Introduzione
Windows Server 2012 R2 WSUS (Windows Server Update Services) è uno di quei ruoli che, per certi aspetti, può considerarsi semplice sia nell’implementazione che nella successiva gestione. All’apparente semplicità, però si contrappone una difficile analisi degli eventi e degli eventuali problemi.
Uno dei punti cruciali riguardanti la sicurezza di una infrastruttura è sicuramento quello degli aggiornamenti. Spesso il reparto IT (ammesso che ne esista uno…) non è in grado di gestire un numero discreto di server e client (per non parlare di altre componenti come storage, switch, multifunzioni, etc.). Non parliamo poi di un consulente esterno, magari con un intervento programmato di due, tre ore/mese…
Sovente la soluzione (per molti la migliore…) è quella di disattivare gli aggiornamenti automatici. Sarebbe impossibile andare a verificare l’avvenuta (e corretta) installazione su ogni singolo dispositivo. Come dire, occhio non vede cuore non duole.
Pur con la sua poca flessibilità WSUS risolve egregiamente (a costo zero) il problema della distribuzione centralizzata degli aggiornamenti e della relativa analisi.
Rimane dunque un valido strumento per la maggioranza delle infrastrutture PMI italiane.
Descrizione infrastruttura
L’articolo si basa su un dominio in ambiente Microsoft Windows Server 2012 R2 Datacenter. Durante tutte le fasi sono stati utilizzati i valori di default proposti.
Dominio: testerlab.local
Domain Controller 2012 R2
Nome Computer: DC-01
IPv4: 192.168.1.236
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.236
Server Membro 2012 R2
Nome Computer: WS-01
IPv4: 192.168.1.237
Subnet Mask: 255.255.255.0
Gateway: 192.168.1.1
DNS: 192.168.1.236
Di seguito vedremo una classica installazione basata su un unico server Windows Server 2012 R2 WSUS che utilizza il database interno (che è pur sempre una istanza SQL). Questa configurazione può essere replicata in tutte quelle strutture che non necessitano di particolari configurazioni e che tranquillamente possono sfruttare l’opportunità offerta delle due licenze virtuali incluse nella versione standard.
Lasciamo quindi il Domain Controller senza ulteriori ruoli aggiunti ed utilizziamo un server membro per tutti i ruoli/funzionalità necessari.
STEP
Qualunque sia la complessità che vogliamo dare al servizio i passi da fare sono sostanzialmente gli stessi:
– Installazione ruolo
– Configurazione iniziale
– Attivazione Group Policy
– Approvazione aggiornamenti
Installazione ruolo
Il ruolo per Windows Server 2012 R2 WSUS avviene, come sempre, utilizzando Server Manager
In particolare sarà necessario installare un database che conterrà tutte le informazioni necessarie alla configurazione, alle sincronizzazioni ed alle distribuzioni.
Scegliere una unità NTFS sulla quale memorizzare gli aggiornamenti. Nella scelta è da tenere presente il numero di Sistemi Operativi, di Applicativi, di lingue e di tipi di aggiornamenti (es. solo critici) che si vogliono gestire.
Proseguire con l’installazione di IIS su cui poggerà l’interfaccia web di gestione.
Configurazione iniziale
Terminata la fase di installazione è necessaro avviare la fase di configurazione iniziale (attività che potremo comunque modificare anche in seguito)
Essendo l’unico Server WSUS dovremo indicare in Microsoft Update la fonte da cui scaricare gli aggiornamenti. Lo scopo finale è quello di configurare questo server come testa di ponte verso il mondo esterno (Microsoft Update).
Indicare un eventuale Server Proxy e continuare con la configurazione
Proseguire la configurazione guidata indicando le lingue, i prodotti, la classificazione degli aggiornamenti e l’orario per la sincronizzazione automatica
…bene, possiamo proseguire con i passi successivi.
Attivazione Group Policy
La Group Policy per l’ambiente Windows Server 2012 R2 WSUS che verrà assegnata ha lo scopo di assegnare a tutti i client il percorso di ricerca degli aggiornamenti.
E’ possibile modificare le opzioni e/o abilitare altre voci secondo le esisgenze specifiche.
Per lo scopo ho utilizzato la Default Domain Policy, ovviamente in ambito reale si dovrà scegliere l’ambito adeguato alle esigenze (OU, Site, Domain…)
Le voci attivate sono:
– Configura Aggiornamenti automatici
– Specifica il percorso del servizio di aggiornamento Microsoft nella rete Intranet
Eseguiamo un aggiornamento per l’applicazione delle nuove impostazioni partendo dalla configurazione di default.
Approvazione aggiornamenti
La fase successiva è quella della creazione dei gruppi di appartenenza dei dispositivi (es. Server, Client, etc.) e di gestire l’approvazione degli aggiornamenti preposti.
Alla fine dell’installazione sarà comunque necessario installare anche il Microsoft Report Viewer Redistributable 2008 per poter visualizzare la reportistica integrata.
Approfondimenti
Deploy Windows Server Update Services in Your Organization
Microsoft Report Viewer Redistributable 2008