none
Wsus: non archiviare i file degli aggiornamenti nel compuetr locale RRS feed

  • Domanda

  • Salve a tutti. Ho il mio server Wsus aziendale che malgrado esegua la manutenzione almeno 1 volta alla settimana, lo spazio occupato cresce esponenzialmente. Il mio è un server Windows 2012R2 e i pc si "assegnano" al gruppo di appartenenza tramite policy.  Finora la configurazione per quanto riguarda "L'archiviazione dei file degli aggiornamenti" avviene in locale cioè sul server stesso, e vengono scaricati solo al momento dell'approvazione richiedendo comunque un notevole spazio disco. La mie domande sono:

    1. Se volessi passare alla modalità "Non archiviare i file degli aggironamenti nel computer locale. L'installazione verrà eseguita da Microsoft Update" ci sono delle controindicazioni?
    2. Inoltre vorrei fare in modo che le patch vengano installate ad un certo orario (Opzione 4 scarica ed installa alle ore 3) e se necessario avvenga un riavvio forzato (Esegui sempre riavvio automatico nel momento pianificato) ma mai se l'utente sta lavorando. Mi sapreste indicare quali altre voci sono interessate per ottenere questo risultato?
    3. Questo sarebbe possibile con DC Windows 2012 mentre con Windows 2008R2 non trovo il corrispettivo: con questo S.O. non è possibile?

    Grazie

    martedì 10 ottobre 2017 21:53

Risposte

  • 1) Ovviamente ogni client eseguirà il download degli aggiornamenti approvati direttamente da Windows Update piuttosto che dal server WSUS, consumando banda

    2) Devi abilitare anche la policy "Escludi riavvio automatico per installazioni pianificate di Aggiornamenti automatici con gli utenti non connessi". Ti consiglio inoltre di disabilitare "Consenti installazione automatica Aggiornamenti automatici".

    3) Anche WSUS 3.0 su Server 2008 R2 può non archiviare gli aggiornamenti in locale:
    https://technet.microsoft.com/it-it/library/dd446649(v=ws.10).aspx

    mercoledì 11 ottobre 2017 09:36
    Moderatore
  • No, con "Escludi riavvio automatico per installazioni pianificate di Aggiornamenti automatici con gli utenti non connessi" in Windows 7, se il computer è in uso, l'utente visualizzerà una notifica: se non interrompe il conto alla rovescia (puoi settare il tempo con l'altro criterio) il computer verrà riavviato per installare gli aggiornamenti. Purtroppo in Windows 10 (specialmente con alcune release precedenti alla 1703) questo criterio non ha esattamente questo effetto, ma comunque il riavvio automatico non dovrebbe avvenire se il computer "risulta in uso".
    Per il punto 3 ora credo di aver capito a cosa ti riferivi, ma il server non c'entra nulla. I criteri GPO che vedi quando apri la console dipendono solo dai template GPO (dettati dalla versione di Windows in esecuzione, quindi in Server 2008 R2 vedi i criteri validi solo fino a Windows 7, ma non quelli validi per versioni successive di Windows). Quindi anche con versioni precedenti di WSUS puoi settare comunque quel criterio (che sarà valido ovviamente solo sui client che eseguono versioni di Windows che lo supportano), basta aprire la console GPO con una versione di Windows successiva.

    mercoledì 11 ottobre 2017 17:57
    Moderatore

Tutte le risposte

  • 1) Ovviamente ogni client eseguirà il download degli aggiornamenti approvati direttamente da Windows Update piuttosto che dal server WSUS, consumando banda

    2) Devi abilitare anche la policy "Escludi riavvio automatico per installazioni pianificate di Aggiornamenti automatici con gli utenti non connessi". Ti consiglio inoltre di disabilitare "Consenti installazione automatica Aggiornamenti automatici".

    3) Anche WSUS 3.0 su Server 2008 R2 può non archiviare gli aggiornamenti in locale:
    https://technet.microsoft.com/it-it/library/dd446649(v=ws.10).aspx

    mercoledì 11 ottobre 2017 09:36
    Moderatore
  • Innanzitutto ti ringrazio per la risposta e continuo con alcune precisazioni

    1. Per la banda cambia poco perchè alcune sedi non avendo VPN scaricano dal nostro IP pubblico via internet (il nostro Wsus è pubblicato)
    2. Abiltando "Escludi riavvio automatico per installazioni pianificate di Aggiornamenti automatici con gli utenti non connessi"  non sono costretto ad aspettare l'imput dell'utente finale per l'installazione? Io vorrei evitare proprio questo, perchè svariati utenti non spengono mai il pc e le patch non si installano mai
    3. Si lo so ma la mia domanda era diversa: in ambiente Windows 2008 R2 non esiste nella policy la voce "Esegui sempre riavvio automatico nel momento pianificato" che sarebbe la funzionalità che a me servirebbe come spiegato al punto 2. Posso ovviare in qualche modo in questo ambiente per ottenere quello che voglio?

    Grazie

    mercoledì 11 ottobre 2017 16:55
  • No, con "Escludi riavvio automatico per installazioni pianificate di Aggiornamenti automatici con gli utenti non connessi" in Windows 7, se il computer è in uso, l'utente visualizzerà una notifica: se non interrompe il conto alla rovescia (puoi settare il tempo con l'altro criterio) il computer verrà riavviato per installare gli aggiornamenti. Purtroppo in Windows 10 (specialmente con alcune release precedenti alla 1703) questo criterio non ha esattamente questo effetto, ma comunque il riavvio automatico non dovrebbe avvenire se il computer "risulta in uso".
    Per il punto 3 ora credo di aver capito a cosa ti riferivi, ma il server non c'entra nulla. I criteri GPO che vedi quando apri la console dipendono solo dai template GPO (dettati dalla versione di Windows in esecuzione, quindi in Server 2008 R2 vedi i criteri validi solo fino a Windows 7, ma non quelli validi per versioni successive di Windows). Quindi anche con versioni precedenti di WSUS puoi settare comunque quel criterio (che sarà valido ovviamente solo sui client che eseguono versioni di Windows che lo supportano), basta aprire la console GPO con una versione di Windows successiva.

    mercoledì 11 ottobre 2017 17:57
    Moderatore
  • Ciao grazie per la risposta e scusami per il mio ritardo, ma sono stato impegnato altrove.

    • Riepilogando, se abilito "Escludi riavvio automatico per installazioni pianificate di Aggiornamenti automatici con gli utenti non connessi" si riavvia in automatico solo se il pc non nè in uso altrimenti se lo si sta utilizzando qusto no avviene 
    • Ho provato ad aprire la GPO presente sul DC Windows 2012R2 con un server Windows 2016 avendo installato gli Admin Tools, ma le voci che ti dicevo non sono presenti comunque. Sbaglio qualcosa?

    giovedì 19 ottobre 2017 13:55
  • In realtà criteri come "Esegui sempre riavvio automatico nel momento pianificato" sono disponibili fin da Windows 8\Windows Server 2012 (nel post precedente stavi parlando di un 2008 R2). Forse li stai cercando nel posto sbagliato, assicurati di cercare nella configurazione computer e non utente (Modelli amministrativi > Componenti di Windows > Windows Update).
    giovedì 19 ottobre 2017 21:22
    Moderatore
  • Li cerco nella configurazione computer ma non li trovo
    giovedì 2 novembre 2017 13:24
  • Forse hai dei modelli delle GPO in un archivio centrale e non sono stati aggiornati alle versioni per Windows Server 2012\Windows 8 o successivi. Quando apri i modelli amministrativi verifica se sono stati recuperati dall'archivio centrale o meno.
    giovedì 2 novembre 2017 16:55
    Moderatore
  • Come lo verifico?
    giovedì 2 novembre 2017 17:17
  • Quando espandi l'albero dei modelli amministrativi dovrebbe apparire scritto tra parentesi.
    giovedì 2 novembre 2017 19:12
    Moderatore