Windows Update und WSUS: Probleme durch Dual Scan

Verwendet man im Unternehmen einen WSUS-Server kann es mitunter dennoch zu unerwünschten Nebenwirkungen im Zusammenhang mit den Windows Updates kommen.

Oft verantwortlich dafür ist der von Microsoft bereits vor einer Weile eingeführte sogenannte Dual Scan. Hierbei handelt es sich um eine Funktion, die nicht nur beim (lokalen) WSUS, sondern eben auch direkt bei Microsoft nach Updates sucht. Leider kommt es dabei nicht selten zu einer ganzen Reihe von Problemen.

Eines davon kann sein, das sich Clients überhaupt nicht mehr beim WSUS melden. Hier hilft oft ein Beenden des Windows Update-Dienstes samt Löschen von

C:\Windows\SoftwareDistribution

und nach dem Dienst-Neustart ein anschließendes Ausführen von

wuauclt.exe /resetauthorization /detectnow

Ein weiteres Phänomen kann sein, das der Client zwar gegenüber dem WSUS meldet, das ein bestimmtes Update benötigt wird, er aber versucht dieses direkt bei Microsoft (statt vom WSUS) herunterzuladen. Dies scheitert dann ggf. an Firewall-Restriktionen oder salopp ausgedrückt auch einfach so.

Evtl. findet man im WindowsUpdate.log bzw. in der Ausgabe von Get-WindowsUpdateLog folgendes:

* END * Federated Search failed to process service registration, hr=0x8024500C (cV = ocovbI014Uq518ei.1.0)

Sofern der Dual Scan nicht per Gruppenrichtlinie (siehe Quellen) deaktiviert wurde oder die Einstellung gar nicht bis zum Client durchgedrungen ist oder übernommen wurde, den entsprechenden Registry-Eintrag manuell zu setzen:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
Key: DisableDualScan
Value: 0x1
Type: DWORD

Als *.reg-Datei:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DisableDualScan"=dword:00000001

Oder als Befehl:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v DisableDualScan /t REG_DWORD /d 1 /f

Den Windows Update-Dienst einmal neu starten und entweder über die GUI erneut nach den Updates suchen lassen oder

wuauclt.exe /resetauthorization /detectnow

ausführen. Im Idealfall wird neu nach den Updates gesucht und diese direkt beim WSUS heruntergeladen.

Sollte allerdings die Windows Update-Funktion durch diverse Fehler dermaßen gestört sein, das obige Maßnahmen nicht helfen, bleibt nur noch der Weg über eine manuelle Upgrade-Installation von Windows.

Quellen

Microsoft – Docs – Get-WindowsUpdateLog

Microsoft – Docs – How to re-register Windows client/server in WSUS

Microsoft – TechNet – Forums – Client failing to update from WSUS server. *FAILED* [8024500C] Method failed [CSLSEndpointProvider::GetWUClientData:1996]

ALEX Ø. T. HANSEN – WSUS – Windows 10 Clients – Error 0x8024500c

ESC.de – Windows Update Richtlinien und Dual Scan

Hope This Helps – Windows 10 / Server 2016: Client bezieht seine Updates direkt von WU und nicht mehr vom WSUS (Dual Scan)

Update 21.12.2021

Möchte man per Skript, da es z.B. Systeme gibt, die nicht Mitglied einer Domäne sind, aber dennoch mit einem WSUS-Server verbunden sind, Dual Scan deaktivieren, ist das so möglich:

@echo off

rem Abfragen, ob ein WSUS-Server konfiguriert ist
rem Wenn der Eintrag vorhanden ist, dann Dual Scan deaktivieren.

 reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v WUServer
 
 if %errorlevel%==0 (
  reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v DisableDualScan /t REG_DWORD /d 1 /f
 )

Was passiert eigentlich, wenn ein System nicht mit einem WSUS-Server verbunden ist und man Dual Scan dennoch deaktiviert? Schlicht gar nichts. Den Tests nach aktualisiert sich dieses System weiterhin normal mittels Windows Update (direkt von Microsoft).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.