La gestione dei client, specie in un'azienda, è una cosa non sempre molto piacevole e lo si sa. Patch, Fix, Service Pack, Driver nuovi, Firme aggiornate.....ogni giorno ce n'è sempre una nuova! Il concetto di gestione centralizzata è sicuramente una pratica molto utile, specie quando si hanno davanti molti computer.

Nei precedenti post, abbiamo visto come gestire, tramite GPO, i giochi o come settare l'orario uguale per tutti i client; oggi vedremo come gestire le patch e tutti gli aggiornamenti rilasciati da Microsoft sui client della vostra rete.

WSUS, Windows Server Update Services, è l'evoluzione di SUS; attualmente è disponibile WSUS SP1, in attesa di vedere la versione 3.0 attesa forse per la fine dell'anno.

WSUS permette di gestire molte più cose rispetto a SUS, infatti oltre agli aggiornamenti di Windows, possiamo gestire gli aggiornamenti di:

Office - Exchange - ISA - SQL - Windows Defender - IE7 - ed altri applicativi

NB: la SP1 integra anche il supporto per Windows Vista, Exchange 2007 e molti altri software

Ma vediamo all'atto pratico come si installa e come si configura WSUS, su un pc.

NB: in questo articolo viene proposta una configurazione standard di WSUS tramite GPO. Alla fine dell'articolo, potrete trovare i link per ampliare le vostre conoscenza sul programma.

Strumenti:

Windows 2003 R2
GPMC
WSUS SP1

Installazione:

Scaricate il file di installazione dal sito: http://download.microsoft.com/download/f/6/d/f6d9eb30-2612-47f7-b14a-41a47e8a9a8e/WSUS2-KB919004-x86.exe

Ricordate che prima di installare WSUS, dovete aver installato BITS 2.0 e MSDE; a dire il vero potresti installare anche SQL 2000/2005, ma noi andremo a vedere l'installazione con MSDE.

MSDE lo potete scaricare a questo link: http://www.microsoft.com/downloads/details.aspx?FamilyID=413744D1-A0BC-479F-BAFA-E4B278EB9147&displaylang=en

Una volta che i prerequisiti sono stati superati, installate WSUS scegliendo dove volerlo installare (di default il path è c:\wsus)

al termine dell'installazione, anche se non serve, effettuate un riavvio del computer.

Questa è la schermata di come si presenta WSUS la prima volta



Rapidamente vi spiego alcune voci della Home Page:

Aggiornamenti: mostra tutti gli aggiornamenti rilevati da WSUS, in base alla configurazione, e i relativi esiti (rifiutati, approvati, non approvati), il numero di aggiornamenti ancora da installare e gli eventuali aggiornamenti che hanno generato errore.

Computer: comprende tutti i computer registrati dentro WSUS, indicando quanti computer devono essere ancora aggiornati e quali hanno generato un'errore in fase di installazione.

Stato Sincronizzazione: indica il tipo di sincronizzazione selezionata, l'ora di verifica aggiornamenti e l'esito dell'ultima sincronizzazione.

Stato dei Download: mostra quanti aggiornamenti devono essere scaricati e quanti mega mancano per il completamento (questa operazione avviene solo quando approvate l'installazione di un aggiornamento)

Configurazione Impostazioni ed Aggiornamenti:

Come prima operazione, andiamo a settare quelli che sono gli aggiornamenti che vogliamo fare e l'ora di sincronizzazione con il server Microsoft. Clicchiamo sulla voce Opzioni e successivamente Opzioni di Sincronizzazione....



Pianificazione: serve per gestire la sincronizzazione con il server MS in due modalità: automatica o manuale, consigliato l'automatico; questa operazione consiste nello scaricare tutti i riferimenti dei nuovi aggiornamenti disponibili, in base ai prodotti che avete scelto. Da notare che questa operazione non scarica gli aggiornamenti, ma solo i metadata necessari per l'eventuale download.

Prodotti e classificazioni: in questa sezione, andiamo a scegliere quali prodotti ci interessa aggiornare (windows, exchange, etc) e quali tipi di aggiornamenti ci interessa scaricare per questi prodotti (aggiornamenti critici, service pack, aggiornamento definizioni, etc)

Server Proxy: quest'impostazione serve nel caso non abbiate connesso il server direttamente ad Internet. Impostate IP ed eventuali credenziali di accesso al proxy

Origine Aggiornamenti: di default gli aggiornamenti vengono effettuati dal sito di Microsoft Update ma nel caso abbiate più server WSUS, potete sincronizzare uno o più server figlio con un padre....

Lingue: serve per impostare in quali lingue volete scaricare gli aggiornamenti

Bene...abbiamo visto come settare WSUS, adesso però vediamo come configurare gli aggiornamenti che vengono pubblicati da MS; per fare questo, andiamo su Opzioni - Opzioni di Approvazione Automatica
 


Approvazione per il rilevamento: da qui andiamo a settare se far rilevare in automatico al sistema gli aggiornamenti disponibili....ricordo sempre che in questa fase, gli aggiornamenti non vengono scaricati ma solo resi pronti per il download. Si possono selezionare, quali classificazioni andare ad approvare automaticamente e per quale categorie di computer, fare il rilevamento automatico.

Approvazione per l'installazione: questa funzione, invece, serve per approvare l'installazione automatica; cosa significa? che se arriva un aggiornamento, automaticamente lo scarica e lo rende pronto ai client. La funzione può essere molto utile in caso di una gestione padre-figlio, dove un server padre fa già la selezione degli update da installare ed il figlio prende solo gli aggiornamenti utili e li rende disponibili. Personalmente preferisco sempre selezionare quali update andare ad installare, anche perchè potrei creare un'ambiente di test, dove provare prima di aggiornare le macchine di produzione.

Revisione degli aggiornamenti: imposta se usare l'ultimo aggiornamento che esce o meno.

Aggiornamenti automatici di WSUS: in caso di aggiornamenti nuovi (non Service Pack) di WSUS, il sistema provvederà ad installarli automaticamente.

Molto bene....passiamo adesso alla creazione di un gruppo di lavoro per i client.

Configurazione Gruppi Computer:

In un ambiente gestito dalla GPO è necessario creare uno o più gruppi computer per gestire gli aggiornamenti in maniera corretta. Per creare un gruppo computer, cliccate su Computer....vi apparirà questa schermata



Cliccando su Crea gruppo di Computer, si aprirà una finestra dove andrete ad inserire il nome del gruppo (es. CLIENT). Poi andremo a vedere come configurare i client per collegarli a questo gruppo.

A questo abbiamo impostato WSUS, abbiamo creato il gruppo computer, non ci resta che fare 2 cose molto semplici: creare la gpo e approvare gli aggiornamenti per l'installazione

Creazione GPO:

Apriamo GPMC (Group Policy Management Console) e creiamo una nuova policy che chiameremo WSUS Update. Vi ricordo che trattandosi di una policy legata al computer, va creata nella OU relativa ai vostri client.

Apriamo la policy e andiamo nel seguente percorso: Computer Settings -> Administrative Templates -> Windows Components -> Windows Update

Queste sono le voci da configurare:

Configure Automatic Updates: Enabled - 4 - Auto download and schedule the install
Scheduled install day: 0 - Every day
Scheduled install time: 13:00
Allow Automatic Updates immediate installation: Enabled
Do not adjust default option to 'Install Updates and Shut Down' in Shut Down Windows dialog box: Enabled
Do not display 'Install Updates and Shut Down' option in Shut Down Windows dialog box: Enabled
Target group name for this computer: CLIENT - o il nome che abbiamo dato al gruppo computer
No auto-restart for scheduled Automatic Updates installations: Disabled
Specify intranet Microsoft update service location: Enabled
Set the intranet update service for detecting updates: http://serverwsus:8530
Set the intranet statistics server: http://serverwsus:8530

Cosa fanno tutte queste impostazioni? In pratica, impostano che i client rilevano automaticamente gli aggiornamenti disponibili dal server WSUS ed alle ore 13 li installano; l'operazione viene fatta ogni giorno. Inoltre vengono inibite le voci "Installa aggiornamenti e chiudi sessione", in fase di spegnimento computer, questa operazione può presentarsi quando gli aggiornamenti non si installano automaticamente. Ultima cosa, non viene permesso all'utente di bloccare il riavvio del computer al termine dell'installazione degli aggiornamenti.

NB: alcune di queste impostazioni, saltano quando l'utente è Administrator del pc....come per esempio la possibilità di installare gli aggiornamenti prima dell'ora indicata e di non effettuare il riavvio.
 
Fantastico! Ci rimane solo l'approvazione degli aggiornamenti su WSUS e la prova della nostra piattaforma.....

Approvazione Aggiornamenti:



Andiamo sulla voce Aggiornamenti, in automatico il programma ci propone gli ultimi aggiornamenti critici disponibili; ritengo molto più comdo configurare un filtro personalizzato per ricercare tutti i prodotti e le classificazioni a noi utili. Per fare questo è sufficiente andare sul combobox Prodotti e Classificazione e selezionare Personalizza (ricordate che potete salvare il filtro per le prossime volte), lasciate come Tipo di Aprovazione Solo Rilevamento ed impostate la fascia di tempo dove fare la ricerca....ovvio che se state installando WSUS adesso per la prima volta, dovrete impostare la Dta di Sncronizzazione su Qualsiasi....cliccando su Applica, verrà caricata la lista degli aggiornamenti in base al filtro da voi impostato.

Andiamo ad approvare un aggiornamento per l'installazione. Clicchiamo su un'aggiornamento a nostra scelta e selezioniamo Cambia Approvazione nel riquadro Attività, si aprirà una finestra che chiede su quali gruppi computer andare ad installare questo aggiornamento; la voce Tutti i Computer, raggruppa tutti gli eventuali gruppi che avere creato. Come approvazione, selezionate Installazione

A questo punto il server WSUS, si collegherà con il suo server padre (in questo caso Microsoft Update) e scaricherà l'aggiornamento selezionato; potete visionare lo stato di download, tornando nella Home Page del sito

Nel caso vogliate rifiutare un aggiornamento, il procedimento è simile: ovvero selezionate l'aggiornamento desiderato e cliccate su Rifiuta Aggiornamento nel riquadro Attività.
 
Ovviamente è consentita la selezione multipla degli aggiornamenti, altrimenti sai che noia stare ad approvare ogni singolo aggiornamento?
 
Spiegazione Icone:
 
Rapidamente vediamo di spiegare le icone che sono presenti nella lista aggiornamenti di WSUS.
 
 - L'aggiornamento è stato scaricato e presente sul server
 - L'aggiornamento è stato rifiutato
 - L'aggiornamento è stato sostituito con uno più recente
 - L'aggiornamento è scaduto e quindi non utilizzabile
 - L'aggiornamento è relativo a WSUS
 - L'aggiornamento ha fallito il download
 - Il download dell'aggiornamento è stato interrotto
 - L'aggiornamento è in fase di download

Solitamente la registrazione di un client/server nel gruppo computer di WSUS, richiede qualche ora....a volte anche 1 giorno, quindi non vi arrabbiate se non trovate subito i vostri client.

Andando nella sezione Computer, potete visualizzare tutti i computer registrati in WSUS e le proprietà di ognuno di esso, compresi tutti gli aggiornamenti installati fin'ora da WSUS.
In questa sezione, il programma vi indica tutti i computer che non hanno dato un rapporto da un tot di giorni; questa operazione vi può essere utile per verificare eventuali problemi di rete o nel caso abbiate eliminato un computer da AD e vi siate dimenticati di toglierlo anche da WSUS. Per eliminare un client dal suo gruppo è sufficiente cliccarci sopra e selezionare Rimuovi Computer Selezionato, posto nel riquadro Attività.

La sezione Rapporti è molto utile per capire quali aggiornamenti sono stati installati, quali sono ancora in uno stato di pending e quali hanno fallito l'installazione. Inoltre potete avere un riassunto delle impostazioni di WSUS, dello stato delle sincronizzazioni, dei computer....insomma uno strumento molto utile da visionare almeno una volta al mese per capire se la vostra rete procede correttamente.

A questo punto può sorgere una domanda: ma se io ho un server stand-alone (magari WSUS stesso), come posso centralizzare lo stesso le installazioni?
Niente di più semplice! Visto che le impostazioni vengono fatte via Policy, basta solamente aprire una MMC e caricare lo snap-in delle Group Policy Object Editor ed impostare le stesse voci indicate sopra.

Bene....una volta approvato l'aggiornamento, non ci resta che vedere che il nostro client abbia scaricato l'update e sia pronto all'installazione. Ricordo che gli Users non possono decidere la procedura degli aggiornamenti, quindi in caso sia disponibile un nuovo update, la procedura partirà in automatico senza avvisare l'utente, al termine comprarià una schermata che avvisa che il pc si riavvierà tra 5 minuti. Cosa diversa per gli Administrator, che possono impedire il riavvio, installare prima dell'ora indicata gli update, ma non impedire l'installazione degli aggiornamenti stessi.


Quando tutti i campi sono disattivati, significa che le policy si sono applicate correttamente.



Ce l'abbiamo fatta! A scrivere la procedura ci si mette molto di più che ad impostare il tutto, fidatevi.

Vi lascio una serie di link per approfondire la conoscenza di Windows Server Update Services:
http://www.microsoft.com/windowsserversystem/updateservices/downloads/WSUSSP1.mspx

Questo è il link per il WSUS Debug Tool, utile per fare i controlli lato server:
http://download.microsoft.com/download/7/7/4/7745a34e-f563-443b-b4f8-3a289e995255/WSUS%20Server%20Debug%20Tool.EXE

Inoltre vi ricordo un mio precedente articolo, relativo a come configurare ISA 2004 per scaricare gli update da un server WSUS: http://blogs.dotnethell.it/sdotnet/Post_2714.aspx

Tutto chiaro? Dai che oggi è mercoledì e si è carburati bene per la settimana

Ciao ciao
S