Windows Update Richtlinien und Dual Scan

In diesem Blogbeitrag befassen wir uns mit einem Problem, welches kürzlich sehr präsent war. Hierbei kommt es vor, dass gewisse Windows Update Richtlinien nicht richtig greifen und daher ein ungewünschtes Verhalten eintritt, ein Scan gegen Windows Update anstatt gegen den WSUS.

Mit dem Update 1607 für Windows wurde ein Feature eingeführt, welches sich Dual Scan nennt. Dieses Feature ermöglicht das hybride Modell, bei dem Updates sowohl von Windows Update als auch von WSUS bezogen werden können. Das oben genannte Problem entsteht nun dadurch, dass eine Gruppenrichtlinie das Windows Update-Verhalten einschränkt oder unterbinden soll, damit beispielsweise Updates nur von einem WSUS bezogen werden, aber durch das Feature weiterhin gegen Windows Update gesucht und somit die Richtlinie umgangen wird. Um dieses Verhalten zu verhindern, gibt es eine zugehörige Gruppenrichtlinie namens Keine Richtlinien für Updaterückstellung zulassen, durch die Windows Update überprüft wird (eng.: Do not allow update deferral policies to cause scans against Windows Update). Diese Richtlinie ist unter Computer Configuration>Policies>AdministrativeTemplates>Windows Components>Windows Update befindlich. Problematisch an dieser Richtlinie ist, dass, wenn sie nicht konfiguriert oder deaktiviert ist, das Dual Scan Feature aktiv ist.
Um sicherzustellen, dass Dual Scan durch das Aktivieren der Richtlinie ausgeschaltet wurde, sollte man verifizieren, dass der Schlüssel DisableDualScan vom Typ REG_DWORD den Wert 1 hat. Dieser befindet sich unter HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate.

Durch dieses Vorgehen sorgt Dual Scan dann nicht mehr für Probleme bei dem Beziehen von Windows Updates.