Depois de muito trabalho, pesquisa e intercâmbios com pessoas diferentes, aqui está o resumo do que eu encontrei e o que foi experimentado.
-
A atualização dos servidores Windows 2008R2 do WSUS não é um problema se os Serviços de Área de Trabalho Remota forem never instalados. Por exemplo, eu consegui atualizar dois servidores que eu configurei como controladores de domínio a partir da nova instalação do Windows 2008R2 SP1. Isso exigiu a aplicação de cerca de 150 atualizações. Levou alguns reboots e tudo instalado bem. Alguns falharam, mas não apareceram após serem necessários - então foram substituídos por outras atualizações que funcionaram.
-
Um servidor que tinha o RDS instalado está basicamente condenado. Instalando as atualizações vai ser uma dor. Aqui estão os comentários de algum cara MVP neste . Mas mesmo no modo de usuário único, é uma dor.
RDS Servers require special handling for patch installation. Researching "Patching Terminal Servers" will turn up conversations from back in the 2005-2007 time frame when this scenario was first discussed with respect to WSUS v2. In short, you need to drain the user sessions from the RDS server and place the server into single-user mode to successfully install those updates.
Portanto, a moral da história - quando você planeja configurar um servidor RDS, instale o Windows , mas não o RDS , faça todas as atualizações do Windows. Em seguida, instale o RDS e faça as atualizações necessárias.
E a segunda moral da história - mantenha seus servidores RDS atualizados regularmente para que você não tenha que sofrer com o passar dos meses com centenas de atualizações para instalar manualmente.
--- Mais para isso - mais tarde ---
Hoje, minha equipe encontrou algo que tem ajudado - definindo a seguinte chave do Registro: HKLM \ SYSTEM \ CurrentControlSet \ services \ TrustedInstaller \ BlockTimeoutIncrement para um valor mais alto (digamos 36000). Isso pode ser feito também por meio da política de grupo usando o "Tempo limite de aumento da atualização do Win".
Encontramos isso porque encontramos o log de atualização do Windows informando que a atualização expirou e, portanto, estava revertendo.
Definir isso deixa o Windows Update concluir a instalação após muitas horas e as atualizações instaladas.
Não nos diz por que está demorando tanto - isso ainda não é normal. Mas pelo menos conseguimos fazer as atualizações.
Ainda mais
Parece que resolvemos isso! Começamos a obter outros erros em nossos servidores e tudo isso nos levou a descobrir que o arquivo NTUSER.DAT do administrador tinha 1,5 GB e usava muitos dos recursos disponíveis para carregar arquivos de registro. Isso estava fazendo com que usuários comuns não conseguissem fazer logon (quando o administrador estava logado, o que era ... basicamente sempre).
De qualquer forma, excluí o perfil local do usuário Administrador, recriá-lo fazendo logon. O NTUSER.DAT tem menos de 1 MB.
Ok, então pensamos: isso poderia resolver nossos problemas de atualizações do Windows ... bem, parece que sim. Agora podemos instalar as atualizações do Windows, como em nossos servidores não-RDP.
Parece que, como o registro do usuário Administrador estava inchado e esse é o usuário com o qual estávamos conectados ao fazer as Atualizações do Windows (ou instalar os Hot Fixes), a instalação demorou muito e expirou.