• Artikel

Verwaltung

Bereitstellen von benutzerdefinierten Softwareupdates mit SMS 2003 R2

Steve Rachui

 

Kurz zusammengefasst:

  • Neue Updateverwaltungsfunktionen in SMS 2003 R2
  • Das Veröffentlichungstool für benutzerdefinierte Updates
  • Das Inventurtool für benutzerdefinierte Updates

Wenn Sie benutzerdefinierte Updates für Ihre Systeme bereitstellen müssen, beispielsweise für spezielle Hardware oder für Branchenanwendungen, profitieren Sie nicht von den Vorteilen eines verwalteten, automatisierten Prozesses wie bei Windows-Updates. Aber das ändert sich jetzt. Dank Systems Management

Server (SMS) 2003 R2 sind Sie nunmehr in der Lage, Ihre eigenen benutzerdefinierten Updates mit genau den Funktionen für verwaltete Updates bereitzustellen. SMS 2003 R2 umfasst eine Reihe neuer Funktionen, beispielsweise ein Update für das Device Management Feature Pack, Links zum Operating System Deployment (OSD) Feature Pack und viele weitere Funktionen, durch die die Sicherheitsüberwachung optimiert wird. Das Produkt enthält ein Scantool zur Bewertung von Sicherheitsanfälligkeiten, mit dem sich potenzielle System- und Netzwerksicherheitsrisiken erkennen lassen, z. B. Schwächen bei Betriebssystemkonfiguration, Benutzerkennwörtern sowie bei IIS- und SQL Server™-Konfigurationen. Auch ein Inventurtool für benutzerdefinierte Updates (Inventory Tool for Custom Updates, ITCU) und ein Veröffentlichungstool für benutzerdefinierte Updates (Custom Updates Publishing Tool, CUPT) stehen zur Verfügung. Diese beiden Tools bilden den Schwerpunkt des vorliegenden Artikels, sodass Sie Ihre eigenen benutzerdefinierten Updates unkompliziert und effizient bereitstellen können.

Veröffentlichungstool für benutzerdefinierte Updates (CUPT)

Bevor Sie SMS 2003 R2 installieren und verwenden können, muss die gesamte Hierarchie (auch die Clients) auf SMS 2003 Service Pack 2 (SP2) aktualisiert werden. Für CUPT ist die Aktualisierung auf Microsoft® Management Console (MMC) 3.0 erforderlich. CUPT muss nicht unbedingt auf dem SMS-Standortserver installiert werden, die Installation erfordert jedoch Windows® XP (oder höher), wobei die Datenbank unter SQL Server 2005 gehostet werden muss. Darüber hinaus muss SQL Server Express Edition installiert werden, sofern nicht SQL Server 2005 verfügbar ist. CUPT ist der Schlüssel für die Einführung und Verwaltung benutzerdefinierter Updates im SMS-System. Dieses Tool umfasst auch verschiedene Funktionen, mit denen Sie die erstellten Kataloge vor dem Veröffentlichen in SMS zunächst testen können.

Die benutzerdefinierten Updates sind entweder Updates von Drittanbietern für die von ihnen produzierte Software oder aber intern erstellte Updates, die auf eine bestimmte Umgebung ausgerichtet sind. Mit CUPT lassen sich beide Updatetypen mühelos verwalten. Die Verwendung benutzerdefinierter Updates von Drittanbietern ist einfacher und wird daher hier als Erstes beschrieben. Zum Zeitpunkt der Veröffentlichung dieses Dokuments beschäftigen sich drei Unternehmen mit der Herstellung von Updatekatalogen, mit denen Sie geeignete Patches in SMS suchen und verteilen können: Adobe, 1e und Citrix. Die teilnehmenden Unternehmen finden Sie über die Kataloge der Partner für benutzerdefinierte Updates (siehe Abbildung 1).

Abbildung 1 CUPT in Aktion

Abbildung 1** CUPT in Aktion **(Klicken Sie zum Vergrößern auf das Bild)

Wenn Sie Updates von Partnern verwenden, laden Sie einfach die Kataloge herunter, und fügen Sie diese in SMS ein. Laden Sie zunächst die erforderlichen Updates herunter, und wählen Sie dann im Aktionsmenü die Option zum Importieren der Updates aus. Ein Assistent fordert Sie auf, den Pfad zu den soeben heruntergeladenen CAB-Dateien einzugeben. Nach Abschluss des Assistenten werden die neuen Updates in CUPT angezeigt und können nun weiter konfiguriert und auf dem SMS-Standortserver veröffentlicht werden. Beachten Sie dabei, dass alle Updates zur Veröffentlichung gekennzeichnet werden müssen. Ist ein Update nicht gekennzeichnet, wird es bei der Veröffentlichungsanforderung nicht berücksichtigt. Dieser Vorgang lässt sich auch als Massenverfahren ausführen (siehe Abbildung 2). Achten Sie darauf, dass das Kennzeichen in der äußerst rechten Spalte aktiviert sein muss, damit das Update veröffentlicht wird.

Abbildung 2 Aktivieren des Veröffentlichungskennzeichens

Abbildung 2** Aktivieren des Veröffentlichungskennzeichens **(Klicken Sie zum Vergrößern auf das Bild)

Je nach Bedarf können Sie die einzelnen heruntergeladenen Updates weiter anpassen. Markieren Sie hierzu das gewünschte Update, und wählen Sie die Option „Bearbeiten“. Gehen Sie sorgfältig vor, wenn Sie ein Update individuell anpassen. Eine fehlerhafte Konfiguration kann zu unerwarteten und unbefriedigenden Ergebnissen führen.

Sobald die Updates gekennzeichnet sind, können Sie sie veröffentlichen. Hierbei stehen zwei Verfahren zur Auswahl: Veröffentlichen Sie die Updates in eine externe CAB-Datei für die spätere Verwendung, oder synchronisieren Sie die Updates mit der SMS-Standortdatenbank, wenn die Updates sofort umgesetzt werden sollen. Zur Synchronisierung mit der SMS-Standortdatenbank müssen bestimmte Konfigurationsdaten angegeben werden, beispielsweise der Name des Standortservers und der Pfad der Paketquelldateien (siehe Abbildung 3).

Abbildung 3 Synchronisierungsinformationen

Abbildung 3** Synchronisierungsinformationen **(Klicken Sie zum Vergrößern auf das Bild)

Zum Öffnen dieses Bildschirms markieren Sie den Knoten der benutzerdefinierten Updates und wählen dann im Aktionsmenü die Option „Einstellungen“. Geben Sie den Namen eines verfügbaren Standortservers sowie den Pfad des Quellverzeichnisses für das ITCU ein. Standortcode und Status werden automatisch aktualisiert.

Wenn Sie die Synchronisierungsoptionen festgelegt haben, können Sie CUPT mit dem SMS-Standortserver synchronisieren. Um die Synchronisierung durchzuführen, wählen Sie im Aktionsmenü die Option zum Veröffentlichen der Updates aus. Der Veröffentlichungs-Assistent wird gestartet. Sollen die Updates in der SMS-Datenbank veröffentlicht und sofort umgesetzt werden, dann aktivieren Sie die Option für die Synchronisierung mit der Standortdatenbank von Systems Management Server. Bei diesem Schritt erhalten Sie optische Unterstützung: Falls die Synchronisierungseinstellungen noch nicht konfiguriert wurden, ist die Option grau dargestellt.

Nach Abschluss des Assistenten stehen die benutzerdefinierten Updates in der SMS-Verwaltungskonsole zur Verfügung. Beim Starten des Assistenten für die Verteilung von Softwareupdates erhalten Sie die Option, alle verfügbaren benutzerdefinierten Updates zu nutzen.

Sie wissen nun, wie Sie herstellereigene Updates für Produkte von Drittanbietern verwenden. Was ist mit benutzerdefinierten Updates für Software von Drittanbietern, für die es keine fertigen Updates gibt? Genau hier spielt CUPT seine ganze Stärke aus. Mit CUPT können Sie benutzerdefinierte Updates komplett mit vollständigen Zielkriterien für nahezu alle Situationen erstellen.

Das Erstellen eines benutzerdefinierten Updates ist nicht sonderlich schwierig, der Administrator muss jedoch die Verfahren zum Patchen der Software, die Kriterien, mit denen die Verfügbarkeit eines Patches ermittelt wird sowie die Zielregeln zur Durchsetzung des Updates kennen. Die Zielregeln werden getrennt von der Updateerstellung definiert. Mit dem Befehl „Regeln verwalten“ im Aktionsmenü können Sie diese Regeln abrufen.

Zum Erstellen eines benutzerdefinierten Updates wählen Sie zunächst im Aktionsmenü den Befehl zum Erstellen eines Updates. Ein Assistent wird gestartet, in dem Sie die Angaben zum benutzerdefinierten Update eintragen können. Eine ausführliche Erläuterung über das Erstellen von benutzerdefinierten Updates würde den Rahmen dieses Artikels sprengen. Als ersten Anhaltspunkt sollten Sie verschiedene Eigenschaften in einem der importierten benutzerdefinierten Updates eines Drittanbieters auswählen. So erhalten Sie einen Einblick in die erforderlichen Werte für die verschiedenen Fehler, wenn Sie ein eigenes Update erstellen. Abbildung 4 zeigt die Eigenschaften eines konfigurierten Updates eines Drittanbieters.

Abbildung 4 Eigenschaften für ein Update eines Drittanbieters

Abbildung 4** Eigenschaften für ein Update eines Drittanbieters **(Klicken Sie zum Vergrößern auf das Bild)

Das Verfahren zur Erstellung benutzerdefinierter Updates bietet noch viel mehr als nur Updates: Hier können Sie auch Software konfigurieren, die an Clientsysteme verteilt werden soll. Diese Vorgehensweise führt zwar zum gewünschten Erfolg, wird jedoch nicht empfohlen und fällt auch nicht in die vorgesehenen Einsatzgebiete von CUPT.

Inventurtool für benutzerdefinierte Updates (ITCU)

ITCU ist ein neues Inventurtool für Kataloge mit benutzerdefinierten Updates. Wie bei den früheren Scantools sind Sie mit ITCU in der Lage, benutzerdefinierte Sammlungen, Pakete und Ankündigungen zu erstellen, mit denen die Scantools auf SMS-Clients im Unternehmen bereitgestellt werden. Die Vorgehensweise ist ebenfalls mit den früheren Scantools identisch: ITCU ruft den Katalog, in diesem Fall also den Katalog mit benutzerdefinierten Updates, von einem verfügbaren SMS-Verteilungspunkt ab, führt die Überprüfung anhand der Katalogdaten durch, fügt die Ergebnisse dieser Überprüfung in die Windows-Verwaltungsinstrumentation (WMI) ein und stellt die Ergebnisse per Hardwareinventur zu Berichten zusammen. Der wichtigste Unterschied im Überprüfungsverfahren liegt im verwendeten Katalog.

Mit der Einführung von SMS 2003 R2 wird der SMS-Sicherheitsbestand um ein leistungsfähiges Tool ergänzt. Nie zuvor war es Administratoren möglich, Drittanbieter- und benutzerdefinierte Anwendungen über die vorhandene SMS-Infrastruktur zu patchen. SMS R2 ist ein willkommenes Hilfsmittel für Patchverwaltungsadministratoren.

Damit besitzen Sie nun zwei Tools, mit denen Sie Softwareupdates aus Quellen außerhalb von Microsoft mühelos bewältigen. Dank der Verwaltbarkeit und Benutzerfreundlichkeit von ITCU und CUPT gehen Ihre benutzerdefinierten Updates ebenso reibungslos vonstatten wie Ihre Windows-Updates.

Updateverwaltungsressource

Steve Rachui ist Support Escalation Engineer für den Bereich Verwaltbarkeit in der Produktsupport-Gruppe von Microsoft. Rachui unterstützt SMS schon seit der Version 1.2. Sie erreichen ihn unter steverac@microsoft.com.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.