[English]Kurze Informationen für Administratoren in Unternehmensumgebungen. Microsoft hat zum 28. Februar 2023 einen Artikel mit Hinweisen veröffentlicht, was sich beim Scannen nach Updates bei Clients mit Windows 10 und Windows 11 geändert hat und wie die Maschinen entweder Windows Update for Business (WUfB) und WSUS nach neuen Patches scannen. DualScan ist demnach tot und Administratoren müssen aufpassen, welche Gruppenrichtlinien gesetzt werden.
Anzeige
Das Thema ist mir Ende Februar 2023 über nachfolgenden Tweet unter die Augen gekommen. Ariaupdated weist auf die Aktualisierung, die im Artikel Use Windows Update for Business and WSUS together beschrieben sind, hin.
Neue Richtlinie beerdigt Dual Scan
Zum 1. September 2021 wurde mit KB5005101 eine Richtlinie für die Scan-Quelle (WUfB, WSUS) eingeführt, die aber Windows 10 (ab Version 2004) sowie für Windows 11-Clients gilt. Mit der Windows-Update-Scanquellen-Richtlinie können Administratoren auswählen, ob Clients bei der Update-Suche den lokalen WSUS-Server oder den Windows Update-Dienst (WUfB) scannen. Im Artikel ist mir folgender Hinweis aufgefallen:
The policy Do not allow update deferral policies to cause scans against Windows Update, also known as Dual Scan, is no longer supported on Windows 11 and on Windows 10 it is replaced by the new Windows scan source policy and is not recommended for use. If you configure both on Windows 10, you will not get updates from Windows Update.
Microsoft beerdigt also den Dual Scan, der bei Windows 11 nicht mehr unterstützt wird. Unter Windows 10 müssen Administratoren aufpassen, dass Dual Scan durch die neue Windows-Scanquellen-Richtlinie ersetzt wird. Ist beides unter Windows 10 konfiguriert, erhalten die Clients keine Updates von Windows Update mehr.
Anzeige
Festlegen der Scan-Quelle
Über die neue Richtlinie "Scanquelle angeben" können Administratoren festlegen, ob ein Client die folgenden Windows-Updatetypen von WSUS oder von Windows Update bezieht:
- Feature-Updates
- Windows-Qualitätsupdates
- Treiber- und Firmware-Updates
- Updates für andere Microsoft-Produkte
Microsoft empfiehlt die Verwendung dieser Richtlinie beim Übergang von einer vollständig vor Ort verwalteten Umgebung (On-Premises) zu einer Cloud-gestützten Umgebung. Unabhängig davon, ob Administratoren aktuell nur Treiber- und Firmware-Updates in die Cloud verlagern oder Treiber und Qualitätsupdates und dann später die anderen Arbeitslasten, kann ein schrittweiser Ansatz den Übergang erleichtern, schreibt Microsoft.
So sucht der Client standardmäßig
Im Supportbeitrag erläutert Microsoft, wie sich Clients mit Windows 10 und Windows 11 bei der Update-Suche künftig verhalten.
- Wird keine keine Richtlinie konfiguriert kommen alle Updates von Windows Update.
- Wird nur die WSUS-Server-Richtlinie konfiguriert, gilt folgendes:
- Unter Windows 10: Alle Updates kommen von WSUS.
- Unter Windows 11: Alle Updates kommen weiterhin von Windows Update, es sei denn, die Richtlinie "Scan-Quelle angeben" ist konfiguriert.
- Konfiguriert ein Administrator einen WSUS-Server und Aufschiebungsrichtlinien gilt: Alle Ihre Updates kommen von Windows Update, es sei denn, die Richtlinie für die Scan-Quelle wurde angegeben.
Die einzigen beiden relevanten Richtlinien für die Herkunft Ihrer Updates sind die Richtlinie "Scan-Quelle angeben" und die Angabe, ob ein WSUS-Server konfiguriert wurde oder nicht. Microsoft hofft auf diese Weise die Konfigurationsoptionen zu vereinfachen.
Wurden Clients für den Update-Bezug über WSUS konfiguriert und ist die Richtlinie zum Festlegen der Scanquelle für Feature-Updates nicht so konfiguriert, dass diese per Windows Update bezogen werden, oder sind keine Richtlinien für das Angebot von Windows Update for Business festgelegt, kann ein Benutzer auf der Einstellungen-Seite die Option "Online nach Updates suchen" auswählen. Dann bekommt er möglicherweise das optionale Upgrade auf Windows 11 angezeigt. Microsoft empfiehlt daher, die Richtlinie für die Scanquelle oder eine Richtlinie für Windows Update für Unternehmen zu konfigurieren, um dies zu verhindern.
Anzeige
Danke für die Info.
In unserer Umgebung mit Windows 10 22H2 kann ich diese neue Policy nicht finden.
Hat jemand info, woher ich die passenden Vorlagen (admx, adml) bekomme?
Administrative Templates (.admx) for Windows 10 2022 Update (22H2) und nennt sich dann Quelldienst für bestimmte Klassen von Windows-Updates angeben
Wenn sich in den letzen 1-2 Monaten nichts geändert hat, hat Windows 10 damit immer noch eine Bug, siehe Kommentare:
https://www.borncity.com/blog/2021/11/04/windows-10-11-56-neue-gruppenrichtlinien/
FODs schlagen fehl.
Also ich habe genau diese Empfehlung gerade umgesetzt. Aktuelles Windows 10 und die Dual Scan Policy wieder deaktiviert. Danach geht mein WSUS nicht mehr und jeder Client/Server spuckt mir Fehler 0x8024500c aus. Ich musste es wieder rückgängig machen. Läuft das bei jemanden?
Wir hatten das schon vor einigen Wochen bei verschiedenen Kunden umgesetzt und bisher kamen keine Problemmeldungen.
die screenshots und pfade und supported on haben nichts damit zu tun was wir mit den letzten win10 22h2 admx konfigurieren können.
den pfad Path: Computer Configuration\Administrative Templates\Windows Components\Windows Update\Manage updates offered from Windows Server Update Service\ und dann Specify Source Service for specific Classes of Windows Updates gibt es nicht.
bei uns Path: Computer Configuration\Administrative Templates\Windows Components\Windows Update\ und dann Specify Source Service for specific Classes of Windows Updates
des weiteren funktioniert das bei uns laut policy nur ab Windows Server 2022 und Windows 10 2004 und nicht ab Windows Server 2016 und Windows 10 Version 2106.
Kann das sein, dass die Screenshots von Microsoft die Win11 Admx dafür sind?