Preparare la distribuzione di Windows
Dopo aver elaborato le attività nella fase di pianificazione, si dovrebbe essere in una buona posizione per preparare l'ambiente e il processo per distribuire il client Windows. La fase di pianificazione ha lasciato gli elementi utili seguenti:
- Una chiara comprensione del personale necessario e dei relativi ruoli e criteri per la valutazione dell'idoneità delle app
- Un piano per il test e la convalida delle app
- Valutazione dell'infrastruttura di distribuzione e delle definizioni per l'idoneità operativa
- Un piano di distribuzione che definisce gli anelli da usare
A questo punto si è pronti per iniziare effettivamente ad apportare modifiche all'ambiente per prepararsi alla distribuzione.
Preparare l'infrastruttura e l'ambiente
- Distribuire gli aggiornamenti del server del sito per Configuration Manager.
- Aggiornare strumenti di sicurezza non Microsoft, ad esempio agenti di sicurezza o server.
- Aggiornare strumenti di gestione non Microsoft come gli agenti di prevenzione della perdita dei dati.
L'infrastruttura include probabilmente molti componenti e strumenti diversi. È necessario assicurarsi che l'ambiente non sia interessato da problemi dovuti alle modifiche apportate alle varie parti dell'infrastruttura. Segui questa procedura:
Esaminare tutte le modifiche all'infrastruttura identificate nel piano. È importante comprendere le modifiche che devono essere apportate e specificare in dettaglio come implementarle. Questo processo evita problemi in un secondo momento.
Convalidare le modifiche. Convalidare le modifiche per i componenti e gli strumenti dell'infrastruttura per comprendere in che modo le modifiche potrebbero influire sull'ambiente di produzione.
Implementare le modifiche. Dopo aver convalidato le modifiche, è possibile implementare le modifiche nell'infrastruttura più ampia.
È anche consigliabile esaminare la configurazione dell'ambiente dell'organizzazione e descrivere come implementare le modifiche necessarie identificate in precedenza nella fase del piano per supportare l'aggiornamento. Considerare le operazioni da eseguire per le varie impostazioni e i criteri attualmente alla base dell'ambiente. Ad esempio:
Implementare una nuova bozza di linee guida per la sicurezza. Le nuove versioni di Windows possono includere nuove funzionalità che migliorano la sicurezza dell'ambiente. I team di sicurezza dovranno apportare le modifiche appropriate alle configurazioni correlate alla sicurezza.
Aggiornare le baseline di sicurezza. I team di sicurezza comprendono le baseline di sicurezza pertinenti e dovranno lavorare per assicurarsi che tutte le baseline rientrino nelle linee guida a cui devono attenersi.
Tuttavia, la configurazione sarà costituita da molte impostazioni e criteri diversi. È importante applicare le modifiche solo quando sono necessarie e in cui si ottiene un netto miglioramento. In caso contrario, l'ambiente potrebbe riscontrare problemi che rallentano il processo di aggiornamento. Si vuole assicurarsi che l'ambiente non venga influenzato negativamente a causa delle modifiche apportate. Ad esempio:
Esaminare le nuove impostazioni di sicurezza. Il team di sicurezza esamina le nuove impostazioni di sicurezza per comprendere come può essere impostato al meglio per facilitare l'aggiornamento e per analizzare anche i potenziali effetti che potrebbero avere sull'ambiente.
Esaminare le baseline di sicurezza per le modifiche. I team di sicurezza esaminano anche tutte le baseline di sicurezza necessarie, per assicurarsi che le modifiche possano essere implementate e assicurarsi che l'ambiente rimanga conforme.
Implementare e convalidare le impostazioni di sicurezza e le modifiche di base. I team di sicurezza implementeranno quindi tutte le impostazioni di sicurezza e le baseline, dopo aver risolto eventuali problemi in sospeso.
Preparare applicazioni e dispositivi
In precedenza si è deciso quali metodi di convalida usare per convalidare le app nella fase di distribuzione pilota imminente. Ora è un buon momento per assicurarsi che i singoli dispositivi siano pronti e in grado di installare il prossimo aggiornamento senza difficoltà.
Verificare che gli aggiornamenti siano disponibili
Abilitare i servizi di aggiornamento nei dispositivi. Assicurarsi che ogni dispositivo esegua tutti i servizi su cui si basa Windows Update. A volte gli utenti o anche il malware possono disabilitare i servizi richiesti da Windows Update per funzionare correttamente. Assicurarsi che siano in esecuzione i servizi seguenti:
- Servizio trasferimento intelligente in background
- Servizio infrastruttura attività in background
- BranchCache (se si usa questa funzionalità per la distribuzione degli aggiornamenti)
- Agente della sequenza di attività ConfigMgr (se si usa Configuration Manager per distribuire gli aggiornamenti)
- Servizi di crittografia
- Utilità di avvio dei processi del server DCOM
- Installazione del dispositivo
- Ottimizzazione recapito
- Gestione configurazione dispositivi
- Gestione licenze
- Assistente accesso all'account Microsoft
- Provider di copia shadow software Microsoft
- Remote Procedure Call (RPC)
- Localizzatore RPC (Remote Procedure Call)
- RPC Endpoint Mapper
- Gestione controllo servizi
- Utilità di pianificazione
- Token Broker
- Aggiornare il servizio Orchestrator
- Servizio Copia Shadow del volume
- Windows Automatic Update Service
- Windows Backup
- Windows Defender Firewall
- Strumentazione gestione Windows (WMI)
- Servizio di gestione Windows
- Programma di installazione del modulo Windows
- Notifica push di Windows
- Servizio di sicurezza di Windows
- Servizio Ora di Windows
- Windows Update
- Servizio Windows Update Medic
È possibile controllare questi servizi manualmente usando Services.msc, gli script di PowerShell o altri metodi.
Configurazione di rete
Assicurarsi che i dispositivi possano raggiungere gli endpoint di Windows Update necessari tramite il firewall. Ad esempio, per Windows 10, versione 2004, i seguenti protocolli devono essere in grado di raggiungere i rispettivi endpoint:
Protocollo | Endpoint URL |
---|---|
TLS 1.2 | *.prod.do.dsp.mp.microsoft.com |
HTTP | *.dl.delivery.mp.microsoft.com |
HTTP | *.windowsupdate.com |
HTTPS | *.delivery.mp.microsoft.com |
TLS 1.2 | *.update.microsoft.com |
TLS 1.2 | tsfe.trafficshaping.dsp.mp.microsoft.com |
Nota
Assicurarsi di non usare HTTPS per gli endpoint che specificano HTTP e viceversa. La connessione avrà esito negativo.
Gli endpoint specifici possono variare tra le versioni di Windows. Ad esempio, vedere Endpoint di connessione Windows 10 2004 Enterprise. Sono disponibili articoli simili per altre versioni del client Windows nel sommario qui accanto.
Ottimizzare la larghezza di banda per il download
Configurare Ottimizzazione recapito per la condivisione di rete peer o Microsoft Connected Cache.
Indirizzare i dispositivi non integri
Nel corso del sondaggio sulla popolazione dei dispositivi, è possibile che si trovino dispositivi con problemi sistemici che potrebbero interferire con l'installazione degli aggiornamenti. Ora è il momento di risolvere questi problemi.
Spazio su disco insufficiente: L'installazione degli aggiornamenti qualitativi richiede almeno 2 GB. Gli aggiornamenti delle funzionalità richiedono da 8 GB a 15 GB a seconda della configurazione. In Windows 10 versione 1903 e successive (e Windows 11) puoi usare in modo proattivo la funzionalità "archiviazione riservata" (per la cancellazione e il caricamento, ricompilazioni e nuove build) per evitare l'esaurimento dello spazio su disco. Se si trova un gruppo di dispositivi che non hanno spazio su disco sufficiente, è spesso possibile risolvere il problema pulendo i file di log e chiedendo agli utenti di pulire i dati, se necessario. Un buon punto di partenza consiste nell'eliminare i file seguenti:
- C:\Windows\temp
- C:\Windows\cbstemp (anche se questo file potrebbe essere necessario per analizzare gli errori di aggiornamento)
- C:\Windows\WindowsUpdate.log (anche se questo file potrebbe essere necessario per analizzare gli errori di aggiornamento)
- C:\Windows.Old (questi file devono essere puliti automaticamente dopo 10 giorni o potrebbero chiedere all'utente del dispositivo l'autorizzazione per eseguire la pulizia prima quando sono vincolati allo spazio su disco)
È anche possibile creare ed eseguire script per eseguire azioni di pulizia aggiuntive nei dispositivi, con diritti amministrativi o usare le impostazioni di Criteri di gruppo.
Pulire la cache di Windows Store eseguendo C:\Windows\sytem32\wsreset.exe.
Ottimizzare la cartella WinSxS nel computer client usando Dism.exe /online /Cleanup-Image /StartComponentCleanup.
Compattare il sistema operativo eseguendo Compact.exe /CompactOS:always.
Rimuovere le funzionalità di Windows su richiesta che l'utente non ha bisogno. Per altre informazioni, vedere Funzionalità su richiesta.
Spostare cartelle note di Windows in OneDrive. Per altre informazioni, vedere Usare Criteri di gruppo per controllare le impostazioni di sincronizzazione di OneDrive.
Pulire la cartella Distribuzione software. Provare a distribuire questi comandi come file batch da eseguire nei dispositivi per reimpostare lo stato di download di Aggiornamenti di Windows:
net stop wuauserv net stop cryptSvc net stop bits net stop msiserver ren C:\Windows\SoftwareDistribution C:\Windows\SoftwareDistribution.old net start wuauserv net start cryptSvc net start bits net start msiserver
Aggiornamenti di applicazioni e driver: Un'app o un software driver non aggiornato può impedire l'aggiornamento corretto dei dispositivi. Distribuire eventuali aggiornamenti dai fornitori per eventuali versioni problematiche dell'applicazione o del driver per risolvere i problemi.
Corruzione: In rari casi, un dispositivo con errori di installazione ripetuti potrebbe essere danneggiato in modo da impedire al sistema di applicare un nuovo aggiornamento. Potrebbe essere necessario ripristinare l'archivio Component-Based da un'altra origine. È possibile risolvere il problema con Il controllo file di sistema.
Preparare la funzionalità
Nella fase del piano sono state determinate le modifiche specifiche all'infrastruttura e alla configurazione che dovevano essere implementate per aggiungere nuove funzionalità all'ambiente. È ora possibile passare all'implementazione delle modifiche definite nella fase del piano. È necessario completare queste attività di livello superiore per ottenere queste nuove funzionalità:
Abilitare le funzionalità nell'ambiente implementando le modifiche. Ad esempio, implementare gli aggiornamenti ai modelli ADMX pertinenti in Active Directory. Le nuove versioni di Windows sono dotate di nuovi criteri usati per aggiornare i modelli ADMX.
Convalidare le nuove modifiche per comprendere in che modo influiscono sull'ambiente più ampio.
Correggere eventuali problemi che sono stati identificati tramite la convalida.
Preparare gli utenti
Gli utenti spesso si sentono costretti ad aggiornare i propri dispositivi in modo casuale. Spesso non capiscono completamente il motivo per cui è necessario un aggiornamento e non sanno quando gli aggiornamenti verranno applicati ai dispositivi in anticipo. È consigliabile assicurarsi che gli aggiornamenti imminenti vengano comunicati in modo chiaro e con un avviso adeguato.
È possibile adottare varie misure per raggiungere questo obiettivo, ad esempio:
- Inviare un messaggio di posta elettronica di panoramica sull'aggiornamento e su come verrà distribuito all'intera organizzazione.
- Inviare messaggi di posta elettronica personalizzati agli utenti relativi all'aggiornamento con dettagli specifici.
- Impostare una scadenza di rifiuto esplicito per i dipendenti che devono rimanere nella versione corrente per un po' più a lungo, a causa di esigenze aziendali.
- Fornire la possibilità di eseguire l'aggiornamento volontariamente in base alle esigenze degli utenti.
- Informare gli utenti di una data di installazione obbligatoria quando l'aggiornamento verrà installato in tutti i dispositivi.