Pre mňa osobne to bol objav, že v niektorých prípadoch počítače s operačným systémom Windows 10 nemusia dostávať aktualizácie z interného servera WSUS, namiesto toho pristupujú k aktualizačným serverom Microsoft na internete, hoci server WSUS pre klientov je pevne nastavený štandardnou skupinovou politikou. Tento problém súvisí s týmto pojmom dvojaký skenovať (Nevidel som dešifrovanie pojmu v ruštine, nech je to dvojité skenovanie).
Koncepcia duálneho skenovania je taká kombinácia nastavení v systéme Windows 10 1607 a vyšších, pri ktorých klienti začínajú ignorovať nastavenia miestneho servera WSUS a súčasne vyhľadávajú nové aktualizácie na externých serveroch Windows Update. Prvé sťažnosti s podobnými problémami boli vrátené v máji 2017..
Vyhľadávanie aktualizácií sa vykonáva súčasne na serveri WSUS a na serveroch WU, klient však akceptuje aktualizácie iba zo serverov WU. Títo klienti teda budú ignorovať všetky aktualizácie / záplaty z miestneho WSUS týkajúce sa kategórie Windows. tj Aktualizácie systému Windows v tomto režime sa získavajú z internetu a aktualizácie ovládačov a ďalších produktov od spoločnosti WSUS.
V mojom prípade na problémovom klientovi v časti počítačový Konfigurácia \administratívne Šablóny \windows Komponenty \windows aktualizovať Boli zahrnuté dve štandardné politiky pre aktualizáciu PC z interného WSUS:
- Konfigurácia automatických aktualizácií
- Zadajte umiestnenie intranetovej aktualizačnej služby spoločnosti Microsoft
Zároveň na klientskych počítačoch so systémom Windows 10 na ovládacom paneli pod Aktualizácie a zabezpečenie -> Centrum aktualizácií Windows -> Rozšírené možnosti možnosť povolená Odložiť prijímanie aktualizácií komponentov (nastavenie je podobné ako pravidlo „Vybrať, keď sa prijímajú aktualizácie funkcií“)
S touto kombináciou nastavení klienti prestávajú prijímať aktualizácie systému Windows z interného servera WSUS.
Situácia duálneho skenovania teda vzniká s nasledujúcimi kombináciami politík (alebo ekvivalentných kľúčov alebo nastavení registrov v prípade klientov so systémom Windows 10):
- Lokálna adresa WSUS je určená politikou Zadajte umiestnenie intranetovej aktualizačnej služby spoločnosti Microsoft
- Patrí sem jedna z politík týkajúcich sa možnosti oneskorenej inštalácie aktualizácií v koncepte Windows Update for Business:
- Vyberte, kedy sa majú prijímať aktualizácie funkcií
- Vyberte, kedy sa majú prijímať aktualizácie kvality
Ak chcete vylúčiť situáciu s duálnym skenovaním a klienti vyhľadávali aktualizácie systému Windows iba na internom serveri WSUS, musíte povoliť politiku Nedovoľte, aby politiky odkladu aktualizácií spôsobovali kontroly oproti službe Windows Update v časti Konfigurácia počítača \ Šablóny pre správu \ Súčasti systému Windows \ Windows Update.
Táto politika je k dispozícii v systéme Windows 10 1607, ale v systéme Windows 10 vo verzii 1703 nie je predvolene nastavená. Aby sa toto nastavenie GPO zobrazilo, musíte nainštalovať aktualizáciu KB4034658 8. augusta 2017.
