Dual Scan Windows Update-funktionen - Automatiserad lösning för uppdateringshantering
Microsoft har gett en helt ny mening för att uppdatera hanteringen med kombinationen av Windows Update for Business och Windows som en tjänst. här kommer Dual Scan. Det här är en Windows Update-funktionen vilket inte kräver att administratörerna godkänner varje uppdatering manuellt.
"Vi tror att den här automatiserade hanteringslösningen är framtiden, och vi vill se till att alla som vill flytta till modern (dvs Cloud First) uppdateringshantering kan göra det." - Säger Microsoft.
Vad är Dual Scan
Dual Scan är ett Windows Update (WU) klientbeteende som introducerades med Windows 10 1607 för att automatiskt hantera arbetsflödet för mottagande av uppdateringar direkt från Windows Update (WU) och fortfarande kunna skicka innehåll som drivrutiner eller lokalt publicerade uppdateringar via WSUS.
Utlösande dubbelskanning betyder effektivt att få Windows-uppdateringar från Internet och icke-Windows-uppdateringar från WSUS. Dual Scan aktiveras automatiskt när en kombination av Windows Update-grupppolicyer är aktiverad:
- DeferQualityUpdate
- DeferQualityUpdatePeriodInDays
- PauseQualityUpdate
- DeferFeatureUpdate
- DeferFeatureUpdatePeriodInDays
- PauseFeatureUpdate
Denna modell kan endast användas av de företag som vill att WU ska vara den huvudsakliga uppdateringskällan, medan Windows Server Update Services (WSUS) tillhandahåller allt annat innehåll.
Dual Scan's oönskade kontrollförlust
Dual Scan introducerar oönskade kontrollförluster för dem som fortfarande vill fortsätta hantera uppdateringar på sin gamla sätt. Tidigare till Windows 10 kunde man inte oavsiktligt uppgradera en hanterad maskin till en ny byggnad genom att helt enkelt skanna mot Windows Update (WU). Detta berodde på att endast kvalitetsuppdateringar tillhandahölls av den kanalen, typiskt för att administratörerna var oroade över sina kunder att skanna mot WU eftersom det aldrig kunde leda till några signifikanta förändringar i kundens tillstånd.
Men med funktionuppdateringar som erbjuds på WU kan klienter som hanteras via WSUS eller Configuration Manager få en uppdatering av funktioner som tidigare inte godkändes av administratören genom att klicka "Kontrollera online för uppdateringar från Microsoft Update" länk.
Företagskontroller i scenarierna på plats
Eftersom de lokala administratörerna med rätta var oroade över ovanstående scenario valde de att möjliggöra WU för affärspolitiken, som gjorde det möjligt för dem att välja när funktionsuppdateringar mottogs som hade den planerade effekten: skannar mot Windows Update drev inte längre den oanmälda funktionen uppdateringar.
Ändå uppfyllde denna konfiguration också kriterierna för aktivering av Dual Scan, vilket leder till att maskinen inte styrs av WSUS eller Configuration Manager för Windows-uppdateringar.
Men hur håller en användare oanmälda funktionsuppdateringar från att installeras, samtidigt som man behåller kontrollen över uppdateringshanteringen med dina befintliga lokalverktyg?
Microsoft säger-
"Vi har fått tillräckligt med feedback om detta scenario som vi har åtagit oss att släppa en kvalitetsuppdatering för 1607 som gör det möjligt för dig att utnyttja WU för Business Control även i lokal scenariot. dvs för "Kontrollera online för uppdateringar" skanningar. Du kan skjuta upp uppdateringar utan att automatiskt växla till Dual Scan-beteende. "
Policyn kunde inte konfigureras som standard, detsamma måste aktiveras för att säkerställa att WU-klienten beter sig som avsedd. Microsoft planerar att släppa kvalitetsuppdateringen till 1607 släpps i sommar.
För att avblockera detta scenario
Microsoft listade steg för att omedelbart blockera scenariot. Med dessa steg kan de hanterade klienterna göra skanningar mot WSUS / Configuration Manager och få tillgång till Microsoft Store. Med den här konfigurationen kommer det att begränsa funktionsuppdateringar för att installeras automatiskt på maskinerna och även begränsa uppdateringsinnehåll för att installeras via Windows Update. För alla hanterade klienter rekommenderar Microsoft följande lösningar:
- Ställ in alla WU för affärspolicy för att inte konfigureras. Detta säkerställer att du inte är i dubbelscanläge.
- Verifiera att du har installerat kumulativ uppdatering för 1607 för november 2016 eller någon kumulativ uppdatering senare.
- Aktivera grupppolicy System / Internet Communication Management / Internet Communication-inställningar / Stäng av åtkomst till alla Windows Update-funktioner
- I en förhöjd kommandotolk kör "gpupdate / force" följt av "UsoClient.exe startscan"
- Öppna Windows Update-användargränssnittet (vänta på att skanningen ska slutföras) och observera: