Je vous en parlais il y a quelques jours, Microsoft vient de publier un billet visant à démystifier le problème de doubles scans générés par les clients Windows 10 à partir de la version 1607. Ainsi, Microsoft a introduit un nouveau paradigme de gestion des mises à jour basé sur la gestion moderne. Le but est d’utiliser Windows Update for Business pour déployer les mises à jour sans avoir à valider les mises à jour individuellement mais en choisissant un délai d’application.
Le double scan (Dual Scan) a été introduit par Microsoft car de nombreuses entreprises souhaitaient pouvoir bénéficier de cette gestion moderne tout en permettant la mise à jour d’applications tierces via une infrastructure WSUS existante. Microsoft a donc introduit un double scan à partir de la version 1607 pour permettre de gérer les mises à jour des produits Windows par Windows Update for Business tout en assurant la mise à jour de composants tiers (par exemple Adobe, etc.) via WSUS et Configuration Manager. En gros, ce comportement est directement ciblé aux entreprises qui utilisent System Center Updates Publisher (SCUP) pour mettre à jour les produits tiers. Ainsi la double analyse a lieu lorsque l’entreprise configure les paramétrages Windows Update for Business (WUfB) via GPO ou MDM :
- Specify intranet Microsoft update service location (i.e., WSUS)
- Either of the policies belonging to Windows Update for Business
- Select when Feature Updates are received
- Select when Quality Updates are received
Ainsi les entreprises qui souhaitaient configurer les clients en Current Branch for Business (Broad) utilisaient ces paramétrages bien qu’elles utilisent System Center Configuration Manager ou WSUS pour gérer les mises à jour. Un problème plus grave peut survenir sur l’utilisateur clique sur « Check online for updates from Microsoft Update » dans la partie Updates de l’application Settings. En effet la configuration des stratégies initie un scan sur l’infrastructure WSUS et côté Microsoft Update, la sélection de l’option vient forcer Windows Update comme maître et peut amener à la mise à niveau du système vers une nouvelle Build de Windows 10.
Microsoft va publier une mise à jour qualitative pour Windows 10 1607 (cet été) et Windows 10 1703 comprendra ce changement au passage en Current Branch for Business (Broad). Le but sera d’utiliser les stratégies citées plus haut sans impliquer un double scan. Ce nouveau paramétrage ne sera pas appliqué par défaut et devra être activé.
En attendant, vous devez activer mettre à jour vos clients Windows 10 1607 avec la mise à jour cumulative de Novembre 2016 ou plus et activer la stratégie de groupe suivante : System/Internet Communication Management/Internet Communication settings/Turn off access to all Windows Update features.
Ceci permet de faire disparaitre « Check online for updates from Microsoft Update » aux yeux de l’utilisateur.
Plus d’informations sur : http://microsofttouch.fr/default/b/js/posts/windows-10-challenge-de-l-option-defer-upgrades-double-scan-wsus-etc
Source : https://blogs.technet.microsoft.com/wsus/2017/05/05/demystifying-dual-scan/
