Некорректное отображение информации на WSUS | Проблемы обновления со WSUS (Dual Scan)

В этой статье речь пойдет о том, как правильно настроить ПК с Windows 10 или Windows Server 2016 на обновления с сервера WSUS. Причиной послужила некорректная информация об обновлениях на WSUS сервере для некоторых Windows 10 ПК и Win Server 2016 серверов. В полях «Необходимые обновления» (Needed Count) и «Установленные обновления» (Installed Count) отображаются нули, словно доступных обновлений нет и они никогда не устанавливались.

Проблема на Windows 10 ПК

Проблема на Windows Server 2016 сервере

Более того, компьютер может автоматически устанавливать обновления мимо сервера WSUS напрямую из Windows Update, игнорируя информацию об аппрувленных обновлениях.


РЕШЕНИЕ:

1. Необходимо жестко указать компьютеру обновляться только с WSUS.

В редакторе групповых политик «Конфигурация компьютера — Административные шаблоны — компоненты Windows — Центр обновления Windows» включаем политику «Не подключаться к расположениям Центра обновления Windows в Интернете»

При этом в ветке реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

создается параметр DoNotConnectToWindowsUpdateInternetLocations типа REG_DWORD со значением «1»

В моем случае несколько машин после этого начали отображать и устанавливать обновления корректно, но далеко не все.

2. Самый главный враг в данной проблеме — Dual Scan, который появился в Windows 10 Anniversary update 1607

Понятие Dual Scan представляет собой такую комбинацию настроек в Windows 10 1607 и выше, при которой клиенты начинают игнорировать настройки локального WSUS сервера, параллельно обращаясь для сканирования на наличие новых обновлений на внешние сервера Windows Update.
Сканирование обновлений выполняется одновременно и на WSUS сервере и на серверах WU, однако клиент принимает апдейты только от серверов WU. Таким образом, все обновления/патчи с локального WSUS, относящиеся к категории Windows будут игнорироваться такими клиентами. Т.е. обновления Windows в таком режиме получаются из интернета, а обновления драйверов и других продуктов со WSUS.

Эффект Dual Scan появляется при наличии одновременно работающих комбинаций политик:

  • «Указать размещение службы обновлений Майкрософт в интрасети» (Specify intranet Microsoft update service location)
  • Любая из политик принадлежащих центру обновления для бизнеса:

a) Либо галочка «Приостановить обновления» («Defer Feature Upgrades»)

Одна из разновидностей галочки

Одна из разновидностей галочки

            b) Либо включенные политики отложенной установки обновлений «Конфигурация компьютера — Административные шаблоны — компоненты Windows — Центр обновления Windows — Центр обновления Windows для бизнеса»

3.  Таким образом, проверяем и отключаем описанные в п.2 функции и политики отложенной установки обновлений:

  • Снимаем флажок «Приостановить обновления» («Defer Feature Upgrades»)
  • Отключаем (переводим в состояние «не задано») все политики Центра обновлений Windows для бизнеса: «Конфигурация компьютера — Административные шаблоны — компоненты Windows — Центр обновления Windows — Центр обновления Windows для бизнеса» 

4. Также необходимо удалить следующие ключи реестра, если они есть:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

  • BranchReadinessLevel
  • DeferFeatureUpdatesPeriodInDays
  • DeferQualityUpdatesPeriodInDays
  • DeferUpdatePeriod
  • DeferUpgradePeriod
  • ExcludeWUDriversInQualityUpdate
  • PauseDeferrals
  • PauseFeatureUpdates
  • PauseQualityUpdates

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings

  • BranchReadinessLevel
  • DeferFeatureUpdatesPeriodInDays
  • DeferQualityUpdatesPeriodInDays
  • ExcludeWUDriversInQualityUpdate
  • DeferUpgrade

Примечание: Если вы установили для соответствующих групповых политик значение «Не настроено» или «Отключено», ключи не будут удалены, а только установлены в ноль (DWORD) в реестре.

5. Крайне желательно удалить проблемный ПК из WSUS, а затем перерегистрировать его по новой, запустив на компьютере cmd от имени администратора и выполнив команду:

wuauclt /detectnow /resetauthorization

Компьютер может отрепортиться спустя несколько часов.

В результате, мы должны увидеть корректную информацию на WSUS и обновление ПК с WSUS-сервера будет происходить корректно.


Резюме: При настройке ПК Windows 10 и серверов Windows Server 2016 на обновление с WSUS, не включаем параметры «отложить обновления» (defer upgrades) и политики центра обновления Windows для бизнеса.


Материалы по теме:

  • Достаточно хорошая и подробная статья на русском о проблеме с Dual Scan

http://winitpro.ru/index.php/2017/10/12/effekt-dual-scan-v-windows-10-i-problemy-obnovleniya-so-wsus/

  • Также по следам раскрытия проблемы

http://blog.tofte-it.dk/wsus-windows-10-clients-error-0x8024500c/

  • О Dual Scan на сайте Microsoft

https://blogs.technet.microsoft.com/wsus/2017/05/05/demystifying-dual-scan/

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s