Verwendet man im Unternehmen einen WSUS-Server kann es mitunter dennoch zu unerwünschten Nebenwirkungen im Zusammenhang mit den Windows Updates kommen.
Oft verantwortlich dafür ist der von Microsoft bereits vor einer Weile eingeführte sogenannte Dual Scan. Hierbei handelt es sich um eine Funktion, die nicht nur beim (lokalen) WSUS, sondern eben auch direkt bei Microsoft nach Updates sucht. Leider kommt es dabei nicht selten zu einer ganzen Reihe von Problemen.
Eines davon kann sein, das sich Clients überhaupt nicht mehr beim WSUS melden. Hier hilft oft ein Beenden des Windows Update-Dienstes samt Löschen von
C:\Windows\SoftwareDistribution
und nach dem Dienst-Neustart ein anschließendes Ausführen von
wuauclt.exe /resetauthorization /detectnow
Ein weiteres Phänomen kann sein, das der Client zwar gegenüber dem WSUS meldet, das ein bestimmtes Update benötigt wird, er aber versucht dieses direkt bei Microsoft (statt vom WSUS) herunterzuladen. Dies scheitert dann ggf. an Firewall-Restriktionen oder salopp ausgedrückt auch einfach so.
Evtl. findet man im WindowsUpdate.log bzw. in der Ausgabe von Get-WindowsUpdateLog folgendes:
* END * Federated Search failed to process service registration, hr=0x8024500C (cV = ocovbI014Uq518ei.1.0)
Sofern der Dual Scan nicht per Gruppenrichtlinie (siehe Quellen) deaktiviert wurde oder die Einstellung gar nicht bis zum Client durchgedrungen ist oder übernommen wurde, den entsprechenden Registry-Eintrag manuell zu setzen:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate Key: DisableDualScan Value: 0x1 Type: DWORD
Als *.reg-Datei:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] "DisableDualScan"=dword:00000001
Oder als Befehl:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v DisableDualScan /t REG_DWORD /d 1 /f
Den Windows Update-Dienst einmal neu starten und entweder über die GUI erneut nach den Updates suchen lassen oder
wuauclt.exe /resetauthorization /detectnow
ausführen. Im Idealfall wird neu nach den Updates gesucht und diese direkt beim WSUS heruntergeladen.
Sollte allerdings die Windows Update-Funktion durch diverse Fehler dermaßen gestört sein, das obige Maßnahmen nicht helfen, bleibt nur noch der Weg über eine manuelle Upgrade-Installation von Windows.
Quellen
Microsoft – Docs – Get-WindowsUpdateLog
Microsoft – Docs – How to re-register Windows client/server in WSUS
ALEX Ø. T. HANSEN – WSUS – Windows 10 Clients – Error 0x8024500c
ESC.de – Windows Update Richtlinien und Dual Scan
Update 21.12.2021
Möchte man per Skript, da es z.B. Systeme gibt, die nicht Mitglied einer Domäne sind, aber dennoch mit einem WSUS-Server verbunden sind, Dual Scan deaktivieren, ist das so möglich:
@echo off rem Abfragen, ob ein WSUS-Server konfiguriert ist rem Wenn der Eintrag vorhanden ist, dann Dual Scan deaktivieren. reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v WUServer if %errorlevel%==0 ( reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v DisableDualScan /t REG_DWORD /d 1 /f )
Was passiert eigentlich, wenn ein System nicht mit einem WSUS-Server verbunden ist und man Dual Scan dennoch deaktiviert? Schlicht gar nichts. Den Tests nach aktualisiert sich dieses System weiterhin normal mittels Windows Update (direkt von Microsoft).
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Artikel (RSS)
XING
Super hilfreich + ein Extra-Dank für Werbefreiheit.