Dual Update Windows Update-Funktion - Automatisierte Lösung für das Update-Management
Microsoft hat der Updateverwaltung durch die Kombination von Windows Update for Business und Windows as a Service eine völlig neue Bedeutung gegeben. hier kommt Dual Scan. Das ist ein Windows Update-Funktion Die Administratoren müssen nicht jedes Update manuell genehmigen.
"Wir glauben, dass diese automatisierte Verwaltungslösung die Zukunft ist, und wir möchten sicherstellen, dass jeder, der auf ein modernes (d. H. Cloud-first) Update-Management umsteigen möchte, dies tun kann." - Sagt Microsoft.
Was ist Dual Scan?
Dual Scan ist ein Windows Update-Client (WU-Client), der mit Windows 10 1607 eingeführt wurde, um den Workflow für das direkte Empfangen von Updates direkt von Windows Updates (WU) zu verwalten und dennoch Inhalte wie Treiber oder lokal veröffentlichte Updates über WSUS abliefern zu können.
Durch das zweifache Scannen werden Windows-Updates aus dem Internet und Nicht-Windows-Updates von WSUS abgerufen. Dual Scan ist automatisch aktiviert, wenn eine Kombination von Windows Update-Gruppenrichtlinien aktiviert ist:
- DeferQualityUpdate
- DeferQualityUpdatePeriodInDays
- PauseQualityUpdate
- DeferFeatureUpdate
- DeferFeatureUpdatePeriodInDays
- PauseFeatureUpdate
Dieses Modell kann nur von Unternehmen verwendet werden, die WU als Hauptaktualisierungsquelle verwenden möchten, während Windows Server Update Services (WSUS) alle anderen Inhalte bereitstellt.
Doppelter unerwünschter Kontrollverlust
Dual Scan führt zu einem unerwünschten Kontrollverlust für diejenigen, die weiterhin Updates auf ihre alte Weise verwalten möchten. Vor Windows 10 konnte ein verwalteter Computer nicht unbeabsichtigt auf einen neuen Build aktualisiert werden, indem einfach gegen Windows Update (WU) gescannt wurde. Dies war darauf zurückzuführen, dass der Channel nur Qualitätsupdates zur Verfügung stellte, in der Regel, weil die Administratoren sich nicht darum kümmerten, dass ihre Clients gegen die WU scannen, da dies niemals zu wesentlichen Änderungen des Status des Clients führen könnte.
Da Featureupdates für WU angeboten werden, können über WSUS oder Configuration Manager verwaltete Clients Featureupdates erhalten, die zuvor vom Administrator durch Klicken abgelehnt wurden "Online nach Updates von Microsoft Update suchen" Verknüpfung.
Geschäftssteuerungen im On-Premise-Szenario
Da die lokalen Administratoren zu Recht über das obige Szenario besorgt waren, wählten sie die WU für die Business-Richtlinie, die es ihnen ermöglichte, auszuwählen, wann Feature-Updates empfangen wurden, die den geplanten Effekt hatten: Durch Scans gegen Windows Update wurde das nicht genehmigte Feature nicht mehr verschoben Aktualisierung.
Nichtsdestotrotz erfüllte diese Konfiguration auch die Kriterien für die Aktivierung des Doppelscans, was dazu führt, dass das Gerät nicht von WSUS oder Configuration Manager für Windows-Updates gesteuert wird.
Wie kann ein Benutzer jedoch verhindern, dass nicht genehmigte Funktionsupdates installiert werden, während er die Kontrolle der Updateverwaltung mit den vorhandenen lokalen Tools behält?
Microsoft sagt-
„Wir haben genügend Rückmeldungen zu diesem Szenario erhalten, die wir zur Veröffentlichung eines Qualitätsupdates für 1607 verpflichtet haben, mit dem Sie WU for Business-Steuerelemente auch im lokalen Szenario nutzen können. d. h. für Scans "Online nach Updates suchen". Sie können Funktionsaktualisierungen verschieben, ohne sich automatisch in das Dual-Scan-Verhalten zu bewegen. “
Die Richtlinie konnte nicht standardmäßig konfiguriert werden. Dies muss aktiviert sein, um sicherzustellen, dass sich der WU-Client wie beabsichtigt verhält. Microsoft plant, das Qualitätsupdate auf 1607 zu veröffentlichen, das diesen Sommer veröffentlicht wird.
So entsperren Sie dieses Szenario
Microsoft listet die Schritte auf, um das Szenario sofort freizugeben. Mit diesen Schritten können die verwalteten Clients Scans gegen WSUS / Configuration Manager durchführen und auf den Microsoft Store zugreifen. Mit dieser Konfiguration werden Feature-Updates für die automatische Installation auf den Maschinen und für Update-Inhalte für die Installation über Windows Update eingeschränkt. Microsoft empfiehlt für alle verwalteten Clients die folgenden Problemumgehungen:
- Legen Sie alle WU for Business-Richtlinien auf Nicht konfiguriert fest. Dadurch wird sichergestellt, dass Sie sich nicht im Dual Scan-Modus befinden.
- Vergewissern Sie sich, dass Sie das kumulative Update vom November 2016 für 1607 oder ein kumulatives Update installiert haben, das neuer ist.
- Aktivieren Sie die Gruppenrichtlinie System / Internet Communication Management / Internetkommunikationseinstellungen / Deaktivieren Sie den Zugriff auf alle Windows Update-Funktionen
- Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten "gpupdate / force" aus, gefolgt von "UsoClient.exe startscan".
- Öffnen Sie die Windows Update-Benutzeroberfläche (warten Sie, bis der Scan abgeschlossen ist), und beachten Sie Folgendes: