Distribuisci gli aggiornamenti di Windows10 con WindowsServer Update Services (WSUS)

Si applica a

  • Windows 10

Stai cercando informazioni per utenti privati? Vedi Windows Update: domande frequenti

Importante

A causa delle modifiche di denominazione, i termini meno recenti, come CB e CBB, potrebbero essere ancora visualizzati in alcuni dei nostri prodotti, ad esempio i criteri di gruppo o il registro di sistema. Se si verificano questi termini, "CB" si riferisce al canale semestrale (mirato)-che non viene più usato--mentre "CBB" si riferisce al canale semi-annuale.

WSUS è un ruolo di WindowsServer disponibile nei sistemi operativi WindowsServer, che offre un hub singolo per gestire gli aggiornamenti di Windows all'interno di un'organizzazione. WSUS consente alle aziende non solo di rinviare gli aggiornamenti, ma anche di approvarli in modo selettivo, di scegliere quando recapitarli e di determinare quali dispositivi singoli o gruppi di dispositivi devono riceverli. WSUS offre un maggiore controllo rispetto a Windows Update for Business, ma non include tutte le opzioni di pianificazione e la flessibilità di distribuzione messe a disposizione da System Center Configuration Manager.

Quando scegli WSUS come origine per gli aggiornamenti di Windows, dovrai usare Criteri di gruppo per indirizzare i dispositivi client Windows10 al server WSUS per gli aggiornamenti. Gli aggiornamenti verranno poi scaricati periodicamente nel server WSUS e gestiti, approvati e distribuiti tramite la console di amministrazione di WSUS o Criteri di gruppo, semplificando la gestione degli aggiornamenti a livello aziendale. Se attualmente usi WSUS per gestire gli aggiornamenti di Windows nel tuo ambiente, puoi continuare a farlo per Windows10.

Requisiti per la manutenzione di Windows10 con WSUS

Per poter usare WSUS per gestire e distribuire gli aggiornamenti delle funzionalità di Windows 10, è necessario usare una versione di WSUS supportata:

  • 10.0.14393 di WSUS (ruolo in Windows Server 2016)
  • 10.0.17763 di WSUS (ruolo in Windows Server 2019)
  • WSUS 6,2 e 6,3 (ruolo in Windows Server 2012 e Windows Server 2012 R2)
  • I KB 3095113 e KB 3159706 (o un aggiornamento equivalente) devono essere installati in WSUS 6,2 e 6,3.

Importante

Sia kb 3095113 che KB 3159706 sono inclusi nel rollup di qualità mensile di sicurezza a partire dal mese di luglio 2017. Ciò significa che gli aggiornamenti installati potrebbero non essere visualizzati in KB 3095113 e KB 3159706, poiché potrebbero essere stati installati con un rollup. Tuttavia, se è necessario uno di questi aggiornamenti, è consigliabile installare un rollup di qualità mensile di sicurezza rilasciato dopo il 2017 di ottobre poiché contengono un ulteriore aggiornamento di WSUS per ridurre l'utilizzo della memoria nel ClientWebService di WSUS. Se sono stati sincronizzati uno di questi aggiornamenti prima del rollup di qualità mensile di sicurezza, è possibile riscontrare problemi. Per risolvere il problema, vedere come eliminare gli aggiornamenti in WSUS.

Scalabilità di WSUS

Per usare WSUS per gestire tutti gli aggiornamenti di Windows, alcune organizzazioni potrebbero avere la necessità di accedere a WSUS da una rete perimetrale oppure potrebbero esistere altri scenari complessi. WSUS è ampiamente scalabile e configurabile per le organizzazioni di qualsiasi dimensione o con qualsiasi layout del sito. Per informazioni specifiche sulla scalabilità di WSUS, inclusi la configurazione con server upstream e downstream, le succursali, il bilanciamento del carico di WSUS e altri scenari complessi, vedi Scelta del tipo di distribuzione di WSUS.

Configurare gli aggiornamenti automatici e il percorso del servizio di aggiornamento

Quando usi WSUS per gestire gli aggiornamenti nei dispositivi client Windows, per iniziare dovrai configurare le impostazioni di Criteri di gruppo Configura Aggiornamenti automatici e Specifica il percorso del servizio di aggiornamento Microsoft nella rete Intranet per il tuo ambiente. In questo modo, i client interessati dovranno contattare il server WSUS in modo che possa gestirli. La procedura seguente descrive come specificare queste impostazioni e distribuirle in tutti i dispositivi del dominio.

Per configurare le impostazioni di Criteri di gruppo Configura aggiornamenti automatici e Specifica il percorso del servizio di aggiornamento Microsoft nella rete Intranet per il tuo ambiente

  1. Aprire la console Gestione criteri di gruppo (GPMC. msc).

  2. Espandere Forest\Domains\Your_Domain * *.

  3. Fare clic con il pulsante destro del mouse su Your_Domaine quindi scegliere Crea un GPO in questo dominio e collegarlo qui.

    Esempio di interfaccia utente

    Nota

    In questo esempio, le impostazioni di Criteri di gruppo Configura Aggiornamenti automatici e Specifica il percorso del servizio di aggiornamento Microsoft nella rete Intranet vengono specificate per l'intero dominio. Non si tratta di un requisito. Puoi assegnare queste impostazioni a qualsiasi gruppo di sicurezza con i filtri di sicurezza o un'unità organizzativa specifica.

  4. Nella finestra di dialogo Nuovo oggetto Criteri di gruppo assegna il nome WSUS - Aggiornamenti automatici e percorso del servizio di aggiornamento nella rete Intranet al nuovo oggetto.

  5. Fai clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo WSUS - Aggiornamenti automatici e percorso del servizio di aggiornamento nella rete Intranet e quindi su Modifica.

  6. Nell'Editor Gestione Criteri di gruppo passa a Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Windows Update.

  7. Fai clic con il pulsante destro del mouse sull'impostazione Configura Aggiornamenti automatici e quindi su Modifica.

    Esempio di interfaccia utente

  8. Nella finestra di dialogo Configura aggiornamenti automatici seleziona Attivata.

  9. In Opzioni, nell'elenco Configura aggiornamento automatico seleziona 3 - Download automatico e avviso per l'installazione e quindi fai clic su OK.

    Esempio di interfaccia utente

    Nota

    Sono disponibili altre tre impostazioni per le date e le ore di installazione e download degli aggiornamenti automatici. Questa è semplicemente l'opzione usata in questo esempio. Per altri esempi di come controllare gli aggiornamenti automatici e altri criteri correlati, vedi Configurare gli aggiornamenti automatici tramite Criteri di gruppo.

  10. Fare clic con il pulsante destro del mouse sull'impostazione specifica della posizione del servizio Microsoft Update Intranet e quindi scegliere modifica.

  11. Nella finestra di dialogo Specifica il percorso del servizio di aggiornamento Microsoft nella rete Intranet seleziona Attivata.

  12. In Opzioni impostare il servizio di aggiornamento della Intranet per il rilevamento degli aggiornamenti e impostare le opzioni del server delle statistiche Intranet , digitare http://Your_WSUS_Server_FQDN:PortNumber e quindi scegliere OK.

    Nota

    L'URL http://CONTOSO-WSUS1.contoso.com:8530 nell'immagine seguente è solo un esempio. Nel tuo ambiente, assicurati di usare il nome del server e il numero di porta corretti per la tua istanza di WSUS.

    Esempio di interfaccia utente

    Nota

    La porta HTTP predefinita per WSUS è 8530 e la porta HTTPS (HTTP over Secure Sockets Layer) predefinita è 8531. (Le altre opzioni sono 80 e 443; non sono supportate altre porte).

Man mano che i client Windows aggiornano i criteri del computer (l'intervallo di aggiornamento predefinito per Criteri di gruppo è di 90 minuti e al riavvio del computer), i computer iniziano a comparire in WSUS. Ora che i client comunicano con il server WSUS, puoi creare i gruppi di computer in linea con i tuoi circuiti di distribuzione.

Creare gruppi di computer nella console di amministrazione di WSUS

Nota

Le procedure seguenti usano i gruppi nella tabella 1 in Creare circuiti di distribuzione per gli aggiornamenti di Windows10 come esempi.

Puoi usare i gruppi di computer per impostare come destinazione un sottoinsieme di dispositivi con aggiornamenti delle funzionalità e qualitativi specifici. Questi gruppi rappresentano i tuoi circuiti di distribuzione, sotto il controllo di WSUS. Puoi popolare i gruppi manualmente tramite la console di amministrazione di WSUS o automaticamente tramite Criteri di gruppo. Indipendentemente dal metodo scelto, devi prima creare i gruppi nella console di amministrazione di WSUS.

Per creare gruppi di computer nella console di amministrazione di WSUS

  1. Apri la console di amministrazione di WSUS.

  2. Vai a Nome_server\Computer\Tutti i computer e quindi fai clic su Aggiungi gruppo di computer.

    Esempio di interfaccia utente

  3. Digita il nome Circuito 2 (utenti aziendali installazioni pilota) e quindi fai clic su Aggiungi.

  4. Ripeti questi passaggi per i gruppi Circuito 3 (IT generale) e Circuito 4 (utenti aziendali generale). Al termine, dovrebbero esserci tre gruppi di circuiti di distribuzione.

Dopo aver creato i gruppi, puoi ora aggiungere i computer ai gruppi di computer allineati ai circuiti di distribuzione desiderati. Puoi eseguire questa operazione tramite Criteri di gruppo o manualmente con la console di amministrazione di WSUS.

Usare la console di amministrazione di WSUS per popolare i circuiti di distribuzione

L'aggiunta dei computer ai gruppi di computer nella console di amministrazione di WSUS è semplice, ma potrebbe richiedere più tempo rispetto alla gestione dell'appartenenza tramite Criteri di gruppo, specialmente se hai molti computer da aggiungere. L'aggiunta di computer ai gruppi di computer nella console di amministrazione di WSUS viene definita appartenenza a gruppi di destinazione sul lato server.

In questo esempio, puoi aggiungere i computer ai gruppi di computer in due modi diversi: assegnando manualmente i computer non assegnati e cercando più computer.

Assegnare manualmente i computer non assegnati ai gruppi

I nuovi computer che iniziano a comunicare con WSUS vengono visualizzati nel gruppo Computer non assegnati. Da qui puoi usare la procedura seguente per aggiungere i computer ai gruppi corretti. Per questi esempi, aggiungerai due PC Windows10 (WIN10-PC1 e WIN10-PC2) ai gruppi di computer.

Per assegnare i computer manualmente

  1. Nella console di amministrazione di WSUS vai a Nome_server\Computer\Tutti i computer\Computer non assegnati.

    Qui puoi vedere i nuovi computer che hanno ricevuto l'oggetto Criteri di gruppo creato nella sezione precedente e iniziano a comunicare con WSUS. In questo esempio ci sono solo due computer. Se esegui una distribuzione più ampia dei criteri, è probabile che qui vengano visualizzati numerosi computer.

  2. Seleziona entrambi i computer, fai clic con il pulsante destro del mouse sulla selezione e quindi su Modifica appartenenza.

    Esempio di interfaccia utente

  3. Nella finestra di dialogo Imposta appartenenza a gruppi di computer seleziona il circuito di distribuzione Circuito 2 (utenti aziendali installazioni pilota) e quindi fai clic su OK.

    Dato che sono stati assegnati a un gruppo, i computer non fanno più parte del gruppo Computer non assegnati. Se selezioni il gruppo di computer Circuito 2 (utenti aziendali installazioni pilota) vedrai entrambi i computer qui.

Cercare più computer per aggiungerli ai gruppi

Un altro modo per aggiungere più computer a un circuito di distribuzione nella console di amministrazione di WSUS consiste nell'usare la funzionalità di ricerca.

Per cercare più computer

  1. Nella console di amministrazione di WSUS vai a Nome_server\Computer\Tutti i computer, fai clic con il pulsante destro del mouse su Tutti i computer e quindi su Cerca.

  2. Nella casella di ricerca digita WIN10.

  3. Seleziona i computer nei risultati della ricerca, fai clic con il pulsante destro del mouse sulla selezione e quindi su Modifica appartenenza.

    Esempio di interfaccia utente

  4. Seleziona il circuito di distribuzione Circuito 3 (IT generale) e quindi fai clic su OK.

Ora puoi vedere questi computer nel gruppo di computer Circuito 3 (IT generale).

Usare Criteri di gruppo per popolare i circuiti di distribuzione

La console di amministrazione di WSUS offre una comoda interfaccia per gestire gli aggiornamenti qualitativi e delle funzionalità di Windows10. Se devi aggiungere molti computer al circuito di distribuzione di WSUS corretto, tuttavia, eseguire l'operazione manualmente nella console di amministrazione di WSUS può richiedere molto tempo. In questi casi, valuta la possibilità di usare Criteri di gruppo per selezionare i computer corretti, aggiungendoli automaticamente al circuito di distribuzione di WSUS corretto in base a un gruppo di sicurezza di Active Directory. Questo processo è noto come appartenenza a gruppi di destinazione sul lato client. Prima di abilitare l'appartenenza a gruppi di destinazione sul lato client in Criteri di gruppo, devi configurare WSUS per accettare l'assegnazione di computer da Criteri di gruppo.

Per configurare WSUS per consentire l'appartenenza a gruppi di destinazione sul lato client da Criteri di gruppo

  1. Apri la console di amministrazione di WSUS e passa a Nome_server\Opzioni e quindi fai clic su Computer.

    Esempio di interfaccia utente

  2. Nella finestra di dialogo Computer seleziona Usa Criteri di gruppo o impostazioni del Registro di sistema sui computer e quindi fai clic su OK.

    Nota

    Questa opzione è esclusiva. Se imposti WSUS per usare Criteri di gruppo per l'assegnazione dei gruppi, non puoi più aggiungere manualmente i computer tramite la console di amministrazione di WSUS, se non modificando questa opzione.

Ora che WSUS è pronto per l'appartenenza a gruppi di destinazione sul lato client, esegui le operazioni seguenti per usare Criteri di gruppo per configurare l'appartenenza a gruppi di destinazione sul lato client:

Per configurare l'appartenenza a gruppi di destinazione sul lato client

Suggerimento

Quando usi l'appartenenza a gruppi di destinazione sul lato client, valuta la possibilità di assegnare ai gruppi di sicurezza gli stessi nomi dei circuiti di distribuzione. In questo modo il processo di creazione dei criteri risulta semplificato e puoi assicurarti di non aggiungere computer ai circuiti errati.

  1. Aprire la console Gestione criteri di gruppo (GPMC. msc).

  2. Espandi Foresta\Domini\dominio.

  3. Fai clic con il pulsante destro del mouse su dominio e scegli Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento.

  4. Nella finestra di dialogo Nuovo oggetto Criteri di gruppo digita WSUS - Appartenenza client - Circuito 4 (utenti aziendali generale) come nome del nuovo oggetto Criteri di gruppo.

  5. Fai clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo WSUS - Appartenenza client - Circuito 4 (utenti aziendali generale) e quindi su Modifica.

    Esempio di interfaccia utente

  6. Nell'Editor Gestione Criteri di gruppo passa a Configurazione computer\Criteri\Modelli amministrativi\Componenti di Windows\Windows Update.

  7. Fai clic con il pulsante destro del mouse su Abilita appartenenza gruppo destinazione e quindi su Modifica.

  8. Nella finestra di dialogo Abilita appartenenza gruppo destinazione seleziona Attivata.

  9. Nella casella Nome gruppo di destinazione del computer digita Circuito 4 (utenti aziendali generale). Questo è il nome del circuito di distribuzione in WSUS a cui verranno aggiunti questi computer.

    Esempio di interfaccia utente

Avviso

Il nome del gruppo di destinazione deve corrispondere al nome del gruppo di computer.

  1. Chiudi l'Editor Gestione Criteri di gruppo.

Ora sei pronto per distribuire questo oggetto Criteri di gruppo al gruppo di sicurezza del computer corretto per il circuito di distribuzione Circuito 4 (utenti aziendali generale).

Per impostare un gruppo come ambito per l'oggetto Criteri di gruppo

  1. In Console Gestione criteri di gruppo seleziona il criterio WSUS - Appartenenza client - Circuito 4 (utenti aziendali generale).

  2. Fai clic sulla scheda Ambito.

  3. In Filtri di sicurezza rimuovi il gruppo di sicurezza predefinito Authenticated Users e quindi aggiungi il gruppo Circuito 4 (utenti aziendali generale).

    Esempio di interfaccia utente

Quando i client nel gruppo di sicurezza Circuito 4 (utenti aziendali generale) ricevono i criteri del computer e contattano WSUS la volta successiva, verranno aggiunti al circuito di distribuzione Circuito 4 (utenti aziendali generale).

Approvare e distribuire automaticamente gli aggiornamenti delle funzionalità

Per i client per i quali gli aggiornamenti delle funzionalità devono essere approvati non appena disponibili, puoi configurare regole di approvazione automatica in WSUS.

Nota

WSUS rispetta il ramo di manutenzione del dispositivo client. Se si approva un aggiornamento delle funzionalità mentre si trova ancora in un ramo, ad esempio Insider Preview, WSUS installerà l'aggiornamento solo nei dispositivi presenti nella filiale di manutenzione. Quando Microsoft rilascia la build per il canale semestrale, i dispositivi nel canale semestrale lo installeranno. Le impostazioni del ramo Windows Update for business non si applicano agli aggiornamenti delle caratteristiche tramite WSUS.

Per configurare una regola di approvazione automatica per gli aggiornamenti delle funzionalità di Windows10 e approvarli per il circuito distribuzione Circuito 3 (IT generale)

  1. Nella console di amministrazione di WSUS vai a Update Services\Nome_server\Opzioni e seleziona Approvazioni automatiche.

  2. Nella scheda Regole di aggiornamento fai clic su Nuova regola.

  3. Nella finestra di dialogo Aggiungi regola seleziona le caselle di controllo Se l'aggiornamento è in una classificazione specifica, Se l'aggiornamento è in un prodotto specifico e Impostare una scadenza per l'approvazione.

    Esempio di interfaccia utente

  4. Nell'area Modificare le proprietà seleziona qualsiasi classificazione. Deseleziona tutte le caselle di controllo ad eccezione di Aggiornamenti e quindi fai clic su OK.

  5. Nell'area Modificare le proprietà fai clic sul link qualsiasi prodotto. Deseleziona tutte le caselle di controllo ad eccezione di Windows10 e quindi fai clic su OK.

    Windows10 è in Tutti i prodotti\Microsoft\Windows.

  6. Nell'area Modificare le proprietà fai clic sul link tutti i computer. Deseleziona tutte le caselle di controllo dei gruppi di computer ad eccezione di Circuito 3 (IT generale) e quindi fai clic su OK.

  7. Lascia la scadenza impostata su 7 giorno dopo l'approvazione alle 3.00.

  8. Nella casella Passaggio 3: specificare un nome digita Approvazione automatica aggiornamenti Windows10 per Circuito 3 (IT generale) e quindi fai clic su OK.

    Esempio di interfaccia utente

  9. Nella finestra di dialogo Approvazioni automatiche fai clic su OK.

    Nota

    WSUS non rispetta le impostazionidi differimento per mese/settimana/giorno esistenti. Detto questo, se usi Windows Update for Business per un computer per il quale gli aggiornamenti vengono gestiti anche da WSUS, quando WSUS approva l'aggiornamento, questo verrà installato nel computer indipendentemente dal fatto che tu abbia configurato Criteri di gruppo per l'attesa.

A questo punto, ogni volta che vengono pubblicati aggiornamenti delle funzionalità di Windows10 in WSUS, essi verranno approvati automaticamente per il circuito di distribuzione Circuito 3 (IT generale) con una scadenza per l'installazione di 1 settimana.

Avviso

Viene eseguita la regola di approvazione automatica dopo la sincronizzazione. Questo significa che verrà approvato il prossimo aggiornamento per ogni versione di Windows 10. Se si seleziona Esegui regola, tutti gli aggiornamenti possibili che soddisfano i criteri verranno approvati, includendo potenzialmente gli aggiornamenti meno recenti non desiderati in modo effettivo, che può essere un problema quando le dimensioni del download sono molto grandi.

Approvare e distribuire manualmente gli aggiornamenti delle funzionalità

Puoi approvare manualmente gli aggiornamenti e impostare scadenze per l'installazione anche all'interno della console di amministrazione di WSUS. Potrebbe essere consigliabile approvare manualmente le regole di aggiornamento dopo l'aggiornamento della distribuzione pilota.

Per semplificare il processo di approvazione manuale, inizia creando una visualizzazione di aggiornamento del software che contiene solo gli aggiornamenti di Windows10.

Per approvare e distribuire manualmente gli aggiornamenti delle funzionalità

  1. Nella console di amministrazione di WSUS, vai a Update Services\Nome_server\Aggiornamenti. Nel riquadro Azione fai clic su Nuova visualizzazione aggiornamento.

  2. Nella finestra di dialogo Aggiungi visualizzazione aggiornamento seleziona Aggiornamenti in una specifica classificazione e Aggiornamenti per un prodotto specifico.

  3. In Passaggio 2: modificare le proprietà fai clic su qualsiasi classificazione. Deseleziona tutte le caselle di controllo ad eccezione di Aggiornamenti e quindi fai clic su OK.

  4. In Passaggio 2: modificare le proprietà fai clic su qualsiasi prodotto. Deseleziona tutte le caselle di controllo ad eccezione di Windows10 e quindi fai clic su OK.

    Windows10 è in Tutti i prodotti\Microsoft\Windows.

  5. In Passaggio 3: specificare un nome digita Tutti gli aggiornamenti di Windows10 e quindi fai clic su OK.

    Esempio di interfaccia utente

Dopo aver completato la visualizzazione tutti gli aggiornamenti di Windows 10 , completare la procedura seguente per approvare manualmente un aggiornamento per l'anello di distribuzione di Ring 4 Broad business users :

  1. Nella console di amministrazione di WSUS, vai a Update Services\Nome_server\Aggiornamenti\Tutti gli aggiornamenti di Windows10.

  2. Fai clic con il pulsante destro del mouse sull'aggiornamento delle funzionalità che vuoi distribuire e quindi su Approva.

    Esempio di interfaccia utente

  3. Nella finestra di dialogo Approva aggiornamenti seleziona Circuito 4 (utenti aziendali generale) nell'elenco Approvato per l'installazione.

    Esempio di interfaccia utente

  4. Nella finestra di dialogo Approva aggiornamenti, nell'elenco Circuito 4 (utenti aziendali generale) fai clic su Scadenza, fai clic su Una settimana e quindi fai clic su OK.

    Esempio di interfaccia utente

  5. Se viene visualizzata la finestra di dialogo Condizioni di Licenza software Microsoft fai clic su Accetto.

    Se la distribuzione ha esito positivo, riceverai un report di stato corrispondente.

    Esempio di interfaccia utente

  6. Nella finestra di dialogo Stato approvazione fai clic su Chiudi.


Passaggi per gestire gli aggiornamenti per Windows10

fatto Informazioni sugli aggiornamenti e i rami di manutenzione
fatto Preparare la strategia di manutenzione per gli aggiornamenti di Windows10
fatto Creare circuiti di distribuzione per gli aggiornamenti di Windows10
fatto Assegnare i dispositivi ai rami di manutenzione per gli aggiornamenti di Windows10
fatto Ottimizzare il recapito degli aggiornamenti di Windows10
fatto Distribuisci gli aggiornamenti mediante Windows Update for Business
oppure Distribuisci gli aggiornamenti di Windows10 con WindowsServer Update Services (questo argomento)
oppure Distribuisci gli aggiornamenti di Windows10 con System Center Configuration Manager

Argomenti correlati