Beenden Sie Funktionsupgrades und verwalten Sie sie ordnungsgemäß über WSUS

3048
IT Apprentice

In den letzten Monaten wurden Systeme nach dem Zufallsprinzip selbst aktualisiert. Das Update wurde nicht von WSUS genehmigt und wird direkt von den Miccrosoft-Servern abgerufen.

Das Upgrade auf 1709/1703 wird nicht von WSUS verwaltet und muss gesteuert werden. Und das Upgrade auf das nächste Feature-Update muss in der gesamten Miniserie bei Ausfallzeiten ordnungsgemäß durchgeführt werden.

Konfigurieren des Gruppenrichtlinienobjekts "Defer Feature Upgrades" gestoppt das direkte Upgrade auf Build 1709 - aber nicht das Upgrade auf 1703, da ...

"Nun, da Microsoft, uh, die Version 1703 für Build 15063.483 empfiehlt, ist die Einstellung für die Aktualisierung von Feature-Updates abgelaufen, und Sie erhalten die betriebsbereite Version von Win10 Creators Update. (Dies gilt trotz der Tatsache, dass es eine riesige Menge von gibt Fehlerbehebungen, die in den Startlöchern auf 1703 warten. Es gibt keine "Current Branch for Business" mehr, sondern das von Microsoft empfohlene Aufzählungszeichen. Wenn Sie Aktualisierungen aufschieben, ist Ihre Zurückstellung gerade aufgebraucht (siehe Screenshot). " - das sind Neuigkeiten für mich!

Quelle: https://www.computerworld.com/article/3211375/microsoft-windows/win10-machines-with-defer-feature-up ....

Dies ist meine aktuelle Windows Update-Konfiguration unter:

DeferQualityUpdates REG_DWORD 0x0 (not enabled) DeferFeatureUpdates REG_DWORD 0x1 (enabled) BranchReadinessLevel REG_DWORD 0x20 (set to current branch for business) DeferFeatureUpdatesPeriodInDays REG_DWORD 0xb4 (180 days) ElevateNonAdmins REG_DWORD 0x0 (Users in the Users security group are allowed to approve or disapprove update ) WUServer REG_SZ http://WSUS:8530 (Specified intranet source) WUStatusServer REG_SZ http://WSUS:8530

Das Upgrade auf 1703 wird nicht von WSUS verwaltet und muss gesteuert werden. Und das Upgrade auf das nächste Feature-Update muss in der gesamten Miniserie bei Ausfallzeiten ordnungsgemäß durchgeführt werden.

Gibt es einen Weg zu?

  • Stellen Sie fest, mit welchen Servern sich ein System verbindet, wenn Sie das Feature-Update durchführen und die Kommunikation blockieren. (dh Stoppen von Verbindungen zu Microsoft-Servern durch Endpoint Content Control oder Boundary Firewall - ohne Office 365-Updates durchzuführen)

Was ich bisher gemacht habe

  • Verstandes 1703 ist jetzt fürs Geschäft empfohlen (aber ich will es immer noch nicht)

  • Es wurde versucht, das lokale Gruppenrichtlinienobjekt "Keine Verbindung zu Windows Update-Internetstandorten herstellen" zu konfigurieren, es wurde jedoch auch der Zugriff auf WSUS blockiert: Diese Richtlinie gilt nur, wenn dieser PC für die Verbindung zu einem Intranet-Aktualisierungsdienst mit der Option "Festlegen" konfiguriert ist Intranet-Microsoft-Aktualisierungsdienststandort-Richtlinie - diese ist bereits auf Gruppenrichtlinienebene konfiguriert, wird jedoch ignoriert

  • Betrachtet man die folgenden Anwendungen / Dateien in der Endpoint Management Console als Blacklist, um zu verhindern, dass der Windows-Aktualisierungsassistent ausgeführt wird - hatte jedoch noch keine Zeit zum Testen:

    C: \ Windows10Upgrade

1
Please check this solution -> https://serverfault.com/questions/891295/windows-10-circumvents-wsus/891621#891621 Am_I_Helpful vor 6 Jahren 0
@Am_I_Helpful this would of been helpful if you made a comment rather than linking me to an article. This only generates more questions. I've just read: The solution is very simple (LOL): Ensure that you copy of Windows 10 1703 does not have any of the following value names listed under HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate IT Apprentice vor 6 Jahren 0
Ich habe mehrere wie oben gezeigt konfiguriert, um diese Updates zu beenden. Ich bin sehr verwirrt. Ich setze diese Maßnahmen ein, um die Updates zu stoppen. Jetzt muss ich sie entfernen ..? IT Apprentice vor 6 Jahren 0
Es scheint, als hätten Sie die Antwort gerade überflogen, ohne zu merken, dass auch Ihre Frage beantwortet wird. Konfigurieren Sie keine Richtlinien wie `DeferFeatureUpdates` und` DeferFeatureUpdatesPeriodInDays`. Wenn diese 2 nicht konfiguriert sind, werden Ihre Clientsysteme niemals mit der Außenwelt kommunizieren und bleiben nur mit WSUS in Verbindung, um Updates zu erhalten! Am_I_Helpful vor 6 Jahren 0
@Am_I_Helpful - Please be nice. The author is clearly confused. All you have to say is to make sure those policies remain, not configured. Ramhound vor 6 Jahren 0
@ Ramhound - Danke Ramhound für den Punkt, den du gemacht hast. Ich habe versucht nett zu sein (überprüfe meinen Benutzernamen :)). Es gab keinen solchen Kommentar, der von meiner Seite (aus meiner Sicht) unhöflich / beleidigend war. Stattdessen sollten Sie auch [diesen Kommentar von OP] in Betracht ziehen. comment1907278_1288579), die die Unreife und Art von Unhöflichkeit und die Unwilligkeit zeigt, Dinge anzunehmen. Am_I_Helpful vor 6 Jahren 0
@Am_I_Helpful - [Two wrongs don't make a right.](https://en.wikipedia.org/wiki/Two_wrongs_make_a_right). The author clearly is over their head, doesn't give them an excuse for not being nice themselves, but that is a different problem. Ramhound vor 6 Jahren 0
"Konfigurieren Sie keine Richtlinien wie DeferFeatureUpdates und DeferFeatureUpdatesPeriodInDays. Wenn diese 2 nicht konfiguriert sind, werden Ihre Client-Systeme niemals mit der Außenwelt kommunizieren und bleiben nur mit WSUS für Updates in Verbindung!" - Ich habe diese WUFB-Richtlinien aufgehoben und sie wurden alle aufgerüstet, um 1709 (LOL) zu bauen. Ich bin bereit zu akzeptieren, dass ich diese Laptops nicht mehr mit Build 1607 verschicken werde IT Apprentice vor 6 Jahren 0

2 Antworten auf die Frage

1
Am_I_Helpful

Die gleiche Antwort für Windows 10 zu wiederholen, umgeht WSUS, die ich auch hier seit Server-Fehler gegeben habe, da das OP denselben Fehler macht.

Die Lösung ist sehr einfach. Stellen Sie sicher, dass Ihre Kopie von Windows 10 keinen der folgenden Wertnamen enthält HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, wenn Sie Windows 10 - Version mit Auswirkungen auf die Betriebssysteme ausführen: 1511 & 1607.

 DeferFeatureUpdates DeferFeatureUpdatesPeriodInDays DeferQualityUpdates DeferQualityUpdatesPeriodInDays PauseFeatureUpdatesStartTime PauseQualityUpdatesStartTime ExcludeWUDriversInQualityUpdate

Weiter zitiert aus demselben Artikel "Warum verwaltete WSUS- und SCCM-Clients sich an Microsoft Online wenden " :

Was ist hier gerade passiert? Sind diese Update- oder Upgrade-Aufschubrichtlinien nicht?

Nicht in einer verwalteten Umgebung. Diese Richtlinien gelten für Windows Update for Business (WUfB).

Mit Windows Update für Unternehmen, auch bekannt als WUfB, können Administratoren von Informationstechnologie die Windows 10-Geräte in ihrer Organisation stets auf dem neuesten Stand mit den neuesten Sicherheitsmaßnahmen und Windows-Features halten, indem sie diese Systeme direkt mit dem Windows Update-Dienst verbinden.

Es wird außerdem empfohlen, diese neuen Einstellungen nicht mit WSUS / SCCM zu verwenden.

Wenn Sie bereits eine On-Prem-Lösung zum Verwalten von Windows-Updates / -Upgrades verwenden, können Ihre Clients mithilfe der neuen WUfB-Einstellungen auch online über Microsoft Update auf das Update zugreifen und Ihren WSUS / SCCM-Endpunkt umgehen.

Um Updates zu verwalten, haben Sie zwei Lösungen:

  1. Verwenden Sie WSUS (oder SCCM) und verwalten Sie, wie und wann Sie Updates und Upgrades auf Windows 10-Computern in Ihrer Umgebung (in Ihrem Intranet) bereitstellen möchten.
  2. Verwenden Sie die neuen WUfB-Einstellungen, um zu verwalten, wie und wann Sie Updates und Upgrades auf Windows 10-Computern in Ihrer Umgebung bereitstellen möchten, die direkt eine Verbindung zu Windows Update herstellen.

- "Warum verwaltete WSUS- und SCCM-Clients sich an Microsoft Online wenden " : Dieser Beitrag wurde von Shadab Rasheed, Technical Advisor, Windows Devices & Deployment (9. Januar 2017), Microsoft Windows Server Team verfasst .

Hinweis: Beachten Sie, dass die erwähnte Liste der Registrierungswertnamen des Microsoft-Artikels Tippfehler enthält.

I remove what I thought was a passive-aggressive action, specifically the "LOL" in your answer, at the very least it wasn't professional. I also improved the sentence following it and combined it with another statement. *I do ask you verify this answer applies to 1607 because that is indeed what the author is using.* Ramhound vor 6 Jahren 0
@ Ramhound - Nochmals vielen Dank für die Bearbeitung; aber ich sehe diese Zeile nicht * * Ich frage Sie nach, ob diese Antwort für 1607 gilt, denn dies ist in der Tat der Autor. “* in meiner Antwort. Soll ich dasselbe hinzufügen oder möchten Sie die vorgeschlagene Bearbeitung vornehmen? Am_I_Helpful vor 6 Jahren 0
No, I am asking you to verify your answer applies to 1607. You specifically call out 1703 in your answer. Ramhound vor 6 Jahren 0
@ Ramhound - OK, danke für den Rat. Ich habe den ursprünglichen Inhalt aus dem Blogbeitrag wiederhergestellt, in dem erwähnt wird, dass dies für Version 1511 und Version 1607 gilt (obwohl ich ihn auch für Version 1703 überprüft habe). Am_I_Helpful vor 6 Jahren 0
Wenn es für 1703 funktioniert und Sie überprüft haben, dass es funktioniert, geben Sie dies in der Antwort an. Stellen Sie jedoch sicher, dass Sie die Tippfehler korrigieren, haben Sie kein Gerät, mit dem ich den Inhalt leicht vergleichen kann Ramhound vor 6 Jahren 0
Ich werde dies nicht als Antwort markieren, da das Problem nicht ohne konfigurierte Wufb konfiguriert ist - https://community.spiceworks.com/topic/2106689-wsus-group-policy-urgent-help-need-to-stop-feature- Aktualisierung IT Apprentice vor 6 Jahren 0
@Naisbitt - IMHO, ich sehe nicht, wie es nicht funktionieren könnte! Vielmehr kann ich feststellen, dass die Richtlinie "DeferFeatureUpdates" und andere noch festgelegt sind. Wie auch immer, viel Glück an Sie, um die Lösung zu finden. Am_I_Helpful vor 6 Jahren 0
@Naisbitt - Ich würde Ihnen vorschlagen, die Hilfe guter Systemadministratoren in Anspruch zu nehmen, die die erforderlichen Gruppenrichtlinien gemäß dem von mir freigegebenen Microsoft-Blog konfigurieren. Am_I_Helpful vor 6 Jahren 0
0
Mark Berry

Verstehe ich die Frage richtig, dass Sie ALLE Updates einschließlich Funktionsupgrades über WSUS verwalten möchten?

Es klingt so, als ob Sie das "Dual Scan" -Problem haben, bei dem lokale Computer direkt an Windows Update gehen, um Funktionsupgrades zu erhalten. Ab 1607 sollten Sie dieses Verhalten mit dieser Gruppenrichtlinie beenden können:

Computerkonfiguration> Richtlinien> Administrative Vorlagen> Windows-Komponenten> Windows Update> Lassen Sie nicht zu, dass Update-Verschiebungsrichtlinien Scans gegen Windows Update verursachen

Details: https://blogs.technet.microsoft.com/wsus/2017/08/04/improving-dual-scan-on-1607/

Ich baue das nur selbst auf, also habe ich noch keine direkte Erfahrung. Wenn ich diesen Artikel richtig lese, wechselt Windows bei aktivierter Richtlinie nicht automatisch zu Funktionsaktualisierungen an die WU. Wenn ein Benutzer Aktualisierungen direkt von der WU anfordert, werden alle Aufschiebungsrichtlinien berücksichtigt.

Verwandte Probleme