découvrez pourquoi windows 11 24h2 et windows server 2025 rencontrent des problèmes de mise à jour via wsus et comment corriger l'absence de réception des correctifs essentiels pour garantir la sécurité et la stabilité de vos systèmes.
HomeNon classéSự cố cập nhật: Windows 11 24H2 và Windows Server 2025 không nhận được bản vá qua WSUS
Non classé

Sự cố cập nhật: Windows 11 24H2 và Windows Server 2025 không nhận được bản vá qua WSUS

By Valentin , on 16 Tháng 9 2025 , updated on 16 Tháng 9 2025 - 11 minutes to read

Chặn bản vá hàng loạt kể từ tháng 4 năm 2025: Các phiên bản Windows 11 24H2 và Windows Server 2025 đơn giản là bỏ qua các gói tin được gửi bởi WSUS. Sự im lặng này làm gián đoạn chu kỳ bảo trì, làm tăng nguy cơ tấn công và đã buộc một số công ty phải đóng băng việc triển khai. Phản hồi ban đầu từ hiện trường cho thấy xung đột sổ đăng ký đã xuất hiện với chiến lược “Quét Kép” mới. Thách thức rất rõ ràng: thiết lập lại kênh cập nhật đáng tin cậy càng nhanh càng tốt mà không cần chờ bản vá chính thức từ Microsoft.

Windows 11 24H2 và Windows Server 2025 bị chặn khỏi WSUS: tác động tức thì

Sự cố xảy ra ngay khi máy trạm hoặc máy chủ nâng cấp lên phiên bản 24H2. Các máy xuất hiện trong bảng điều khiển Dịch vụ Cập nhật Windows Server, nhưng không có bản cập nhật nào được tải xuống. Kết quả: bảng điều khiển bảo mật nhấp nháy màu đỏ, trong khi quản trị viên thấy một loạt cảnh báo CVE chưa được vá. Trong một tập đoàn công nghiệp của Pháp với 5.000 máy trạm, bộ phận CNTT đã phải khẩn trương quay lại bản sao lưu Azure cũ để bảo vệ bộ điều khiển Active Directory. Một kịch bản tương tự đã xảy ra tại một phòng khám, nơi các bản vá chống vi-rút dựa vào Windows Update ngoại tuyến thông qua Trung tâm Hệ thống. Mỗi lần như vậy, chuỗi tuân thủ đều thất bại và ban quản lý yêu cầu một giải pháp trước đợt đánh giá kiểm toán hàng tháng. Sự tắc nghẽn này càng trở nên nghiêm trọng hơn vì Microsoft tập trung các bản tin bảo mật của mình vào hệ sinh thái Windows. Nếu không có WSUS, việc thử nghiệm bản vá trong phòng thí nghiệm hoặc kiểm soát giai đoạn thử nghiệm là không thể. Các bản vá tích lũy trở thành tình huống “được ăn cả ngã về không”, trong đó mỗi lần khởi động lại đều được thực hiện một cách mù quáng. Bộ phận CNTT đã lo sợ về sự kết hợp kinh điển này: mất năng suất, tăng khả năng bị tấn công và tăng chi phí bảo trì.

Nguồn gốc của lỗi: khóa đăng ký mới và “Quét kép” được định hướng kém Chẩn đoán hiện đã rõ ràng: phiên bản 24H2 đưa vào một số giá trị, bao gồm “DeferFeatureUpdate”., kiểm soát sự đồng thời tồn tại giữa WSUSWindows Update for Business. Khi các khóa này giữ nguyên giá trị 0, máy khách sẽ thử trỏ đúp. Logic này hoạt động với

Intune hoặc ConfigMgr ở chế độ đồng quản lý, nhưng gây ra hiện tượng đoản mạch nếu máy chỉ có máy chủ WSUS cục bộ.

Phân tích của một quản trị viên người Đức cho thấy một yêu cầu HTTP đến

nền tảng đám mây Microsofttheo sau là một từ chối 0x8024500c, sau đó là một nỗ lực đến WSUS lặp lại. Mỗi lần lỗi sẽ trì hoãn lần phát hiện tiếp theo trong 24 giờ. Trong thời gian này, bảng điều khiển chỉ hiển thị “Liên hệ lần cuối: OK”, che giấu lỗi thực tế. Việc dịch ngược nhật ký PowerShellGet-WindowsUpdateLog cũng cho thấy tác nhân 24H2 đang tìm kiếm một danh mục có tên “Hệ điều hành Máy chủ Microsoft Phiên bản 24H2”. Tuy nhiên, trên máy chủ 2022, danh mục vẫn còn ID thế hệ cũ. Việc khớp không thành công và quá trình tải xuống dừng lại. Khắc phục nhanh: Tập lệnh PowerShell và Chính sách Nhóm Chỉ cần hai dòng là đủ để bỏ chặn việc phân phối. Trước tiên, hãy xóa các khóa vi phạm:

Remove-ItemProperty -Path ‘HKLM:SOFTWAREMicrosoftWindowsUpdateUXSettings’ -Name DeferFeatureUpdate Sau đó, buộc nguồn WSUS: Reg Add HKLMSOFTWAREPoliciesMicrosoftWindowsWindowsUpdate /v SetPolicyDrivenUpdateSourceForDriverUpdates /t REG_DWORD /d 1 /f

Sau khi tập lệnh được triển khai thông qua Intune hoặc GPO truyền thống, máy khách sẽ khởi động lại quá trình phát hiện, tải xuống các gói và áp dụng bản cập nhật tích lũy mới nhất. Bộ phận CNTT của một doanh nghiệp vừa và nhỏ (SME) tại Brest đã đưa tám mươi máy trạm trở lại hoạt động bình thường trong vòng chưa đầy một giờ. Phương pháp tương tự cũng hoạt động ở phía máy chủ: khởi động lại và bản vá tháng 5 năm 2025 sẽ được triển khai suôn sẻ. Để ngăn ngừa sự cố tái diễn, một số chuyên gia khuyên bạn nên bật chế độ TargetReleaseVersion.

Sau đó, quản trị viên xác định rõ ràng “24H2” là phiên bản mục tiêu duy nhất. Khóa này chặn mọi nỗ lực chuyển sang đám mây và duy trì tính nhất quán với cơ sở hạ tầng WSUS hiện có.

Các lựa chọn thay thế: Azure Update Management, Intune hoặc System Center

Đối mặt với sự không chắc chắn, một số tổ chức đã chuyển sang nền tảng lai. Với Azure Update Management, máy ảo được triển khai tại chỗ hoặc trên đám mây sẽ nhận các bản vá thông qua tác nhân Log Analytics. Công cụ này cung cấp bảng điều khiển mở rộng và báo cáo gần như theo thời gian thực. Nhược điểm vẫn là độ trễ danh mục: các bản vá thường được phát hành 24 giờ sau WSUS.

ConfigMgr

vẫn là chuẩn mực cho các môi trường muốn kết hợp kiểm kê phần cứng, triển khai ứng dụng và quản lý bản vá. Ở chế độ “Cloud Attach”, nó đẩy các bản vá đồng thời trao quyền cho bộ phận bảo mật phê duyệt hoặc từ chối KB. Tích hợp với Intune

giúp đơn giản hóa việc quản lý máy trạm từ xa và tránh mở cổng VPN. Cuối cùng, một số bộ phận CNTT chỉ đơn giản chọn giải phóng lưu lượng truy cập trực tiếp đến Windows Update. Giải pháp này giúp giảm tải máy chủ nhưng loại bỏ khả năng kiểm soát chi tiết. Trong môi trường quản lý chặt chẽ, điều này chỉ được chấp nhận với môi trường Active Directory riêng biệt và chiến lược triển khai theo từng giai đoạn thông qua các vòng. Triển vọng: Sau khi WSUS ngừng hoạt động, lộ trình sẽ như thế nào? Microsoft đã xác nhận việc ngừng phát triển WSUS, đồng thời đảm bảo hỗ trợ cho đến năm 2034. Quan điểm này cho phép chúng ta có chín năm để chuyển đổi. Phản hồi từ cuộc khủng hoảng 24H2 nhắc nhở chúng ta rằng việc chuyển đổi không chỉ đơn thuần là thay đổi công cụ. Quản trị bản vá cần được xem xét lại, quy trình nâng cấp cần được viết lại và phòng thử nghiệm tự động cần được xây dựng.

Xu hướng hiện nay là hướng tới một kiến ​​trúc hỗn hợp: Windows Update for Business cho các máy trạm di động, System Center hoặc Azure. dành cho khối lượng công việc máy chủ và một kênh khẩn cấp do PowerShell quản lý dành cho các bản vá lỗi ngoài băng thông. Thành công sẽ phụ thuộc vào khả năng của các nhóm trong việc điều phối các luồng công việc đa dạng này mà không làm tăng thêm các trường hợp ngoại lệ.Một hướng đi khác: danh mục hợp nhất đầy hứa hẹn đã được công bố tại Ignite 2025. Danh mục này sẽ kết hợp trình điều khiển, chương trình cơ sở và các gói bảo mật thành một điểm cuối API duy nhất. Phản hồi riêng tư ban đầu cho thấy khả năng tích hợp liền mạch với Intune và mô hình tính phí dựa trên số lượng nút thay vì CPU. Điều này sẽ khuyến khích ngay cả những người dùng thận trọng nhất lên kế hoạch thử nghiệm sớm nhất là vào quý tới.

Ngoài các khía cạnh kỹ thuật, tập 24H2 nêu bật điều hiển nhiên: nếu không có cơ chế dự phòng mạnh mẽ, mọi thay đổi phiên bản đều trở thành một canh bạc. Ưu tiên trước mắt là ghi lại bản vá sổ đăng ký, cập nhật các tập lệnh và duy trì kênh giám sát ngoài băng thông. Một khoản đầu tư khiêm tốn để tránh bị tê liệt hoàn toàn trong Bản vá Thứ Ba tiếp theo.

Nguồn: borncity.com

Donner votre avis
Partager cet article :
Avatar photo

Valentin

Salut ! Je m'appelle Valentin, j'ai 27 ans et je suis Administrateur système et réseaux. J'adore faire la fête, jouer au foot et passer du temps sur les jeux vidéos.

Comments

Leave a comment

Your comment will be revised by the site if needed.