如何使用 SUS 執行補充程式管理

更新日期: 2004 年 2 月 6 日

本頁內容

目標
適用範圍
如何使用本單元
摘要
開始之前
必須知道的事項
評估階段—掃描更新
評估階段—設定環境基準
評估階段—設計 SUS 架構
識別階段 —取得通知
識別階段 —處理通知
識別階段 —確定安全性更新是安全的
評估和規劃階段 —安排更新
評估和規劃階段 —部署緊急變更要求
評估和規劃階段 —建立發佈
部署階段 —溝通首展排程
部署階段 —在 SUS 伺服器執行更新
部署階段 —通知軟體更新至用戶端電腦
部署階段 —監控和報告部署進度
部署階段 —處理失敗的部署

目標

透過此單元即可:

  • 使用 SUS 和 MBSA 實作補充程式管理程序的全部四個階段。


適用範圍

本單元適用於下列產品及技術:

  • Microsoft® Software Update Services 1.0 with Service Pack 1

  • Microsoft Baseline Security Analyzer (MBSA) version 1.1.1


如何使用本單元

此單元提供關於如何使用 SUS 和 MBSA,實作四個階段補充程式管理程序的詳細資訊。

若要充分瞭解此單元,您應該:


摘要

此單元涵蓋使用 SUS 和 MBSA 傳遞企業補充程式管理。此單元提供的指南和資訊,會教您如何使用 SUS 和 MBSA 實作 Microsoft 建議的四個階段補充程式管理程序。

開始之前

開始使用此單元之前,您需要知道執行以下預備步驟:


必須知道的事項

使用本單元之前,應該知道下列事項:

  • 您可以使用 GUI (Mbsa.exe) 或從命令行 (Mbsacli.exe) 執行 MBSA。

  • MBSA 使用連接埠 138 和 139 來執行掃描。

  • MBSA 需要您掃描之電腦的管理員權限。選項 /u (使用者名稱) 和 /p (密碼) 可以用來指定要執行掃描的使用者名稱。不要將使用者名稱和密碼儲存在文字檔,例如命令檔或指令碼。

  • MBSA 需要以下軟體:

    • Microsoft Windows XP、Microsoft Windows 2000 或 Microsoft Windows NT® 4.0 SP4 以及更新的作業系統 (本機掃描僅掃描使用簡單檔案共享的 Windows XP 電腦)

    • Internet Information Services (IIS) 4.0、5.0 (用來檢查 IIS 漏洞)

    • Microsoft SQL Server™ 7.0、2000 (用來檢查 SQL 漏洞)

    • Microsoft Office 2000、XP (用來檢查 Office 漏洞)

  • 至於 MBSA,必須安裝/啟用以下服務:

    • 伺服器服務

    • 遠端登錄服務

    • 檔案和列印共享

  • SUS 僅在連接埠 80 工作;用戶端的「自動更新」元件僅可透過該連接埠與 SUS 伺服器通訊。

  • 在 Windows 2000 Server 並安裝 Service Pack 2 (或更新的版本) 上執行的 SUS 1.0 SP1。必須在伺服器上啟用 IIS。


評估階段—掃描更新

開始使用 SUS 將軟體更新部署至實際執行環境之前,必須進行稽核。如需更多資訊,請參閱<補充程式管理階段 1 —評估>單元的<清單/發現現有的電腦資產>小節。

若您在補充程式管理使用 SUS,您必須使用 MBSA 來稽核和掃描。MBSA 會報告下列作業系統所漏失的安全性更新和 Service Pack 以及識別漏洞:

  • Microsoft Windows Server™ 2003

  • Windows XP

  • Windows 2000

  • Windows NT 4.0

MBSA 也會報告電腦組態是否遵守一般安全性教戰守則 (例如強式密碼)。

此外,MBSA 會報告以下應用程式的漏失安全性更新:

  • Microsoft Internet Information Server 4.0

  • Microsoft Internet Information Services 5.0 和 6.0

  • Microsoft SQL Server 7.0 和 SQL Server 2000,包括 Microsoft SQL Server Desktop Engine (MSDE) 1.0 和 MSDE 2000

  • Microsoft Exchange Server 5.5 和 Exchange Server 2000 (包括 Exchange 管理工具)

  • Microsoft Internet Explorer 5.01 和更新的版本

  • Microsoft Windows Media Player 6.4 和更新的版本

MBSA 也會識別以下應用程式設定錯誤的值:

  • Internet Information Server 4.0

  • Internet Information Services 5.0 和 6.0

  • Internet Explorer 5.01 和更新的版本

  • SQL Server 7.0 和 SQL Server 2000 (包括 MSDE 1.0 和 MSDE 2000)

  • Office 2000 和 Office XP

  • 若要使用 MBSA 掃描更新

    1. 在安裝 MBSA 的工作站,以網域管理員身分登入並執行 MBSA GUI。

    2. 按一下 [Pick multiple computers to scan] 並輸入要掃描的網域名稱或網際網路通訊協定 (IP) 位址範圍。若您是掃描整個網域,您輸入的名稱必須是網域的 NetBIOS 名稱,而不是用在 DNS 中的完整網域名稱 (FQDN)。

    3. 選擇 [Use SUS Server] 並輸入 http:// server 其中 server 是必要的 SUS 伺服器名稱,如圖 1 所示。

      掃描網域或 IP 位址範圍中的電腦

      圖 1
      掃描網域或 IP 位址範圍中的電腦


    4. 按一下 [Start scan] 並等候結果。

    5. 按一下 [Pick a security report to view],然後按一下電腦,檢視報告。

    6. 按一下 [Results details] 來檢視詳細資訊。

注意:MBSA 僅會偵測 Microsoft 知識庫文章 306460,〈Hfnetchk Returns Note Messages for Installed Patches (英文)〉中,列示的作業系統和軟體應用程式的軟體更新是否存在。文章的網址是 http://support.microsoft.com/default.aspx?scid=kb;en-us;306460

MBSA 的輸出會識別這些設計要掃描,而實際上安裝在您的 IT 架構的軟體應用程式;同時也會識別需要套用的安全性更新,以便保護這些應用程式。

圖 2 顯示 安裝在 Windows 2000 成員伺服器的 IIS 5.0 範例。

MBSA 掃描輸出

圖 2
MBSA 掃描輸出


MBSA 的 GUI 版本會掃描檔案版本和登錄機碼資訊。實際執行環境更深入的掃描,可使用 MBSA 的命令行版本 (Mbsacli.exe) 來執行,它會檢查每一個掃描安全性更新的檔案總和檢查碼版本、檔案版本以及登錄機碼資訊。

使用 MBSA 命令行版本有兩個選項:

  • 使用 /hf 參數,僅執行安全性更新掃描

  • 不使用 /hf ,執行完整電腦掃描

使用 Mbsacli.exe 加 /hf 參數,建立可以在命令行檢視或傳送至輸出檔的掃描結果;而使用 Mbsacli.exe 不加 /hf 參數會產生 XML 掃描報告,以後可以在 MBSA GUI 檢視。Mbsacli.exe /hf 的輸出可以匯入 Microsoft Excel 或文字檔,做進一步分析。

評估階段—設定環境基準

您可以使用 MBSA 命令行公用程式 (Mbsacli.exe /hf) 的輸出加上 Microsoft Excel 的 樞紐分析表及圖報表功能,識別實際執行環境中部署的內容,以及設定適當的基準。如需更多資訊,請參閱<補充程式管理階段 1 —評估>單元的<清單/發現現有的電腦資產>小節。

注意:SUS 用戶端會自動套用 SUS 伺服器上提供(已核準) 的更新。因此,這些更新可能不需要包括在建置影像 (build image),但當新電腦加入網域時可以套用。不過,實際上有很多透過 SUS 提供的更新,對於電腦正常運作很重要,或可降低暴露安全性漏洞的機會。這表示管理員應該新增安全性更新至基本建置 (build),如此新電腦可以在部署至實際執行環境當時,便被保護起來。

評估階段—設計 SUS 架構

評估軟體發佈架構是有效補充程式管理程序的另一個關鍵部份。如需更多資訊,請參閱<補充程式管理階段 1 —評估>單元的<評估現有的軟體發佈架構>。

只有一部 SUS 父系伺服器應設定成自動從 Microsoft public Windows Update 伺服器下載軟體更新,如圖 3 所示。請注意:僅經過測試並已核准部署的更新,才可以在父系伺服器上核准。

建立 SUS 拓撲

圖 3
建立 SUS 拓撲


使用預先設定的同步排程,SUS 父系伺服器會從公開的 Microsoft Windows Update 伺服器,每天下載重大更新和安全性更新。條件是對外 TCP 連接埠 80 要透過防火牆開啟。

SUS 測試伺服器是設定成從 SUS 父系伺服器下載更新。在每日的排程中,將同步時間設定成 SUS 父系伺服器與公開 Microsoft Windows Update 伺服器同步後一小時執行。(一小時是 SUS 父系伺服器同步排程最接近的可能時間)。這是為了確定儘早在 SUS 測試伺服器顯示套件並準備核准和測試。

SUS 測試小組應該核准 SUS 測試伺服器上新的更新。核准它們之後,更新會立即供所有 SUS 測試用戶端使用。為了避免所有的 SUS 測試用戶端同時輪詢 SUS 測試伺服器,它們會隨機最多減少 20% 每隔 22 小時輪詢伺服器。特定更新測試成功之後,SUS 管理員應該核准 SUS 父系伺服器上的更新。

核准 SUS 父系伺服器上的更新之後,至伺服器報告的 SUS 用戶端,預設會在 22 小時內開始下載。根據指定的排程開始安裝,或者由本機管理員執行。報告至 SUS 子系伺服器的用戶端電腦,會在核准抵達子系伺服器當時,在 22 小時內開始下載更新。

SUS 子系伺服器是設定成自動每天與父系伺服器同步。子系伺服器會同步和下載所有內容,以及從 SUS 父系伺服器的核准項目。進行同步之後,SUS 父系伺服器上所有核准的更新,會映射至 SUS 子系伺服器,並立即提供給設定成從這類 SUS 子系伺服器輪詢重大和安全性更新的 SUS 生產用戶端使用。

圖 3 顯示的拓撲設計,管理員僅需要核准 SUS 父系伺服器上的更新,就可以提供給所有 SUS 生產用戶端使用。隨時可以啟動所有 SUS 伺服器的手動同步。

Microsoft 偶而會更新軟體更新的偵測條件 (中繼資料),如此會造成軟體更新顯示成「已更新」狀態。有時候重新送出軟體更新後,同樣也會造成「已更新」狀態顯示在介面中。有時候軟體更新會重新發佈,此時,該更新的相關資訊將顯示於軟體更新佈告。若更新的原始版本已經在 SUS GUI 核准,SUS 管理員可以設定 SUS 伺服器成自動核准或手動核准重新發佈的更新版本。

若要確定修訂的更新未自動發佈至實際執行環境而且未經過測試,管理員應該選擇 SUS 伺服器的 [Do not automatically approve new versions of approved updates.I will manually approve these updates later] 選項。

同步間隔

父系伺服器應設定成按照每日同步排程,從公開的 Microsoft Windows Update 伺服器提取更新,雖然管理員可以手動選擇 SUS Server Administration Page 的 [Synchronize now] 選項,更頻繁地要求更新。

下載可以設定成在網路不忙碌時進行。一般情況下,一天一次應足夠了,如圖 4 所示。

設定 SUS 下載更新

圖 4
設定 SUS 下載更新


注意:子系伺服器應該設定成按照安排的間隔,自動從父系伺服器提取新更新。此間隔應開始於父系伺服器從公開 Microsoft Windows Update 提取更新,至少一小時以後。

若管理員知道更新會在下次安排的下載之前進行,他們可以使用 [Synchronize now] 選項。

識別階段 —取得通知

當您評估環境之後,下一個階段會涉及問題識別,以及取得可用更新的相關資訊。如需更多資訊,請參閱<補充程式管理階段 2 —識別>單元的<發現新軟體更新>小節。

Microsoft Security Notification Service

透過電子郵件的通知是軟體更新通知最常見的形式。電子郵件通知的選擇之一是訂閱 Microsoft Security Notification Service,網址在 http://www.microsoft.com/technet/security/bulletin/notify.asp

SUS 補充程式警告服務

若您已註冊 SUS 補充程式警告服務,會透過電子郵件,正式通知您使用 SUS 部署新的更新,和圖 5 顯示類似。電子郵件指示新的更新可以在公開的 Windows Update 伺服器開放下載,但未指示這些更新是什麼。

可以透過 Microsoft Software Update Services 取得新軟體更新的電子郵件訊息通知範例

圖 5
可以透過 Microsoft Software Update Services 取得新軟體更新的電子郵件訊息通知範例


識別階段 —處理通知

收到通知之後,需要識別已經提供哪些軟體更新 。如需更多資訊,請參閱<補充程式管理階段 2 —識別>單元的<發現新軟體更新>小節。

收到新電子郵件更新通知後,您應該在 SUS 強制執行 SUS 伺服器和公開的 Windows Update 伺服器之間的同步。使用 SUS Server Administration Page 的 [Synchronize Now] 選項,可以達到此目的,如圖 6 所示。

強制 SUS 伺服器與 Microsoft Windows Update 伺服器的內容同步

圖 6
強制 SUS 伺服器與 Microsoft Windows Update 伺服器的內容同步


注意:只有顯示在 SUS Server Administration Page 的更新,才可以透過 SUS 部署。

若要判斷個別軟體更新與實際執行環境中的電腦,二者之間的關係,您應該參閱相關的安全性佈告或知識庫文章。可以按照以下敘述的程序,從 SUS Server Administration Page 存取此文件。

  • 尋找軟體更新的詳細資訊

    1. 按一下核准日誌超連結。

    2. 尋找要檢查的特殊更新。

    3. 按一下該特殊更新的 [Details] (如圖 7 所示)。

      SUS 核准日誌

      圖 7
      SUS 核准日誌


    4. Update Details 對話方塊,按一下 Info 圖示 (如圖 8 所示)。

      存取更新的支援資訊

      圖 8
      存取更新的支援資訊


注意:管理員透過 SUS Server Administration Page 選擇特定更新進行核准時,更新會通知他們關於其他更新的相依性。核准特定更新時,會自動核准它相依的所有更新。Automatic Updates 用戶端可確保這些更新是按照正確順序安裝的。

識別階段 —確定安全性更新是安全的

如先前所述,Microsoft 從 Windows Update 伺服器提供使用的所有安全性更新,都經過數位簽署。當 SUS 伺服器下載安全性更新時,會自動檢查每一個更新的簽章。如需更多資訊,請參閱<補充程式管理階段 2 —識別>單元的<判斷軟體更新是否合適>小節。

SUS 父系伺服器會下載更新以暫時副檔名 (.tmp) 儲存。成功檢查數位簽章之後,檔案會重新命名回原始副檔名 (例如,.exe),然後儲存至 \Content\Cabs 資料夾,如圖 9 所示。

SUS 伺服器上數位簽署更新的位置

圖 9
SUS 伺服器上數位簽署更新的位置


若更新未通過數位簽章檢查,會在 SUS 下載伺服器的錯誤日誌記錄錯誤,同步日誌會指示因簽章檢查失敗而無法下載更新,如圖 10 所示。

數位簽章驗證失敗

圖 10
數位簽章驗證失敗


SUS 管理員必須每天檢查同步日誌中的下載失敗。SUS 用戶端只要從公開的 Windows Update 或 SUS 伺服器下載更新,就會執行相同的程序。

因為 SUS 父系伺服器是組織中,用戶端和 SUS 伺服器的更新來源,所 SUS 管理員應該確定在此電腦上將病毒掃描程式安裝成一項服務,而且設定成掃描所有傳入或傳出的檔案。

檢查軟體更新安裝程序

測試解除安裝是否有作用很重要。解除安裝之後,您應該檢查伺服器是否繼續正常執行,並繼續監看「事件日誌」和「系統監視器」計數器。

SUS 無法自動解除安裝軟體更新,所以您必須使用「控制台」的 [新增或移除程式],手動移除它們。如果受影響的電腦數目很多,最好是開發指令碼來執行此工作。

評估和規劃階段 —安排更新

如果您有重要的電腦在特定時間會允許變更和電腦重新啟動 (空檔期間),軟體更新的部署—以及任何要求的系統重新啟動—都需要安排在這些空檔期間中。如需更多資訊,請參閱<補充程式管理階段 3 —評估和規劃>單元的<計劃發佈>小節 。

  • 若要在 SUS 環境安排更新

    1. 使用 [Automatic download and notify for installation] 設定值,在「群組原則」物件 (GPO) 設定原則來下載但不安裝必要的更新。

    2. 監看這些伺服器上的事件日誌,確定必要的更新已經下載並等候安裝中。

    3. 登入伺服器並在與變更管理員協議的日期和時間,開始安裝—若必要時,授權電腦的重新啟動。

若您安排在正常上班時間以外,在工作站安裝新的更新 (而且可能電腦重新啟動),必須使用 [Reschedule Automatic Updates scheduled installations] GPO 設定值,讓錯過預定安裝的電腦,重新安排在 Automatic Updates 服務啟動時才進行安裝。

注意:若未使用此 GPO 設定值,當錯過排程的安裝 (因為用戶端電腦關閉) 時,即使電腦重新啟動之後也不會進行安裝。相反的,SUS 用戶端軟體會等候到下次排程的開始時間,才會嘗試再次安裝。這樣會有一個潛在的問題:除非在排程的安裝時間,電腦是在線上,否則絕不會套用更新。

依照預設,安裝更新並需要重新啟動時,沒有本機管理員權限的使用者,在電腦強制重新啟動前,僅有 5 分鐘的時間儲存或保護他們的工作。

  • 防止強制重新啟動

    1. 使用 [No auto-restart for scheduled Automatic Updates installations] GPO 設定值,控制重新啟動行為。啟用時,此 GPO 設定值會防止 Automatic Updates 在使用者登入狀態下,自動重新啟動電腦。

    2. 要讓此設定值產生作用,一般使用者必須擁有電腦的¡u重新啟動」權限。

注意:若要修正的產品是使用 Windows Installer 部署的,Installer 可能需要存取原始安裝檔案。若您是執行軟體更新的自動安裝,這些檔案需要位在和產品最初安裝時相同的位置。若產品是從實體媒體安裝的,例如光碟,Windows Installer 會嘗試在目前放入的光碟尋找原始檔案。

評估和規劃階段 —部署緊急變更要求

緊急變更需要特定程序和注意事項。如需更多資訊,請參閱<補充程式管理階段 3 —評估和規劃>單元的<計劃發佈>小節。

若變更要求指示是重要軟體更新,您必須:

  • 使用「群組原則」,強制用戶端在正常排程的維護期間,安裝軟體更新。

  • 取代標準同步排程,因此子系 SUS 伺服器會使用 SUS Server Administration 頁面的 [Synchronize now] 選項,強制下載更新的 SUS 伺服器與子系伺服器之間的複製,以便在網路非忙碌時同步更新。


評估和規劃階段 —建立發佈

開始部署更新之前,您可能需要準備更新執行檔和發佈。如需更多資訊,請參閱<補充程式管理階段 3 —評估和規劃>單元的<建立發佈>小節。

SUS 部署的更新是直接從 Windows Update 伺服器下載,而且已經包裝成 .exe 檔案格式,如此不需要其他工作,便能為部署目的而重複包裝它們。

使用 SUS 執行導入測試

如需更多資訊,請參閱<補充程式管理階段 3 —評估和規劃>單元的<接受測試>小節。

  • 執行試驗首展

    1. 僅核准 SUS 試驗安裝伺服器上的更新。不要核准 SUS 伺服器以外的更新。

    2. 建立新的網站層次 GPO (稱為 SUS 試驗 GPO) 並設定原則,讓套用此 GPO 的電腦參照此 SUS 試驗伺服器的更新。

    3. 套用安全性篩選,僅讓 SUS 試驗用戶端擁有此 GPO 的「讀取和套用原則設定值」權限。

    4. 確定 SUS 試驗 GPO 擁有優先權,方法是將它置於指派給網站的 GPO 清單最前面。檢查是否啟用 [Enforce] (Windows 2003) 或 [No Override] (Windows 2000) 選項,確定已經套用原則。

    5. 當更新成功部署至實際執行環境時,管理員應該刪除 SUS 試驗 GPO。試驗相關的用戶端應該在重新整理「群組原則」之後,回到 SUS 生產伺服器,取得新的更新。

若提供的試驗失敗,則必須在試驗 SUS 伺服器上 「取消核准」它,然後從已經安裝它的用戶端解除安裝。需要時,管理員將得使用「控制台」的 [新增或移除程式],手動執行。至於無法手動解除安裝的更新,請使用 Windows XP 的「系統還原」公用程式、Windows Server 2003 和 Windows 2000 的備份和還原工具 (或其他使用的復原技術),將用戶端回復成更新安裝前,最新的已知良好狀態。

部署階段 —溝通首展排程

更新可以安全並成功部署之前,需要知會您的使用者,因為他們可能有需要執行的動作來協助更新安裝程序。如需更多資訊,請參閱<補充程式管理階段 4 —部署>單元中的<部署準備>。

  • 清楚溝通首展排程

    1. 傳送明白且易於識別的電子郵件給使用者和管理員,警告他們更新並提供關於如何安裝的資訊。若更新的目標是在核心營業時段以外的桌上型電腦,則電子郵件訊息應告訴使用者在特定日期的晚上不要將電腦關機。

    2. 此郵件應該設定旗標,以便提醒使用者和管理員,任何他們需要採取來安裝軟體更新的動作。這些動作應該取決於適用於特殊 SUS 用戶端的下載和安裝原則設定值。

      • 通知下載或通知安裝
        當 [New update available for download notification] 顯示在工作列時,以本機管理員權限登入的使用者,會被通知關於套用至用戶端電腦的新核准更新,因而必須選擇下載更新的選項。為了完成安裝,當下載完畢後顯示 [New update available for installation notification] 時,使用者將需要選擇選項來安裝軟體更新。
        只要目前偵測到尚未安裝更新,Automatic Updates 用戶端就不會詢問 SUS 伺服器是否有進一步更新。

      • 自動下載和通知安裝
        Automatic Updates 用戶端會自動下載適用於用戶端電腦的新核准更新。為了安裝軟體更新,當 [New software update available for installation] 顯示時,以本機管理員權限登入的使用者將需要選擇安裝選項。
        只要目前偵測的更新尚未安裝,Automatic Updates 用戶端就會不詢問 SUS 伺服器有沒有任何進一步的更新。

      • 自動下載和安排安裝
        若選擇此選項,以本機管理員權限登入的使用者,會通知他已經有新的更新,並提供選項,在安排的時間之前安裝更新,或在安裝完畢時延後重新啟動 (若需要重新啟動)。
        不具備本機管理員權限的使用者將沒有此選項,而且會在安排的時間在背景執行安裝—。只要啟用 [No auto-restart for scheduled Automatic Updates installations] 原則設定值,這些使用者就可以使用選項來延後電腦重新啟動。若未啟用此設定值,Automatic Updates 用戶端將通知使用者系統會在 5 分鐘內關閉,而且會在此期間過後,自動重新啟動系統。

        注意:[Reschedule Automatic Updates scheduled installations] GPO 設定值使錯過預定安裝的電腦,重新安排在 Automatic Updates 服務啟動之後進行安裝。


部署階段 —在 SUS 伺服器執行更新

若用戶端要安裝新的更新,它必須位於本地的 SUS 伺服器。如需更多資訊,請參閱<補充程式管理階段 4 —部署>單元中的<部署準備>。要避免影響正常公司運作,您應該安排 SUS 子系網站在網路不忙碌時同步更新 (以及核准的更新清單)。您將需要檢查每一個子系伺服器的同步日誌,瞭解特殊更新是否可以在該伺服器取得。圖 11 示範此程序。

檢查更新是否可以在子系伺服器取得。

圖 11
檢查更新是否可以在子系伺服器取得。


若更新尚未顯示在 SUS 子系伺服器,則您應該執行手動同步來下載更新,然後檢查同步工作,確定已經收到更新。

注意:若有 SUS 伺服器位於末端網路,來自 SUS 下載伺服器的 SUS 相關內容,應該複製到離線媒體,傳送到末端網路,然後複製到本地 SUS 伺服器可以取得原始檔案的伺服器。

  • 透過階段式首展發佈更新

    1. 停用從 SUS 父系伺服器更新「核准」清單的同步。雖然子系伺服器擁有更新內含的檔案複本,但它不會部署至用戶端,原因是核准清單尚未同步。

    2. 然後您應該啟用核准清單的同步,在不同的網站啟動首展。


部署階段 —通知軟體更新至用戶端電腦

部署軟體更新至實際執行環境的第一個步驟,是通知軟體更新至用戶端電腦。首展可以分階段測試,或者所有用戶端可以接收相同部署期間的更新。如需更多資訊,請參閱<補充程式管理階段 4 —部署>單元中的<將軟體更新部署到至目標電腦>。

開啟首展

若不需要階段式首展,您應該執行以下程序。

  • 實作開放式首展

    1. 核准 SUS 父系伺服器上的更新。這樣會讓使用 SUS 父系伺服器取得更新的用戶端取得更新,如圖 12 所示。

      核准 SUS 父系伺服器上的更新

      圖 12
      核准 SUS 父系伺服器上的更新


    2. SUS 用戶端會在下一個偵測週期開始下載新核准的更新,或是本機管理員提示的時候,開始下載更新 (若 Automatic Update 用戶端設定成當更新可以取得的時候,便通知本機管理員)。

SUS 用戶端會每隔 17 或 22 小時輪詢 SUS 伺服器,尋找新的更新。假設已經核准新的更新而且可以在本機 SUS 伺服器取得,就會自動下載它,並傳送通知到登入的使用者 (若使用者擁有本機管理員權限),告知已經有新的更新。下載完成時,會根據為 Automatic Updates 用戶端選擇的安裝選項,進行安裝。

注意:若已經選擇下載通知和安裝通知,就不會自動下載更新。登入的本機管理員必須要求下載,才會發生此事。

Automatic Updates 安裝選項包括:

  • 排程安裝:
    會在排程的安裝時間安裝更新,除非本機管理員已經提前安裝。電腦必須在排程的時間上線,才能開始安裝。不過,[Reschedule Automatic Updates scheduled installations] GPO 設定值,允許錯過預定安裝時間的電腦,在 Automatic Updates 服務重新啟動時執行安裝。

  • 通知安裝:
    本機管理員 (登入時) 會被通知已經有更新可以安裝了。管理員可以立即安裝更新,或延後到更合適的時間再安裝。沒有本機管理員權限的使用者,不會知道擱置中的更新。

若要安裝的更新需要重新啟動,本機管理員可以將重新啟動延後到更合適的時間。他們應該知道在這次重新啟動之前,不會下載或安裝其他更新。

利用排程安裝選項和啟用 [No auto-restart for scheduled Automatic Updates installations] GPO 設定值,會提示擁有電腦重新啟動權限與擁有本機管理員權限的使用者,在執行安裝後重新啟動。只要沒有其他使用者使用遠端桌面工具,例如透過「終端機」服務,同時登入電腦,就會重新啟動。

SUS 子系伺服器會在下一個同步間隔同步核准更新,而且按照先前敘述的方法,提供更新給用戶端使用。

擁有本機管理員權限的使用者,可看見如圖 13 的工作列圖示,通知他們任何等候排程安裝時間的更新。然後,他們可以立即強制安裝 (登入時),或者等候自動安裝在安排的安裝時間進行。

通知登入使用者新的更新

圖 13
通知登入使用者新的更新


假設已經啟用 [No auto-restart for scheduled Automatic Updates installations] 原則設定值,對於沒有這些權限的使用者,唯一的通知訊息是指示已經安裝更新,而且他們需要重新啟動電腦,如圖 14 所示。

不自動重新啟動 SUS 用戶端

圖 14
不自動重新啟動 SUS 用戶端


若不是這樣,Automatic Updates 用戶端會通知使用者系統將於 5 分鐘內關閉,而且會在此期間過後,自動重新啟動系統。

階段式首展

若您想透過階段式首展來發佈更新,您應該執行以下程序。

  • 實作階段式首展

    1. 核准父系 SUS 伺服器上的更新。

    2. 更新成功部署至伺服器支援的用戶端之後,您應該在首展的下一個階段中,在支援用戶端的 SUS 子系伺服器上,啟用核准清單的同步。

例如,若影響所有 Windows XP 用戶端的更新先發佈到 Seattle 的用戶端,然後完成此部署之後,發佈至 Cambridge 的用戶端,SUS 管理員會先在 Seattle SUS 伺服器核准更新,然後用戶端開始下載並安裝它。當 Seattle 的部署完成,則 SUS 管理員會在 Cambridge SUS 伺服器啟用核准清單的同步 (在首展準備階段為停用)。核准清單同步成功之後,在 Seattle 伺服器核准的更新,可以提供給 Cambridge 伺服器支援的用戶端使用。

緊急變更要求

有時候,您可能需要避免在 SUS Server Administration Page 取得更新的核准,以及在目標伺服器部署更新,這兩件事之間有什麼時間延遲。若更新的設計是防止關鍵性伺服器有立即的安全漏洞,則需要儘早部署,不要等到安排的下一次安裝時間。

以下的程序顯示發佈軟體更新以及強制關鍵式伺服器安裝軟體更新,需要採取的步驟。套用至工作站的軟體更新,也要執行同樣的程序。

注意:此程序僅會在有足夠網路頻寬的公司場所,讓軟體更新檔案和更新的核准清單供 SUS 伺服器使用時,才會成功。

  • 使用 SUS 和「群組原則」快速部署更新

    1. 指定暫時的 Group Policy object (GPO) 至 Organizational Unit (OU) 結構的適當部份,然後使用安全性篩選,確定它套用至適當的電腦。注意:此暫時 SUS GPO 的優先順序,應該比正常使用的 SUS GPO 更高。此 GPO 中的原則設定值應該設定成停用 Automatic Updates 用戶端,然後將電腦的預設「群組原則」重新整理間隔變更成 5 分鐘。

    2. 強制進行網域控制站抄寫,這樣所有網域控制站才有一份新的「群組原則」物件複本。

    3. 等候 120 分鐘,讓 OU 中的所有用戶端重新整理「群組原則」。

    4. 在新的 GPO 原則調整原則設定值,如此會啟用 Automatic Updates 用戶端,而且設定成自動下載和自動安裝。設定自動安裝從目前時間開始,1 個小時後進行。

    5. 強制進行網域控制站抄寫,如此所有網域控制站都有一份變更的「群組原則」物件複本。

    6. 等候 5 分鐘,直到所有 SUS 用戶端重新整理更新的 SUS GPO 設定值為止。GPO 生效之後,Automatic Update 用戶端應該開始從 SUS 伺服器下載新的更新。當指定的時間到了的時候,就會開始安裝。

    7. 在所有目標電腦安裝更新成功之後,刪除用於所有這些變更的暫時 GOP。伺服器在重新整理它們的「群組原則」設定值之後,就會回復到現有的 Automatic Updates 下載和安裝選項。

注意:只有在認為更新對於業務運作很重要時,才考慮這個程序。在正常的狀況下,管理員應該等候標準的 SUS 安裝排程即可。

部署階段 —監控和報告部署進度

因為電腦無法安裝更新的原因很廣泛,所以能夠監控部署的進度是重要的。如需更多資訊,請參閱<補充程式管理階段 4 —部署>單元中的<將軟體更新部署到至目標電腦>。

若要監控 SUS 環境中佈署更新是否成功發佈,您應該執行 MBSA 工具並監控特殊的軟體更新在 MBSA 輸出清單中產生的報告,是否不再顯示成漏失。

MBSA 也可以識別安裝的更新,以及已經在 SUS 伺服器上核准但未安裝的更新。

  • 掃描多部電腦

    1. 在安裝 MBSA 的工作站,以管理員身分登入並執行 MBSA GUI。

    2. 按一下 [Pick multiple computers to scan] 並輸入要掃描的網域名稱或 IP 位址範圍。若您是掃描整個網域,您輸入的名稱必須是網域的 NetBIOS 名稱,而不是用在 DNS 中的完整網域名稱 (FQDN)。

    3. 選擇 [Use SUS Server] 並輸入 http:// server 其中 server 是必要的 SUS 伺服器名稱,如圖 15 所示。

      掃描網域或 IP 位址範圍中的電腦

      圖 15
      掃描網域或 IP 位址範圍中的電腦


    4. 按一下 [Start scan] 並等候結果。

    5. 按一下 [Pick a security report to view],然後選擇電腦,檢視報告。

    6. 按一下 [Results details] 來檢視詳細資訊。

部署進行時,部份電腦無法安裝軟體更新的原因很多,包括以下各項:

  • 電腦因各種原因而離線—例如,使用者未上班、使用者必須撥號、使用者是行動使用者,或者電腦進行維護中。

  • 電腦目前正在重新建立或重新建立影像。

  • 使用 Automatic Updates 用戶端的電腦未與 SUS 伺服器通訊。

  • 由於使用者或維護所需,因而停止 Automatic Updates 用戶端服務。

  • 電腦的磁碟空間不足。

若其中一項原因造成部份用戶端電腦未在指定的 SLA 內安裝補充程式,您將需要判斷要採取什麼補救步驟,讓它們合乎規範。雖然您可能無法在所有電腦上安裝補充程式,不過您應該充份瞭解為什麼這些電腦無法或不應該安裝補充程式的原因。

以下指南會協助您解決軟體更新的失敗,以便安裝和讓更多電腦合乎規範:

  • 永遠在第一個部署階段之後重新掃描環境,找出在第一個階段漏失的電腦。

  • 經常監控和報告部署進度。重新掃描和監控會以報告異常的電腦為目標進行後續的重新部署階段。

  • 永遠試著判斷部署失敗的根本原因。

  • 至於離線或目前重建的電腦,只要 Automatic Updates 用戶端服務的狀況良好,當電腦下次在線上時,便會下載和安裝軟體更新。

  • 請參考此小節的指南,增加部署的成功率。

  • 處理未成功的部署

    1. 檢查事件日誌,查明 Automatic Updates 用戶端相關的 SUS 錯誤。Automatic Updates 用戶端的可能的事件詳細清單,可以在《Software Update Services Deployment (英文)》白皮書的 Appendix B,<Software Updates Services Event Log Messages>找到,而且可以從 http://www.microsoft.com/taiwan/windowsserversystem/sus/ 下載。

    2. 檢查 SUS 伺服器的 IIS 日誌,查明失敗的 Automatic Updates 用戶端。詳細檢查用戶端 IP 位址和日誌記錄。若問題是因下載失敗造成的,請檢查每一筆記錄的 HTTP 傳回碼 (例 404)。

    3. 檢查 Windows Update 日誌檔。此檔案會記錄 Automatic Updates 用戶端執行的所有活動,它是位在每一個用戶端電腦的系統根資料夾。應該掃描該檔案,就可以了解過去活動和錯誤訊息的相關資訊。

    4. 檢查 Iuhist.xml 檔案,它記錄整個安裝的更新歷史以及下載自何處。這個檔案可以在 Program Files\WindowsUpdate\V4 找到。

若 Automatic Updates 用戶端未下載更新,則您需要檢查登錄中 Automatic Updates 用戶端的狀態。

  • 檢查 Automatic Updates 用戶端的狀態

    1. 在登錄中,移至 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update

    2. 查詢 Automatic Updates 用戶端的 AUState 值。AUState 的值必須設定成 2,才能讓用戶端查詢新核准的更新。若 AUState 設定成 5,用戶端正擱置安裝下載的更新,而且在安裝這些更新之後,才會執行新的偵測。安裝完畢之後,用戶端會將自己重設成 AUState 2。若 AUState 設定成 7,會停用用戶端。若 AUState 是設定成 8,會進行安裝,但不重新啟動電腦。


部署階段 —處理失敗的部署

若您判斷部署未成功而且需要停止和回復,則您應該停止安裝、解除安裝失敗的更新,然後重新部署它們。如需更多資訊,請參閱<補充程式管理階段 4 —部署>單元中的<將軟體更新部署到至目標電腦>。

停止部署核准的更新

若部署失敗,而且您需要防止進一步安裝,則您必須在 SUS 伺服器上取消更新的核准。在已經下載更新但未安裝的用戶端,本機管理員可以從要安裝的更新清單中,手動移除。

在圖 16,管理員已經選擇不安裝 Q318138 更新。

選擇不安裝更新

圖 16
選擇不安裝更新


注意:若本機管理員選擇不安裝特殊的更新,如圖 16 所示,即使 SUS 管理員在 SUS Server Administration Page 重新核准該更新,也不會安裝。在此狀況,電腦的本機管理員僅能使用用戶端「控制台」的 [Declined Updates] 按鈕來安裝。

若電腦已經安裝核准的更新,僅能使用「控制台」的 [新增或移除程式] 來移除更新。並非所有更新都可以移除,在這種情況下,Windows XP 電腦可以使用「系統回復」公用程式回復。Windows 2000 和 Windows Server 2003 系統將必須依靠它們的備份復原技術,將電腦回復至上次已知的良好狀態。當您篩選並測試特殊更新時,便應該研究和建立此資訊,而且您應該在部署無法解除安裝的更新之前,永遠先建立備份。


顯示: