Passaggio 2: Configurare WSUS

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Dopo aver installato il ruolo del server Windows Server Update Services (WSUS) nel server, è necessario configurarlo correttamente. È anche necessario configurare i computer client per ricevere gli aggiornamenti dal server WSUS.

Questo articolo illustra le procedure seguenti:

Attività Descrizione
2.1. Configurare le connessioni di rete Configurare le impostazioni del firewall e del proxy per consentire al server di effettuare le connessioni necessarie.
2.2. Configurare WSUS tramite la Configurazione guidata WSUS Usare la Configurazione guidata WSUS per eseguire la configurazione WSUS di base.
2.3. Proteggere WSUS con il protocollo Secure Sockets Layer Configurare il protocollo Secure Sockets Layer (SSL) per proteggere WSUS.
2.4. Configurare i gruppi di computer WSUS Creare gruppi di computer nella console di amministrazione di WSUS per gestire gli aggiornamenti nell'organizzazione.
2.5. Configurare i computer client per stabilire connessioni SSL con il server WSUS Configurare i computer client per stabilire connessioni protette al server WSUS.
2.6. Configurare i computer client per ricevere gli aggiornamenti dal server WSUS Configurare i computer client per ricevere gli aggiornamenti dal server WSUS.

2.1. Configurare le connessioni di rete

Prima di avviare il processo di configurazione, accertarsi di essere in grado di rispondere alle domande seguenti.

  • Il firewall del server è configurato per consentire ai client di accedere al server?

  • Questo computer può connettersi al server upstream (ad esempio il server designato per scaricare gli aggiornamenti da Microsoft Update)?

  • Se necessario, si conoscono il nome del server proxy e le relative credenziali utente?

È quindi possibile avviare la configurazione delle impostazioni di rete WSUS seguenti:

  • Aggiornamenti: specificare il modo in cui il server otterrà gli aggiornamenti (da Microsoft Update o da un altro server WSUS).

  • Proxy: se è stato identificato che WSUS deve usare un server proxy per avere accesso a Internet, è necessario configurare le impostazioni proxy nel server WSUS.

  • Firewall: se è stato identificato che WSUS è dietro un firewall aziendale, è necessario eseguire passaggi aggiuntivi nel dispositivo perimetrale per consentire il traffico WSUS.

Importante

Se si dispone di un solo server WSUS, deve avere accesso a Internet, perché deve scaricare gli aggiornamenti da Microsoft. Se si dispone di più server WSUS, solo un server richiede l'accesso a Internet. Gli altri devono solo accedere alla rete al server WSUS connesso a Internet. I computer client non necessitano dell'accesso a Internet. è necessario solo l'accesso di rete a un server WSUS.

Suggerimento

Se la rete è "air gapped", se non ha accesso a Internet, è comunque possibile usare WSUS per fornire aggiornamenti ai computer client in rete. Questo approccio richiede due server WSUS. Un server WSUS con accesso a Internet raccoglie gli aggiornamenti da Microsoft. Un secondo server WSUS nella rete protetta fornisce gli aggiornamenti ai computer client. Gli aggiornamenti vengono esportati dal primo server su supporti rimovibili, trasportati attraverso il gap dell'aria e importati nel secondo server. Si tratta di una configurazione avanzata che non si trova nell'ambito di questo articolo.

2.1.1. Configurare il firewall per consentire al primo server WSUS di connettersi ai domini Microsoft su Internet

Se un firewall aziendale si trova tra WSUS e Internet, potrebbe essere necessario configurare tale firewall per garantire che WSUS possa ottenere gli aggiornamenti. Per ottenere gli aggiornamenti Microsoft Update, il server WSUS usa la porta 443 per il protocollo HTTPS. Anche se la maggior parte dei firewall aziendali consente questo tipo di traffico, alcune aziende limitano l'accesso a Internet dai server a causa dei criteri di sicurezza. Se l'azienda limita l'accesso, sarà necessario configurare il firewall per consentire al server WSUS di accedere ai domini Microsoft.

Il primo server WSUS deve avere accesso in uscita alle porte 80 e 443 nei domini seguenti:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

Importante

È necessario configurare il firewall per consentire al primo server WSUS di accedere a qualsiasi URL all'interno di questi domini. Gli indirizzi IP associati a questi domini cambiano costantemente, quindi non provare a usare gli intervalli di indirizzi IP.

Per uno scenario in cui WSUS non riesce a ottenere gli aggiornamenti a causa delle configurazioni del firewall, vedere l'articolo 885819 nel Microsoft Knowledge Base.

2.1.2. Configurare il firewall per consentire agli altri server WSUS di connettersi al primo server

Se si dispone di più server WSUS, è necessario configurare gli altri server WSUS per accedere al primo server ("in primo piano"). Gli altri server WSUS riceveranno tutte le informazioni di aggiornamento dal server più in alto. Questa configurazione consente di gestire l'intera rete usando la console di amministrazione di WSUS nel server più in alto.

Gli altri server WSUS devono avere accesso in uscita al server più in alto tramite due porte. Per impostazione predefinita, si tratta delle porte 8530 e 8531. È possibile modificare queste porte, come descritto più avanti in questo articolo.

Nota

Se la connessione di rete tra i server WSUS è lenta o costosa, è possibile configurare uno o più degli altri server WSUS per ricevere i payload di aggiornamento direttamente da Microsoft. In questo caso, solo una piccola quantità di dati verrà inviata da tali server WSUS al server più in alto. Per il funzionamento di questa configurazione, gli altri server WSUS devono avere accesso agli stessi domini Internet del server più in alto.

Nota

Se si dispone di un'organizzazione di grandi dimensioni, è possibile usare catene di server WSUS connessi, anziché fare in modo che tutti gli altri server WSUS si connettono direttamente al server più in alto. Ad esempio, è possibile avere un secondo server WSUS che si connette al server più in alto e quindi fare in modo che altri server WSUS si connettono al secondo server WSUS.

2.1.3. Configurare i server WSUS per l'uso di un server proxy, se necessario

Se la rete aziendale usa server proxy, i server proxy devono supportare i protocolli HTTP e SSL. Devono anche usare l'autenticazione di base o Windows autenticazione. È possibile soddisfare questi requisiti usando una delle configurazioni seguenti:

  • Un singolo server proxy che supporta due canali di protocollo. In questo caso, impostare un canale per usare HTTP e l'altro per HTTPS.

    Nota

    È possibile configurare un server proxy che gestisce entrambi i protocolli per WSUS durante l'installazione del software server WSUS.

  • Due server proxy, ognuno dei quali supporta un singolo protocollo. In questo caso, un server proxy è configurato per usare HTTP e l'altro per HTTPS.

Per configurare WSUS per usare due server proxy

  1. Accedere al computer che sarà il server WSUS usando un account membro del gruppo Administrators locale.

  2. Installare il ruolo del server WSUS. Durante la Configurazione guidata WSUS non specificare un server proxy.

  3. Aprire un prompt dei comandi (Cmd.exe) come amministratore:

    1. Fare clic su Start.
    2. In Inizia ricerca digitare Prompt dei comandi.
    3. Nella parte superiore del menu Start fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi scegliere Esegui come amministratore.
    4. Se viene visualizzata la finestra di dialogo Controllo account utente , immettere le credenziali appropriate (se richiesto), verificare che l'azione visualizzata sia quella desiderata e quindi selezionare Continua.
  4. Nella finestra del prompt dei comandi passare alla cartella C:\Programmi\Update Services\Tools. Immettere il comando seguente:

    wsusutil ConfigureSSLproxy [<proxy_server proxy_port>] -enable

    In tale comando:

    • proxy_server è il nome del server proxy che supporta HTTPS.

    • proxy_port è il numero di porta del server proxy.

  5. Chiudere la finestra del prompt dei comandi.

Per aggiungere un server proxy alla configurazione di WSUS

  1. Aprire la console di amministrazione di WSUS.

  2. Nel riquadro sinistro espandere il nome del server e quindi selezionare Opzioni.

  3. Nel riquadro Opzioni selezionare Origine aggiornamento e Server di aggiornamento e quindi selezionare la scheda Server proxy.

  4. Selezionare la casella di controllo Usa un server proxy durante la sincronizzazione .

  5. Nella casella di testo Nome server proxy immettere il nome del server proxy.

  6. Nella casella di testo Numero porta proxy immettere il numero di porta del server proxy. Il numero di porta predefinito è 80.

  7. Se il server proxy richiede l'uso di un account utente specifico, selezionare la casella di controllo Usa credenziali utente per connettersi al server proxy. Immettere il nome utente, il dominio e la password necessari nelle caselle di testo corrispondenti.

  8. Se il server proxy supporta l'autenticazione di base, selezionare la casella di controllo Consenti autenticazione di base (la password viene inviata in testo non crittografato).

  9. Selezionare OK.

Per rimuovere un server proxy dalla configurazione di WSUS

  1. Deselezionare la casella di controllo Usa un server proxy durante la sincronizzazione .

  2. Selezionare OK.

2.1.4. Configurare il firewall per consentire ai computer client di accedere a un server WSUS

Tutti i computer client si connetteranno a uno dei server WSUS. Il computer client deve avere accesso in uscita a due porte nel server WSUS. Per impostazione predefinita, si tratta delle porte 8530 e 8531.

2.2. Configurare WSUS tramite la Configurazione guidata WSUS

Questa procedura presuppone l'uso della Configurazione guidata WSUS, che viene visualizzata al primo avvio della console di gestione WSUS. Più avanti in questo argomento si apprenderà come eseguire queste configurazioni usando la pagina Opzioni.

Per configurare WSUS

  1. Nel riquadro sinistro di Server Manager selezionare Strumenti dashboard > > Windows Server Update Services.

    Nota

    Se viene visualizzata la finestra di dialogo Completa installazione WSUS , selezionare Esegui. Nella finestra di dialogo Completa installazione WSUS selezionare Chiudi al termine dell'installazione.

  2. Verrà visualizzata la Configurazione guidata WSUS. Nella pagina Prima di iniziare esaminare le informazioni e quindi selezionare Avanti.

  3. Leggere le istruzioni nella pagina Partecipare al Microsoft Update analisi utilizzo software. Mantenere la selezione predefinita se si vuole partecipare al programma o deselezionare la casella di controllo in caso contrario. Selezionare quindi Avanti.

  4. Nella pagina Scegli server upstream selezionare una delle due opzioni: Sincronizza gli aggiornamenti con Microsoft Update o Sincronizza da un altro server Windows Server Update Services.

    Se si sceglie di eseguire la sincronizzazione da un altro server WSUS:

    • Specificare il nome del server e la porta su cui il server comunicherà con il server upstream.

    • Per usare SSL, selezionare la casella di controllo Usa SSL durante la sincronizzazione delle informazioni di aggiornamento. I server utilizzeranno la porta 443 per la sincronizzazione. Verificare che questo server e il server upstream supportino SSL.

    • Se si tratta di un server di replica, selezionare la casella di controllo Questa è una replica del server upstream.

  5. Dopo aver selezionato le opzioni per la distribuzione, selezionare Avanti.

  6. Nella pagina Specifica server proxy selezionare la casella di controllo Usa un server proxy durante la sincronizzazione . Immettere quindi il nome del server proxy e il numero di porta (porta 80 per impostazione predefinita) nelle caselle corrispondenti.

    Importante

    È necessario completare questo passaggio se è stato identificato che WSUS richiede un server proxy per l'accesso a Internet.

  7. Se si vuole connettersi al server proxy usando credenziali utente specifiche, selezionare la casella di controllo Usa credenziali utente per connettersi al server proxy. Immettere quindi il nome utente, il dominio e la password dell'utente nelle caselle corrispondenti.

    Se si vuole abilitare l'autenticazione di base per l'utente che si connette al server proxy, selezionare la casella di controllo Consenti autenticazione di base (la password viene inviata in testo non crittografato).

  8. Selezionare Avanti.

  9. Nella pagina Connessione al server upstream selezionare Avvia connessione.

  10. Quando WSUS si connette al server, selezionare Avanti.

  11. Nella pagina Scelta lingue è possibile selezionare le lingue da cui WSUS riceverà gli aggiornamenti: tutte le lingue o un subset di lingue. La selezione di un subset di lingue consente di risparmiare spazio su disco, ma è importante scegliere tutte le lingue necessarie per tutti i client di questo server WSUS.

    Se si sceglie di ottenere gli aggiornamenti solo per lingue specifiche, selezionare Scarica aggiornamenti solo in queste lingue e quindi selezionare le lingue per cui si desiderano gli aggiornamenti. In caso contrario, lasciare la selezione predefinita.

    Avviso

    Se si seleziona l'opzione Scarica aggiornamenti solo nelle lingue seguenti quando al server è connesso un server WSUS downstream, anche quest'ultimo sarà forzato a utilizzare solo le lingue selezionate.

  12. Dopo aver selezionato le opzioni relative alla lingua per la distribuzione, selezionare Avanti.

  13. La pagina Scegli prodotti consente di specificare i prodotti per i quali si desiderano gli aggiornamenti. Selezionare le categorie dei prodotti, ad esempio Windows, o prodotti specifici, ad esempio Windows Server 2012. Se si seleziona una categoria di prodotti, verranno selezionati tutti i prodotti in essa contenuti.

  14. Dopo aver selezionato le opzioni del prodotto per la distribuzione, selezionare Avanti.

  15. Nella pagina Scegli classificazioni selezionare le classificazioni di aggiornamento da ottenere. Scegliere tutte le classificazioni o un subset di esse e quindi selezionare Avanti.

  16. La pagina Imposta pianificazione della sincronizzazione consente di scegliere se eseguire la sincronizzazione in modo manuale o automatico.

    • Se si seleziona Sincronizza manualmente, è necessario avviare il processo di sincronizzazione dalla console di amministrazione di WSUS.

    • Se si seleziona Sincronizza automaticamente, il server WSUS verrà sincronizzato a intervalli impostati.

    Impostare l'ora per Prima sincronizzazione e quindi specificare il numero di sincronizzazioni al giorno che si desidera che il server eserviti. Ad esempio, se si specificano quattro sincronizzazioni al giorno, a partire dalle 3:00, le sincronizzazioni verranno eseguite alle 3:00, alle 9:00, alle 15:00 e alle 21:00.

  17. Dopo aver selezionato le opzioni di sincronizzazione per la distribuzione, selezionare Avanti.

  18. Nella pagina Operazione completata è possibile avviare la sincronizzazione selezionando la casella di controllo Avvia sincronizzazione iniziale.

    Se non si seleziona questa opzione, è necessario usare la console di gestione WSUS per eseguire la sincronizzazione iniziale. Selezionare Avanti per altre informazioni sulle impostazioni aggiuntive oppure selezionare Fine per completare la procedura guidata e completare l'installazione iniziale di WSUS.

  19. Dopo aver selezionato Fine, viene visualizzata la console di amministrazione di WSUS. Questa console verrà utilizzata per gestire la rete WSUS, come descritto più avanti.

2.3. Proteggere WSUS con il protocollo Secure Sockets Layer sicurezza

È consigliabile usare il protocollo SSL per proteggere la rete WSUS. WSUS può usare SSL per autenticare le connessioni e crittografare e proteggere le informazioni sugli aggiornamenti.

Avviso

La protezione di WSUS tramite il protocollo SSL è importante per la sicurezza della rete. Se il server WSUS non usa correttamente SSL per proteggere le connessioni, un utente malintenzionato potrebbe essere in grado di modificare informazioni di aggiornamento cruciali quando vengono inviate da un server WSUS a un altro o dal server WSUS ai computer client. Ciò consentirà all'utente malintenzionato di installare software dannoso nei computer client.

Importante

I client e i server downstream che sono configurati per usare Transport Layer Security (TLS) o HTTPS devono anche essere configurati per usare un nome di dominio completo (FQDN) per il server WSUS upstream.

2.3.1. Abilitare SSL/HTTPS nel servizio IIS del server WSUS per l'uso di SSL/HTTPS

Per iniziare il processo, è necessario abilitare il supporto SSL nel servizio IIS del server WSUS. Questo lavoro comporta la creazione di un certificato SSL per il server.

I passaggi necessari per ottenere un certificato SSL per il server espenderanno dall'ambito di questo articolo e dipenderanno dalla configurazione di rete. Per altre informazioni e per istruzioni su come installare i certificati e configurare questo ambiente, è consigliabile vedere gli articoli seguenti:

2.3.2. Configurare il server Web IIS del server WSUS per l'uso di SSL per alcune connessioni

WSUS richiede due porte per le connessioni ad altri server WSUS e ai computer client. Una porta usa SSL/HTTPS per inviare i metadati degli aggiornamenti (informazioni cruciali sugli aggiornamenti). Per impostazione predefinita, si tratta della porta 8531. Una seconda porta usa HTTP per inviare i payload di aggiornamento. Per impostazione predefinita, si tratta della porta 8530.

Importante

Non è possibile configurare l'intero sito Web WSUS per richiedere SSL. WSUS è progettato per crittografare solo i metadati degli aggiornamenti. Questo è lo stesso modo in cui Windows Update distribuisce gli aggiornamenti.

Per evitare che un utente malintenzionato manomessi i payload di aggiornamento, tutti i payload di aggiornamento vengono firmati tramite un set specifico di certificati di firma attendibili. Viene inoltre calcolato un hash crittografico per ogni payload di aggiornamento. L'hash viene inviato al computer client tramite la connessione protetta ai metadati HTTPS, insieme agli altri metadati per l'aggiornamento. Quando viene scaricato un aggiornamento, il software client verifica la firma digitale e l'hash del payload. Se l'aggiornamento è stato modificato, non viene installato.

È necessario richiedere SSL solo per queste radici virtuali IIS:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

Non è necessario richiedere SSL per queste radici virtuali:

  • Contenuto

  • Inventory

  • ReportingWebService

  • SelfUpdate

Il certificato dell'autorità di certificazione (CA) deve essere importato nell'archivio CA radice attendibile di ogni server WSUS per il computer locale o nell'archivio CA radice attendibile per WSUS, se esistente.

Per altre informazioni su come usare i certificati SSL in IIS, vedere Richiedere Secure Sockets Layer (IIS 7).

Importante

È necessario utilizzare l'archivio certificati per il computer locale. Non è possibile usare l'archivio certificati di un utente.

In genere, è necessario configurare IIS per l'uso della porta 8531 per le connessioni HTTPS e della porta 8530 per le connessioni HTTP. Se si modificano queste porte, è necessario usare due numeri di porta adiacenti. Il numero di porta usato per le connessioni HTTP deve essere esattamente minore di 1 rispetto al numero di porta usato per le connessioni HTTPS.

È necessario reinizializzare ClientServicingProxy se il nome del server, la configurazione SSL o il numero di porta sono stati modificati.

2.3.3. Configurare WSUS per l'uso del certificato di firma SSL per le connessioni client

  1. Accedere al server WSUS usando un account membro del gruppo Wsus Administrators o del gruppo Administrators locale.

  2. Passare a Start, digitare CMD, fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi scegliere Esegui come amministratore.

  3. Passare alla cartella %ProgramFiles% \ Update Services \ Tools. \

  4. Nella finestra del prompt dei comandi immettere il comando seguente:

    Wsusutil configuressl nomeCertificato

    In questo comando certificateName è il nome DNS del server WSUS.

2.3.4. Proteggere la SQL Server, se necessario

Se si usa WSUS con un database SQL Server remoto, la connessione tra il server WSUS e il server di database non è protetta tramite SSL. In questo modo viene creato un potenziale vettore di attacco. Per proteggere questa connessione, prendere in considerazione i consigli seguenti:

  • Spostare il database WSUS nel server WSUS.

  • Spostare il server di database remoto e il server WSUS in una rete privata.

  • Distribuire Internet Protocol Security (IPsec) per proteggere il traffico di rete. Per altre informazioni su IPsec, vedere Creazione e uso dei criteri IPsec.

2.3.5. Creare un certificato di firma del codice per la pubblicazione locale, se necessario

Oltre a distribuire gli aggiornamenti forniti da Microsoft, WSUS supporta la pubblicazione locale. La pubblicazione locale consente di creare e distribuire gli aggiornamenti che si progettano manualmente, con payload e comportamenti personalizzati.

L'abilitazione e la configurazione della pubblicazione locale non sono nell'ambito di questo articolo. Per informazioni dettagliate, vedere Pubblicazione locale.

Importante

La pubblicazione locale è un processo complesso e spesso non è necessario. Prima di decidere di abilitare la pubblicazione locale, è necessario esaminare attentamente la documentazione e valutare se e come si userà questa funzionalità.

2.4. Configurare gruppi di computer WSUS

I gruppi di computer sono una parte importante dell'uso efficace di WSUS. in quanto consentono di testare e distribuire gli aggiornamenti a specifici computer. Sono disponibili due gruppi di computer predefiniti, ovvero Tutti i computer e Computer non assegnati. Per impostazione predefinita, un computer client che contatta il server di WSUS per la prima volta viene aggiunto da quest'ultimo a ciascun gruppo.

È possibile creare tutti i gruppi di computer personalizzati necessari alla gestione degli aggiornamenti all'interno della propria organizzazione. È consigliabile creare almeno un gruppo di computer per il test degli aggiornamenti, prima di procedere alla distribuzione sugli altri computer dell'organizzazione.

2.4.1. Scegliere un approccio per l'assegnazione di computer client a gruppi di computer

Esistono due approcci per assegnare i computer client ai gruppi di computer. L'approccio giusto per l'organizzazione dipende dalla modalità di gestione dei computer client.

  • Destinazione lato server: questo è l'approccio predefinito. In questo approccio i computer client vengono assegnati ai gruppi di computer tramite la console di amministrazione di WSUS.

    Questo approccio offre la flessibilità necessaria per spostare rapidamente i computer client da un gruppo a un altro quando cambiano le circostanze. Ciò significa che i nuovi computer client devono essere spostati manualmente dal gruppo Computer non assegnati al gruppo di computer appropriato.

  • Destinazione lato client: in questo approccio ogni computer client viene assegnato ai gruppi di computer usando le impostazioni dei criteri impostate nel computer client stesso.

    Questo approccio semplifica l'assegnazione di nuovi computer client ai gruppi appropriati. Questa operazione viene richiesta durante la configurazione del computer client per la ricezione di aggiornamenti dal server WSUS. Ciò significa che i computer client non possono essere assegnati a gruppi di computer o spostati da un gruppo di computer a un altro tramite la console di amministrazione di WSUS. È invece necessario modificare i criteri dei computer client.

2.4.2. Abilitare la destinazione lato client, se appropriato

Importante

Ignorare questo passaggio se si userà la destinazione lato server.

  1. Nella console di amministrazione di WSUS, in Update Services espandere il server WSUS e quindi selezionare le opzioni.

  2. Nella scheda Generale del riquadro Opzioni selezionare Usa impostazioni Criteri di gruppo o del Registro di sistema nei computer.

2.4.3. Creare i gruppi di computer desiderati

Nota

È necessario creare gruppi di computer usando la console di amministrazione di WSUS, indipendentemente dal fatto che si usi la destinazione lato server o la destinazione lato client per aggiungere computer client ai gruppi di computer.

  1. Nella console di amministrazione di WSUS, in Update Services espandere il server WSUS, espandere Computer , fare clic con il pulsante destro del mouse su Tutti i computer e quindi scegliere Aggiungi gruppo di computer.

  2. Nella finestra di dialogo Aggiungi gruppo di computer per Nome specificare il nome del nuovo gruppo. Quindi selezionare Aggiungi.

2.5. Configurare i computer client per stabilire connessioni SSL con il server WSUS

Supponendo che il server WSUS sia stato configurato per proteggere le connessioni dei computer client tramite SSL, è necessario configurare i computer client per considerare attendibili tali connessioni SSL.

Il certificato SSL del server WSUS deve essere importato nell'archivio CA radice attendibile dei computer client o nell'archivio ca radice attendibile del servizio di aggiornamento automatico dei computer client, se esistente.

Importante

È necessario utilizzare l'archivio certificati per il computer locale. Non è possibile usare l'archivio certificati di un utente.

I computer client devono considerare attendibile il certificato associato al server WSUS. A seconda del tipo di certificato usato, potrebbe essere necessario configurare un servizio per consentire ai computer client di considerare attendibile il certificato associato al server WSUS.

Se si usa la pubblicazione locale, è necessario configurare anche i computer client in modo che ritienino attendibile il certificato di firma del codice del server WSUS. Per istruzioni, vedere Pubblicazione locale.

2.6. Configurare i computer client per ricevere gli aggiornamenti dal server WSUS

Per impostazione predefinita, i computer client ricevono gli aggiornamenti Windows Update. Devono invece essere configurati per ricevere gli aggiornamenti dal server WSUS.

Importante

Questo articolo presenta un set di passaggi per la configurazione dei computer client tramite Criteri di gruppo. Questi passaggi sono appropriati in molte situazioni. Sono tuttavia disponibili molte altre opzioni per la configurazione del comportamento di aggiornamento nei computer client, incluso l'uso della gestione dei dispositivi mobili. Queste opzioni sono documentate in Manage additional Windows Update settings.

2.6.1. Scegliere il set corretto di criteri da modificare

Se Active Directory è stato configurato nella rete, è possibile configurare uno o più computer contemporaneamente includendoli in un oggetto Criteri di gruppo e quindi configurando tale oggetto Criteri di gruppo con le impostazioni WSUS.

Si consiglia di creare un nuovo oggetto Criteri di gruppo che contenga solo le impostazioni WSUS. Collegare questo oggetto Criteri di gruppo WSUS a un contenitore di Active Directory appropriato per l'ambiente.

In un ambiente semplice è possibile collegare un solo oggetto Criteri di gruppo WSUS al dominio. In un ambiente più complesso, è possibile collegare più oggetti Criteri di gruppo WSUS a diverse unità organizzative. Il collegamento di oggetti Criteri di gruppo a unità organizzative consentirà di applicare le impostazioni dei criteri WSUS a diversi tipi di computer.

Se non si usa Active Directory nella rete, si configurerà ogni computer usando il Editor Criteri di gruppo locali.

2.6.2. Modificare i criteri per configurare i computer client

Nota

Queste istruzioni presuppongono che si utilizzino le versioni più recenti degli strumenti di modifica dei criteri. Nelle versioni precedenti degli strumenti, i criteri potrebbero essere disposti in modo diverso.

  1. Aprire l'oggetto criteri appropriato:

    • Se si usa Active Directory, aprire il Console Gestione Criteri di gruppo, passare all'oggetto Criteri di gruppo in cui si vuole configurare WSUS e selezionare Modifica. Espandere Quindi Configurazione computer ed Espandere Criteri.
    • Se non si usa Active Directory, aprire il Editor Criteri di gruppo locali. Verrà visualizzato il criterio computer locale. Espandere Configurazione computer.
  2. Nell'oggetto espanso nel passaggio precedente espandere Modelli amministrativi, espandere componenti Windows, espandere Windows Update e selezionare Gestisci esperienza utente finale.

  3. Nel riquadro dei dettagli fare doppio clic su Configura Aggiornamenti automatici. Verrà aperto il criterio Configura Aggiornamenti automatici .

  4. Selezionare Abilitato e quindi selezionare l'opzione desiderata nell'impostazione Configura aggiornamento automatico per gestire la modalità Aggiornamenti automatici scaricare e installare gli aggiornamenti approvati.

    È consigliabile usare il download automatico e pianificare l'impostazione di installazione. Garantisce che gli aggiornamenti approvati in WSUS verranno scaricati e installati in modo tempestivo, senza la necessità di intervento dell'utente.

  5. Se lo si desidera, modificare altre parti del criterio, come documentato in Gestire impostazioni aggiuntive Windows update.

    Nota

    La casella di controllo Installa aggiornamenti da altri prodotti Microsoft non ha alcun effetto sui computer client che ricevono gli aggiornamenti da WSUS. I computer client riceveranno tutti gli aggiornamenti approvati nel server WSUS.

  6. Selezionare OK per chiudere i criteri Aggiornamenti automatici configurazione.

  7. Nel nodo Windows dell'albero selezionare Gestisci aggiornamenti offerti dal Windows Server Update Service.

  8. Nel riquadro dei dettagli Manage updates offered from Windows Server Update Service (Gestisci aggiornamenti offerti da Windows Server Update Service) fare doppio clic su Specify intranet Microsoft update service location (Specificare il percorso del servizio di aggiornamento Microsoft Intranet). Verrà visualizzato il criterio Specificare la posizione del servizio di aggiornamento Microsoft intranet.

  9. Selezionare Abilitato e quindi immettere l'URL del server WSUS nelle caselle di testo Imposta il servizio di aggiornamento Intranet per il rilevamento degli aggiornamenti e Imposta server statistiche Intranet.

    Avviso

    Assicurarsi di includere la porta corretta nell'URL. Supponendo che il server sia stato configurato per l'uso di SSL come consigliato, è necessario specificare la porta configurata per HTTPS. Ad esempio, se si sceglie di usare la porta 8531 per HTTPS e il nome di dominio del server è wsus.contoso.com, è necessario immettere in entrambe https://wsus.contoso.com:8531 le caselle di testo.

  10. Selezionare OK per chiudere il criterio Specificare il percorso del servizio di aggiornamento Microsoft intranet.

Configurare la destinazione lato client, se appropriato

Se si è scelto di usare la destinazione lato client, è ora necessario specificare il gruppo di computer appropriato per i computer client che si sta configurando.

Nota

Questi passaggi presuppongono che siano stati appena completati i passaggi per la modifica dei criteri per configurare i computer client.

  1. Nel riquadro dei dettagli Manage updates offered from Windows Server Update Service fare doppio clic su Enable client-side targeting. Verrà visualizzato il criterio Abilita destinazione lato client.

  2. Selezionare Abilitato e quindi immettere il nome del gruppo di computer WSUS a cui si desidera aggiungere i computer client nella casella Nome gruppo di destinazione per il computer.

    Se si esegue una versione corrente di WSUS, è possibile aggiungere i computer client a più gruppi di computer immettendo i nomi dei gruppi, separati da punto e virgola. Ad esempio, è possibile immettere Contabilità. Executive per aggiungere i computer client ai gruppi di computer Contabilità e Executive.

  3. Selezionare OK per chiudere il criterio Abilita destinazione lato client.

2.6.3. Consentire al computer client di connettersi al server WSUS

I computer client non verranno visualizzati nella console di amministrazione wsus finché non si connettono al server WSUS per la prima volta.

  1. Attendere l'applicazione delle modifiche ai criteri nel computer client.

    Se è stato usato un oggetto Criteri di gruppo basato su Active Directory per configurare i computer client, il meccanismo di aggiornamento di Criteri di gruppo per recapitare le modifiche a un computer client. Per accelerare questa operazione, è possibile aprire una finestra del prompt dei comandi con privilegi elevati e quindi immettere il comando gpupdate /force.

    Se è stato usato il Editor Criteri di gruppo locali per configurare un singolo computer client, le modifiche vengono applicate immediatamente.

  2. Riavvia il computer client. Questo passaggio garantisce che il Windows update software nel computer rilevi le modifiche dei criteri.

  3. Consentire al computer client di analizzare gli aggiornamenti. Questa analisi richiede in genere del tempo.

    È possibile velocizzare il processo usando una delle opzioni seguenti:

    • In Windows 10 o 11 usare la Impostazioni di aggiornamento dell'app Windows per controllare manualmente la disponibilità di aggiornamenti.
    • Nelle versioni di Windows prima Windows 10, usare l'icona Windows Update in Pannello di controllo per controllare manualmente la disponibilità di aggiornamenti.
    • Nelle versioni di Windows prima Windows 10 aprire una finestra del prompt dei comandi con privilegi elevati e immettere il comando wuauclt /detectnow.

2.6.4 Verificare la corretta connessione del computer client al server WSUS

Se tutti i passaggi precedenti sono stati eseguiti correttamente, verranno visualizzati i risultati seguenti:

  • Il computer client esegue correttamente l'analisi della ricerca di aggiornamenti. È possibile che non trovino aggiornamenti applicabili da scaricare e installare.

  • Entro circa 20 minuti, il computer client viene visualizzato nell'elenco dei computer visualizzati nella console di amministrazione di WSUS, in base al tipo di destinazione:

    • Se si usa la destinazione lato server, il computer client viene visualizzato nei gruppi di computer Tutti i computer e Computer non assegnati.

    • Se si usa la destinazione lato client, il computer client viene visualizzato nel gruppo di computer Tutti i computer e nel gruppo di computer selezionato durante la configurazione del computer client.

2.6.5. Configurare la destinazione lato server del computer client, se appropriato

Se si usa la destinazione lato server, è ora necessario aggiungere il nuovo computer client ai gruppi di computer appropriati.

  1. Nella console di amministrazione di WSUS trovare il nuovo computer client. Dovrebbe essere visualizzato nei gruppi di computer Tutti i computer e Computer non assegnati nell'elenco di computer del server WSUS.

  2. Fare clic con il pulsante destro del mouse sul computer client e scegliere Cambia appartenenza.

  3. Nella finestra di dialogo selezionare i gruppi di computer appropriati e quindi scegliere OK.