За мен лично беше откритие, че в някои случаи компютрите с Wiindows 10 може да не получават актуализации от вътрешния WSUS сървър, вместо това да имат достъп до сървърите за актуализиране на Microsoft в Интернет, въпреки че WSUS сървърът за клиенти е строго зададен от стандартната групова политика. Този проблем е свързан с термина двоен преглеждане (Не съм виждал декриптиране на термина на руски, нека това е двойно сканиране).
Концепцията за двойно сканиране е такава комбинация от настройки в Windows 10 1607 и по-висока, в която клиентите започват да игнорират настройките на локалния WSUS сървър, като същевременно се обръщат към сканиране за нови актуализации към външни сървъри за актуализация на Windows. Първите оплаквания с подобни проблеми бяха още през май 2017 г..
Сканирането за актуализации се извършва едновременно на WSUS сървъра и на WU сървърите, но клиентът приема актуализации само от WU сървъри. По този начин, всички актуализации / кръпки от локалния WSUS, свързани с категорията на Windows, ще бъдат игнорирани от такива клиенти. Т.е. Актуализациите на Windows в този режим се получават от Интернет, а актуализациите на драйвери и други продукти от WSUS.
В моя случай на проблемния клиент, в секцията компютър Конфигурация \административен Шаблони \Windows Компоненти \Windows Актуализация Бяха включени две стандартни правила за актуализиране на компютър от вътрешен WSUS:
- Конфигурирайте автоматични актуализации
- Посочете интранет местоположението на услугата за актуализиране на Microsoft
В същото време на клиентските компютри с Windows 10 в контролния панел, под Актуализации и сигурност -> Център за актуализации Windows -> Разширени опции опцията е активирана Отложете получаването на актуализации на компонентите (настройката е подобна на правилото „Избор, когато се получават актуализации на функциите“)
С тази комбинация от настройки клиентите спират да получават актуализации на Windows от вътрешния WSUS сървър.
По този начин ситуацията с двойно сканиране възниква със следните комбинации от политики (или еквивалентни ключове или настройки на системния регистър на клиенти на Windows 10):
- Локалният WSUS адрес се определя от политиката Посочете интранет местоположението на услугата за актуализиране на Microsoft
- Една от политиките, свързани с възможността за забавено инсталиране на актуализации в концепцията на Windows Update for Business, е включена:
- Изберете кога се получават актуализации на функциите
- Изберете кога се получават актуализации на качеството
За да изключите ситуацията с Dual Scan и клиентите търсят актуализации на Windows само на вътрешния WSUS сървър, трябва да активирате правилата Не позволявайте правилата за отлагане на актуализации да причинят сканиране срещу Windows Update в секцията Конфигурация на компютъра \ Административни шаблони \ Компоненти на Windows \ Актуализация на Windows.
Тази политика присъства в Windows 10 1607, но в Windows 10 версия 1703 не е по подразбиране. За да се появи тази настройка за GPO, трябва да инсталирате актуализация KB4034658 8 август 2017 г..
