Función de actualización de Windows de doble exploración: administración de actualizaciones automatizada

Microsoft ha dado un nuevo significado a la administración de actualizaciones con la combinación de Windows Update for Business y Windows as a Service; aquí viene Dual Scan . Esta es una característica de Actualización de Windows que no requiere que los administradores aprueben cada actualización manualmente.

"Creemos que esta solución de administración automatizada es el futuro, y queremos asegurarnos de que todos los que quieran mudarse a la moderna (es decir, Cloud-first) la administración de actualizaciones puede hacerlo. "- Dice Microsoft.

¿Qué es Dual Scan?

Dual Scan es un comportamiento de cliente de Windows Update (WU) que se introdujo con Windows 10 1607 automáticamente administre el flujo de trabajo de recibir actualizaciones directamente desde Windows Update (WU) y aún pueda distribuir contenido como controladores o actualizaciones publicadas localmente a través de WSUS.

Activar el escaneo dual de manera efectiva significa obtener actualizaciones de Windows de Internet y actualizaciones que no sean de Windows. de WSUS. La exploración doble se habilita automáticamente cuando se habilita una combinación de políticas de grupo de actualización de Windows:

• DeferQualityUpdate
• DeferQualityUpdatePeriodInDays
• PauseQualityUpdate
• DeferFeatureUpdate
• DeferFeatureUpdatePeriodInDays
• PauseFeatureUpdate

Este modelo solo puede ser utilizado por Aquellas empresas que desean que WU sea su principal fuente de actualización, mientras que Windows Server Update Services (WSUS) proporciona el resto del contenido.

Pérdida de control no deseado de Dual Scan

Dual Scan introduce una pérdida de control no deseada para quienes aún desean Continuar administrando las actualizaciones a su manera. Anteriormente a Windows 10, no se podía actualizar involuntariamente una máquina administrada a una nueva compilación simplemente escaneando en contra de Windows Update (WU). Esto se debía a que el canal solo proporcionaba actualizaciones de calidad, generalmente porque a los administradores no les preocupaba que sus clientes escanearan contra WU, ya que nunca podría generar cambios significativos en el estado del cliente.

Pero con actualizaciones de funciones que se ofrecen en WU, los clientes administrados a través de WSUS o Configuration Manager pueden recibir actualizaciones de funciones que el administrador desaprobó anteriormente al hacer clic en "Buscar actualizaciones en línea desde Microsoft Update" enlace.

Controles comerciales en el escenario local

Dado que los administradores locales se preocupaban con razón por el escenario anterior, seleccionaron habilitar la WU para la política comercial que les permitió seleccionar cuando se recibieron actualizaciones de funciones que tuvieron el efecto planificado: los escaneos contra Windows Update ya no son empujados las actualizaciones de características no aprobadas.

Sin embargo, esta configuración también cumplía los criterios para habilitar Dual Scan, lo que hace que la máquina no sea controlada por WSUS o Configuration Manager para los fines de las actualizaciones de Windows.

¿Pero cómo instala un usuario las actualizaciones de funciones no aprobadas mientras mantiene el control de la administración de actualizaciones con sus herramientas locales existentes?

Microsoft dice-

"Nosotros Hemos recibido suficientes comentarios sobre este escenario que nos hemos comprometido a lanzar una actualización de calidad para 1607 que le permite aprovechar los controles de WU for Business incluso en el escenario local; es decir, para escaneos "Comprobar en línea para actualizaciones". Podrá aplazar las actualizaciones de funciones sin cambiar automáticamente al comportamiento de Escaneo doble. "

La política no se pudo configurar de manera predeterminada, lo mismo debe habilitarse para garantizar que el cliente de WU se comporte como se esperaba. Microsoft planea lanzar la actualización de calidad 1607 se lanza este verano.

Para desbloquear este escenario

Microsoft enumera los pasos para desbloquear el escenario de inmediato. Con estos pasos, los clientes administrados pueden realizar escaneos contra WSUS / Configuration Manager y acceder a la tienda de Microsoft. Con esta configuración, restringirá las actualizaciones de funciones para instalarse automáticamente en las máquinas y también restringirá la instalación de cualquier contenido de actualización a través de Windows Update. Para todos los clientes administrados, Microsoft recomienda las siguientes soluciones alternativas:

1. Establezca todas las políticas de WU for Business en No configuradas. Esto garantiza que no se encuentre en el modo Dual Scan.
2. Verifique que haya instalado la Actualización acumulativa de noviembre de 2016 para 1607, o cualquier actualización acumulativa más reciente.
3. Habilite la política de grupo Sistema / Administración de comunicación de Internet / Configuración de comunicación de Internet / Desactivar el acceso a todas las funciones de actualización de Windows
4. En un símbolo del sistema elevado, ejecute "gpupdate / force", seguido de "UsoClient.exe startscan"
5. Abra la interfaz de usuario de Windows Update (espere a que se complete el escaneo), y observe:

Microsoft dijo que activar "Eliminar acceso a todas las funciones de actualización de Windows" no sería útil para este escenario. Dual Scan también es compatible con el escenario local. La política de grupo incluye una configuración - No permitir que las políticas de aplazamiento de actualización provoquen escaneos contra Windows Update. Para obtener una lectura completa sobre el tema, visite Microsoft.