已知问题回滚(KIR)是一种可靠的缓解技术,内置于 Windows 更新中,可帮助你保护更新的各个部分并对其进行故障排除。 此功能是Microsoft持续努力改进 Windows 更新体验并使其对组织更可靠的一部分。
缓解机制可以快速恢复与 Windows 更新相关的问题,因为它仅影响导致问题的特定更改、修复、功能或特点。 KIR 将更改回滚到其以前的行为。 属于该更新的所有其他更改保持不变。
此技术适用于对所有企业托管和零售或消费者设备上的受支持 Windows 版本的 Windows 更新所做的更改。
KIR 背后的动机
为了帮助客户保持受保护和高效,Microsoft每月发布多个 Windows 更新。 从历史上看,如果 Windows 更新遇到问题,Windows 用户或组织 IT 管理员具有以下选项:
- 卸载整个更新。 此选项可防止组织获取最新的安全更新。 因此,组织变得不合规且不太安全。
- 跳过整个更新。 此选项可防止组织获取最新的安全更新。 因此,组织变得不合规且不太安全。
- 部署更新并等待修补程序可用。 根据问题,此选项可能会阻碍工作效率。
为了解决安全性和生产力问题,Microsoft创建了 KIR。 KIR 是一种技术解决方案,允许用户高效工作,同时最大程度地降低对安全性或合规性的影响。
从 Windows 10 版本 2004 开始,KIR 作为一个功能完整的系统组合在一起。 此后,Microsoft每月更新中的大多数代码更改都支持 KIR 功能。
KIR 在代码级别上如何工作
Windows 更新实现的更改具有内置运行时功能标志。 在运行时,KIR 基础结构使用设备上的策略(由组策略设置和服务提供的元数据确定)来确定是运行新代码还是运行以前的代码。 此方法意味着,如果策略或元数据指示特定更改中存在问题,则更改将还原为较旧的代码行为。
KIR 支持的方案
从 Windows Server 2008 SP2 开始,Windows 在所有受支持的 Windows Server 和 客户端 平台上都提供 KIR 功能。 Windows 上的大多数服务修补程序都使用 KIR 功能作为缓解策略。
重要
KIR 仅影响非安全更新和修复程序。 安全更新和修补程序不使用 KIR。
如果在环境中部署 Windows 更新后出现问题或回归,请参阅 如何了解和访问 KIR 组策略模板。
如何激活KIR
为了激活 KIR,Windows 设备属于两个不同的类别。 每个类别都有自己的激活 KIR 的过程。
- 企业管理的设备: 企业管理的设备是 更新管理的 Windows 设备。 Microsoft为组织的 IT 管理员提供组策略模板。 若要激活 KIR,IT 管理员会将模板应用于组织的组策略基础结构。
- 零售和消费者设备: 零售设备和使用者设备是未被视为更新管理的 Windows 设备的设备。 通常,这些设备不是由 IT 管理员管理的。这些设备通过Microsoft托管的 Windows 更新云服务接收激活 KIR 的策略更改。
适用于企业管理的设备的 KIR
作为这些设备的企业 IT 管理员,你处于控制中。 根据Microsoft策略,对于企业管理的设备,Microsoft在下载中心发布特定的组策略模板。 可以下载此组策略模板,然后配置并应用模板以激活 KIR。
注释
组策略 是 Microsoft Windows 中的一项功能,它允许 IT 管理员在 Active Directory 环境中集中管理和配置操作系统设置、应用程序和用户设置。
如果遇到与功能更新相关的问题,请检查下载中心是否有相关的 KIR 策略模板。 如果没有找到,请按照以下步骤为您的组织申请 KIR 激活。
- 向 Microsoft支持团队,即Microsoft的客户服务部门,报告问题或回归,并请求通过组策略激活 KIR。
- Microsoft支持部门与产品团队合作,确定适用的组策略设置,将相应的组策略模板上传到下载中心,然后提供下载模板的链接。
下载模板,然后按照 如何使用组策略部署已知问题回滚中的步骤进行操作。
对于已加入域的企业托管设备,组策略刷新会在特定的定期间隔进行。 若要确保组策略设置生效,请执行下列作之一:
- 等待组策略在后台自动刷新,然后重启受影响的设备。
- 若要强制单个设备更新其组策略设置,请打开设备上的命令提示符窗口,然后运行
gpupdate /force。 命令运行后,重启设备。
有关刷新组策略的详细信息,请参阅 适用于 Windows 的组策略处理。
此外,有关如何缓解 Intune 或由终结点管理服务管理的设备上的回归问题的信息,请参阅 使用组策略部署已知问题回滚。
适用于零售和消费设备的 KIR
零售和使用者设备包括非企业设备,以及使用“设置>”(WU)直接从 Windows 更新云服务(WU)获取更新的所有设备。 对于这些设备,Microsoft使用 Windows 更新激活 KIR。 用户不需要执行任何操作。 在大多数情况下,由于Microsoft的安全部署做法,Microsoft在大多数设备下载并安装原始更新之前识别更新中的问题并发布 KIR。 在这些情况下,用户从来不会注意到原始问题或 KIR。
注释
任何未连接到 Windows 更新的设备都不会获取 Windows 更新或 KIR。
当Microsoft确定影响零售和消费者设备的回归或其他问题时,Microsoft产品团队收集有关问题及其影响的详细信息,确定问题的根本原因,并在内部报告问题。 然后,根据此分析的结果,微软决定是否要回滚导致问题的更改。
如果 Microsoft 公司决定回滚更改,它将使用 Windows 更新基础结构激活 KIR。 首先,Microsoft 将 KIR 配置更改加载为更新。 Windows 更新会通知受影响的设备此更新。 在 24 小时内,设备下载并安装更新。 设备可能需要重启才能完成安装。 此过程完成后,导致问题的代码将被禁用。
Microsoft传输有关 KIR 激活的特定信息。 此数据有助于我们评估生态系统内回滚的有效性。 了解如何 在组织中配置 Windows 诊断数据。
如何了解和访问 KIR 组策略模板
有时,Microsoft必须针对影响多个客户或表示常见客户方案的问题激活 KIR。 在这种情况下,Microsoft在 Windows 服务通信通道上记录此问题。 本文档介绍了该问题最常见的症状。 对于企业和商业客户,文档提供了指向包含用于激活 KIR 的组策略模板的 .msi 文件的链接。
可在此处查找已知问题和 KIR 缓解措施:
- Windows 更新历史记录网站上的 Windows 发行说明,例如 Windows 11、 Windows 10 和 Windows Server 更新历史记录页。 向下滚动到此更新部分中 的“已知问题 ”。
- Windows 版本健康 仪表板。 此站点提供指向当前受支持的 Windows 版本的所有 Windows 发行说明的链接。
- Microsoft 365 管理中心上的 Windows 版本运行状况部分。 还可以订阅 Windows 发布运行状况通知。
如果找不到遇到的问题的文档,请联系 Microsoft支持部门。
KIR 生命周期管理:激活 KIR 后该怎么办?
企业和商业客户为 KIR 部署组策略设置后,无需采取任何其他作。 Microsoft解决原始问题后,它会在后续 Windows 更新中包含新代码。 过时的组策略设置只会成为不执行任何操作且不再需要的无害设置。
常见问题 (FAQ)
对于给定的问题,同一组策略模板是否适用于所有受影响的设备?
否。 控制给定问题的 KIR 的组策略设置通常因不同版本和 Windows 版本而异。 如果您请求来自 Microsoft 支持的 KIR 组策略模板,请提供受影响的操作系统版本的完整列表。 Microsoft支持为每个指定的 Windows 版本提供唯一的组策略模板。 配置和部署模板时,请注意模板文件名中列出的 Windows 版本。
如果在部署 KIR 组策略模板后仍然看到问题,该怎么办?
激活 KIR 后,您可能仍然会发现问题的几个原因。 在这种情况下,请执行以下步骤:
- 请确保部署与设备的 Windows 版本相对应的组策略模板。
- 打开组策略编辑器,然后找到相应的组策略设置。 确保设置的状态 为“已禁用”。
- 如果更改了组策略设置,请重启策略适用的设备。
- 如果问题仍然存在,请联系分配Microsoft支持合作伙伴。
如果需要为企业激活 KIR,但无法使用组策略基础结构,该怎么办?
有关如何部署 KIR 的详细信息,包括如何为单个设备激活 KIR 以及如何在不使用组策略的情况下激活 KIR,请参阅 使用组策略部署已知问题回滚。