Windows Server 2016 WSUS – Installazione e configurazione

Windows Server Update Services (WSUS) è un ruolo disponibile in Windows Server che consente la gestione centralizzata degli aggiornamenti rilasciati da Microsoft per i propri prodotti software. Il server WSUS può scaricare gli aggiornamenti direttamente da Microsoft Update o da un altro server WSUS (upstream server) e distribuirli ai client secondo policy specifiche impostate dall’amministratore di sistema. In questa maniera i client non hanno più bisogno di collegarsi direttamente a Microsoft Update per scaricare gli aggiornamenti consentendo un notevole risparmio in termini di consumo di banda internet.

Installazione

WSUS fa parte dei ruoli di Windows Server e quindi può essere installato utilizzando Server Manager.

Operazioni Preliminari: premere sul tasto “Avanti” per proseguire.

Tipo di installazione: Selezionare “Installazione basata su ruoli o basata su funzionalità”.

Selezione dei server: lasciare selezionata la voce “Selezionare un server dal pool di server”. Nella tabella “Pool di server”  verificare che il server corretto sia selezionato e premere su “Avanti”.

Ruoli Server: selezionare “Windows Server Update Services” e premere sul tasto “Avanti”.

Per procedere con gli step successivi è necessario installare alcune funzionalità aggiuntive. Premere sul tasto “Aggiungi funzionalità” e successivamente sul tasto “Avanti”.

Funzionalità: premere sul tasto “Avanti” senza selezionare nulla.

WSUS: Proseguire premendo sul tasto “Avanti” dopo aver letto la schermata informativa.

Servizi ruolo: Verificare che “WID Connectivity” e “WSUS Services” siano selezionati per proseguire l’installazione utilizzando il database interno di Windows (WID) per l’archiviazione dei metadati.

Contenuto: Selezionare il percorso da utilizzare per l’archiviazione dei file scaricati.

Ruolo Server Web (IIS): Confermare l’installazione del ruolo IIS.

Servizi ruolo: Lasciare le impostazioni di default e proseguire.

Conferma: premere sul tasto “Installa” per procedere con l’installazione.

Al termine è necessario eseguire alcune attività post installazione.

Prima di iniziare: verificare che i requisiti elencati nella schermata siano soddisfatti.

Programma Analisi utilizzo Microsoft Update: proseguire premendo sul tasto “Avanti”.

Scelta server upstream: In questa schermata è possibile scegliere se il server WSUS deve scaricare gli aggiornamenti direttamente da Microsoft Update oppure da un altro server WSUS.

Specifica server proxy: specificare se il server WSUS necessita di un server proxy per la connessione ad internet.

Avviare la connessione all’upstream server. Potrebbero essere necessari alcuni minuti.

Scelta lingue: selezionare le lingue per le quali si desidera scaricare gli aggiornamenti. La scelta delle lingue, dei prodotti e delle classificazioni determina la quantità di dati che il server WSUS deve scaricare e archiviare, quindi è consigliabile selezionare solamente ciò che si ritiene strettamente necessario.

Scelta Prodotti: Selezionare i sistemi operativi e i prodotti software per i quali si desidera scaricare gli aggiornamenti. E’ possibile trovare una descrizione dei prodotti elencati al seguente link:

http://www.urtech.ca/2016/12/solved-what-do-the-windows-10-product-names-mean-in-wsus/

Scelta classificazioni: Selezionare i tipi di aggiornamenti che si desidera scaricare per i prodotti selezionati nella schermata precedente.

Configurazione pianificazione sincronizzazione: in questa schermata è possibile configurare le modalità con cui il server WSUS deve sincronizzarsi con il server di upstream. E’ consigliabile configurare almeno una sincronizzazione automatica giornaliera.

Operazione completata: al termine del wizard è possibile avviare immediatamente il primo processo di sincronizzazione.

Passaggi successivi: la schermata finale del wizard elenca una serie di operazioni che è possibile eseguire per completare la configurazione del sistema. E’ ora possibile iniziare a gestire il server WSUS utilizzando l’apposita console disponibile tra gli strumenti di amministrazione.

Servizi di Reportistica

Per utilizzare i servizi di reportistica integrati nel server WSUS è necessario installare due ulteriori componenti:

• Microsoft System CLR Types for SQL Server 2012, disponibile all’interno del SQL Server 2012 SP2 Feature Pack (il nome del file necessario è SQLSysClrTypes.msi) disponibile al seguente indirizzo: https://www.microsoft.com/it-it/download/details.aspx?id=43339
• Microsoft Report Viewer 2012 Runtime, disponibile al seguente indirizzo: https://www.microsoft.com/it-it/download/details.aspx?id=35747

In assenza di tali componenti quando si tenta di eseguire un report si ottiene il seguente messaggio di errore:

L’installazione dei due componenti deve essere effettuata rispettando l’ordine con il quale sono stati elencati chiudendo la console di amministrazione di WSUS prima di avviare il setup.

Approvazioni automatiche

Gli aggiornamenti scaricati dal server WSUS devono essere approvati dall’amministratore di sistema prima di venire distribuiti ai computer dell’organizzazione. L’approvazione può essere di tipo manuale oppure possono essere configurate regole di approvazione automatica configurabili utilizzando la console di gestione di WSUS accedendo al menù “Opzioni” e selezionando “Approvazioni automatiche”.

Quando un aggiornamento viene approvato viene scaricato dal server di upstream e archiviato in locale, quindi bisogna considerare che l’attivazione di queste regole può comportare un notevole utilizzo dello spazio di archiviazione (potrebbero essere necessari oltre 200 Gb). E’ anche possibile configurare WSUS perchè non archivi localmente i file degli aggiornamenti effettuando l’installazione direttamente da Microsoft Update (dal menù “Opzioni” selezionare “File degli aggiornamenti e lingue”).

Configurazione client

Al termine della fase di installazione è necessario configurare le macchine dell’infrastruttura perchè si connettano al server WSUS per il download degli aggiornamenti. Il metodo più semplice è l’utilizzo delle Group Policy o delle policy locali nel caso di macchine fuori dal dominio active directory (si può anche procedere modificando alcune chiavi di registry ma questo metodo risulta sicuramente meno pratico).

E’ possibile trovare le policy per la configurazione del WSUS nel percorso “Configurazione computer / Criteri / Modelli amministrativi / Componenti di Windows / Windows Update”.

Tra le policy principali troviamo:

• Configura aggiornamenti automatici, consente di configurare le modalità di download e installazione degli aggiornamenti. E’ possibile valutare se configurare policy differenti per client e server, ad esempio scaricando e installando automaticamente gli aggiornamenti sui client e attivando solamente le notifiche per i server in modo che l’amministratore di sistema possa pianificarne l’installazione.
• Specifica il percorso del servizio di aggiornamento Microsoft nella rete Intranet, dove è necessario indicare l’indirizzo al quale è raggiungibile il server WSUS. La posta di ascolto di default è la 8530.
• Disattiva il riavvio automatico per gli aggiornamenti durante l’orario di attività, se abilitata previene il riavvio del sistema nel caso vengano installati aggiornamento durante l’orario di attività impostato nella policy.
• Escludi riavvio automatico per installazioni pianificate di Aggiornamenti automatici con gli utenti non connessi, se abilitata evita che il sistema venga riavviato automaticamente se un utente è connesso al sistema.

Gruppi di computer

Il server WSUS consente l’archiviazione delle macchine dell’infrastruttura in gruppi di computer (configurati utilizzando la console di amministrazione di WSUS), consentendo una gestione delle approvazioni degli aggiornamenti differenziata in base al gruppo di appartenenza. Di default è presente il gruppo “Computer non assegnati” nel quale vengono inserite le macchine che si connettono al server per la prima volta. Per creare nuovi gruppi selezionare “Tutti i computer” con il tasto destro e selezionare “Aggiungi gruppo di computer”.

L’amministratore può spostare manualmente le nuove macchine da “Computer non assegnati” ai gruppi personalizzati oppure può configurare l’appartenenza ai gruppi in maniera centralizzata utilizzando la policy “Abilita appartenenza gruppo destinazione” (client side targeting).

Se il gruppo specificato nella policy non viene trovato le macchine vengono inserite nel gruppo di default “Computer non assegnati”.

Notifiche

Utilizzando la console di amministrazione di WSUS è possibile configurare l’invio di notifiche via email (dal menù “Opzioni” accedere a “Notifiche per posta elettronica”). L’amministratore di sistema può configurare l’invio di report periodici sullo stato di aggiornamento delle macchine dell’infrastruttura e notifiche sulla sincronizzazione di nuovi aggiornamenti. Ovviamente è necessario configurare opportunamente un server SMTP perchè le notifiche vengano inviate.

Riferimenti:

https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/get-started/windows-server-update-services-wsus

https://msdn.microsoft.com/it-it/library/hh852344(v=ws.11).aspx