- WSUS consente di controllare e distribuire gli aggiornamenti a Windows da un singolo server
- La sua implementazione richiede una corretta installazione del ruolo, la configurazione del firewall e dei client
- Utilizzando gli oggetti Criteri di gruppo è possibile automatizzare il processo di aggiornamento su tutti i computer del dominio.
- L'utilizzo di SSL e certificati migliora la sicurezza delle connessioni WSUS
Configurare correttamente WSUS (Windows Server Update Services) È fondamentale per mantenere un ambiente di lavoro sicuro ed efficiente nelle aziende che utilizzano sistemi Windows. Questo servizio centralizza la gestione della sicurezza del sistema operativo e degli aggiornamenti funzionali, riducendo il traffico di rete e migliorando il controllo dell'amministratore sulla flotta di dispositivi.
In questa guida completa esamineremo tutti i passaggi che devi seguire. per installare e configurare WSUS da zero. Tratteremo tutti gli argomenti, dalla preparazione del server alle impostazioni GPO che i computer client dovrebbero avere, comprese le impostazioni di rete, le porte, l'utilizzo del proxy e l'implementazione dei certificati SSL per migliorare la sicurezza.
Installazione del ruolo WSUS sul server
Il primo passo per iniziare a usare WSUS è Installa il ruolo corrispondente sul server che utilizzerai come centro di aggiornamento. Questo server deve essere aggiornato, con i ruoli di rete configurati correttamente e, preferibilmente, far parte del dominio Active Directory.
Dalla amministratore del server, accedi all'opzione Aggiungi ruoli e funzionalità. Nella procedura guidata che si apre, seleziona Installazione basata su ruoli o funzionalità e scegli il server di destinazione corrispondente. Quindi, seleziona la casella Windows Server Update Services.
La procedura guidata ti chiederà anche di aggiungere alcune funzionalità necessarie. Conferma i suggerimenti predefiniti. Nel passaggio di Posizione del contenuto, è necessario specificare un percorso locale in cui WSUS memorizzerà gli aggiornamenti scaricati. Si consiglia di salvare questa cartella su un'unità con sufficiente spazio libero (minimo 40 GB, preferibilmente più di 150 GB se si gestiscono più computer). Inoltre, è importante assicurarsi che gli aggiornamenti siano installati in modo efficace per evitare problemi, che puoi controllare su questo link.
Successivamente, verrà eseguita l'installazione di IIS (Internet Information Services), necessario per il funzionamento dell'ambiente web WSUS. Non modificarne le impostazioni a meno che tu non abbia una build personalizzata. Infine, rivedere le selezioni, premere installare e attendi che il processo finisca.
Una volta completata l'installazione, eseguire il compiti successivi dalla finestra di avanzamento. In questo modo si prepara l'ambiente per avviare la configurazione iniziale dalla console di gestione WSUS.
Configurazione iniziale di WSUS
Dopo aver installato il ruolo, il passaggio successivo consiste nell'aprire la procedura guidata di configurazione iniziale di WSUS. Questa procedura guidata aiuta l'amministratore a definire da dove verranno recuperati gli aggiornamenti, quali lingue, prodotti e classificazioni scaricare e come verrà eseguita la sincronizzazione.
Quando lo inizi, rivedi l'introduzione e, se lo desideri, scegli di partecipare al Programma di miglioramento degli aggiornamenti Microsoft. Successivamente dovrai scegliere tra sincronizzazione da Microsoft Update o da un altro server WSUS. Questa seconda opzione è utile in ambienti di grandi dimensioni con più sedi e server intermedi.
Se la rete aziendale utilizza un proxy per accedere a Internet, la configurazione di tale opzione è obbligatoria. Specificare l'host e la porta del proxy (80 predefinita) e immettere le credenziali, se necessario. WSUS supporta sia l'autenticazione di base sia l'autenticazione integrata di Windows.
Dopo esserti connesso alla fonte di aggiornamento, scegli lingue che vuoi includere. Ridurre il numero di lingue consente di risparmiare spazio e di velocizzare la sincronizzazione. Quindi seleziona il produrre di Microsoft che vuoi tenere aggiornato: potrebbe trattarsi di Windows 10, Windows Server 2019, Office, ecc.
Nel passaggio successivo, contrassegnare il aggiornare le classificazioni che WSUS dovrà gestire. In genere vengono selezionati aggiornamenti critici, definizioni di sicurezza e miglioramenti software. Se riscontri problemi con il processo di aggiornamento, controlla le possibili soluzioni su questa guida.
Infine, puoi scegliere se effettuare la sincronizzazione manualmente o automaticamente. Se si decide di automatizzare, è necessario definire quante volte al giorno e a che ora verranno eseguite le sincronizzazioni. È possibile effettuare fino a 24 sincronizzazioni al giorno.
Alla fine puoi avvia la sincronizzazione iniziale direttamente dalla procedura guidata. Questo passaggio scaricherà i metadati iniziali e preparerà il server per il funzionamento.
Configurazione di rete, porte e accesso esterno
Affinché WSUS funzioni correttamente sia con i server di aggiornamento che con i computer client, è fondamentale aprire le porte necessarie nei vari firewall e router che possono coesistere tra i dispositivi.
Per connettersi a Microsoft Update, il server WSUS necessita di porte in uscita 80 (HTTP) y 443 (HTTP). Se la tua organizzazione utilizza regole in uscita rigorose, assicurati di consentire l'accesso a domini come:
- windowsupdate.microsoft.com
- *.update.microsoft.com
- scarica.microsoft.com
- *.delivery.mp.microsoft.com
Se si dispone di più server WSUS e si sta configurando una catena gerarchica, I server secondari devono essere in grado di accedere al server primario attraverso i porti 8530 (HTTP) y 8531 (HTTP).
Anche i computer client necessitano di comunicare con il server WSUS attraverso queste stesse porte. Assicurarsi che il firewall del server consenta le connessioni in entrata e che non vi siano restrizioni a livello di rete locale. A volte gli utenti potrebbero riscontrare problemi di connessione che potrebbero essere correlati alle impostazioni di aggiornamento, quindi è consigliabile controllare questo articolo.
Se l'azienda utilizza un server proxy in uscita, questo deve supportare HTTP e HTTPS e disporre delle autorizzazioni appropriate per gestire il traffico WSUS. È possibile utilizzare un singolo proxy oppure due proxy separati per protocollo.
Implementare la sicurezza con certificati e SSL
WSUS consente di proteggere le comunicazioni tramite il protocollo SSL (HTTPS), che crittografa il traffico per prevenire attacchi e fughe di informazioni. Per abilitarlo, è necessario emettere un certificato valido da una CA (Autorità di Certificazione) interna o esterna.
Una volta ottenuto il certificato, è necessario configurarlo nel servizio Web IIS del server WSUS. Per garantire la compatibilità, assicurati di abilitare HTTPS solo sulle cartelle virtuali necessarie:
- SimpleAuthWebService
- DSSAuthWebService
- ServerSyncWebService
- APIremoting30
- Servizio Web client
Le cartelle contenenti contenuti scaricabili (ad esempio aggiornamenti o report) non richiedono SSL. È inoltre essenziale impostare il numero di porta HTTPS su 8531 e il numero di porta HTTP su 8530, oppure utilizzare coppie di porte adiacenti se si sceglie di personalizzarle.
Dopo aver applicato le modifiche in IIS, aprire il simbolo del sistema come amministratore ed eseguire il comando:
wsusutil configuressl NOMBRE_SERVIDOR
Questo passaggio completa la configurazione sicura del server WSUS. Ricordarsi di importare il certificato anche su tutti i computer client come autorità radice attendibile per evitare errori di attendibilità SSL.
Creazione e gestione di gruppi di computer WSUS
WSUS consente di classificare i dispositivi client in gruppi personalizzati per poter controllare che tipo di aggiornamenti riceve ogni set di macchine. Per impostazione predefinita, ci sono due gruppi: Tutte le squadre y Squadre non assegnate.
Dalla console WSUS è possibile creare nuovi gruppi (ad esempio, "Server", "Ufficio A", ecc.) e assegnare ciascun computer in base a criteri organizzativi. Questa segmentazione è utile per approvare gli aggiornamenti graduali ed evitare possibili errori nelle implementazioni di massa. Inoltre, se hai bisogno di risolvere i blocchi dell'aggiornamento, controlla questa guida.
Inoltre, puoi scegliere di farlo due metodi di allocazione:
- Lato server: manualmente dalla console WSUS.
- Lato cliente: utilizzando criteri di gruppo che, una volta applicati, inseriscono automaticamente ogni computer nel gruppo corrispondente.
Configurare i client per ricevere gli aggiornamenti da WSUS
Per impostazione predefinita, i computer Windows scaricano gli aggiornamenti da Internet, utilizzando il servizio Windows Update. Per reindirizzare le tue richieste al server WSUS, dobbiamo configurare i GPO appropriati.
Se si dispone di un ambiente Active Directory, questa attività è molto semplice. Basta creare un nuovo GPO (si consiglia di dedicarlo a WSUS) e modificarlo dall'Editor criteri. Vai a:
Configuración del equipo > Plantillas administrativas > Componentes de Windows > Windows Update
All'interno di tale percorso, attivare le seguenti policy:
- Configura gli aggiornamenti automatici: Abilita il download e l'installazione in base all'opzione desiderata (ad esempio, automatico all'ora programmata).
- Specificare la posizione del servizio Microsoft Update nell'intranet: Inserisci l'URL o l'IP del server WSUS, aggiungendo la porta 8530 se utilizzi HTTP oppure 8531 se utilizzi HTTPS.
- Abilita destinatari lato client: chiede il nome del gruppo WSUS a cui appartiene il computer (deve corrispondere esattamente al nome configurato nella console WSUS).
Applicare il GPO all'OU corrispondente. Utilizzare il comando gpupdate /force per applicare immediatamente le modifiche o riavviare i computer client. Poi, corri wuauclt /detectnow per forzare il rilevamento degli aggiornamenti.
Controllo dello stato e gestione degli aggiornamenti
Dopo circa 20-30 minuti, i computer client inizieranno ad apparire nella console WSUS. Quelli correttamente configurati visualizzeranno il loro nome, sistema operativo, gruppo e stato di aggiornamento.
Da qui puoi approvare o negare manualmente gli aggiornamenti, visualizzare statistiche di conformità, esportare report o impostare notifiche e-mail. A volte possono sorgere problemi di configurazione, quindi è consigliabile rivedere gli aspetti in questo link.
È una buona idea stabilire una politica interna in base alla quale determinate macchine (ad esempio server di prova o PC pilota) ricevano gli aggiornamenti prima delle altre, consentendo di rilevare incompatibilità o errori prima della distribuzione su larga scala.
Distribuire e configurare WSUS non è eccessivamente complicato, ma richiede un'estrema attenzione a ogni dettaglio: dall'installazione, alla configurazione del proxy, alla sincronizzazione di lingua e prodotto, ai passaggi di sicurezza con certificati SSL, fino all'implementazione efficace dei criteri di gruppo. Se tutto viene eseguito correttamente, WSUS fornirà un ambiente molto più controllato, sicuro ed efficiente per quanto riguarda gli aggiornamenti.
Scrittore appassionato del mondo dei byte e della tecnologia in generale. Adoro condividere le mie conoscenze attraverso la scrittura, ed è quello che farò in questo blog, mostrarti tutte le cose più interessanti su gadget, software, hardware, tendenze tecnologiche e altro ancora. Il mio obiettivo è aiutarti a navigare nel mondo digitale in modo semplice e divertente.