[Windows Server 2012 basics] Урок 14 - WSUS, сервер обновлений
Innholdsfortegnelse:
Microsoft har gitt en helt ny mening for å oppdatere administrasjonen med kombinasjonen av Windows Update for Business og Windows som en tjeneste; Her kommer Dual Scan . Dette er en Windows Update-funksjon som ikke krever at administratorer godkjenner hver oppdatering manuelt.
"Vi tror at denne automatiserte styringsløsningen er fremtiden, og vi vil sikre at alle som ønsker å flytte til moderne (dvs. Cloud-First) oppdateringsadministrasjon kan det. "- Sier Microsoft.
Hva er Dual Scan
Dual Scan er en Windows Update (WU) klientadferd som ble introdusert med Windows 10 1607 til automatisk administrere arbeidsflyten for mottak av oppdateringer direkte fra Windows Updates (WU) og fortsatt kunne dispensere innhold som drivere eller lokalt publiserte oppdateringer gjennom WSUS.
Utløsende dobbeltscan betyr effektivt å få Windows-oppdateringer fra internett og ikke-Windows-oppdateringer fra WSUS. Dual Scan aktiveres automatisk når en kombinasjon av Windows Update-gruppepolicyer er aktivert:
- DeferQualityUpdate
- DeferQualityUpdatePeriodInDays
- PauseQualityUpdate
- DeferFeatureUpdate
- DeferFeatureUpdatePeriodInDays
- PauseFeatureUpdate
Denne modellen kan bare brukes av De firmaer som vil at WU skal være den viktigste oppdateringskilden, mens Windows Server Update Services (WSUS) gir alt annet innhold.
Dual Scan er uønsket tap av kontroll
Dual Scan introduserer et uønsket tap av kontroll for de som fortsatt vil Fortsett å administrere oppdateringer på den gamle måten. Tidligere til Windows 10 kunne man ikke utilsiktet oppgradere en administrert maskin til en ny bygg ved å bare skanne mot Windows Update (WU). Dette skyldes at kun kvalitetsoppdateringer ble levert av den kanalen, vanligvis fordi administratorer ikke var oppmerksomme på at klientene deres skannet mot WU, da det aldri kunne føre til noen vesentlige endringer i klientens tilstand.
Men med funksjonaliseringsoppdateringer som tilbys på WU, klienter som administreres gjennom WSUS eller Configuration Manager kan motta funksjonalitet som tidligere ble godkjent av administratoren, ved å klikke på "Kontroller online for oppdateringer fra Microsoft Update" lenken.
Forretningskontroller i scenariet på stedet
Siden de lokale adminsene med rette var bekymret for scenariet ovenfor, valgte de å aktivere WU for forretningspolitikken som tillot dem å velge når funksjonsoppdateringer ble mottatt som hadde den planlagte effekten: skanning mot Windows Update ble ikke lenger presset de uapproduserte funksjonen oppdateringer.
Denne konfigurasjonen oppfylte likevel kriteriene for å aktivere Dual Scan, noe som fører til at maskinen ikke styres av WSUS eller Configuration Manager for Windows-oppdateringer.
Men hvordan holder en bruker uautoriserte funksjonsoppdateringer fra å installere samtidig som kontrollen over oppdateringsadministrasjonen med de eksisterende lokalverktøyene holdes?
Microsoft sier-
"Vi Jeg har fått nok tilbakemelding på dette scenariet som vi har forpliktet oss til å utgjøre en kvalitetsoppdatering for 1607 som gjør at du kan utnytte WU for Business kontroller, selv i lokalscenariet. dvs. for "Sjekk online for oppdateringer" skanninger. Du vil kunne utsette funksjonoppdateringer uten å automatisk skifte til Dual Scan-oppførsel. "
Politikken kan ikke konfigureres som standard, det samme må aktiveres for å sikre at WU-klienten oppfører seg som ønsket. Microsoft planlegger å frigjøre kvalitetsoppdateringen til 1607 er utgitt denne sommeren.
For å fjerne blokkering av dette scenariet
Microsoft-oppførte trinn for å blokkere scenariet umiddelbart. Med disse trinnene kan de klarte klientene utføre skanninger mot WSUS / Configuration Manager og få tilgang til Microsoft Store. Med denne konfigurasjonen vil det begrense funksjonaliseringsoppdateringer for å bli automatisk installert på maskinene, og også begrense eventuelle oppdateringsinnhold for å bli installert via Windows Update. For alle klarte kunder anbefaler Microsoft følgende løsninger:
- Angi alle WU for Forretningspolitikk til Ikke konfigurert. Dette sikrer at du ikke er i Dual Scan-modus.
- Kontroller at du har installert den kumulative oppdateringen for 1607 for november 2016 eller en senere oppdatering.
- Aktiver gruppepolicy System / Internet Communication Management / Internet Communication-innstillinger / Slå av tilgang til alle Windows Update-funksjoner
- Kjør "gpupdate / force", etterfulgt av "UsoClient.exe startscan"
- Åpne Windows Update brukergrensesnittet (vent på at skanningen skal fullføres), i en forhøyet kommandoprompt. og observere:
Microsoft sa at aktivering "Fjern tilgang til alle Windows Update-funksjoner" ikke ville være nyttig for dette scenariet. Dual Scan støttes også i lokal scenariet. Gruppepolicy inneholder en innstilling - Ikke tillat oppdateringstidsregler for å forårsake skanninger mot Windows Update. For en fullstendig lesning om emnet, besøk Microsoft.
CheckSUR: System Update Readiness Tool for å reparere Windows Update
Last ned System Update Readiness Tool eller CheckSUR. Lær hvordan du kjører det, analyser logg, reparer Windows Update-feil i Windows 8/7 / Vista og Windows Server.
System File Checker: Kjør sfc / scan i Windows 10/8/7
Slik kjører du sfc / scannow kommando? System File Checker eller sfc.exe skanner for, gjenoppretter korrupte Windows-systemfiler beskyttet av Windows File Protection (WFP).
Nano Antivirus Sky Scan: Gratis Windows Store app
Nano Antivirus Sky Scan er en gratis Windows Store-app for Windows 10 / 8 som bruker sky skanningstjenester for å sikre datamaskinen din mot virus og skadelig programvare.