Condividi tramite

Passaggio 2: Configurare WSUS

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Dopo aver installato il ruolo del server Windows Server Update Services (WSUS) nel server, è necessario configurarlo correttamente. È anche necessario configurare i computer client per ricevere gli aggiornamenti dal server WSUS.

Questo articolo illustra le seguenti procedure:

Attività Descrizione
2.1. Configurare le connessioni di rete Configurare le impostazioni del firewall e del proxy per consentire al server di stabilire le connessioni necessarie.
2.2. Configurare WSUS tramite la Configurazione guidata WSUS Usare la Configurazione guidata WSUS per definire la configurazione di base di WSUS.
2.3. Proteggere WSUS con il protocollo Secure Sockets Layer Configurare il protocollo SSL (Secure Sockets Layer) per proteggere WSUS.
2.4. Configurare gruppi di computer WSUS Creare gruppi di computer nella console di amministrazione WSUS per gestire gli aggiornamenti all'interno dell'organizzazione.
2.5. Configurare i computer client per stabilire connessioni SSL con il server WSUS Configurare i computer client per stabilire connessioni sicure al server WSUS.
2.6. Configurare i computer client per ricevere gli aggiornamenti dal server WSUS Configurare i computer client per ricevere gli aggiornamenti dal server WSUS.

2.1. Configurare le connessioni di rete

Prima di avviare il processo di configurazione, accertarsi di essere in grado di rispondere alle domande seguenti.

  • Il firewall del server è configurato per consentire ai client di accedere al server?

  • Il computer può essere connesso al server upstream: ad esempio, il server designato per eseguire il download degli aggiornamenti da Microsoft Update?

  • Se necessario, si conoscono il nome del server proxy e le relative credenziali utente?

È quindi possibile iniziare a configurare le impostazioni di rete WSUS seguenti:

  • Aggiornamenti: specificare come il server acquisisce gli aggiornamenti: da Microsoft Update o da un altro server WSUS.

  • Proxy: se è necessario usare un server proxy per l'accesso di WSUS a Internet, configurare le impostazioni proxy nel server WSUS.

  • Firewall: se è stato identificato che WSUS è protetto da un firewall aziendale, sarà necessario eseguire ulteriori passaggi nel dispositivo perimetrale per consentire il traffico WSUS.

Importante

Se si dispone di un solo server WSUS, deve avere accesso a Internet, perché deve scaricare gli aggiornamenti da Microsoft. Se si dispone di più server WSUS, solo un server necessita dell'accesso a Internet. Gli altri necessitano solo dell'accesso di rete al server WSUS connesso a Internet. I computer client non necessitano dell'accesso a Internet; necessitano solo dell'accesso di rete a un server WSUS.

Suggerimento

Se la rete è "air gapped", se non ha accesso a Internet, è comunque possibile usare WSUS per fornire aggiornamenti ai computer client in rete. Questo approccio richiede due server WSUS. Un server WSUS con accesso a Internet raccoglie gli aggiornamenti da Microsoft. Un secondo server WSUS nella rete protetta fornisce gli aggiornamenti ai computer client. Aggiornamenti vengono esportati dal primo server in supporti rimovibili, trasportati attraverso lo spazio d'aria e importati nel secondo server. Si tratta di una configurazione avanzata che esula dall'ambito di questo articolo.

2.1.1. Configurare il firewall per consentire al primo server WSUS di connettersi ai domini Microsoft su Internet

Se, tra WSUS e Internet, è presente un firewall aziendale, potrebbe essere necessario configurare il firewall per consentire a WSUS di scaricare gli aggiornamenti. Per ottenere gli aggiornamenti da Microsoft Update, il server WSUS utilizza le porte 80 e 443 per i protocolli HTTP e HTTPS. Sebbene la maggior parte dei firewall aziendali consenta questo tipo di traffico, esistono alcune aziende limitano l'accesso a Internet dal server a causa dei criteri di sicurezza della società. Se l'azienda limita l'accesso, è necessario configurare il firewall per consentire al server WSUS di accedere ai domini Microsoft.

Il primo server WSUS deve avere accesso in uscita alle porte 80 e 443 nei domini seguenti:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

Importante

È necessario configurare il firewall per consentire al primo server WSUS di accedere a qualsiasi URL all'interno di questi domini. Gli indirizzi IP associati a questi domini cambiano costantemente, quindi non provare a usare gli intervalli di indirizzi IP.

Per uno scenario in cui Windows Server Update Services non riesce a ottenere gli aggiornamenti a causa di configurazioni del firewall, leggere l’articolo 885819 della Microsoft Knowledge Base.

2.1.2. Configurare il firewall per consentire agli altri server WSUS di connettersi al primo server

Se si dispone di più server WSUS, è necessario configurare gli altri server WSUS per accedere al primo server ("topmost"). Gli altri server WSUS riceveranno tutte le informazioni di aggiornamento dal server più in alto. Questa configurazione consente di gestire l'intera rete usando la console di amministrazione WSUS nel server più in alto.

Gli altri server WSUS devono avere accesso in uscita al server più in alto tramite due porte. Per impostazione predefinita, queste sono le porte 8530 e 8531. È possibile modificare queste porte, come descritto più avanti in questo articolo.

Nota

Se la connessione di rete tra i server WSUS è lenta o costosa, è possibile configurare uno o più server WSUS per ricevere payload di aggiornamento direttamente da Microsoft. In questo caso, solo una piccola quantità di dati verrà inviata da tali server WSUS al server più in alto. Per il funzionamento di questa configurazione, gli altri server WSUS devono avere accesso agli stessi domini Internet del server più in alto.

Nota

Se si dispone di un'organizzazione di grandi dimensioni, è possibile usare catene di server WSUS connessi, invece di disporre di tutti gli altri server WSUS che si connettono direttamente al server più in alto. Ad esempio, è possibile avere un secondo server WSUS che si connette al server più in alto e quindi fare in modo che altri server WSUS si connettano al secondo server WSUS.

2.1.3. Configurare i server WSUS per l'utilizzo di un server proxy, se necessario

Se la rete aziendale utilizza server proxy, questi devono supportare i protocolli HTTP e HTTPS. Devono anche usare l'autenticazione di base o autenticazione di Windows. È possibile soddisfare questi requisiti usando una delle configurazioni seguenti:

  • Un singolo server proxy che supporta due canali di protocollo. In questo caso, impostare un canale per usare HTTP e l'altro per HTTPS.

    Nota

    È possibile configurare un server proxy che gestisce entrambi i protocolli per WSUS durante l'installazione del software server WSUS.

  • Due server proxy, ognuno dei quali supporta un singolo protocollo. In questo caso, un server proxy è configurato per usare HTTP e l'altro per HTTPS.

Per configurare WSUS per usare due server proxy

  1. Accedere al computer che dovrà fungere da server WSUS con un account membro del gruppo Amministratori Locale.

  2. Installare il ruolo del server WSUS. Durante la Configurazione guidata WSUS, non specificare un server proxy.

  3. Aprire un prompt dei comandi (Cmd.exe) come amministratore:

    1. Passare a Start.
    2. In Inizia ricerca digitare Prompt dei comandi.
    3. Nella parte superiore del menu Avvio, fare clic con il pulsante destro del mouse su Prompt dei comandi, quindi selezionare Esegui come amministratore.
    4. Se viene visualizzata la finestra di dialogo Controllo account utente, immettere le credenziali appropriate (se richiesto), confermare che l'azione indicata è quella che si vuole eseguire e selezionare Continua.

  4. Nella finestra del prompt dei comandi passare alla cartella C:\Program Files\Update Services\Tools. Immettere il comando seguente:

    wsusutil ConfigureSSLproxy [<proxy_server proxy_port>] -enable

    In tale comando:

    • proxy_server è il nome del server proxy che supporta HTTPS.

    • proxy_port è il numero di porta del server proxy.

  5. Chiudere la finestra del prompt dei comandi.

Per aggiungere un server proxy nella configurazione di WSUS

  1. Aprire la console di amministrazione di WSUS.

  2. Nel riquadro sinistro, espandere il nome del server e selezionare Opzioni.

  3. Nel riquadro Opzioni, selezionare Aggiorna origine e aggiorna server, quindi fare clic sulla scheda Server proxy.

  4. Selezionare la casella di controllo Usa un server proxy per la sincronizzazione.

  5. Nella casella di testo Nome server proxy, immettere il nome del server proxy.

  6. Nella casella di testo Numero della porta del proxy, immettere il numero di porta del server proxy. Il numero di porta predefinito è 80.

  7. Se il server proxy richiede l'uso di un account utente specifico, selezionare la casella di controllo Usa credenziali utente per la connessione al server proxy. Immettere le informazioni richieste relative a nome utente, dominio e password nelle caselle di testo corrispondenti.

  8. Se il server proxy supporta l'autenticazione di base, selezionare la casella di controllo Consenti autenticazione di base (la password viene inviata come testo non crittografato).

  9. Seleziona OK.

Per rimuovere un server proxy dalla configurazione di WSUS

  1. Deselezionare la casella di controllo Usa un server proxy per la sincronizzazione.

  2. Seleziona OK.

2.1.4. Configurare il firewall per consentire ai computer client di accedere a un server WSUS

Tutti i computer client si connetteranno a uno dei server WSUS. Il computer client deve avere accesso in uscita a due porte nel server WSUS. Per impostazione predefinita, queste sono le porte 8530 e 8531.

2.2. Configurare WSUS tramite la Configurazione guidata WSUS

Questa procedura presuppone l'utilizzo della Configurazione guidata WSUS visualizzata al primo avvio della console di gestione di Windows Server Update Services. Più avanti in questo argomento, viene illustrato come effettuare le configurazioni utilizzando la pagina Opzioni.

Per configurare WSUS

  1. Nel riquadro di sinistra di Server Manager, selezionare Dashboard>Strumenti>Windows Server Update Services.

    Nota

    Se viene visualizzata la finestra di dialogo Completa installazione WSUS, selezionare Esegui. Nella finestra di dialogo Completa installazione WSUS, selezionare Chiudi al termine dell'installazione.

  2. Si apre la procedura guidata Configurazione WSUS Nella pagina Prima di iniziare esaminare le informazioni e selezionare Avanti.

  3. Leggere le istruzioni nella pagina Partecipare al programma di miglioramento di Microsoft Update. Mantenere la selezione predefinita se si desidera partecipare al programma o, in caso contrario, deselezionare la casella di controllo. Quindi seleziona Avanti.

  4. Nella pagina Scegli server upstream, selezionare una delle due opzioni seguenti: Sincronizzare gli aggiornamenti con Microsoft Update o Sincronizzare da un altro server Windows Server Update Services.

    Se si decide di eseguire la sincronizzazione da un altro server WSUS:

    • Specificare il nome del server e la porta su cui il server comunicherà con il server upstream.

    • Per utilizzare SSL, selezionare la casella di controllo Usa SSL per la sincronizzazione delle informazioni sugli aggiornamenti. I server utilizzeranno la porta 443 per la sincronizzazione. Verificare che questo server e il server upstream supportino SSL.

    • Se si tratta di un server di replica, selezionare la casella di controllo Replica del server upstream.

  5. Dopo aver selezionato le opzioni per la distribuzione, selezionare Avanti.

  6. Nella pagina Specifica server proxy, selezionare la casella di controllo Usa un server proxy durante la sincronizzazione. Immettere quindi il nome del server proxy e il numero di porta (porta 80 per impostazione predefinita) nelle caselle corrispondenti.

    Importante

    Se WSUS necessita di un server proxy per accedere a Internet, è necessario completare questo passaggio.

  7. Se si desidera connettersi al server proxy utilizzando credenziali utente specifiche, selezionare la casella di controllo Usa credenziali utente per connettersi al server proxy. Immettere quindi il nome utente, il dominio e la password dell'utente nelle caselle corrispondenti.

    Se si desidera abilitare l'autenticazione di base dell'utente che effettua la connessione al server proxy, selezionare la casella di controllo Consenti autenticazione di base (la password viene inviata come testo non crittografato).

  8. Selezionare Avanti.

  9. Nella pagina Connessione al server upstream, selezionare Avvia connessione.

  10. Quando WSUS si connette al server, selezionare Avanti.

  11. Nella pagina Scegli lingue, è possibile selezionare le lingue da cui WSUS riceverà gli aggiornamenti: tutte le lingue o un sottoinsieme di lingue. Se si seleziona un sottoinsieme di lingue, sarà possibile risparmiare spazio su disco, ma è importante scegliere tutte le lingue necessarie per tutti i client del server WSUS.

    Se si sceglie di ottenere gli aggiornamenti solo per determinate lingue, selezionare Scarica aggiornamenti solo nelle lingue seguenti, quindi selezionare le lingue per le quali si vogliono gli aggiornamenti. Altrimenti, lasciare la selezione predefinita.

    Avviso

    Se si seleziona l'opzione Scarica aggiornamenti solo nelle lingue seguentiquando al server è connesso un server WSUS downstream, anche quest'ultimo sarà forzato a utilizzare solo le lingue selezionate.

  12. Dopo aver selezionato le opzioni di lingua per la distribuzione, selezionare Avanti.

  13. La pagina Scelta prodotti consente di specificare i prodotti per cui si desiderano gli aggiornamenti. Selezionare le categorie dei prodotti, ad esempio Windows, o prodotti specifici, ad esempio Windows Server 2012. Se si seleziona una categoria di prodotti, verranno selezionati tutti i prodotti in essa contenuti.

  14. Dopo aver selezionato le opzioni di prodotto per la distribuzione, selezionare Avanti.

  15. Nella pagina Scelta classificazioni, selezionare le classificazioni degli aggiornamenti che si desidera ottenere. Scegliere tutte le classificazioni o un loro sottoinsieme, quindi selezionare Avanti.

  16. La pagina Imposta pianificazione della sincronizzazione consente di scegliere se eseguire la sincronizzazione in modo manuale o automatico.

    • Se si seleziona l'opzione Sincronizzazione manuale, è necessario avviare il processo di sincronizzazione dalla console di amministrazione di WSUS.

    • Se si seleziona l'opzione Sincronizzazione automatica, il server WSUS verrà sincronizzato a intervalli specifici.

    Impostare l'ora relativa su Prima sincronizzazione, quindi specificare il numero di sincronizzazioni al giorno che si desidera vengano eseguite dal server. Se, ad esempio, si specificano quattro sincronizzazioni giornaliere a partire dalle 3:00, queste verranno eseguite alle 3:00, alle 9:00, alle 15:00 e alle 21:00.

  17. Dopo aver selezionato le opzioni di sincronizzazione per la distribuzione, selezionare Avanti.

  18. Nella pagina Operazione completata, è ora possibile avviare la sincronizzazione selezionando la casella di controllo Avvia sincronizzazione iniziale .

    Se non si seleziona questa opzione, per eseguire la sincronizzazione iniziale, è necessario usare la console di amministrazione di WSUS. Per informazioni sulle impostazioni aggiuntive, selezionare Avanti, altrimenti selezionare Termina per terminare la procedura guidata e completare la configurazione iniziale di Windows Server Update Services.

  19. Dopo aver selezionato Termina, viene visualizzata la console di amministrazione WSUS. Questa console verrà usata per gestire la rete WSUS, come descritto più avanti.

2.3. Proteggere WSUS con il protocollo Secure Sockets Layer

È consigliabile usare il protocollo SSL per proteggere la rete WSUS. WSUS può usare SSL per autenticare le connessioni e per crittografare e proteggere le informazioni di aggiornamento.

Avviso

La protezione di WSUS tramite il protocollo SSL è importante per la sicurezza della rete. Se il server WSUS non usa correttamente SSL per proteggere le connessioni, un utente malintenzionato potrebbe essere in grado di modificare le informazioni di aggiornamento cruciali man mano che viene inviato da un server WSUS a un altro o dal server WSUS ai computer client. Questo consente all'utente malintenzionato di installare software dannoso nei computer client.

Importante

I client e i server downstream che sono configurati per usare Transport Layer Security (TLS) o HTTPS devono anche essere configurati per usare un nome di dominio completo (FQDN) per il server WSUS upstream.

2.3.1. Abilitare SSL/HTTPS nel servizio IIS del server WSUS per usare SSL/HTTPS

Per avviare il processo, è necessario abilitare il supporto SSL nel servizio IIS del server WSUS. Questa operazione comporta la creazione di un certificato SSL per il server.

I passaggi necessari per ottenere un certificato SSL per il server non rientrano nell'ambito di questo articolo e dipendono dalla configurazione di rete. Per maggiori informazioni e per istruzioni su come installare i certificati e configurare questo ambiente, è consigliabile leggere i seguenti articoli:

2.3.2. Configurare il server Web IIS del server WSUS per l'uso di SSL per alcune connessioni

WSUS richiede due porte per le connessioni ad altri server WSUS e ai computer client. Una porta usa SSL/HTTPS per inviare metadati di aggiornamento (informazioni fondamentali sugli aggiornamenti). Per impostazione predefinita, è la porta 8531. Una seconda porta usa HTTP per inviare payload di aggiornamento. Per impostazione predefinita, è la porta 8530.

Importante

Non è possibile configurare l'intero sito Web WSUS per richiedere SSL. WSUS è progettato per crittografare solo i metadati di aggiornamento. Ciò corrisponde al modo in cui Windows Update distribuisce gli aggiornamenti.

Per proteggersi da un utente malintenzionato manomissione dei payload di aggiornamento, tutti i payload di aggiornamento vengono firmati tramite un set specifico di certificati di firma attendibili. Inoltre, viene calcolato un hash crittografico per ogni payload di aggiornamento. L'hash viene inviato al computer client tramite la connessione sicura ai metadati HTTPS, insieme agli altri metadati per l'aggiornamento. Quando viene scaricato un aggiornamento, il software client verifica la firma digitale e l'hash del payload. Se l'aggiornamento è stato modificato, non viene installato.

È consigliabile richiedere SSL solo per le seguenti directory principali virtuali IIS:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

Non richiedere SSL per queste radici virtuali:

  • Contenuto

  • Inventario

  • ReportingWebService

  • SelfUpdate

Il certificato dell'autorità di certificazione (CA) deve essere importato nell'archivio CA radice attendibile di ogni server WSUS per il computer locale o nell'archivio CA radice attendibile per WSUS, se presente.

Per altre informazioni su come usare i certificati SSL in IIS, vedere Richiedere Secure Sockets Layer (IIS 7).

Importante

È necessario utilizzare l'archivio certificati per il computer locale. Non è possibile usare l'archivio certificati di un utente.

In genere, è necessario configurare IIS per usare la porta 8531 per le connessioni HTTPS e la porta 8530 per le connessioni HTTP. Se si modificano queste porte, è necessario usare due numeri di porta adiacenti. Il numero di porta usato per le connessioni HTTP deve essere esattamente 1 minore del numero di porta usato per le connessioni HTTPS.

È necessario inizializzare nuovamente ClientServicingProxy se il nome del server, la configurazione SSL o il numero di porta vengono modificati.

2.3.3. Configurare WSUS per l'uso del certificato di firma SSL per le connessioni client

  1. Accedere al server WSUS con un account membro del gruppo WSUS Administrators o del gruppo locale Amministratori.

  2. Andare su Avvio, digitare CMD, fare clic con il pulsante destro del mouse su Prompt dei comandi, quindi selezionare Esegui come amministratore.

  3. Passare alla cartella %ProgramFiles%\Update Services\Tools\.

  4. Nella finestra del prompt dei comandi, immettere il seguente comando:

    wsusutil configuressl _certificateName_

    In tale comando, certificateName è il nome DNS del server WSUS.

2.3.4. Proteggere la connessione a SQL Server, se necessario

Se si usa WSUS con un database di SQL Server remoto, la connessione tra il server WSUS e il server di database non è protetta da SSL. In questo modo, viene creato un potenziale vettore di attacco. Per proteggere questa connessione, prendere in considerazione le raccomandazioni seguenti:

  • Spostare il database WSUS nel server WSUS.

  • Spostare il server di database remoto e il server WSUS in una rete privata.

  • Distribuire Internet Protocol Security (IPsec) per proteggere il traffico di rete. Per maggiori informazioni su IPsec, consultare la sezione Creazione e uso dei criteri IPsec.

2.3.5. Creare un certificato di firma del codice per la pubblicazione locale, se necessario

Oltre a distribuire gli aggiornamenti forniti da Microsoft, WSUS supporta la pubblicazione locale. La pubblicazione locale consente di creare e distribuire aggiornamenti personalizzati, con payload e comportamenti personalizzati.

L'abilitazione e la configurazione della pubblicazione locale esula dall'ambito di questo articolo. Per informazioni dettagliate, consultare la sezione Pubblicazione locale.

Importante

La pubblicazione locale è un processo complesso e spesso non è necessario. Prima di decidere di abilitare la pubblicazione locale, è consigliabile esaminare attentamente la documentazione e valutare se e come usare questa funzionalità.

2.4. Configurare gruppi di computer WSUS

I gruppi di computer sono una parte importante dell'uso efficace di WSUS. in quanto consentono di testare e distribuire gli aggiornamenti a specifici computer. Sono disponibili due gruppi di computer predefiniti, ovvero Tutti i computer e Computer non assegnati. Per impostazione predefinita, un computer client che contatta il server di WSUS per la prima volta viene aggiunto da quest'ultimo a ciascun gruppo.

È possibile creare tutti i gruppi di computer personalizzati necessari alla gestione degli aggiornamenti all'interno della propria organizzazione. È consigliabile creare almeno un gruppo di computer per il test degli aggiornamenti, prima di procedere alla distribuzione sugli altri computer dell'organizzazione.

2.4.1. Scegliere un approccio per l'assegnazione di computer client a gruppi di computer

Esistono due approcci per assegnare computer client ai gruppi di computer. L'approccio corretto per l'organizzazione dipenderà dalla modalità di gestione dei computer client.

  • Destinazione lato server: si tratta dell'approccio predefinito. In questo approccio, si assegnano computer client a gruppi di computer usando la console di amministrazione WSUS.

    Questo approccio offre la flessibilità necessaria per spostare rapidamente i computer client da un gruppo a un altro quando cambiano le circostanze. Ma questo significa che i nuovi computer client devono essere spostati manualmente dal gruppo Computer non assegnati al gruppo di computer appropriato.

  • Destinazione lato client: in questo approccio, ogni computer client viene assegnato ai gruppi di computer usando le impostazioni dei criteri impostate nel computer client stesso.

    Questo approccio semplifica l'assegnazione di nuovi computer client ai gruppi appropriati. A tale scopo, è necessario configurare il computer client per ricevere gli aggiornamenti dal server WSUS. Ma questo significa che i computer client non possono essere assegnati a gruppi di computer o spostati da un gruppo di computer a un altro, tramite la console di amministrazione WSUS. È invece necessario modificare i criteri dei computer client.

2.4.2. Abilitare la destinazione lato client, se appropriato

Importante

Ignorare questo passaggio se si userà la destinazione lato server.

  1. Nella console di amministrazione WSUS, nella sezione Servizi di aggiornamento, espandere il server WSUS e selezionare Opzioni.

  2. Nella scheda Generale nel riquadro Opzioni, selezionare Usa Criteri di gruppo o impostazioni del registro nei computer.

2.4.3. Creare i gruppi di computer desiderati

Nota

È necessario creare gruppi di computer usando la console di amministrazione WSUS, sia che si usi la destinazione lato server o la destinazione lato client per aggiungere computer client ai gruppi di computer.

  1. Nella console di amministrazione WSUS, in Aggiorna servizi, espandere il server WSUS, espandere Computer, fare clic con il tasto destro del mouse su Tutti i computer e selezionare Aggiungi gruppo computer.

  2. Nella finestra di dialogo Aggiungi gruppo computer, in Nome, specificare il nome del nuovo gruppo. Selezionare Aggiungi.

2.5. Configurare i computer client per stabilire connessioni SSL con il server WSUS

Supponendo di aver configurato il server WSUS per proteggere le connessioni dei computer client tramite SSL, è necessario configurare i computer client per considerare attendibili tali connessioni SSL.

Il certificato SSL del server WSUS deve essere importato nell'archivio CA radice attendibile dei computer client o nell'archivio CA radice attendibile del servizio Aggiornamenti automatici, se presente.

Importante

È necessario utilizzare l'archivio certificati per il computer locale. Non è possibile usare l'archivio certificati di un utente.

I computer client devono considerare attendibile il certificato associato al server WSUS. A seconda del tipo di certificato usato, potrebbe essere necessario configurare un servizio per consentire ai computer client di considerare attendibile il certificato associato al server WSUS.

Se si usa la pubblicazione locale, è necessario configurare anche i computer client in modo che considerino attendibile il certificato di firma del codice del server WSUS. Per istruzioni, consultare la sezione Pubblicazione locale.

2.6. Configurare i computer client per ricevere gli aggiornamenti dal server WSUS

Per impostazione predefinita, i computer client ricevono aggiornamenti da Windows Update. Devono essere configurati per ricevere gli aggiornamenti dal server WSUS.

Importante

Questo articolo presenta un set di passaggi per la configurazione dei computer client tramite Criteri di gruppo. Questi passaggi sono appropriati in molte situazioni. Sono tuttavia disponibili molte altre opzioni per la configurazione del comportamento di aggiornamento nei computer client, incluso l'uso della gestione dei dispositivi mobili. Queste opzioni sono documentate in Gestire impostazioni aggiuntive di Windows Update.

2.6.1. Scegliere il set corretto di criteri da modificare

Se, nella rete, è stato installato Active Directory, è possibile configurare uno o più computer contemporaneamente inserendoli in un oggetto Criteri di gruppo. Configurare quindi quest'ultimo con le impostazioni WSUS.

Si consiglia di creare un nuovo oggetto Criteri di gruppo che contenga solo le impostazioni WSUS. Collegare l'oggetto Criteri di gruppo WSUS a un contenitore Active Directory appropriato per l'ambiente in uso.

In un ambiente semplice è possibile collegare un solo oggetto Criteri di gruppo WSUS al dominio. In un ambiente più complesso, è possibile collegare più oggetti Criteri di gruppo WSUS a diverse unità organizzative (OU). Il collegamento di oggetti Criteri di gruppo alle unità organizzative consentirà di applicare le impostazioni dei criteri WSUS a diversi tipi di computer.

Se non si usa Active Directory nella rete, è possibile configurare ogni computer usando l'Editor Criteri di gruppo locali.

2.6.2. Modificare i criteri per configurare i computer client

Nota

Queste istruzioni presuppongono che si usino le versioni più recenti degli strumenti di modifica dei criteri. Nelle versioni precedenti degli strumenti, i criteri potrebbero essere disposti in modo diverso.

  1. Aprire l'oggetto criteri appropriato:

    • Se si usa Active Directory, aprire la Console Gestione Criteri di gruppo, passare all'oggetto Criteri di gruppo in cui si vuole configurare WSUS e selezionare Modifica. Espandere quindi Configurazione computer ed espandere Criteri.
    • Se non si usa Active Directory, aprire l'Editor Criteri di gruppo locali. Vengono visualizzati i criteri del computer locale. Espandere Configurazione computer.

  2. Nell'oggetto espanso durante il passaggio precedente, espandere Modelli amministrativi, espandere Componenti Windows, espandere Windows Update e selezionare Gestire esperienza utente finale.

  3. Nel riquadro dei dettagli, fare doppio clic su Configura aggiornamenti automatici. Verrà aperto il criterio Configura Aggiornamenti automatici .

  4. Selezionare Abilitato, quindi selezionare l'opzione desiderata nell'impostazione Configurare aggiornamento automatico per gestire il modo in cui Aggiornamenti automatico scaricherà e installerà gli aggiornamenti approvati.

    È consigliabile usare il Download automatico e pianificare l'impostazione di installazione . Garantisce che gli aggiornamenti approvati in WSUS verranno scaricati e installati in modo tempestivo, senza la necessità di intervento dell'utente.

  5. Se lo si desidera, modificare altre parti del criterio, come documentato in Gestire impostazioni aggiuntive di Windows Update.

    Nota

    La casella di controllo Installa aggiornamenti da altri prodotti Microsoft non ha alcun effetto sui computer client che ricevono aggiornamenti da WSUS. I computer client riceveranno tutti gli aggiornamenti approvati nel server WSUS.

  6. Selezionare OK per chiudere il criterio Configurare aggiornamenti automatici.

  7. Tornare al nodo dell'albero Windows Update, selezionare Gestisci aggiornamenti offerti da Windows Server Update Service.

  8. Nel riquadro dei dettagli Gestisci aggiornamenti offerti da Windows Server Update Service, fare doppio clic su Specifica percorso del servizio di aggiornamento Microsoft Intranet. Si apre il criterio Specificare posizione servizio di aggiornamento Microsoft Intranet.

  9. Selezionare Abilitato, quindi immettere l'URL del server WSUS nelle caselle di testo Impostare servizio di aggiornamento Intranet per il rilevamento degli aggiornamenti e Impostare il server statistiche Intranet.

    Avviso

    Assicurarsi di includere la porta corretta nell'URL. Supponendo che il server sia stato configurato per l'uso di SSL come consigliato, è necessario specificare la porta configurata per HTTPS. Ad esempio, se si sceglie di usare la porta 8531 per HTTPS e il nome di dominio del server è wsus.contoso.com, è necessario immettere https://wsus.contoso.com:8531 in entrambe le caselle di testo.

  10. Selezionare OK per chiudere il criterio Specificare posizione servizio di aggiornamento Microsoft Intranet.

Configurare la destinazione lato client, se appropriato

Se si è scelto di usare la destinazione lato client, è ora necessario specificare il gruppo di computer appropriato per i computer client che si sta configurando.

Nota

Questi passaggi presuppongono che siano stati completati i passaggi per la modifica dei criteri per configurare i computer client.

  1. Nel riquadro Gestisci aggiornamenti offerti da Windows Server Update Service, fare doppio clic su Abilita selezione destinazione lato client. Si apre il criterio Abilita destinazione lato client.

  2. Selezionare Abilitato e immettere il nome del gruppo computer EWSUS a cui si desidera aggiungere i computer client nella casella Nome gruppo target per questo computer.

    Se si esegue una versione corrente di WSUS, è possibile aggiungere i computer client a più gruppi di computer immettendo i nomi dei gruppi separati da punti e virgola. Ad esempio, è possibile immettere Accounting; Executive per aggiungere i computer client ai gruppi di computer Accounting e Executive.

  3. Selezionare OK per chiudere il criterio Abilita destinazione lato client.

2.6.3. Consentire al computer client di collegarsi al server WSUS

I computer client non verranno visualizzati nella console di amministrazione WSUS fino a quando non si connettono al server WSUS per la prima volta.

  1. Attendere che le modifiche ai criteri vengano applicate nel computer client.

    Se è stato usato un oggetto Criteri di gruppo basato su Active Directory per configurare i computer client, il meccanismo di aggiornamento criteri di gruppo richiederà del tempo per recapitare le modifiche a un computer client. Se si desidera velocizzare questa operazione, è possibile aprire una finestra del prompt dei comandi con privilegi elevati, quindi immettere il comando gpupdate /force.

    Se è stato usato l'Editor Criteri di gruppo locali per configurare un singolo computer client, le modifiche diventano effettive immediatamente.

  2. Riavviare il computer client. Questo passaggio assicura che il software Windows Update nel computer rilevi le modifiche ai criteri.

  3. Consentire al computer client di analizzare gli aggiornamenti. Questa analisi richiede normalmente del tempo.

    È possibile velocizzare il processo usando una di queste opzioni:

    • In Windows 10 o 11, usare la pagina di Windows Update dell'app Impostazioni per verificare manualmente gli aggiornamenti.
    • Nelle versioni di Windows precedenti a Windows 10, usare l'icona di Windows Update in Pannello di controllo per verificare manualmente la disponibilità di aggiornamenti.
    • Nelle versioni di Windows precedenti a Windows 10, aprire una finestra del prompt dei comandi con privilegi elevati e immettere il comando wuauclt /detectnow.

2.6.4 Verificare la connessione del computer client al server WSUS

Se tutti i passaggi precedenti sono stati eseguiti correttamente, verranno visualizzati i risultati seguenti:

  • Il computer client esegue correttamente l'analisi degli aggiornamenti. Potrebbe o non trovare aggiornamenti applicabili per il download e l'installazione.

  • Entro circa 20 minuti, il computer client viene visualizzato nell'elenco dei computer visualizzati nella console di amministrazione WSUS, in base al tipo di destinazione:

    • Se si usa la destinazione lato server, il computer client viene visualizzato nei gruppi di computer Tutti i computer e Computer non assegnati.

    • Se si usa la destinazione lato client, il computer client viene visualizzato nel gruppo di computer Tutti i computer e nel gruppo di computer selezionato durante la configurazione del computer client.

2.6.5. Configurare la destinazione lato server del computer client, se appropriato

Se si usa la destinazione lato server, è ora necessario aggiungere il nuovo computer client ai gruppi di computer appropriati.

  1. Nella console di amministrazione WSUS, trovare il nuovo computer client. Dovrebbe essere visualizzato nei gruppi di computer Tutti i computer e Computer non assegnati nell'elenco dei computer del server WSUS.

  2. Fare clic con il pulsante destro del mouse sul computer client e selezionare Cambia appartenenza.

  3. Nella finestra di dialogo, selezionare i gruppi di computer appropriati, quindi selezionare OK.