Эффект Dual Scan в Windows 10 и проблемы обновления со WSUS

Лично для меня было открытием, что в некоторых случаях компьютеры с Wiindows 10 могут не получать обновления со внутреннего WSUS сервера, вместо этого обращаясь в Интернет к серверам обновления Microsoft, хотя WSUS сервер для клиентов жестко установлен стандартной групповой политикой. Данная проблема связан с термином Dual Scan (не встречал на русском расшифровку термина, пусть это будет двойное сканирование).

Понятие Dual Scan представляет собой такую комбинацию настроек в Windows 10 1607 и выше, при которой клиенты начинают игнорировать настройки локального WSUS сервера, параллельно обращаясь для сканирования на наличие новых обновлений на внешние сервера Windows Update. Первые обращения с подобными проблемами были еще в мае 2017 года.

Сканирование обновлений выполняется одновременно и на WSUS сервере и на серверах WU, однако клиент принимает апдейты только от серверов WU. Таким образом, все обновления/патчи с локального WSUS, относящиеся к категории Windows будут игнорироваться такими клиентами. Т.е. обновления Windows в таком режиме получаются из интернета, а обновления драйверов и других продуктов со WSUS.

В моем случае на проблемном клиенте, в разделе Computer Configuration\Administrative Templates\Windows Components\Windows Update были включены две стандартные политики для обновления ПК со внутреннего WSUS:

• Configure Automatic Updates
• Specify intranet Microsoft update service location

При этом на клиентских ПК Windows 10 в панели управления в разделе Обновления и безопасность –> Центр обновления Windows -> Дополнительные параметры включена опция Отложить получение обновлений компонентов (настройка аналогична политике ‘Select when Feature Updates are received’)

При такой комбинации настроек клиенты перестают получать обновления Windows со внутреннего WSUS сервера.

Таким образом, ситуация Dual Scan возникает при следующих комбинациях политик (или эквивалентных ключей реестра или настроек на клиентах Windows 10):

• Задан адрес локального WSUS политикой Specify intranet Microsoft update service location
• Включена одна из политик, относящихся к возможности отложенной установки апдейтов в концепции Windows Update for Business:
  • Select when Feature Updates are received
  • Select when Quality Updates are received

Чтобы исключить ситуацию с Dual Scan, а клиенты выполняли поиск обновлений Windows только на внутреннем WSUS сервере, нужно включить политику Do not allow update deferral policies to cause scans against Windows Update в разделе Computer Configuration\Administrative Templates\Windows Components\Windows Update.

Данная политика присутствует в Windows 10 1607, однако в Windows 10 версии 1703 ее по умолчанию нет. Чтобы данная настройка GPO появилась, нужно установить обновление KB4034658 от 8 августа 2017.

Windows admin blog

Полезные команды cmd, powershell, администрирование, фичи и решения проблем на win/winserver

Некорректное отображение информации на WSUS | Проблемы обновления со WSUS (Dual Scan)

В этой статье речь пойдет о том, как правильно настроить ПК с Windows 10 или Windows Server 2016 на обновления с сервера WSUS. Причиной послужила некорректная информация об обновлениях на WSUS сервере для некоторых Windows 10 ПК и Win Server 2016 серверов. В полях «Необходимые обновления» (Needed Count) и «Установленные обновления» (Installed Count) отображаются нули, словно доступных обновлений нет и они никогда не устанавливались.

Проблема на Windows 10 ПК

Проблема на Windows Server 2016 сервере

Более того, компьютер может автоматически устанавливать обновления мимо сервера WSUS напрямую из Windows Update, игнорируя информацию об аппрувленных обновлениях.

РЕШЕНИЕ:

1. Необходимо жестко указать компьютеру обновляться только с WSUS.

В редакторе групповых политик «Конфигурация компьютера — Административные шаблоны — компоненты Windows — Центр обновления Windows» включаем политику «Не подключаться к расположениям Центра обновления Windows в Интернете»

При этом в ветке реестра

создается параметр DoNotConnectToWindowsUpdateInternetLocations типа REG_DWORD со значением «1»

В моем случае несколько машин после этого начали отображать и устанавливать обновления корректно, но далеко не все.

2. Самый главный враг в данной проблеме — Dual Scan, который появился в Windows 10 Anniversary update 1607

Понятие Dual Scan представляет собой такую комбинацию настроек в Windows 10 1607 и выше, при которой клиенты начинают игнорировать настройки локального WSUS сервера, параллельно обращаясь для сканирования на наличие новых обновлений на внешние сервера Windows Update.
Сканирование обновлений выполняется одновременно и на WSUS сервере и на серверах WU, однако клиент принимает апдейты только от серверов WU. Таким образом, все обновления/патчи с локального WSUS, относящиеся к категории Windows будут игнорироваться такими клиентами. Т.е. обновления Windows в таком режиме получаются из интернета, а обновления драйверов и других продуктов со WSUS.

Эффект Dual Scan появляется при наличии одновременно работающих комбинаций политик:

• «Указать размещение службы обновлений Майкрософт в интрасети» (Specify intranet Microsoft update service location)
• Любая из политик принадлежащих центру обновления для бизнеса:

a) Либо галочка «Приостановить обновления» («Defer Feature Upgrades»)

Одна из разновидностей галочки

Одна из разновидностей галочки

b) Либо включенные политики отложенной установки обновлений «Конфигурация компьютера — Административные шаблоны — компоненты Windows — Центр обновления Windows — Центр обновления Windows для бизнеса»

3. Таким образом, проверяем и отключаем описанные в п.2 функции и политики отложенной установки обновлений:

• Снимаем флажок «Приостановить обновления» («Defer Feature Upgrades»)
• Отключаем (переводим в состояние «не задано») все политики Центра обновлений Windows для бизнеса: «Конфигурация компьютера — Административные шаблоны — компоненты Windows — Центр обновления Windows — Центр обновления Windows для бизнеса»

4. Также необходимо удалить следующие ключи реестра, если они есть:

• BranchReadinessLevel
• DeferFeatureUpdatesPeriodInDays
• DeferQualityUpdatesPeriodInDays
• DeferUpdatePeriod
• DeferUpgradePeriod
• ExcludeWUDriversInQualityUpdate
• PauseDeferrals
• PauseFeatureUpdates
• PauseQualityUpdates

• BranchReadinessLevel
• DeferFeatureUpdatesPeriodInDays
• DeferQualityUpdatesPeriodInDays
• ExcludeWUDriversInQualityUpdate
• DeferUpgrade

Примечание: Если вы установили для соответствующих групповых политик значение «Не настроено» или «Отключено», ключи не будут удалены, а только установлены в ноль (DWORD) в реестре.

5. Крайне желательно удалить проблемный ПК из WSUS, а затем перерегистрировать его по новой, запустив на компьютере cmd от имени администратора и выполнив команду:

Компьютер может отрепортиться спустя несколько часов.

В результате, мы должны увидеть корректную информацию на WSUS и обновление ПК с WSUS-сервера будет происходить корректно.

Резюме: При настройке ПК Windows 10 и серверов Windows Server 2016 на обновление с WSUS, не включаем параметры «отложить обновления» (defer upgrades) и политики центра обновления Windows для бизнеса.

Материалы по теме:

• Достаточно хорошая и подробная статья на русском о проблеме с Dual Scan

• Также по следам раскрытия проблемы

• О Dual Scan на сайте Microsoft

Dual Scan Windows Update feature – Automated Solution for Update Management

Microsoft has given an all new meaning to update management with the combination of Windows Update for Business and Windows as a Service; here comes Dual Scan. This is a Windows Update feature which does not require the administrators to approve every update manually.

“We believe that this automated management solution is the future, and we want to ensure that everyone who wants to move to modern (i.e., Cloud-first) update management can do so.” – Says Microsoft.

What is Dual Scan

Dual Scan is a Windows Update (WU) client behavior that was introduced with Windows 10 1607 to automatically manage the workflow of receiving updates directly from Windows Updates (WU) and still be able to dispense content such as drivers or locally-published updates through WSUS.

Triggering dual scanning effectively means getting Windows Updates from the internet and non-Windows updates from WSUS. Dual Scan is automatically enabled when a combination of Windows Update group policies is enabled:

• DeferQualityUpdate
• DeferQualityUpdatePeriodInDays
• PauseQualityUpdate
• DeferFeatureUpdate
• DeferFeatureUpdatePeriodInDays
• PauseFeatureUpdate

This model can be used only by those Enterprises who want WU to be its main update source while Windows Server Update Services (WSUS) provides all other content.

Dual Scan’s Unwanted Loss of Control

Dual Scan introduces an unwanted loss of control for those who still want to continue managing updates in their old way. Earlier to Windows 10, one couldn’t unintentionally upgrade a managed machine to a new build by simply scanning against Windows Update (WU). This was because only quality updates were provided by that channel, typically because the administrators were unconcerned about their clients scanning against WU as it could never lead to any significant changes in the state of the client.

But with feature updates being offered on WU, clients managed through WSUS or Configuration Manager can receive feature update which was earlier disapproved by its administrator by clicking “Check online for updates from Microsoft Update” link.

Business Controls in the On-Premises Scenario

Since the on-premises admins were rightly concerned about the above scenario, they selected to enable the WU fo the Business policy which allowed them to select when feature updates were received which had the planned effect: scans against Windows Update no longer pushed the unapproved feature updates.

Nevertheless, this configuration also fulfilled the criteria for enabling Dual Scan, which lead to the machine being not controlled by WSUS or Configuration Manager for the purposes of Windows updates.

But how does a user keep unapproved feature updates from installing while maintaining control of update management with your existing on-premises tools?

“We’ve gotten enough feedback on this scenario that we have committed to release a quality update for 1607 that allows you to leverage WU for Business controls even in the on-premises scenario; i.e., for “Check online for updates” scans. You’ll be able to defer feature updates without automatically shifting into Dual Scan behavior.”

The policy could not be configured by default, the same needs to be enabled to ensure that the WU client behaves as intended. Microsoft plans to release the quality update to 1607 is released this Summer.

To Unblock this Scenario

Microsoft listed steps to unblock the scenario immediately. With these steps, the managed clients can perform scans against WSUS/Configuration Manager and access the Microsoft Store. With this configuration, it will restrict feature updates to get automatically installed on the machines and also restrict any update content to get installed via Windows Update. For all managed clients, Microsoft recommend the following workarounds:

1. Set all WU for Business policies to Not Configured. This ensures that you are not in Dual Scan mode.
2. Verify that you have installed the November 2016 Cumulative Update for 1607, or any Cumulative Update more recent.
3. Enable the group policy System/Internet Communication Management/Internet Communication settings/Turn off access to all Windows Update features
4. In an elevated command prompt, run “gpupdate /force”, followed by “UsoClient.exe startscan”
5. Open the Windows Update UI (wait for the scan to complete), and observe:

Microsoft said activating “Remove access to all Windows Update features” would not be useful for this scenario. Dual Scan is also supported in the on-premises scenario. Group Policy includes a setting – Do not allow update deferral policies to cause scans against Windows Update. For a full read on the subject, visit Microsoft.