (wartość domyślna 5)
Recycling
· Private Memory Limit (KB): 4194304 (wartość domyślna 1843200)

Warto także dodać folder c:\Windows\WID do wyjątków programu antywirusowego Windows Defender, o ile jest włączony na serwerze. lun innym programie antywirusowym. Folder WID zawiera pliki bazy danych i logów wewnętrznej bazy danych używanej przez usługę WSUS.

Dodatkowe informacje:
- robbievance.net: Force (really) WSUS Clients to Check in on Demand
- Microsoft Docs: WSUS Messages and Troubleshooting Tips