Windows 10 绕过 WSUS

tag-icon tag-icon windows-10 windows-update wsus
Windows 10 绕过 WSUS

我正在用户讨厌 Windows 10 的环境中逐步安装 Windows 10。所以,一切都必须完美进行。

此环境已使用 WSUS 向 Windows 7 和 Windows 8.1 计算机以及 Windows Server 2008 R2 和 Windows Server 2012 R2 服务器提供更新。没有出现任何问题。

然后,我在三台计算机上部署了 Windows 10 1703。现在,每个月它都让我头疼不已!Windows 10 计算机绕过 WSUS 并直接从互联网下载更新,尤其是那些我尚未测试或批准的更新,这几乎违背了安装 WSUS 的目的。

我试过:

  • 使用组策略禁用传递优化
  • 延长宽限期
  • 多次强制更新这些计算机上的组策略
  • 运行 Windows 更新疑难解答
  • 清除 Windows 更新缓存 ( SoftwareDistribution)
  • 运行磁盘清理并选择“Windows 更新清理”(清理了 8 GB)

这是我的客户端设置:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate]
"WUServer"="http://evolution-pit:8530"
"WUStatusServer"="http://evolution-pit:8530"
"UpdateServiceUrlAlternate"=""
"SetActiveHours"=dword:1
"ActiveHoursStart"=dword:8
"ActiveHoursEnd"=dword:12
"DeferFeatureUpdates"=dword:1
"BranchReadinessLevel"=dword:20
"DeferFeatureUpdatesPeriodInDays"=dword:b4
"PauseFeatureUpdatesStartTime"=""
"DeferQualityUpdates"=dword:1
"DeferQualityUpdatesPeriodInDays"=dword:f
"PauseQualityUpdatesStartTime"=""
"DoNotConnectToWindowsUpdateInternetLocations"=dword:1

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:0
"AUOptions"=dword:4
"AutomaticMaintenanceEnabled"=dword:1
"ScheduledInstallDay"=dword:0
"ScheduledInstallTime"=dword:11
"AllowMUUpdateService"=dword:1
"UseWUServer"=dword:1
"EnableFeaturedSoftware"=dword:0

答案1

谢谢你的提问。这让我感觉到,自从 Windows 10 问世以来,我不是唯一一个痛苦的人!

解决方案非常简单:确保您的 Windows 10 1703 副本没有以下列出的任何值名称HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

(这些值的名称是根据WindowsUpdate.admxWindows 10 版本 1703 进行检查的。)

 DeferFeatureUpdates
 DeferFeatureUpdatesPeriodInDays
 DeferQualityUpdates
 DeferQualityUpdatesPeriodInDays
 PauseFeatureUpdatesStartTime
 PauseQualityUpdatesStartTime
 ExcludeWUDriversInQualityUpdate

进一步引用同一篇文章“为什么 WSUS 和 SCCM 管理的客户端要联系 Microsoft Online”

刚刚发生了什么?这不是更新或升级延期政策吗?

不在托管环境中。这些策略适用于 Windows Update for Business (WUfB)。

通过将这些系统直接连接到 Windows 更新服务,Windows Update for Business 又名 WUfB 可让信息技术管理员让组织中的 Windows 10 设备始终保持最新的安全防御和 Windows 功能。

我们还建议您不要将这些新设置与 WSUS/SCCM 一起使用。

如果您已经在使用本地解决方案来管理 Windows 更新/升级,则使用新的 WUfB 设置将使您的客户端也能够在线联系 Microsoft Update 来绕过您的 WSUS/SCCM 端点获取更新。

要管理更新,您有两种解决方案:

  1. 使用 WSUS(或 SCCM)并管理如何以及何时向您环境中(在您的内部网中)的 Windows 10 计算机部署更新和升级。
  2. 使用新的 WUfB 设置来管理如何以及何时部署更新和升级到环境中直接连接到 Windows 更新的 Windows 10 计算机。 — Rasheed,Shadab(2017 年 1 月 9 日)“为什么 WSUS 和 SCCM 管理的客户端要联系 Microsoft Online”Windows Server 博客. 微软公司

请注意,本文的注册表值名称列表有拼写错误。请使用上面给出的值名称。

答案2

双重扫描 - 这就是背后的原因……太麻烦了。已在我们的环境中修复。 https://batchpatch.com/deciphering-dual-scan-behavior-in-windows-10

相关内容