Gestione delle patch con Windows Server Update Services (WSUS)

A metà giugno 2005, Microsoft ha lanciato la versione 6 della sua pagina di aggiornamento, che ora offre non solo gli aggiornamenti di Windows da scaricare, ma anche quelli di un pacchetto Office installato, dei …

Gestione delle patch con Windows Server Update Services (WSUS)

  1. Rivista
  2. »
  3. Articolo
  4. »
  5. Rete
  6. »
  7. Gestione delle patch con Windows Server Update Services (WSUS)

A metà giugno 2005, Microsoft ha lanciato la versione 6 della sua pagina di aggiornamento, che ora offre non solo gli aggiornamenti di Windows da scaricare, ma anche quelli di un pacchetto Office installato, dei server Exchange e SQL, ecc.

In linea con le nuove funzionalità disponibili online, Microsoft ha anche fornito il successore del “Software Update Services (SUS)”: Mentre il SUS (come la vecchia pagina di aggiornamento di Windows in rete) poteva distribuire gli aggiornamenti di Windows solo localmente, il suo successore WSUS (Windows Server Update Services) è incomparabilmente più potente.

Caratteristiche e requisiti

Con i “Windows Server Update Services” (WSUS) è ora possibile distribuire localmente le patch di Office e di altri programmi, i client della LAN possono essere raggruppati in gruppi, ecc. – La gamma di funzioni è cresciuta notevolmente e si possono notare paralleli con il “System Management Server (SMS)”. Solo la distribuzione di software proprio non è possibile con WSUS.

Come per il SUS, solo i sistemi con Windows 2000 SP3 o superiore possono essere aggiornati tramite WSUS; tutti i sistemi più vecchi sono esclusi. Anche il monitoraggio è stato migliorato. WSUS registra meticolosamente in un database quali client hanno caricato e installato quali aggiornamenti, dove si sono verificati problemi, ecc. Se non si dispone di un server SQL, l’installazione WSUS fornisce una versione di MSDE (Microsoft SQL Desktop Engine). La scelta viene fatta durante l’installazione. Per Windows Server 2000, MSDE deve essere scaricato e installato separatamente.

Installazione

Secondo Microsoft, i requisiti di sistema ufficiali per il funzionamento di un WSUS sono un Windows 2000 Server SP3 o superiore o un Windows 2003 Server con Internet Information Server (IIS) installato e ~ 30GB di spazio libero su disco. Inoltre, sono necessari Microsoft .NET Framework 1.1 con SP1, Internet Explorer 6 con SP1 e il servizio di sistema BITS nella versione 2.0 o superiore. In Windows Server 2003 di solito manca solo l’SP1 per .NET Framework.

Per l’articolo, si ipotizza un server Windows 2003 con Service Pack 1 con un dominio Active Directory e GPMC installato, in cui si trovano diversi client Windows XP. Nel nostro caso, WSUS è installato direttamente sul controller di dominio (DC).

Dopo aver scaricato WSUS, è possibile avviare direttamente l’installazione; un doppio clic sull’exe avvia il setup.

alt
Installazione
Fare clic sull’immagine per ingrandirla

Fare clic su “Next” per avviare la procedura di installazione.

alt
Percorso di memorizzazione degli aggiornamenti locali
Fare clic sull’immagine per ingrandirla

Il segno di spunta “Salva gli aggiornamenti localmente” deve essere impostato in modo che il server scarichi effettivamente gli aggiornamenti dalla rete e la distribuzione avvenga localmente. In caso contrario, gli aggiornamenti da installare possono essere gestiti, ma verranno comunque scaricati direttamente da Microsoft, il che comporta un notevole traffico. La directory WSUS sull’unità D serve come posizione di archiviazione: se ci sono diverse partizioni o unità, l’installazione di WSUS seleziona automaticamente la partizione/unità con il maggior spazio di archiviazione libero.

alt
Percorso di archiviazione SQL server
Fare clic sull’immagine per ingrandirla

Poiché non abbiamo a disposizione un server SQL, installiamo il “SQL Server Desktop Module” nella stessa directory di WSUS.
Se avete scaricato e installato MSDE separatamente in Windows Server 2000, inserite “ServerameWSUS” come server di database esistente.

alt
Fare clic sull’immagine per ingrandirla

Si consiglia di utilizzare il sito web standard di IIS, a meno che questo server non fornisca altri servizi web. È il caso, ad esempio, di uno “Small Business Server” che offre i “Servizi Share Point”. Se si utilizza la seconda opzione, bisogna fare attenzione a fare riferimento ovunque alla porta 8530 (anche nelle linee guida del gruppo) e ricordarsi anche di sbloccarla nel firewall, se necessario. La pagina con la porta viene quindi richiamata come segue: http://servername:8530/WSUSAdmin/

Il server WSUS stesso riceve gli aggiornamenti tramite la porta 80 per HTTP e 443 per HTTPS. Queste porte non possono essere modificate. Un elenco dei domini di destinazione del server WSUS (per la configurazione del firewall) è disponibile nel documento passo-passo di Microsoft.

alt
Ereditarietà possibile
Fare clic sull’immagine per ingrandirla

Se nella rete è già presente un WSUS, è possibile far confluire gli aggiornamenti già scaricati nella nuova installazione; nel nostro caso, tuttavia, effettuiamo la sincronizzazione direttamente con Microsoft, quindi questa impostazione rimane inattiva.

alt
Riepilogo
Fare clic sull’immagine per ingrandirla

Dopo aver effettuato tutte le impostazioni, inizia l’installazione vera e propria.

alt
Installazione
Fare clic sull’immagine per ingrandirla
alt
Installazione
Cliccare sull’immagine per ingrandire
alt
Completamento
Fare clic sull’immagine per ingrandirla

Prima di fare clic su “Fine”, è necessario aggiungere il sito web di amministrazione di WSUS alla zona “Intranet locale” (o, in alternativa, disinstallare la “Configurazione di sicurezza avanzata” per Internet Explorer; poiché ciò rappresenta un rischio per la sicurezza, non verrà discusso in questa sede).
A tal fine, apriamo il Pannello di controllo, facciamo doppio clic sulla voce “Opzioni Internet” e passiamo alla scheda “Sicurezza”. Qui selezioniamo “Intranet locale”, facciamo clic su “Siti” e aggiungiamo http://servername (in questo caso http://wsustest) e salviamo con OK.

Interfaccia web di WSUS

Quindi facciamo clic su “Fine” e passiamo alla richiesta di password: per impostazione predefinita, WSUS consente solo agli amministratori di accedere all’interfaccia di amministrazione, quindi ci autentichiamo come amministratori con la password corrispondente.

alt
Accesso
Fare clic sull’immagine per ingrandirla

Dopo l’accesso, viene visualizzata la pagina di amministrazione.

Se durante l’installazione è stata utilizzata una porta diversa per WSUS, è necessario tenerne conto al momento dell’accesso. L’indirizzo corretto è ad esempio: http://servername:8530/WSUSAdmin/, altrimenti http://servername/WSUSAdmin/.

alt
Pagina di benvenuto di WSUS
Fare clic sull’immagine per ingrandirla

Qui selezioniamo innanzitutto “Opzioni” per impostare le opzioni di sincronizzazione per il nostro WSUS.

alt
Opzioni di WSUS
Fare clic sull’immagine per ingrandirla
alt
Sincronizzazione del WSUS
Fare clic sull’immagine per ingrandirla

Per prima cosa, è necessario impostare un orario in cui WSUS si sincronizzerà automaticamente con i server Microsoft. Si consiglia un orario al di fuori del normale orario di lavoro, per non ridurre la larghezza di banda disponibile con il download delle patch.

La voce “Server proxy” deve essere attivata di conseguenza a seconda delle condizioni della rete, mentre l’impostazione “Origine aggiornamenti” ci dà la possibilità di caricare gli aggiornamenti da altri server WSUS già esistenti in loco. Entrambe le impostazioni sono irrilevanti e quindi rimangono disattivate.

Selezione del prodotto
Fare clic sull’immagine per ingrandirla

Successivamente, facciamo clic su “Modifica” sotto “Aggiorna classificazioni” e attiviamo tutte le voci.

alt
Classificazioni
Cliccare sull’immagine per ingrandirla

Dopo aver confermato queste impostazioni con OK, scorriamo fino in fondo alla pagina delle opzioni, facciamo clic su “Avanzate” sotto “Aggiorna file e lingue” e selezioniamo le caselle come mostrato.

alt
Opzioni avanzate
Fare clic sull’immagine per ingrandirla

In linea di principio, sarebbero sufficienti solo gli aggiornamenti in tedesco, ma non fa mai male “includere” le versioni in inglese.
Importante con queste impostazioni: Una sincronizzazione scarica solo l’elenco di tutti gli aggiornamenti disponibili, solo dopo la loro approvazione da parte dell’amministratore avviene il download effettivo dei file. Anche in questo caso, è possibile risparmiare molto traffico evitando di approvare service pack o simili non necessari.
Dopo aver confermato con OK, le impostazioni devono essere salvate: il pulsante corrispondente si trova nell’area superiore sinistra della pagina.

alt
Salva le impostazioni

Dopo aver salvato le impostazioni, è il momento di sincronizzare il server per la prima volta. A tal fine, si passa alla pagina iniziale e si clicca su “Sincronizza ora”. Lo stato della sincronizzazione viene visualizzato nella pagina iniziale.

alt
Stato

Connetti i client

Mentre il server è impegnato nella sincronizzazione, che richiederà un po’ di tempo, possiamo implementare le impostazioni dei criteri di gruppo per i client utilizzando GPMC.

A tal fine, aprire GPMC sul server, creare una nuova GPO denominata WSUS in “Oggetti Criteri di Gruppo” e aprirla con “Modifica”.

Quindi aprire il ramo “Configurazione computer => Modelli amministrativi => Componenti di Windows => Windows Update” e configurare le singole impostazioni facendo doppio clic. Un esempio di configurazione è mostrato nell’immagine. Se non si dispone del criterio, il file wuau.adm deve essere letto tramite “Aggiungi modelli” nel menu contestuale del ramo “Modelli amministrativi”. Questo file si trova nella directory INF di Windows.

alt
Editor GPO
Fare clic sull’immagine per ingrandirla

Nel nostro esempio, i singoli valori hanno il seguente aspetto:

Criterio Impostazione
Configura aggiornamenti automatici Abilitato
Configura aggiornamenti automatici 4 – Download e installazione automatici in base alla pianificazione
Le 2 impostazioni seguenti sono necessarie e si applicano solo quando si seleziona 4.
Giorno di installazione programmata 0 – Giornaliero
Orario di installazione pianificato 11:00
Installa immediatamente gli aggiornamenti automatici Abilitato
Abilita la mappatura del target lato client Abilitato
Nome del gruppo di destinazione per questo computer WSUSTest
Non personalizzare l’opzione predefinita “Installa aggiornamenti e spegni” nella finestra di dialogo “Spegni Windows”. Disabilita
Richiede nuovamente il riavvio per le installazioni pianificate Disabilita
Specificare il percorso interno per il servizio di aggiornamento Microsoft Abilitato
Servizio di aggiornamento interno per rilevare gli aggiornamenti (esempio: http://IntranetUpd01) http://wsustest
Server intranet per le statistiche http://wsustest
Non riavviare automaticamente per le installazioni pianificate Abilitato
Ritarda il riavvio per le installazioni programmate Disabilitato
Consentire ai non amministratori di ricevere notifiche di aggiornamento Disabilitato
Non mostrare l’opzione “Installa aggiornamenti e spegni” nella finestra di dialogo “Spegni Windows”. Disabilita
Controlla la frequenza degli aggiornamenti automatici Disabilitato
Tempo di attesa dopo l’avvio del sistema (minuti): 5 5

“Disabilitato” in questo caso non significa che l’impostazione non viene applicata, ma che viene impostata sui valori predefiniti.

Per “Servizio di aggiornamento interno per determinare gli aggiornamenti” è necessario specificare il WSUS se è stato modificato (http://wsustest:8530).

Poiché in ogni finestra di dialogo delle impostazioni è presente una spiegazione della rispettiva funzione, non mi dilungherò ulteriormente in questa sede.

alt
Descrizione di ogni opzione

Una volta effettuate tutte le impostazioni, chiudiamo la finestra di modifica e colleghiamo questa GPO al dominio trascinandola e rilasciandola.

alt
Collega l’OPG

Le impostazioni sono ora disponibili e possono essere applicate ai client utilizzando gpudate /force.

alt
gpudate /force

Anche i criteri di gruppo verrebbero aggiornati regolarmente, ma la forzatura accorcia i tempi di attesa.

Connettere manualmente i client

La regolazione dei client può essere effettuata anche manualmente tramite il registro di sistema. Le impostazioni si trovano nel registro in HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate. Le chiavi di registro necessarie sono descritte nella Guida all’installazione in lingua inglese a partire da pagina 68.

Gestione dei client in WSUS

Sul “lato computer” del server WSUS, sono ora disponibili tutte le macchine che hanno adottato la GPO di conseguenza, cioè anche il nostro server.

alt
Amministrazione dei client
Fare clic sull’immagine per ingrandirla
alt
Dettagli

Il client non ha ancora creato un rapporto di stato, che può essere forzato inserendo wuauclt.exe /detectnow nella finestra di dialogo Esegui del client.

alt
wuauclt.exe /detectnow

Con questo comando, il client invia un rapporto al server WSUS entro i 5 minuti successivi.

Quando si accede al server per la prima volta, il client di aggiornamento può essere aggiornato automaticamente (da XP con SP1 o W2000 con SP4).

Dopo alcuni minuti, il client è disponibile nel gruppo richiesto.

alt
Dettagli sull’amministrazione del client
Fare clic sull’immagine per ingrandirla

Dopo che il server WSUS è stato completamente sincronizzato, tutti gli aggiornamenti devono essere approvati prima che i client li installino effettivamente. A tal fine, selezionare tutti gli aggiornamenti nella pagina degli aggiornamenti e fare clic su “Applica”.

alt
Vista del filtro

Nella finestra di destra sono ora elencati tutti gli aggiornamenti disponibili; con [CTRL]+[A] è possibile selezionare tutti gli aggiornamenti in una volta sola.

alt
Selezionare gli aggiornamenti
Fare clic sull’immagine per ingrandirla

Fare clic su “Approva per l’installazione” per rilasciare tutti gli aggiornamenti contrassegnati per l’installazione sui client.

alt
Approva per l’installazione

Dopo il rilascio dell’installazione, il client legge l’elenco degli aggiornamenti appena rilasciati la volta successiva che contatta il server e preleva gli aggiornamenti che lo riguardano per installarli.

alt
Gli aggiornamenti vengono approvati
Fare clic sull’immagine per ingrandirla

In base al raggruppamento e al collegamento delle GPO alle diverse UO, i computer possono essere combinati in gruppi che possono sicuramente ricevere gli aggiornamenti più diversi. Ad esempio, si può tranquillamente creare un “gruppo di prova” e testare l’effetto delle patch in modo estensivo prima che le patch vengano rilasciate per gli altri computer dell’ambiente produttivo.

Tramite la pagina “Computer”, è possibile risalire in qualsiasi momento a quale client ha installato gli aggiornamenti o a quale client ha riscontrato problemi. Le approvazioni possono anche essere annullate, ma gli aggiornamenti già installati non vengono disinstallati.

Per non mettere a rischio l’ambiente produttivo, è possibile creare gruppi di prova e testare le patch prima di rilasciarle agli altri computer. Tuttavia, poiché Microsoft rilascia regolarmente nuove patch, è necessario controllare regolarmente lo stato dei computer per verificare quali nuove patch mancano. Nell’esempio seguente, due computer mancano di nuovi aggiornamenti.

alt
Nuovi aggiornamenti per i computer
Fare clic sull’immagine per ingrandirla

Connessione su comando

WSUS è uno strumento potente e rende la gestione delle patch molto più semplice. L’unico aspetto fastidioso è che la connessione a WSUS dipende dai client. È possibile forzare la connessione a WSUS dal lato client con wuauclt.exe /detectnow, ma è necessario inserirlo nuovamente per ogni client. Manca uno strumento centrale dal lato server. Una possibile soluzione è PsExec, che può eseguire programmi sui client. Se si inserisce \* come carattere jolly, il comando e quindi wuauclt.exe /detectnow si applicano all’intero dominio. PsExec fa anche parte del programma gratuito PSTools.

Ulteriori link

  • Download di WSUS tramite l’archivio software WinTotal
  • Pagina di download con gli strumenti per WSUS
  • Istruzioni passo-passo per WSUS da Microsoft come documento Word
  • WSUS.info
  • WSUS.de
  • Pagina iniziale di WSUS su TechNet (DE)
  • Distribuzione dei servizi di aggiornamento di Microsoft Windows Server
  • Distribuzione dei servizi di aggiornamento di Microsoft Windows Server (DOC, inglese)

Articoli correlati