Dla mnie osobiście było odkryciem, że w niektórych przypadkach komputery z Wiindows 10 mogą nie otrzymywać aktualizacji z wewnętrznego serwera WSUS, zamiast tego uzyskują dostęp do serwerów aktualizacji Microsoft w Internecie, chociaż serwer WSUS dla klientów jest sztywno ustawiony przez standardowe zasady grupy. Ten problem jest związany z terminem Dual Skanuj (Nie widziałem odszyfrowywania tego terminu w języku rosyjskim, niech to będzie podwójne skanowanie).
Koncepcja podwójnego skanowania to taka kombinacja ustawień w systemie Windows 10 1607 i nowszych, w których klienci zaczynają ignorować ustawienia lokalnego serwera WSUS, jednocześnie zwracając się do skanowania w poszukiwaniu nowych aktualizacji zewnętrznych serwerów Windows Update. Pierwsze skargi z podobnymi problemami wróciły w maju 2017 r..
Skanowanie w poszukiwaniu aktualizacji odbywa się jednocześnie na serwerze WSUS i na serwerach WU, jednak klient akceptuje aktualizacje tylko z serwerów WU. Dlatego wszystkie aktualizacje / poprawki z lokalnego programu WSUS związane z kategorią Windows będą ignorowane przez takich klientów. Tj. Aktualizacje systemu Windows w tym trybie są pobierane z Internetu, a aktualizacje sterowników i innych produktów z programu WSUS.
W moim przypadku na problematycznym kliencie w sekcji Komputer Konfiguracja \Administracyjne Szablony \Windows Komponenty \Windows Aktualizacja Uwzględniono dwie standardowe zasady aktualizacji komputera z wewnętrznego programu WSUS:
- Skonfiguruj automatyczne aktualizacje
- Określ lokalizację usługi aktualizacji Microsoft w intranecie
W tym samym czasie na komputerach klienckich z systemem Windows 10 w panelu sterowania, w obszarze Aktualizacje i zabezpieczenia -> Centrum aktualizacji Windows -> Opcje zaawansowane opcja włączona Odłóż otrzymywanie aktualizacji składników (ustawienie jest podobne do zasady „Wybierz po otrzymaniu aktualizacji funkcji”)
Dzięki tej kombinacji ustawień klienci przestają otrzymywać aktualizacje systemu Windows z wewnętrznego serwera WSUS.
W związku z tym pojawia się sytuacja podwójnego skanowania z następującymi kombinacjami zasad (lub równoważnymi kluczami rejestru lub ustawieniami na klientach Windows 10):
- Lokalny adres WSUS jest określony przez zasady Określ lokalizację usługi aktualizacji Microsoft w intranecie
- Jedna z zasad związanych z możliwością opóźnionego instalowania aktualizacji w koncepcji Windows Update for Business obejmuje:
- Wybierz po otrzymaniu aktualizacji funkcji
- Wybierz po otrzymaniu aktualizacji jakości
Aby wykluczyć sytuację z funkcją Podwójnego skanowania, a klienci wyszukiwali aktualizacje systemu Windows tylko na wewnętrznym serwerze WSUS, należy włączyć zasady Nie pozwól, aby zasady odroczenia aktualizacji powodowały skanowanie w poszukiwaniu Windows Update w dziale Konfiguracja komputera \ Szablony administracyjne \ Składniki systemu Windows \ Windows Update.
Ta zasada jest obecna w Windows 10 1607, ale w Windows 10 wersja 1703 nie jest domyślnie. Aby to ustawienie GPO pojawiło się, musisz zainstalować aktualizację KB4034658 8 sierpnia 2017 r.
