Ефект Dual Scan в Windows 10 і проблеми оновлення зі WSUS

Особисто для мене було відкриттям, що в деяких випадках комп'ютери з Wiindows 10 можуть не отримувати оновлення з внутрішнього WSUS сервера, замість цього звертаючись в Інтернет до серверів оновлення Microsoft, хоча WSUS сервер для клієнтів жорстко встановлений стандартної груповою політикою. Дана проблема пов'язана з терміном Dual Scan (Не зустрічав російською розшифровку терміна, нехай це буде подвійне сканування).

Поняття Dual Scan є таку комбінацію налаштувань в Windows 10 1607 і вище, при якій клієнти починають ігнорувати налаштування локального WSUS сервера, паралельно звертаючись для сканування на наявність нових оновлень на зовнішні сервера Windows Update. Перші звернення з подібними проблемами були ще травнем 2017 року.

Сканування оновлень виконується одночасно і на WSUS сервері і на серверах WU, проте клієнт приймає апдейти тільки від серверів WU. Таким чином, всі оновлення / патчі з локального WSUS, що відносяться до категорії Windows будуть ігноруватися такими клієнтами. Тобто оновлення Windows в такому режимі виходять з інтернету, а оновлення драйверів і інших продуктів зі WSUS.

У моєму випадку на проблемному клієнта, в розділі Computer Configuration \Administrative Templates \Windows Components \Windows Update були включені дві стандартні політики для поновлення ПК з внутрішнього WSUS:

  • Configure Automatic Updates
  • Specify intranet Microsoft update service location

При цьому на клієнтських ПК Windows 10 в панелі управління в розділі Оновлення та безпека -> Windows Windows -> Додаткові параметри включена опція Відкласти отримання оновлень компонентів (Настройка аналогічна політиці 'Select when Feature Updates are received')

При такій комбінації налаштувань клієнти перестають отримувати оновлення Windows зі внутрішнього WSUS сервера.

Таким чином, ситуація Dual Scan виникає при наступних комбінаціях політик (або еквівалентних ключів реєстру або налаштувань на клієнтах Windows 10):

  • Задано адресу локального WSUS політикою Specify intranet Microsoft update service location
  • Включена одна з політик, що відносяться до можливості відкладеної установки апдейтів в концепції Windows Update for Business:
    • Select when Feature Updates are received
    • Select when Quality Updates are received
Порада. Дані політики знаходяться в розділі Computer Configuration \ Administrative Templates \ Windows Components \ Windows Update \ Defer Windows Updates. Завдяки цим політикам користувач може відкласти установку апгрейдів Windows 10, таким чином ОС перемикається в режим Current Branch for Business. Відкладання установки оновлень не відноситься до оновлень безпеки.

Щоб виключити ситуацію з Dual Scan, а клієнти виконували пошук оновлень Windows тільки на внутрішньому WSUS сервері, потрібно включити політику Do not allow update deferral policies to cause scans against Windows Update в розділі Computer Configuration \ Administrative Templates \ Windows Components \ Windows Update.

Дана політика присутня в Windows 10 1607, проте в Windows 10 версії 1703 її за замовчуванням немає. Щоб цей параметр GPO з'явилася, потрібно встановити оновлення KB4034658 від 8 серпня 2017.