Condividi tramite


Pianificare gli aggiornamenti software in Configuration Manager

Si applica a: Configuration Manager (Current Branch)

Prima di usare gli aggiornamenti software in un ambiente di produzione Configuration Manager, è importante eseguire il processo di pianificazione. Avere un buon piano per l'infrastruttura del punto di aggiornamento software è fondamentale per una corretta implementazione degli aggiornamenti software. Per informazioni sulla pianificazione della capacità per gli aggiornamenti software, vedere Dimensioni e numeri di scala.

Determinare l'infrastruttura del punto di aggiornamento software

Questa sezione include gli argomenti secondari seguenti:

Il sito di amministrazione centrale e tutti i siti primari figlio devono avere un punto di aggiornamento software. Durante la pianificazione dell'infrastruttura del punto di aggiornamento software, determinare le dipendenze seguenti:

  • Dove installare il punto di aggiornamento software per il sito
  • Quali siti richiedono un punto di aggiornamento software che accetta le comunicazioni dai client basati su Internet
  • Se è necessario un punto di aggiornamento software nei siti secondari

Importante

Per altre informazioni sulle dipendenze interne ed esterne necessarie per gli aggiornamenti software, vedere Prerequisiti per gli aggiornamenti software.

Aggiungere più punti di aggiornamento software in un sito primario Configuration Manager per fornire la tolleranza di errore. La progettazione del failover del punto di aggiornamento software è diversa dal modello di casualizzazione pura usato nella progettazione per i punti di gestione. A differenza della progettazione dei punti di gestione, la progettazione del punto di aggiornamento software comporta costi di prestazioni client e di rete quando i client passano a un nuovo punto di aggiornamento software. Quando il client passa a un nuovo server WSUS per analizzare la disponibilità di aggiornamenti software, il risultato è un aumento delle dimensioni del catalogo e delle richieste di prestazioni sul lato client e di rete associate. Di conseguenza, il client mantiene l'affinità con l'ultimo punto di aggiornamento software da cui è stata eseguita correttamente l'analisi.

Il primo punto di aggiornamento software installato in un sito primario è l'origine di sincronizzazione per tutti i punti di aggiornamento software aggiuntivi aggiunti nel sito primario. Dopo aver aggiunto i punti di aggiornamento software e aver avviato la sincronizzazione, visualizzare lo stato dei punti di aggiornamento software e l'origine della sincronizzazione dal nodo Stato sincronizzazione punto di aggiornamento software nell'area di lavoro Monitoraggio .

In caso di errore del punto di aggiornamento software configurato come origine di sincronizzazione per il sito, rimuovere manualmente il ruolo non riuscito. Selezionare quindi un nuovo punto di aggiornamento software da usare come origine di sincronizzazione. Per altre informazioni, vedere Rimuovere un ruolo del sistema del sito.

Elenco dei punti di aggiornamento software

Configuration Manager fornisce al client un elenco di punti di aggiornamento software negli scenari seguenti:

  • Un nuovo client riceve i criteri per abilitare gli aggiornamenti software

  • Un client non può contattare il punto di aggiornamento software assegnato ed è necessario passare a un altro

Il client seleziona in modo casuale un punto di aggiornamento software dall'elenco. Assegna priorità ai punti di aggiornamento software nella stessa foresta. Configuration Manager fornisce ai client un elenco diverso a seconda del tipo di client:

  • Client basati su Intranet: ricevere un elenco di punti di aggiornamento software che è possibile configurare per consentire le connessioni solo dalla Intranet o un elenco di punti di aggiornamento software che consentono connessioni client Internet e Intranet.

  • Client basati su Internet: ricevere un elenco di punti di aggiornamento software configurati per consentire le connessioni solo da Internet o un elenco di punti di aggiornamento software che consentono connessioni client Internet e Intranet.

Cambio del punto di aggiornamento software

Nota

I client usano i gruppi di limiti per trovare un nuovo punto di aggiornamento software. Se il punto di aggiornamento software corrente non è più accessibile, usano anche i gruppi di limiti per eseguire il fallback e trovarne uno nuovo. Aggiungere singoli punti di aggiornamento software a gruppi di limiti diversi per controllare i server che un client può trovare. Per altre informazioni, vedere Punti di aggiornamento software.

Se si dispone di più punti di aggiornamento software in un sito e uno ha esito negativo o diventa non disponibile, i client si connetteranno a un punto di aggiornamento software diverso. Con questo nuovo server, i client continuano a cercare gli aggiornamenti software più recenti. Quando a un client viene assegnato per la prima volta un punto di aggiornamento software, rimane assegnato a tale punto di aggiornamento software, a meno che non non riesca a eseguire l'analisi.

L'analisi degli aggiornamenti software può non riuscire con diversi codici di errore di ripetizione e non ripetizione dei tentativi. Quando l'analisi non riesce con un nuovo codice di errore, il client avvia un processo di ripetizione dei tentativi per cercare gli aggiornamenti software nel punto di aggiornamento software. Le condizioni generali che generano un codice di errore di ripetizione dei tentativi sono in genere dovute al fatto che il server WSUS non è disponibile o è temporaneamente sovraccarico. Quando il client non riesce a cercare gli aggiornamenti software, usa il processo seguente:

  1. Il client analizza la disponibilità di aggiornamenti software:

    • All'ora pianificata
    • Quando viene eseguito manualmente dal pannello di controllo nel client
    • Quando viene eseguito manualmente dalla console di Configuration Manager tramite un'azione di notifica client
    • Quando viene eseguito da un metodo SDK Configuration Manager
  2. Se l'analisi non riesce, il client attende 30 minuti per ritentare l'analisi. Usa lo stesso punto di aggiornamento software.

  3. Il client riprova almeno quattro volte ogni 30 minuti. Dopo il quarto errore e dopo aver atteso altri due minuti, il client passa al punto di aggiornamento software successivo nell'elenco.

  4. Il client ripete questo processo con il nuovo punto di aggiornamento software. Dopo un'analisi riuscita, il client continua a connettersi al nuovo punto di aggiornamento software.

L'elenco seguente fornisce informazioni aggiuntive da considerare per gli scenari di ripetizione e cambio di punto di aggiornamento software:

  • Se un client è disconnesso dalla Intranet e non riesce a cercare gli aggiornamenti software, non passa a un altro punto di aggiornamento software. Questo errore è previsto perché il client non riesce a raggiungere la rete interna o un punto di aggiornamento software che consente le connessioni dalla Intranet. Il client Configuration Manager determina la disponibilità del punto di aggiornamento software Intranet.

  • Se si gestiscono client su Internet e sono stati configurati più punti di aggiornamento software per accettare la comunicazione dai client su Internet, il processo di cambio segue il processo di ripetizione dei tentativi standard descritto in precedenza.

  • Se il processo di analisi viene avviato, ma il client è disattivato prima del completamento dell'analisi, non viene considerato un errore di analisi e non viene considerato come uno dei quattro tentativi.

Quando Configuration Manager riceve uno dei seguenti codici di errore Windows Update Agent, il client ritenta la connessione:

2149842970, 2147954429, 2149859352, 2149859362, 2149859338, 2149859344, 2147954430, 2147747475, 2149842974, 2149859342, 2149859372, 2149859341, 2149904388, 2149859371, 2149859367, 2149859366, 2149859364, 2149859363, 2149859361, 2149859360, 2149859359, 2149859358, 2149859357, 2149859356, 2149859354, 2149859353, 2149859350, 2149859349, 2149859340, 2149859339, 2149859332, 2149859333, 2149859334, 2149859337, 2149859336, 2149859335

Per cercare il significato di un codice di errore, convertire il codice di errore decimale in esadecimale e quindi cercare il valore esadecimale in un sito, ad esempio il wiki Windows Update Agent - Error Codes. Ad esempio, il codice di errore decimale 2149842970 è esadecimale 8024001A, ovvero WU_E_POLICY_NOT_SET non è stato impostato un valore di criterio.

Passare manualmente i client a un nuovo punto di aggiornamento software

Passare Configuration Manager client a un nuovo punto di aggiornamento software in caso di problemi con il punto di aggiornamento software attivo. Questa modifica si verifica solo quando un client riceve più punti di aggiornamento software da un punto di gestione.

Importante

Quando si passa ai dispositivi per usare un nuovo server, i dispositivi usano il fallback per trovare il nuovo server. I client passano al nuovo punto di aggiornamento software durante il ciclo di analisi degli aggiornamenti software successivo.

Prima di iniziare questa modifica, esaminare le configurazioni del gruppo di limiti per assicurarsi che i punti di aggiornamento software si trovino nei gruppi di limiti corretti. Per altre informazioni, vedere Punti di aggiornamento software.

Il passaggio a un nuovo punto di aggiornamento software genera traffico di rete aggiuntivo. La quantità di traffico dipende dalle impostazioni di configurazione di WSUS, ad esempio le classificazioni e i prodotti sincronizzati o dall'uso di un database WSUS condiviso. Se si prevede di cambiare più dispositivi, è consigliabile farlo durante le finestre di manutenzione. Questa tempistica riduce l'impatto sulla rete quando i client eseguono l'analisi con il nuovo punto di aggiornamento software.

Processo per cambiare i punti di aggiornamento software

Avviare questa modifica in una raccolta di dispositivi. Dopo l'attivazione, i client cercano un altro punto di aggiornamento software all'analisi successiva.

  1. Nella console Configuration Manager passare all'area di lavoro Asset e conformità e selezionare il nodo Raccolte dispositivi.

  2. Selezionare la raccolta di destinazione. Nel gruppo Raccolta della scheda Home della barra multifunzione selezionare Notifica client e quindi selezionare Passa al punto di aggiornamento software successivo.

Punti di aggiornamento software in una foresta non attendibile

Creare uno o più punti di aggiornamento software in un sito per supportare i client in una foresta non attendibile. Per aggiungere un punto di aggiornamento software in un'altra foresta, installare e configurare prima un server WSUS in tale foresta. Avviare quindi la procedura guidata per aggiungere un server del sito Configuration Manager con il ruolo del sistema del sito del punto di aggiornamento software. Nella procedura guidata configurare le impostazioni seguenti per connettersi correttamente a WSUS nella foresta non attendibile:

  • Specificare un account di installazione del sistema del sito in grado di accedere al server WSUS nella foresta non attendibile.

  • Specificare un account di connessione server WSUS per connettersi al server WSUS.

Ad esempio, si dispone di un sito primario nella foresta A con due punti di aggiornamento software (SUP01 e SUP02). Per lo stesso sito primario, sono disponibili anche due punti di aggiornamento software (SUP03 e SUP04) nella foresta B. Quando si passa al punto di aggiornamento software successivo, i client assegnano la priorità ai server della stessa foresta.

Usare un server WSUS esistente come origine di sincronizzazione nel sito di primo livello

In genere, il sito di primo livello nella gerarchia è configurato per sincronizzare i metadati degli aggiornamenti software con Microsoft Update. Quando i criteri di sicurezza dell'organizzazione non consentono al sito di primo livello di accedere a Internet, configurare l'origine di sincronizzazione per il sito di primo livello per l'uso di un server WSUS esistente. Questo server WSUS non è incluso nella gerarchia Configuration Manager. Ad esempio, si dispone di un server WSUS in una rete connessa a Internet, ma il sito di primo livello si trova in una rete interna senza accesso a Internet. Configurare il server WSUS nella rete perimetrale come origine di sincronizzazione per i metadati degli aggiornamenti software. Configurare il server WSUS nella rete perimetrale per sincronizzare gli aggiornamenti software con gli stessi criteri necessari in Configuration Manager. In caso contrario, il sito di primo livello potrebbe non sincronizzare gli aggiornamenti software previsti. Quando si installa il punto di aggiornamento software, configurare un account di connessione server WSUS. Questo account deve accedere al server WSUS nella rete perimetrale. Verificare anche che il firewall consenta il traffico per le porte appropriate. Per altre informazioni, vedere le porte usate dal punto di aggiornamento software per l'origine di sincronizzazione.

Punto di aggiornamento software in un sito secondario

Il punto di aggiornamento software è facoltativo in un sito secondario. Installare un solo punto di aggiornamento software in un sito secondario. Quando un punto di aggiornamento software non è installato nel sito secondario, i dispositivi entro i limiti di un sito secondario usano un punto di aggiornamento software nel sito primario assegnato. In genere si installa un punto di aggiornamento software in un sito secondario quando la larghezza di banda di rete tra i dispositivi nel sito secondario e i punti di aggiornamento software nel sito primario padre è limitata. È anche possibile usare questa configurazione quando il punto di aggiornamento software nel sito primario si avvicina al limite di capacità. Dopo aver installato e configurato correttamente un punto di aggiornamento software nel sito secondario, vengono aggiornati i criteri a livello di sito per i client e iniziano a usare il nuovo punto di aggiornamento software.

Pianificare i client basati su Internet

Quando è necessario gestire i dispositivi che si spostano dalla rete su Internet, sviluppare un piano per la gestione degli aggiornamenti software in questi dispositivi. Configuration Manager supporta diverse tecnologie per questo scenario. Usare una o una combinazione in base alle esigenze per soddisfare i requisiti dell'organizzazione.

Gateway di gestione cloud

Creare un gateway di gestione cloud in Microsoft Azure e abilitare almeno un punto di aggiornamento software locale per consentire il traffico dai client basati su Internet. Mentre i client si spostano su Internet, continuano a eseguire l'analisi in base ai punti di aggiornamento software. Tutti i client basati su Internet ottengono sempre contenuto dal servizio cloud Microsoft Update.

Per altre informazioni, vedere Panoramica del gateway di gestione cloud e Configurare i gruppi di limiti.

Nota

A partire dalla versione 2203, è possibile impostare i client in modo che preferiscano eseguire l'analisi in base a un punto di aggiornamento software (SUP) di Cloud Management Gateway (CMG) rispetto a un SUP locale. Questo comportamento è controllato dall'opzione Prefer cloud based source over on-premises source nel gruppo di limiti. Per ridurre l'impatto sulle prestazioni di questa modifica, i client esistenti non passano automaticamente il sup a un SUP basato sul cloud. Il client rimarrà assegnato al SUP corrente, a meno che il SUP corrente non riesca o che il client non venga passato manualmente a un nuovo SUP.

Gestione client basata su Internet

Inserire un punto di aggiornamento software in una rete con connessione Internet e abilitarlo per consentire il traffico dai client basati su Internet. Quando i client si spostano su Internet, passano a questo punto di aggiornamento software per l'analisi. Tutti i client basati su Internet ottengono sempre contenuto dal servizio cloud Microsoft Update.

Per altre informazioni sui vantaggi e sugli svantaggi della gestione client basata su Internet, vedere Gestire i client su Internet.

Windows Update per le aziende

Windows Update for Business consente di mantenere sempre aggiornati i dispositivi Windows 10 o versioni successive con gli aggiornamenti qualitativi e delle funzionalità più recenti. Questi dispositivi si connettono direttamente al servizio cloud Windows Update. Configuration Manager possono distinguere tra i computer Windows che usano WUfB e WSUS per ottenere gli aggiornamenti software.

Per altre informazioni, vedere Integrazione con Windows Update for Business.

Pianificare il contenuto dell'aggiornamento software

I client devono scaricare i file di contenuto per gli aggiornamenti software per installarli. Configuration Manager offre diverse tecnologie per supportare la gestione e la distribuzione di questo contenuto. In alternativa, configurare le distribuzioni di aggiornamenti software per consentire o richiedere ai client di ottenere contenuto direttamente dal servizio cloud Microsoft Update.

Nota

A partire dal 28 marzo 2023, i dispositivi Windows 11 locali versione 22H2 riceveranno aggiornamenti qualitativi tramite UUP (Unified Update Platform). UUP locale interagisce con WSUS e Microsoft Configuration Manager. Gli aggiornamenti qualitativi UUP continuano a essere cumulativi e includono tutte le correzioni per la qualità e la sicurezza di Windows rilasciate. La gestione degli aggiornamenti locale con UUP (Unified Update Platform) richiede altri 10 GB di spazio per ogni versione di Windows e l'architettura del processore per ogni versione. Per altre informazioni, vedere la sezione Considerazioni su UUP .

Scaricare e distribuire contenuto

Per impostazione predefinita, il processo di gestione degli aggiornamenti software in Configuration Manager usa le funzionalità di gestione dei contenuti predefinite. Queste funzionalità includono la libreria di contenuto centralizzata, dell'archivio a istanza singola e la progettazione distribuita del ruolo del sistema del sito del punto di distribuzione. Queste funzionalità vengono usate quando si scaricano e si distribuiscono i pacchetti di distribuzione degli aggiornamenti software.

Per altre informazioni, vedere Scaricare gli aggiornamenti software.

Gestire i file di installazione rapida per Windows 10 o versioni successive

Configuration Manager supporta l'uso di file di installazione rapida per gli aggiornamenti di Windows. I file di aggiornamento rapido e le tecnologie di supporto, ad esempio Ottimizzazione recapito, possono contribuire a ridurre l'impatto sulla rete del download di file di contenuto di grandi dimensioni nei client.

Per altre informazioni, vedere Ottimizzare il recapito di Windows Update.

I client scaricano contenuto da Internet

Quando si distribuiscono gli aggiornamenti software ai client, configurare la distribuzione per i client per scaricare il contenuto dal servizio cloud di Microsoft Update. Quando i client non sono in grado di scaricare contenuto da un'altra origine di contenuto, possono comunque scaricare il contenuto da Internet.

Non è necessario creare un pacchetto di distribuzione quando si distribuiscono gli aggiornamenti software. Quando si seleziona l'opzione Nessun pacchetto di distribuzione , i client possono comunque scaricare il contenuto da origini locali, se disponibili, ma in genere scaricarlo dal servizio Microsoft Update.

I client basati su Internet scaricano sempre il contenuto dal servizio cloud Microsoft Update. Non distribuire pacchetti di distribuzione degli aggiornamenti software a un gateway di gestione cloud abilitato per il contenuto.

Pianificare gli aggiornamenti di terze parti

Configuration Manager si integra con WSUS, che supporta in modo nativo gli aggiornamenti software pubblicati da Microsoft. La maggior parte dei clienti usa altre applicazioni di terze parti che necessitano anche di aggiornamenti. Esistono diverse opzioni da considerare per mantenere aggiornate le applicazioni di terze parti.

Sostituire le applicazioni da aggiornare

Usare una relazione di sostituzione con la funzionalità di gestione delle applicazioni in Configuration Manager per aggiornare o sostituire le applicazioni esistenti. Quando si sostituisce un'applicazione, specificare un nuovo tipo di distribuzione per sostituire il tipo di distribuzione dell'applicazione sostituita. Decidere anche se aggiornare o disinstallare l'applicazione sostituita prima dell'installazione dell'applicazione di sostituzione.

Per altre informazioni, vedere Rivedere e sostituire le applicazioni.

Aggiornamenti software di terze parti

È possibile usare il nodo Cataloghi di aggiornamento software di terze parti nella console di Configuration Manager per sottoscrivere cataloghi di terze parti, pubblicarne gli aggiornamenti nel punto di aggiornamento software e quindi distribuirli ai client.

Per altre informazioni, vedere Aggiornamenti software di terze parti.

System Center Updates Publisher

System Center Aggiornamenti Publisher (SCUP) è uno strumento autonomo che consente agli editori di software indipendenti o agli sviluppatori di applicazioni line-of-business di gestire gli aggiornamenti personalizzati. Questi aggiornamenti includono quelli con dipendenze, ad esempio driver e bundle di aggiornamento. SCUP può essere usato anche per cataloghi di aggiornamento di terze parti che non sono disponibili direttamente nella console.

Per altre informazioni, vedere System Center Aggiornamenti Publisher.

Pianificare l'installazione del punto di aggiornamento software

Questa sezione include gli argomenti secondari seguenti:

In questa sezione vengono fornite informazioni sui passaggi da eseguire per pianificare e preparare correttamente l'installazione del punto di aggiornamento software. Prima di creare un ruolo del sistema del sito per il punto di aggiornamento software in Configuration Manager, è necessario considerare diversi requisiti. I requisiti specifici dipendono dall'infrastruttura Configuration Manager. Quando si configura il punto di aggiornamento software per comunicare tramite HTTPS, questa sezione è particolarmente importante da esaminare. I server abilitati per HTTPS richiedono passaggi aggiuntivi per il corretto funzionamento.

Requisiti per il punto di aggiornamento software

Installare il ruolo del punto di aggiornamento software in un sistema del sito che soddisfi i requisiti minimi per WSUS e le configurazioni supportate per Configuration Manager sistemi del sito.

Pianificare l'installazione di WSUS

Installare una versione supportata di WSUS in tutti i server del sistema del sito configurati per il ruolo del punto di aggiornamento software. Quando non si installa il punto di aggiornamento software nel server del sito, installare la console di amministrazione di WSUS nel server del sito. Questo componente consente al server del sito di comunicare con WSUS eseguito nel punto di aggiornamento software.

Quando si usa WSUS in Windows Server 2012 o versioni successive, configurare autorizzazioni aggiuntive per consentire al componente wsus Configuration Manager in Configuration Manager di connettersi a WSUS. Questo componente esegue controlli di integrità periodici. Scegliere una delle opzioni seguenti per configurare l'autorizzazione necessaria:

  • Aggiungere l'account SYSTEM al gruppo Amministratori WSUS

  • Aggiungere l'account NT AUTHORITY\SYSTEM come utente per il database WSUS (SUSDB). Configurare almeno l'appartenenza al ruolo del database webService.

Per altre informazioni su come installare WSUS in Windows Server, vedere Installare il ruolo del server WSUS.

Quando si installano più punti di aggiornamento software in un sito primario, usare lo stesso database WSUS per ogni punto di aggiornamento software nella stessa foresta di Active Directory. La condivisione dello stesso database migliora le prestazioni quando i client passano a un nuovo punto di aggiornamento software. Per altre informazioni, vedere Usare un database WSUS condiviso per i punti di aggiornamento software.

Configurazione del percorso della directory del contenuto WSUS

Quando si installa WSUS, è necessario specificare un percorso della directory del contenuto. La directory del contenuto WSUS viene usata principalmente per archiviare i file delle condizioni di licenza software Microsoft necessari per i client durante l'analisi. Il Configuration Manager La directory del contenuto WSUS non deve sovrapporsi alla directory dell'origine contenuto per Configuration Manager pacchetti di distribuzione software. La sovrapposizione della directory del contenuto WSUS e dell'origine del pacchetto Configuration Manager comporterà la rimozione di file non corretti dalla directory del contenuto WSUS.

Configurare WSUS per l'uso di un sito Web personalizzato

Quando si installa WSUS, è possibile usare il sito Web predefinito IIS esistente o creare un sito Web WSUS personalizzato. Creare un sito Web personalizzato per WSUS in modo che IIS ospiti i servizi WSUS in un sito Web virtuale dedicato. In caso contrario, condivide lo stesso sito Web usato dagli altri sistemi o applicazioni del sito Configuration Manager. Questa configurazione è particolarmente necessaria quando si installa il ruolo del punto di aggiornamento software nel server del sito. Quando si esegue WSUS in Windows Server 2012 o versioni successive, WSUS viene configurato per impostazione predefinita per l'uso della porta 8530 per HTTP e della porta 8531 per HTTPS. Specificare queste porte quando si crea il punto di aggiornamento software in un sito.

Configurare WSUS come server di replica

Quando si aggiunge il ruolo del punto di aggiornamento software in un server del sito primario, non è possibile usare un server WSUS configurato come replica. Quando il server WSUS è configurato come replica, Configuration Manager non riesce a configurare il server WSUS e la sincronizzazione WSUS non riesce. Il primo punto di aggiornamento software installato in un sito primario è il punto di aggiornamento software predefinito. I punti di aggiornamento software aggiuntivi nel sito vengono configurati come repliche del punto di aggiornamento software predefinito.

Decidere se configurare WSUS per l'uso di SSL

È consigliabile usare il protocollo SSL per proteggere il punto di aggiornamento software. WSUS usa SSL per autenticare i computer client e i server WSUS downstream nel server WSUS. WSUS usa anche SSL per crittografare i metadati di aggiornamento software. Quando si sceglie di proteggere WSUS con SSL, preparare il server WSUS prima di installare il punto di aggiornamento software.

Quando si installa e si configura il punto di aggiornamento software, selezionare l'opzione Abilita comunicazioni SSL per il server WSUS. In caso contrario, Configuration Manager configura WSUS per non usare SSL. Quando si abilita SSL in un punto di aggiornamento software, configurare anche eventuali punti di aggiornamento software nei siti figlio per l'uso di SSL. Per altre informazioni, vedere l'esercitazione Configurare un punto di aggiornamento software per l'uso di TLS/SSL con un certificato PKI.

Nota

Per assicurarsi che siano presenti i protocolli di sicurezza migliori, è consigliabile usare il protocollo TLS/SSL per proteggere l'infrastruttura di aggiornamento software. A partire dall'aggiornamento cumulativo di settembre 2020, i server WSUS basati su HTTP saranno protetti per impostazione predefinita. Per impostazione predefinita, un client che esegue l'analisi degli aggiornamenti in base a WSUS basato su HTTP non potrà più sfruttare un proxy utente. Se è ancora necessario un proxy utente nonostante i compromessi relativi alla sicurezza, è disponibile una nuova impostazione client degli aggiornamenti software per consentire queste connessioni. Per altre informazioni sulle modifiche per l'analisi di WSUS, vedere Modifiche di settembre 2020 per migliorare la sicurezza per i dispositivi Windows che analizzano WSUS.

Configurare i firewall

Il punto di aggiornamento software in un sito di amministrazione centrale Configuration Manager comunica con WSUS nel punto di aggiornamento software. WSUS comunica con l'origine di sincronizzazione per sincronizzare i metadati degli aggiornamenti software. I punti di aggiornamento software in un sito figlio comunicano con il punto di aggiornamento software nel sito padre. Quando in un sito primario sono presenti più punti di aggiornamento software, i punti di aggiornamento software aggiuntivi comunicano con il punto di aggiornamento software predefinito. Il ruolo predefinito è il primo punto di aggiornamento software installato nel sito.

Potrebbe essere necessario configurare il firewall per consentire il traffico HTTP o HTTPS usato da WSUS negli scenari seguenti:

  • Tra il punto di aggiornamento software e Internet
  • Tra un punto di aggiornamento software e l'origine di sincronizzazione upstream
  • Tra punti di aggiornamento software aggiuntivi

La connessione a Microsoft Update è sempre configurata per l'uso della porta 80 per HTTP e della porta 443 per HTTPS. Usare una porta personalizzata per la connessione da WSUS nel punto di aggiornamento software in un sito figlio a WSUS nel punto di aggiornamento software nel sito padre. Quando i criteri di sicurezza non consentono la connessione, usare il metodo di sincronizzazione di esportazione e importazione. Per altre informazioni, vedere la sezione Origine di sincronizzazione in questo articolo. Per altre informazioni sulle porte usate da WSUS, vedere Come determinare le impostazioni delle porte usate da WSUS in Configuration Manager.

Limitare l'accesso a domini specifici

Se l'organizzazione limita la comunicazione di rete con Internet usando un firewall o un dispositivo proxy, è necessario consentire al punto di aggiornamento software attivo di accedere agli endpoint Internet. WsUS e Automatic Aggiornamenti possono quindi comunicare con il servizio cloud di Microsoft Update.

Per altre informazioni, vedere Requisiti di accesso a Internet.

Pianificare le impostazioni di sincronizzazione

Questa sezione include gli argomenti secondari seguenti:

La sincronizzazione degli aggiornamenti software in Configuration Manager scarica i metadati degli aggiornamenti software in base ai criteri configurati. Il sito di primo livello nella gerarchia sincronizza gli aggiornamenti software da Microsoft Update. È possibile configurare il punto di aggiornamento software nel sito di primo livello per la sincronizzazione con un server WSUS esistente, non nella gerarchia Configuration Manager. I siti primari figlio sincronizzano i metadati degli aggiornamenti software dal punto di aggiornamento software nel sito di amministrazione centrale. Prima di installare e configurare un punto di aggiornamento software, usare questa sezione per pianificare le impostazioni di sincronizzazione.

Origine di sincronizzazione

Le impostazioni dell'origine di sincronizzazione per il punto di aggiornamento software specificano il percorso in cui il punto di aggiornamento software recupera i metadati degli aggiornamenti software. Specifica inoltre se il processo di sincronizzazione crea eventi di report WSUS.

  • Origine di sincronizzazione: per impostazione predefinita, il punto di aggiornamento software nel sito di primo livello configura l'origine di sincronizzazione per Microsoft Update. È possibile sincronizzare il sito di primo livello con un server WSUS esistente. Il punto di aggiornamento software in un sito primario figlio configura l'origine di sincronizzazione come punto di aggiornamento software nel sito di amministrazione centrale.

    • Il primo punto di aggiornamento software installato in un sito primario, ovvero il punto di aggiornamento software predefinito, viene sincronizzato con il sito di amministrazione centrale. I punti di aggiornamento software aggiuntivi nel sito primario vengono sincronizzati con il punto di aggiornamento software predefinito nel sito primario.

    • Quando un punto di aggiornamento software è disconnesso da Microsoft Update o dal server di aggiornamento upstream, configurare l'origine di sincronizzazione per non eseguire la sincronizzazione con un'origine di sincronizzazione configurata. Configurarlo invece in modo da usare la funzione di esportazione e importazione dello strumento WSUSUtil per sincronizzare gli aggiornamenti software. Per altre informazioni, vedere Sincronizzare gli aggiornamenti software da un punto di aggiornamento software disconnesso.

  • Eventi di creazione di report WSUS: L'agente Windows Update nei computer client può creare messaggi di evento per la creazione di report WSUS. Questi eventi non vengono usati da Configuration Manager. Di conseguenza, l'opzione Non creare eventi di report WSUS è selezionata per impostazione predefinita. Quando questi eventi non vengono creati, l'unica volta che il client deve connettersi al server WSUS è durante le analisi di conformità e valutazione degli aggiornamenti software. Se questi eventi sono necessari per la creazione di report all'esterno di Configuration Manager, modificare questa impostazione per creare eventi di report WSUS.

Importante

Se si condivide il database WSUS (SUSDB) tra più punti di aggiornamento software per il sito di primo livello, assicurarsi che ognuno di questi server WSUS soddisfi i requisiti di accesso a Internet per gli aggiornamenti software. Quando il database viene condiviso nel sito di primo livello, Configuration Manager può selezionare uno qualsiasi di questi server WSUS da sincronizzare con Microsoft Update.

Pianificazione della sincronizzazione

Configurare la pianificazione della sincronizzazione solo nel punto di aggiornamento software nel sito di primo livello nella gerarchia Configuration Manager. Quando si configura la pianificazione della sincronizzazione, il punto di aggiornamento software si sincronizza con l'origine di sincronizzazione alla data e all'ora specificate. La pianificazione personalizzata consente di sincronizzare gli aggiornamenti software per ottimizzare l'ambiente. Considerare le esigenze di prestazioni del server WSUS, del server del sito e della rete. Ad esempio, 2:00 una volta alla settimana. In alternativa, avviare manualmente la sincronizzazione nel sito di primo livello usando l'azione Synchronization Software Aggiornamenti dei nodi All Software Aggiornamenti o Software Update Groups nella console di Configuration Manager.

Consiglio

Pianificare la sincronizzazione degli aggiornamenti software da eseguire usando un'ora appropriata per l'ambiente. Uno scenario comune consiste nell'impostare la pianificazione della sincronizzazione in modo che venga eseguita poco dopo la versione regolare dell'aggiornamento software di Microsoft il secondo martedì di ogni mese. Questo giorno viene in genere definito Patch Tuesday. Se si usa Configuration Manager per distribuire Endpoint Protection e Windows Defender definizione e gli aggiornamenti del motore, è consigliabile impostare la pianificazione della sincronizzazione per l'esecuzione giornaliera.

Dopo la corretta sincronizzazione del punto di aggiornamento software, invia una richiesta di sincronizzazione ai siti figlio. Se si dispone di punti di aggiornamento software aggiuntivi in un sito primario, invia una richiesta di sincronizzazione a ogni punto di aggiornamento software. Questo processo viene ripetuto in ogni sito della gerarchia.

Aggiornare le classificazioni

Ogni aggiornamento software viene definito con una classificazione degli aggiornamenti che consente di organizzare i diversi tipi di aggiornamenti. Durante il processo di sincronizzazione, il sito sincronizza i metadati per le classificazioni specificate.

Configuration Manager supporta la sincronizzazione delle classificazioni di aggiornamento seguenti:

  • Aggiornamenti critiche: aggiornamento rilasciato su larga scala per un problema specifico che risolve un bug critico non correlato alla sicurezza.

  • Definizione Aggiornamenti: aggiornamento di virus o altri file di definizione.

  • Feature Pack: nuove funzionalità del prodotto distribuite al di fuori di una versione del prodotto e in genere incluse nella prossima versione completa del prodotto.

  • Sicurezza Aggiornamenti: aggiornamento rilasciato su larga scala per un problema specifico del prodotto correlato alla sicurezza.

  • Service Pack: set cumulativo di hotfix applicati a un sistema operativo o a un'applicazione. Questi hotfix includono aggiornamenti della sicurezza, aggiornamenti critici e aggiornamenti software.

  • Strumenti: utilità o funzionalità che consente di completare una o più attività.

  • Aggiornamenti cumulativi: set cumulativo di hotfix raggruppati per semplificare la distribuzione. Questi hotfix includono aggiornamenti della sicurezza, aggiornamenti critici e aggiornamenti software. Un aggiornamento cumulativo in genere riguarda un'area specifica, ad esempio la sicurezza o un componente del prodotto.

  • Aggiornamenti: aggiornamento di un'applicazione o di un file attualmente installato.

  • Aggiornamenti: aggiornamento della funzionalità a una nuova versione di Windows.

Configurare le impostazioni di classificazione degli aggiornamenti solo nel sito di primo livello. Le impostazioni di classificazione degli aggiornamenti non sono configurate nel punto di aggiornamento software nei siti figlio, perché i metadati degli aggiornamenti software vengono replicati dal sito di primo livello. Quando si selezionano le classificazioni degli aggiornamenti, tenere presente il numero di classificazioni selezionate, maggiore è il tempo necessario per sincronizzare i metadati degli aggiornamenti software.

Avviso

Come procedura consigliata, cancellare tutte le classificazioni prima di eseguire la sincronizzazione per la prima volta. Dopo la sincronizzazione iniziale, selezionare le classificazioni desiderate e quindi eseguire di nuovo la sincronizzazione.

Prodotti

I metadati per ogni aggiornamento software definiscono uno o più prodotti per i quali è applicabile l'aggiornamento. Un prodotto è un'edizione specifica di un sistema operativo o di un'applicazione. Un esempio di prodotto è Microsoft Windows 10. Una famiglia di prodotti è il sistema operativo o l'applicazione di base da cui derivano i singoli prodotti. Un esempio di famiglia di prodotti è Microsoft Windows, di cui Windows 10 e Windows Server 2016 sono membri. Selezionare una famiglia di prodotti o singoli prodotti all'interno di una famiglia di prodotti.

Quando gli aggiornamenti software sono applicabili a più prodotti e almeno uno dei prodotti è selezionato per la sincronizzazione, tutti i prodotti vengono visualizzati nella console di Configuration Manager anche se alcuni prodotti non sono stati selezionati. Ad esempio, si seleziona solo il prodotto Windows Server 2012. Se un aggiornamento software si applica a Windows Server 2012 e Windows Server 2012 Datacenter Edition, entrambi i prodotti si trovano nel database del sito.

Configurare le impostazioni del prodotto solo nel sito di primo livello. Le impostazioni del prodotto non vengono configurate nel punto di aggiornamento software per i siti figlio perché i metadati degli aggiornamenti software vengono replicati dal sito di primo livello. Maggiore è il numero di prodotti selezionati, maggiore sarà il tempo necessario per sincronizzare i metadati degli aggiornamenti software.

Importante

Configuration Manager archivia un elenco di prodotti e famiglie di prodotti tra cui si sceglie la prima installazione del punto di aggiornamento software. I prodotti e le famiglie di prodotti rilasciati dopo il rilascio di Configuration Manager potrebbero non essere disponibili per la selezione fino al completamento della sincronizzazione. Il processo di sincronizzazione aggiorna l'elenco dei prodotti e delle famiglie di prodotti disponibili da cui è possibile scegliere. Cancellare tutti i prodotti prima di sincronizzare gli aggiornamenti software per la prima volta. Dopo la sincronizzazione iniziale, selezionare i prodotti desiderati e quindi eseguire di nuovo la sincronizzazione.

Regole di sostituzione

In genere, un aggiornamento software che sostituisce un altro aggiornamento software esegue una o più delle azioni seguenti:

  • Migliora, migliora o aggiorna la correzione fornita da uno o più aggiornamenti rilasciati in precedenza.

  • Migliora l'efficienza del pacchetto di file di aggiornamento sostituito, che viene installato nei client se l'aggiornamento è approvato per l'installazione. Ad esempio, l'aggiornamento sostituito potrebbe contenere file non più rilevanti per la correzione o per i sistemi operativi supportati dal nuovo aggiornamento. Questi file non sono inclusi nel pacchetto di file di sostituzione dell'aggiornamento.

  • Aggiornamenti versioni più recenti di un prodotto. In altre parole, aggiorna le versioni che non sono più applicabili alle versioni precedenti o alle configurazioni di un prodotto. Aggiornamenti può anche sostituire altri aggiornamenti se sono state apportate modifiche per espandere il supporto della lingua. Ad esempio, una revisione successiva di un aggiornamento del prodotto per Microsoft 365 Apps potrebbe rimuovere il supporto per un sistema operativo precedente, ma potrebbe aggiungere ulteriore supporto per le nuove lingue nella versione di aggiornamento iniziale.

Nelle proprietà del punto di aggiornamento software specificare che gli aggiornamenti software sostituiti sono immediatamente scaduti. Questa impostazione impedisce che vengano incluse nelle nuove distribuzioni. Contrassegna anche le distribuzioni esistenti per indicare che contengono uno o più aggiornamenti software scaduti. In alternativa, specificare un periodo di tempo prima che gli aggiornamenti software sostituiti siano scaduti. Questa azione consente di continuare a distribuirli.

Si considerino gli scenari seguenti in cui potrebbe essere necessario distribuire un aggiornamento software sostituito:

  • Un aggiornamento software sostituito supporta solo le versioni più recenti di un sistema operativo. Alcuni computer client eseguono versioni precedenti del sistema operativo.

  • Un aggiornamento software sostituito ha un'applicabilità più limitata rispetto all'aggiornamento software che sostituisce. Questo comportamento lo rende inappropriato per alcuni client.

  • Se un aggiornamento software sostituito non è stato approvato per la distribuzione nell'ambiente di produzione.

Configuration Manager può scadere automaticamente gli aggiornamenti sostituiti in base a una pianificazione scelta. È possibile specificare il comportamento delle regole di sostituzione per gli aggiornamenti delle funzionalità separatamente dagli aggiornamenti non delle funzionalità. L'impostazione predefinita prevede l'attesa di 3 mesi prima della scadenza di un aggiornamento sostituito. L'impostazione predefinita di 3 mesi consiste nel concedere il tempo necessario per verificare che l'aggiornamento non sia più necessario per nessuno dei computer client. È consigliabile non presupporre che gli aggiornamenti sostituiti debbano essere immediatamente scaduti a favore del nuovo aggiornamento sostituito. È possibile visualizzare un elenco degli aggiornamenti software che sostituiscono l'aggiornamento software nella scheda Informazioni di sostituzione nelle proprietà dell'aggiornamento software.

Lingue

Le impostazioni della lingua per il punto di aggiornamento software consentono di configurare:

  • Lingue per le quali vengono sincronizzati i dettagli di riepilogo (metadati degli aggiornamenti software) per gli aggiornamenti software
  • I linguaggi di file di aggiornamento software scaricati per gli aggiornamenti software

File di aggiornamento software

Configurare le lingue per l'impostazione del file di aggiornamento software nelle proprietà del punto di aggiornamento software. Questa impostazione fornisce le lingue predefinite disponibili quando si scaricano gli aggiornamenti software in un sito. Modificare le lingue selezionate per impostazione predefinita ogni volta che gli aggiornamenti software vengono scaricati o distribuiti. Durante il processo di download, i file di aggiornamento software per le lingue configurate vengono scaricati nel percorso di origine del pacchetto di distribuzione, se i file di aggiornamento software sono disponibili nella lingua selezionata. Vengono quindi copiati nella raccolta contenuto nel server del sito. Vengono quindi distribuiti ai punti di distribuzione configurati per il pacchetto.

Configurare le impostazioni della lingua del file di aggiornamento software con le lingue usate più spesso nell'ambiente. Ad esempio, i client nel sito usano principalmente inglese e giapponese per Windows o applicazioni. Ci sono poche altre lingue che vengono usate nel sito. Selezionare solo inglese e giapponese nella colonna File di aggiornamento software quando si scarica o si distribuisce l'aggiornamento software. Questa azione consente di usare le impostazioni predefinite nella pagina Selezione lingua delle procedure guidate di distribuzione e download. Questa azione impedisce inoltre il download dei file di aggiornamento non necessari. Configurare questa impostazione in ogni punto di aggiornamento software nella gerarchia Configuration Manager.

Dettagli riepilogo

Durante il processo di sincronizzazione, le informazioni dettagliate di riepilogo (metadati degli aggiornamenti software) vengono aggiornate per gli aggiornamenti software nelle lingue specificate. I metadati forniscono informazioni sull'aggiornamento software, ad esempio:

  • Nome
  • Descrizione
  • Prodotti supportati dall'aggiornamento
  • Aggiornare la classificazione
  • ID articolo
  • Scaricare l'URL
  • Regole di applicabilità

Configurare le impostazioni dei dettagli di riepilogo solo nel sito di primo livello. I dettagli di riepilogo non vengono configurati nel punto di aggiornamento software nei siti figlio perché i metadati degli aggiornamenti software vengono replicati dal sito di amministrazione centrale usando la replica basata su file. Quando si selezionano le lingue dei dettagli di riepilogo, selezionare solo le lingue necessarie nell'ambiente. Più lingue vengono selezionate, più tempo è necessario per sincronizzare i metadati degli aggiornamenti software. Configuration Manager visualizza i metadati degli aggiornamenti software nelle impostazioni locali del sistema operativo in cui viene eseguita la console Configuration Manager. Se le proprietà localizzate per gli aggiornamenti software non sono disponibili nelle impostazioni locali di questo sistema operativo, le informazioni sugli aggiornamenti software vengono visualizzate in inglese.

Importante

Selezionare tutte le lingue dei dettagli di riepilogo necessarie. Quando il punto di aggiornamento software nel sito di primo livello si sincronizza con l'origine di sincronizzazione, le lingue dei dettagli di riepilogo selezionate determinano i metadati degli aggiornamenti software recuperati. Se si modificano le lingue dei dettagli di riepilogo dopo l'esecuzione della sincronizzazione almeno una volta, vengono recuperati i metadati degli aggiornamenti software per le lingue dei dettagli di riepilogo modificate solo per gli aggiornamenti software nuovi o aggiornati. Gli aggiornamenti software che sono già stati sincronizzati non vengono aggiornati con i nuovi metadati per le lingue modificate a meno che non sia stata apportata una modifica all'aggiornamento software nell'origine della sincronizzazione.

Tempo di esecuzione massimo

È possibile specificare la quantità massima di tempo necessario per completare l'installazione di un aggiornamento software. È possibile specificare il tempo di esecuzione massimo per quanto segue:

  • Tempo di esecuzione massimo per gli aggiornamenti delle funzionalità di Windows (minuti)

    • Aggiornamenti delle funzionalità : aggiornamento incluso in una di queste tre classificazioni:
      • Aggiornamenti
      • Aggiornamenti cumulativi
      • Service Pack
  • Tempo di esecuzione massimo per gli aggiornamenti Office 365 e non delle funzionalità per Windows (minuti)

    • Aggiornamenti non delle funzionalità : aggiornamento che non è un aggiornamento delle funzionalità e il cui prodotto è elencato come uno dei seguenti:
      • Windows 11
      • Windows 10 (tutte le versioni)
      • Windows Server 2012 R2
      • Windows Server 2016
      • Windows Server 2019
      • Office 365
  • Tempo di esecuzione massimo per tutti gli altri aggiornamenti software esterni a queste categorie, ad esempio aggiornamenti di terze parti (minuti): il tempo di esecuzione massimo predefinito di questi aggiornamenti varia a seconda della prima sincronizzazione dell'aggiornamento nell'ambiente e della versione Configuration Manager. Usare il carrello seguente per determinare il valore di runtime massimo per questi aggiornamenti:

    2203 o versioni successive 2103, 2107 o 2111 2010
    Il tempo di esecuzione massimo per tutti gli altri aggiornamenti software è personalizzabile. Il valore predefinito corrisponde a 60 minuti. 60 minuti 10 minuti

    Importante

    • Questa impostazione modifica solo il runtime massimo per i nuovi aggiornamenti sincronizzati in da SUP. Non modifica la fase di esecuzione degli aggiornamenti esistenti sincronizzati prima della modifica dell'ora di esecuzione. Ad esempio, se Update 1 è stata sincronizzata per la prima volta in un ambiente 2111, il tempo di esecuzione massimo è di 60 minuti. Si aggiorna quindi l'ambiente alla versione 2203 e si imposta il tempo di esecuzione massimo su 30 minuti. Update 1 mantiene il runtime di 60 minuti. Tuttavia, quando un nuovo aggiornamento, Update 2, esegue la sincronizzazione, viene assegnato il nuovo tempo di esecuzione di 30 minuti.
    • Se è necessario modificare manualmente il tempo di esecuzione massimo di un aggiornamento, è possibile configurare le impostazioni di aggiornamento software .

Pianificare una finestra di manutenzione degli aggiornamenti software

Aggiungere una finestra di manutenzione dedicata per l'installazione degli aggiornamenti software. Questa azione consente di configurare una finestra di manutenzione generale e una finestra di manutenzione diversa per gli aggiornamenti software. Quando si configura una finestra di manutenzione generale e una finestra di manutenzione degli aggiornamenti software, i client installano gli aggiornamenti software solo durante la finestra di manutenzione degli aggiornamenti software.

È possibile modificare questo comportamento e consentire l'installazione degli aggiornamenti software durante una finestra di manutenzione generale. Per altre informazioni su questa impostazione client, vedere Impostazioni client degli aggiornamenti software.

Per altre informazioni sulle finestre di manutenzione, vedere Come usare le finestre di manutenzione.

Opzioni di riavvio per i client Windows 10 dopo l'installazione dell'aggiornamento software

Quando un aggiornamento software che richiede un riavvio viene distribuito e installato usando Configuration Manager, il client pianifica un riavvio in sospeso e visualizza una finestra di dialogo di riavvio.

Quando è presente un riavvio in sospeso per un aggiornamento software Configuration Manager, l'opzione Aggiorna, Riavvia e aggiorna e arresta i computer Windows 10 nelle opzioni di risparmio energia di Windows. Dopo aver usato una di queste opzioni, la finestra di dialogo di riavvio non viene visualizzata dopo il riavvio del computer. In determinate circostanze, il sistema operativo potrebbe rimuovere le opzioni di riavvio in sospeso. Ciò può verificarsi se la funzionalità Avvio rapido in Windows 10 è abilitata. Per altre informazioni, vedere Aggiornamenti potrebbe non essere installato con Avvio rapido in Windows 10.

Valutare gli aggiornamenti software dopo un aggiornamento dello stack di manutenzione

A partire dalla versione 2002, Configuration Manager rileva se un aggiornamento dello stack di manutenzione fa parte di un'installazione per più aggiornamenti. Quando viene rilevata una SSU, viene installata per prima. Dopo l'installazione della SSU, viene eseguito un ciclo di valutazione degli aggiornamenti software per installare gli aggiornamenti rimanenti. Questa modifica consente di installare un aggiornamento cumulativo dipendente dopo l'aggiornamento dello stack di manutenzione. Il dispositivo non deve essere riavviato tra le installazioni e non è necessario creare una finestra di manutenzione aggiuntiva. Le unità SSU vengono installate per prime solo per installazioni avviate da utenti non utente. Ad esempio, se un utente avvia un'installazione per più aggiornamenti da Software Center, la SSU potrebbe non essere installata per prima. L'installazione delle unità SSU prima di tutto non è disponibile per i sistemi operativi Windows Server quando si usa Configuration Manager versione 2002. Questa funzionalità è stata aggiunta in Configuration Manager versione 2006 per i sistemi operativi Windows Server.

Passaggi successivi

Dopo aver pianificato gli aggiornamenti software, vedere Preparare la gestione degli aggiornamenti software.

Per altre informazioni sulla gestione dei Windows as a Service, vedere Nozioni fondamentali su Configuration Manager come servizio e Windows as a Service.