Windows10
WindowsUpdate
WindowsServer2016

Windows10のデュアルスキャン機能の無効化方法

Windows10 v1607 / WindowsServer2016 より、WindowsUpdateデュアルスキャン(DualScan)機能が組み込まれた。
この機能は、WSUSと公式WindowsUpdateサイトの両方に更新確認を行う機能である。
これが有効だと何が起きるかというと、以下の条件下でWSUSとインターネット上のMicrosoft更新サーバーの両方から更新してしまう。WSUSに向けてるから更新は来ないでしょうと、のほほんとしていると痛い目にあう。

  • 更新チャネルの変更や、機能アップデートの延期設定などを行っている
  • WSUSに更新先を向けている

さらに、WSUS以外への更新を以下のような方法で遮断していたりすると、そもそも接続エラーとなり更新すら不可能となる。

  • グループポリシー設定による遮断
  • プロキシサーバーによる遮断
  • FWなどのネットワーク機器による遮断 etc...

作業手順

Windows10 1709より前の機能バージョンでは、設定前にパッチを適用する必要がある。 1(パッチを適用しないと、そもそも設定項目が出てこない)
また、WindowsServer2016では更新状況によって設定項目が出てこない場合もある。

グループポリシーエディタを起動し、以下のように設定する。

  • 管理用テンプレート
    • Windowsコンポーネント
      • WindowsUpdate
        • イントラネットのMicrosoft更新サービスの場所を指定する: 有効
        • インターネット上のWindowsUpdateに接続しない: 有効
        • WindowsUpdateに対するスキャンを発生させる更新遅延ポリシーを許可しない: 有効
        • WindowsUpdateの延期 2
          • 機能更新プログラムをいつ受信するかを選択してください 3: 有効 (設定内容は任意で良い)
    • データの収集とプレビュービルド
      • 利用統計情報の許可: 1- 基本 以上

参考

https://blogs.technet.microsoft.com/jpwsus/2016/11/15/windows-10-1607-wufb/


  1. WindowsServer2016でも有効だが、最新の更新を適用している必要がある。(更新状況によっては"WindowsUpdateに対するスキャンを発生させる更新遅延ポリシー"が存在しないため) 

  2. 1709から "Windows Update for Business" に変わっている 

  3. 1709から "プレビュービルドや機能更新プログラムをいつ受信するかを選択して下さい" に変わっている