none
Migrazione Wsus 3.2 verso 4.0 RRS feed

  • Domanda

  • Salve a tutti. Sto effettuando la migrazione da un server Wsus 3.2 installato su un server Windows 2003 ad un server Wsus 4.0 su un server Windows 2012 R2. Ho seguito la procedura passo-passo. Ho in stallato il nuovo server con Wsus rendendolo figlio del server Wsus esistente ed ho avviato la sincronizzazioni. Mi ha riportato tutto, approvazioni, gruppi ecc, ma non mi trasferisce i computer. E' normale? Non credo, dove ho sbagliato? Sapreste darmi qualche indicazione?

    Grazie

    martedì 8 novembre 2016 12:07

Risposte

  • Puoi anche sfruttare la configurazione in replica per la migrazione, ma potrebbero cambiare alcuni aspetti. Per questo motivo all'inizio ti avevo chiesto se avevi seguito quella guida.
    • Contrassegnato come risposta pcyber mercoledì 9 novembre 2016 16:48
    mercoledì 9 novembre 2016 12:22
    Moderatore

Tutte le risposte

  • Il comportamento che riscontri mi sembra normale, la sincronizzazione padre-figlio di WSUS non è una "migrazione" o una "replica" ma serve a centralizzare la distribuzione di aggiornamenti in diverse sedi geografiche.

    Per la migrazione hai seguito questa guida? https://msdn.microsoft.com/it-it/library/hh852339(v=ws.11).aspx


    martedì 8 novembre 2016 13:53
    Moderatore
  • Innanzitutto ti ringrazio per la risposta.

    Ok ma nel momento in cui devo disattivare il vecchio per il nuovo, gli oggetti computer dal vecchio si trasferiranno sul nuovo? Mi sarei aspettato di vedere, come del resto vedo per le impostazioni, gli oggetti computer in "grigio" quindi non modificabili ma comunque visibili.

    martedì 8 novembre 2016 14:59
  • Se hai seguito alla lettera la guida alla migrazione alla fine dovresti avere solo tutti i gruppi computer. Per quanto riguarda gli "oggetti" computer verranno aggiunti automaticamente non appena l'apposito oggetto GPO sarà stato applicato. 
    martedì 8 novembre 2016 15:40
    Moderatore
  • Ti ringrazio per la disponibilità.

    Allora gli oggetti computer ci sono. 

    Riepilogando sul server Wsus padre ho i computer perchè le policy puntano a questo server, mentre non li vedo nel server Wsus figlio (nuovo) e questo mi dici che è normale, giusto?

    Una volta che dismetto il server wsus vecchio promuovo il nuovo da figlio a server wsus principale, modifico le policy in AD per far puntare i client al nuovo server e dovrebbero migrare giusto?

    Inizialmente pensavo che la migrazione portasse con se anche i computer sul nuovo server

    martedì 8 novembre 2016 16:39
  • Dove hai letto che è necessario configurare il server di destinazione come figlio del server di origine?
    martedì 8 novembre 2016 17:08
    Moderatore
  • https://technet.microsoft.com/it-it/library/cc463370%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396#BKMK_V3

    Configurare il server di gestione come replica del server WSUS esistente.

    Per configurare il server di gestione come replica
    1. Accedere al server di gestione come amministratore di dominio.

    2. Fare clic su Start, quindi su Strumenti di amministrazione e infine su Microsoft Windows Server Update Services 3.0 SP1.

    3. Nel riquadro sinistro, fare clic su Opzioni.

    4. Fare clic su Origine aggiornamenti e server Proxy.

    5. Nella scheda Origine aggiornamenti, fare clic su Sincronizzazione da un altro server Windows Server Update Services.

    6. Nella casella di testo Nome server, immettere il nome del server.

    7. Immettere la porta su cui viene eseguito il server WSUS esistente. Per individuare questa porta, accedere al server WSUS esistente, aprire la console WSUS e selezionare il nodo nel riquadro sinistro corrispondente al nome del server. Sotto Informazioni generali, nella sezione Connessione, esaminare l'impostazione Porta.

    8. Accertarsi che sia selezionata la casella di controllo Questo server è una replica del server upstream.

    9. Fare clic su OK.

    Ho interpretato male?

    mercoledì 9 novembre 2016 06:22
  • Quella procedura è valida solo per Windows Essential Business Server 2008, non per Windows Server 2012 (infatti la data di ultimo aggiornamento dell'articolo è Luglio 2009).

    La procedura corretta da seguire è questa: https://msdn.microsoft.com/it-it/library/hh852339(v=ws.11).aspx

    mercoledì 9 novembre 2016 09:57
    Moderatore
  • Questo cosa significa che il lavoro che ho fatto no va bene malgrado si siano traferite le patch approvate i prodotti, le lingue ecc.?
    mercoledì 9 novembre 2016 11:20
  • Puoi anche sfruttare la configurazione in replica per la migrazione, ma potrebbero cambiare alcuni aspetti. Per questo motivo all'inizio ti avevo chiesto se avevi seguito quella guida.
    • Contrassegnato come risposta pcyber mercoledì 9 novembre 2016 16:48
    mercoledì 9 novembre 2016 12:22
    Moderatore
  • Scusa se ti faccio perdere tempo: io infatti stavo seguendo la configurazione in replica e se fosse possibile visto che credo di essere vicino alla meta vorrei continuare su questa strada: ma quali aspetti potrebbero cambiare?

    Ti faccio questa domanda perchè io sul nuovo server posso vedere gli aggiornamenti non approvati, quelli approvati, quelli rifiutati, tutti i gruppi dei computer (perchè i pc tramite policy li faccio andare automaticamente nei gruppi prestabilitili) ma come ti dicevo mi mancano solo i computer poi ovviamente dovrei fare dei controlli per verificare che funzioni tutto. Ad esempio la WsusContent sul nuovo server è già popolata, addirittura è di qualche GB poco più grande di quella del vecchio server, mentre il db SUSDB sul vecchio è di poco più grande del nuovo. Secondo te posso continuare in questa direzione? e se si cosa dovrei fare? 

    mercoledì 9 novembre 2016 14:40
  • Si, ad esempio nel tuo caso i due database potrebbero non essere identici perché sul server in replica è stato generato tramite sincronizzazione e non tramite importazione diretta. Diciamo che il problema maggiore è il traffico di rete dovuto allo scaricamento dei file, ma ormai questo passaggio dovresti già averlo completato.

    Comunque non è un problema: i computer saranno comunque visibili non appena cominceranno a contattare il server (quindi una volta che avranno applicato le nuove impostazioni dell'oggetto GPO).



    mercoledì 9 novembre 2016 16:16
    Moderatore
  • Ti ringrazio molto per il supporto. Un ultimo chiarimento. Se modifico la GPO solo per alcuni client posso visualizzarli sul nuovo Wsus mantenedo gli altri sul vecchio? Almeno per vedere che funzioni tutto almeno prima di spostarli tutti. Che ne pensi?
    mercoledì 9 novembre 2016 16:48
  • Si, certo, ma per simulare un vero e proprio decommissionamento del vecchio WSUS ricorda di impostare sul nuovo Windows Update come origine.

    mercoledì 9 novembre 2016 17:03
    Moderatore
  • Ovviamente :)

    Ti ringrazio per la collaborazione, poi ti farò sapere

    mercoledì 9 novembre 2016 17:12
  • Eccoci di nuovo qui. Ho modificato la policy aziendale per far puntare i client al nuovo server, ma anche se la recepiscono, ho controllato il registro di alcuni client, i pc sono sempre sul vecchio server. Da cosa può dipendere? considera che ancora non ho "promosso" a server Wsus padre in nuovo ma è ancora figlio del vecchio. Può essere questa la causa?

    Grazie

    lunedì 14 novembre 2016 07:48
  • E' normale che i PC rimangono nella lista del vecchio server, semplicemente tra un po' il vecchio WSUS segnalerà che i client non inviano più un rapporto di stato.

    Verifica che nella policy tu abbia impostato l'indirizzo del nuovo server in questo modo:

    http://indirizzoIpnuovoserver:8530

    Poi attendi almeno 24 ore per vedere la lista dei computer sul nuovo server.


    lunedì 14 novembre 2016 08:41
    Moderatore
  • Grazie per la risposta velocissima.

    Avevo dimenticato di inserire nell'url la porta 8530. Ora verifico. 

    lunedì 14 novembre 2016 09:26
  • Perfetto si cominciano a visualizzare. Ma è normale che Windows 10 venga ancora visto come Windows Vista come nella precedente versione di Wsus?
    lunedì 14 novembre 2016 09:36
  • Perfetto si cominciano a visualizzare. Ma è normale che Windows 10 venga ancora visto come Windows Vista come nella precedente versione di Wsus?

    No, non è normale. Prima di sincronizzare dovevi installare l'aggiornamento:

    https://support.microsoft.com/it-it/kb/3095113

    Ora devi seguire alla lettera la procedura di installazione per far funzionare il tutto. Al termine i client devono venire rilevati come "Windows (Version 10.0)".

    lunedì 14 novembre 2016 11:59
    Moderatore
  • Ops!

    Allora per conferma se non ho capito male agisco così:

    1. Interrompo la sincronizzazione automatica tra wsus figlio e padrre
    2. da power shell del nuovo Wsus lancio i seguenti comandi
    3. Get-WsusClassification | Where-Object -FilterScript {$_.Classification.Title -Eq “Upgrades”} | Set-WsusClassification -Disable
    4. $s = Get-WsusServer
    5. $s.SearchUpdates(“version 1511, 10586”) | foreach { $s.DeleteUpdate($_.Id.UpdateId) } 
    6. Get-WsusClassification | Where-Object -FilterScript {$_.Classification.Title -Eq “Upgrades”} | Set-WsusClassification
    7. $sub = $s.GetSubscription()
    8. $sub.StartSynchronization()
    9. Installo la KB 3095113

    Dovrei aver finito giusto?

    lunedì 14 novembre 2016 14:53
  • Ho provato ad installare la Windows8.1-KB3095113-v2-x64 dopo il punto 5 perchè in effetti così mi sembrava di aver capito, ma mi dice 

    Leggendo sulla pagina della KB ho visto che forse occorre installare anche la patch Windows8.1-KB2919355-x64 ma ottengo lo stesso risultato. Dove sbaglio?

    
    lunedì 14 novembre 2016 16:46
  • Hai aggiornato completamente il server prima di iniziare? Intendo proprio tutti gli aggiornamenti che rileva Windows Update.
    lunedì 14 novembre 2016 16:54
    Moderatore
  • Ora lo faccio. Ma il punto dove ho provato ad installare la patch è corretta vero? Cio prima del punto 5? Solo dopo l'installazione delle patch allora eseguo gli altri comandi da power shell. Giusto?
    lunedì 14 novembre 2016 17:05
  • Allora ho fatto tutti gli aggiornamenti del S.O. la cosa strana è dop oil controllo veniva visualizzata da installare la KB2917355 e non la KB3095113. Al termine dell'installazione comunque nella cronologia delle patch installate non è comunque presente la KB2917355. Non è strano? Ho provato ad installare uqella che avevo scaricato precedentemente ma mi restituisce lo stesso errore anche provando con la KB3095113.

    Provo a riprendere dal punto 6?

    martedì 15 novembre 2016 09:14
  • Una volta che Windows Update non rileva più aggiornamenti, assicurati che sia stato installato anche questo aggiornamento cumulativo (eventualmente installalo manualmente):

    https://support.microsoft.com/it-it/kb/2919355

    Poi puoi procedere all'installazione dell'aggiornamento per WSUS.

    Una volta terminato devi ripulire WSUS dai dati non validi di Windows 10 scaricati dalla sincronizzazione precedente:

    https://blogs.technet.microsoft.com/wsus/2016/01/29/how-to-delete-upgrades-in-wsus/

    martedì 15 novembre 2016 09:55
    Moderatore
  • Finalmente ho eseguito i passaggi indicati senza errori. La causa era dovuta al fatto che anche se mi diceva che la KB2919442 era presente nel WindowsUpdate.log, l'ho dovuta passare nuovamente e a quel punto ho ripassato in ordine la KB2919355 e quindi la KB3095113. Ho eseguito i passaggi indicati nel link che mi hai fornito https://blogs.technet.microsoft.com/wsus/2016/01/29/how-to-delete-upgrades-in-wsus/ senza riscontrare errori, ora provo a modificare la policy in modo da far puntare i client al nuovo Wsus Server e poi ti faccio sapere.

    Intanto ti ringrazio molto per il supporto

    martedì 15 novembre 2016 11:34
  • Eccomi di nuovo qui. Allora sto procedendo alla migrazione e volevo approfittare della tua disponibilità per un paio di chiarimenti.

    1. Per i client Windows 10 nella console non visualizza se sono S.O. Enterprise oppure Professional, è normale?
    2. Inoltre, e parzialmente è legato al punto precedente, l'Anniversary Update è rialscaito da Wsus solo per i S.O. Professional è giusto?

    Grazie

    mercoledì 16 novembre 2016 08:52
  • No, da quello che mi risulta nella console non viene visualizzata l'edizione di Windows 10 (a differenza ad esempio da Windows 7).

    Per sicurezza anche questo aggiornamento è installato? In realtà dovrebbe già esserci perché è distribuito direttamente in Windows Update (anche se come facoltativo).

    https://support.microsoft.com/it-it/kb/3159706




    mercoledì 16 novembre 2016 09:14
    Moderatore
  • Peccato per la descrizione mancante, oppure la 3159706 ovvierebbe a questo?
    mercoledì 16 novembre 2016 13:19
  • No, l'edizione non dovrebbe visualizzarsi nemmeno con quell'aggiornamento. Non ho ancora avuto modo di provare con WSUS in Windows Server 2016.
    mercoledì 16 novembre 2016 16:53
    Moderatore
  • Salve a tutti. Ho concluso la migrazione. Ora però ho un problema. Ho un gruppo di test nel quale faccio convogliare i client su cui voglio far installare di default tutte le patch necessarie per poi testarle. Infatti come si può vedere dall'immagine, l'Approvazione è in stato di Installazione, ma i file non vengono scaricati tanto è vero che se faccio un check di Windows Update sul pc mi dice che è aggiornato. 

    Ho controllato il WindowsUpdate.log e questo è quello che ho trovato. Ho provato ad applicare quanto suggerito in questo post https://community.spiceworks.com/topic/683041-server-2012-r2-machines-aren-t-talking-to-our-2012-wsus-server  ma con esito negativo. Avete qualche idea?

    2016-11-29 08:09:33:664 744 22c4 AU ###########  AU: Initializing Automatic Updates  ###########
    2016-11-29 08:09:33:665 744 22c4 AU AIR Mode is disabled
    2016-11-29 08:09:33:665 744 22c4 AU  # Approval type: Scheduled (User preference)
    2016-11-29 08:09:33:665 744 22c4 AU  # Auto-install minor updates: Yes (User preference)
    2016-11-29 08:09:33:665 744 22c4 AU  # Will interact with non-admins (Non-admins are elevated (User preference))
    2016-11-29 08:09:33:678 744 22c4 AU  # Reconnecting download for 1 updates
    2016-11-29 08:09:33:679 744 22c4 AU  # Reconnected 1 pending download calls
    2016-11-29 08:09:33:679 744 22c4 AU WARNING: Failed to get Wu Exemption info from NLM, assuming not exempt, error = 0x80240037
    2016-11-29 08:09:33:679 744 22c4 AU WARNING: Failed to change download properties of call, error = 0x80070057
    2016-11-29 08:09:33:679 744 22c4 AU WARNING: Failed to get Network Cost info from NLM, assuming network is NOT metered, error = 0x80240037
    2016-11-29 08:09:33:687 744 22c4 AU AU finished delayed initialization
    2016-11-29 08:09:33:687 744 22c4 AU Currently AUX is enabled - so not show any WU Upgrade notifications.
    2016-11-29 08:09:33:689 744 22c4 AU WARNING: Failed to get Network Cost info from NLM, assuming network is NOT metered, error = 0x80240037
    2016-11-29 08:09:33:691 744 22c4 AU WARNING: Failed to get Network Cost info from NLM, assuming network is NOT metered, error = 0x80240037
    2016-11-29 08:09:33:698 744 22c4 AU Adding timer: 
    2016-11-29 08:09:33:698 744 22c4 AU    Timer: 31DA7559-FE27-4810-8FF6-987195B1FD98, Expires 2016-11-30 02:14:44, not idle-only, not network-only
    2016-11-29 08:09:33:699 744 1640 DnldMgr ***********  DnldMgr: Regulation Refresh [Svc: {7971F918-A847-4430-9279-4A52D1EFE18D}]  ***********
    2016-11-29 08:09:33:748 744 1640 DnldMgr Contacting regulation server for 1 updates.
    2016-11-29 08:09:33:748 744 1640 IdleTmr WU operation (Regulator Refresh) started; operation # 49; does use network; is at background priority
    2016-11-29 08:09:33:751 744 1640 EP Got 7971F918-A847-4430-9279-4A52D1EFE18D redir Client/Server URL: "https://fe2.update.microsoft.com/v6/ClientWebService/client.asmx"
    2016-11-29 08:09:33:852 744 1640 EP Got 7971F918-A847-4430-9279-4A52D1EFE18D redir Regulation URL: "https://fe2.update.microsoft.com/v6/UpdateRegulationService/UpdateRegulation.asmx"
    2016-11-29 08:09:33:853 744 1640 DnldMgr Regulation server path: https://fe2.update.microsoft.com/v6/UpdateRegulationService/UpdateRegulation.asmx.
    2016-11-29 08:09:35:109 744 1640 IdleTmr WU operation (Regulator Refresh, operation # 49) stopped; does use network; is at background priority
    2016-11-29 08:09:35:110 744 1640 DnldMgr  Per-Update: 9C607274-AE9F-4EF0-9F14-70FC604CE7FF at rate 0
    2016-11-29 08:09:35:110 744 1640 AU Adding timer: 
    2016-11-29 08:09:35:111 744 1640 AU    Timer: 7971F918-A847-4430-9279-4A52D1EFE18D, Expires 2016-11-29 08:32:35, not idle-only, network-only
    2016-11-29 08:09:35:112 744 1640 DnldMgr  * Regulation call complete. 0x00000000
    2016-11-29 08:09:35:161 744 1640 DnldMgr Asking handlers to reconcile their sandboxes
    2016-11-29 08:09:35:310 744 1640 DnldMgr Regulation: {7971F918-A847-4430-9279-4A52D1EFE18D} - Update 9C607274-AE9F-4EF0-9F14-70FC604CE7FF is "PerUpdate" regulated and can NOT download. Sequence 5926 vs AcceptRate 0.
    2016-11-29 08:09:35:311 744 1640 DnldMgr ***********  DnldMgr: New download job [UpdateId = {9C607274-AE9F-4EF0-9F14-70FC604CE7FF}.202]  ***********
    2016-11-29 08:09:35:312 744 1640 DnldMgr  * Update is not allowed to download due to service regulation or download size limitation.
    2016-11-29 08:09:35:312 744 1640 DnldMgr Regulation: {7971F918-A847-4430-9279-4A52D1EFE18D} - Update 9C607274-AE9F-4EF0-9F14-70FC604CE7FF is "PerUpdate" regulated and can NOT download. Sequence 5926 vs AcceptRate 0.
    2016-11-29 08:09:35:313 744 16d8 AU AU checked download status and it changed: Downloading is paused
    2016-11-29 08:19:35:326 744 1cd4 AU Earliest future timer found: 
    2016-11-29 08:19:35:326 744 1cd4 AU    Timer: D1D29683-B72C-4EFD-8168-AB8D4826858A, Expires 2016-11-29 12:52:03, not idle-only, not network-only
    2016-11-29 08:19:36:327 744 22c4 AU ###########  AU: Uninitializing Automatic Updates  ###########
    2016-11-29 08:19:36:371 744 22c4 WuTask Uninit WU Task Manager
    2016-11-29 08:19:36:410 744 22c4 AU Earliest future timer found: 
    2016-11-29 08:19:36:410 744 22c4 AU    Timer: 7971F918-A847-4430-9279-4A52D1EFE18D, Expires 2016-11-29 08:32:35, not idle-only, network-only
    2016-11-29 08:19:36:463 744 22c4 AU Earliest future timer found: 
    2016-11-29 08:19:36:463 744 22c4 AU    Timer: D1D29683-B72C-4EFD-8168-AB8D4826858A, Expires 2016-11-29 12:52:03, not idle-only, not network-only
    2016-11-29 08:19:36:536 744 22c4 Service *********
    2016-11-29 08:19:36:537 744 22c4 Service **  END  **  Service: Service exit [Exit code = 0x240001]
    2016-11-29 08:19:36:537 744 22c4 Service *************

    martedì 29 novembre 2016 08:57
  • Avete novità? Inoltre avrei un altra domanda. Non riesco a convalidare automaticamente le definizioni di Windows Defender. Come posso farlo e se c'è il modo sarebbe possibile farlo anche per i junk di Microsoft Outlook?

    Grazie

    giovedì 1 dicembre 2016 07:55