web-dev-qa-db-ja.com

機能のアップグレードを停止し、WSUSを介して適切に管理します

過去数か月間、システムはランダムにアップグレードされており、更新はWSUS内で承認されておらず、Miccrosoftサーバーから直接取得されています。

1709/1703へのアップグレードはWSUSによって管理されていないため、制御する必要があります。また、次の機能更新へのアップグレードは、ビジネス全体でミニシリーズのダウンタイムを適切に実行する必要があります。

「機能のアップグレードの延期」の構成GPOは、ビルド1709への直接アップグレードを停止しましたが、1703へのアップグレードは停止しませんでした。

"Microsoftがバージョン1703ビルド15063.483を推奨しているので、「機能の更新を延期する」設定の有効期限が切れており、Win10 Creators Updateのビジネス対応バージョンを入手しています(これにもかかわらず、 1703年に向けて、大量のバグ修正が待機しているという事実。)「CurrentBranch for Business」はもうありませんが、代わりに「Microsoftが推奨する」という箇条書きが適用されます。更新を延期していた場合は、延期が実行されました。アウト(スクリーンショットを参照)。 "-これは私にとってのニュースです!

出典:https://www.computerworld.com/article/3211375/Microsoft-windows/win10-machines-with-defer-機能アップ ..。

これは、現在のWindowsUpdateの構成です。

DeferQualityUpdates   REG_DWORD   0x0             (not enabled)
DeferFeatureUpdates   REG_DWORD   0x1         (enabled)
BranchReadinessLevel   REG_DWORD   0x20        (set to current branch for business)
DeferFeatureUpdatesPeriodInDays   REG_DWORD   0xb4   (180 days)
ElevateNonAdmins   REG_DWORD   0x0           (Users in the Users security group are allowed to approve or disapprove update )
WUServer   REG_SZ   http://WSUS:8530          (Specified intranet source)
WUStatusServer   REG_SZ   http://WSUS:8530

1703へのアップグレードはWSUSによって管理されていないため、制御する必要があります。また、次の機能更新へのアップグレードは、ビジネス全体でミニシリーズのダウンタイムを適切に実行する必要があります。

方法はありますか?

  • 機能の更新をプルして通信をブロックするときに、システムが接続するサーバーを特定しますか? (つまり、Office 365の更新に影響を与えることなく、エンドポイントコンテンツコントロールまたは境界ファイアウォールを介したMicrosoftサーバーへの接続を停止します)

これまでにやったこと

  • 理解された1703は現在ビジネスに推奨されています(しかし私はまだそれを望んでいません)

  • 「WindowsUpdateインターネットロケーションに接続しない」ローカルGPOを構成しようとしましたが、次の注意事項にもかかわらず、WSUSへのアクセスもブロックしました。このポリシーは、このPCが[指定]を使用してイントラネット更新サービスに接続するように構成されている場合にのみ適用されます。イントラネットMicrosoftUpdateサービスの場所」ポリシー-これはすでにグループポリシーレベルで構成されていますが、無視されています

  • Windowsアップグレードアシスタントが実行されないように、エンドポイント管理コンソールで次のアプリケーション/ファイルをブラックリストに登録することを検討しましたが、テストする時間がありませんでした。

    C:\Windows10Upgrade

windows-10windows-updateupgradegroup-policywsus
1
IT Apprentice

Windows 10はWSUSを回避します に対して同じ答えを繰り返します。これは、OPが同じ間違いを犯しているため、ここでもサーバー障害について説明しました。

解決策は非常に簡単です。Windows10OSを実行している場合は、Windows 10のコピーにHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdateの下にリストされている次の値の名前がないことを確認してください-影響バージョン:1511および1607。

 DeferFeatureUpdates
 DeferFeatureUpdatesPeriodInDays
 DeferQualityUpdates
 DeferQualityUpdatesPeriodInDays
 PauseFeatureUpdatesStartTime
 PauseQualityUpdatesStartTime
 ExcludeWUDriversInQualityUpdate

同じ記事からさらに引用 "WSUSとSCCM管理対象クライアントがMicrosoftOnlineに連絡している理由"

ここで何が起こったのですか?これらの更新またはアップグレードの延期ポリシーではありませんか?

管理された環境ではありません。これらのポリシーは、Windows Update for Business(WUfB)を対象としています。

Windows Update for Business(別名WUfB)を使用すると、情報技術管理者は、これらのシステムをWindows Updateサービスに直接接続することにより、組織内のWindows10デバイスを常に最新のセキュリティ防御とWindows機能で最新の状態に保つことができます。

また、これらの新しい設定をWSUS/SCCMで使用しないことをお勧めします。

オンプレミスソリューションを使用してWindowsの更新/アップグレードを管理している場合は、新しいWUfB設定を使用すると、クライアントはMicrosoft Updateにオンラインで連絡して、WSUS/SCCMエンドポイントをバイパスして更新を取得することもできます。

更新を管理するには、次の2つのソリューションがあります。

  1. WSUS(またはSCCM)を使用して、環境(イントラネット内)のWindows10コンピューターに更新プログラムとアップグレードを展開する方法とタイミングを管理します。
  2. 新しいWUfB設定を使用して、WindowsUpdateに直接接続している環境のWindows10コンピューターに更新プログラムとアップグレードを展開する方法とタイミングを管理します。

"WSUSとSCCM管理対象クライアントがMicrosoftOnlineに連絡している理由" :この投稿は、Windows Devices&DeploymentのテクニカルアドバイザーであるShadab Rasheedによって作成されました(1月9日) 2017)、Microsoft Windows Serverチーム

注:前述のMicrosoftの記事のレジストリ値名のリストにはタイプミスがあることに注意してください。

1
Am_I_Helpful

機能のアップグレードを含むすべての更新プログラムをWSUS経由で管理したいという質問を正しく理解していますか?

ローカルマシンが機能のアップグレードを取得するためにWindowsUpdateに直接アクセスする、「デュアルスキャン」の問題が発生しているように聞こえます。 1607以降、次のグループポリシーを使用してその動作を停止できるようになります。

コンピューターの構成>ポリシー>管理用テンプレート> Windowsコンポーネント> Windows Update>更新延期ポリシーがWindowsUpdateに対してスキャンを発生させないようにします

詳細: https://blogs.technet.Microsoft.com/wsus/2017/08/04/improving-dual-scan-on-1607/

私はこれを自分で設定しているだけなので、まだ直接の経験はありません。その記事を正しく読んでいて、そのポリシーを有効にすると、Windowsは機能の更新のためにWU)に自動的に移動せず、userWUから直接更新を要求すると、延期ポリシーが尊重されます。

0
Mark Berry