Quando Windows Server smette di aggiornarsi e non consente di aggiungere o rimuovere ruoli, la riparazione in‑place con ISO della stessa versione può riportare tutto in salute preservando condivisioni, ACL e configurazioni. Ecco come procedere in modo sicuro, verificabile e reversibile.
Panoramica e obiettivo
La riparazione in‑place (detta anche repair install o upgrade nello stesso rilascio) è una reinstallazione del sistema operativo avviata da setup.exe dentro la sessione utente. Utilizza un’immagine ISO della stessa edizione e lingua dell’installazione corrente per sostituire i file di sistema danneggiati o incoerenti, mantenendo dati, applicazioni, ruoli e impostazioni. È la soluzione consigliata quando:
- Windows Update fallisce sistematicamente o resta bloccato.
- Server Manager non consente l’aggiunta o rimozione di ruoli/funzionalità.
- SFC e DISM hanno ripristinato solo parzialmente l’integrità del sistema.
L’obiettivo qui è ripristinare aggiornamenti e gestione ruoli senza perdere condivisioni di rete, permessi NTFS o configurazioni di ruolo.
Che cosa resta intatto e perché
Con l’opzione della procedura guidata “Mantieni file personali e app” il setup conserva:
- Condivisioni SMB e descrizioni memorizzate nel Registro in
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares. - ACL NTFS su file e cartelle (eredità, ACE esplicite, SID, auditing).
- Ruoli e funzionalità installati (DNS, DHCP, File Server, IIS, Hyper‑V, ecc.).
- Impostazioni di rete (indirizzi IP, binding, metriche, profili firewall) e appartenenza al dominio.
- Driver e servizi di terze parti (antivirus/EDR, agent di backup, HBA, NIC teaming) nella maggior parte degli scenari.
Il motore di installazione sostituisce i binari del sistema e ricompone il component store, ma non formatta i volumi né reimposta il Registro chiave per i ruoli. Questo è il motivo tecnico per cui condivisioni e permessi restano invariati.
Scenario tipico
Un amministratore segnala che il server non installa più aggiornamenti, e Aggiungi ruoli e funzionalità termina in errore. Dopo i controlli preliminari e il backup, avvia la riparazione in‑place e seleziona l’opzione per mantenere file e app. Al termine, Windows Update e Gestione ruoli tornano a funzionare senza perdita di share o ACL.
Requisiti e controlli preliminari
Prima di avviare il setup, eseguire i seguenti controlli. Se uno di essi fallisce, il pulsante per mantenere file e app potrebbe risultare non disponibile o l’installazione potrebbe essere bloccata.
| Controllo | Descrizione | Effetto se errato |
|---|---|---|
| Edizione ISO | L’immagine deve corrispondere all’edizione installata (Standard ⇄ Standard, Datacenter ⇄ Datacenter). | L’opzione “Mantieni…” può risultare grigia. |
| Lingua | L’ISO deve essere della stessa lingua/locale del sistema (es. en‑US vs en‑GB). | L’installer esegue un’installazione pulita o blocca l’upgrade. |
| Build e patch level | L’ISO non deve essere più vecchia della build installata; meglio pari o superiore. | Il setup impedisce l’upgrade. |
| Spazio sul disco di sistema | Servono circa 20 GB liberi sul volume di sistema. | Il setup disattiva “Mantieni…” o fallisce. |
| Fonte OEM o ROK | Per server OEM (es. HPE ROK) utilizzare la stessa immagine ROK. | Assenza dell’opzione di conservazione. |
Come verificare rapidamente edizione, lingua, build e spazio
# Edizione corrente
dism /online /Get-CurrentEdition
Lingua e locale installati
dism /online /Get-Intl
Versione, build e UBR (aggiornamenti cumulativi)
Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion' |
Select-Object ProductName, CurrentBuild, UBR
Spazio libero sul volume di sistema
Get-PSDrive -Name C
Ruoli e funzionalità attualmente installati (per inventario)
Get-WindowsFeature | Where-Object {$\_.Installed} | Select DisplayName, Name | Sort DisplayNamePreparazione e backup
- Piano di ripristino: su VM creare uno snapshot con memoria disattivata; su fisico, eseguire un bare‑metal backup con Windows Server Backup o soluzione di terze parti.
- Stato del sistema: includere almeno System State e volume di sistema.
- Esportazione condivisioni (ridondante ma utile):
reg export "HKLM\System\CurrentControlSet\Services\LanmanServer\Shares" C:\Backup\shares.reg - Documentazione ruoli: salvare la lista con
Get-WindowsFeature | Where Installede configurazioni critiche (DNS, DHCP, IIS, Hyper‑V). - Finestra di manutenzione: comunicare il fermo ai team e pianificare riavvii multipli.
- Antivirus/EDR: se previsto dalla soluzione in uso, impostare la modalità manutenzione per evitare interferenze sul setup.
Procedura guida passo per passo
- Montare o copiare l’ISO corretta nel server, preferibilmente su un volume locale veloce.
- Avviare
setup.exedalla sessione Desktop Experience con un account amministrativo locale o di dominio. Evitare WinRE. - Controlli di compatibilità: alla richiesta, è possibile selezionare “Scarica aggiornamenti” per includere driver e SSU. Facoltativo ma consigliato se la connettività è stabile.
- Selezionare l’opzione “Mantieni file personali e app”. Verificare che sia effettivamente attiva prima di proseguire.
- Continuare con l’installazione: il server si riavvierà più volte; non interrompere la procedura.
- Accesso post‑installazione: rientrare, attendere la finalizzazione e passare alle verifiche.
Verifiche post intervento
- Windows Update: ricerca e installazione di aggiornamenti riuscita.
- Condivisioni: controllo chiavi Registro in
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Sharese comando PowerShell:Get-SmbShare | Select-Object Name, Path, Description, EncryptData - ACL NTFS: verifica campione con:
icacls "D:\Dati\ShareX" - Ruoli e funzionalità:
Get-WindowsFeature | Where-Object {$_.Installed} | Sort DisplayName - Servizi critici: DNS/DHCP/IIS/Hyper‑V in esecuzione, log senza errori anomali.
- Registro eventi: Setup, System, Application privi di errori gravi consecutivi.
Motivi comuni per l’opzione disattivata
Se “Mantieni file, impostazioni e app” è disattivata, di solito la causa è uno dei seguenti motivi:
- Lingua non corrispondente (anche differenze tra en‑US e en‑GB o International English).
- Edizione non corrispondente (ISO Datacenter su sistema Standard e viceversa).
- Immagine generica su installazioni con licenza specifica (Azure, HPE ROK, altri OEM).
- Spazio insufficiente sul volume di sistema.
Tabella di diagnosi rapida
| Segnale | Probabile causa | Azione correttiva |
|---|---|---|
| Opzione “Mantieni…” grigia | ISO di lingua o edizione diversa | Allineare lingua ed edizione; verificare con dism /online /Get-CurrentEdition e /Get-Intl |
| Errore di compatibilità build | ISO più vecchia della build corrente | Usare ISO con build pari o superiore; integrare SSU e CU se necessario |
| Setup termina per spazio insufficiente | Volume di sistema saturo | Pulizia cleanmgr /sageset o Storage Sense, rimuovere vecchi log, aumentare disco |
| Nessuna opzione di upgrade | Origine OEM non corrispondente | Usare la stessa immagine OEM/ROK o il supporto specifico del fornitore |
Buone pratiche di igiene del sistema
- Eseguire prima SFC e DISM per tentare un ripristino senza reinstallazione:
sfc /scannow DISM /Online /Cleanup-Image /RestoreHealth - Reset di Windows Update se gli errori sono esclusivamente di manutenzione:
net stop wuauserv net stop bits net stop cryptsvc net stop trustedinstaller ren %systemroot%\SoftwareDistribution SoftwareDistribution.old ren %systemroot%\System32\catroot2 catroot2.old net start trustedinstaller net start cryptsvc net start bits net start wuauservSe dopo questi passaggi i problemi persistono, la riparazione in‑place è la via più veloce e sicura. - Disattivare temporaneamente software aggressivi di sicurezza se documentato dal vendor, per evitare blocchi sui file temporanei del setup.
- Documentare indirizzi IP, binding NIC, mapping LUN/volumi e dipendenze dei servizi per un confronto post‑intervento.
Percorso operativo sintetizzato
- Montare/copiare l’ISO corretta sul server.
- Avviare
setup.exedalla sessione Desktop Experience. - Accettare i controlli di compatibilità e, se desiderato, scaricare aggiornamenti.
- Verificare che sia selezionabile “Mantieni file personali e app”.
- Procedere con l’installazione e i riavvii automatici.
- Eseguire le verifiche post‑upgrade su Windows Update, condivisioni, ACL e ruoli.
Strategie di backup e ripristino
Il backup è la rete di sicurezza in caso di imprevisti. Due strade consigliate:
- Snapshot della VM con quiescing delle applicazioni disattivato dove non necessario e coerenza del filesystem garantita. Al termine, rimuovere lo snapshot per evitare crescita del delta.
- Windows Server Backup con almeno System State, volumi critici e configurazioni ruolo; aggiungere esportazioni specifiche (DHCP, IIS, Registro condivisioni).
Per ulteriore protezione, valutare l’export dei ruoli dove supportato:
# DHCP
netsh dhcp server export C:\Backup\dhcp.xml all
IIS
%windir%\system32\inetsrv\appcmd add backup "PreRepairInstall"
Registro condivisioni (ridondante)
reg export "HKLM\System\CurrentControlSet\Services\LanmanServer\Shares" C:\Backup\shares.regPiano di rollback
Se qualcosa non va, servono alternative chiare:
- Ripristino snapshot della VM per tornare allo stato precedente in pochi minuti.
- Ripristino bare‑metal se il server è fisico.
- Analisi log di installazione con SetupDiag e registro eventi per individuare la causa e ripetere la procedura con correzioni mirate.
Talvolta viene generata una cartella Windows.old che consente recuperi mirati di file di sistema. Non farvi affidamento come unica strategia.
Casi particolari e note operative
Controller di dominio
La riparazione in‑place è supportata, ma pianificare con attenzione: verificare la salute di AD con dcdiag e la replica, assicurarsi che esista almeno un altro DC funzionante. Evitare la procedura se l’unico DC ha ruoli FSMO critici e non è possibile garantire un rollback rapido. Cluster e Hyper‑V
Mettere il nodo in pause e drain, migrare le risorse, quindi operare sulla macchina scarica. Riportare online solo dopo le verifiche. Per Hyper‑V, sospendere o spostare le VM, verificare mappature vSwitch e CSV. BitLocker e crittografia
Se il volume di sistema è cifrato, assicurarsi di avere le chiavi di ripristino. In alcuni scenari può essere richiesto lo sblocco dopo un riavvio. OEM e immagini ROK
Su server con licenze personalizzate (ROK HPE, Dell OEM, build di Azure) utilizzare la stessa famiglia di supporto per garantire la disponibilità dell’opzione di conservazione.
Domande frequenti
Le condivisioni di rete vengono perse?
No, sono mantenute. Dopo l’upgrade, controllare rapidamente con Get-SmbShare e verificare la chiave Registro delle condivisioni.
Gli ACL NTFS restano invariati?
Sì. La procedura non riformatta né ricrea i volumi; le autorizzazioni a livello di filesystem rimangono inalterate.
I ruoli e le funzionalità sono conservati?
Sì, quando si seleziona l’opzione per mantenere file e app. È buona prassi confrontare la lista prima e dopo con Get-WindowsFeature.
Serve una nuova attivazione?
In genere no; l’attivazione rimane. In ambienti KMS/MAK, assicurarsi che il servizio di attivazione sia raggiungibile.
Quanto spazio serve?
Circa 20 GB liberi sul volume di sistema sono consigliati per i file temporanei e la fase di staging.
Posso eseguire la procedura da remoto?
Sì, ma è preferibile avere accesso console o un canale di gestione fuori banda in caso di necessità.
Checklist rapida
- Verifica edizione, lingua e build del sistema e dell’ISO.
- Controlla spazio libero sul volume di sistema.
- Esegui snapshot o backup bare‑metal e salva esportazioni critiche.
- Esegui SFC e DISM; se non risolvono, procedi con il setup.
- Seleziona “Mantieni file personali e app” e completa l’installazione.
- Verifica Windows Update, condivisioni, ACL e ruoli; controlla i log.
Appendice comandi utili
# Inventario condivisioni con ACL sintetici
Get-SmbShare | ForEach-Object {
$share = $_
[PSCustomObject]@{
Name = $share.Name
Path = $share.Path
Description = $share.Description
EncryptData = $share.EncryptData
}
} | Format-Table -AutoSize
Esportazione ruoli e confronto post
Get-WindowsFeature | Where-Object {$\_.Installed} |
Select DisplayName, Name | Sort Name |
Export-Csv C:\Backup\roles\_pre.csv -NoTypeInformation
Dopo l'intervento
Get-WindowsFeature | Where-Object {$\_.Installed} |
Select DisplayName, Name | Sort Name |
Compare-Object -ReferenceObject (Import-Csv C:\Backup\roles\_pre.csv) -Property Name,DisplayName
Verifica servizi critici in errore negli ultimi riavvii
Get-WinEvent -LogName System -MaxEvents 500 |
Where-Object {$\_.LevelDisplayName -eq 'Error'} |
Select TimeCreated, Id, ProviderName, Message | Format-Table -AutoSize
Stato integrità component store
DISM /Online /Cleanup-Image /AnalyzeComponentStoreConclusione e raccomandazioni
La riparazione in‑place è una procedura supportata e a basso rischio per correggere problemi di manutenzione e installazione dei ruoli, mantenendo inalterate condivisioni, permessi NTFS e configurazioni. Il successo dipende perlopiù da tre fattori: ISO corretta (edizione/lingua/build), spazio sufficiente sul volume di sistema e backup eseguito prima dell’intervento. Con questi prerequisiti, l’operazione ripristina l’aggiornabilità del server senza re‑ingegnerizzazione dei servizi.
Riepilogo operativo
- Selezionare l’opzione per mantenere file e app durante il setup: ruoli e condivisioni restano.
- Eseguire sempre backup o snapshot prima di iniziare.
- Allineare ISO a edizione e lingua del sistema; evitare immagini più vecchie della build installata.
- Alla fine, verificare Windows Update, Registro condivisioni e ACL NTFS, quindi rimuovere eventuali snapshot residui.
In sintesi, l’in‑place repair, se eseguito con metodo e con il supporto corretto, è la via più rapida per rimettere in pista un server che non aggiorna più, evitando downtime prolungati e salvaguardando dati, ruoli e sicurezza.