Archives For WSUS

Articolo nato da appunti sparsi e tanti link consultati.

Chi lavora nell’ambito IT (o è comunque appassionato, cugino di (TM) o “tu che sai tutto di PC” (cit.)) sa bene che –nella storia– la grande azienda di Redmond è incappata in qualche piccolo scivolone nei rilasci di fix e patch più complesse che, pur andando a correggere alcuni importanti errori, andavano contemporaneamente a crearne di nuovi, costringendo gli sviluppatori a tirare fuori correzioni delle correzioni. Era da diverso tempo che non accadeva in maniera così plateale, fa tutto parte del periodo giugno-luglio che volge ormai al termine, e ha interessato sia Office che Windows.

Microsoft, quanta confusione (storie di KB che correggono KB)

Tutto è più o meno cominciato con quel KB4022725 per Windows, seguito a ruota dall’aggiornamento 1706 di Office 365 ProPlus, entrambi articoli usciti solo una manciata di giorni fa. Se a questi si aggiunge il gran rumore di fondo prodotto nei forum di Social Technet Microsoft e le ripetute lamentele degli utenti, si arriva a un risultato non esattamente soddisfacente. Gli errori fatti nel rilascio patch di giugno si sono trascinati fino a un caldo luglio che ha portato con sé ulteriori anomalie, in buona parte risolte solo ora che anche lui volge al termine.

Tutto torna

Ho dato una rapida occhiata ai ticket che sono stati aperti in helpdesk aziendale (di primo e secondo livello) durante questo “periodo caldo” (e non per colpa delle temperature esterne), e la maggior parte dei casi più eclatanti (e che hanno richiesto maggiore tempo di lavorazione) sono stati proprio quelli che hanno visto come protagonista degli errori generati dai fix di Redmond, tutti arrivati poi a medesima conclusione (un rollback dove assolutamente necessario, l’attesa della correzione dove si poteva stringere i denti e rispettare il ciclo di rilascio di Microsoft).

  • Il KB4022716 del 27 giugno correggeva alcuni problemi relativi a Internet Explorer e Microsoft Edge che però hanno portato a un nuovo bug decisamente più fastidioso e impattante, crash randomici di entrambi i browser durante la navigazione, visitando siti web sempre diversi, assolutamente non collegati tra di loro.
  • Il KB4025342 del 11 luglio corregge questo errore (qui in dettaglio), ma porta con sé un loop di installazione per chi in azienda possiede un WSUS. Il pacchetto terminava la sua installazione senza però “notificare” la riuscita, facendo credere all’OS (e al WSUS) di avere ancora necessità di quel KB. Se ne è parlato in un thread su Social Technet. Microsoft ha corretto in corsa il problema, rilasciando il medesimo KB senza però il bug incluso nel prezzo (cito un intervento di un utente dal forum: Our WSUS just pulled in new updates at 3:30 eastern time and IE KB4025252 appeared again.  This updated KB seems to have fixed the issue. Several workstations no longer show that it’s needed.).

Nel frattempo, anche Office presenta qualche “piccolo mal di pancia” dovuto ai rilasci nel ramo Current, motivo per il quale abbiamo scelto di togliere gli utenti di test da quel gruppo e portarli insieme agli altri in First Release for Deferred Channel. Dei rami di aggiornamenti ne avevo già parlato tempo fa (questo l’articolo: gioxx.org/2016/03/22/office-2016-gestione-tramite-gpo-admx), seppur in maniera poco approfondita.

Cosa fare quindi per modificare il comportamenti degli Office installati nella rete?

Puoi ricorrere all’uso delle GPO, che reputo la via più comoda e immediata per migrare più PC in un colpo solo. Il comportamento di una installazione di Office fatta tramite Click2Run lo trovi sul sito di Support di Office (qui, per la precisione: support.office.com/en-us/article/Configuration-options-for-the-Office-2016-Deployment-Tool-d3879f0d-766c-469c-9440-0a9a2a905ca8?ui=en-US&rs=en-US&ad=US&fromAR=1), mentre trovi su support.office.com/authredir?url=https%3a%2f%2fsupport.office.com%3a443%2fen-us%2farticle%2fVersion-and-build-numbers-of-update-channel-releases-ae942449-1fca-4484-898b-a933ea23def7%3fui%3den-US%26rs%3den-US%26ad%3dUS%26fromAR%3d1&hurl=m4liUtElQo4FOghQgIRY6JbgTI8LrOMAfWv8uiBuEG0%3d.POsLak2i%2fGs6Exmzf062pgyAG0jqZ4zDu4vtjXF3Q2g%3d&ipt=0&si=1&wctx=70b585db-aec0-4c05-8dd0-e69a5774f03c&wa=wsignin1.0 la mappa di rilascio (con relative versioni) di Office 2016 (a oggi) per ciascun ramo.

Quindi, tanto per capirci, questa è la situazione con una GPO programmata per comandare gli Office ad aggiornarsi direttamente dai server Microsoft, seguendo il ramo di rilascio First Release for Deferred Channel:

Microsoft, quanta confusione (storie di KB che correggono KB) 1

È finita qui? Forse, o almeno per il momento, fino al prossimo giro di roulette ed ennesima scoperta di “cosa si è rotto stavolta“, un gioco che Microsoft conduce in maniera fantastica e appassionante (si nota l’ironia sottile?), dal 1995, anno più, anno meno. Sia chiaro: nessuno è esente da errori, soprattutto i più grandi. L’importante è correggerli, possibilmente senza lasciar passare troppo tempo (e non sempre questo accade) perché forse non ci si rende bene conto di quanto impatto possa dare una “piccola modifica“.

Ora posso smettere di delirare, torno a cuccia.

Adios.

Condividi l'articolo con i tuoi contatti:

Lenovo T440s aziendale. Installazione delle patch mensili che arrivano da Microsoft, a loro volta recapitate dal nostro WSUS. In seguito all’aggiornamento e riavvio del sistema, noto che il PC mi presenta davanti una schermata completamente nera (il “black screen” del titolo di questo articolo) nel caso in cui io mi allontani dalla postazione bloccando la sessione (tasto WIN + L) e risvegliando il monitor (che Windows 10 spegne praticamente subito). Cursore che lampeggia, il nulla completo oltre quello.

Tolgo e rimetto il laptop nella docking station, la schermata torna disponibile, posso finalmente reimmettere le mie credenziali e ricominciare a lavorare.

KB4022725, black screen e patch da nascondere (per ora) 2

Qualche rapida imprecazione, un ragionamento su cosa possa avere causato il problema, ricondurre il tutto all’aggiornamento dell’OS, perché quel driver aggiornato subito prima non aveva nulla a che fare con la scheda video. Una rapida ricerca sul web (il WSUS distribuisce gli aggiornamenti con qualche giorno di ritardo rispetto al patch-Tuesday). Ho trovato questo:

KB4022725 causes black screen on laptop. from windows

Patch disinstallata, PC riavviato, problema che non si verifica più (prima riuscivo a riprodurlo a colpo sicuro). A questo punto non rimane che prendere la via più diretta e passare dalla nota di supporto 3073930 che propone il tool ufficiale per nascondere gli update su Windows 10, trovi qui la pagina ufficiale: support.microsoft.com/en-us/help/3073930/how-to-temporarily-prevent-a-driver-update-from-reinstalling-in-window

Il tool, una volta scaricato e avviato, ti permetterà di ricercare e nascondere un aggiornamento di sistema che non vuoi installare (teoricamente non puoi rifiutarti di aggiornare Windows 10, non secondo l’idea di Microsoft!). L’uso è talmente banale che ti dovrebbero bastare queste due immagini per capire cosa fare:

Aggiornamenti dal fronte (KB4022716, 15063.447)

Sono quelli relativi al rilascio di un nuovo fix di Microsoft che dovrebbe andare a correggere gli errori creati dal KB4022725. Trovi sul sito di Microsoft una scheda relativa a tutto ciò che porta con sé: support.microsoft.com/en-us/help/4022716/windows-10-update-kb4022716.

KB4022725, black screen e patch da nascondere (per ora) 3

Per il momento installata, nei prossimi giorni mi basterà riprodurre il problema e capire se è stato realmente risolto, nonostante sembra che da report degli utenti risultino ancora delle rogne poco simpatiche: windowsreport.com/kb4022716-issues:

Black screen issues

Users report that KB4022716 also causes black screen issues. The only solution to fix this problem is to uninstall the update.

e ancora:

Display doesn’t come back from sleep

Users report that their computers won’t come back from sleep after installing KB4022716. In the best case scenario, all users get is a black screen with a white mouse cursor. It appears that this problem is prevalent for Surface devices.

After installation of KB4022716 this morning, my previously stable Surface Book […] consistently fails to wake properly from sleep. If I get anything at all, it’s a blinking cursor on a black screen. Pressing and holding the power button eventually brings up a “slide to shut down” screen, and cancelling this gets me back to the Windows desktop.

It seems that this update introduced a huge bug in the lock screen. For the time being, the only solution is to simply uninstall it.

Mi siedo, provo a lavorare normalmente, aggiorno l’articolo se necessario. Tu hai rilevato gli stessi problemi sul tuo Windows Creators Update (1703)?

Update

aggiornamento del 3/7/17

Ci ho provato, è innegabile, ma evidentemente in Microsoft non hanno ben chiaro cosa voglia dire risolvere i problemi del “Black Screen and Mouse Cursor Keep Blinking” da molti lamentato (me compreso). Continuano a susseguirsi feedback sulla community e nell’hub di Microsoft (quello navigabile e utilizzabile da ogni Windows 10), così come tweet (ricchi di insulti, tra l’altro) e stati di Facebook. Andiamo al punto, questa discussione si è sviluppata e contiene molte lamentele (alcune molto simili alla mia configurazione): answers.microsoft.com/en-us/windows/forum/windows_10-update/update-kb4022716-causing-black-screen-after-screen/95dc60cc-07d3-4b77-9a94-0c2366b8af53. Qui trovi invece il feedback su Hub, dai il tuo voto per contribuire a una più rapida risoluzione da parte di Microsoft: aka.ms/Nxw1a7.

KB4022725, black screen e patch da nascondere (per ora) 4

Un consiglio: non ascoltare il suggerimento relativo alla disinstallazione di prodotti antivirus di terze parti, non serve a nulla e non ha alcun senso. Se dopo un’installazione di una patch Microsoft, il sistema ha un problema, non può essere dovuto a decine di prodotti antivirus differenti. C’è gente che ha risolto disinstallando Comodo, altra Symantec, altra ancora Kaspersky. Ti sembra possibile che contemporaneamente tutti questi prodotti di terze parti abbiano una rogna in comune?

Il metodo rimane quindi quello suggerito nell’articolo principale: utilizzare lo strumento di supporto 3073930 per nascondere temporaneamente il fix di Microsoft:

KB4022725, black screen e patch da nascondere (per ora) 5

Ora non resta che aspettare che Microsoft rilasci il fix del fix del fix.

 

Condividi l'articolo con i tuoi contatti:

Mi è stato dato in pasto un vecchio HP 620. Dati su disco (quindi da formattare), nessun supporto di Recovery per riportare il sistema alle impostazioni di fabbrica (e no, neanche una Recovery Partition nascosta). Unico dettaglio è l’etichetta di Windows 7 Pro OEM posta sotto la sua scocca. Volendo evitare costi e tempi di attesa per un supporto HP (chiave USB o disco ottico), ho preferito cercare qualcosa in giro sul web, per capire se era possibile partire con un Windows 7 pulito sul quale reinstallare in seguito le applicazioni di base e gli aggiornamenti di sistema. Si può (con qualche accortezza).

Reinstallare Windows OEM quando il supporto di Recovery non c'è 7

Ottenere un file ISO di Windows

Parto dal principio e comincio dando per scontato che qualsiasi dato sensibile sia stato messo al sicuro dal tuo utente, che il tuo lavoro quindi si limiti a dover preparare da zero la macchina, radendo al suolo qualsiasi cosa viva attualmente sul disco fisso. Né HP, né Microsoft permettono in maniera pulita di ottenere un’immagine pulita del sistema. HP ti permette di ordinare i supporti originali del tuo prodotto, Microsoft invece mette a disposizione l’interfaccia di accesso facilitato a Digital River ma, nel caso in cui si tratti di un prodotto OEM e non Retail (cioè una licenza acquistata a parte, da qualsiasi rivenditore autorizzato), ti tira fuori un poco simpatico dito medio:

Per questo motivo ho cercato un’alternativa, la quale si è materializzata con il nome di Microsoft Windows and Office ISO Download Tool.

Si tratta di uno strumento abbastanza banale ma assolutamente adatto all’occasione (attuale, ma anche futura, non si sa mai), perché scavalca la limitazione imposta da Microsoft e permette la navigazione all’interno del loro sito web, consentendoti di selezionare l’intero percorso a te utile, per sistema operativo, versione, lingua e architettura. Una volta scaricata e avviata (non serve installazione) ti basterà selezionare il tipo di software da scaricare nel box in alto a destra (c’è anche Office, nda) e seguire la procedura guidata. Ho fatto qualche screenshot per farti vedere meglio di cosa si tratta:

A selezione completata, partirà il download del file ISO che hai scelto, porta pazienza (tutto dipende dalla tua connessione). Al termine, chiudi il tool, non ti dovrebbe più servire (tienilo da parte, magari in futuro potrebbe tornarti utile).

Creare il supporto di installazione

Di questo io e te ne abbiamo già parlato in realtà, ma probabilmente non lo ricordi. Ho tirato fuori Rufus dalla polvere, e con l’occasione l’ho aggiornato alla versione 2.14 (build 1086), mantenendo ovviamente la sua release Portable, così da non dover installare alcunché sulla macchina.

Trova una memoria USB che abbia almeno 3 GB di spazio disponibile da dedicare alla ISO di Windows scompattata (una stick da 4 GB andrà benissimo, tanto per capirci), mantieni le impostazioni suggerite dal programma e dagli in pasto il file precedentemente scaricato:

Reinstallare Windows OEM quando il supporto di Recovery non c'è 5

Rufus è pronto a creare il supporto USB avviabile per l’installazione di Windows 7 Pro Sp1 OEM in italiano, a 32 bit!

Ci siamo, lancia la preparazione del supporto facendo clic su Avvia e conferma l’operazione di formattazione della memoria USB, attendi quindi che il procedimento arrivi a completamento (impiegherà circa 15, 20 minuti al massimo). Espelli la chiave, infilala in una porta USB del PC che devi preparare da zero e falla partire, il resto è storia.

Riattivazione di Windows

Al completamento dell’installazione del sistema operativo, questo ti chiederà di essere attivato. Inserisci la Product Key che trovi sull’etichetta generalmente posta sulla scocca del portatile, tenta l’attivazione immediata perché –anche se dovesse fallire– la procedura proseguirà fino a portarti al Desktop del tuo PC appena formattato.

Controlla in autonomia se l’attivazione è andata a buon fine. Fai clic con il tasto destro su Computer, seleziona Proprietà e guarda in fondo alla schermata se il sistema è attivato o meno. Nel caso in cui non lo fosse, procedi con il riconoscimento telefonico. Ho provato un brivido lungo la schiena che mi ha riportato subito a una decina di anni fa, ma tutto funziona ancora, ti tocca solo di sopportare quella decina di minuti (circa) che serviranno ad ascoltare la voce guida, inserire i blocchi di numeri generati (ID di attivazione, nda) e ottenere quindi quelli in risposta, da inserire a video. Una volta fatto tutto, otterrai il tuo Windows 7 OEM completamente attivato e pronto per essere preparato.

Installazione del software

I driver vengono (teoricamente) scaricati da Microsoft Update se hai connesso la macchina a internet, puoi quindi non preoccupartene (in alternativa puoi navigare il sito web del costruttore della tua macchina, cercare la pagina del prodotto ed esplorare i driver messi a disposizione). Ciò che devi installare è il solito Firefox (o Chrome, in base alla tua preferenza), Java, Skype, ma anche Java, Dropbox e altro ancora.

Avevo pubblicato qualche tempo fa un documento per riepilogare un’installazione tipo (uno dei possibili esempi), la trovi ancora oggi all’indirizzo public.gfsolone.com/wiki/doku.php?id=documenti:setuppc, ma l’alternativa “all’olio di gomito“, download multiplo e “Next, Next, Done” si chiama Ninite. Si tratta di un sito web che ti permette di selezionare i software che ti interessano da una lista abbastanza nutrita e, una volta terminato, scaricare un piccolo pacchetto eseguibile da lanciare sul PC interessato.

Reinstallare Windows OEM quando il supporto di Recovery non c'è 6

Penserà lui a scaricare le ultime versioni dei software che hai scelto, installandole subito dopo, senza chiederti nulla a video (evitando così possibili errori e flag inopportuni che talvolta installano software ulteriore non richiesto, tipicamente pubblicitario). Si tratta di uno di quei tool che può essere utilizzato anche per aggiornare il software in seguito, replicando il solo clic necessario (si collegherà ai siti web delle applicazioni richieste, verificherà le ultime versioni disponibili e le confronterà con quelle a bordo del tuo PC), da tenere quindi da parte in caso di necessità.

Probabilmente superfluo dirlo, ma ricorda di far girare un Windows Update che possa rimettere completamente in bolla il sistema neonato. Le immagini ISO di Windows su Digital River sono aggiornate, ma non quelle relative a Windows 7 (e forse neanche quelle 8), immagino che Microsoft abbia maggiore interesse a tenere in linea quelle relative al suo ultimo prodotto sul mercato (giustamente, aggiungerei). In alternativa (se preferisci qualcosa di meno tradizionale ma efficace), ricorda che c’è sempre WSUS Offline.

In conclusione

Mi sembra di aver detto tutto, non dovrei aver saltato nulla, ma l’area commenti è ovviamente a tua totale disposizione nel caso in cui ti siano venuti dei dubbi o mi voglia richiedere qualcosa inerente l’argomento affrontato. Magari hai anche un consiglio alternativo a quello fornito, nel caso in cui mi capiti in futuro di avere ancora a che fare con PC che non hanno a portata di mano il loro disco di Recovery! ;-)

Update

Gironzolando sul web, ho notato di essere in buona compagnia per il più generico discorso relativo alla “Reinstallazione di Windows“. Ti consiglio quindi un ulteriore articolo (molto completo) che riprende buona parte di quanto sopra riportato, suggerendo inoltre delle possibili soluzioni a problemi che potresti riscontrare, soprattutto se hai a che fare con BIOS differenti. Ecco il collegamento: dellwindowsreinstallationguide.com/windows-7-sp1-iso-download

Condividi l'articolo con i tuoi contatti:

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!

Breve articolo ad perpetuam rei memoriam (non si sa mai, potrebbe sempre tornare utile in futuro). Non ti parlerò di WSUS Offline Update, è una fantastica utility che risolve molti dei problemi legati alle lunghe attese di ricerca, download e installazione patch per Windows quando si ha a che fare con macchine particolarmente datate e non aggiornate da diverso tempo, semplicemente saltando a piè pari l’ostacolo.

WSUS Offline Update: esclusione rapida di una patch

Il tool è gratuito, lo si scarica da wsusoffline.net ed è molto semplice da utilizzare (basta dare un’occhiata ai mille tutorial presenti sul web o magari giocarci sul proprio PC, perché di danni non è che tu ne possa poi fare molti). Facciamo finta che tu sappia già tutto e passiamo al succo della pillola. A me è servito escludere una particolare patch di Windows, affinché questa non venisse scaricata e installata da WSUS Offline Update. Riporto il pezzo della documentazione utile alla specifica esigenza:

b) Dynamically determined updates
To exclude dynamically determined updates from installation, insert their knowledge base ID (KBxxxxxx or simply xxxxxx) into the file “ExcludeList.txt” (directory .\client\exclude\custom). These updates will now be ignored; and you’ll receive a warning in the log.

Il tutto si traduce con un semplice file chiamato ExcludeList.txt, che andrà inserito nella cartella \exclude\custom\ di WSUS Offline Update (solo per fare un esempio: C:\wsusoffline\exclude\custom\ExcludeList.txt). All’interno del file dovrai dichiarare il KB da escludere, uno per riga se hai necessità di specificarne più di uno. Nel mio caso ho dovuto escludere una singola patch che sul vero WSUS aziendale è stata bloccata (aveva procurato problemi in passato). Così facendo posso evitare che lui debba andare a disinstallarla in seguito all’installazione eseguita tramite tool. La stessa cosa puoi applicarla direttamente alla cartella client (scaricherai la patch ma non la installerai), ti basterà inserire il file all’interno della cartella \client\exclude\custom.

Non servirà fare null’altro, la modifica è già operativa, tu potrai ora impostare che tipo di patch scaricare (e in seguito installarle tramite il client della stessa applicazione).

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Avere un server WSUS in azienda aiuta gli amministratori a risparmiare principalmente preziosa banda, e gestire al meglio il rilascio degli aggiornamenti sui client all’interno della stessa rete, fare report, ritirare un fix (KB) in caso di un errore Microsoft (già successo in passato, ogni tanto può capitare). Una mano santa e bla, bla, bla. Ora che il cappello è stato scritto e abbiamo saltato i convenevoli, possiamo parlare del succo della questione e di questo articolo, si parla di pulizia (del WSUS), semplice manutenzione ordinaria! ;-)

WSUS: schedulare la pulizia ordinaria (PowerShell)

Si parte dal presupposto che l’operazione permessa dal software Microsoft vada già più che bene. Sto parlando di quella che puoi lanciare manualmente dalla console andando in OptionsServer Cleanup Wizard. In base alle risorse messe a disposizione della tua macchina WSUS, tale operazione potrebbe non essere necessaria per mesi, per poi diventare la tua migliore amica quando ti ritroverai con il disco dati (dedicato alle patch del WSUS) arrivato ormai a tappo.

Un documento di Technet viene in aiuto del malcapitato di turno, suggerendo un intervento via PowerShell, alla quale ci si può affidare per risparmiare tempo e imprecazioni. Il comando è quello di Invoke-WsusServerCleanup, descritto qui. L’unico pre-requisito è quello di andare a sbloccare l’esecuzione di script non firmati, realizzati tipicamente da te (o da me), cosa alla quale sei abituato sul tuo portatile di lavoro per gestire Exchange in Cloud, un po’ meno forse sul server 2012 R2 dove gira WSUS. Apri quindi PowerShell ed esegui:

Set-ExecutionPolicy Unrestricted

Una volta confermato, sei pronto per salvare il seguente codice in un file PS1 che dovrai poi caricare in una cartella del tuo server:

$logfile="C:\Scripts\WSUS-Cleanup-Log.log"

$ErrorActionPreference="SilentlyContinue"
Stop-Transcript | out-null
$ErrorActionPreference = "Continue"
Start-Transcript -path $logfile
$Error.Clear()

Write-Output "$((get-date).ToLongTimeString()) $server - WSUS Cleanup starting..."
Invoke-WsusServerCleanup -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates
Write-Output "$((get-date).ToLongTimeString()) $server - WSUS Cleanup complete."

Stop-Transcript
$emailbody = Get-Content $logfile | Out-String
$emailsubject = "WSUS cleanup report on $Env:ComputerName"
if ($error -ne $null){ $emailsubject = "WSUS cleanup report ERROR on $Env:ComputerName"}

Send-MailMessage `
    -From "Script WSUS-Clean <wsus@domain.tld>" `
    -To "Gruppo Alert WSUS <wsusalert@domain.tld>"`
    -Subject "$emailsubject" `
    -Body "$emailbody" `
    -SmtpServer "smtp.domain.tld"
    
# Examples:
#  -From "$env:COMPUTERNAME-alert@domain.tld" `
#  -To "Gruppo Alert WSUS <wsusalert@emmelibri.it>", "Altro Admin <altroadmin@domain.tld>"`

Non si tratta di farina del mio sacco, mi sono limitato a modificare lo script proposto sul blog di “BrianCanFixIT“, un lavoro assolutamente perfetto per l’esigenza, che aggiunge qualche piccolo dettaglio molto comodo alla già comune e conosciuta stringa relativa all’Invoke-WsusServerCleanup.

Ti basterà ritoccare le informazioni che riguardano il server SMTP (per l’invio dei log dell’operazione) e -se vuoi- modificare le operazioni eseguite da PowerShell, quindi salvare lo script e preparare un’operazione schedulata che lo lancerà una volta a settimana, o al mese se preferisci, lo scopo del gioco è quello di tenere un server WSUS in forma, funzionante e pulito da file non più utili che occupano inutilmente spazio su disco.

Se non sai come fare, ti rimando a una semplice guida pubblicata su SpiceWorks: community.spiceworks.com/how_to/17736-run-powershell-scripts-from-task-scheduler. Ti riepilogo cosa c’è da sapere (quindi fare sul tuo server):

  • Crea una nuova operazione semplice, una di quelle che esegue un programma.
  • Ricorda di specificare l’intervallo di esecuzione dell’operazione (settimanale, scegli il giorno e l’ora).
  • Il programma sarà Powershell.exe (il sistema sa già dove andarlo a trovare), negli Arguments dovrai specificare la posizione dello script e -per mera sicurezza- il bypass della policy di esecuzione script di PowerShell, ottenendo quindi qualcosa di simile a -ExecutionPolicy Bypass C:\Script\WSUSClean.ps1 (partendo dal presupposto che WSUSClean.ps1 sia il tuo script PowerShell contenente il codice sopra pubblicato e che tu lo abbia salvato in C:\Script).
  • Lo script da utilizzare questa volta, non prevede parametri, non è necessario quindi specificare null’altro e ti basterà completare la configurazione e ricordarti di aprire le opzioni dell’operazione schedulata al termine. Una volta fatto, modifica il tipo di privilegio di esecuzione specificando che si tratta di un’operazione da eseguire a prescindere che qualcuno sia collegato alla macchina e che servono privilegi elevati.

Ti verrà richiesto di inserire la password dell’account amministrativo che lancerà l’operazione, e se non avrai commesso alcun errore tutto filerà liscio già alla prima occasione. Se vuoi puoi forzare l’esecuzione dell’operazione per assicurarti che tutto vada bene, al termine dovresti ricevere una mail contenente il log delle operazioni.

Enjoy.

La pulizia passa anche per SQL

Update

Aprile 2017: Si è reso necessario aggiornare l’articolo perché, in effetti, avevo lasciato in disparte il database del WSUS, cosa che in realtà è meglio non fare per evitare di lasciare sporco le tabelle utilizzate dal software, andando così a occupare dello spazio inutile che può essere recuperato ogni volta che si lascia intervenire lo script di PowerShell. Ecco quindi come fondere le due cose insieme con un ulteriore script (stavolta di SQL) e una piccola modifica al PowerShell (che ne permetterà l’integrazione).

Si perché in realtà, dopo aver messo in moto e lasciato a lavorare lo script di PowerShell per il clean delle patch non più utili, ci si accorge che nel database si vanno a lasciare delle voci anch’esse non più utili, orfane di ciò che non esiste più. Per portare a termine un lavoro più completo, ti basterà salvare questo script nella stessa cartella dove risiede l’altro di PowerShell:

Update

Maggio 2017: Nuovo giro, nuovo aggiornamento. Per evitare possibili problemi, ho modificato lo script SQL forzandolo a puntare al database SUSDB, utilizzato per contenere i dati di WSUS. Grazie a Daniel per avermi segnalato la modifica, utile per chi non ha quell’unico database sulla macchina 2012 R2 destinata a fare da servizio WSUS.

A questo punto, modifica lo script PowerShell che già avevi messo in funzione e inserisci la stringa:

sqlcmd -i C:\Scripts\db_maint.sql -S \\.\pipe\MICROSOFT##WID\tsql\query

prima dello Stop-Transcript. Occhio però: modifica la cartella dove pescare lo script se nel tuo caso è differente (cambia quindi C:\Scripts in qualcosa che riflette l’attuale posizionamento del file sul tuo server!). A questo punto PowerShell si occuperà di fare pulizia delle patch e del database di WSUS, in un colpo solo. Tu riceverai il solito log delle operazioni che ora conterrà anche le informazioni di pulizia del database :-)

Condividi l'articolo con i tuoi contatti: