Лично для меня было открытием, что в некоторых случаях компьютеры с Wiindows 10 могут не получать обновления со внутреннего WSUS сервера, вместо этого обращаясь в Интернет к серверам обновления Microsoft, хотя WSUS сервер для клиентов жестко установлен стандартной групповой политикой. Данная проблема связан с термином Dual Scan (не встречал на русском расшифровку термина, пусть это будет двойное сканирование).
Понятие Dual Scan представляет собой такую комбинацию настроек в Windows 10 1607 и выше, при которой клиенты начинают игнорировать настройки локального WSUS сервера, параллельно обращаясь для сканирования на наличие новых обновлений на внешние сервера Windows Update. Первые обращения с подобными проблемами были еще в мае 2017 года.
Сканирование обновлений выполняется одновременно и на WSUS сервере и на серверах WU, однако клиент принимает апдейты только от серверов WU. Таким образом, все обновления/патчи с локального WSUS, относящиеся к категории Windows будут игнорироваться такими клиентами. Т.е. обновления Windows в таком режиме получаются из интернета, а обновления драйверов и других продуктов со WSUS.
В моем случае на проблемном клиенте, в разделе Computer Configuration\Administrative Templates\Windows Components\Windows Update были включены две стандартные политики для обновления ПК со внутреннего WSUS:
- Configure Automatic Updates
- Specify intranet Microsoft update service location
При этом на клиентских ПК Windows 10 в панели управления в разделе Обновления и безопасность –> Центр обновления Windows -> Дополнительные параметры включена опция Отложить получение обновлений компонентов (настройка аналогична политике ‘Select when Feature Updates are received’)
При такой комбинации настроек клиенты перестают получать обновления Windows со внутреннего WSUS сервера.
Таким образом, ситуация Dual Scan возникает при следующих комбинациях политик (или эквивалентных ключей реестра или настроек на клиентах Windows 10):
- Задан адрес локального WSUS политикой Specify intranet Microsoft update service location
- Включена одна из политик, относящихся к возможности отложенной установки апдейтов в концепции Windows Update for Business:
- Select when Feature Updates are received
- Select when Quality Updates are received
Чтобы исключить ситуацию с Dual Scan, а клиенты выполняли поиск обновлений Windows только на внутреннем WSUS сервере, нужно включить политику Do not allow update deferral policies to cause scans against Windows Update в разделе Computer Configuration\Administrative Templates\Windows Components\Windows Update.
Данная политика присутствует в Windows 10 1607, однако в Windows 10 версии 1703 ее по умолчанию нет. Чтобы данная настройка GPO появилась, нужно установить обновление KB4034658 от 8 августа 2017.
Добрый день! А как эту политику распространить на всю сеть через GPO? В редакторе групповых политик (Win2012R2) нет такой политики. И обновление, что указано в конце статьи, подходит только для Win2016/Win10
Скачайте, установите и скопируйте в центральное хранилище администартивных шаблонов на DC, версию для максимальной версии Windows, используемой в вашей сети.
http://winitpro.ru/index.php/2014/04/02/admx-group-policy-central-store/
В этом случае в редакторе GPO будут отображаться все доступные политики.
Есть еще вариант распространения данной настройки путем добавления ключей реестра через GPO, но это не так удобно.
Двойное сканирование можно отключить и через реестр:
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsoft\Windows\WindowsUpdate, параметр типа DWORD с именем DisableDualScan и значением 1
«Данная политика присутствует в Windows 10 1607, однако в Windows 10 версии 1703 ее по умолчанию нет. Чтобы данная настройка GPO появилась, нужно установить обновление KB4034658 от 8 августа 2017.»
Будет ли на 1703, без обновления KB4034658 работать отключение DualScan через GPO?
Да, политика (о по сути это ключ реестра) применятся будет, несмотря что в редакторее политик ее не видно.
Включил опцию «Не подключаться к расположениям Центра обновления Windows в Интернете».
Но компьютеры без интернета, все равно с большим трудом обновляются. Но если только дать доступ у интернету. Апдейты «танятуться «на ура». В чем еще может быть загвоздка?
«Обновляются со внутреннего WSUS, но с большим трудом» — это как? 🙂
В журнале windowsupdate.log какие-то ошибки есть на проблемных клиентах (какие версии ОС)?
То статистику не отправляют, то обновляются с большими задержками.
Но как только машине даешь инет, обновляется сразу и без проблем.
Логи в 10-ке без инета посмотреть тоже не просто, он же еще должен скачать и установить Microsoft Internet Symbol Store…
В любом случае нужно копать лог WindowsUpdate.log. Сформируйте лог журнала обновлений такой PowerShell командой:
Get-WindowsUpdateLog -logpath C:\Logs\WindowsUpdate.loghttp://winitpro.ru/index.php/2015/10/08/novyj-format-logov-agenta-obnovlenij-windows-10/