ReportNow

Windows-PCs die sich Ihre Updates vom WSUS holen, melden ihren Status dort “regelmäßig”. Die von früheren WSUS-Versionen bekannte Methode mit “wuauclt /reportnow” diese Meldung manuell auszulösen, funktioniert bei den aktuellen WSUS-Versionen nicht mehr. In einem Blog-Posting habe ich den Weg gefunden, wie dies auch mit den aktuellen WSUS-Versionen möglich ist. Einfach die folgenden beiden Befehle in ein administratives PowerShell Fenster einfügen und der PC meldet sich sofort bei WSUS:

$updateSession = new-object -com "Microsoft.Update.Session"; $updates=$updateSession.
   CreateupdateSearcher().Search($criteria).Updates
wuauclt /reportnow

DualScan

Wenn man nicht möchte dass ein bestimmtes Windows-Update auf den mit dem WSUS verbundenen PCs installiert wird, kann man dieses am WSUS einfach nicht mit “approve” freigeben oder sogar mit “deny” explizit verbieten.

Seit Windows 10 1607 ist das nicht mehr so einfach. Seitdem ist in Windows “DualScan” aktiv, was bedeutet, dass die PC auch online bei Microsoft nach Updates suchen, obwohl ihnen eigentlich der WSUS als Installationsquelle zugewiesen wurde. Es gibt mehrere Möglichkeiten dieses Verhalten per GPO zu beeinflussen. Die naheliegende GPO “Do not connect to any Windows Update Internet locations” ist die radikale Lösung für dieses Problem, hat aber zur Folge, dass auch keine Treiber (z.B. für eine nachträglich angesteckte USB-Maus) mehr online gesucht werden und der Windows Store nicht mehr funktioniert.

Sinnvoller ist hier die folgene GPO: “Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows Update -> Do not allow update deferral policies to cause scans against Windows Update” was man auch daran sehen kann, dass der RegistryKey der durch diese GPO gesetzt wird “HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\DisableDualScan” ist.