• Articolo

System Center

Nuovi strumenti di gestione degli aggiornamenti software

Steve Rachui

 

Panoramica:

  • Gestione degli aggiornamenti con i metodi precedenti
  • Il nuovo processo in SCCM 2007
  • Configurazione personalizzata e flessibilità
  • Pianificazione degli aggiornamenti ottimizzata

La gestione degli aggiornamenti software è stata introdotta per la prima volta in SMS (Systems Management Server) 2.0, con gli strumenti di protezione e di analisi degli aggiornamenti di Office. Questi strumenti hanno subito vari rimaneggiamenti: lo strumento esteso

per l'inventario degli aggiornamenti di protezione è stato rielaborato in modo da supportare l'analisi di altri prodotti; Inventory Tool for Microsoft ® Updates in modo da combinare gli strumenti di protezione e di Office in un unico prodotto; infine Inventory Tool for Dell Updates. Anche Custom Updates Publish Tool è stato introdotto al fine di supportare i prodotti di patching di terzi. ITMU (Inventory Tool for Microsoft Updates) è stato sottoposto a tre revisioni. Ciascuno di questi strumenti è costituito da propri cataloghi, infrastrutture di analisi, requisiti unici e sfide. Nel tempo i cataloghi per questi sistemi sono diventati molto estesi, al punto che gli aggiornamenti più vecchi sono stati eliminati in favore dei nuovi, a causa dei limiti di spazio.

Con la gamma di opzioni disponibili, distribuire gli aggiornamenti con questi strumenti poteva diventare molto complicato. È stato quindi necessario semplificare il processo. Con la versione successiva di SMS-System Center Configuration Manager 2007 (SCCM) si sono fatti grandi progressi in questa direzione. Con SCCM, il meccanismo degli aggiornamenti software è stato ottimizzato al fine di raggiungere risultati complessivi migliori. Un approccio completamente diverso alle operazioni di gestione degli aggiornamenti, ha reso i vecchi cataloghi e motori di analisi del tutto obsoleti. Per lo stato dell'aggiornamento, storicamente riportato tramite un inventario dell'hardware, si utilizza ora un meccanismo nuovo, il messaggio di stato, che garantisce una migliore determinazione della conformità e dell'applicazione su ciascun client. Il nuovo approccio alla gestione degli aggiornamenti in SCCM 2007 rappresenta un miglioramento significativo.

SCCM 2007 introduce due componenti nuovi che è necessario illustrare prima di affrontare l'argomento della funzionalità di gestione degli aggiornamenti.

SUP (Software Update Point) Come già accennato, i cataloghi in SCCM non esistono più. SCCM infatti opera direttamente con un server WSUS (Windows Server® Update Services) dedicato, che funziona da SUP (Software Update Point) per il download dei metadati e l'analisi dei client. In SCCM le funzioni di recapito binario degli aggiornamenti di WSUS sono disattivate per concentrare l'attenzione sul processo di analisi. Con questa modifica, WSUS riesce a gestire l'analisi di un massimo di 25.000 client per SUP su un server dedicato. Con SCCM è inoltre possibile configurare SUP dietro un cluster NLB di bilanciamento del carico di rete per una maggiore disponibilità e scalabilità, con l'attivazione di fino a quattro SUP per un totale di 100.000 possibili client per il sito primario.

Elementi di configurazione (CI) L'elemento di configurazione è un nuovo approccio utilizzato in SCCM per definire le configurazioni specifiche che devono esistere nei sistemi di destinazione. Per la gestione degli aggiornamenti SCCM ora si utilizza questa infrastruttura. Gli aggiornamenti non devono essere più concepiti in termini di normale distribuzione del software, sebbene sussistano delle somiglianze. Al contrario, gli aggiornamenti risiedono in un proprio nodo all'interno della console di amministrazione e utilizzano questo meccanismo CI assolutamente unico. Sul lato client gli aggiornamenti vengono scaricati in modo selettivo e memorizzati a livello locale.

Configurazione della gestione degli aggiornamenti

L'impostazione della gestione degli aggiornamenti rientra in tre aree generali: abilitazione dell'agente client, configurazione del SUP e configurazione degli aggiornamenti per la distribuzione.

L'agente client SCCM (come illustrato nella Figura 1) è simile agli altri agenti client ed è configurato nello stesso nodo della console di amministrazione. Nella pagina delle proprietà del nodo Software Updates Client Agents gli amministratori possono attivare questo agente e configurare l'installazione degli aggiornamenti e le impostazioni per la scheda Deployment Re-evaluation. L'impostazione di attivazione di Software Updates Client Agent viene applicata all'intero sito, ne consegue che il ruolo sarà attivato in ciascun client SCCM assegnato al sito in cui è attiva questa funzione. Se per alcuni sistemi presenti in un ambiente questa funzione non è attivata, sarà possibile sovrascrivere l'impostazione per l'intero sito in base al sistema utilizzando le impostazioni per la sovrascrittura dei criteri locali.

Figura 1 Proprietà dell'agente client

Figura 1** Proprietà dell'agente client **

Le impostazioni consentono inoltre all'amministratore di specificare come vanno gestite le scadenze degli aggiornamenti. Si supponga, ad esempio, di avere quattro aggiornamenti in attesa di installazione, uno (l'aggiornamento A) con scadenza un giorno dopo gli altri tre. È preferibile installare comunque tutti e quattro gli aggiornamenti contemporaneamente, anche quelli non ancora scaduti. L'opzione in questa scheda per l'applicazione di tutte le distribuzioni obbligatorie consente di impostare questa scelta. Inoltre, le impostazioni consentono agli amministratori di specificare che tutte le notifiche e le indicazioni visibili del processo di aggiornamento devono essere eliminate. Queste opzioni sono illustrate nella Figura 1.

Le impostazioni nella scheda Deployment Re-evaluation consentono agli amministratori di pianificare i tempi di rivalutazione delle distribuzioni. I client SCCM saranno valutati secondo questa pianificazione per controllare se gli aggiornamenti installati in precedenza sono ancora necessari e, qualora risultino mancanti, si procederà a reinstallarli.

Configurazione del SUP

Come già accennato, SUP è il componente che si occupa del download di tutte le informazioni sugli aggiornamenti disponibili presenti in una pianificazione e che regola l'interazione diretta con i client SCCM per analisi di conformità basate sul database degli aggiornamenti. Prima di configurare un SUP, è necessario installare un server WSUS 3.0 o superiore, poiché il processo del SUP non installa realmente WSUS, ma configura WSUS per l'utilizzo di SCCM. Inoltre, la Console di amministrazione WSUS deve essere installata sul server del sito per abilitare la connettività con il server WSUS. Nel momento in cui SCCM assume il controllo del server WSUS per il ruolo SUP, il server WSUS viene dedicato a SCCM e può essere utilizzato solo dai client SCCM.

Il SUP è un nuovo ruolo di sistema del sito disponibile in SCCM. Per avviare la configurazione, passare al nodo dei sistemi del sito della console amministrazione e aggiungere un nuovo sistema del sito. Selezionare quindi il SUP e proseguire con la procedura guidata, che raccoglierà le informazioni seguenti:

  • Configurazione proxy
  • Informazioni su porta e SSL
  • Modalità di aggiornamento per la sincronizzazione con il SUP: da Microsoft Update, tramite un SUP upstream o manualmente
  • Pianificazione della sincronizzazione
  • Aggiornamento delle classificazioni in base all'interesse, come aggiornamenti critici, driver, aggiornamenti per la protezione, rollup di aggiornamento e così via
  • Aggiornamento dei prodotti disponibili: Windows®, Exchange, SQL Server™ e così via (riportati nella Figura 2)
  • Lingua

Figura 2 Impostazioni del prodotto nella creazione guidata del ruolo del sito

Figura 2** Impostazioni del prodotto nella creazione guidata del ruolo del sito **(Fare clic sull'immagine per ingrandirla)

Una volta completata la procedura guidata, il SUP verrà installato e le configurazioni interne saranno impostate in modo da supportare i requisiti di SCCM. È opportuno confermare l'esito positivo dell'installazione esaminando il file SUPSetup.log che si trova nella cartella dei registri in cui è stato installato SCCM.

Una volta installato SUP, è necessario eseguire la sincronizzazione per recuperare gli aggiornamenti e memorizzarli in SUP e nel database SCCM. È possibile eseguire la sincronizzazione manualmente o in una pianificazione configurata quando è in esecuzione la procedura guidata di installazione. La sincronizzazione manuale degli aggiornamenti può essere avviata in qualsiasi momento ed è opportuno verificare che la sincronizzazione avvenga dopo aver installato per la prima volta SUP. Nella Figura 3 viene illustrata la procedura per ottenere questo risultato.

Figura 3 Esecuzione manuale della sincronizzazione

Figura 3** Esecuzione manuale della sincronizzazione **(Fare clic sull'immagine per ingrandirla)

Il processo di sincronizzazione si sviluppa in due fasi. Prima di tutto, il server SUP (WSUS) viene configurato in modo da associare le impostazioni di SCCM e gli aggiornamenti configurati vengono sincronizzati nel server SUP (WSUS). Al termine di queste operazioni, le informazioni sugli aggiornamenti dal server SUP (WSUS) vengono sincronizzate nel database SCCM e restano disponibili per la distribuzione degli aggiornamenti. In questa seconda fase si creano gli elementi di configurazione necessari (uno per ciascun aggiornamento software) nel database SCCM e potrebbe essere necessario molto tempo. A volte la sincronizzazione iniziale può richiedere diverse ore. Il processo di sincronizzazione può essere esaminato nel registro WSyncMgr, di cui è riportato un estratto nelle figure 4 e 5. In particolare nella Figura 4 si illustra il processo di sincronizzazione con la richiesta che il server SUP (WSUS) aggiorni l'elenco degli aggiornamenti da Microsoft Update. Nella Figura 5 è riportato l'inizio del processo per la sincronizzazione dell'inventario SUP nel database SCCM.

Figura 4 Sincronizzazione dell'elenco aggiornamenti

Figura 4** Sincronizzazione dell'elenco aggiornamenti **(Fare clic sull'immagine per ingrandirla)

Figura 5 Sincronizzazione degli aggiornamenti come CI nel database di SCCM

Figura 5** Sincronizzazione degli aggiornamenti come CI nel database di SCCM **(Fare clic sull'immagine per ingrandirla)

Dopo aver configurato un server WSUS come SUP, qualsiasi operazione di amministrazione richiesta può essere eseguita mediante la console di amministrazione SCCM. Se le modifiche di configurazione vengono eseguite direttamente sul server WSUS, ciò influirà negativamente su SCCM. Inoltre le configurazioni vengono reimpostate ogni ora quando SCCM controlla il SUP per accertarsi che le configurazioni siano corrette.

In una gerarchia multilivello è necessario disporre di almeno un SUP in ciascun sito primario in cui verranno distribuiti gli aggiornamenti software. Tali SUP lavoreranno insieme in una gerarchia con un unico SUP, in genere il più alto nella gerarchia, che esegue la sincronizzazione con Microsoft Update. I restanti SUP verranno sincronizzati da un partner di replica SUP configurato upstream.

Configurazione della distribuzione di aggiornamenti

Dopo aver configurato l'agente client e dopo aver configurato e sincronizzato il SUP, è possibile preparare concretamente una distribuzione. È prima di tutto opportuno esaminare i vari nodi dell'interfaccia utente dell'amministrazione SCCM. Esistono in sostanza cinque nodi principali di interesse: Update Repository, Update Lists, Deployment Templates, Deployment Management e Deployment Packages.

Update Repository è il nodo in cui vengono memorizzati tutti gli aggiornamenti sincronizzati disponibili per la distribuzione. Gli aggiornamenti possono essere distribuiti selezionando uno o più aggiornamenti e avviando la procedura guidata per la distribuzione degli aggiornamenti software, con l'esecuzione di due operazioni: configurazione del modello di distribuzione (o selezione di un modello già esistente) e configurazione della distribuzione vera e propria. Questo processo verrà illustrato brevemente di seguito. L'elenco di aggiornamenti può diventare piuttosto voluminoso e le cartelle di ricerca, una nuova funzionalità in SCCM 2007, possono facilitare molto la ricerca di aggiornamenti interessanti sulla base di 28 criteri relativi agli aggiornamenti, tra cui gravità, classificazione, prodotto, data di rilascio e sostituzione.

Modelli di distribuzione

I modelli di distribuzione contengono impostazioni comuni (come le informazioni di pianificazione e raccolta di destinazione) che si utilizzano durante la distribuzione degli aggiornamenti software e che sono state sviluppate per ridurre i tempi amministrativi necessari per la distribuzione degli aggiornamenti. I modelli possono essere creati per organizzare più condizioni di distribuzione in un ambiente e possono essere utilizzati nella distribuzione guidata, selezionando semplicemente il modello appropriato. Le impostazioni precompilate dal modello di distribuzione comprendono la raccolta di destinazione, le impostazioni di scadenza degli aggiornamenti (come illustrato nella Figura 6), le impostazioni di riavvio e le finestre di manutenzione. Se in una distribuzione è presente un numero elevato di aggiornamenti, gli effetti sulle prestazioni del sistema di destinazione potrebbero essere sensibili, poiché tutte le scadenze degli aggiornamenti capitano contemporaneamente. Inoltre, le impostazioni all'interno del modello vengono applicate alla distribuzione al momento della creazione della stessa. Queste impostazioni restano in vigore nella distribuzione, a meno che non vengano modificate manualmente all'interno della distribuzione. È importante ricordare che, se vengono modificate in un secondo momento, le impostazioni del modello non verranno modificate nelle distribuzioni esistenti in cui si utilizza il modello modificato.

Figura 6 Impostazione dei piani di distribuzione nella procedura guidata

Figura 6** Impostazione dei piani di distribuzione nella procedura guidata **(Fare clic sull'immagine per ingrandirla)

Le opzioni contenute nella Figura 6 possono essere configurate durante l'esecuzione della procedura guidata per il modello di distribuzione o della procedura guidata per la distribuzione degli aggiornamenti software (quando si crea un modello nuovo). Si noti come il valore della durata in questa schermata sia impostato su 0. Il valore predefinito per questa impostazione è due settimane. Se questo valore è impostato su un numero diverso da 0, si avrà un ritardo sul client per la distribuzione degli aggiornamenti, in base alla lunghezza di tale valore. Nel periodo di tempo compreso tra il momento in cui la distribuzione si rende disponibile e quello in cui viene applicata la scadenza configurata, l'aggiornamento sarà disponibile all'utente finale per un'installazione manuale per le installazioni pianificate prima della scadenza. Alla data della scadenza, l'aggiornamento verrà necessariamente installato. In caso di ritardi nella distribuzione degli aggiornamenti, verificare che questa impostazione sia configurata correttamente in base alle proprie esigenze.

Gestione della distribuzione

Dopo aver configurato una distribuzione degli aggiornamenti software, è possibile accedervi nel nodo Deployment Management. È opportuno ricordare che una distribuzione software configurata non equivale a un pacchetto di distribuzione. Le impostazioni relative alla distribuzione, come pure gli aggiornamenti contenuti nella distribuzione, possono essere visualizzati e manipolati in questo nodo, ma ciò non è possibile con il pacchetto. Le impostazioni di distribuzione qui illustrate riflettono le impostazioni che provengono dagli aggiornamenti software insieme a quelle ereditate dal modello selezionato.

Pacchetti di distribuzione

I pacchetti di distribuzione sono simili ai pacchetti SMS standard perché definiscono le specifiche dell'aggiornamento, ovvero la directory di origine, il punto di distribuzione e così via. I pacchetti di distribuzione sono indipendenti dalla distribuzione vera e propria utilizzata per distribuire gli aggiornamenti e costituiscono essenzialmente un archivio per gli aggiornamenti. Se più di un pacchetto di distribuzione contiene gli aggiornamenti necessari per una distribuzione, gli agenti SCCM determineranno il percorso migliore da cui recuperare l'aggiornamento e potranno utilizzare qualsiasi pacchetto di distribuzione disponibile che contenga tale aggiornamento.

Per distribuire gli aggiornamenti in SCCM, viene utilizzata la procedura guidata per la distribuzione degli aggiornamenti software. Tale procedura guidata può essere utilizzata con aggiornamenti singoli o con elenchi di aggiornamenti. Nella Figura 7 viene illustrato come avviare la procedura guidata.

Figura 7 Avvio della procedura guidata per la distribuzione degli aggiornamenti software

Figura 7** Avvio della procedura guidata per la distribuzione degli aggiornamenti software **(Fare clic sull'immagine per ingrandirla)

In questa procedura guidata viene richiesto un nome per la distribuzione, se si utilizzano impostazioni di modello nuove o esistenti (se viene selezionato un modello nuovo, la procedura guidata richiederà le impostazioni del modello descritte sopra), le impostazioni del pacchetto di distribuzione (esistente o nuovo), le impostazioni del punto di distribuzione, le opzioni del percorso per il download, le lingue di aggiornamento da scaricare e le informazioni di pianificazione della distribuzione.

Al termine della configurazione, i criteri vengono aggiornati per notificare ai client gli aggiornamenti di destinazione e gli aggiornamenti vengono installati nei sistemi client. I processi client sono abbastanza diversi dalle versioni precedenti e non riguardano gli argomenti trattati in questo articolo. Una differenza principale, tuttavia, consiste nel fatto che le analisi degli aggiornamenti non vengono più eseguite localmente, poiché il SUP gestisce tutto il processo di analisi, ma i dettagli sulla conformità degli aggiornamenti vengono memorizzati nell'archivio WMI (Windows Management Instrumentation) locale, come nelle versioni precedenti.

A differenza delle versioni precedenti, invece, per inviare lo stato di aggiornamento al server del sito non viene più utilizzato l'inventario hardware. I messaggi di stato infatti (un tipo nuovo di messaggio di stato semplificato) vengono inviati al server del sito attraverso il punto di gestione. I messaggi di stato forniscono dati su tutti i client gestiti per l'analisi di conformità e per tenere traccia dell'avanzamento delle distribuzioni. Esistono diversi nuovi report in SCCM per la gestione degli aggiornamenti software, tra cui conformità globale per computer per tutti gli aggiornamenti distribuiti a ciascun client, stato di applicazione della distribuzione per client e report di errori client per le analisi e le distribuzioni che forniscono un elenco, classificato per stack, dei problemi più gravi da risolvere.

Oltre all'applicazione tradizionale pianificata/obbligatoria della distribuzione degli aggiornamenti, con SCCM è possibile installare gli aggiornamenti approvati prima della scadenza di installazione in una pianificazione molto simile a quella utilizzata per gli aggiornamenti automatici. Questo ulteriore e utile elemento consentirà di aumentare di molto il numero di sistemi conformi prima della scadenza di distribuzione.

Se l'utente è interessato agli aggiornamenti personalizzati, SCCM è la soluzione ideale. Lo strumento di pubblicazione degli aggiornamenti personalizzati da SMS 2003 R2 è stato modificato in modo da essere utilizzato con SCCM 2007 come server di pubblicazione per gli aggiornamenti di System Center. In questo modo tutti gli aggiornamenti personalizzati possono essere distribuiti nello stesso modo descritto.

Le modifiche apportate alla gestione aggiornamenti sono molte in SCCM, ma dal punto di vista dell'amministrazione dovrebbero essere più facili da utilizzare e dovrebbero rappresentare un chiaro miglioramento rispetto alle versioni precedenti. Nonostante alcune delle modifiche concettuali possano sembrare inizialmente una sfida per gli utenti abituati a SMS 2003, senza dubbio vale la pena di provare questo nuovo approccio. Buon lavoro.

Steve Rachui è Manageability Support Escalation Engineer nel gruppo dei servizi di supporto per i prodotti presso Microsoft. Lavora al supporto di SMS sin dalla versione 1.2. È possibile contattarlo all'indirizzo steverac@microsoft.com.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.