23.08.2016 11:55
gotch 40 13000 Источник
Windows Server 2012 R2 вышел 18 октября 2013 года. С тех пор на эту серверную операционную систему Microsoft выпущено несколько сотен обновлений исправляющих уязвимости и дефекты продукта, а так же улучшающие функционал.

Огромное количество обновлений — источник головной боли. Наиболее актуальный дистрибутив сервера, так называемый «Update2», в который интегрированы обновления по ноябрь 2014 года, безнадежно устарел. Установив с него операционную систему, вы получите вдогонку еще 200+ обновлений, которые будут устанавливаться 2-4 часа.

В этой короткой инструкции мы освежим ноябрьский дистрибутив, интегрировав в него все кумулятивные пакеты обновлений и обновления безопасности.

Помимо дистрибутива мы освежим и память администратора, вспомнив как обновляется носитель для установки, зачем выполняется каждый шаг, и какие нас может ожидать подвохи на разных этапах.

Делать будем по максимуму просто, используя штатные инструменты.

Все работы лучше проводить на сервере с уже развернутом Windows Server 2012 R2, чтобы не было накладок с версией утилиты DISM. Так же на нем удобно подключать ISO файлы, не распаковывая их.

Готовим рабочие директории


Для работы потребуются следующие каталоги:

ISO — в этот каталог копируются файлы дистрибутива. В скопируйте в него содержимое дистрибутива SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-4_MLF_X19-82891.ISO, предварительно смонтировав образ, а затем размонтировав.


MOUNT — пустой каталог, в него будут монтироваться образы из wim-файла.
CU — в этот каталог поместим кумулятивные обновления
SU — в этом каталоге будут находиться обновления безопасности и другие обновления

mkdir D:\WS2012R2\ISO
mkdir D:\WS2012R2\MOUNT
mkdir D:\WS2012R2\CU
mkdir D:\WS2012R2\SU

Скачиваем кумулятивные обновления


Tip & Trick #1. Microsoft выпускает для Windows Server 2012 R2 кумулятивные пакеты обновлений, но в них входят только обновления, исправляющие ошибки и улучшающие функционал. Обновления безопасности не включены. При этом обновления и не особо кумулятивны. Некоторые не включают в себя предыдущие обновления, и надо ставить «кумулятивное» за каждый месяц. Бардак. В октябре эта ситуация изменится к лучшему.

Со списком кумулятивных обновлений вы можете ознакомиться на этой wiki странице.

С ноября 2014 года нам потребуется интегрировать следующие обновления:

1. December 2014 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3013769, cкачать.

2. July 2016 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3172614, скачать.

Пакеты за май и июнь поглощены этим июльским пакетом. Но перед установкой обязательно обновление April 2015 servicing stack update for Windows 8.1 and Windows Server 2012 R2. KB3021910, скачать.

3. August 2016 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3179574, скачать.

Обновленный клиент центра обновления можно не интегрировать
Свежий Windows Update Client for Windows 8.1 and Windows Server 2012 R2: June 2016 вошел в KB3161606
KB3161606 поглощен KB3172614.


UPD: Я несколько преувеличил то, насколько Microsoft качественно подготовила дистрибутив. Обновления April 2014 и November 2014 действительно интегрированы. А все промежуточные — нет. Поэтому добавляем
May 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2955164, скачать
June 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2962409, скачать.
July 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2967917, скачать.
August 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2975719, скачать.
September 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2984006, скачать.
October 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2995388, скачать.

Tip & Trick #2. В разных статьях для интеграции обновлений предлагается извлечь из msu cab-файл. Делать это для offline-образа необязательно — интегрируйте msu без распаковки.

В папку CU разместите упомянутые выше msu файлы — Windows8.1-KB3013769-x64.msu, Windows8.1-KB3021910-x64.msu, Windows8.1-KB3138615-x64.msu, Windows8.1-KB3172614-x64.msu, Windows8.1-KB3179574-x64.msu.

Скачиваем обновления безопасности


Помимо кумулятивных обновлений интегрируем обновления, которые способна скачать утилита WSUS Offline Update.
Для этого:

  1. Скачиваем программу download.wsusoffline.net
  2. Выбираем обновления для Windows Server 2012 R2



  3. После скачивания открываем каталог wsusoffline\client\w63-x64\glb и *.cab файлы копируем в каталог C:\WS2012R2\SU

Обновления готовы, приступим к интеграции.

Интеграция обновлений


Для интеграции обновлений нам потребуется:
  1. Смонтировать содержимое одного из образов в install.wim 

    dism /mount-wim /wimfile:{путь к wim файлу} /Index:{N} /mountdir:{путь к директории монтирования}

  2. Интегрировать в offline установку каждое обновление

    dism /image:{путь к директории монтирования} /add-package /packagepath:{путь к *.msu или *.cab файлу}

  3. Сохранить изменения 

    dism /Unmount-WIM /MountDir:{путь к директории монтирования} /Commit


Этот процесс легко следующим автоматизировать командным файлом:

for /l %%N in (1,1,4) do (
dism /mount-wim /wimfile:"D:\WS2012R2\ISO\sources\install.wim" /Index:%%N /mountdir:D:\WS2012R2\MOUNT
for %%f in (D:\WS2012R2\CU\*.*) DO (dism /image:D:\WS2012R2\MOUNT /add-package /packagepath:%%f)
for %%f in (D:\WS2012R2\SU\*.*) DO (dism /image:D:\WS2012R2\MOUNT /add-package /packagepath:%%f)
dism /unmount-WIM /MountDir:D:\WS2012R2\MOUNT /Commit
)


Tip: Запуская командный файл, перенаправьте вывод в журнал 
UpdateWIM.cmd >>log.txt 2>>&1


В результате мы получим файл D:\WS2012R2\ISO\sources\install.wim размером в 6.15Gb. Можем ли мы его уменьшить? Да, с помощью экспорта можно получить оптимизированный файл размером в 5.85Gb.

Экономия небольшая, кроме того после этого не очень красиво выглядит диалог выбора операционной системы при установке, поэтому следующий шаг опционален.

Что надо сделать?
Для получения сжатого образа необходимо:

  1. Экспортировать первый образ из оригинального wim-файла в новый файл
    dism /export-image /sourceimagefile:{путь к исходному файлу wim} /sourceindex:1 /destinationimagefile:{путь к новому файлу wim}  /compress:max
  2. Подключить следующий образ из оригинального wim-файла в точку монтирования
    dism /mount-wim /wimfile:"D:\WS2012R2\ISO\sources\install.wim" /Index:2 /mountdir:{директория для монтированния образа}
  3. Добавить в новый файл следующий образ методом «захвата»
    dism /append-image /imagefile:{путь к новому файлу wim} /captureDir:{директория с смонтированным образом} /name:{оригинальное имя} /description:{оригинальное описание}
  4. Размонтировать образ, повторить итерацию добавления для каждого дополнительного образа
    dism /unmount-WIM /MountDir:{директория с смонтированным образом}  /Discard

Автоматизируем скриптом:

dism /export-image /sourceimagefile:D:\WS2012R2\ISO\sources\install.wim /sourceindex:1 /destinationimagefile:D:\WS2012R2\ISO\sources\install1.wim  /compress:max

dism /mount-wim /wimfile:"D:\WS2012R2\ISO\sources\install.wim" /Index:2 /mountdir:D:\WS2012R2\MOUNT

dism /append-image /imagefile:D:\WS2012R2\ISO\sources\install1.wim /captureDir:mount /name:"Windows Server 2012 R2 SERVERSTANDARD" /description:"Windows Server 2012 R2 SERVERSTANDARD"

dism /unmount-WIM /MountDir:D:\WS2012R2\MOUNT /discard

dism /mount-wim /wimfile:"D:\WS2012R2\ISO\sources\install.wim" /Index:3 /mountdir:D:\WS2012R2\MOUNT

dism /append-image /imagefile:D:\WS2012R2\ISO\sources\install1.wim /captureDir:mount /name:"Windows Server 2012 R2 SERVERDATACENTERCORE" /description:"Windows Server 2012 R2 SERVERDATACENTERCORE"

dism /unmount-WIM /MountDir:D:\WS2012R2\MOUNT /discard

dism /mount-wim /wimfile:"D:\WS2012R2\ISO\sources\install.wim" /Index:4 /mountdir:D:\WS2012R2\MOUNT

dism /append-image /imagefile:D:\WS2012R2\ISO\sources\install1.wim /captureDir:mount /name:"Windows Server 2012 R2 SERVERDATACENTER" /description:"Windows Server 2012 R2 SERVERDATACENTER"

dism /unmount-WIM /MountDir:D:\WS2012R2\MOUNT /discard

Удалите оригинальный install.wim, а сформированный install1.wim переименуйте в install.wim


Создание компактного образа install.esd
По совету D1abloRUS, если вы хотите получить инсталляционный диск минимального размера умещающийся на DVD5, можно экспортировать один (и только один) из образов в esd файл. Например, для экспорта Windows Server 2012 R2 Standard, используйте команду
dism /export-image /sourceimagefile:D:\WS2012R2\ISO\sources\install.wim /sourceindex:2 /destinationimagefile:D:\WS2012R2\ISO\sources\install.esd  /compress:recovery

Оригинальный install.wim можно удалить.


Сборка ISO-файла


Для сборки нам потребуется утилита oscdimg.exe из комплекта Windows ADK. Если у вас ее не оказалось, можно просто скачать утилиту по ссылке (не используйте из этого комплекта ничего, кроме самой утилиты).

Tip & Trick #3. Для того, чтобы не было проблем с загрузкой из образа, следует расположить загрузочные файлы в пределах первых 4 гигабайт образа. Для этого используем файл bootorder.txt

boot\bcd
boot\boot.sdi
boot\bootfix.bin
boot\bootsect.exe
boot\etfsboot.com
boot\memtest.exe
boot\en-us\bootsect.exe.mui
boot\fonts\chs_boot.ttf
boot\fonts\cht_boot.ttf
boot\fonts\jpn_boot.ttf
boot\fonts\kor_boot.ttf
boot\fonts\wgl4_boot.ttf
sources\boot.wim

Пути в этом файле указываются относительно корневой директории с образом, поэтому подстраивать пути на ваши фактические не требуется.

Tip & Trick #4. Если install.wim имеет размер больше 4700Mb, то инсталлятор вылетит с ошибкой «Windows cannot open the required file D:\sources\install.wim. Error code: 0x8007000D».

Нас учили что жизнь — это бой, поэтому разделим исходный install.wim на два командой

dism /split-Image /imagefile:D:\WS2012R2\ISO\sources\install.wim /swmfile:D:\WS2012R2\ISO\sources\install.swm /filesize:4096

Оригинальный файл install.wim можно удалить.

Tip & Trick #5. Вообще Microsoft говорит, что пить так делать нельзя.
In Windows 8.1 and Windows 8, Windows Setup does not support installing a split .wim file.

Мы говорим, что будем! Инсталлятор прекрасно подхватывает swm-файл. Проблем с установкой не будет.

Собираем образ командой:

oscdimg -m -n -yoD:\WS2012R2\bootorder.txt -bD:\WS2012R2\ISO\BOOT\etfsboot.com -lIR5_SSS_X64FREV_EN-US_DV9 D:\WS2012R2\ISO en_windows_server_2012R2_August_2016.iso

Уважаемый ildarz подсказывает, что для создания образа, одинаково хорошо работающего с BIOS и EFI, следует руководствоваться KB947024 и создавать образ так:

oscdimg -m -u2 -udfver102 -yoD:\WS2012R2\bootorder.txt -bootdata:2#p0,e,bD:\WS2012R2\ISO\BOOT\Etfsboot.com#pEF,e,bD:\WS2012R2\ISO\EFI\microsoft\BOOT\efisys.bin -lIR5_SSS_X64FREV_EN-US_DV9 D:\WS2012R2\ISO en_windows_server_2012R2_August_2016.iso

Работоспособность проверена в ESXi с любым типом загрузки (BIOS/EFI).

Все получилось? Поздравляю!



Но решена ли проблема полностью? Для идеала необходимо интегрировать еще сотню «опциональных» и «рекомендованных» обновлений, но с этим не будем торопиться. Дадим Microsoft шанс самим разобраться в том бардаке, который они устроили с обновлениями.

PS. Зачем мы все это делали? Для того, чтобы освежить память, сделать работу чуть удобнее и получить несколько простых командных файлов, при помощи которых в дальнейшем можно практически автоматизированно интегрировать обновления в серверный дистрибутив, экономя время ввода сервера в эксплуатацию. Тем более есть надежда, что начиная с октября интегрировать обновления станет гораздо проще.

Точно так же вы сможете интегрировать Windows 7 convenience rollup и не наступить на грабли распаковки обновлений, невозможности загрузки из образа, превышения размера install.wim.

Спасибо за внимание и до новых встреч, друзья.

Если есть возможность поделиться опытом — жду вас в комментариях.
Поделиться с друзьями
-->

Комментарии (40)


  1. D1abloRUS
    23.08.2016 15:10
    #9766594

    Можно сжать в .esd. Но нужен инсталятор от 8.1 и выше, но помнится, после вливания патчей, были ошибки во время установки. Хотя оригинальные образы, как раз в этом формате.


    1. gotch
      23.08.2016 15:26
      #9766636

      Каков рецепт превращения wim в esd? Что-то экспорт через DISM не дал результата, это только для Windows 10/ Server 2016?


      1. D1abloRUS
        23.08.2016 15:34
        #9766666

        как то так
        dism /Export-Image /SourceImageFile:".\install.wim" /SourceIndex:1 /DestinationImageFile:".\install.esd" /Compress:recovery


        1. gotch
          23.08.2016 17:35
          #9766910

          Протестирую и отпишусь.


  1. navion
    23.08.2016 15:20
    #9766620

    Про текущую модель обновлений есть отличная статья:
    Updated Windows Updating/Servicing Guidance (from Ignite 2015)


    1. gotch
      23.08.2016 15:38
      #9766674

      Ой, да там вранье через строчку.

      Up until December 2014, Windows 8x/2012x had «monthly rollups». At least for now, no more monthly rollups.

      Раз роллап KB3156418, два роллап 3161606. Упс! Мы забыли, что у нас нет больше месячных роллапов.
      Значит включим их в 3172614, но не будем писать какие фиксы в нем внутри. Потом выпустим 3179574. А тут уже и октябрьский мега-роллап скоро придет.


      1. navion
        24.08.2016 14:24
        #9768808

        Может немного устарела, зато тезисно собрано в одном месте.


    1. navion
      01.09.2016 17:16
      #9783810
      +1

      Вот ещё немного про новую модель обновления:
      A Bit About the Windows Servicing Model


      1. gotch
        02.09.2016 09:13
        #9784876

        О, спасибо большое


  1. ildarz
    23.08.2016 16:28
    #9766754
    +1

    По мне так проще поставить MDT и держать референсную виртуалку, с которой захватывать обновленный образ. И удобнее, и инсталлятор не так распухает. Но есть нюанс — запихнуть в один образ все редакции не получится (или, по крайней мере, официально не поддерживается, шаманить не пробовал).

    > oscdimg… -bD:\WS2012R2\ISO\BOOT\etfsboot.com

    UEFI не используете? :) А зря. По-хорошему надо как-то так:

    oscdimg… -bootdata:2#p0,e,b[Путь]\boot\etfsboot.com#pEF,e,b[Путь]\efi\microsoft\boot\efisys.bin

    Ну и использовать UDF (-u2 вместо -n).


    1. gotch
      23.08.2016 16:44
      #9766782

      Спасибо за ваш комментарий про EFI, про него совсем забыл. Сейчас попробую исправиться.

      Образы это тоже жизнь, полная нюансов, то WsusID сотри, то еще что-то. Между двух огней.


    1. gotch
      23.08.2016 17:34
      #9766908

      Век живи, век учись, спасибо за подсказку, исправил.


  1. artemlight
    23.08.2016 16:45
    #9766784
    +1

    MDT, MDT, MDT, MDT, MDT.

    раз в неделю перестраиваются образы для всех ОС, доступных по Software Assurance (windows 7\8\10, 2008\2012R2), сиспрепятся, пакуются в вим и заливаются на шару. Оттуда по DFS расползаются на региональные WDSы.


    1. gotch
      23.08.2016 16:54
      #9766804

      Артем, вы бесспорно делаете все правильно, не поспоришь. Но и Microsoft не спроста «рефрешит» дистрибутивы?

      Не могли бы вы как-нибудь поделиться подробностями вашего процесса, наверняка по граблям-то тоже достаточно походили?


    1. gotch
      23.08.2016 17:26
      #9766884

      Кстати, вспоминая опыт коллег. У нас целая история была с такими машинами — не могли потом вычистить виртуальное железо VMware. Надо попробовать в более другой среде виртуализации


  1. slonopotamus
    23.08.2016 20:35
    #9767300

    Все-таки, есть что-то такое приятное в чтении о боли, страдании и превозмоганиях пользователей Windows, пишите еще.

    А как часто и зачем вам нужно заново устанавливать Windows Server 2012 R2?


    1. SyavaSyava
      23.08.2016 21:15
      #9767378
      +2

      А со стороны кажется, что приятное вам делает не процесс чтения чего-либо, а попытки повысить своё ЧСВ путём тонкого и элегантного (как вам кажется) унижения окружающих.
      Не пишите ещё. Толсто.


      1. Ivan_83
        24.08.2016 02:17
        #9767872
        -2

        Приятность в том что это проблема вообще никак не касается, её просто не существует.
        Почитаешь так, вспомнишь всю эту херню и так хорошо что больше этим заниматься не надо.

        И проблема даже не в том что там ставится 200 обновлений потом ещё 50 и потом ещё штук 10 сразу после инстала и перезагрузок, проблема в том что оно делает это неадекватно долго и неадекватно тормозит сам центр обновлений при поиске обновлений в первый раз.

        Вообще не понимаю всей этой фигни с апдейтами в винде:
        — .NET компоненты при установке жрут проц занимаясь какой то фигнёй
        — даже простой фикс на хх килобайт (я давно уже не видел меньше ххх килобайт) ставится долго и нудно
        — служба обновлений умудряется в первый раз выжрать больше гига оперативы и жуёт сопли минут 5-10;
        — если какой то апдейт не встал нельзя сказать чтобы он насильно переставился. Помню сколько времени я убил на обновления SQL от WSUS: дебильный установщик msi всё какую то пургу нёс в логи. Притом доходило до того что этот дебильный установщик даже удалить не мог то что стояло.
        — WSUS грёбаный тормоз: мс и само написать нормально не может (оно тормозит на жалкой базе в 30к записей на коредуо) и энтузиастам активно мешает развивать тему.

        Вот это всё просто ацкий треш и угар.
        На той же фре я могу одной командой удалить все порты, или заставить их пересобраться или переустановится из пакаджей. Сам манагер работает шустро, никаких тормозов и затуплений. Ситуации когда он что то не может удалить могут возникнуть только если попортить базу установленного софта, но и тогда относительно без проблем можно накатить сверху и снести. После удаления мусора в системе практически не остаётся.
        В линуксах всё примерно так же.

        Процесс обновлений тоже предельно понятен:
        1. качается список чего каких версий есть (секунд 30 и быстрее, смотря какой инет, винт, система)
        2. скачиваются либо исходники либо пакеты (тут в основном от инета зависит)
        3. чекаются подписи (обычно не хуже 50 мегабайт/сек)
        4. скаченное ставится (в случае исходников собирается ещё, иногда это долго)
        Для обновлений из пакетов, если найти тазик где почему то давно не обновляли и накопилось 200 единиц того что можно обновить, то время обновления будет состоять из скачивания и копирования по диску (проверкой подписей и разжатием можно пренебречь ибо совсем быстро). На каком нибудь десктопе с коредуо и обычным винтом (не занятым в/в), инетом на сотку весь процесс займёт минут 5 максимум.


        1. SyavaSyava
          24.08.2016 03:06
          #9767902
          +3

          Не просветите, каким боком сюда относится ваша «фря»? В обсуждении мануала по интеграции обновлений Windows в установочный образ опять же Windows?
          Или любое упоминание Windows без приставки «маст дай» вызывает у вас приступы неконтролируемого словоизвержения?
          Поверьте, вид какающего человека, даже если он какает на что-то неприятное (возможно только для него) — не вызывает у адекватных людей никаких положительных эмоций.
          Тем удивительнее, что вокруг очень много индивидумов, которых это зрелище заставляет радостно спустить штаны и начать изливать содержимое сами понимаете чего у всех на виду, ощущая при этом радостное чувство единения и общего дела.
          Наверное я чего-то не понимаю в современном обществе…
          Я в работе запускаю apt-get и yum не реже, а то и чаще, чем wuauctl.exe, но никакого желания присоединятся к вашей компании у меня нет. Так что дальше без меня, уж извините.


          1. Ivan_83
            25.08.2016 02:19
            #9770102
            +1

            Это моё возмущение в адрес мс потому что с их ресурсами они не могут запилить нормальные обновления.
            В линухе и фре многие из систем обновления делались очень скромными командами, почти в одиночку.

            За 10 лет пакетные манагеры и прочие системы связанные с обновлением в не винде сильно поменялись, выросли, стали лучше.
            А в винде винапдейт стал больше тормозить и тривиальные обновления (которые только реестр патчят) стали занимать не десятки а сотни кб.

            Психоанализ оставьте специалистам.


            1. gotch
              25.08.2016 12:29
              #9770686

              Скорость WSUS улучшается при соответствующем обслуживании базы данных.
              Мартовский клиент Windows Update должен решать проблемы долгого поиска обновлений и поедания памяти.
              Поедание процессора .NET (насколько я понимаю) — результат прекомпиляции новоприбывших библиотек.
              Обновлять SQL, Exchange, и т.д. через WSUS — мероприятие на любителя, мягко говоря, лучше это делать вручную.

              Пакетные менеджеры та еще история. Сколько времени проходит между тем, как выходит какая-нибудь новая версия openssh с фиксом и обновления соответствующего пакета в репозитории CentOS, например. Можно вообще не дождаться.


              1. Ivan_83
                26.08.2016 20:46
                #9774636

                Обслуживал, всё так же уныло тормозит — упирается в проц.
                Притом начинал его юзать ещё на п3 в 2006 году, он тогда так же тормозил, ну там было понятно — железо слабое, а сейчас то у него коредуо и 4 гб озу. База выросла а дизайн видать хреновый и сейчас это даёт о себе знать.

                Может и лучше стало, но поиск обновлений по прежнему долго.
                Поиск обновлений при смене сервера обновлений — долго.
                И это при том, что ему всего то надо скачать список обновлений и сверить с тем что есть сейчас.

                Пусть они свой .NET компеляют у себя, за такую растрату электричества в масштабах планеты полагается кара от гринписа.

                Никакой крупной хрени к счастью не обслуживаю и не имею.

                Нужно отдавать себе отчёт в том, что CentOS весьма консервативен, и цель редхэта продать более оперативную платную поддержку.
                В убунте, фре — популярные вещи обновляются оперативно. Опенссш во фре с течении недели максимум новый приезжает. Фаерфокс частенько вообще раньше офф релиза на пару суток. Какой нибудь вайн может месяц лежать предыдущей версии в пакаджах (а из исходников в портах он просто так не собирается).
                Если что то нужно — можно всё самому сделать и после подтверждения оно станет доступно всем. (а не ждать когда кто то сделает)

                Дальше начинается что если у тебя руки+голова есть можно многое делать самому и с той оперативностью которая нужна. Либо искать людей и платить им. В случае МС можно только попрошайничать и получать стандартные отписки ТП.


                1. gotch
                  29.08.2016 00:27
                  #9776544

                  Обслуживал, всё так же уныло тормозит — упирается в проц.

                  Милорд, нам нужно больше золота, vCPU!
                  Что сказать, у каждого своя боль, сколько компаний — столько конфигураций. У нас Windows Server 2012 R2 обновляется просто за секунды. WSUS это физика сам IIS (ядер 8 физических и 16 Gb RAM) + SQL Server на отдельном виртуальном сервере. То, что оно имеет тенденцию к адскому торможению — это факт. То, что конструкция падает пару раз в месяц до iisreset — обыденность. С учетом того, что ящик-то закрытый, первопричины не всегда понятны. Это может быть, например, одно одобренное обновление — типа CU на IE — и здравствуйте, тормоза.
                  Нужно отдавать себе отчёт в том, что CentOS весьма консервативен, и цель редхэта продать более оперативную платную поддержку.

                  Не знаю насколько консервативен CentOS по сравнению с Red Hat (к ее репозиториям доступа не имеем) но то, что репозиторий медленно обновляется — унылый факт. Конечно можно самому собрать — но это же не true! :) С Ubunt'ой сравнить не имею возможности, сколько дистрибутивов, столько и поклонников. Но в этом отношении FreeBSD действительно очень оперативна.

                  В случае МС можно только попрошайничать и получать стандартные отписки ТП.

                  Как мы видим, проблема с «медленным windows update» есть, а должного внимания к этому как бы нет. А страдающих клиентов, не преувеличу если скажу, что миллионы.


                  1. Ivan_83
                    30.08.2016 03:53
                    #9778270

                    У меня нет ни денег ни желания их тратить на железо по лучше для WSUS.
                    В моём случае в основном жрёт проц встроенный SQL сервер, следом за ним оснастка.
                    IIS вообще не падал ни разу или я не видел как он рестартится, но по крайней мере никакого ручного вмешательства не требует.

                    Кроме цента и убунты ещё юзал арч, там всегда самый свежак и частенько проблемы от этого.
                    Собрать самому — из серии «шашечки или ехать».
                    У многих линуксойдов вообще какая то нездоровая фобия по поводу самостоятельной сборки софта.


                  1. navion
                    30.08.2016 14:37
                    #9778912

                    WSUS это физика сам IIS (ядер 8 физических и 16 Gb RAM) + SQL Server на отдельном виртуальном сервере. То, что оно имеет тенденцию к адскому торможению — это факт.

                    Нафига ему столько? Задача WSUS отдать список патчей клиенту, а потом отгрузить запрошенное.
                    У BigFix в рекомендованных требованиях на 1000 клиентов надо 2 ядра и 6 гигов (включая MSSQL), а ведь там аналитика намного можнее.


                    1. gotch
                      30.08.2016 17:25
                      #9779146

                      Ппобочный эффект того, что это физика, совмещающая несколько ролей. Хуже просто не нашлось сервера )
                      Но от «Ошибки 200» — http timeout это не всегда спасает.


    1. gotch
      23.08.2016 21:47
      #9767468

      Различные подразделения хотят все больше и больше сервисов; планомерно идет миграция с 2008 R2; регулярно развертываются стенды для тестирования, а лицензия Datacenter позволяет установить неограниченное количество экземпляров.

      Боли здесь особой нет, просто разъяснены некоторые неочевидные моменты. По сути, различные части документации вендора объединены в одной статье. Это и есть одно из моих любимых занятий — из нескольких фрагментов составить паззл (секрет Полишинелля, не говорите никому!).

      Что же касается того, что Microsoft не может определиться со схемой выхода обновлений, это можно переиграть и в позитивном ключе — компания пытается подстроиться под желания заказчиков (ха-ха).


    1. prundukevich
      24.08.2016 13:43
      #9768702

      А как часто и зачем вам нужно заново устанавливать Windows Server 2012 R2?

      Если в сети несколько тысяч серверов, то разворачивание новых бывает несколько раз в неделю. Или пачками по десятку серверов. Другое дело, что тогда MDT или клонирование ВМ… Но это уже дело вкуса.


  1. kerberos464
    24.08.2016 13:43
    #9768704

    у вас по ссылке на KB3013769 скачивается x86 обновление.
    нужная ссылка на x64: https://download.microsoft.com/download/2/0/9/20905BDF-9FE2-4C14-884C-0E1A5824253D/Windows8.1-KB3013769-x64.msu

    спасибо за статью!


    1. gotch
      24.08.2016 13:43
      #9768706

      Спасибо, исправим и дополним.


  1. Year
    24.08.2016 13:43
    #9768708

    о такой возможности, конечно, хорошо помнить, но, как заметили выше, если вам приходится часто устанавливать Windows, то первый шаг, который стоит сделать, это отказаться от дисков и устанавливать Windows с помощью других средств: WDS, MDT,SCCM итд.


    1. navion
      24.08.2016 14:22
      #9768800

      WIM для MDT тоже надо как-то обновлять и пересборка «золотого образа» не является единственным вариантом.


  1. Str7
    24.08.2016 19:33
    #9769608

    Я, конечно, чайник, но нельзя ли один раз установить систему, накатить обновления и сделать образ Veeam'ом или Acronis'ом, а потом накатывать этот образ где надо и настраивать дальше?


    1. SyavaSyava
      25.08.2016 03:12
      #9770126

      Часто так и делают, но ваш вариант не покрывает всех возможных сценариев развёртывания, по этому и приходится для каждого случая выбирать свой подходящий путь.


    1. gotch
      25.08.2016 12:32
      #9770694

      Нет ничего проще и надежнее, чем простой дистрибутив. Никаких проблем с геометрией и разметкой дисков, совместимостью загружаемого носителя, и лицензия не нужна.
      Где-то образ лучше, где-то чистый дистрибутив.


  1. navion
    26.08.2016 19:00
    #9774506

    Коллеги, а для вас PXE Boot такая же боль как для меня?
    Последние версии Intel Boot Agent GE/CL похоже сломаны by design и грузятся только в режиме UEFI, причем вне зависимости от сервера (WDS, LanDesk, Altris).


    1. gotch
      26.08.2016 20:00
      #9774584

      Очень интересно, можно чуть больше подробностей? Свежие машины прибывают (в основном HP, правда, как я понимаю), с «заливкой» через PXE с SCCM трудностей пока не возникало. Будут?


      1. navion
        26.08.2016 20:13
        #9774600

        Версии Intel Boot Agent GE v1.5.33 и v1.5.50 выдают PXE-E53, а CL v0.1.06 через раз PXE-E53 и PXE-E55. Я даже пробовал отломать мультикаст у WDS через реестр, но результата это не дало.

        PXE Won't boot with new version of Boot agent
        Lenovo X230 Intel Boot Agent 1.5.xx hangs during PXE
        Optiplex 990 Won't PXE boot after A18 Bios Update
        WINPE Menu option does not work on new computers or new BIOSes


    1. D1abloRUS
      29.08.2016 20:13
      #9777940

      Пробовали запускать сначала ipxe, а из него уже вызывать wds http://ipxe.org/appnote/chainload_wds?


      1. navion
        30.08.2016 14:32
        #9778904

        Там даже до загрузки не доходит, сейчас обхожу это флешкой с тем же WinPE.