Quando Windows Server smette di aggiornarsi e non consente di aggiungere o rimuovere ruoli, la riparazione in‑place con ISO della stessa versione può riportare tutto in salute preservando condivisioni, ACL e configurazioni. Ecco come procedere in modo sicuro, verificabile e reversibile.

Panoramica e obiettivo

La riparazione in‑place (detta anche repair install o upgrade nello stesso rilascio) è una reinstallazione del sistema operativo avviata da setup.exe dentro la sessione utente. Utilizza un’immagine ISO della stessa edizione e lingua dell’installazione corrente per sostituire i file di sistema danneggiati o incoerenti, mantenendo dati, applicazioni, ruoli e impostazioni. È la soluzione consigliata quando:

• Windows Update fallisce sistematicamente o resta bloccato.
• Server Manager non consente l’aggiunta o rimozione di ruoli/funzionalità.
• SFC e DISM hanno ripristinato solo parzialmente l’integrità del sistema.

L’obiettivo qui è ripristinare aggiornamenti e gestione ruoli senza perdere condivisioni di rete, permessi NTFS o configurazioni di ruolo.

Che cosa resta intatto e perché

Con l’opzione della procedura guidata “Mantieni file personali e app” il setup conserva:

• Condivisioni SMB e descrizioni memorizzate nel Registro in HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares.
• ACL NTFS su file e cartelle (eredità, ACE esplicite, SID, auditing).
• Ruoli e funzionalità installati (DNS, DHCP, File Server, IIS, Hyper‑V, ecc.).
• Impostazioni di rete (indirizzi IP, binding, metriche, profili firewall) e appartenenza al dominio.
• Driver e servizi di terze parti (antivirus/EDR, agent di backup, HBA, NIC teaming) nella maggior parte degli scenari.

Il motore di installazione sostituisce i binari del sistema e ricompone il component store, ma non formatta i volumi né reimposta il Registro chiave per i ruoli. Questo è il motivo tecnico per cui condivisioni e permessi restano invariati.

Scenario tipico

Un amministratore segnala che il server non installa più aggiornamenti, e Aggiungi ruoli e funzionalità termina in errore. Dopo i controlli preliminari e il backup, avvia la riparazione in‑place e seleziona l’opzione per mantenere file e app. Al termine, Windows Update e Gestione ruoli tornano a funzionare senza perdita di share o ACL.

Requisiti e controlli preliminari

Prima di avviare il setup, eseguire i seguenti controlli. Se uno di essi fallisce, il pulsante per mantenere file e app potrebbe risultare non disponibile o l’installazione potrebbe essere bloccata.

Controllo	Descrizione	Effetto se errato
Edizione ISO	L’immagine deve corrispondere all’edizione installata (Standard ⇄ Standard, Datacenter ⇄ Datacenter).	L’opzione “Mantieni…” può risultare grigia.
Lingua	L’ISO deve essere della stessa lingua/locale del sistema (es. en‑US vs en‑GB).	L’installer esegue un’installazione pulita o blocca l’upgrade.
Build e patch level	L’ISO non deve essere più vecchia della build installata; meglio pari o superiore.	Il setup impedisce l’upgrade.
Spazio sul disco di sistema	Servono circa 20 GB liberi sul volume di sistema.	Il setup disattiva “Mantieni…” o fallisce.
Fonte OEM o ROK	Per server OEM (es. HPE ROK) utilizzare la stessa immagine ROK.	Assenza dell’opzione di conservazione.

Come verificare rapidamente edizione, lingua, build e spazio

# Edizione corrente
dism /online /Get-CurrentEdition

Lingua e locale installati

dism /online /Get-Intl

Versione, build e UBR (aggiornamenti cumulativi)

Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion' |
Select-Object ProductName, CurrentBuild, UBR

Spazio libero sul volume di sistema

Get-PSDrive -Name C

Ruoli e funzionalità attualmente installati (per inventario)

Get-WindowsFeature | Where-Object {$\_.Installed} | Select DisplayName, Name | Sort DisplayName

Preparazione e backup

• Piano di ripristino: su VM creare uno snapshot con memoria disattivata; su fisico, eseguire un bare‑metal backup con Windows Server Backup o soluzione di terze parti.
• Stato del sistema: includere almeno System State e volume di sistema.
• Esportazione condivisioni (ridondante ma utile): reg export "HKLM\System\CurrentControlSet\Services\LanmanServer\Shares" C:\Backup\shares.reg
• Documentazione ruoli: salvare la lista con Get-WindowsFeature | Where Installed e configurazioni critiche (DNS, DHCP, IIS, Hyper‑V).
• Finestra di manutenzione: comunicare il fermo ai team e pianificare riavvii multipli.
• Antivirus/EDR: se previsto dalla soluzione in uso, impostare la modalità manutenzione per evitare interferenze sul setup.

Procedura guida passo per passo

1. Montare o copiare l’ISO corretta nel server, preferibilmente su un volume locale veloce.
2. Avviare setup.exe dalla sessione Desktop Experience con un account amministrativo locale o di dominio. Evitare WinRE.
3. Controlli di compatibilità: alla richiesta, è possibile selezionare “Scarica aggiornamenti” per includere driver e SSU. Facoltativo ma consigliato se la connettività è stabile.
4. Selezionare l’opzione “Mantieni file personali e app”. Verificare che sia effettivamente attiva prima di proseguire.
5. Continuare con l’installazione: il server si riavvierà più volte; non interrompere la procedura.
6. Accesso post‑installazione: rientrare, attendere la finalizzazione e passare alle verifiche.

Verifiche post intervento

• Windows Update: ricerca e installazione di aggiornamenti riuscita.
• Condivisioni: controllo chiavi Registro in HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares e comando PowerShell: Get-SmbShare | Select-Object Name, Path, Description, EncryptData
• ACL NTFS: verifica campione con: icacls "D:\Dati\ShareX"
• Ruoli e funzionalità: Get-WindowsFeature | Where-Object {$_.Installed} | Sort DisplayName
• Servizi critici: DNS/DHCP/IIS/Hyper‑V in esecuzione, log senza errori anomali.
• Registro eventi: Setup, System, Application privi di errori gravi consecutivi.

Motivi comuni per l’opzione disattivata

Se “Mantieni file, impostazioni e app” è disattivata, di solito la causa è uno dei seguenti motivi:

• Lingua non corrispondente (anche differenze tra en‑US e en‑GB o International English).
• Edizione non corrispondente (ISO Datacenter su sistema Standard e viceversa).
• Immagine generica su installazioni con licenza specifica (Azure, HPE ROK, altri OEM).
• Spazio insufficiente sul volume di sistema.

Tabella di diagnosi rapida

Segnale	Probabile causa	Azione correttiva
Opzione “Mantieni…” grigia	ISO di lingua o edizione diversa	Allineare lingua ed edizione; verificare con dism /online /Get-CurrentEdition e /Get-Intl
Errore di compatibilità build	ISO più vecchia della build corrente	Usare ISO con build pari o superiore; integrare SSU e CU se necessario
Setup termina per spazio insufficiente	Volume di sistema saturo	Pulizia cleanmgr /sageset o Storage Sense, rimuovere vecchi log, aumentare disco
Nessuna opzione di upgrade	Origine OEM non corrispondente	Usare la stessa immagine OEM/ROK o il supporto specifico del fornitore

Buone pratiche di igiene del sistema

• Eseguire prima SFC e DISM per tentare un ripristino senza reinstallazione: sfc /scannow DISM /Online /Cleanup-Image /RestoreHealth
• Reset di Windows Update se gli errori sono esclusivamente di manutenzione: net stop wuauserv net stop bits net stop cryptsvc net stop trustedinstaller ren %systemroot%\SoftwareDistribution SoftwareDistribution.old ren %systemroot%\System32\catroot2 catroot2.old net start trustedinstaller net start cryptsvc net start bits net start wuauserv Se dopo questi passaggi i problemi persistono, la riparazione in‑place è la via più veloce e sicura.
• Disattivare temporaneamente software aggressivi di sicurezza se documentato dal vendor, per evitare blocchi sui file temporanei del setup.
• Documentare indirizzi IP, binding NIC, mapping LUN/volumi e dipendenze dei servizi per un confronto post‑intervento.

Percorso operativo sintetizzato

1. Montare/copiare l’ISO corretta sul server.
2. Avviare setup.exe dalla sessione Desktop Experience.
3. Accettare i controlli di compatibilità e, se desiderato, scaricare aggiornamenti.
4. Verificare che sia selezionabile “Mantieni file personali e app”.
5. Procedere con l’installazione e i riavvii automatici.
6. Eseguire le verifiche post‑upgrade su Windows Update, condivisioni, ACL e ruoli.

Strategie di backup e ripristino

Il backup è la rete di sicurezza in caso di imprevisti. Due strade consigliate:

• Snapshot della VM con quiescing delle applicazioni disattivato dove non necessario e coerenza del filesystem garantita. Al termine, rimuovere lo snapshot per evitare crescita del delta.
• Windows Server Backup con almeno System State, volumi critici e configurazioni ruolo; aggiungere esportazioni specifiche (DHCP, IIS, Registro condivisioni).

Per ulteriore protezione, valutare l’export dei ruoli dove supportato:

# DHCP
netsh dhcp server export C:\Backup\dhcp.xml all

IIS

%windir%\system32\inetsrv\appcmd add backup "PreRepairInstall"

Registro condivisioni (ridondante)

reg export "HKLM\System\CurrentControlSet\Services\LanmanServer\Shares" C:\Backup\shares.reg

Piano di rollback

Se qualcosa non va, servono alternative chiare:

• Ripristino snapshot della VM per tornare allo stato precedente in pochi minuti.
• Ripristino bare‑metal se il server è fisico.
• Analisi log di installazione con SetupDiag e registro eventi per individuare la causa e ripetere la procedura con correzioni mirate.

Talvolta viene generata una cartella Windows.old che consente recuperi mirati di file di sistema. Non farvi affidamento come unica strategia.

Casi particolari e note operative

Controller di dominio

La riparazione in‑place è supportata, ma pianificare con attenzione: verificare la salute di AD con dcdiag e la replica, assicurarsi che esista almeno un altro DC funzionante. Evitare la procedura se l’unico DC ha ruoli FSMO critici e non è possibile garantire un rollback rapido. Cluster e Hyper‑V

Mettere il nodo in pause e drain, migrare le risorse, quindi operare sulla macchina scarica. Riportare online solo dopo le verifiche. Per Hyper‑V, sospendere o spostare le VM, verificare mappature vSwitch e CSV. BitLocker e crittografia

Se il volume di sistema è cifrato, assicurarsi di avere le chiavi di ripristino. In alcuni scenari può essere richiesto lo sblocco dopo un riavvio. OEM e immagini ROK

Su server con licenze personalizzate (ROK HPE, Dell OEM, build di Azure) utilizzare la stessa famiglia di supporto per garantire la disponibilità dell’opzione di conservazione.

Domande frequenti

Le condivisioni di rete vengono perse?
No, sono mantenute. Dopo l’upgrade, controllare rapidamente con Get-SmbShare e verificare la chiave Registro delle condivisioni.

Gli ACL NTFS restano invariati?
Sì. La procedura non riformatta né ricrea i volumi; le autorizzazioni a livello di filesystem rimangono inalterate.

I ruoli e le funzionalità sono conservati?
Sì, quando si seleziona l’opzione per mantenere file e app. È buona prassi confrontare la lista prima e dopo con Get-WindowsFeature.

Serve una nuova attivazione?
In genere no; l’attivazione rimane. In ambienti KMS/MAK, assicurarsi che il servizio di attivazione sia raggiungibile.

Quanto spazio serve?
Circa 20 GB liberi sul volume di sistema sono consigliati per i file temporanei e la fase di staging.

Posso eseguire la procedura da remoto?
Sì, ma è preferibile avere accesso console o un canale di gestione fuori banda in caso di necessità.

Checklist rapida

• Verifica edizione, lingua e build del sistema e dell’ISO.
• Controlla spazio libero sul volume di sistema.
• Esegui snapshot o backup bare‑metal e salva esportazioni critiche.
• Esegui SFC e DISM; se non risolvono, procedi con il setup.
• Seleziona “Mantieni file personali e app” e completa l’installazione.
• Verifica Windows Update, condivisioni, ACL e ruoli; controlla i log.

Appendice comandi utili

# Inventario condivisioni con ACL sintetici
Get-SmbShare | ForEach-Object {
  $share = $_
  [PSCustomObject]@{
    Name        = $share.Name
    Path        = $share.Path
    Description = $share.Description
    EncryptData = $share.EncryptData
  }
} | Format-Table -AutoSize

Esportazione ruoli e confronto post

Get-WindowsFeature | Where-Object {$\_.Installed} |
Select DisplayName, Name | Sort Name |
Export-Csv C:\Backup\roles\_pre.csv -NoTypeInformation

Dopo l'intervento

Get-WindowsFeature | Where-Object {$\_.Installed} |
Select DisplayName, Name | Sort Name |
Compare-Object -ReferenceObject (Import-Csv C:\Backup\roles\_pre.csv) -Property Name,DisplayName

Verifica servizi critici in errore negli ultimi riavvii

Get-WinEvent -LogName System -MaxEvents 500 |
Where-Object {$\_.LevelDisplayName -eq 'Error'} |
Select TimeCreated, Id, ProviderName, Message | Format-Table -AutoSize

Stato integrità component store

DISM /Online /Cleanup-Image /AnalyzeComponentStore

Conclusione e raccomandazioni

La riparazione in‑place è una procedura supportata e a basso rischio per correggere problemi di manutenzione e installazione dei ruoli, mantenendo inalterate condivisioni, permessi NTFS e configurazioni. Il successo dipende perlopiù da tre fattori: ISO corretta (edizione/lingua/build), spazio sufficiente sul volume di sistema e backup eseguito prima dell’intervento. Con questi prerequisiti, l’operazione ripristina l’aggiornabilità del server senza re‑ingegnerizzazione dei servizi.

Riepilogo operativo

• Selezionare l’opzione per mantenere file e app durante il setup: ruoli e condivisioni restano.
• Eseguire sempre backup o snapshot prima di iniziare.
• Allineare ISO a edizione e lingua del sistema; evitare immagini più vecchie della build installata.
• Alla fine, verificare Windows Update, Registro condivisioni e ACL NTFS, quindi rimuovere eventuali snapshot residui.

In sintesi, l’in‑place repair, se eseguito con metodo e con il supporto corretto, è la via più rapida per rimettere in pista un server che non aggiorna più, evitando downtime prolungati e salvaguardando dati, ruoli e sicurezza.