就个人而言，我感到非常惊讶，在某些情况下，尽管客户端上的WSUS服务器是通过标准WSUS组策略配置的，但在某些情况下，运行Windows 10的计算机可能无法从尝试访问Microsoft更新服务器的本地WSUS服务器获取更新。这个问题与术语"双重扫描"有关。

双重扫描是Windows 10 1607或者更高版本中设置的组合，可使客户端忽略本地WSUS服务器的设置，并尝试扫描外部Windows Update服务器以查找新更新。这些问题于2016年5月首次报告。

WSUS服务器和WU服务器均被扫描以获取更新，但是客户端仅接受来自WU服务器的更新。因此，此类客户端将忽略来自本地WSUS服务器的所有引用Windows的更新/补丁。这意味着他们从Web获得Windows更新，并从WSUS获得驱动程序和其他软件的更新。

在我的情况下，在"计算机配置\管理模板\ Windows组件\ Windows更新"部分的问题客户端上启用了两个从本地WSUS服务器更新PC的标准策略：

• 配置自动更新
• 指定Intranet Microsoft更新服务位置

同时，在"更新和安全-> Windows更新->高级选项"中选中了"延迟升级和更新"选项(该设置与"接收功能更新时选择"策略相同)。

使用这些设置组合，客户端将停止从内部WSUS服务器接收Windows更新。

因此，双重扫描通过以下策略组合(或者Windows 10客户端上的等效注册表项或者设置)发生：

• 在"指定Intranet Microsoft更新服务位置"策略中设置本地WSUS服务器的地址。
• 已启用允许延迟Windows Update for Business概念中的更新的策略之一：
• 选择何时接收功能更新
• 选择何时接收质量更新

这些策略位于"计算机配置\管理模板\ Windows组件\ Windows更新\推迟Windows更新"中。由于这些策略，用户可以推迟Windows 10升级，因此操作系统将切换到Current Branch for Business。无法延迟安全更新。

要消除双重扫描并使客户端仅在本地WSUS服务器上搜索Windows更新，请在"计算机配置\管理模板\ Windows组件\ Windows更新"中启用策略"不允许更新延迟策略导致对Windows Update进行扫描"。

此策略在Windows 10 1607中找到，但是默认情况下在Windows 10 1703中不存在。要查看此GPO设置，请从2016年8月8日开始安装更新KB4034658。