Guida all’aggiornamento di Configuration Manager 2409 -- TrgtKLS • Tech, Sicurezza e Strumenti & guide per Webmaster

1 1 visite 13/04/2026 Pubblicato il: 13/04/2026 22:55 Tempo di lettura: 9 min

Condizione di partenza: cosa cambia davvero con 2409

L’aggiornamento a Configuration Manager 2409 non va trattato come un semplice click in console. In pratica stai toccando un sistema che ha dipendenze su SQL, ruoli del sito, client, distribuzione contenuti e spesso anche integrazioni esterne come endpoint protection, reporting o co-management. Il punto non è solo “installare l’update”, ma farlo senza introdurre regressioni su discovery, policy, distribuzione applicazioni e task sequence.

La regola operativa è semplice: prima osservi lo stato del sito, poi confermi i prerequisiti, poi esegui l’upgrade con un rollback chiaro. Se qualcosa non torna, non si improvvisa. Le informazioni mancanti vanno chiuse con log, console e SQL, non con supposizioni.

Prima di toccare il sito: verifica salute, supporto e finestra di rischio

Un upgrade di Configuration Manager ha senso solo se il sito è già sano. Se il server è in affanno, se il database ha warning, se ci sono code di replicazione o componenti critici in errore, 2409 non risolve nulla: tende solo a rendere più difficile capire dove nasce un problema.

Controlla almeno questi punti prima di procedere: versione corrente, ramo di supporto, stato dei componenti del sito, spazio disco sui server coinvolti, salute SQL, certificati se usi HTTPS o PKI, e presenza di eventuali maintenance windows sui client o sui punti di distribuzione. Se il sito è centralizzato o distribuito su più primari, la verifica va fatta su tutti i nodi interessati, non solo sulla console che usi ogni giorno.

Per una prima fotografia rapida, conviene passare da console e log. In console apri Monitoring e guarda lo stato dei componenti e degli alert. Sul server del sito principale, i log più utili da leggere sono quelli dell’installer e del servicing. I nomi esatti dipendono dal ruolo, ma il riferimento operativo resta quello: log di setup, log di servicing, log del componente SMS e log del database se hai problemi di connessione o schema.

Prerequisiti che bloccano più spesso l’upgrade

I blocchi più comuni non sono “misteriosi”: sono sempre gli stessi, solo che emergono tardi se non li controlli prima. In ordine di probabilità, gli ostacoli ricorrenti sono spazio insufficiente, componenti del sito non sani, permessi non adeguati, SQL non allineato, e problemi di rete tra console, server del sito e database.

Lo spazio libero va verificato sui volumi che ospitano la content library, il file system del sito, i log e il database. Se hai una content library piena o quasi piena, l’upgrade può partire e poi fermarsi in modo poco elegante. Un controllo semplice è questo:

Get-PSDrive -PSProvider FileSystem | Select-Object Name,Free,Used

Il valore atteso è una capacità residua coerente con la dimensione del sito e con l’eventuale espansione temporanea durante il servicing. Se vedi pochi gigabyte liberi su volumi che ospitano contenuti, fermati e libera spazio in modo controllato prima di proseguire.

Per SQL, non basta “il servizio è su”. Devi verificare connettività, spazio, crescita dei log e assenza di errori evidenti nei log dell’istanza. Se il database è in recovery, in sospensione o con autogrowth aggressivo, l’upgrade rischia di rallentare o fallire. Un check rapido può essere fatto anche da SQL Server Management Studio o con query di stato se hai accesso amministrativo, ma il dato utile resta uno: il database deve essere online, raggiungibile e senza errori strutturali noti.

Se il sito usa PKI, verifica la validità dei certificati dei ruoli coinvolti e dei client management point. Un certificato scaduto non sempre blocca il setup subito, ma può introdurre sintomi secondari che sembrano problemi di upgrade e in realtà sono problemi di autenticazione. La verifica va fatta sui campi Not After, Enhanced Key Usage e catena di fiducia, non solo sul nome comune.

Backup e rollback: il minimo sindacale prima del change

Un aggiornamento controllato richiede almeno un piano di ritorno. Non serve teatralità: serve sapere come tornare indietro se il servicing interrompe la console, lascia componenti in errore o impatta i client in modo anomalo. Il rollback reale, in Configuration Manager, spesso non è “uninstall e via”; è ripristino da backup del sito, snapshot del database se previsti dalle policy, e capacità di riattivare il ramo precedente solo se il tuo processo interno lo consente.

Prima di partire salva la configurazione utile: versione del sito, topologia, ruoli installati, parametri di boundary group, configurazioni dei distribution point e qualsiasi personalizzazione che non vuoi ricostruire a mano. Se hai script o automazioni che interagiscono con la console o con WMI, conserva anche quelli in un repository versionato.

Se usi backup nativo del sito, verifica che il backup precedente sia completato e recuperabile. Non basta vedere un job “completed”: devi sapere dove si trova il set di backup, quali file include e come ripristinarlo. Questo è il punto in cui molte procedure si rompono perché il backup esiste solo nominalmente.

Sequenza pratica per l’aggiornamento a 2409

La sequenza corretta è: validazione, download, pre-check, avvio servicing, monitoraggio, verifica post-upgrade. Saltare un passaggio non accelera davvero; sposta solo il problema più avanti.

Apri la console di Configuration Manager con un account che abbia diritti amministrativi sul sito.
Vai in Administration e poi nella sezione degli aggiornamenti del sito. Verifica che 2409 sia disponibile e che lo stato non segnali prerequisiti mancanti.
Se il pacchetto non è ancora presente, scaricalo dal canale previsto dalla tua organizzazione. Evita copie manuali non tracciate: se il file si corrompe o viene sostituito, poi perdi tempo a capire dove si è rotto il flusso.
Avvia il prerequisite check prima dell’installazione. È il filtro più utile per intercettare problemi di schema, versioni componenti, spazio e dipendenze note.
Se il prerequisite check è pulito, pianifica l’avvio in finestra di manutenzione e monitora i log del sito in tempo reale mentre il servicing procede.

Durante l’esecuzione, la metrica che conta davvero non è “sta ancora lavorando?”, ma “ci sono errori ripetuti o il processo avanza?”. Se il log mostra retry continui sugli stessi componenti, non aspettare troppo: quello è il segnale che il problema non è transitorio. A quel punto il change va sospeso e si passa alla diagnosi.

Un esempio concreto: se il prerequisito fallisce per mancanza di spazio, il fix corretto non è rilanciare il setup sperando che vada meglio. Prima liberi spazio nel volume corretto, poi rilanci il check, poi riparti. Se invece il blocco è un componente del sito in errore, devi correggere il componente o il servizio sottostante prima di ritentare.

Log e segnali da leggere mentre l’upgrade gira

Il servicing di Configuration Manager è uno di quei casi in cui i log sono la vera interfaccia. Se la console sembra ferma, il log ti dice se è davvero ferma o se sta aspettando una dipendenza. I file esatti dipendono dal ruolo, ma il criterio resta lo stesso: cerca il log del setup, il log del servicing, il log del componente SMS e i log di SQL o del provider WMI quando la console non riflette lo stato reale.

Segnali da considerare critici: errori di accesso al database, timeout ripetuti, fallimento nel download del contenuto, componenti che passano da healthy a warning senza recupero, e messaggi che indicano prerequisiti non soddisfatti anche dopo correzioni apparenti. Se il sistema ti restituisce sempre lo stesso errore con timestamp diversi, è quasi sempre un problema persistente, non una fluttuazione.

Se devi fare triage veloce, tieni a portata di mano anche i servizi Windows del server del sito e il visualizzatore eventi. Un servizio fermo o in crash loop rende inutile inseguire il solo log applicativo. La sequenza giusta è: servizio, evento, log, poi console.

Cosa controllare subito dopo l’upgrade

Finito il servicing, non considerare il lavoro chiuso. Il punto non è che 2409 risulti “installed”, ma che il sito continui a gestire utenti e oggetti senza degrado. I controlli post-upgrade devono essere brevi ma mirati: console accessibile, componenti verdi, client check-in regolare, distribuzione contenuti attiva, report base funzionanti e nessun errore ricorrente nei log.

Verifica la versione nella console e conferma che il pacchetto risulti completato senza warning residui.
Controlla lo stato di management point, distribution point e site component principali.
Apri una macchina client di test e conferma che riceva policy, inventory e aggiornamenti secondo il normale ciclo.
Valida almeno una distribuzione contenuti e una raccolta di test per assicurarti che la catena operativa non si sia rotta.
Se usi endpoint protection o co-management, verifica che le integrazioni non abbiano perso allineamento.

Un buon indicatore di salute post-upgrade è l’assenza di errori nuovi nei log nelle ore successive al change. Non basta che il sito apra: deve restare stabile abbastanza da attraversare un ciclo di policy e di distribuzione. Se trovi rallentamenti o ritardi, prendi nota della metrica: tempo di check-in, tempo di distribuzione, latenza della console, tasso di errore dei componenti. Senza numeri, ogni discussione diventa opinione.

Problemi tipici dopo 2409 e come smontarli in fretta

Se dopo l’upgrade la console è lenta o alcuni nodi non si allineano, le cause più probabili sono cache lato console, componenti del sito ancora in transizione, o un problema preesistente che il servicing ha solo reso visibile. Prima di fare modifiche invasive, chiudi il cerchio con un test semplice: riapri la console, verifica i log e prova un’operazione banale come l’apertura di una raccolta o il refresh di un nodo.

Se invece i client smettono di ricevere policy, il primo sospetto non è l’upgrade in sé ma la catena di comunicazione: management point, boundary group, DNS, certificati, firewall e stato del servizio. In molti casi il problema emerge solo perché il change ha imposto un riavvio o ha riattivato una dipendenza che era già fragile. La diagnosi va fatta layer per layer, non con un singolo tentativo di riparazione.

Se la distribuzione contenuti fallisce, controlla la content library, lo spazio disco del distribution point e gli errori di accesso ai path. Se la console mostra “success” ma il client non scarica nulla, il problema può stare nel boundary, nel punto di distribuzione o nel contenuto non ancora propagato. Anche qui serve verificare, non intuire.

Quando fermarsi e aprire un rollback

Il rollback non è un fallimento: è il modo corretto di evitare che un upgrade parziale diventi un incidente più grande. Fermati se il prerequisito fallisce senza correzione immediata, se il servicing genera errori ripetuti sul database, se i ruoli primari restano degradati dopo il change, o se i client iniziano a perdere funzioni core che non puoi ripristinare rapidamente.

Prima di tornare indietro, documenta lo stato: screenshot o esportazione dei warning in console, estratti log, orario di inizio e fine tentativo, e quali verifiche hai già fatto. Il rollback funziona solo se sai esattamente da che punto ripartire. Dopo il ripristino, ripeti il prerequisite check e correggi la causa radice prima di un nuovo tentativo.

Assunzione operativa: il sito è in produzione, con impatto utenti potenziale fino a prova contraria; ogni modifica deve essere reversibile e validata con log, console e test client prima di essere considerata chiusa.