Parte 6 – Installazione e configurazione dei servizi di aggiornamento software (SUS)
Nell’ambito della gestione delle patch, Microsoft ha sviluppato i Software Update Services, che possono essere scaricati gratuitamente da Internet. Lo scopo di SUS è quello di gestire un server di aggiornamento locale che scarica centralmente gli aggiornamenti forniti da Microsoft da Internet e li distribuisce ai client della LAN. Nel frattempo si chiama Windows Server Update Services (WSUS).
L’amministratore ha il pieno controllo su quando i client devono installare gli aggiornamenti, perché la distribuzione avviene tramite i criteri di gruppo.
Ma prima di tutto:
All’inizio c’è sempre il download. Il software SUS può essere scaricato da http://technet.microsoft.com/de-de/windowsserver/bb332157.aspx. La procedura descritta nell’articolo si rivolge esclusivamente agli utenti DSL con tariffa flat: l’installazione di 33 MB per il server SUS stesso sarebbe ancora accettabile con ISDN, ma non lo sarebbero gli oltre 2 GB di patch che il server SUS scarica.
Il prerequisito per l’installazione è (secondo le informazioni ufficiali di Microsoft) un server Windows 2000 o Windows 2003 con IIS (Internet Information Server) installato.
Con alcuni accorgimenti, tuttavia, il server SUS può essere installato e gestito anche su un notebook con sistema operativo XP, ad esempio, in modo da avere sempre con sé tutte le ultime patch e poter riordinare rapidamente le reti dei propri amici.
A questo proposito verrà pubblicato un articolo a parte, in quanto andrebbe oltre lo scopo di questo articolo.
Torniamo all’argomento:
Dopo il download viene l’installazione: poiché IIS è un requisito fondamentale per il server SUS, dobbiamo prima installarlo. Inserite quindi il CD di Windows 2003 Server e installate IIS tramite Start => Pannello di controllo => Software => Aggiungi/Rimuovi componenti => Application Server => Dettagli.
Installare IIS |
Dopo l’installazione di IIS, si deve verificare che funzioni correttamente. Per farlo, basta aprire il browser e digitare http://localhost nella barra degli indirizzi. L’aspetto dovrebbe essere il seguente:
IIS installato correttamente |
Ora possiamo iniziare con l’installazione del server SUS: basta fare doppio clic sul file exe per estrarre il pacchetto e avviare l’installazione.
Installare SUS |
Nella finestra di dialogo per l’installazione, selezionate “Tipica” e fate clic su AVANTI; il resto andrà da sé, il server SUS sarà installato sull’unità C: nella directory SUS e vi salverà anche gli aggiornamenti, l’interfaccia di amministrazione sotto /wwwroot.
Se volete inserire altri valori, potete farlo selezionando “Custom” durante l’installazione. Questa soluzione è consigliata, ad esempio, se avete destinato solo l’unità C: come partizione di sistema e i vostri dati sono memorizzati sull’unità D:, ad esempio.
Il completamento dell’installazione è indicato da questa finestra di dialogo, in cui si può anche vedere con quale nome il server di aggiornamento sarà accessibile in seguito.
Installare SUS |
Dopo aver fatto clic su “Fine”, l’interfaccia di amministrazione del server SUS si avvia automaticamente:
Interfaccia di amministrazione del server SUS |
Ora fate clic su “Imposta opzioni” per configurare il server per la vostra rete. La finestra di dialogo è piuttosto lunga, quindi ecco due immagini di come potrebbe/dovrebbe apparire:
Interfaccia amministrativa del server SUS |
Interfaccia di amministrazione del server SUS |
Le impostazioni in dettaglio:
- Selezionare la configurazione del server proxy:
Se si utilizza un server proxy per l’accesso a Internet, inserirlo qui (con autenticazione, se necessario). - Specificare il nome che i client utilizzano per individuare il server di aggiornamento:
Qui si inserisce il nome con cui i client della rete troveranno successivamente il server. In linea di massima non è necessario modificare nulla, poiché il nome NetBIOS del server è già presente. - Selezionare il server da cui sincronizzare i contenuti:
Qui si stabilisce se gli aggiornamenti devono essere prelevati direttamente dai server Microsoft o da un altro server SUS già presente nella LAN. Qui si imposta “direttamente da Microsoft” – non c’è nessun altro server SUS nella nostra LAN. - Selezionate come volete gestire le nuove versioni degli aggiornamenti precedentemente approvati:
Microsoft rende disponibili per il download versioni corrette di patch rilasciate in precedenza; qui è possibile selezionare se queste versioni devono essere installate automaticamente o se si desidera approvarle manualmente. Si consiglia l’approvazione automatica. - Selezionare dove memorizzare gli aggiornamenti:
Qui si può impostare se il server SUS deve scaricare gli aggiornamenti una volta e memorizzarli localmente o se i client devono accedere direttamente ai server MS. Quest’ultima opzione genererebbe un traffico di dati inutile, in quanto ogni client scaricherebbe direttamente da Microsoft, quindi selezioniamo “Salva gli aggiornamenti in una cartella locale”.
Inoltre, è possibile specificare le versioni linguistiche degli aggiornamenti da scaricare: dato che si presuppone che i sistemi siano tedeschi, è sufficiente selezionare “Tedesco” (in questo modo, ad esempio, il framework .NET viene scaricato in tutte le lingue, indipendentemente da questa impostazione).
Per concludere la configurazione, facciamo clic su “Applica” in basso a destra per salvare le impostazioni effettuate.
Ora che il server è configurato, possiamo iniziare il primo download. Come detto all’inizio, il download è attualmente > 2GB, quindi potrebbe richiedere un po’ di tempo. Per farlo, fare clic su “Sincronizza server”:
Interfaccia amministrativa del server SUS |
“Sincronizza ora” avvia un processo di sincronizzazione immediato con Microsoft, mentre “Pianifica sincronizzazione” ci permette di pianificare la sincronizzazione. Ora impostiamo una pianificazione per quando il nostro server SUS deve scaricare gli aggiornamenti dalla rete. Dal momento che Microsoft organizza il “patch day” una volta al mese, cioè sempre il secondo martedì del mese, selezioniamo “Weekly” e “Wednesday”.
Impostare la pianificazione |
Poiché il nostro server funziona 24 ore su 24 e non vogliamo intasare la nostra connessione Internet scaricando gli aggiornamenti, le 3 del mattino sono un buon orario per questi download. Anche l’impostazione di tre nuovi tentativi in caso di errori di sincronizzazione deve rimanere invariata.
Per sincronizzare il server immediatamente, facciamo clic su “Sincronizza ora” e aspettiamo che il server abbia scaricato tutti gli aggiornamenti.
Sincronizzazione con il server Microsoft |
Dopo che tutti gli aggiornamenti sono stati scaricati, il server SUS visualizza un messaggio corrispondente:
Messaggio di completamento del processo di sincronizzazione |
Facendo clic su OK si accede alla pagina “Approva aggiornamenti”; qui si può decidere quali aggiornamenti sono approvati per l’installazione.
Approvare gli aggiornamenti |
Nel nostro caso, dovremmo prima selezionare tutti gli aggiornamenti disponibili. Vista la massa di aggiornamenti disponibili dopo la prima sincronizzazione, sarebbe inutile fare clic su tutti gli aggiornamenti singolarmente, quindi utilizziamo un piccolo strumento per aiutarci: Autoapproveupdates.vbs
La configurazione dello script è autoesplicativa, lo script viene richiamato tramite la riga di comando (io ho memorizzato lo script nella directory C:SUSAutoApprove):
Approvare tramite script |
Approvare tramite script |
Dopo aver eseguito lo script, la pagina “Approve Updates” del nostro server SUS avrà un aspetto simile a questo:
Aggiornamenti tutti approvati |
Tutti gli aggiornamenti sono stati approvati. Ora dobbiamo assicurarci che anche i client della rete scarichino questi aggiornamenti dal nostro server SUS. Per farlo, utilizziamo la funzionalità dei Criteri di gruppo disponibile sotto forma di modello wuau.adm.
A tal fine, apriamo GPMC e creiamo una nuova GPO con il nome SUSUpdates, che carichiamo nell’editor GPO facendo clic con il pulsante destro del mouse => Modifica.
Modifica GPO |
A questo punto, nell’albero di sinistra, si passa a Configurazione del computer => Modelli amministrativi => Componenti di Windows => Windows Update e si fa doppio clic sulla voce in alto “Configura aggiornamenti automatici”. Le opzioni di configurazione sono spiegate nella scheda “Spiegazione”, quindi la risparmierò qui.
L’impostazione che preferisco è visibile nell’immagine:
Impostazioni dei Criteri di gruppo |
Dopo aver fatto clic su “Applica” e “Prossima impostazione” si arriva al punto di configurazione successivo, in cui viene definito il nome del server SUS da utilizzare. Si noti che SUS funziona sia con il nome NetBIOS che con l’indirizzo IP, ma non con un FQDN.
Impostazioni dei criteri di gruppo |
Il dialogo di configurazione successivo si presenta come segue:
Impostazioni dei criteri di gruppo |
E la quarta e ultima ha questo aspetto:
Impostazioni dei criteri di gruppo |
È importante sapere che la sua disattivazione può comportare la perdita di dati, poiché un utente che ha solo i diritti di “utente” su un computer NON PUÒ interrompere il riavvio automatico.
Terminiamo la configurazione facendo clic su OK e chiudiamo l’editor GPO. Poiché attualmente la delega è predefinita per questa GPO, solo gli utenti, ma non gli amministratori del dominio, adotteranno questo criterio, con il risultato che il server stesso non verrà aggiornato.
Per modificare questa situazione, richiamiamo la finestra di dialogo della delega in GPMC:
Assumi la GPO per l’amministratore di dominio |
Facendo clic su “Avanzate” si ottengono le impostazioni relative a chi si occupa di questa GPO e chi no; in questo caso si seleziona “Assumi il controllo dei criteri di gruppo” per il gruppo “Amministratori di dominio”.
Adotta la GPO per gli amministratori di dominio |
Questo completa la configurazione per l’installazione automatica degli aggiornamenti. Sia i client che il server dovrebbero ora caricare queste nuove impostazioni dopo un riavvio e quindi installare gli aggiornamenti.
Il sito web http://technet.microsoft.com/de-de/windowsserver/bb332157.aspx offre alcuni strumenti interessanti per la gestione e il monitoraggio di un server SUS; tra l’altro, è possibile utilizzare i loro strumenti per tenere traccia di quale client ha caricato e installato quale aggiornamento dal server SUS quando, ecc.
Poiché i requisiti di sistema sono diversi come i desideri degli utenti in merito a ciò che deve essere monitorato, mi asterrò dal presentare tutti gli strumenti in questa sede – ciò andrebbe ben oltre lo scopo di questo articolo.
Infine, due suggerimenti dall’archivio dei suggerimenti di WinTotal.
- Eseguire il backup dei file del server SUS durante una nuova installazione
- Collegate i client al server SUS solo per un breve periodo.