以 Software Update Services 1.0 部署補充程式

  • 發行項
本頁內容

簡介
開始之前
計劃與部署 SUS Server 1.0 SP1
安裝 IIS
安裝與設定 SUS
下載 SUS 更新
更新用戶端電腦
定義安裝更新的原則
使用 SUS 1.0 更新電腦
測試更新的建議方式
相關資訊

簡介

在執行 Microsoft® Windows® 作業系統的電腦上安裝最新的作業系統更新,是幫助您維護網路安全的重要途徑。

Software Update Services (SUS) Server 1.0 含 Service Pack 1 (SP1) 針對管理與發佈重大 Windows 更新的問題提供了解決方案,這些更新能夠解決 Microsoft Windows 作業系統中已知的安全性弱點與其他穩定性問題。

**注意:**SUS Server 1.0 含 SP1 是專為處理 Windows® 2000 Server 與 SUS Server 1.0 之間現有的相容性問題。

只要使用了 SUS,您就不需要使用 Windows Update 網站,個別管理網路上的每部電腦更新。您可以在執行 Microsoft® Windows Server™ 2003 (或執行 Windows® 2000 Server) 的電腦上管理更新,並將其設定為自動發佈更新到您的電腦。接收更新的電腦不需要網際網路存取。SUS 可以提供執行 Windows® 2000 Professional、Windows 2000 Server、Windows XP Professional、Windows XP Home 及 Windows Server 2003 作業系統電腦的更新。

如果您執行的是其他 Windows 版本,您可以在 Microsoft 網站上 https://go.microsoft.com/fwlink/?LinkId=22334Windows Download 頁面 (英文)找到更新方式說明。

如果您只有五部以內的電腦,使用 SUS 的效率有限。相反地,您應該將每部用戶端電腦設定成使用「自動更新」,從 Windows Update 下載並安裝更新。如需有關 Windows Update 和自動更新的詳細資訊,請參閱位於 https://go.microsoft.com/fwlink/?LinkId=22335 的 Microsoft 網站。

**注意:**如果有不在網域之內的電腦,您可以使用「自動更新」來更新。如果您有執行 Windows XP Home 的電腦,您可以使用「自動更新」或升級成 Windows XP Professional。Windows XP Professional 是專為搭配 Windows Server 2003 網路環境而設計。這樣一來可以增加區域網路的安全性,同時提昇可靠性、效能及功能性。如需有關用戶端電腦升級的詳細資訊,請參閱位於 Microsoft 網站 https://go.microsoft.com/fwlink/?LinkId=22664Windows XP Professional Upgrade Center (英文)

本文包括有關下列工作的資訊:

  • 計劃與部署 SUS Server 1.0 SP1

  • 安裝 IIS

  • 安裝與設定 SUS

  • 下載 SUS 更新

  • 更新用戶端電腦

  • 針對安裝更新定義原則

  • 更新裝載 SUS 1.0 的電腦

  • 測試更新的建議方法

**重要:**本文內含的所有逐步指示,都是使用在您安裝作業系統時,依預設值會出現的「開始」功能表來進行。如果您修改了「開始」功能表,則步驟可能會有些微變動。

回到頁首

開始之前

在您部署 SUS 之前,應已安裝並設定好 Windows Server 2003。您的 Windows 用戶端電腦與其他 Windows 伺服器都應已加入網路。

回到頁首

計劃與部署 SUS Server 1.0 SP1

下列為計劃與部署 SUS Server 1.0 with SP1 時所使用的步驟:

  • 識別已安裝與遺漏的軟體更新

  • 安裝 Microsoft Internet Information Services (IIS)

  • 安裝與設定 SUS

  • 下載 SUS 更新

  • 更新用戶端電腦

  • 定義安裝更新的原則

識別已安裝與遺漏的軟體更新

識別您的電腦上已安裝的軟體更新十分重要。SUS 並不內含任何稽核工具。若要判斷組織內伺服器與工作站上所安裝的軟體更新,您必須使用 Microsoft Baseline Security Analyzer (MBSA),您可以從 Microsoft 網站 https://go.microsoft.com/fwlink/?LinkId=22813 下載。MBSA 會回報遺漏的安全性更新與 Service Pack,並識別 Windows Server 2003、Windows XP、Windows 2000 及 Windows NT® 4.0 的安裝弱點。同時也會回報電腦設定是否遵循一般安全性最佳做法 (例如使用強性密碼)。

需求

  • 您必須以 Administrators 群組成員登入。

  • 若要使用 MBSA 識別已安裝與遺漏的軟體更新

    1. 請開啟位於 Microsoft 網站 https://go.microsoft.com/fwlink/?LinkId=2283MBSA網頁

    2. 按一下 [Download]。

    3. 在 [檔案下載] 對話方塊中,按一下 [開啟]。

    4. 在 [Microsoft Baseline Security Analyzer Setup] 對話方塊中,按一下 [Next]。

    5. 在 [License Agreement] 頁面上,選取 [I accept the license agreement] 後,按一下 [Next]。

    6. 在 [User Information] 頁面上,按一下 [Next]。

    7. 在 [Destination Folder] 頁面上,按一下 [Next]。

    8. 在 [Choose install options] 頁面上,按一下 [Next]。

    9. 在 [Select Features] 頁面上,按一下 [Next]。

    10. 在 [Ready to Install the Application] 頁面上,按一下 [Next],然後按一下 [Finish]。

    11. 切換到 Microsoft Baseline Security Analyzer 應用程式。

    12. 按一下 [Scan more than one computer]。

    13. 在 [Domain name] 方塊中,鍵入您的網域名稱。

    14. 按一下 [Start scan]。

    15. 按一下 [Print] 以列印一份報表。

    16. 更新完網路上所有電腦後,應該再次執行 MBSA 以確保所有更新都已安裝。

清查您網路上的電腦

您必須清查您網路上的每部電腦,以判斷其名稱與執行的作業系統。您稍後將使用此資訊來判斷任何電腦是否需要更新但不使用 SUS,以及是否需要更新任何電腦上的「自動更新」軟體以搭配 SUS。在您的網路上每部電腦操作下列程序,並記錄在下一頁提供的表格中。

需求

  • 您必須以 Administrators 群組成員登入。

  • 若要判斷用戶端電腦名稱與作業系統版本

    1. 以 Administrator 身分或是具有系統管理權限的帳戶登入每部電腦。

    2. 按一下 [開始],再按一下 [執行],鍵入 msinfo32 後按一下 [確定]。

    3. 按一下 [確定]。

    4. 在下表中,記錄每部電腦的資訊。

    5. 針對網路上每部電腦重複以上作業。

      每部電腦的名稱與作業系統

      電腦名稱 作業系統名稱 作業系統版本與 Service Pack
              
              
              
              
              
              
              
              
              
              
              

      執行 Windows 2000 的電腦必須安裝 SP2 或更新版本。

  • 若要針對執行 Windows 2000 的電腦更新最新的 Service Pack

    1. 以 Administrator 身分或具有系統管理認證的帳戶登入。

    2. 按一下 [開始] 再選取 [Windows Update]。

    3. 在 [安全性警告] 對話方塊中,按一下 [是] 以安裝與執行 Windows Update。

    4. 在 Windows Update 網頁上按一下 [掃描更新檔項目]。

    5. 按一下 [重大更新和 Service Pack]。

    6. 捲動更新清單後並按一下 [移除],將 [供一般使用者使用的 Windows 2000 Service Pack 4 快速安裝] 以外的所有更新移除。您稍後可以使用 SUS 安裝其他更新。

    7. 按一下 [檢視並安裝更新檔],然後按一下 [立即安裝]。

    8. 在 [License Agreement] 對話方塊上按一下 [接受]。畫面便會出現「Windows 2000 Service Pack 4 安裝精靈」。

    9. 按 [下一步]。

    10. 在 [License Agreement] 頁面上按一下 [我同意],然後按一下 [下一步]。

    11. 若要接受保存檔的預設選項,按一下 [下一步]。
      便會開始下載與安裝。

    12. 安裝完成時按一下 [完成],然後按一下 [確定] 以重新啟動您的電腦。

您也必須判斷您的 Windows 網域名稱。在稍後步驟中設定 Proxy 伺服器時,將會需要此資訊。

  • 若要判斷您的 Windows 網域名稱

    1. 按一下 [開始],再按一下 [執行]。

    2. 在 [開啟] 方塊中鍵入 cmd,然後按一下 [確定]。

    3. 在命令提示字元視窗中鍵入 set,然後按下 ENTER。輸出文字中將會出現一行 USERDOMAIN=yourWindowsdomain,其中 yourWindowsdomain 就是您的 Windows 網域名稱。

    4. 記下您的網域名稱。

回到頁首

安裝 IIS

SUS 系統管理網頁可讓您同步化內容、核准內容,設定 SUS 選項、監視伺服器狀態及遠端管理 SUS。若要使用 SUS 系統管理網頁,必須安裝 IIS。

需求

  • 您必須以 Administrators 群組成員登入。

  • 若要安裝 IIS

    1. 以 Administrator 身分或具有系統管理認證的帳戶登入。

    2. 將 Microsoft Windows Server 2003 光碟片插入光碟機中。

    3. 畫面上出現 Microsoft Windows Server 2003 系列產品視窗時,按一下 [結束]。

    4. 按一下 [開始] 功能表上的 [控制台]。

    5. 按兩下 [新增或移除程式] 然後按一下 [新增/移除 Windows 元件]。

    6. 在「Windows 元件精靈」中勾選 [應用程式伺服器] 核取方塊,然後遵循指示來安裝。

回到頁首

安裝與設定 SUS

您必須從 Microsoft 下載 SUS 1.0 Service Pack 1,並在執行 Windows Server 2003 的電腦上安裝與設定。

需求

  • 您必須以 Administrators 群組成員登入。

  • 若要下載 Sus10sp1.exe

    1. 以 Administrator 身分或具有系統管理認證的帳戶登入。

    2. 從 Microsoft 網站 https://go.microsoft.com/fwlink/?LinkId=22337下載 Update Services Server 1.0 加 Service Pack。此檔案大小約為 33 MB。若使用 56K 網際網路連線,下載時間約需要 80 分鐘。

    3. 遵循連結以下載 Software Update Services 加 Service Pack。
      此檔案大小約為 33 MB。

    4. 在 [Software Update Services Server 1.0 with Service Pack 1] 頁面上選取要下載的語言後按一下 [Go],再按一下 [Download]。

    5. 按一下 [開啟] 便開始下載。

    6. 下載完成時按一下 [開啟],便開始安裝。

  • 若要安裝 SUS

    1. 在安裝精靈的 [Welcome] 頁面上按一下 [Next]。

    2. 閱讀並接受「使用者授權合約」後按一下 [Next]。

    3. 在 [Choose setup type] 頁面上,按一下 [Typical]。

    4. 在 [Ready to install] 頁面上,記下用戶端電腦上的「自動更新」將用來從 SUS 伺服器取得更新之下載 URL。本文稍後設定 SUS 的原則時將會用到此 URL。

    5. 按一下 [Install]。

    6. 畫面上出現 [Completing Microsoft Software Update Services Setup Wizard] 頁面時,記下存取 SUS 系統管理網頁的 URL。

    7. 按一下 [Finish] 便完成安裝。畫面上會出現 [Software Update Services] 系統管理網頁。

    8. 在 SUS 系統管理網頁的 [Other Options] 下方,按一下 [Set Options]。

如果您在 Windows 網路中執行 Proxy 伺服器,則必須執行下列程序。

  • 若要設定 SUS 以使用 Proxy 伺服器

    1. 按一下 [Use a proxy server to access the Internet]。

    2. 按一下 [Use the following proxy server to access the Internet]。在 [Address] 方塊中鍵入 proxy_server_computername,並在 [Port] 方塊中鍵入 80 (其中 proxy_server_computername 是您的 Proxy 伺服器名稱)。

    3. 按一下 [Use the following user credentials to access the proxy server]。在 [User] 方塊中鍵入 yourWindowsdomain\administrativeaccount (其中 yourWindowsdomain 是您的 Windows 網域名稱,administrativeaccount 則是具有系統管理認證的使用者帳戶名稱)。

  • 若要設定 SUS 安裝套件的地區設定

    1. 捲動到頁面底端。

    2. 按一下 [Clear All],然後只選取符合您所需支援的作業系統語言之地點。

    3. 按一下 [Apply]。

    4. 在 [VBScript] 對話方塊中按一下 [OK]。

回到頁首

下載 SUS 更新

您必須在上一節中,針對您選取的地點,下載所有作業系統的所有可用更新。

您下載的資料量將很龐大 (每個地點約為 600 MB)。使用 640K 寬頻連線下載約需 125 分鐘,而經由 56.6K 撥接連線下載則約需 23 個小時。排程下載時,請安排在您的網際網路連線上非進行業務活動的時間。同時,請勿將下載排程在與您的系統備份相同之時間。

需求

  • 您必須以 Administrators 群組成員登入。

  • 若要下載 SUS 更新

    1. 使用 Internet Explorer 開啟 SUS 系統管理網頁,位於:**https://yourservername/SUSAdmin

    2. 在主控台樹狀目錄中 (左窗格) 按一下 [Synchronize server]。

    3. 按一下 [Synchronization Schedule]。

    4. 按一下 [Synchronize using this schedule],接受預設值 (3:00am,每天,重試 3 次) 後按一下 [OK]。

    5. 按一下 [Synchronize Now] 便會下載更新。
      在您核准之前,該更新不會發佈到電腦。

    6. 在 [VBScript] 對話方塊中按一下 [OK] 便可完成同步化。
      畫面上會出現 [Approve updates] 網頁。請勿在此時核准任何更新。

回到頁首

更新用戶端電腦

如果您的電腦是執行下列作業系統其中之一,則必須更新其中的「自動更新」程式以便搭配 SUS 使用。

  • Windows 2000 Professional,SP2

  • Windows 2000 Server,SP2

  • Windows XP Professional (無 Service Pack)

  • Windows XP Home (無 Service Pack)

執行下列作業系統的電腦,則不需要更新「自動更新」程式。

  • Windows 2000 SP3 或更新版本

  • Windows XP SP 或更新版本

  • Windows Server 2003

  • 若要更新自動更新程式

    1. 使用您的系統管理員密碼登入。

    2. 開啟位於 Microsoft 網站 https://go.microsoft.com/fwlink/?LinkId=22338Automatic Updates 下載頁面 (英文)

    3. 從頁面頂端的下拉式清單選擇語言後,按一下 [Go]。

    4. 在 [Download] 之下按一下 [Automatic Update Client]。

    5. 若要立即開始安裝,請按一下 [開啟] 或 [從目前位置執行此程式]。

回到頁首

定義安裝更新的原則

您必須設定您的網路要如何與何時處理更新。這包括更新將在何時下載與安裝。原則就是 Windows 中用來定義針對使用者與電腦的設定之機制,這些設定可以經由您的網路自動發佈。

「基本 SUS 設定」原則允許自動下載更新,並可讓使用者選擇何時安裝。此原則通常適用於網路上的伺服器,但您也可以針對用戶端電腦與伺服器同時指定此選項,讓他們選擇何時安裝更新。

「排定安裝 SUS 設定」原則是根據您定義的排程允許自動下載與安裝更新之選擇性原則。此原則通常適用於網路上的用戶端電腦。

接下來的兩頁,是設定以下所列兩種不同原則的程序。您必須只能設定其中一種原則。

需求

  • 您必須以 Administrators 群組成員登入。

  • 若要建立「基本 SUS 設定」原則

    1. 以 Administrator 身分或具有系統管理認證的帳戶登入。

    2. 按一下 [開始] 並指向 [設定],然後按一下 [控制台]。

    3. 按兩下 [系統管理工具]。

    4. 按兩下 [Active Directory 使用者和電腦]。

    5. 在 [yourDomainName] 上按一下滑鼠右鍵,再按一下 [內容]。

    6. 在 [yourDomainName] 的 [內容] 對話方塊中,按一下 [群組原則],然後按一下 [新增]。

    7. 鍵入 Basic SUS Config Policy 後按下 ENTER。

    8. 按一下 [編輯]。

    9. 在「群組原則物件編輯器」的主控台樹狀目錄中,展開 [電腦設定] 之下的 [系統管理範本]。

    10. 展開 [Windows 元件],然後按一下 [Windows Update]。

    11. 按兩下 [設定自動更新]。

    12. 選取 [啟用]。

    13. 在 [設定自動更新 (3 - 自動下載和通知我安裝)] 接受預設值設定,然後按一下 [確定]。

    14. 按兩下 [指定近端內部網路 Microsoft 更新服務的位置]。
      畫面上會開啟「指定近端內部網路 Microsoft 更新服務的位置」視窗。

    15. 按一下 [啟用]。

    16. 在 [設定偵測更新的近端內部網路更新服務] 文字方塊中鍵入 https://yourservername ,然後設定偵測更新的近端內部網路更新服務按一下 [確定] (其中 yourservername 是您安裝 SUS 的伺服器名稱)。

      **注意:**這就是您在安裝 SUS 時記下的 URL。請確定鍵入完整的 URL,包括 http://。

    17. 關閉「群組原則物件編輯器」。

如果您要在用戶端或伺服器電腦上排程安裝 Windows 更新,請建立「排定安裝 SUS 設定」原則。請記得,您必須只能建立一個「SUS 設定」原則。

  • 建立「排定安裝 SUS 設定」原則

    1. 使用 Administrator 或具有系統管理認證的帳戶登入。

    2. 按一下 [開始] 並指向 [設定],然後按一下 [控制台]。

    3. 按兩下 [系統管理工具]。

    4. 按兩下 [Active Directory 使用者和電腦]。

    5. 在 [yourDomainName] 上按一下滑鼠右鍵,再按一下 [內容]。

    6. 在 [yourDomainName] 的 [內容] 對話方塊中,按一下 [群組原則],然後按一下 [新增]。便會開啟「群組原則物件編輯器」。

    7. 鍵入 Scheduled Install SUS Config Policy 後按下 ENTER。

    8. 按一下 [編輯]。

    9. 在主控台樹狀目錄中,展開 [電腦設定] 之下的 [系統管理範本]。

    10. 展開 [Windows 元件],然後選取 [Windows Update]。

    11. 按兩下 [設定自動更新]。

    12. 選取 [啟用]。

    13. 在 [設定自動更新] 下,選取 [4 - 自動下載和排程安裝]。

    14. 在 [排程安裝日期] 保留預設值 ([0 - 每天])。

    15. 從 [排程安裝時間] 選取 [05:00],然後按一下 [確定]。

    16. 按兩下 [指定近端內部網路 Microsoft 更新服務的位置]。畫面上會開啟 [指定近端內部網路 Microsoft 更新服務的位置] 視窗。

    17. 按一下 [啟用]。

    18. 在 [設定偵測更新的近端內部網路更新服務] 文字方塊中鍵入 https://yourservername ,然後按一下 [確定] (其中 yourservername 是您安裝 SUS 的伺服器名稱)。

      **注意:**這就是您在安裝 SUS 時記下的 URL。

    19. 按兩下 [重新排程已經排程好的自動更新安裝]。畫面上會開啟 [重新排程已經排程好的自動更新安裝] 視窗。

    20. 按一下 [啟用]。

    21. 接受預設值 [在系統啟動後等候 5 分鐘)],按一下 [確定]。

    22. 按兩下 [已排程的自動更新安裝沒有自動重新啟動]。
      畫面上會開啟 [已排程的自動更新安裝沒有自動重新啟動] 視窗。

    23. 按一下 [停用],再按一下 [確定]。

    24. 關閉 [群組原則物件編輯器] 視窗。

回到頁首

使用 SUS 1.0 更新電腦

本節針對如何使用 SUS Server 1.0 SP1 更新電腦,提供下列逐步指示:

  • 測試更新 (選擇性)

  • 核准更新

  • 驗證用戶端電腦收到更新

  • 在伺服器電腦上安裝更新

  • 繼續以套用更新

測試更新

您必須測試更新,以了解您的商業應用程式是否會由於安裝新的 Windows 更新而造成風險。如果您使用了重要的商業應用程式,您應該先測試更新,再安裝到您所有的電腦。如果您在核准之前測試更新,請參閱本文中稍後的<測試更新的建議方式>一節。

核准更新

當您測試過 Windows 更新後,便可以核准以使它們能夠發佈到網路上的電腦。

需求

  • 您必須以 Administrators 群組成員登入。

  • 若要核准更新

    1. 以 Administrator 身分或具有系統管理認證的帳戶登入。

    2. 按一下 [開始] 並選取 [系統管理工具],然後按一下 [Microsoft Software Update Services]。

    3. 在主控台樹狀目錄中,按一下 [Approve Updates]。

    4. 捲動更新清單,找到您所測試通過的更新。選取每個更新旁邊的核取方塊。

    5. 重複以上作業,以便找到您所測試通過的所有更新。

      **注意:**若要搜尋特定更新,請使用更新清單頂端的 [Sort by]。您可以使用此功能依平台、狀態、標題或日期排序。

    6. 當您找到並勾選所有更新後,按一下 [Approve]。

    7. 按一下 [Yes] 繼續。

    8. 按一下 [Accept] 以接受「License Agreement」的條款 (如果需要)。

    9. 按一下 [OK] 以完成核准更新。
      更新清單會依狀態排序,已核准的更新會在清單頂端。

    10. 關閉 SUS 系統管理頁面。

**注意:**為求最佳效果,請要求您的使用者儲存資料並關閉應用程式後,在晚上離開時不關閉電腦,讓更新自動在隔天早上上班前安裝完成。

驗證用戶端電腦收到更新

隔天早上 5:00,您的用戶端電腦應該都已將適用於它們的作業系統的已核准更新下載並安裝完成。如果 48 個小時過後仍未安裝更新,請執行疑難排解程序以嘗試修正錯誤。

許多 Windows 更新都專屬於特定作業系統或瀏覽器版本。如果不是執行該特定作業系統或瀏覽器的電腦,便不適用該更新,而不會下載與安裝。

**注意:**如果您並未建立「排定安裝 SUS 設定」原則,請遵循本文中稍後的「在伺服器上安裝更新」步驟。

需求

  • 您必須以 Administrators 群組成員登入。

  • 若要確認用戶端電腦已安裝更新

    1. 以 Administrator 身分或具有系統管理認證的帳戶登入。

    2. 按一下 [開始] 再按一下 [控制台],然後按一下 [新增或移除程式]。

您將看到一份目前已安裝程式的清單。您所核准的更新也會列出。

如果已超過 48 個小時而更新仍未出現,請執行下列程序以嘗試修正錯誤。

  • 驗證電腦已使用「原則結果組」工具接收適當的「群組原則」(僅限 Windows XP)

    1. 以 Administrator 身分或具有系統管理認證的帳戶登入。

    2. 按一下 [開始],再按一下 [執行]。

    3. 在 [開啟] 文字方塊中,鍵入 rsop.msc,然後按一下 [確定]。畫面上會開啟 [原則結果組] 視窗。

    4. 在主控台樹狀目錄中,在 [電腦設定] 之下按一下 [系統管理範本]。

    5. 按兩下 [Windows 元件]。

    6. 按兩下 [Windows Update]。

    7. 必要時,可在詳細資料窗格 (右窗格) 中捲動以便查看所有的欄位。

如果您已建立「排定安裝 SUS 設定」原則,您應該會在用戶端電腦上看到以下設定:

用戶端電腦群組原則設定

設定 狀態 GPO 名稱
設定自動更新 啟用 Scheduled Install SUS Config
指定近端內部網路 Microsoft 更新服務的位置 啟用 Scheduled Install SUS Config
重新排程已經排程好的自動更新安裝 啟用 Scheduled Install SUS Config
已排程的自動更新安裝沒有自動重新啟動 停用 Scheduled Install SUS Config
如果您並未建立「排定安裝 SUS 設定」原則,您應該會在用戶端電腦上看到以下設定: **用戶端電腦群組原則設定**

設定 狀態 GPO 名稱
設定自動更新 啟用 Basic SUS Config
指定近端內部網路 Microsoft 更新服務的位置 啟用 Basic SUS Config
如果您沒有看到這些設定,請重新確認您遵循了本文<定義安裝更新的原則>一節中之程序。 如果電腦顯示已套用「群組原則」,但預期更新仍未出現,請嘗試在電腦上強制「群組原則」更新。 - **若要在執行 Windows XP 的電腦上強制群組原則更新** 1. 以 Administrator 身分或具有系統管理認證的帳戶登入。 2. 按一下 \[開始\],再按一下 \[執行\]。 3. 在 \[開啟\] 方塊中鍵入 **cmd**,然後按一下 \[確定\]。 4. 在命令提示字元視窗中鍵入 **gpupdate /force** 後按下 ENTER。

  • 若要在執行 Windows 2000 的電腦上強制「群組原則」更新

    1. 使用 Administrator 或具有系統管理認證的帳戶登入電腦。

    2. 按一下 [開始],再按一下 [執行]。

    3. 在 [開啟] 方塊中鍵入 cmd,然後按一下 [確定]。

    4. 在命令提示字元視窗中鍵入 secedit /refreshpolicy machine_policy /enforce 後按下 ENTER。

「群組原則」會從執行 Windows Server 2003 並設定為網域控制站的電腦更新。48 個小時過後再次檢查更新。如果您並未建立「排定安裝 SUS 設定」原則,請檢查工作列中是否出現更新圖示。您可能必須在此程序完成後等待幾個小時,此圖示才會出現。

在伺服器電腦上安裝更新

依照您方便的時間,在伺服器電腦上手動安裝更新。

需求

  • 您必須以 Administrators 群組成員登入。

  • 若要在伺服器電腦上安裝更新

    1. 以 Administrator 身分或具有系統管理認證的帳戶登入電腦。

    2. 您應該會在桌面右下角的工作列中看到更新圖示 (地球上的 Windows 旗幟),這表示該更新已上傳到您的電腦且準備好安裝。

    3. 按一下圖示即可隨時安裝更新。

如果您在 48 個小時過後仍沒有看到此圖示,請執行下列程序以嘗試修正問題。

  • 驗證電腦已使用「原則結果組」工具,接收適當的「群組原則」(僅限 Windows Server 2003)

    1. 以 Administrator 身分或具有系統管理認證的帳戶登入電腦。

    2. 按一下 [開始],再按一下 [執行]。

    3. 在 [開啟] 文字方塊中,鍵入 rsop.msc,然後按一下 [確定]。畫面上會開啟 [原則結果組] 視窗。

    4. 在主控台樹狀目錄中,在 [電腦設定] 之下按一下 [系統管理範本]。

    5. 按兩下 [Windows 元件]。

    6. 按兩下 [Windows Update]。

    7. 必要時,可捲動詳細資料窗格以便查看所有的欄位。

您的伺服器電腦將會顯示下列資訊:

伺服器端電腦群組原則設定

設定 狀態 GPO 名稱
設定自動更新 啟用 Basic SUS Config
指定近端內部網路 Microsoft 更新服務的位置 啟用 Basic SUS Config
如果您沒有看到這些設定,請重新確認您遵循了本文<定義安裝更新的原則>一節中之程序。 如果電腦顯示已套用「群組原則」,但預期更新仍未出現,請嘗試在電腦上強制「群組原則」更新。 - **若要在執行 Windows Server 2003 的電腦上強制群組原則更新** 1. 以 Administrator 身分登入電腦。 2. 按一下 \[開始\],再按一下 \[執行\]。 3. 在 \[開啟\] 方塊中鍵入 **cmd**,然後按一下 \[確定\]。 4. 在命令提示字元視窗中鍵入 **gpupdate /force** 後按下 ENTER。

  • 若要在執行 Windows 2000 的電腦上強制群組原則更新

    1. 以 Administrator 身分或具有系統管理認證的帳戶登入電腦。

    2. 按一下 [開始],再按一下 [執行]。

    3. 在 [開啟] 方塊中鍵入 cmd,然後按一下 [確定]。

    4. 在命令提示字元視窗中鍵入 secedit /refreshpolicy machine_policy /enforce 後按下 ENTER。

「群組原則」將會從執行 Windows Server 2003 並設定作為網域控制站的電腦更新。檢查工作列中是否出現更新圖示。您可能必須在此程序完成後等待幾個小時,圖示才會出現。

繼續套用更新

執行 SUS 的伺服器會在 Microsoft 發表新的更新時自動下載。定期檢查 SUS 系統管理頁面,以取得您必須複查以便核准的新更新。 若要在新更新發表時提醒您,您可以使用 Get Notified Right Away of Important Security Updates (英文)網頁,位於 Microsoft 網站的 https://go.microsoft.com/fwlink/?LinkId=22339,進行訂閱以收到更新通知。 如果您訂閱的話,便會在新更新發表時收到電子郵件。

需求

  • 您必須以系統管理員群組成員登入。

  • 若要使您的電腦保持最新狀態

    1. 檢查您的電子郵件以取得新的更新。

    2. 檢查 SUS 系統管理頁面 [Approve Updates] 之下,以了解執行 SUS 的電腦是否下載了任何新的更新。
      清單中新的更新,其狀態會顯示 [New]。

    3. 當您有新的更新時,請重複本節中的上述步驟。

回到頁首

測試更新的建議方式

若要測試 Windows 更新,請指定一部電腦作為測試電腦。此電腦必須執行您重要的應用程式,並且該名使用者應具備進階技術,足以協助您疑難排解可能因測試而產生的問題。如果您無法使用一部電腦執行您所有的重要應用程式,而您又具有多種作業系統版本時,則將需要一部以上的測試電腦。例如,如果您使用了 Windows XP 與 Windows 2000,您便需要一部 Windows XP 測試電腦與一部 Windows 2000 測試電腦。

直接從 Microsoft Windows Update Services 下載更新後,套用到您的測試電腦上。

在執行 Windows XP 的電腦上,您可以使用「系統還原」保護您的系統免於遭受可能有害的變更。您可以在測試 Windows 更新之前,使用「系統還原」建立還原點。如果您測試的更新導致應用程式問題,您可以使用「系統還原」來復原更新。針對不是執行 Windows XP 的電腦,您必須使用 [控制台] 的 [新增或移除程式],以手動方式將更新解除安裝。

在您安裝更新之前,請與您所使用的任何其他應用程式之供應商確認,以了解是否有任何有關 Windows 更新的已知問題。如果有,該問題可能已有解決方案,您便可省卻不必要的測試。請執行下列步驟以檢查相容性問題:

  • 檢查使用者說明文件。

  • 瀏覽供應商的網站。一般而言,相容性問題都會列在「支援」區域中。

  • 撥打客戶支援聯絡電話,詢問有關任何 Service Pack 或 Windows 更新的已知問題。

  • 若要在測試電腦上建立還原點 (僅限 Windows XP)

    1. 以 Administrator 身分登入電腦。

    2. 按一下 [開始],再按一下 [說明及支援]。

    3. 在 [選擇一項工作] 之下按一下 [使用系統還原復原您的電腦變更]。

    4. 按一下 [建立一個還原點],再按一下 [下一步]。

    5. 在 [還原點描述] 方塊中,鍵入「Windows Update 之前」後按一下 [建立]。

    6. 建立還原點後,請按一下 [結束]。

接著,從 Microsoft Windows Update Services 下載任何已發表的重大更新與 Service Pack。您必須在執行您網路中每個作業系統版本的測試電腦上執行此作業。例如,如果您使用了 Windows XP 與 Windows 2000,您便需要一部 Windows XP 測試電腦與一部 Windows 2000 測試電腦。

**注意:**有些更新無法移除。更新描述會告訴您哪些更新無法移除。

  • 若要更新您的測試電腦

    1. 以 Administrator 身分登入電腦。

    2. 開啟位於 Microsoft 網站 https://go.microsoft.com/fwlink/?linkid=3326Microsoft Windows Update Services

    3. 在 [Windows Update] 頁面上按一下 [掃描更新檔項目]。

    4. 檢驗已發表可用的重大更新與 Service Pack。

      如果沒有任何要安裝的重大更新或 Service Pack,此程序便可到此為止。您可以在有重大更新或 Service Pack 發表可用時進行測試。否則,請繼續此程序。

      注意:若要在新更新發表可用時提醒您,您可以使用 Microsoft 網站 https://go.microsoft.com/fwlink/?LinkId=22339 上的 Get Notified Right Away of Important Security Updates (英文) 網頁,訂閱「Microsoft 安全性更新」電子郵件提醒,以接收通知。

    5. 按一下 [重大更新和 Service Pack]。會自動選取所有已發表可用的重大更新與 Service Pack。

    6. 按一下 [檢視並安裝更新檔]。

    7. 檢閱與記錄每個更新數量,以便必要時能夠手動解除安裝。

    8. 按一下 [立即安裝]。

    9. 在可能出現的任何「License Agreement」視窗上按一下 [接受]。

    10. 安裝後會出現對話方塊,提示您重新啟動您的電腦。按一下 [確定] 便會立即重新啟動您的電腦。否則,請關閉瀏覽器。

現在您可以在剛安裝完更新的測試電腦上,測試您的重要商業應用程式。

  • 若要執行您的應用程式測試

    1. 在測試電腦上啟動應用程式。

    2. 使用這些應用程式來執行日常工作。

    3. 執行日常工作 (例如:列印、瀏覽、連線到共用資料夾等)。

    4. 如果可能的話,請在測試電腦上執行一般業務功能一整天。

如果您的應用程式運作沒有問題,便可核准該更新。如果有問題,您必須移除更新。若是執行 Windows XP 的電腦,您可以使用您稍早所建立的系統還原點或是手動移除更新。若是執行 Windows 2000 或 Windows Server 2003 的電腦,您必須手動移除更新。

  • 若要使用系統還原來移除更新 (僅限 Windows XP)

    1. 以 Administrator 身分登入電腦。

    2. 按一下 [開始],再按一下 [說明及支援]。

    3. 在 [選擇一項工作] 之下按一下 [使用系統還原復原您的電腦變更]。

    4. 確認已選取 [將電腦還原到較早的時間點] 後按一下 [下一步]。

    5. 在行事曆上,選取您建立 [Windows Update 之前] 還原點的日期。

    6. 在行事曆右邊的清單中,選取 [Windows Update 之前] 後按一下 [下一步]。

    7. 確認還原點選項後按一下 [下一步]。您的電腦會在執行系統還原後重新啟動。

    8. 登入電腦,在 [還原完成] 頁面中按一下 [確定]。

  • 若要手動移除更新 (Windows 2000、Windows Server 2003 或 Windows XP)

    1. 按一下 [開始],再按一下 [控制台]。

    2. 按一下 [新增或移除程式]。

    3. 捲動目前已安裝程式的清單,搜尋您先前所安裝的更新。

    4. 選取要移除的更新後按一下 [移除]。

    5. 在 [移除精靈] 對話方塊中按一下 [下一步]。

    6. 按一下 [完成] 後重新啟動您的電腦 (如果需要)。

    7. 視需要重複以上步驟以移除所有的更新。

請在移除所有更新後,驗證您的測試電腦與應用程式是否運作正常。

如果您尚未完成,請聯絡您的應用程式供應商,告訴他們您在 Windows 更新遭遇到的問題,了解這是否為已知問題以及是否有解決方案。

如果沒有任何已知解決方案,您必須明確判斷是哪個更新導致您的應用程式發生問題,然後避免安裝該更新。

  • 若要判斷哪個更新導致問題

    1. 每次安裝一個更新。

    2. 執行測試。

    3. 如果測試通過,再繼續進行下一個更新。如果失敗,則將更新解除安裝。

    4. 針對其餘的更新重複以上程序。

測試完成後,請記下通過測試的 Windows 更新。這些便是您所核准的更新。

回到頁首

相關資訊

如需有關 Software Update Services 的詳細資訊,請參閱下列連結:

如需有關 Software Update Services 2.0 的詳細資訊,請參閱《Security Guidance Kit (英文)》中的<Software Update Services 2.0 Overview>。

回到頁首