Dual Scan Windows Update-funksjon - Automatisert løsning for oppdateringsbehandling
Microsoft har gitt en helt ny mening for å oppdatere administrasjonen med kombinasjonen av Windows Update for Business og Windows som en tjeneste; her kommer Dual Scan. Dette er en Windows Update-funksjonen som ikke krever at administratorer godkjenner hver oppdatering manuelt.
"Vi tror at denne automatiserte styringsløsningen er fremtiden, og vi vil sikre at alle som ønsker å flytte til moderne (dvs. Cloud-first) oppdateringsadministrasjon, kan gjøre det." - Sier Microsoft.
Hva er Dual Scan
Dual Scan er en Windows Update (WU) klientadferd som ble introdusert med Windows 10 1607 for automatisk å administrere arbeidsflyten for mottak av oppdateringer direkte fra Windows Updates (WU) og fortsatt kunne dispensere innhold som drivere eller lokalt publiserte oppdateringer gjennom WSUS.
Utløsende dobbel skanning betyr effektivt å få Windows-oppdateringer fra internett og ikke-Windows-oppdateringer fra WSUS. Dual Scan aktiveres automatisk når en kombinasjon av Windows Update-gruppepolicyer er aktivert:
- DeferQualityUpdate
- DeferQualityUpdatePeriodInDays
- PauseQualityUpdate
- DeferFeatureUpdate
- DeferFeatureUpdatePeriodInDays
- PauseFeatureUpdate
Denne modellen kan bare brukes av de Bedriftene som vil at WU skal være hovedkilden for oppdatering, mens Windows Server Update Services (WSUS) gir alt annet innhold.
Dual Scan er uønsket tap av kontroll
Dual Scan introduserer et uønsket tap av kontroll for de som fortsatt vil fortsette å administrere oppdateringer på sin gamle måte. Tidligere til Windows 10 kunne man ikke utilsiktet oppgradere en administrert maskin til en ny bygg ved å bare skanne mot Windows Update (WU). Dette skyldes at kun kvalitetsoppdateringer ble levert av den kanalen, vanligvis fordi administratorer var bekymret for at klientene deres skannet mot WU, da det aldri kunne føre til noen vesentlige endringer i kundens tilstand.
Men med funksjonaliseringsoppdateringer som tilbys på WU, kan klienter som administreres gjennom WSUS eller Configuration Manager, motta funksjonsoppdatering som tidligere ble godkjent av administratoren ved å klikke "Sjekk online for oppdateringer fra Microsoft Update" link.
Forretningskontroller i scenariet på stedet
Siden de lokale adminsene med rette var bekymret for det ovennevnte scenariet, valgte de å aktivere WU for forretningspolitikken som tillot dem å velge når funksjonsoppdateringer ble mottatt som hadde den planlagte effekten: skanning mot Windows Update drev ikke lenger den uautoriserte funksjonen oppdateringer.
Ikke desto mindre oppfylte denne konfigurasjonen også kriteriene for å aktivere Dual Scan, noe som fører til at maskinen ikke styres av WSUS eller Configuration Manager i forbindelse med Windows-oppdateringer.
Men hvordan holder en bruker uautoriserte funksjonsoppdateringer fra å installere samtidig som kontrollen over oppdateringsadministrasjonen med eksisterende eksisterende verktøy blir overholdt?
Microsoft sier-
"Vi har fått nok tilbakemelding på dette scenariet som vi har forpliktet oss til å utgjøre en kvalitetsoppdatering for 1607 som gjør at du kan utnytte WU for Business-kontroller, selv i lokalscenariet. dvs. for "Sjekk online for oppdateringer" skanninger. Du kan utsette funksjonoppdateringer uten å skifte automatisk til Dual Scan-oppførsel. "
Politikken kunne ikke konfigureres som standard, det samme må aktiveres for å sikre at WU-klienten oppfører seg som ønsket. Microsoft planlegger å frigjøre kvalitetsoppdateringen til 1607 er utgitt denne sommeren.
Slik fjerner du blokkering av dette scenariet
Microsoft oppførte trinnene for å blokkere scenariet med det samme. Med disse trinnene kan de klarte klientene utføre skanninger mot WSUS / Configuration Manager og få tilgang til Microsoft Store. Med denne konfigurasjonen vil det begrense funksjonaliseringsoppdateringer for å bli automatisk installert på maskinene, og også begrense eventuelle oppdateringsinnhold for å bli installert via Windows Update. For alle klarte kunder anbefaler Microsoft følgende løsninger:
- Sett alle WU for Forretningspolitikk til Ikke konfigurert. Dette sikrer at du ikke er i Dual Scan-modus.
- Bekreft at du har installert den kumulative oppdateringen for 1607 for november 2016, eller en kumulativ oppdatering nyere.
- Aktiver gruppepolicy System / Internet Communication Management / Internet Communication-innstillinger / Slå av tilgang til alle Windows Update-funksjoner
- I en forhøyet ledetekst, kjør "gpupdate / force", etterfulgt av "UsoClient.exe startscan"
- Åpne Windows Update-brukergrensesnittet (vent på at skanningen skal fullføres), og følg: