Guida completa al deploy di Windows Server 2022 con SCCM

Windows Server 2022 con SCCM: il punto che fa la differenza

Il deploy di Windows Server 2022 con SCCM non è un semplice “installa immagine e vai”. La parte delicata è far combaciare boot, driver, storage, naming, join al dominio, aggiornamenti e hardening con un flusso che sia ripetibile. Se uno di questi pezzi è fuori posto, il server parte ma non è davvero pronto, oppure si ferma a metà task sequence con errori poco utili.

© TrgtKLS • Tech, Sicurezza e Strumenti & guide per Webmaster — https://trgtkls.it — tutti i diritti riservati.

La regola pratica è questa: prima si definisce il target operativo, poi si costruisce la task sequence. Se non sai già come deve uscire il server, SCCM ti consegna solo una macchina installata, non un sistema gestito.

Architettura minima del flusso

Per un deploy pulito servono almeno: Distribution Point raggiungibile dal segmento di rete, boot image compatibile con UEFI, content library sana, image sorgente valida, driver per il modello hardware, e una task sequence con i passaggi fondamentali già ordinati. Se uno di questi elementi è fragile, il problema quasi sempre si manifesta durante il boot PXE o nel passaggio tra WinPE e sistema operativo.

Su Server 2022 conviene ragionare per livelli: avvio, acquisizione del contenuto, installazione OS, personalizzazione, validazione finale. In SCCM questo si traduce in una task sequence modulare, non in una sequenza monolitica da 40 step che nessuno vuole più toccare dopo il primo successo.

Prerequisiti da verificare prima di creare la task sequence

Prima di aprire la console, controlla che la base sia coerente. Il punto non è “funziona in laboratorio”, ma “si replica in produzione senza sorprese”.

1. Boot image aggiornata con supporto ai driver di rete e storage del target. Se usi hardware recente, WinPE vecchio è spesso il primo collo di bottiglia.

2. Immagine di installazione di Windows Server 2022 importata da sorgente pulita, non da ISO manipolata o già customizzata in modo opaco.

3. Driver organizzati per modello e per ruolo, non caricati tutti insieme in una cartella unica. Il driver sprawl è una causa classica di collisioni.

4. Account di accesso al dominio o credenziali necessarie già definite, con privilegi minimi e scadenza controllata.

5. Spazio sufficiente sul DP e sulla share di distribuzione. Se il content store è saturo, la task sequence fallisce in modo apparentemente casuale.

Se vuoi una verifica rapida lato infrastruttura, il primo controllo utile è la reachability del DP e la salute del contenuto. Non serve ancora toccare la task sequence.

Get-CMDistributionPoint | Select-Object NALPath, ServerName, SiteSystemStatus
Get-CMContentDistributionStatus | Select-Object PackageID, ContentStatus, Targeted, Installed, Failed

Se il contenuto non è distribuito o è in stato failed, la task sequence può essere perfetta e fallire comunque. Prima si rimette in salute il delivery, poi si ragiona sul resto.

Preparazione dell’immagine e dei driver

Con Server 2022 conviene mantenere separati il pacchetto OS, i driver di massa e i driver di rete. In particolare, per i server moderni il driver storage è più critico del resto: se WinPE non vede il disco, non arriverai mai al setup grafico. I driver vanno importati nel formato corretto e poi filtrati con criterio, idealmente per modello o famiglia hardware.

Una pratica utile è creare due gruppi distinti: uno per WinPE, uno per l’OS finale. Non sempre coincidono. Ci sono casi in cui il NIC funziona in preinstallazione ma non dopo il primo reboot, o viceversa. Mischiare tutto in un unico contenitore rende il troubleshooting più lento e meno affidabile.

Se devi aggiornare la boot image, fallo in modo controllato e poi ridistribuiscila. Dopo ogni modifica, verifica che il file `boot.wim` aggiornato sia effettivamente quello pubblicato sul DP, non una copia rimasta indietro in console.

Get-CMDistributionPoint -SiteSystemServerName DP01.contoso.local | Select-Object SiteSystemServerName, IsPullDP, ClientCommunicationType

Costruzione della task sequence per Server 2022

La task sequence base dovrebbe essere leggibile anche tra sei mesi da chi non l’ha scritta. L’obiettivo non è fare tutto dentro SCCM “perché si può”, ma ridurre i punti di fallimento e rendere chiaro dove si rompe il flusso.

1. Avvio in WinPE e inizializzazione del disco. Qui decidi lo schema GPT/UEFI e l’eventuale partizionamento standardizzato.

2. Applicazione dell’immagine Windows Server 2022. Se usi WIM custom, documenta sempre la fonte e la data di aggiornamento.

3. Installazione driver necessari al modello hardware.

4. Configurazione identità macchina: nome host, OU di destinazione, join al dominio.

5. Installazione feature o ruoli base, se previsti dal profilo del server.

6. Applicazione patch e eventuali baseline di sicurezza.

7. Validazioni finali e riavvio controllato.

Se il tuo ambiente richiede più profili server, evita una task sequence unica con decine di condizioni sparse. Meglio una base comune e rami separati per ruoli diversi. Quando tutto dipende da variabili e condizioni, il debug diventa un esercizio di archeologia.

Unattend, naming e join al dominio

Per Server 2022, l’uso di `unattend.xml` resta utile, ma va tenuto sotto controllo. Non serve infilare lì ogni scelta possibile. Usalo per automatizzare quello che è davvero stabile: lingua, timezone, layout disco, account locali se strettamente necessari, e alcuni parametri di setup. Per il resto, meglio lasciare che sia la task sequence a governare il flusso.

Il naming è un dettaglio solo in apparenza. In ambienti con naming convention rigida, il nome host deve essere deterministico e verificabile prima del join. Se il nome viene assegnato in ritardo o da una variabile sbagliata, ti ritrovi con macchine da rinominare a mano o con errori di join difficili da interpretare.

Per il join al dominio, usa un account dedicato con permessi limitati all’OU di destinazione, non credenziali amministrative generiche. È una scelta di sicurezza e di audit. Se il processo fallisce, verifica prima il log della task sequence e poi la reachability del domain controller.

type C:\Windows\CCM\Logs\smsts.log

Il file `smsts.log` è quasi sempre il primo posto da leggere. Se sei ancora in WinPE, controlla il log sul volume temporaneo o via supporto di rete; dopo l’avvio nel sistema operativo, il percorso cambia ma la logica resta identica: leggere il punto esatto in cui il flusso si interrompe.

Gestione dei driver: il punto dove si perde più tempo

Molti fallimenti “misteriosi” in realtà sono driver mal gestiti. Con hardware server recente, soprattutto RAID, NIC e controller NVMe, il problema non è il sistema operativo ma il modo in cui i driver vengono esposti alla task sequence. Se il driver package è troppo ampio, SCCM può scegliere quello sbagliato oppure impiegare troppo tempo a valutare le corrispondenze.

La strategia più pulita è usare categorie o gruppi per modello e applicare i driver in modo mirato. In questo modo riduci il rischio di introdurre componenti non necessari che, oltre a non servire, aumentano la superficie di errore. Un server non dovrebbe ricevere driver di dieci famiglie diverse solo perché “potrebbero servire”.

Se vuoi confermare che il driver è davvero visto da WinPE, non fermarti alla console. Cerca nel log della task sequence il nome del pacchetto o del driver e verifica che non ci siano tentativi ripetuti o fallback. Il sintomo classico è un boot che parte, poi si blocca prima dell’accesso al disco.

Distribuzione di ruoli e feature dopo l’installazione

Se il server deve ospitare ruoli specifici, installali dopo la fase di base, quando il sistema è già stabile e il riavvio non rischia di interrompere il setup. Questo vale soprattutto per ambienti che prevedono File Services, Hyper-V, IIS o componenti di automazione aggiuntivi.

Per esempio, se il server deve diventare un host Hyper-V, è meglio separare la preparazione dell’OS dal provisioning dei virtual switch e dalle impostazioni di rete avanzate. Lo stesso vale per i file server con quote, deduplica o hardening SMB: meglio un secondo step chiaro che una sequenza iniziale troppo carica.

Un approccio pratico è usare script post-installazione versionati in una share controllata, richiamati dalla task sequence. Così puoi aggiornare la logica senza dover rifare ogni volta l’immagine. Il vantaggio è anche operativo: se qualcosa si rompe, sai se il problema sta nell’OS base o nello script di ruolo.

powershell.exe -ExecutionPolicy Bypass -File .\PostInstall\Configure-Server2022.ps1

Patch, baseline e primo hardening

Un server appena installato non è pronto finché non ha ricevuto almeno il livello minimo di patching e le impostazioni base di sicurezza. Questo non significa trasformare la task sequence in una pipeline di compliance completa, ma evitare che il sistema esca in rete in uno stato troppo grezzo.

La scelta migliore è applicare gli aggiornamenti in un punto ben definito della sequenza, dopo che il sistema è installato e prima della consegna finale. Se fai il contrario, rischi di consolidare una macchina che sarà già obsoleta al primo boot operativo.

Per l’hardening, mantieni separati i controlli che dipendono dalla policy di dominio da quelli locali. GPO, baseline di sicurezza e configurazioni del sistema devono avere un ordine preciso. Se la task sequence imposta qualcosa che poi la policy sovrascrive, il risultato sembra instabile anche quando non lo è.

Validazione post-deploy: cosa controllare davvero

La validazione finale non deve essere generica. Serve una checklist che dica se il server è pronto o no. Al minimo controlla: nome host corretto, join al dominio riuscito, IP e gateway coerenti, storage presente, driver caricati, servizi richiesti installati, patch applicate, e nessun errore grave in Event Viewer.

1. Verifica il nome macchina: `hostname` deve corrispondere alla convention attesa.

2. Verifica il dominio: `whoami /fqdn` o `nltest /dsgetdc:dominio.local` devono rispondere correttamente.

3. Verifica i log: `smsts.log` e i log di `C:\Windows\Panther` se il problema è legato al setup iniziale.

4. Verifica rete e storage con `ipconfig /all` e `Get-PhysicalDisk` o strumenti equivalenti del vendor.

5. Verifica che il server compaia in SCCM come client sano, non solo come macchina appena installata.

Se il server si installa ma poi non viene gestito, il problema non è il deploy in senso stretto. È il post-deploy: client SCCM non installato, boundary errate, policy non ricevute, oppure firewall che blocca la comunicazione. In pratica, l’installazione è andata a buon fine ma la presa in carico no.

Errori tipici e lettura rapida del sintomo

Ci sono alcuni pattern ricorrenti. Se il download del contenuto fallisce, pensa prima a DP, boundary e accesso al file share. Se il boot PXE non parte, guarda DHCP, IP helper e boot image. Se il setup si ferma sul disco, guarda UEFI, storage controller e driver. Se il server finisce installato ma non entra in dominio, controlla credenziali, DNS e OU.

Un errore frequente è scambiare il sintomo per la causa. Ad esempio, un timeout in task sequence può sembrare un problema di SCCM, ma spesso è semplicemente un problema di rete o di contenuto distribuito male. La sequenza corretta è sempre: layer di rete, contenuto, OS, poi applicazione.

Se un deploy è “quasi sempre ok”, non è robusto: è solo ancora fortunato. In produzione la differenza la fa la ripetibilità, non il primo successo.

Manutenzione della soluzione nel tempo

Una soluzione SCCM per Windows Server 2022 va mantenuta, non archiviata. Ogni aggiornamento hardware, nuova revisione firmware, cambio driver o modifica di policy può rompere un flusso che prima sembrava stabile. Per questo conviene versionare la task sequence, tenere traccia delle modifiche e conservare una copia del comportamento noto funzionante.

In ambienti con più team, il vero rischio non è tecnico ma operativo: qualcuno modifica un pacchetto, qualcun altro aggiorna una boot image, e il terzo si accorge del problema solo quando il primo server nuovo si ferma a metà installazione. L’unico antidoto serio è disciplina di change e logging leggibile.

Se vuoi ridurre il rumore, documenta tre cose: versione della sorgente OS, versione della boot image, e hash o data dell’ultimo pacchetto driver. Sono i tre punti che più spesso spiegano differenze tra un deploy riuscito e uno fallito.

Scelta pratica finale

Il deploy di Windows Server 2022 con SCCM funziona bene quando la sequenza è essenziale, i driver sono selezionati con criterio, il contenuto è distribuito correttamente e il post-install è separato dal setup base. Il resto è rumore. Se tieni pulita questa linea, avrai un processo più veloce da diagnosticare, più facile da aggiornare e molto meno fragile quando cambia l’hardware.