Gibt es ein Problem mit den Gruppenrichtlinien, die ein Upgrade eines Windows 10-Enterprise-Systems auf das nächste Funktionsupdate verhindern sollen? Ich stelle mal die Erfahrungen eines Blog-Lesers, dem ein Zwangsupgrade droht, zur Diskussion hier im Blog ein.
Anzeige
Hintergrund: Windows 10 Enterprise V1709
Die im Unternehmensumfeld eingesetzte Windows 10 Enterprise Version 1709 ist laut dem von Microsoft herausgegebenen Lebenszyklus nur bis zum 14. April 2020 im Support (siehe folgende Tabelle).
(Windows 10: End of Life-Daten)
Administratoren, die solche Windows 10 Clients über Windows Update verwalten müssen, können aber den Download und die Installation von Funktionsupdates verzögern/blockieren.
Upgrade-Sperre wirkt nicht
Nun hat Blog-Leser Alexander Freudenberg mich über Twitter kontaktiert, weil er mit Windows 10 V1709 in Probleme gelaufen ist.
@etguenni
Darf ich kurz fragen, ob das u.g. Problem evtl. schon von einem Ihrer Follower berichtet wurde? Ich habe alle möglichen Gruppenrichtlinien und Registryeinstellungen vorgenommen, aber Windows Update will trotzdem das Funktionsupdate herunterladen. https://t.co/MDXPHyZ4ON— Alexander Freudenberg (@alexfreu69) 22. Juli 2019
Anzeige
Er hat gehofft, das Funktionsupdate der Windows 10 Enterprise V1709 per Gruppenrichtlinien und Registry-Einstellungen bis zum End of Life blockieren zu können. Die Einstellungen hat Microsoft in diesem Dokument in allgemeiner Form beschrieben. Aber die Upgrade-Sperre klappt laut obigem Tweet nicht. Er gibt keine Details an, aber vielleicht fällt einem Blog-Leser ein, was da schief läuft.
Ähnliche Artikel:
Windows 10 V1809: Upgrade auf V1903 am 23.7.2019
Windows 10 V1709: Funktionsupdate-GPO blockt Updates
Windows 10: Upgrade von Windows 7/8.1 blockieren
Anzeige
Ich habe per Gruppenrichtlinie den Channel auf "Semi-Annual Channel" gesetzt und zusätzlich die Freigabe eines Funktionsupdates um 365 Tage zurückgestellt.
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update\Windows Update für Unternehmen\Zeitpunkt für den Empfang von Vorabversionen und Funktionsupdates auswählen.
Das hat bisher (vor Juli 2019) auch immer gereicht, Funktionsupdates nicht automatisch installieren zu lassen.
Zusätzlich habe ich dann noch
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DisableOSUpgrade"=dword:00000001
"BranchReadinessLevel"=dword:00000020
"DeferFeatureUpdates"=dword:00000001
"DeferFeatureUpdatesPeriodInDays"=dword:0000016d
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\OSUpgrade]
"AllowOSUpgrade"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection]
"AllowTelemetry"=dword:00000001
geprüft/gesetzt, aber das hatte auch keine Auswirkung. Es wird weiterhin das Funktionsupdate für Windows 10, Version 1803 x64 2019-07C heruntergeladen. Sowohl ohne WSUS als auch mit WSUS mit Dual Scan.
Evtl. hilft das zum Thema DualScan
https://blogs.technet.microsoft.com/swisspfe/2018/04/13/win10-updates-store-gpos-dualscandisabled-sup-wsus/
DualScan deaktivieren. Wenn es in den GPO Einstellungen nicht mehr angeboten wird, dann eben per GPP (Group Policy Preferences) an die Clients/Server verteilen.
Liegt ziemlich sicher am Dual Scan
Was für ein Chaos mit dem DualScan! Ich habe mir die Tabelle 5x angesehen und ich frage mich, warum man das alles so kompliziert machen muss.
Auf https://blogs.technet.microsoft.com/yongrhee/2018/03/12/windows-10-v1607-dualscan-behavior-when-do-not-allow-update-deferral-policies-to-cause-scans-against-windows-update-is-set/ habe ich jetzt die Klärung gefunden. Leider kann das Update nicht komplett ausgeschaltet werden, weil sonst Store-App-Updates nicht installiert werden können.
Liegt mit aller Wahrscheinlichkeit am DualScan!
Wer einen WSUS einsetzt (und auf den Clients per GPO entsprechend konfiguriert hat) und DualScan definitiv deaktivieren will, sollte den Delivery Optimization Download Mode per GPO oder Registry auf Bypass setzen. Damit verhält sich ein Windows 10 beim Update wieder wie ein Windows 7 und lädt ausschließlich über den WSUS per BITS die Updates herunter.