Distribuire gli aggiornamenti del client Windows con Windows Server Update Services (WSUS)

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ WSUS

Stai cercando informazioni per utenti privati? Vedi Windows Update: domande frequenti

WSUS è un ruolo di Windows Server disponibile nei sistemi operativi Windows Server, che offre un hub singolo per gestire gli aggiornamenti di Windows all'interno di un'organizzazione. WSUS consente alle aziende non solo di rinviare gli aggiornamenti, ma anche di approvarli in modo selettivo, scegliere quando vengono recapitati e determinare quali singoli dispositivi o gruppi di dispositivi li ricevono. WSUS offre un controllo aggiuntivo sui Windows Update per le aziende, ma non offre tutte le opzioni di pianificazione e la flessibilità di distribuzione offerta Microsoft Configuration Manager.

Quando scegli WSUS come origine per gli aggiornamenti di Windows, usi Criteri di gruppo per indirizzare i dispositivi client Windows al server WSUS per gli aggiornamenti. Gli aggiornamenti verranno poi scaricati periodicamente nel server WSUS e gestiti, approvati e distribuiti tramite la console di amministrazione di WSUS o Criteri di gruppo, semplificando la gestione degli aggiornamenti a livello aziendale. Se attualmente si usa WSUS per gestire gli aggiornamenti di Windows nell'ambiente, è possibile continuare a farlo in Windows 11.

Requisiti per la manutenzione del client Windows con WSUS

Per poter usare WSUS per gestire e distribuire gli aggiornamenti delle funzionalità di Windows, è necessario usare una versione di WSUS supportata:

• WSUS 10.0.14393 (ruolo in Windows Server 2016)
• WSUS 10.0.17763 (ruolo in Windows Server 2019)
• WSUS 6.2 e 6.3 (ruolo in Windows Server 2012 e Windows Server 2012 R2)
• I 3159706 KB 3095113 e KB (o un aggiornamento equivalente) devono essere installati in WSUS 6.2 e 6.3.

Importante

Entrambi i 3095113 KB e KB 3159706 sono inclusi nel rollup qualità mensile della sicurezza a partire da luglio 2017. Ciò significa che potrebbero non essere visualizzati 3095113 KB e KB 3159706 come aggiornamenti installati perché potrebbero essere stati installati con un rollup. Tuttavia, se è necessario uno di questi aggiornamenti, è consigliabile installare un rollup della qualità mensile della sicurezza rilasciato dopo ottobre 2017 poiché contengono un aggiornamento WSUS aggiuntivo per ridurre l'utilizzo della memoria nel servizio client web di WSUS. Se uno di questi aggiornamenti è stato sincronizzato prima del rollup della qualità mensile della sicurezza, è possibile riscontrare problemi. Per eseguire il ripristino da questa operazione, vedere Come eliminare gli aggiornamenti in WSUS.

Scalabilità di WSUS

Per usare WSUS per gestire tutti gli aggiornamenti di Windows, alcune organizzazioni potrebbero avere la necessità di accedere a WSUS da una rete perimetrale oppure potrebbero esistere altri scenari complessi. WSUS è ampiamente scalabile e configurabile per le organizzazioni di qualsiasi dimensione o con qualsiasi layout del sito. Per informazioni specifiche sul ridimensionamento di WSUS, tra cui la configurazione del server upstream e downstream, le succursali, il bilanciamento del carico WSUS e altri scenari complessi, vedere Distribuire Windows Server Update Services.

Configurare gli aggiornamenti automatici e il percorso del servizio di aggiornamento

Quando usi WSUS per gestire gli aggiornamenti nei dispositivi client Windows, per iniziare dovrai configurare le impostazioni di Criteri di gruppo Configura Aggiornamenti automatici e Specifica il percorso del servizio di aggiornamento Microsoft nella rete Intranet per il tuo ambiente. In questo modo, i client interessati dovranno contattare il server WSUS in modo che possa gestirli. La procedura seguente descrive come specificare queste impostazioni e distribuirle in tutti i dispositivi del dominio.

Per configurare le impostazioni di Criteri di gruppo Configura aggiornamenti automatici e Specifica il percorso del servizio di aggiornamento Microsoft nella rete Intranet per il tuo ambiente

1. Aprire Criteri di gruppo Management Console (gpmc.msc).

2. Espandere Foresta\Domini\Your_Domain.

3. Fare clic con il pulsante destro del mouse su Your_Domain, quindi selezionare Crea un oggetto Criteri di gruppo in questo dominio e collegarlo qui.

   

   Nota

   In questo esempio, le impostazioni di Criteri di gruppo Configura Aggiornamenti automatici e Specifica il percorso del servizio di aggiornamento Microsoft nella rete Intranet vengono specificate per l'intero dominio. Non si tratta di un requisito. Puoi assegnare queste impostazioni a qualsiasi gruppo di sicurezza con i filtri di sicurezza o un'unità organizzativa specifica.

4. Nella finestra di dialogo Nuovo oggetto Criteri di gruppo denominare il nuovo oggetto Criteri di gruppo WSUS - Auto Aggiornamenti e Percorso del servizio di aggiornamento Intranet.

5. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo WSUS - Auto Aggiornamenti e Percorso del servizio di aggiornamento Intranet e quindi scegliere Modifica.

6. Nell'Editor Gestione Criteri di gruppo passa a Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Windows Update.

7. Fare clic con il pulsante destro del mouse sull'impostazione Configura Aggiornamenti automatica e quindi scegliere Modifica.

   

8. Nella finestra di dialogo Configura aggiornamenti automatici seleziona Attivata.

9. In Opzioni, nell'elenco Configura aggiornamento automatico selezionare 3 - Download automatico e notifica per l'installazione e quindi selezionare OK.

   

   Importante

   Usare Regedit.exe per verificare che la chiave seguente non sia abilitata perché può interrompere la connettività di Windows Store: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations

   Nota

   Sono disponibili altre tre impostazioni per il download automatico degli aggiornamenti e le date e gli orari di installazione. Questa è semplicemente l'opzione usata in questo esempio. Per altri esempi di come controllare gli aggiornamenti automatici e altri criteri correlati, vedi Configurare gli aggiornamenti automatici tramite Criteri di gruppo.

10. Fare clic con il pulsante destro del mouse sull'impostazione Specifica percorso del servizio di aggiornamento Microsoft intranet e quindi scegliere Modifica.

11. Nella finestra di dialogo Specifica il percorso del servizio di aggiornamento Microsoft nella rete Intranet seleziona Attivata.

12. In Opzioni, in Impostare il servizio di aggiornamento Intranet per il rilevamento degli aggiornamenti e Impostare le opzioni del server statistiche Intranet digitare http://Your_WSUS_Server_FQDN:PortNumbere quindi selezionare OK.

    Nota

    L'URL http://CONTOSO-WSUS1.contoso.com:8530 nell'immagine seguente è solo un esempio. Nel tuo ambiente, assicurati di usare il nome del server e il numero di porta corretti per la tua istanza di WSUS.

    

    Nota

    La porta HTTP predefinita per WSUS è 8530 e la porta HTTPS (HTTP over Secure Sockets Layer) predefinita è 8531. Le altre opzioni sono 80 e 443. Non sono supportate altre porte.

Man mano che i client Windows aggiornano i criteri del computer (l'intervallo di aggiornamento predefinito per Criteri di gruppo è di 90 minuti e al riavvio del computer), i computer iniziano a comparire in WSUS. Ora che i client comunicano con il server WSUS, puoi creare i gruppi di computer in linea con i tuoi circuiti di distribuzione.

Creare gruppi di computer nella console di amministrazione di WSUS

Nota

Le procedure seguenti usano i gruppi della tabella 1 negli anelli di distribuzione di compilazione per gli aggiornamenti client Windows come esempi.

Puoi usare i gruppi di computer per impostare come destinazione un sottoinsieme di dispositivi con aggiornamenti delle funzionalità e qualitativi specifici. Questi gruppi rappresentano i tuoi circuiti di distribuzione, sotto il controllo di WSUS. Puoi popolare i gruppi manualmente tramite la console di amministrazione di WSUS o automaticamente tramite Criteri di gruppo. Indipendentemente dal metodo scelto, devi prima creare i gruppi nella console di amministrazione di WSUS.

Per creare gruppi di computer nella console di amministrazione di WSUS

1. Apri la console di amministrazione di WSUS.

2. Passare a Server_Name\Computer\Tutti i computer e quindi selezionare Aggiungi gruppo di computer.

   

3. Digitare Ring 2 Pilot Business Users per il nome e quindi selezionare Aggiungi.

4. Ripeti questi passaggi per i gruppi Circuito 3 (IT generale) e Circuito 4 (utenti aziendali generale). Al termine, dovrebbero essere presenti tre gruppi anello di distribuzione.

Dopo aver creato i gruppi, puoi ora aggiungere i computer ai gruppi di computer allineati ai circuiti di distribuzione desiderati. Puoi eseguire questa operazione tramite Criteri di gruppo o manualmente con la console di amministrazione di WSUS.

Usare la console di amministrazione di WSUS per popolare i circuiti di distribuzione

L'aggiunta dei computer ai gruppi di computer nella console di amministrazione di WSUS è semplice, ma potrebbe richiedere più tempo rispetto alla gestione dell'appartenenza tramite Criteri di gruppo, specialmente se hai molti computer da aggiungere. L'aggiunta di computer ai gruppi di computer nella console di amministrazione di WSUS viene definita appartenenza a gruppi di destinazione sul lato server.

In questo esempio, puoi aggiungere i computer ai gruppi di computer in due modi diversi: assegnando manualmente i computer non assegnati e cercando più computer.

Assegnare manualmente i computer non assegnati ai gruppi

I nuovi computer che iniziano a comunicare con WSUS vengono visualizzati nel gruppo Computer non assegnati. Da qui puoi usare la procedura seguente per aggiungere i computer ai gruppi corretti. Per questi esempi, aggiungerai due PC Windows 10 (WIN10-PC1 e WIN10-PC2) ai gruppi di computer.

Per assegnare i computer manualmente

1. Nella console di amministrazione di WSUS vai a Nome_server\Computer\Tutti i computer\Computer non assegnati.

   Qui puoi vedere i nuovi computer che hanno ricevuto l'oggetto Criteri di gruppo creato nella sezione precedente e iniziano a comunicare con WSUS. In questo esempio sono disponibili solo due computer; a seconda dell'ampiezza con cui sono stati distribuiti i criteri, è probabile che qui siano presenti molti computer.

2. Selezionare entrambi i computer, fare clic con il pulsante destro del mouse sulla selezione e quindi scegliere Modifica appartenenza.

   

3. Nella finestra di dialogo Imposta appartenenza al gruppo di computer selezionare l'anello di distribuzione Ring 2 Pilot Business Users e quindi selezionare OK.

   Dato che sono stati assegnati a un gruppo, i computer non fanno più parte del gruppo Computer non assegnati. Se si seleziona il gruppo di computer Ring 2 Pilot Business Users , verranno visualizzati entrambi i computer.

Cercare più computer per aggiungerli ai gruppi

Un altro modo per aggiungere più computer a un circuito di distribuzione nella console di amministrazione di WSUS consiste nell'usare la funzionalità di ricerca.

Per cercare più computer

1. Nella console di amministrazione di WSUS passare a Server_Name\Computer\Tutti i computer, fare clic con il pulsante destro del mouse su Tutti i computer e quindi scegliere Cerca.

2. Nella casella di ricerca digita WIN10.

3. Nei risultati della ricerca selezionare i computer, fare clic con il pulsante destro del mouse sulla selezione e quindi scegliere Modifica appartenenza.

   

4. Selezionare l'anello ring 3 Broad IT deployment (Anello 3 distribuzione IT generale ) e quindi selezionare OK.

Ora puoi vedere questi computer nel gruppo di computer Circuito 3 (IT generale).

Usare Criteri di gruppo per popolare i circuiti di distribuzione

La console di amministrazione di WSUS offre una comoda interfaccia per gestire gli aggiornamenti qualitativi e delle funzionalità di Windows 10. Se devi aggiungere molti computer al circuito di distribuzione di WSUS corretto, tuttavia, eseguire l'operazione manualmente nella console di amministrazione di WSUS può richiedere molto tempo. In questi casi, valuta la possibilità di usare Criteri di gruppo per selezionare i computer corretti, aggiungendoli automaticamente al circuito di distribuzione di WSUS corretto in base a un gruppo di sicurezza di Active Directory. Questo processo è noto come appartenenza a gruppi di destinazione sul lato client. Prima di abilitare l'appartenenza a gruppi di destinazione sul lato client in Criteri di gruppo, devi configurare WSUS per accettare l'assegnazione di computer da Criteri di gruppo.

Per configurare WSUS per consentire l'appartenenza a gruppi di destinazione sul lato client da Criteri di gruppo

1. Aprire la console di amministrazione di WSUS, passare a Server_Name\Opzioni e quindi selezionare Computer.

   

2. Nella finestra di dialogo Computer selezionare Usa Criteri di gruppo o le impostazioni del Registro di sistema nei computer e quindi selezionare OK.

   Nota

   Questa opzione è esclusiva. Se imposti WSUS per usare Criteri di gruppo per l'assegnazione dei gruppi, non puoi più aggiungere manualmente i computer tramite la console di amministrazione di WSUS, se non modificando questa opzione.

Ora che WSUS è pronto per l'appartenenza a gruppi di destinazione sul lato client, esegui le operazioni seguenti per usare Criteri di gruppo per configurare l'appartenenza a gruppi di destinazione sul lato client:

Per configurare l'appartenenza a gruppi di destinazione sul lato client

Suggerimento

Quando usi l'appartenenza a gruppi di destinazione sul lato client, valuta la possibilità di assegnare ai gruppi di sicurezza gli stessi nomi dei circuiti di distribuzione. Questa operazione semplifica il processo di creazione dei criteri e consente di assicurarsi di non aggiungere computer agli anelli non corretti.

1. Aprire Criteri di gruppo Management Console (gpmc.msc).

2. Espandere Foresta\Domini\Your_Domain.

3. Fare clic con il pulsante destro del mouse su Your_Domain, quindi selezionare Crea un oggetto Criteri di gruppo in questo dominio e collegarlo qui.

4. Nella finestra di dialogo Nuovo oggetto Criteri di gruppo digitare WSUS - Destinazione client - Anello 4 Utenti aziendali generali per il nome del nuovo oggetto Criteri di gruppo.

5. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo WSUS - Client Targeting - Ring 4 Broad Business Users e quindi scegliere Modifica.

   

6. Nell'Editor Gestione Criteri di gruppo passa a Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Windows Update.

7. Fare clic con il pulsante destro del mouse su Abilita destinazione lato client e quindi scegliere Modifica.

8. Nella finestra di dialogo Abilita appartenenza gruppo destinazione seleziona Attivata.

9. Nella casella Nome gruppo di destinazione del computer digita Circuito 4 (utenti aziendali generale). Questo è il nome del circuito di distribuzione in WSUS a cui verranno aggiunti questi computer.

   

Warning

Il nome del gruppo di destinazione deve corrispondere al nome del gruppo di computer.

10. Chiudi l'Editor Gestione Criteri di gruppo.

A questo momento si è pronti per distribuire questo oggetto Criteri di gruppo nel gruppo di sicurezza computer corretto per l'anello di distribuzione Ring 4 Broad Business Users .

Per impostare un gruppo come ambito per l'oggetto Criteri di gruppo

1. In Console Gestione Criteri di gruppo selezionare i criteri WSUS - Destinazione client - Anello 4 Utenti aziendali generali .

2. Selezionare la scheda Ambito .

3. In Filtri di sicurezza rimuovi il gruppo di sicurezza predefinito Authenticated Users e quindi aggiungi il gruppo Circuito 4 (utenti aziendali generale).

   

La volta successiva in cui i client del gruppo di sicurezza Utenti aziendali generali di Ring 4 ricevono i criteri del computer e contattano WSUS, verranno aggiunti all'anello di distribuzione Ring 4 Broad Business Users.The next time the clients in the Ring 4 Broad Business Users security group receive their computer policy and contact WSUS, they'll be added to the Ring 4 Broad Business Users deployment ring.

Approvare e distribuire automaticamente gli aggiornamenti delle funzionalità

Per i client che devono avere gli aggiornamenti delle funzionalità approvati non appena sono disponibili, è possibile configurare le regole di approvazione automatica in WSUS.

Nota

WSUS rispetta il ramo di manutenzione del dispositivo client. Se si approva un aggiornamento delle funzionalità mentre si trova ancora in un ramo, ad esempio Insider Preview, WSUS installerà l'aggiornamento solo nei dispositivi che si trovano in tale ramo di manutenzione. Quando Microsoft rilascia la build per il canale di disponibilità generale, i dispositivi in che la installeranno. Windows Update per le impostazioni del ramo business non si applicano agli aggiornamenti delle funzionalità tramite WSUS.

Per configurare una regola di approvazione automatica per gli aggiornamenti delle funzionalità client Windows e approvarli per l'anello di distribuzione IT generale ring 3 Questo esempio usa Windows 10, ma il processo è lo stesso per Windows 11.

1. Nella console di amministrazione di WSUS passare a Update Services\Server_Name\Options e quindi selezionare Approvazioni automatiche.

2. Nella scheda Regole di aggiornamento selezionare Nuova regola.

3. Nella finestra di dialogo Aggiungi regola seleziona le caselle di controllo Se l'aggiornamento è in una classificazione specifica, Se l'aggiornamento è in un prodotto specifico e Impostare una scadenza per l'approvazione.

   

4. Nell'area Modificare le proprietà seleziona qualsiasi classificazione. Deselezionare tutti gli elementi tranne Aggiornamenti e quindi selezionare OK.

5. Nell'area Modifica proprietà selezionare il collegamento qualsiasi prodotto. Deselezionare tutte le caselle di controllo tranne Windows 10 e quindi selezionare OK.

   Windows 10 è in Tutti i prodotti\Microsoft\Windows.

6. Nell'area Modifica proprietà selezionare il collegamento tutti i computer . Deselezionare tutte le caselle di controllo del gruppo di computer ad eccezione di Ring 3 Broad IT e quindi selezionare OK.

7. Lascia la scadenza impostata su 7 giorno dopo l'approvazione alle 3.00.

8. Nella casella Passaggio 3: Specificare un nome digitare Windows 10 Aggiornare l'approvazione automatica per Ring 3 Broad IT e quindi selezionare OK.

   

9. Nella finestra di dialogo Approvazioni automatiche selezionare OK.

   Nota

   WSUS non rispetta le impostazioni di rinvio di mese/settimana/giorno esistenti. Detto questo, se si usa Windows Update for Business per un computer per il quale WSUS gestisce anche gli aggiornamenti, quando WSUS approva l'aggiornamento, verrà installato nel computer indipendentemente dal fatto che sia stato configurato Criteri di gruppo in attesa.

Ora, ogni volta che gli aggiornamenti delle funzionalità client Windows vengono pubblicati in WSUS, verranno approvati automaticamente per l'anello di distribuzione IT generale Ring 3 con una scadenza di installazione di 1 settimana.

Warning

La regola di approvazione automatica viene eseguita dopo la sincronizzazione. Ciò significa che l'aggiornamento successivo per ogni versione del client Windows verrà approvato. Se si seleziona Esegui regola, tutti gli aggiornamenti possibili che soddisfano i criteri verranno approvati, potenzialmente inclusi gli aggiornamenti meno recenti che non si desidera effettivamente, il che può costituire un problema quando le dimensioni di download sono molto grandi.

Approvare e distribuire manualmente gli aggiornamenti delle funzionalità

Puoi approvare manualmente gli aggiornamenti e impostare scadenze per l'installazione anche all'interno della console di amministrazione di WSUS. Potrebbe essere preferibile approvare manualmente le regole di aggiornamento dopo l'aggiornamento della distribuzione pilota.

Per semplificare il processo di approvazione manuale, iniziare creando una vista di aggiornamento software che contiene solo Windows 10 (in questo esempio) gli aggiornamenti. Il processo è lo stesso per gli aggiornamenti Windows 11.

Nota

Se si approvano più aggiornamenti delle funzionalità per un computer, può verificarsi un errore con il client. Approvare un solo aggiornamento delle funzionalità per computer.

Per approvare e distribuire manualmente gli aggiornamenti delle funzionalità

1. Nella console di amministrazione di WSUS passare a Update Services\Server_Name\Aggiornamenti. Nel riquadro Azione selezionare Nuova visualizzazione aggiornamento.

2. Nella finestra di dialogo Aggiungi visualizzazione aggiornamento seleziona Aggiornamenti in una specifica classificazione e Aggiornamenti per un prodotto specifico.

3. In Passaggio 2: Modificare le proprietà selezionare qualsiasi classificazione. Deselezionare tutte le caselle di controllo ad eccezione di Aggiornamenti e quindi selezionare OK.

4. In Passaggio 2: Modificare le proprietà selezionare qualsiasi prodotto. Deselezionare tutte le caselle di controllo tranne Windows 10 e quindi selezionare OK.

   Windows 10 è in Tutti i prodotti\Microsoft\Windows.

5. Nella casella Passaggio 3: Specificare un nome digitare Tutti gli aggiornamenti Windows 10 e quindi selezionare OK.

   

Ora che è disponibile la visualizzazione Tutti gli aggiornamenti Windows 10, completare i passaggi seguenti per approvare manualmente un aggiornamento per l'anello di distribuzione Ring 4 Broad Business Users:Now you have the All Windows 10 Upgrades view, complete the following steps to manually approve an update for the Ring 4 Broad Business Users deployment ring:

1. Nella console di amministrazione di WSUS passare a Update Services\Server_Name\Aggiornamenti\All Windows 10 Upgrades.In the WSUS Administration Console, go to Update Services\Server_Name\Aggiornamenti\All Windows 10 Upgrades.

2. Fare clic con il pulsante destro del mouse sull'aggiornamento della funzionalità da distribuire e quindi scegliere Approva.

   

3. Nella finestra di dialogo Approva aggiornamenti seleziona Circuito 4 (utenti aziendali generale) nell'elenco Approvato per l'installazione.

   

4. Nella finestra di dialogo Approva Aggiornamenti selezionare Scadenza dall'elenco Utenti aziendali generali di Ring 4, selezionare Una settimana e quindi ok.

   

5. Se viene visualizzata la finestra di dialogo Condizioni di licenza software Microsoft , selezionare Accetta.

   Se la distribuzione ha esito positivo, riceverai un report di stato corrispondente.

   

6. Nella finestra di dialogo Stato approvazione selezionare Chiudi.