Остановите обновления функций и правильно управляйте ими через WSUS

3032
IT Apprentice

В последние несколько месяцев системы обновлялись случайным образом, обновление не одобрено в WSUS и получено непосредственно с серверов Miccrosoft.

Обновление до 1709/1703 не управляется WSUS и должно контролироваться. А обновление до следующего обновления функции должно быть правильно выполнено в рамках всего предприятия в любое время простоя.

Настройка «Отложить обновление функций» GPO прекратил прямое обновление до сборки 1709, но не до 1703, потому что ...

«Теперь, когда Microsoft рекомендует версию 1703, сборку 15063.483, срок действия вашего параметра« Отложить обновления функций »истек, и вы получаете готовую для бизнеса версию обновления для создателей Win10». (Несмотря на то, что имеется огромный пакет исправления ошибок, ожидающие своего появления в 1703 году.) «Current Branch for Business» больше не существует, но вместо него применяется пуля «Microsoft рекомендует». Если вы откладывали обновления, ваша отсрочка только закончилась (см. скриншот). » - Это для меня новость!

Источник: https://www.computerworld.com/article/3211375/microsoft-windows/win10-machines-with-defer-feature-up ....

Это моя текущая конфигурация Центра обновления Windows:

DeferQualityUpdates REG_DWORD 0x0 (not enabled) DeferFeatureUpdates REG_DWORD 0x1 (enabled) BranchReadinessLevel REG_DWORD 0x20 (set to current branch for business) DeferFeatureUpdatesPeriodInDays REG_DWORD 0xb4 (180 days) ElevateNonAdmins REG_DWORD 0x0 (Users in the Users security group are allowed to approve or disapprove update ) WUServer REG_SZ http://WSUS:8530 (Specified intranet source) WUStatusServer REG_SZ http://WSUS:8530

Обновление до 1703 не управляется WSUS и должно контролироваться. А обновление до следующего обновления функции должно быть правильно выполнено в рамках всего предприятия в любое время простоя.

Есть ли способ?

  • Определите, к каким серверам подключаются системы при получении обновления функции и блокируют связь? (т. е. прекращение подключений к серверам Microsoft с помощью управления контентом конечной точки или пограничного межсетевого экрана - без обновления Office 365)

Что я сделал до сих пор

  • Понятное 1703 теперь рекомендуется для бизнеса (но я все еще не хочу его)

  • Попытка настроить локальный объект групповой политики «Не подключаться к каким-либо локальным центрам Windows Update», но он также заблокировал доступ к WSUS, несмотря на следующее примечание. Эта политика применяется только в том случае, если этот компьютер настроен для подключения к службе обновления интрасети с помощью «Указать». политика расположения службы обновлений Microsoft в интрасети - она ​​уже настроена на уровне групповой политики, но игнорируется

  • Предполагалось занести в черный список следующее приложение / файлы на консоли управления конечными точками, чтобы предотвратить запуск помощника по обновлению Windows, но у него не было времени на тестирование:

    C: \ Windows10Upgrade

1
Пожалуйста, проверьте это решение -> https://serverfault.com/questions/891295/windows-10-circumvents-wsus/891621#891621 Am_I_Helpful 6 лет назад 0
@Am_I_Helpful это было бы полезно, если бы вы сделали комментарий, а не связали меня со статьей. Это только создает больше вопросов. Я только что прочитал: Решение очень простое (LOL): убедитесь, что у вашей копии Windows 10 1703 нет ни одного из следующих имен значений, перечисленных в HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate IT Apprentice 6 лет назад 0
У меня есть несколько настроенных, как показано выше, в попытке остановить эти обновления ... Я ужасно запутался, я положил эти меры для остановки обновлений .. теперь я должен удалить их ..? IT Apprentice 6 лет назад 0
Кажется, вы просто просмотрели ответ, даже не осознавая, что он также отвечает на ваш вопрос. Не настраивайте никакие политики, такие как `DeferFeatureUpdates` и` DeferFeatureUpdatesPeriodInDays`. Если эти 2 не настроены, ваши клиентские системы никогда не будут общаться с внешним миром и будут поддерживать только обновления для WSUS! Am_I_Helpful 6 лет назад 0
@Am_I_Helpful - Пожалуйста, будьте милы. Автор явно запутался. Все, что вам нужно сказать, это убедиться, что эти политики остаются, не настроены. Ramhound 6 лет назад 0
@Ramhound - Спасибо, Ramhound, за то, что вы высказали. Я старался быть милым (проверь мое имя пользователя :)). Не было такого комментария, который был бы грубым / оскорбительным с моей стороны (на мой взгляд). Вместо этого вам также следует принять во внимание [этот комментарий ОП] (https://superuser.com/questions/1288579/stop-feature-upgrades-and-properly-manage-them-via-wsus/1288623?noredirect=1# comment1907278_1288579), который показывает незрелость, а также грубость и нежелание принимать вещи. Am_I_Helpful 6 лет назад 0
@Am_I_Helpful - [Два обиды не дают права.] (Https://en.wikipedia.org/wiki/Two_wrongs_make_a_right). Автор явно у них над головой, не дает им оправдания за то, что они не такие милые, но это другая проблема. Ramhound 6 лет назад 0
«Не настраивайте никакие политики, такие как DeferFeatureUpdates и DeferFeatureUpdatesPeriodInDays. Если эти два параметра не настроены, ваши клиентские системы никогда не будут взаимодействовать с внешним миром и будут общаться только с WSUS для обновлений!» - Я удалил эти политики WUFB, и все они обновлены до сборки 1709 (LOL), я готов согласиться с тем, что больше не буду поставлять эти ноутбуки с сборкой 1607 IT Apprentice 6 лет назад 0

2 ответа на вопрос

1
Am_I_Helpful

Повторение того же ответа для Windows 10 обходит WSUS, который я также дал здесь по поводу ошибки сервера, поскольку OP совершает ту же ошибку.

Решение очень простое, убедитесь, что ваша копия Windows 10 не имеет ни одного из следующих имен значений, перечисленных ниже HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, если вы используете ОС Windows 10 - версия воздействия: 1511 и 1607.

 DeferFeatureUpdates DeferFeatureUpdatesPeriodInDays DeferQualityUpdates DeferQualityUpdatesPeriodInDays PauseFeatureUpdatesStartTime PauseQualityUpdatesStartTime ExcludeWUDriversInQualityUpdate

Далее в той же статье «Почему управляемые клиенты WSUS и SCCM обращаются к Microsoft Online» :

Что здесь только что произошло? Разве это не обновление или обновление политики отсрочки?

Не в управляемой среде. Эти политики предназначены для Центра обновления Windows для бизнеса (WUfB).

Центр обновления Windows для бизнеса, также известный как WUfB, позволяет администраторам информационных технологий постоянно обновлять устройства Windows 10 в своей организации, используя новейшие средства защиты и функции Windows, напрямую подключая эти системы к службе Центра обновления Windows.

Мы также рекомендуем не использовать эти новые настройки с WSUS / SCCM.

Если вы уже используете предварительное решение для управления обновлениями / обновлениями Windows, использование новых настроек WUfB позволит вашим клиентам также обращаться к Microsoft Update через Интернет для получения обновлений, минуя конечную точку WSUS / SCCM.

Для управления обновлениями у вас есть два решения:

  1. Используйте WSUS (или SCCM) и управляйте тем, как и когда вы хотите развертывать обновления и обновления на компьютерах с Windows 10 в вашей среде (в вашей интрасети).
  2. Используйте новые параметры WUfB для управления тем, как и когда вы хотите развертывать обновления и обновления на компьютерах с Windows 10 в вашей среде, напрямую подключаясь к Центру обновления Windows.

- «Почему управляемые клиенты WSUS и SCCM обращаются к Microsoft Online» : автор этого поста - Шадаб Рашид, технический советник по устройствам и развертыванию Windows (9 января 2017 г.), группа Microsoft Windows Server .

ПРИМЕЧАНИЕ. Имейте в виду, что в списке названий значений реестра из упомянутой статьи Microsoft есть опечатки.

Я удаляю то, что я считал пассивно-агрессивным действием, в частности, «LOL» в вашем ответе, по крайней мере, это не было профессионально. Я также улучшил следующее за ним предложение и соединил его с другим утверждением. * Я прошу вас проверить, относится ли этот ответ к 1607, потому что это действительно то, что автор использует. * Ramhound 6 лет назад 0
@Ramhound - Еще раз спасибо за редактирование; но я не вижу этой строки * `Я прошу вас проверить, относится ли этот ответ к 1607, потому что это действительно то, что автор использует. * в моем ответе. Вы хотите, чтобы я добавил то же самое, или вы хотите внести предлагаемое изменение? Am_I_Helpful 6 лет назад 0
Нет, я прошу вас подтвердить, что ваш ответ относится к 1607. Вы специально вызвали 1703 в своем ответе. Ramhound 6 лет назад 0
@Ramhound - ОК, спасибо за совет. Я восстановил исходный контент из поста блога, в котором упоминается, что это применимо к версии 1511 и версии 1607 (хотя я лично проверил его и для версии 1703). Am_I_Helpful 6 лет назад 0
Если это работает для 1703 года, и вы подтвердили, что это работает, укажите это в ответе. Убедитесь, что вы исправили опечатки, не имея устройства, где я мог бы легко сравнить содержимое Ramhound 6 лет назад 0
Я не буду отмечать это как ответ, так как проблема остается без настроенного wufb - https://community.spiceworks.com/topic/2106689-wsus-group-policy-urgent-help-needed-to-stop-feature- обновления IT Apprentice 6 лет назад 0
@Naisbitt - ИМХО, я не понимаю, как это не могло работать! Скорее, я могу видеть, что политика `DeferFeatureUpdates` и другие все еще установлены. В любом случае, удачи тебе, приятель, в поиске решения. Am_I_Helpful 6 лет назад 0
@Naisbitt - я бы посоветовал вам воспользоваться услугами хороших системных администраторов, которые настроят необходимую групповую политику в соответствии с блогом Microsoft, которым я поделился. Am_I_Helpful 6 лет назад 0
0
Mark Berry

Правильно ли я понимаю вопрос, что вы хотите управлять ВСЕМИ обновлениями, включая обновления функций, через WSUS?

Звучит так, будто вы столкнулись с проблемой «двойного сканирования», когда локальные компьютеры выходят прямо в Центр обновления Windows для получения обновлений функций. Начиная с 1607, вы сможете остановить это поведение с помощью этой групповой политики:

Конфигурация компьютера> Политики> Административные шаблоны> Компоненты Windows> Центр обновления Windows> Не разрешать политикам отсрочки обновления вызывать сканирование в Центре обновления Windows

Подробности: https://blogs.technet.microsoft.com/wsus/2017/08/04/improving-dual-scan-on-1607/

Я просто настраиваю это сам, поэтому у меня пока нет прямого опыта. Если я правильно читаю эту статью, при включенной политике Windows не будет автоматически выходить в WU для обновления функций, и если пользователь запрашивает обновления непосредственно из WU, любые политики отсрочки будут соблюдаться.

Похожие вопросы