ReportNow

Windows-PCs die sich Ihre Updates vom WSUS holen, melden ihren Status dort „regelmäßig“. Die von früheren WSUS-Versionen bekannte Methode mit „wuauclt /reportnow“ diese Meldung manuell auszulösen, funktioniert bei den aktuellen WSUS-Versionen nicht mehr. In einem Blog-Posting habe ich den Weg gefunden, wie dies auch mit den aktuellen WSUS-Versionen möglich ist. Einfach die folgenden beiden Befehle in ein administratives PowerShell Fenster einfügen und der PC meldet sich sofort bei WSUS:

$updateSession = new-object -com "Microsoft.Update.Session"; $updates=$updateSession.
   CreateupdateSearcher().Search($criteria).Updates
wuauclt /reportnow
wuauclt /resetauthorization /detectnow

Der letzte Befehl hilft bei dem Problem, dass der PC sehr lange ignoriert, wenn er am WSUS in eine andere Gruppe mit zusätzlichen Freigaben verschoben wurde.

DualScan

Wenn man nicht möchte dass ein bestimmtes Windows-Update auf den mit dem WSUS verbundenen PCs installiert wird, kann man dieses am WSUS einfach nicht mit „approve“ freigeben oder sogar mit „deny“ explizit verbieten.

Seit Windows 10 1607 ist das nicht mehr so einfach. Seitdem ist in Windows „DualScan“ aktiv, was bedeutet, dass die PC auch online bei Microsoft nach Updates suchen, obwohl ihnen eigentlich der WSUS als Installationsquelle zugewiesen wurde. Es gibt mehrere Möglichkeiten dieses Verhalten per GPO zu beeinflussen. Die bisher verwendete GPO „Do not allow update deferral policies to cause scans against Windows Update“ wird unter Windows 11 nicht mehr unterstützt und soll auch unter Windows 10 nicht mehr verwendet werden. Alternativ gibt es dafür die neue, flexible GPO „Manage updates offered from Windows Server Update Service“