Delineare le opzioni di distribuzione del server Windows Server Update Services
Prima di installare e configurare i server WSUS (Windows Server Update Services), è necessario considerare come distribuire WSUS nell'ambiente. Le implementazioni di WSUS variano in termini di dimensioni e configurazione a seconda dell'ambiente di rete e della modalità di gestione degli aggiornamenti. È possibile avere un singolo server WSUS per l'intera organizzazione, più server WSUS che agiscono in modo indipendente o più server WSUS connessi tra loro in una gerarchia.
Server WSUS singolo
L'implementazione di base di WSUS usa un singolo server WSUS all'interno della rete. Questo server si connette a Microsoft Update e scarica gli aggiornamenti attraverso il firewall. Il server WSUS usa la porta 8530 per la comunicazione HTTP e la porta 8531 per HTTPS, anziché rispettivamente la porta 80 e la 443 predefinite. È necessario assicurarsi che il firewall abbia le regole necessarie per consentire al server di connettersi a Microsoft Update. Questo scenario di base è comunemente usato per reti di piccole dimensioni con una singola posizione fisica.
Più server WSUS
Se l'ambiente è composto da diverse posizioni fisiche isolate, potrebbe essere necessario implementare un server WSUS in ogni posizione. In questo scenario, ogni server WSUS ha una propria connessione a Internet per scaricare gli aggiornamenti da Microsoft Update.
Sebbene si tratti di un'opzione valida, richiede uno sforzo amministrativo notevolmente maggiore, soprattutto con l'aumentare del numero di posizioni fisiche, perché è necessario gestire ogni singolo server WSUS in modo indipendente. È necessario scaricare gli aggiornamenti in ogni server separatamente, approvare gli aggiornamenti su ogni server singolarmente e gestire i client WSUS in modo che ricevano gli aggiornamenti dal server WSUS corretto.
I singoli server WSUS funzionano bene per le organizzazioni che hanno un numero limitato di posizioni fisiche, in cui ogni posizione fisica ha un proprio team di gestione IT. È anche possibile usare questo scenario per una singola posizione fisica con troppi client per la gestione di un singolo server WSUS, inserendo più server WSUS in un cluster NLB (Network Load Balancing).
Server WSUS disconnessi
Un server WSUS disconnesso è un server che non si connette a Microsoft Update tramite Internet o riceve i relativi aggiornamenti da qualsiasi altro server della rete. Al contrario, questo server riceve gli aggiornamenti da supporti rimovibili generati su un altro server WSUS.
Un server WSUS disconnesso è più comune in ambienti di rete isolati senza accesso a Internet, ad esempio in alcuni ambienti ad alta sicurezza. È possibile usare un server WSUS in una posizione diversa per la sincronizzazione con Microsoft Update, quindi esportare gli aggiornamenti in supporti portatili e trasportare il supporto portatile nella posizione remota per l'importazione nel server WSUS disconnesso.
Gerarchie di server WSUS
Tutti gli scenari discussi finora riguardano un server WSUS gestito in modo indipendente che si connette direttamente a Microsoft Update o riceve i suoi aggiornamenti in modo disconnesso. Tuttavia, nelle organizzazioni più grandi con più sedi fisiche, è possibile eseguire la sincronizzazione con Microsoft Update su un server. È anche possibile eseguire il push degli aggiornamenti nei server in varie posizioni della rete e approvare gli aggiornamenti da un'unica posizione.
Le gerarchie di server WSUS consentono di:
Scaricare gli aggiornamenti per i server più vicini ai client, ad esempio i server nelle succursali.
Scaricare gli aggiornamenti una sola volta in un singolo server, quindi replicarli sulla rete in altri server.
Separare i server WSUS in base alla lingua usata dai client.
Ridimensionare i server WSUS per un'organizzazione di grandi dimensioni che ha un numero di computer client superiore a quello gestito da un singolo server WSUS.
In una gerarchia di server WSUS sono disponibili due tipi di server:
Server upstream. I server upstream si connettono direttamente a Microsoft Update per recuperare gli aggiornamenti oppure vengono disconnessi e ricevono gli aggiornamenti usando supporti portatili.
Server downstream. I server downstream ricevono gli aggiornamenti da un server upstream WSUS.
È possibile configurare i server downstream in una delle due modalità seguenti:
Modalità autonoma. La modalità autonoma, o amministrazione distribuita, consente a un server downstream di ricevere aggiornamenti da un server upstream, ma consente agli amministratori di mantenere l'amministrazione degli aggiornamenti nell'ambiente locale. In questo scenario, il server downstream mantiene il proprio set di gruppi di computer e gli aggiornamenti possono essere approvati indipendentemente dalle impostazioni di approvazione nei server upstream. Ciò consente a un gruppo diverso di amministratori di gestire gli aggiornamenti nelle proprie posizioni e di usare il server upstream solo come fonte di aggiornamenti scaricabili.
Modalità di replica. La modalità di replica, o amministrazione centralizzata, consente a un server downstream di ricevere aggiornamenti, informazioni sull'appartenenza a gruppi di computer e approvazioni da un server upstream. In questo scenario, un singolo gruppo di amministratori può gestire gli aggiornamenti per l'intera organizzazione. Inoltre, i server downstream possono essere collocati in diversi uffici fisici e ricevere tutti gli aggiornamenti e i dati di gestione da un server upstream.
È possibile avere più livelli nella gerarchia WSUS. È possibile configurare alcuni server downstream per l'uso della modalità autonoma, mentre è possibile usare la modalità di replica per configurare altri server. Ad esempio, è possibile avere un singolo server upstream connesso a Microsoft Update, scaricando gli aggiornamenti per l'intera organizzazione. È possibile avere altri due server downstream in modalità autonoma, uno che gestisce gli aggiornamenti per tutti i computer che eseguono software in inglese e un altro per tutti i computer che eseguono software in spagnolo. Infine, è possibile avere un altro set di server downstream che ricevono i relativi aggiornamenti dai server WSUS di livello intermedio configurati in modalità di replica. Si tratta dei server effettivi da cui i client ricevono gli aggiornamenti, ma tutta la gestione viene eseguita al livello intermedio.
[NOTA] È possibile configurare i server downstream per scaricare i metadati delle informazioni di aggiornamento da un server upstream e gli aggiornamenti effettivi da Microsoft Update. Si tratta di una configurazione comune quando i server downstream hanno una buona connettività Internet e si vuole ridurre il traffico WAN.