1 votos

Característica de la parada de mejoras y gestionarlos adecuadamente a través de WSUS

En los últimos meses, los sistemas han sido al azar la actualización de sí mismos, la actualización no es aprobado dentro de WSUS y se obtiene directamente de Miccrosoft Servidores.

La actualización a 1709/1703 no es gestionado por WSUS y debe ser controlada. Y la actualización a la siguiente característica de actualización debe ser correctamente ejecutada a través del negocio de la miniserie ningún tiempo de inactividad.

La configuración de "Aplazar la Característica de Actualizaciones" GPO detiene la actualización directa a construir 1709 - pero no la actualización a 1703, porque...

"Ahora que Microsoft, uh, recomienda la versión 1703 construir 15063.483, su "Aplazar la característica de actualizaciones" configuración ha caducado, y que usted está consiguiendo el negocio-listo versión de Win10 Creadores de Actualización. (Esto, a pesar del hecho de que hay un gran lote de correcciones de errores esperando en las alas de 1703.) No hay una "Rama Actual de los Negocios", sino que "Microsoft recomienda" la bala se aplica en su lugar. Si usted se aplazamiento de actualizaciones, el aplazamiento acabó (ver captura de pantalla)." - esto es nuevo para mí!

Fuente: https://www.computerworld.com/article/3211375/microsoft-windows/win10-machines-with-defer-feature-up....

Este es mi actual Configuración de Windows Update en:

DeferQualityUpdates   REG_DWORD   0x0             (not enabled)
DeferFeatureUpdates   REG_DWORD   0x1         (enabled)
BranchReadinessLevel   REG_DWORD   0x20        (set to current branch for business)
DeferFeatureUpdatesPeriodInDays   REG_DWORD   0xb4   (180 days)
ElevateNonAdmins   REG_DWORD   0x0           (Users in the Users security group are allowed to approve or disapprove update )
WUServer   REG_SZ   http://WSUS:8530          (Specified intranet source)
WUStatusServer   REG_SZ   http://WSUS:8530

La actualización de 1703 no es gestionado por WSUS y debe ser controlada. Y la actualización a la siguiente característica de actualización debe ser correctamente ejecutada a través del negocio de la miniserie ningún tiempo de inactividad.

Hay una manera?

  • Identificar lo que los servidores de sistemas que se conecta al tirar de la función actualización y bloquear las comunicaciones? (es decir, Dejar de conexiones a Microsoft Los servidores a través de endpoint de control de contenido o los Límites de Firewall - sin efectuar actualizaciones de Office 365)

Lo que he hecho hasta ahora

  • Se entiende 1703 ahora está recomendado para los negocios (pero yo todavía no quieres)

  • Intento configurar el "no se conectan a ninguna Actualización de Windows Internet Ubicaciones" GPO local, pero se bloqueó el acceso a WSUS demasiado, a pesar de la la siguiente nota: Esta política se aplica sólo cuando el PC está configurado para conectarse a una intranet servicio de actualización a través de la "Especificar la intranet Ubicación del servicio windows update" de la política - esto ya es configurado en un nivel de Directiva de Grupo pero está siendo ignorado

  • Considera listas negras de la aplicación de las siguientes/archivos en extremo la consola de administración para evitar que el asistente de actualización de Windows ejecución -, pero no he tenido tiempo para probar:

    C:\Windows10Upgrade

1voto

Spidfire Puntos 1132

Repetir la misma respuesta para Windows 10 evita WSUS, que me había dado en el Servidor Falla aquí, ya que el OP es cometer el mismo error.

La solución es muy simple, asegúrese de que su copia de Windows 10 no tiene alguno de los siguientes nombres de valor aparece bajo HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, si está ejecutando Windows 10 OS - impacto versión: 1511 y 1607.

 DeferFeatureUpdates
 DeferFeatureUpdatesPeriodInDays
 DeferQualityUpdates
 DeferQualityUpdatesPeriodInDays
 PauseFeatureUpdatesStartTime
 PauseQualityUpdatesStartTime
 ExcludeWUDriversInQualityUpdate

Citando de nuevo desde el mismo artículo "¿por Qué WSUS y SCCM gestión de clientes están llegando a Microsoft en Línea":

Lo que acaba de pasar aquí? No son estos actualización de aplazamiento de las políticas?

No en un entorno administrado. Estas políticas están diseñadas para Windows Actualización para el Negocio (WUfB).

Windows Update para los Negocios aka WUfB permite la tecnología de la información los administradores mantener el Windows 10 dispositivos en su organización siempre al día con las últimas defensas de seguridad y de Windows características mediante la conexión directa de estos sistemas a Windows Update servicio.

También le recomendamos que no utilice estos nuevos ajustes con WSUS/SCCM.

Si usted ya está usando un prem solución para administrar Windows actualizaciones/mejoras, utilizando la nueva WUfB configuración permitirá a sus clientes para alcanzar también a la Actualización de Microsoft en línea para obtener la actualización de omitir su WSUS/SCCM de punto final.

La gestión de las actualizaciones, tienes dos soluciones:

  1. Utilizar WSUS (o SCCM) y gestionar cómo y cuándo desea implementar actualizaciones y mejoras a Windows 10 equipos en su entorno (en la intranet).
  2. El uso de la nueva WUfB ajustes para controlar cómo y cuando se desea implementar actualizaciones y mejoras a Windows 10 equipos en su entorno la conexión directa a Windows Update.

- "¿Por qué WSUS y SCCM gestión de clientes están llegando a Microsoft en Línea" : Este post fue escrito por Shadab Rasheed, Asesor Técnico, Windows Y Dispositivos de Despliegue (9 de enero de 2017), Microsoft Windows Server Equipo .

NOTA: tenga en cuenta que el mencionado artículo de Microsoft de la lista de Registro de nombres de valor tiene errores de ortografía.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: