1 10/04/2026 9 min

KB36495448 su SCCM 2503 e 2509: quando applicarla e cosa controllare prima

La correzione KB36495448 va letta come un intervento mirato sul ramo di ConfigMgr/SCCM 2503 e 2509, non come un aggiornamento da installare “a vista”. In ambienti Microsoft Endpoint Configuration Manager il punto non è solo capire se la KB è disponibile, ma se il sito, i ruoli e la baseline di manutenzione sono compatibili con l’installazione senza introdurre regressioni su console, distribution point, management point o client.

In pratica, il criterio corretto è semplice: prima si valida il livello reale del sito, poi si verifica che la correzione risolva il problema osservato, infine si applica in una finestra controllata con rollback definito. Saltare questo ordine è il modo più rapido per trasformare una fix in un change ingestibile.

Perché questa KB va trattata come change controllato

Le release 2503 e 2509 non sono “solo numeri di versione”: cambiano il comportamento del sito, le dipendenze della console e, spesso, la compatibilità con componenti esterni come SQL Server, ADK, WinPE, driver package e meccanismi di distribuzione contenuti. Una correzione cumulativa o hotfix associata a queste build può risolvere un difetto puntuale ma, nel frattempo, richiedere prerequisiti che in ambienti datati non sono allineati.

Il primo errore operativo è assumere che una KB riferita a 2503 o 2509 sia installabile ovunque dove “c’è SCCM”. Il secondo è applicarla senza distinguere tra site server primario, CAS, console admin e client. Il terzo è non avere un punto di ritorno: snapshot, backup del database, export delle customizzazioni e finestra di manutenzione devono esserci prima, non dopo.

Classificazione operativa: change controllato, non troubleshooting generico

Se stai valutando KB36495448, il caso corretto è quasi sempre change controllato. L’obiettivo non è inseguire un guasto impreciso, ma ridurre un rischio noto o correggere un comportamento verificato in una specifica build. Questo cambia il metodo:

  • si parte dallo stato atteso del sito;
  • si confronta con l’osservato su console, log e servizi;
  • si applica la correzione con blast radius definito;
  • si conferma il risultato con controlli post-change.

Se invece il sito è già instabile, la KB non è il primo passo. Prima si stabilizza l’operatività, poi si interviene sulla patch.

Stato atteso vs osservato

Atteso: il sito SCCM 2503 o 2509 mostra la build corretta in console, i ruoli rispondono, la distribuzione contenuti funziona e i client ricevono policy e deployment senza errori anomali.

Osservato: una o più funzioni del ciclo di gestione mostrano errori coerenti con il difetto che la KB deve correggere, oppure la console segnala una mancata compatibilità/assenza prerequisiti che blocca o sconsiglia l’installazione.

Se non hai ancora identificato quale comportamento anomalo stai cercando di correggere, fermati qui: senza sintomo o release note verificata, stai facendo manutenzione a intuito.

Dove guardare prima di toccare il sito

La verifica deve essere corta e fattuale. Non serve aprire dieci strumenti: bastano pochi artefatti che dicano se il sito è sano abbastanza da assorbire il change.

  • Console SCCM: controlla la versione del site e lo stato degli aggiornamenti in Administration > Updates and Servicing.
  • Log del site server: verifica i log di servicing e setup, tipicamente in \<site server>\SMS_<site code>\Logs.
  • Stato ruoli: controlla Monitoring > System Status per errori su Management Point, Distribution Point e componenti di site control.
  • SQL Server: conferma che il database del sito non abbia alert di spazio, lock o job falliti.

Un controllo minimo in PowerShell o da console può essere utile per leggere rapidamente la versione e la salute generale. Il punto non è automatizzare tutto, ma evitare di applicare una correzione su un’istanza già degradate.

Get-CMSite | Select-Object SiteCode, Version, BuildNumber

Se il comando non restituisce il site atteso, il problema è a monte: connettività, diritti della console o contesto sbagliato. In quel caso non procedere con la KB finché non hai chiuso il gap.

Ipotesi più probabili prima dell’installazione

  1. La build reale non è quella che credi. In ambienti con più siti o console remote è facile confondere 2503 con 2509. Falsificazione in meno di 5 minuti: confronta la versione del site nella console con i log di servicing e con l’header della console stessa.
  2. Il prerequisito della KB non è soddisfatto. Alcune correzioni richiedono versione minima del site, console aggiornata o specifici componenti presenti. Falsificazione rapida: leggi il file di release note o la pagina del supporto e verifica la sezione prerequisites.
  3. Il sito è sano solo in apparenza. Errore su SQL, backlog di distribuzione o stato incoerente dei ruoli può far fallire l’update. Falsificazione rapida: controlla i log recenti del site server e lo stato dei componenti in Monitoring.

Queste tre ipotesi coprono la maggior parte dei casi reali. Se nessuna regge, il problema non è la KB in sé ma il contesto operativo del sito.

KB36495448: come impostare la verifica corretta

La verifica corretta non parte dall’installazione, ma dall’identificazione del motivo per cui la KB serve. In un ambiente gestito bene, ogni correzione deve essere tracciata a un difetto osservabile: errore nella console, failure del servicing, regressione su client, problema di deploy o bug sui componenti del sito.

Serve quindi una traccia minima:

  • versione del site;
  • versione della console;
  • ruolo o flusso impattato;
  • messaggio d’errore o comportamento anomalo;
  • finestra temporale in cui il problema compare.

Senza questo, non puoi distinguere una correzione utile da un aggiornamento solo “tecnicamente compatibile”.

Strategia di applicazione: azione minima reversibile

La sequenza sensata è sempre la stessa: backup, verifica prerequisiti, installazione sul punto meno esposto, test, poi estensione. Se la KB riguarda il site server, non partire dai client. Se riguarda console o update servicing, non toccare subito l’intera infrastruttura.

  1. Backup e punto di ritorno. Salva configurazioni rilevanti, esporta policy critiche e verifica di avere backup recenti del database del sito e del server. Il rollback non si improvvisa.
  2. Controlla prerequisiti. Conferma build del site, versione console, stato SQL, spazio disco e salute dei servizi del sito.
  3. Applica in finestra controllata. Se la KB è distribuita tramite console, usa il percorso ufficiale di Updates and Servicing. Se richiede pacchetto manuale, segui la documentazione Microsoft relativa alla build.
  4. Verifica subito dopo. Controlla log, stato ruoli e rendering della console. Non aspettare il giorno dopo.
  5. Estendi solo se il primo punto è pulito. Se esiste un ambiente di pre-produzione, replica lì il change prima del sito principale.

Il blast radius va sempre dichiarato: una KB su SCCM può impattare console, site server, distribuzione contenuti e operatività client in cascata. Più il sito è centrale, più la finestra deve essere stretta.

Log e segnali che contano davvero

In un update SCCM i log utili sono pochi ma decisivi. Non serve scavare in tutto il filesystem: basta sapere dove guardare.

  • \<site server>\SMS_<site code>\Logs\CMUpdate.log: stato del servicing e progressione dell’update.
  • \<site server>\SMS_<site code>\Logs\hman.log: sincronizzazione e gestione metadata del sito.
  • \<site server>\SMS_<site code>\Logs\sitecomp.log: salute dei componenti del sito.
  • \<site server>\SMS_<site code>\Logs\smsprov.log: problemi lato provider WMI/console.

Il criterio è semplice: se il log mostra errori ripetuti di prerequisito, permessi o componenti mancanti, non forzare. Se invece l’update avanza ma si ferma su un ruolo specifico, il problema è localizzato e va trattato come tale.

Un esempio tipico: il site server è aggiornabile ma la console continua a mostrare mismatch di versione. In quel caso il fix non è “rifare tutto”, ma verificare installazione console, cache locale e allineamento tra site server e client console amministrativa.

Quando la KB corregge un difetto ma introduce un nuovo vincolo

Le correzioni per SCCM spesso cambiano più della singola funzionalità interessata. Possono introdurre nuove dipendenze o irrigidire controlli che prima erano tolleranti. Questo vale soprattutto in ambienti con personalizzazioni, script di automazione, report custom e integrazioni con AD, Intune o strumenti di terze parti.

Per questo, dopo l’installazione, non fermarti alla schermata “success”. Verifica i flussi che dipendono dal sito:

  • deployment di applicazioni;
  • policy verso i client;
  • distribuzione contenuti ai DP;
  • stato dei boundary group;
  • apertura e sincronizzazione della console.

Se uno di questi flussi si rompe dopo la KB, hai un caso di regressione da trattare come incidente di produzione, con rollback o workaround documentato.

Rollback: cosa fare se qualcosa non torna

Il rollback deve essere deciso prima del change, non mentre il sito è già in errore. La strada precisa dipende da come la KB è stata distribuita, ma la regola è sempre la stessa: ripristinare il componente impattato nel modo meno invasivo possibile.

  1. Se il problema è sulla console, reinstalla o riallinea la console con la versione corretta del site.
  2. Se il problema è sul site server, usa il backup del sistema o del database se il servicing ha compromesso lo stato del sito.
  3. Se il problema riguarda solo un ruolo, isola il ruolo e verifica se il difetto è legato alla KB o a una dipendenza preesistente.
  4. Se non hai un rollback verificabile, non applicare il change in produzione.

Non esistono scorciatoie affidabili qui. Un rollback senza evidenza è solo un altro tentativo.

Controlli finali dopo l’applicazione

La chiusura del change deve essere misurabile. Non basta che “sembri tutto a posto”. Dopo la KB, i controlli minimi sono questi:

  • la versione del site è coerente con la correzione applicata;
  • i log di servicing non mostrano errori residui;
  • la console apre e interroga il sito senza mismatch;
  • un deployment di test arriva a un client campione;
  • il Distribution Point continua a servire contenuti correttamente.

Se hai una metrica operativa, usala: tasso di errori nel deployment, tempo di risposta della console, backlog dei contenuti o numero di client non compliant. La correzione è riuscita solo se la metrica non peggiora e, idealmente, il difetto originario sparisce.

Assunzione operativa: KB36495448 va trattata come correzione da validare sul sito reale, con prerequisiti, log e rollback già pronti; senza release note e versione esatta del sito non conviene andare oltre l’analisi.

Decisione pratica: applicarla o no

La risposta non è “sì” o “no” in astratto. Se il tuo ambiente è realmente su SCCM 2503 o 2509, il problema è coerente con la KB, e i prerequisiti sono soddisfatti, la correzione ha senso. Se invece la build non coincide, il difetto non è riproducibile o il sito è già instabile, fermati e chiudi prima il gap di osservabilità.

La regola buona è questa: su SCCM una KB si applica quando hai un motivo tecnico, un check di compatibilità e un piano di ritorno. Tutto il resto è solo esposizione inutile del sito.

Per chiudere eventuali incertezze, il punto operativo è sempre lo stesso: verifica la release note Microsoft relativa a KB36495448, conferma la build del site in console e incrocia il risultato con i log di servicing prima di programmare il change.