Windows10 v1607 / WindowsServer2016 より、WindowsUpdateデュアルスキャン(DualScan)機能が組み込まれた。
この機能は、WSUSと公式WindowsUpdateサイトの両方に更新確認を行う機能である。
これが有効だと何が起きるかというと、以下の条件下でWSUSとインターネット上のMicrosoft更新サーバーの両方から更新してしまう。WSUSに向けてるから更新は来ないでしょうと、のほほんとしていると痛い目にあう。
- 更新チャネルの変更や、機能アップデートの延期設定などを行っている
- WSUSに更新先を向けている
さらに、WSUS以外への更新を以下のような方法で遮断していたりすると、そもそも接続エラーとなり更新すら不可能となる。
- グループポリシー設定による遮断
- プロキシサーバーによる遮断
- FWなどのネットワーク機器による遮断 etc...
作業手順
Windows10 1709より前の機能バージョンでは、設定前にパッチを適用する必要がある。 1(パッチを適用しないと、そもそも設定項目が出てこない)
また、WindowsServer2016では更新状況によって設定項目が出てこない場合もある。
- Windows10 1607用: https://support.microsoft.com/ja-jp/help/4034658/windows-10-update-kb4034658
- Windows10 1703用: https://support.microsoft.com/ja-jp/help/4041676/windows-10-update-kb4041676
グループポリシーエディタを起動し、以下のように設定する。
- 管理用テンプレート
- Windowsコンポーネント
- WindowsUpdate
- イントラネットのMicrosoft更新サービスの場所を指定する: 有効
- http://wsus:8530/ ※WSUSサーバーの設定に合わせること
- インターネット上のWindowsUpdateに接続しない: 有効
- WindowsUpdateに対するスキャンを発生させる更新遅延ポリシーを許可しない: 有効
- WindowsUpdateの延期 2
- 機能更新プログラムをいつ受信するかを選択してください 3: 有効 (設定内容は任意で良い)
- イントラネットのMicrosoft更新サービスの場所を指定する: 有効
- WindowsUpdate
- データの収集とプレビュービルド
- 利用統計情報の許可: 1- 基本 以上
- Windowsコンポーネント