Microsoft har gitt en helt ny mening for å oppdatere administrasjonen med kombinasjonen av Windows Update for Business og Windows som en tjeneste; her kommer Dual Scan. Dette er en Windows Update-funksjonen som ikke krever at administratorer godkjenner hver oppdatering manuelt.
“We believe that this automated management solution is the future, and we want to ensure that everyone who wants to move to modern (i.e., Cloud-first) update management can do so.” – Says Microsoft.
Hva er Dual Scan
Dual Scan er en Windows Update (WU) klientadferd som ble introdusert med Windows 10 1607 for automatisk å administrere arbeidsflyten for mottak av oppdateringer direkte fra Windows Updates (WU) og fortsatt kunne dispensere innhold som drivere eller lokalt publiserte oppdateringer gjennom WSUS.
Utløsende dobbel skanning betyr effektivt å få Windows-oppdateringer fra internett og ikke-Windows-oppdateringer fra WSUS. Dual Scan aktiveres automatisk når en kombinasjon av Windows Update-gruppepolicyer er aktivert:
- DeferQualityUpdate
- DeferQualityUpdatePeriodInDays
- PauseQualityUpdate
- DeferFeatureUpdate
- DeferFeatureUpdatePeriodInDays
- PauseFeatureUpdate
Denne modellen kan bare brukes av de Bedrifter som vil at WU skal være hovedkilden for oppdatering, mens Windows Server Update Services (WSUS) gir alt annet innhold.
Dual Scan er uønsket tap av kontroll
Dual Scan introduserer et uønsket tap av kontroll for de som fortsatt vil fortsette å administrere oppdateringer på sin gamle måte. Tidligere til Windows 10 kunne man ikke utilsiktet oppgradere en administrert maskin til en ny bygg ved å bare skanne mot Windows Update (WU). Dette skyldes at kun kvalitetsoppdateringer ble levert av den kanalen, vanligvis fordi administratorer var bekymret for at klientene deres skannet mot WU, da det aldri kunne føre til noen vesentlige endringer i klientens tilstand.
Men med funksjonaliseringsoppdateringer som tilbys på WU, kan klienter som administreres via WSUS eller Configuration Manager, motta funksjonsoppdatering som tidligere ble godkjent av administratoren ved å klikke "Sjekk online for oppdateringer fra Microsoft Update" link.
Forretningskontroller i scenariet på stedet
Siden de lokale adminsene med rette var bekymret for det ovennevnte scenariet, valgte de å aktivere WU for forretningspolitikken som tillot dem å velge når funksjonsoppdateringer ble mottatt, som hadde den planlagte effekten: skanning mot Windows Update presset ikke lenger den uautoriserte funksjonen oppdateringer.
Likevel oppfylte denne konfigurasjonen også kriteriene for å aktivere Dual Scan, som fører til at maskinen ikke styres av WSUS eller Configuration Manager for Windows-oppdateringer.
Men hvordan holder en bruker uautoriserte funksjonsoppdateringer fra installasjon samtidig som kontrollen over oppdateringsadministrasjonen med eksisterende eksisterende verktøy blir opprettholdt?
Microsoft sier
“We’ve gotten enough feedback on this scenario that we have committed to release a quality update for 1607 that allows you to leverage WU for Business controls even in the on-premises scenario; i.e., for “Check online for updates” scans. You’ll be able to defer feature updates without automatically shifting into Dual Scan behavior.”
Politikken kan ikke konfigureres som standard, det samme må aktiveres for å sikre at WU-klienten oppfører seg som ønsket. Microsoft planlegger å frigjøre kvalitetsoppdateringen til 1607 er utgitt denne sommeren.
Slik fjerner du blokkering av dette scenariet
Microsoft oppførte trinn for å blokkere scenariet med det samme. Med disse trinnene kan de klarte klientene utføre skanninger mot WSUS / Configuration Manager og få tilgang til Microsoft Store. Med denne konfigurasjonen vil det begrense funksjonaliseringsoppdateringer for å bli automatisk installert på maskinene, og også begrense eventuelle oppdateringsinnhold for å bli installert via Windows Update. For alle klarte kunder anbefaler Microsoft følgende løsninger:
- Angi alle WU for Forretningspolitikk til Ikke konfigurert. Dette sikrer at du ikke er i Dual Scan-modus.
- Bekreft at du har installert kumulativ oppdatering for 1607 for november 2016, eller en kumulativ oppdatering nyere.
- Aktiver gruppepolicy System / Internet Communication Management / Internet Communication-innstillinger / Slå av tilgang til alle Windows Update-funksjoner
- I en forhøyet ledetekst, kjør "gpupdate / force", etterfulgt av "UsoClient.exe startscan"
- Åpne Windows Update-brukergrensesnittet (vent på at skanningen skal fullføres), og følg:
Microsoft sa at aktivering av "Fjern tilgang til alle Windows Update-funksjoner" ikke ville være nyttig for dette scenariet. Dual Scan støttes også i lokal scenariet. Gruppepolicy inneholder en innstilling - Ikke tillat oppdateringstidsregler for å forårsake skanninger mot Windows Update. For en fullstendig lesning om emnet, besøk Microsoft.
Relaterte innlegg:
- Slik feilsøker du Windows Server Update Services (WSUS)
- Slik bruker du Windows Server Update Services i Enterprise-miljø
- Konsernledelsestips for IT-proffene i Windows
- WMI-kommandoer på Windows 10/8/7
- Beste gratis online verktøy for å lage profesjonelle visittkort
