In questo post tratterò i passaggi per installare e configurare WSUS (Windows Server Update Services) su Windows Server 2019. Questa guida dovrebbe aiutarti se decidi di installare e configurare WSUS da zero.
In passato ho pubblicato diversi post su WSUS. Ciò include l’installazione di WSUS e la configurazione di WSUS. In aggiunta a ciò ho anche pubblicato un post sulla risoluzione dei problemi WSUS., Da allora ho usato Configuration Manager e non mi sono mai preoccupato di concentrarmi su WSUS.
Pochi giorni fa un mio collega mi ha contattato e mi ha chiesto se posso pubblicare un post sulla configurazione di WSUS su Windows Server 2019. La società in cui lavora utilizza solo WSUS per distribuire gli aggiornamenti ai computer. Quindi era alla ricerca di una guida che lo possa aiutare a configurare e configurare WSUS da zero.
Così ho deciso di pubblicare questa guida che è esclusivamente per gli amministratori che desiderano installare e configurare WSUS per gestire gli aggiornamenti nella loro configurazione., Mi occuperò anche di alcune nozioni di base WSUS che risponde alle domande di base e l’importanza di WSUS.
È passato molto tempo che ho effettivamente configurato qualsiasi cosa in WSUS. Questo perché nel momento in cui inizi a utilizzare SCCM per distribuire gli aggiornamenti, ti dimentichi della console WSUS.
Ho scelto Windows Server 2019 per installare e configurare WSUS. Dopo Server 2012 R2 credo che Server 2019 sia una versione stabile. Odio Windows Server 2016 perché ho speso molto tempo nella risoluzione dei problemi di Windows Update., Per me la lamentela più importante è che gli aggiornamenti non si installano correttamente su Server 2016.
Contenuto
Quali sono gli aggiornamenti di Windows
Iniziamo con alcune nozioni di base. Quando si installa un sistema operativo o un’immagine di una macchina, è sempre assicurarsi che sia patchato con gli ultimi aggiornamenti. Non solo il sistema operativo, ma quasi tutti i software che usiamo deve essere costantemente aggiornato.
Gli aggiornamenti di Windows vengono rilasciati per correggere i bug, risolvere i problemi di sicurezza nel sistema operativo e per aggiungere nuove funzionalità al sistema operativo., Gli aggiornamenti di Windows si basano sul servizio Windows Update che è impostato per l’avvio automatico per impostazione predefinita.
Il servizio Windows Update scarica e installa automaticamente gli aggiornamenti consigliati e importanti.
Microsoft gli aggiornamenti possono essere classificati nelle seguenti categorie :-
- Aggiornamenti Critici
- Aggiornamenti di Sicurezza
- gli Aggiornamenti delle definizioni
- Driver
- il Rollup di Aggiornamento
- Service Pack
- Strumenti
- Feature Pack
- Aggiornamenti
Se è stata eseguita la migrazione da Windows 7 a Windows 10, si noterà un sacco di nuove opzioni in Windows Update., È possibile ottenere alcune opzioni interessanti come mettere in pausa gli aggiornamenti per 7 giorni, modificare le ore attive per l’installazione degli aggiornamenti. In aggiunta a ciò ci sono molte opzioni utili sotto Opzioni avanzate. Quando si ottiene il tempo, andare avanti ed esplorare tutti loro.
Introduzione a Windows Server Update Services
Windows Server Update Services (WSUS) consente agli amministratori di distribuire gli ultimi aggiornamenti del prodotto Microsoft. WSUS è un ruolo server di Windows Server e quando lo si installa, è possibile gestire e distribuire gli aggiornamenti in modo efficiente.,
Uno dei compiti più importanti degli amministratori di sistema è quello di mantenere i computer client e server aggiornati con le ultime patch software e gli aggiornamenti di sicurezza. Senza WSUS sarebbe davvero difficile gestire la distribuzione degli aggiornamenti.
Quando si dispone di un singolo server WSUS nella configurazione, gli aggiornamenti vengono scaricati direttamente da Microsoft Update. Tuttavia, se si installano più server WSUS, è possibile configurare il server WSUS in modo che agisca come sorgente di aggiornamento, noto anche come server upstream.,
Invece di consentire a più computer di scaricare gli aggiornamenti direttamente da Internet, è possibile configurare il server WSUS e indirizzare i client a scaricare tutti gli aggiornamenti da un server WSUS. Con questo si salva la larghezza di banda Internet e anche accelerare il processo di aggiornamento di Windows.
Posso parlare molto di WSUS ma iniziamo con l’installazione di WSUS.
WSUS Lab Setup
Prima di tutto mi permetta di coprire circa WSUS lab setup. Credo che il modo migliore per padroneggiare WSUS sia installarlo e configurarlo prima nella configurazione del test o del laboratorio. È quindi possibile iniziare a lavorare su di esso e provare diverse cose.,
I have created some virtual machines in my lab. Let me give you a list of machines and the OS info.
| Server Name | Operating System | Roles |
| CORPAD.PRAJWAL.LOCAL | Windows Server 2019 Datacenter | Active Directory, DNS, DHCP |
| CORPWSUS.PRAJWAL.,LOCAL | Windows Server 2019 Datacenter | WSUS |
| CORPWIN10ENT.PRAJWAL.LOCAL | Windows 10 Enterprise | None |
| CORPWIN10PRO.PRAJWAL.LOCAL | Windows 10 Pro | None |
And if I had to show my setup in the form of a network diagram, this is how it’s going to look.,
Requisiti di sistema WSUS
Quando hai deciso di implementare WSUS nella tua configurazione, devi prima esaminare i requisiti WSUS. Per pianificare la distribuzione WSUS vi consiglio di leggere questo articolo da Microsoft. Copre tutte le informazioni richieste ai requisiti WSUS, scenari di distribuzione, considerazioni sulle prestazioni, ecc.
Questo post copre la procedura per installare i servizi di aggiornamento di Windows Server utilizzando Windows Internal Database (WID).,
WSUS Firewall Ports/Exceptions
Quando si imposta il server WSUS, è importante che il server si connetta a Microsoft Update per scaricare gli aggiornamenti. Se è presente un firewall aziendale tra WSUS e Internet, potrebbe essere necessario configurare tale firewall per garantire che WSUS possa ottenere aggiornamenti.
Per ottenere aggiornamenti da Microsoft Update, il server WSUS utilizza la porta 443 per il protocollo HTTPS., È necessario consentire l’accesso a Internet da WSUS al seguente elenco di URL:-
Installare il ruolo WSUS su Windows Server 2019
I passaggi per installare il ruolo WSUS (Windows Server Update Services) su Windows Server 2019 includono:-
- Accedere al server Windows 2019 su cui si prevede di installare il ruolo WSUS server utilizzando un account membro del gruppo Amministratori locali.
- In Server Manager, fare clic su Gestisci e fare clic su Aggiungi ruoli e funzionalità.
- Nella pagina Prima di iniziare, fare clic su Avanti.,
- Nella pagina Seleziona tipo di installazione, selezionare l’opzione di installazione basata su ruoli o funzionalità. Fare clic su Avanti.
Nella pagina di selezione del server, verificare il nome del server e fare clic su Avanti.,
Server Roles – Windows Server Update Services
Nella pagina Server roles, selezionare il ruolo “Windows Server Update Services”. Dovresti vedere la casella Aggiungi funzionalità necessarie per i servizi di aggiornamento di Windows Server. Fare clic su Aggiungi funzionalità, quindi su Avanti.,
Nella pagina Seleziona funzioni, lasciare le opzioni predefinite e fare clic su Avanti.
Nella pagina Servizi di aggiornamento di Windows Server, fare clic su Avanti.
WSUS Database Type – Role Services
È necessario selezionare role services / Database type da installare per Windows Server Update services. Selezionare Connettività WID e servizi WSUS. Fare clic su Avanti.,
WSUS Content Location
Specificare una posizione del contenuto per memorizzare gli aggiornamenti. Consiglierei di archiviare gli aggiornamenti su un’altra unità e non sull’unità C:. La dimensione di questa cartella può aumentare alla fine e non si desidera che questa cartella risieda sull’unità C:. Quindi scegliere un’unità separata o memorizzare gli aggiornamenti sul server remoto.
Fare clic su Avanti.,
Nella pagina Web Server Role (IIS), fare clic su Avanti.
I servizi ruolo da installare web server (IIS) vengono selezionati automaticamente. Non cambiare nulla qui e fare clic su Avanti.
Una conferma finale prima di installare WSUS. Rivedere le impostazioni e fare clic su Installa.
Una volta completata l’installazione di WSUS, fare clic su Avvia attività post-installazione.,
Attendi che la configurazione del messaggio sia completata correttamente. Fare clic su Chiudi.
la Configurazione di Windows Server Update Services (WSUS)
Dopo l’installazione di WSUS, è possibile configurare il server WSUS tramite WSUS Server di configurazione guidata., Questa è una configurazione una tantum in cui configurerai alcune importanti opzioni WSUS.
Se non vedi una procedura guidata di configurazione del server WSUS o se l’hai saltata per errore, non preoccuparti. È possibile avviarlo aprendo la console WSUS> Opzioni> WSUS Server Configuration wizard.
Nota-Prima di iniziare a configurare WSUS, alcuni punti importanti.
- Assicurarsi che il firewall del server consenta ai client di accedere al server WSUS. Se i client hanno problemi di connessione al server WSUS, gli aggiornamenti non verranno scaricati dal server.,
- Il WSUS scarica gli aggiornamenti dal server upstream che è Microsoft update nel nostro caso. Quindi assicurati che il firewall consenta al server WSUS di connettersi a Microsoft Update.
- Nel caso in cui sia presente un server proxy nella configurazione, è necessario immettere le credenziali per il server proxy durante la configurazione di WSUS. Li hanno a portata di mano come sono necessari.
Nella pagina Prima di iniziare, fare clic su Avanti.
Fare clic su Avanti.,
Scegliere WSUS Upstream Server
Questa è una sezione importante in cui si seleziona il server upstream. Hai due opzioni.
- Sincronizza da Microsoft Update – Selezionando questa opzione verranno scaricati gli aggiornamenti da Microsoft Update.
- Sincronizza da un altro server Windows Server Update Services-Selezionare questa opzione se si desidera che questo server WSUS scarichi gli aggiornamenti dal server WSUS già esistente. È necessario specificare il nome del server e il numero di porta (8530) per impostazione predefinita., Se si seleziona l’opzione per utilizzare SSL durante la sincronizzazione degli aggiornamenti, assicurarsi che anche il server WSUS upstream sia configurato per supportare SSL.
Poiché questo sarà il mio unico server WSUS, selezionerò Sincronizza da Microsoft Update. Fare clic su Avanti.
Proxy Server
Specificare le informazioni del server proxy se ne avete uno. Se questa opzione è selezionata, assicurarsi di specificare il nome del server proxy e il numero di porta., In aggiunta a ciò specificare le credenziali per la connessione al server proxy. Se si desidera abilitare l’autenticazione di base per l’utente che si connette al server proxy, fare clic su Consenti autenticazione di base (password in chiaro).
Fare clic su Avanti.
Nella pagina Connetti al server Upstream, fare clic sul pulsante Avvia connessione.
Una volta completato, fare clic su Avanti.,
Scegli lingue per gli aggiornamenti
Nella pagina Scegli lingue, hai la possibilità di selezionare le lingue dagli aggiornamenti. Se scegli di scaricare gli aggiornamenti in tutte le lingue, troverai gli aggiornamenti con tutte le lingue nella console WSUS.
Tuttavia, se si sceglie di ottenere aggiornamenti solo per lingue specifiche, selezionare Scarica aggiornamenti solo in queste lingue. Selezionare le lingue per le quali si desidera aggiornare.
Fare clic su Avanti.,
Scegli Prodotti
Questa è la pagina in cui si selezionano i prodotti per i quali si desidera effettuare gli aggiornamenti. Un prodotto è un’edizione specifica di un sistema operativo o di un’applicazione.
Dall’elenco dei prodotti è possibile selezionare singoli prodotti o famiglie di prodotti per i quali si desidera che il server sincronizzi gli aggiornamenti. In questo caso selezionerò Windows Server 2019 e Windows 10 1903 come prodotti.
Fare clic su Avanti.,
Scegliere Classificazioni di Aggiornamento
all’inizio del post ho elencato i tipi di aggiornamenti. Nella pagina Scegli classificazioni, selezionare le classificazioni richieste. Ho selezionato Aggiornamenti critici, aggiornamenti di sicurezza e rollup di aggiornamento.
Fare clic su Avanti.,
Configura il programma di sincronizzazione WSUS
Devi decidere come eseguire la sincronizzazione WSUS. La pagina Imposta pianificazione sincronizzazione consente di selezionare se eseguire la sincronizzazione manualmente o automaticamente.
Se si sceglie Sincronizza manualmente, è necessario avviare manualmente il processo di sincronizzazione dalla console di amministrazione WSUS. Con questa opzione selezionata, è necessario eseguire manualmente la sincronizzazione ogni volta., Pertanto, non selezionare questa opzione se si sta configurando il WSUS in produzione.
Se si sceglie Sincronizza automaticamente, il server WSUS si sincronizzerà a intervalli prestabiliti. È possibile impostare l’ora della prima sincronizzazione. Quindi impostare il numero di sincronizzazioni al giorno. Dal menu a discesa è possibile scegliere il valore tra 1-24.
Fare clic su Avanti.
Fare clic su Inizia sincronizzazione iniziale. Fare clic su Avanti.,
Infine, nell’ultima pagina, fare clic su Fine. Questo completa i passaggi per configurare WSUS.
Configura le impostazioni dei criteri di gruppo per WSUS
Dopo aver installato e configurato WSUS, il prossimo compito importante è configurare le impostazioni dei criteri di gruppo per gli aggiornamenti automatici. I nuovi client non conoscono ancora il nuovo server WSUS che hai appena configurato., Utilizzando criteri di gruppo è possibile puntare le macchine client al nuovo server WSUS.
In un ambiente active directory, è possibile utilizzare Criteri di gruppo specificare il server WSUS. Le impostazioni dei criteri di gruppo verranno utilizzate per ottenere aggiornamenti automatici da Windows Server Update Services (WSUS).
È possibile creare i criteri di gruppo e applicarli a livello di dominio. Oppure puoi creare e applicare il GPO a una OU specifica (contenente i tuoi computer).
Mentre ci sono molte impostazioni dei criteri di Windows Update, ho intenzione di configurarne alcune., Per un elenco di tutte le impostazioni dei criteri di Windows Update, leggere questo articolo di Microsoft.
Configura aggiornamenti automatici WSUS
Per configurare le impostazioni dei criteri di gruppo degli aggiornamenti automatici per WSUS
- Aprire la console di gestione dei criteri di gruppo e aprire un GPO esistente o crearne uno nuovo.
- Passare alla Configurazione del Computer > Politiche > Modelli Amministrativi > Componenti di Windows > Windows Update.
- Fare doppio clic su Configura aggiornamenti automatici e impostarlo su Abilitato.,
In Configura aggiornamento automatico, selezionare l’opzione desiderata. In Pianifica giorno di installazione, selezionare il giorno in cui si desidera installare gli aggiornamenti. Imposta il tempo di installazione pianificato.
nel caso In cui si seleziona download e pianifica l’installazione degli aggiornamenti, si ottiene alcune opzioni per limitare la frequenza di aggiornamento. Se sono state configurate le impostazioni, fare clic su Applica e OK.,
Specificare Intranet Servizio Microsoft Update Posizione
La nuova impostazione che si deve configurare specificare una rete intranet servizio Microsoft update posizione. L’idea alla base di questo è quello di garantire che i computer client contattare il server intranet specificato invece di scaricare gli aggiornamenti da Internet. A meno che non si configuri questa impostazione dei criteri, i computer client non saprebbero del server intranet.
Per abilitare il criterio, fare clic su Abilitato., Specificare il servizio di aggiornamento intranet e il server statistiche intranet. Fare clic su Applica e OK.
Sul computer client, controllare il set di criteri risultante per confermare se viene applicato il GPO WSUS.
È anche possibile verificare la posizione del servizio di aggiornamento intranet sui computer client utilizzando registry. Nel computer client, apri Editor del Registro di sistema e vai a HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate.,
Controllare i valori di WUServer e WUStatusServer e confermare se i valori corrispondono a quello fornito in WSUS GPO.
Configura gruppi di computer WSUS
Con la creazione di gruppi di computer è possibile prima testare e indirizzare gli aggiornamenti a computer specifici. Quando apri WSUS console, troverai due gruppi di computer predefiniti: Tutti i computer e i computer non assegnati.,
È possibile creare gruppi di computer personalizzati per gestire gli aggiornamenti nell’organizzazione. Come da Microsoft è necessario creare almeno un gruppo di computer nella console WSUS. Verifica gli aggiornamenti prima di distribuirli su altri computer dell’organizzazione.
Per creare un nuovo gruppo di computer nella console WSUS
Nella console di amministrazione WSUS, in Servizi di aggiornamento, espandere il server WSUS. Espandere computer, fare clic con il pulsante destro del mouse su Tutti i computer, quindi fare clic su Aggiungi gruppo computer.
Nella finestra di dialogo Aggiungi gruppo computer, specificare il nome del nuovo gruppo, quindi fare clic su Aggiungi.,
Fai clic su Tutti i computer per visualizzare l’elenco dei computer. Selezionare i computer, fare clic destro e fare clic su Modifica appartenenza.
Nella casella Imposta appartenenza al gruppo computer, seleziona il nuovo gruppo appena creato. Fare clic su OK.,
Fai clic sul nuovo gruppo e dovresti trovare quei computer.
Approvare e distribuire gli aggiornamenti in WSUS
Una volta creato un gruppo di computer di prova, la prossima attività per distribuire gli aggiornamenti al gruppo di prova. Per fare ciò è necessario prima approvare e distribuire gli aggiornamenti WSUS.
Per approvare gli aggiornamenti in WSUS
- Avviare la console di amministrazione WSUS, fare clic su Aggiornamenti> Tutti gli aggiornamenti.,
- Nella sezione Tutti gli aggiornamenti, selezionare gli aggiornamenti che si desidera approvare per l’installazione nel gruppo di computer di prova.
- Fare clic con il pulsante destro del mouse sugli aggiornamenti e fare clic su Approva.
Soprattutto nella finestra di dialogo Approva aggiornamenti, selezionare il gruppo di test, quindi fare clic sulla freccia giù. Fare clic su Approvato per l’installazione. Si imposta anche una scadenza per installare gli aggiornamenti. Fare clic su OK.
Viene visualizzata la finestra Avanzamento approvazione, che mostra lo stato di avanzamento delle attività che influiscono sull’approvazione dell’aggiornamento., Al termine del processo di approvazione, fare clic su Chiudi.
Configurare le regole di approvazione automatica in WSUS
Se non si desidera approvare manualmente gli aggiornamenti, è possibile configurare la regola di approvazione automatica nei servizi di aggiornamento di Windows Server.
Per configurare le approvazioni automatiche in WSUS
- Avviare WSUS Administration Console, espandere il server WSUS, quindi fare clic su Opzioni.
- In Opzioni, fare clic su Approvazioni automatiche.
- Dovresti trovare la regola di approvazione automatica predefinita e se lo desideri puoi modificarla e usarla.,
- Per creare una nuova regola di approvazione, fare clic su Nuova regola.
Seleziona la casella Quando un aggiornamento si trova in una classificazione specifica. Selezionare le classificazioni. È inoltre possibile approvare l’aggiornamento per i gruppi di computer. Ho intenzione di selezionare Windows 10 in quanto questo è il mio gruppo di computer di prova. Infine è possibile impostare una scadenza per l’approvazione dell’aggiornamento e specificare il nome della regola di approvazione automatica.
Dopo aver configurato la regola, fare clic su OK.
Nella finestra Approvazioni automatiche, è possibile trovare la regola appena creata., Se si desidera eseguire questa regola, fare clic su Esegui regola.
Rapporti WSUS
L’ultima sezione che voglio coprire sono i rapporti WSUS. Facendo clic su Report nella console WSUS viene visualizzato l’elenco dei report. WSUS viene fornito con diversi rapporti per aiutarti a trovare lo stato di distribuzione degli aggiornamenti, i rapporti di sincronizzazione e i rapporti sui computer.
- Update Reports – Include il riepilogo dello stato degli aggiornamenti, lo stato dettagliato e tabulare, lo stato tabulare per gli aggiornamenti approvati.,
- Computer Reports-Riepilogo dello stato del computer, lo stato dettagliato, lo stato tabulare e lo stato tabulare del computer per gli aggiornamenti approvati.
- Rapporti di sincronizzazione-Mostra i risultati dell’ultima sincronizzazione.