如何使用 SMS 執行補充程式管理

  • 發行項

更新日期: 2004 年 2 月 6 日

本頁內容

目標
適用範圍
如何使用本單元
摘要
開始之前
必須知道的事項
評估階段—掃描更新
評估階段—設計 SMS 架構
識別階段 —取得通知
識別階段 —處理通知
識別階段 —漏洞掃描工具
識別階段 —判斷軟體更新是否合適
評估和規劃階段 —判斷要修正的項目
評估和規劃階段 —部署緊急變更要求
評估和規劃階段 —建立發佈
部署階段 —部署準備
部署階段 — 通知軟體更新至用戶端電腦
部署階段 —監控和報告部署進度
部署階段 —處理失敗的部署

目標

透過此單元即可:

  • 使用 Microsoft® Systems Management Server (SMS) 2003,執行補充程式管理程序的四個階段。

回到頁首

適用範圍

本單元適用於下列產品及技術:

  • SMS 2003

回到頁首

如何使用本單元

本單元提供了如何使用 SMS 來執行四個補充程式管理程序階段的詳細資訊。

若要充分瞭解本單元:

回到頁首

摘要

本單元涵蓋使用 SMS 2003 執行企業補充程式管理的方法。本單元中的指南和資訊將會教您如何使用 SMS 2003 來執行 Microsoft 建議的四個補充程式管理程序階段。

回到頁首

開始之前

開始使用本單元之前:

回到頁首

必須知道的事項

使用本單元之前,應該知道下列事項:

  • Security Update Inventory Tool 和 Microsoft Office Inventory Tool for Updates 是可下載的 SMS 2003 Software Update Scanning Tools 其中一部份,並不是預設安裝的。

  • 安裝 SMS 2003 Software Update Scanning Tools 需要存取網際網路,才能下載最新的檔案:

    • Invcm.exe,包含執行檔

    • Invcif.exe,包含 XML 檔案 (其中有全部 Office Update 檔案的名稱資訊)。

  • 如果您的 SMS 2003 伺服器無法存取網際網路,請從 https://www.microsoft.com/office/ork/2003/journ/offutoolv2.htm 下載 Invcm.exe 和 Invcif.exe,或者從 Office 2003 Editions Resource Kit Toolbox 取得這兩個檔案,然後將它們複製到您的伺服器。

回到頁首

評估階段—掃描更新

必須先進行稽核後,才能開始使用 SMS 2003 的更新服務,將軟體更新部署至您的實際執行環境。如需更多資訊,請參閱<補充程式管理階段 1 — 評估>單元中的<清單/發現現有的電腦資產>小節。

識別硬體類型和版本

若要判斷應該要安裝什麼特定的軟體更新,您必須知道環境中的電腦類型。例如,如果要在伺服器上安裝補充程式,可能就需要觀察空檔期間。您可以利用 SMS 來建立集合,其中包含應該在特定空檔期間內修正的伺服器,以確保不會在正常營運時安裝軟體更新。如果您建立了一個列示伺服器以及它們的空檔期間的資料庫,您就可以建立一個程式,自動建立您所需的集合。如需有關如何進行的詳細資訊,請參閱 SMS 2003 SDK,網址在 https://www.microsoft.com/download/details.aspx?FamilyId=6150FB42-03D7-400C-92FD-A2FE3BE997D1&displaylang=en

依照預設,SMS 2003 Hardware Inventory Client Agent 收集的資訊已足以區別可攜式電腦。但是,沒有單一屬性或屬性集合,可以明確識別電腦的類型或型號。

識別作業系統、應用程式和中介軟體

您必須完全瞭解在您實際執行環境中部署的所有作業系統、Service Pack (SP) 版本、軟體應用程式和版本。您可以使用 SMS 2003 Hardware Inventory Client Agent 來收集在 Windows [新增/移除程式] 程式中註冊之所有已安裝應用程式、Service Pack 以及軟體更新的資訊。

至於未在 [新增/移除程式] 註冊的應用程式,請使用 SMS 2003 Software Inventory Client Agent 來取得安裝在用戶端電腦之每個執行檔 (.exe) 的詳細資訊。另外,還需要其他的工作來分析此清單,以判斷實際安裝的產品。一般而言,即使您個人的需求不同,還是應該每星期檢查一次實際執行環境中之所有電腦的軟體清單。

對於部份應用程式,您有可能必須延伸 SMS 2003 Software Inventory Client Agent 收集的資訊,以獲得安裝之軟體應用程式版本的詳細資訊,以便選擇最合適的軟體更新。例如,Inventorying Internet Explorer 不僅是用來透過標準清單程序,檢閱為 Iexplore.exe 收集的資訊而已。擷取 Internet Explorer 版本資訊的唯一正確方法是讓 SMS 將登錄機碼儲存至保管 Internet Explorer 資料的電腦。登錄機碼包含的資訊,可以讓 SMS 用來儲存安裝的軟體更新和 Service Pack。若要讓 SMS 儲存登錄機碼,您必須修改 SMS_def.mof,使其包括 Registry Provider (讓 SMS 可存取登錄的程式碼)。

以下是 SMS_def.mof 範例檔,顯示清單登錄的修改。

    //------------------------------------------------------
    // 識別以應用程式模式執行 TS 的伺服器
    // 終端機服務 - 自登錄取得 TSEnabled
    // 終端機服務 - 自登錄取得 TSAppCompat
    //------------------------------------------------------

    #pragma namespace ("\\\\.\\root\\cimv2")
    // 取得 TS Enabled 與 TS 應用程式模式
    [DYNPROPS]
    class TSAPPMode
    {
        [key]  
            string keyname="";
            string TSEnabled;
            string TSAppCompat;
    };
    [DYNPROPS] 
    instance of TSAPPMode
    {
            keyname="TSAPPMode";
            [PropertyContext("local|HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\
            Terminal Server|TSEnabled"),Dynamic, Provider("RegPropProv")] 
            TSEnabled;
            [PropertyContext("local|HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\
            Terminal Server|TSAppCompat"),Dynamic, Provider("RegPropProv")] 
            TSAppCompat;

    };
    #pragma namespace ("\\\\.\\root\\cimv2\\sms")
    [
            SMS_Report(TRUE), 
            SMS_Group_Name("TS Application Mode"), 
            SMS_Class_ID("MICROSOFT|TSAPPMode|1.0")
    ]
    class TSAPPMode : SMS_Class_Template
    {
            [SMS_Report(TRUE),key]  
            string keyname;
            [SMS_Report(TRUE)]
            string TSEnabled;
            [SMS_Report(TRUE)]
            string TSAppCompat;
    };

判斷角色

知道電腦的角色可以協助您判斷部署軟體更新後,必須重新啟動電腦的影響。依照預設,SMS 2003 Hardware Inventory Client Agent 收集的資訊已足以判斷電腦上執行的服務。不過,可能需要修改 SMS_def.mof 檔案,以從登錄收集其他資訊,如上所示。

瞭解連線

由於軟體更新的大小會不同,因此知道網路架構的限制將可降低分送此類更新的延遲。您可以使用 SMS Network Discovery 來提供網路拓樸以及連線至網路之裝置的資訊。如需詳細資訊,請參閱產品文件,網址在 https://www.microsoft.com/smserver/techinfo/productdoc/default.asp

識別必要的軟體更新

管理員可以使用 SMS 2003 之 Software Update Management 功能所提供的 Security Updates Inventory Tool 來延伸 SMS 硬體清單,以報告需要在一組用戶端安裝的軟體更新,如圖 1 所示。

圖 1 新增安全性更新資訊至 SMS 資料庫

SMS 2003 用戶端會將安裝的軟體更新清單與可用的軟體更新清單 (在從 Microsoft Update 網站下載的 XML 檔案中) 做比較。

Security Updates Inventory Tool 的安裝常式也會建立循環通知 (每 7 天執行一次),以從 Microsoft Update 網站下載最新的軟體更新目錄檔 (Mssecure.cab)。網站伺服器會在下載完畢後自動建立新通知,目標是所有用戶端系統集合。此通知會使用最新的軟體更新目錄檔來執行 Security Updates Inventory Tool for Updates。

**注意:**SMS 2003 Security Updates Inventory Tool 並不會報告遺漏的 Service Pack。您需要使用 SMS 硬體和軟體清單用戶端代理程式來尋找目前安裝的 Service Pack。從現在開始,讓組織安裝最新的 service Pack 和補充程式,永遠是明智之舉。此外,安全性補充程式報告完全是以目前的 Service Pack 修正為基礎;例如,若目前的 Service Pack 是 SP2,則與 SP1 相關的軟體更新將不會顯示在報告中。

識別必要的 Office 軟體更新

SMS 2003 的 Software Update Management 功能包括 Microsoft Office Inventory Tool for Updates,讓管理員可以用來延伸 SMS 硬體清單,以報告讓 Office 保持最新所需的軟體更新。如圖 2 所示,用戶端電腦會將已經安裝的項目和最新的 Office Update 資料庫檔案 (invcif.exe) 內容做比較,其程序和先前提及的 Security Updates Inventory Tool 類似。

圖 2 新增 Office 更新資訊至 SMS 資料庫

**注意:**Office Update Inventory Tool 會使用 Office Update Tool 和 Office Update 資料庫 (invcif.exe),分析用戶端的電腦,尋找適用的 Office 更新。Office Update Tool 收集的資料接下來會轉換成與 SMS 網站資料庫相容的格式。Office Update Sync Tool 會定期自動下載此工具的最新版本,然後使用 SMS 分送點,將其分送至企業中的電腦。

如需 Microsoft Office Update Tool 的詳細資訊,請參閱:https://support.microsoft.com/?kbid=312982

檢查清單/稽核

將環境中的資訊維持正確又最新的狀態對補充程式管理是很重要的。管理員需要檢查稽核是否已完成,才可以開始使用儲存在 SMS 資料庫的資訊來支援補充程式管理工作和活動。

檢查稽核是否成功的第一個步驟是確認 Microsoft Office Inventory Tool for Updates 以及 SMS 2003 的 Security Updates Inventory Tool 已順利執行。若要進行確認,SMS 管理員應該檢查通知的狀態訊息,瞭解是否發生任何失敗。未執行更新清單工具的 SMS 用戶端電腦,應該報告至問題管理。

確認已順利執行掃描工具之後,管理員應該接著檢查每個 SMS 用戶端之硬體和軟體清單的狀態。此時,他們應該建立 Web 報告,詳列無法安裝硬體和軟體清單用戶端代理程式的電腦,以及無法在特定時間內執行的電腦 (資料中心級電腦應該每天,所有其他電腦則每星期)。例如,在 SMS 2003 的 Software Update-Infrastructure Health 目錄下,應該將傳回軟體更新錯誤訊息的電腦,用在其中特定的通知報告。所有顯示在此報告的電腦,應該交付問題管理。

當掃描遺漏的更新完畢,為掃描工具的「加速」版本建立通知,將可以強制使用硬體清單。依照預設,這些工具所取得的資訊會在下次排定的硬體清單週期報告至 SMS 網站伺服器。

回到頁首

評估階段—設計 SMS 架構

有效的軟體發佈架構是有效補充程式管理程序的關鍵部份。如需更多資訊,請參閱<補充程式管理階段 1 —評估>單元的<清單/發現現有的電腦資產>小節。若要評估您的 SMS 架構是否適當維護,請參閱《Systems Management Server 2003 Operations Guide (英文)》,您可以從 https://www.microsoft.com/download/details.aspx?FamilyId=BD2B3619-4704-4C19-A00B-628E65F6F826&displaylang=en 下載。

如需關於 SMS 2003 設計注意事項的詳細資訊,請參閱《Microsoft Solutions for Management (MSM) Management Architecture Guide (英文)》,網址在 https://www.microsoft.com/business/reducecosts/efficiency/manageability/default.mspx

SMS 網站伺服器應該置於有大量用戶端的地方,或者需要管理或控制網路頻寬的地方。階層的深度必須足以 (包含很多層) 反映所屬網路架構或允許委任管理。

如果是關鍵性伺服器,降低部署軟體更新的時間很重要。若要達到此目的,需要更直接更可行的 SMS 結構,如圖 3 所示。

圖 3 設計 SMS 階層來支援補充程式管理

若要建立此結構,管理員必須在關鍵式伺服器所在處引入新的 SMS 網站伺服器,同時確定這些電腦會成為新 SMS 網站伺服器的用戶端。

  • 某些位置可能會有兩個 SMS 網站伺服器:一個支援工作站用戶端,另一個支援關鍵性電腦。當網際網路通訊協定 (IP) 子網路符合特定網站管理的 IP 子網路時,電腦才會成為 SMS 網站的用戶端。

  • 若要確定 SMS 網站伺服器支援關鍵式伺服器的快速回應時間,管理員不應在網站間傳送者設定任何頻寬限制,而是允許當日任何時間都可以進行內部通訊。

在日常業務中,督導和管理功能應該持續在階層的最上層伺服器執行。在組織需要部署軟體更新來解決資料中心伺服器的重大安全性漏洞事件中,管理員應該在負責關鍵性電腦的 SMS 網站伺服器,建立 SMS 套件和通知。因為通知不需要透過很深的 SMS 階層傳抵這些電腦,再者因為 SMS 網站之間沒有頻寬限制,所以可以將安裝軟體更新所需的時間大幅減少。

回到頁首

識別階段 —取得通知

當您評估環境之後,下一個階段會涉及問題識別,以及取得可用更新的相關資訊。如需更多資訊,請參閱<補充程式管理階段 2 —識別>單元的<發現新軟體更新>小節。

Microsoft Security Notification Service

透過電子郵件傳送的通知是補充程式通知最常見的形式。電子郵件通知的選擇之一是訂閱 Microsoft Security Notification Service,網址在 https://www.microsoft.com/technet/security/bulletin/notify.asp

回到頁首

識別階段 —處理通知

收到通知之後,您需要識別可以取得的軟體更新,以及 SMS 軟體更新服務需要什麼,才能處理通知。如需更多資訊,請參閱<補充程式管理階段 2 —識別>單元的<發現新軟體更新>小節。

SMS 軟體更新管理

當您收到新的電子郵件通知時,第一件要做的事是判斷 SMS 2003 內的軟體更新管理工具,是否能夠偵測有適用您實際執行環境中之系統的軟體更新。

  • 判斷是否有適用的軟體更新

    1. 判斷的第一個步驟是參閱知識庫文章 306460〈Microsoft Baseline Security Analyzer returns note messages for some updates (英文)〉,網址在 https://support.microsoft.com/default.aspx?scid=kb;en-us;306460,然後檢查是否可以偵測 MBSA 安裝或遺漏的軟體更新。KB 文章中將有相關說明。

    2. 如果產品是在支援的清單中,您就需要檢查軟體更新本身是否可以被 MBSA 偵測到。KB 306460 同樣有相關說明。

    3. 如果軟體更新套用至 MBSA 不支援的產品,或者 MBSA 無法偵測到它,則您將需要用 SMS 2003 Hardware Inventory Client Agent 和 SMS 2003 Software Inventory Client Agent 收集的資訊,判斷要套用軟體更新的電腦。

    4. 如果 MBSA 可以偵測到軟體更新,您就可以使用 SMS 2003 中的軟體更新管理工具,識別可以套用軟體更新的電腦。

    5. 如果軟體更新是用於 Microsoft Office 應用程式,您就應該檢查軟體更新是否在 Microsoft Office Inventory Tool for Updates 提供的更新清單中。如果軟體更新包括在此清單中,您就可以使用軟體更新管理工具,判斷可以套用軟體更新的電腦。否則,您將需要利用透過 SMS 2003 軟體和硬體清單用戶端代理程式擷取而得的資訊,作為基礎來建立報告。

圖 4 顯示剛才說明之程序的決策結構流程圖。

使用 MBSA 1.1 識別新的軟體更新的決策結構流程圖

回到頁首

識別階段 —漏洞掃描工具

您可以使用 SMS 2003 的 Software Update Management 功能元件,掃描和報告環境中,漏失和套用的軟體更新。如需背景資訊,請參閱<補充程式管理階段 2 —識別>單元的<判斷是否能信任來源與通知>小節。

Software Update Management 功能包含下列元件:

  • 軟體更新清單工具

  • Distribute Software Updates Wizard

  • Software Updates Installation Agent

  • 報表

在上面四個元件中,您可以使用軟體更新清單工具和 SMS 2003 Reports,掃描和報告安裝和遺漏的軟體更新。

軟體更新清單工具包括:

  • Security Updates Inventory Tool,可以處理 Microsoft 作業系統、Internet Explorer、SQL Server 以及 Exchange 的安全性更新。

  • Microsoft Office Inventory Tool for Updates,可以處理 Microsoft Office 的軟體更新。

這些工具都是各自獨立的。您可以使用其中一個或者都使用。

**注意:**依照預設,軟體更新清單工具不會安裝在 SMS 網站。您必須從 https://www.microsoft.com/smserver/downloads 下載。

Security Updates Inventory Tool 和 Microsoft Office Inventory Tool for Updates 所提供的清單資料,在中央位置提供關於 SMS 用戶端規範層次的詳細資訊。這項資訊包括:

  • 目前安裝的更新和 Service Pack 清單。

  • 可以取得和適用的軟體更新。

  • 公佈更新的日期和時間。

  • 安裝更新的日期和時間 (若有的話)。

另外,軟體更新清單也包括 Microsoft 知識庫文章連結,與適用的更新有關。這讓您能夠存取相關資訊,以協助您評估組織對於這些更新的需要。

每一個軟體更新清單工具都包含一個可安裝工具的安裝程式。

**注意:**如需 SMS 2003 Software Update Management 功能的詳細技術資訊,以及如何使用 SMS 2003 執行不同軟體更新的逐步指示,請參閱:《SMS 2003 Concepts and Planning Guide (英文)》的第 6 章〈Managing Software Updates〉,以及第 3 章〈Understanding SMS Features〉,可以從 https://www.microsoft.com/smserver/default.asp 取得。

執行軟體更新清單工具會在 SMS Administrator 主控台和一些 Web 報告中產生資訊。圖 5 中是以主控台為基礎的掃描範例。

圖 5 使用 SMS Administrator 主控台來識別遺漏的軟體更新以及相關的佈告 ID 號碼

Microsoft 會以目錄 (Mssecure.xml) 和網站下載的形式,發佈安全性更新的資訊。新安全性更新發佈後,會定期更新 Security Patch Bulletin Catalog 和 Microsoft Office Update Catalog。

SMS 2003 的 Software Update Management 功能會使用這些目錄當成評估用戶端的參考。軟體更新管理工具會在企業中的所有 SMS 用戶端電腦,執行詳細的已安裝和適用的更新清單。軟體更新清單工具會掃描用戶端,判斷需要什麼更新,讓用戶端保持最新,然後管理員可以使用 Distribute Software Updates Wizard ,部署需要的更新。

SMS 2003 包括數個預先定義的更新相關報告,與整個組織中遺漏的軟體更新有關。它們會將這項資訊顯示成適用的軟體更新以及安裝狀態。

舉一個例子,您可以使用 SMS 2003 中,軟體更新和適用和已安裝的電腦計數,顯示所有已安裝或適用的軟體更新清單,以及相關的資訊。此報告也會列示遺漏每一個軟體更新的電腦數目,以及已安裝軟體更新的目標電腦數目,如圖 6 所示。

圖 6 SMS 2003 中顯示軟體更新以及適用和已安裝的電腦的 Web 報告

您也可以使用以下的 SQL 查詢範例,識別過去 7 天內,在環境中報告的新軟體更新。

    select  QNumbers0 as Knowledgebase,
                ID0 as Bulletin,
                Product0 as 'Affected Product',
                Title0 as 'Vulnerability',
                MAX(DatePosted0) as 'Release Date',
                MAX(DateRevised0) as Revised,
                MIN(TimeDetected0) as 'First Detected on Clients'
    from v_gs_patchstate
    where (TimeDetected0 >= DATEADD(day,-7,getdate())
    or DatePosted0 >= DATEADD(day,-7,getdate())
    or DateRevised0 >= DATEADD(day,-7,getdate()))
    and Status0 != 'Installed'
    group by QNumbers0, ID0, Product0, Title0

回到頁首

識別階段 —判斷軟體更新是否合適

您應該檢查每一個收到的軟體更新與環境的關係。如需更多資訊,請參閱<補充程式管理階段 2 —識別>單元的<判斷軟體更新是否合適>小節。

您可以用來判斷 IT 架構之軟體更新適用性的,主要方法是:

  • 參閱安全性佈告和 KB 文章

  • 檢閱個別的軟體更新

  • 使用 SMS Administrator 主控台

  • 使用 SMS 內建報告

參閱安全性佈告和 KB 文章

若要隔離環境中可能受到漏洞影響的電腦,您應該查閱相關安全性佈告所列的受影響產品,以及存取在 SMS 的清單資料。

例如,SMS 2003 提供預設集合給以下的產品:

  • Microsoft Windows 2000 Professional

  • Windows 2000 Server

  • Windows XP

  • Windows 98

  • Windows NT® 4.0

  • Windows Server™ 2003

檢閱個別的軟體更新

通知中的每一個軟體更新都需要詳細和深入的檢閱;例如,更新可能適用於特定分析藍本或組態。您應該檢查實際執行環境中的分析藍本或組態是否符合知識庫文章中的分析藍本或組態。您可能需要建立 SMS 查詢和 Web 報告,才能取得這項資訊。

例如,如果知識庫文章說明軟體更新僅執行 SQL Server 且超過 3 GB 的電腦才需要,則您需要建立查詢或 Web 報告,判斷執行 SQL Server 的環境中是否有電腦具備此組態。不過,在顯示任何類似徵狀之前,可能需要以事前預防的方法,套用安全性更新。

使用 SMS Software Update Management 功能

您可以掃描 SMS 2003 Software Update Management 功能產生的結果和報告,檢視關於軟體更新的特定和適用的資訊。圖 7 顯示與 Exchange Server 2000 相關的重點摘述安全性補充程式。[Requested] 欄底下的值顯示要求此更新的電腦數目,而 [Compliant] 欄底下的值則顯示已經安裝並符合規範的電腦數目。圖 7 中只有一部電腦要求 Exchange Server 2000 更新。

圖 7 使用 SMS Administrator 主控台判斷軟體更新是否適合您的環境。

使用 SMS 報告

SMS 2003 的 Compliance by Software ID 報告提供已安裝安全性更新的電腦總數目—和未安裝的電腦—以及關於安全性補充程式分送的狀態。此報告,如圖 8 所示,協助識別特定安全性更新 (本狀況為 311967) 的現行規範層次,而且對於判斷環境的特定安全性更新獲得,是一個有用的工具。

圖 8 SMS 2003 的軟體 ID 報告規範

**注意:**SMS 2003 提供的一個有趣的功能是您不僅可以檢視每一個報告背後的 SQL 查詢,還也可以複製和修改查詢來自訂報告。此功能也允許您每隔 1 分鐘,甚至每隔 60 分鐘,自動重新整理報告,在緊急時或當您經常需要更新某一特定軟體更新的軟體更新分送和規範層次,其相關的狀態和報告時,特別有用。要使用此功能,只要反白特定報告以及檢視它的屬性就可以了。

回到頁首

評估和規劃階段 —判斷要修正的項目

決定要修正的項目需要對環境有正確和最新的瞭解。如需更多資訊,請參閱<補充程式管理階段 3 —評估和規劃>單元的<規畫發佈>小節。

由 Security Updates Inventory Tool 和 Microsoft Office Inventory Tool for Updates 二者取得的資訊,加上由 SMS 硬體和軟體清單用戶端代理程式擷取的資訊,可以用來判斷要安裝什麼特定的軟體更新。判斷需要修正機器的類型、角色以及網路連線,也是相當重要。

回到頁首

評估和規劃階段 —部署緊急變更要求

至於重大更新,您需要儘可能正確判斷可能處於危險的系統數目和類型。如需更多資訊,請參閱<補充程式管理階段 3 —評估和規劃>單元的<規畫發佈>小節。

若要比正常安排的清單週期還早的清單資料,SMS 管理員需要建立強制必要通知來執行 Security Updates Inventory Tool 或 Microsoft Office Inventory Tool for Updates,強制硬體和軟體清單在每一個明顯暴露漏洞下的用戶端電腦上執行。

  • 若需要修正 SMS 2003 網站伺服器,您應該考慮手動修正這些電腦,如此在軟體更新植入實際執行環境的其他電腦時,就不會重新啟動這些伺服器。

  • 至於網路連線差的網站,可能需要規劃使用 SMS Courier Sender,將軟體更新檔案置於抽取式媒體,然後儘可能快速將此媒體傳送到這些網站。

以下程序顯示需要採取的步驟,以便使用 Distribute Software Updates Wizard 來分送軟體,以及強制關鍵性伺服器安裝它。套用至工作站的軟體更新,也要執行同樣的程序。

**注意:**此程序僅會在有足夠網路頻寬的公司場所,能允許軟體更新檔案和更新的軟體分送原則供用戶端電腦使用,才會成功。

  • 使用 Distribute Software Updates Wizard 分送軟體更新並強制關鍵性伺服器安裝它

    1. 從「控制台」 的 Run Available ProgramsAdvertised Programs Manager 工具,執行 SyncXML.exe 程式。 必須在裝載同步工作的電腦上完成此工作 (最初由掃描工具安裝程式建立會成為 SMS 網站伺服器電腦)。此會確定新發佈的目錄可以在本機取得。

    2. 手動重新整理此套件的分送點,讓新的目錄往環境中的其他網站和其他分送點。確定所有分送點都完成它們的更新。 目前重新整理的發佈點,是任傳統或 SMS 2.0 用戶端需要的。若需要,Advanced Client 會自動進入等候內容狀態,因為新程式項目會有一個原則,反映需要的新套件版本。

    3. 在現有的掃描工具套件建立新程式項目,查看程式的 "加速" 表單 (命令行包括 "/s /cache /kick")。 此程式會用來確定預先生產集合成員會在下一個可用的掃描週期,檢查最新的目錄版本。

    4. 為了方便使用,請以新軟體更新的相關特定佈告 ID 或 KB 編號來命名此新程式,例如 "Expedited MS03-039"。

    5. 通知新 "加速" 掃描工具程式來參照電腦位置。 因為這是新程式,所以事先生產電腦會被強制下載包含新目錄的相關套件版本。

    6. 在現有的掃描工具套件建立第二個新程式項目,查看程式的 "非加速" 表單 (命令行包括 "/s /cache")。

    7. 為了方便使用,請以新軟體更新的相關特定佈告 ID 或 KB 編號來命名此新程式,例如 "Non-expedited MS03039"。

    8. 使用 Distribute Software Updates Wizard ,為軟體更新特別建立新套件。處理用戶端清單時,視情況使用 [重新整理] 按鈕,確定已經善用所有可用的事先生產電腦清單。以事先生產集合為基礎,授權軟體更新。(掃描生產系統的同時,您可以準備套件)。

      • 若您要早於安排的 Hardware Inventory Client Agent 排程,將清單資料傳送至網站伺服器,則選擇 Distribute Software Updates Wizard 第一個用戶端代理程式設定值頁面的 [Collect client inventory immediately (may increase system activity)] 核取方塊。

      • 檢查您是否想使用全球定位時間方式,而不是按時區,強制軟體更新全球統一。此更新設定值依軟體而異。

      • 請務必指定現有的掃描工具套件以及精靈適當頁面的程式,不要使用新程式。

      • 不要在 Distribute Software Updates Wizard 的此點進行通知。

      • 使用新套件可以確定儘快進行下載和執行階段,因為您可能管理的其他軟體更新,其重要性不若目前的活動。

    9. Distribute Software Updates Wizard 關閉之後,開啟新 Distribute Software Updates Wizard 程式的內容頁,然後在新建的非加速程式上包括程式相依性。 程式相依性會在嘗試安裝軟體更新之前,促使用戶端執行掃描工具套件版本包含新目錄。此可以確定當代理程式第一次嘗試在本機重新整理清單時,它會強制執行程式相依性,以便確定最新的目錄已複製到用戶端。Distribute Software Updates Wizard 程式通知的下載和執行組態,會自動為相依的程式進行監控,因為它沒有自己的通知。

    10. Distribute Software Updates Wizard 程式建立新通知,並設定為下載和執行。

      • 若您要讓所有活動統一進行,而不是按照時區進行,請檢查全球定位時間的使用。正常情況下,若您在軟體更新 "Authorized on" 設定值使用全球定位時間,則您應該在通知中包括它。

      • 確定通知開始時間早於第一個強制指派時間。此會允許 Advanced Client 先下載並準備服務期間抵達時啟動。(正在使用服務期間時,尤其重要)。

      • 視需要為每一個變更期間重複此動作 (限制的安裝時間)。

    11. 使用「軟體更新 —部署狀態」底下可用的報告,針對狀態和規範,監控新建立的套件的部署。 調查一般涉及兩個階段:第一個階段著重軟體分送成功 (通知成功),第二個階段著重部署狀態。

      • 依軟體更新 ID 分類的軟體更新分送狀態 此報告會提供「Install Verified」、「No Status」或「Failed」的計數以及每一種類別的進一步資訊。若「Install Verified」以外其他類別的數字太大,就需為它們個別執行此報告。

      • 指定日數內,特定電腦的軟體更新狀態訊息 此報告提供讀者實際的安裝狀態。此報告若未說明軟體更新無法安裝的原因時,您必須檢查實際的電腦詳細資訊,了解通知狀態。

    12. 跟蹤緊急狀態 (達到足夠的規範之後),在進行中的作業,使用最近的軟體更新來調整日常套件,以及排除初始的套件。要這樣做,您需要從套件來源資料來複製檔案至另一個資料夾,然後使用 Distribute Software Updates Wizard 的 [Advanced] 和 [Import] 按鈕。因通知的大小因素,此通知一般會設定成從網路執行。

    13. 刪除您為預先生產集合成員建立的加速程式項目,以及為生產集合成員建立的非加速程式。 當不再需要這些項目時,系統會自動移除通知。

回到頁首

評估和規劃階段 —建立發佈

備妥版本規劃之後,程序的下一個階段是開發命令碼、工具和程序,讓管理員用來部署軟體更新至實際執行環境。如需更多資訊,請參閱<補充程式管理階段 3 —評估和規劃>單元的<建立發佈>小節。

在此需要執行的工作和活動主要取決於使用 SMS 2003 Distribute Software Updates Wizard 是否可以部署軟體更新。

Distribute Software Updates Wizard 會節省很多工作,否則便需要使用 SMS 2003 來部署軟體,因為它可以自動建立 SMS 套件並執行必要的程式來分送和安裝軟體更新。不屬於緊急變更要求的安全更新,可以新增至安全彙總套件,它包含所有套用至特定產品和 Service Pack 組合的安全性更新。例如,套用至 Windows 2000 SP3 的所有安全性更新,可以包括在安全彙總套件中,它會一次將適當的安全性更新套用至電腦,所以只需要一台電腦就可以了。使用安全彙總套件可以大大簡化管理和監督,而且明顯降低要讓電腦合乎規範而重新啟動的次數。

至於無法使用此功能而部署的軟體更新,管理員應該在 SMS 使用標準軟體分送程序,建立套件和通知來部署軟體更新。另外也需要指定批次檔案、MSI 檔案或執行檔,在用戶端電腦執行。安裝執行檔未附帶若軟體更新,則管理員需要使用 MSI 製作工具建立一個。

以下是建立發佈的進一步注意事項:

  • 開發用於安裝軟體更新的程式,應該傳回正確的結束碼,以便透過 SMS 狀態系統傳回正確的狀態。成功安裝時,應該為 0,0 以外的數字表示安裝失敗。SMS 狀態系統會使用傳回碼,指示成功或失敗的通知。

  • 可能也需要確定程式在系統登錄插入一個自訂機碼,如此管理員可以判斷特定電腦是否顯示軟體更新。這項資訊顯示在 SMS 資料庫之前以及可以用於 Web 報告和查詢之前,必須將 SMS Hardware Inventory Client Agent 設定成從 SMS 用戶端收集此資訊。

  • 程式或批次檔不可結束,直到安裝完成為止。當與該通知相關的程式結束時,SMS 2003 假設通知執行完畢。若程式產生其他程序,而且在新程序完成軟體更新的安裝之前就已結束,程式將無法傳回適用安裝成功的結束碼。

  • 若安裝失敗,批次檔或程式應該設定成撰寫事件至「事件日誌」。若要將失敗警告給管理員知道,您需要在會產生事件警告的 Microsoft Operations Manager-Server (MOM),建立相應的規則。

    您可能也會想進一步開發指令碼,以寫入指示補充進行中的事件,當重新啟動伺服器時,可避免 MOM 主控台的假警告。

至於 Distribute Software Updates Wizard 支援的軟體更新,管理員應該使用此工具,建立新的 SMS 套件和通知,以便部署軟體更新。他們也應該新增軟體更新至先前的安全彙總套件。當軟體更新成功部署至實際執行環境中的所有用戶端,便可移除軟體更新的各個套件和通知,原因是安全彙總套件會確定軟體更新已套用至在實際執行環境引入的任何新電腦。

至於無法使用 Distribute Software Updates Wizard 部署的軟體更新,您將需要建立 SMS 套件和通知來部署軟體更新。若軟體更新未附帶安裝執行檔,管理員將需要按照上述步驟建立一個安裝執行檔。

回到頁首

部署階段 —部署準備

每一個新版本都要為其準備實際執行環境。為部署而準備軟體更新所需步驟有:

  • 溝通首展排程

  • 從測試環境匯入程式和通知

  • 指派分送點

  • 在分送點執行更新

  • 選擇部署群組

如需更多資訊,請參閱<補充程式管理階段 4 —部署>單元中的<部署準備>。

溝通首展排程

更新可以放心並成功部署之前,需要知會您的使用者,因為他們可能有需要執行的動作來協助更新安裝程序。

  • 清楚溝通首展排程

    1. 傳送明白且易於識別的電子郵件給使用者和管理員,警告他們更新並提供關於如何安裝的資訊。若更新是核心營業時數以外,桌上型電腦適用的更新,則電子郵件應訴使用者在持定日期的夜晚離開電腦。

    2. 郵件應該註明跟蹤旗標,提醒使用者和管理員,任何他們需要採取來安裝軟體更新的動作。

從測試環境匯入程式和通知

若要維護最大的穩定性和安全性,永遠將您開發的 SMS 2003 套件匯入測試環境。您的測試環境應該能代表實際執行的環境。至於目前使用 SMS 2003 標準軟體分送程序而部署的軟體更新,包括與套件相關的程式的套件定義,應該已經在測試環境中建立並經過測試。此套件應該匯入 SMS 2003 實際執行環境。

若要從測試環境匯入現有的套件,使用 Distribute Software Updates WizardIdentify the SMS Package 頁面的 [Advanced] 和 [Import] 選項,如圖 9 和 10 所示。[Advanced] 按鈕允許從其他授權清單匯入先前處理的軟體更新,例如從測試環境至實際執行環境。

圖 9 Distribute Software Updates Wizard — [Advanced] 按鈕

圖 10 Distribute Software Updates Wizard — [Import] 按鈕

使用 Distribute Software Updates Wizard 的 [Import] 按鈕,匯入已掃描病毒的軟體更新檔案,如圖 11 所示。

圖 11 此螢幕捕捉畫面示範如何匯入已掃描病毒的檔案。

指派分送點

當套件匯入 SMS 2003,您應該決定分送點,用於提供軟體更新給用戶端電腦。將軟體更新二進位碼檔案放在所有網站的分送點上,這些分送點位於目標用戶端所在的地方。至於透過 Security Updates Inventory Tool 或 Microsoft Office Inventory Tool for Updates 識別的軟體更新,在 Distribute Software Updates Wizard 會指定成一個步驟,即使當套件建立,這些分送點可以以後手動調整。

一般而言,軟體更新會部署至相同的用戶端群組,因此相同的分送點會用於每一個軟體更新。例如,伺服器和伺服器應用程式的軟體更新,會位在資料中心網站的分送點。會計應用程式的軟體更新僅會位在會計部門網站的分送點。

此可以允許您在僅包含特定用戶端範圍分送點的 SMS 2003,設定分送點群組。使用分送點群組會加速指派分送點至目前部署的軟體更新相關程序。SMS 資料庫中的清單資訊可以用來識別您需要設置新分送點的地方。

**注意:**只是新增分送點至分送點群組不會造成套件傳送至新分送點,即使使用 [更新分送點] 選項。當有群組被指派至套件的時候,才會從群組評估分送點。新分送點會逐一新增至套件,然後更新分送點。

在分送點執行更新

當指派適當的分送點,您應該確定所有個別檔案的複本會分送至這些伺服器。使用 SMS 狀態系統,監控軟體更新檔案的分送。直到分送點擁有檔案後,網站中的用戶端才可以安裝軟體更新。

傳送軟體更新二進位碼檔案至分送點的程序,涉及在 SMS 網站之間以及從 SMS 網站至本機分送點之間傳送檔案。

在 SMS 網站之間傳送更新

在大部份的組織,負責在網站之間傳送指示、軟體套件,以及通知的網站間傳送者,通常被設定成限制使用的網路頻寬總額,或者可以發生的傳輸每日次數。這些限制主要是用於確定在正常營業時間之外進行軟體分送,但是當需要立即提供重大更新時,則可能造成問題。

表格 1 顯示您可以用來協助監視網站間複製的 SMS 訊息。

表格 1:SMS Sender 訊息

訊息 ID 詳細資訊
3531 SMS Sender 目前正在傳送軟體分送套件至目標網站。
3532 SMS Sender 傳送軟體分送套件至目標網站時,發生錯誤。
3533 SMS Sender 已順利傳送軟體分送套件至目標網站。
SMS 允許您將套件優先順序定義成高、適中或低。至於未歸類為關鍵性的軟體更新,您應該僅使用適中或低優先順序。僅對重大軟體更新保留高優先順序。以下各點摘要套件優先順序如何影響軟體更新的分送。 - Distribution Manager 是一種元件,可以壓縮和處理套件。它會按照優先順序處理套件。套件優先順序是對應至 Sender/Scheduler/Replication Manager 的複製優先順序。 - 如果 Distribution Manager 已經開始壓縮適中優先順序套件,它將不會停止目前的處理來壓縮新建立的高優先順序套件。 - 套件的優先順序評估是在傳送者完成傳送目前套件之後完成的。因此,若適中優先順序套件正在傳送中,而且定義了高優先順序,則適中優先順序套件傳輸會在重新評估優先順序之前完畢。 - 通知優先順序僅會影響網站間複製優先順序;不過,通知物件相當小,除非網站之間有大量的流量擱置,否則只會有小小的差異。 - 其他與套件/通知相關的元件是 Distribution Manager、Offer Manager、Replication Manager、Scheduler、Despooler 以及 Sender。所有這些元件會監控優先順序。 您可以使以下 SQL 查詢,產生已完成傳送分送至所有網站的內容百分比報告。(開始使用此查詢之前,您應該將所有的 PackageID "BAR0001" 執行個體,變更成環境中的 PackageID)。 ``` declare @ver int select @ver=MAX(SourceVersion) from v_PackageStatusRootSummarizer where PackageID = 'BAR00001' create table #PkgProgress (RecordID int not null, Time datetime not null, SiteCode char(3) not null, PctComplete int not null, MessageID int not null, PRIMARY KEY(SiteCode,Time,RecordID)) insert into #PkgProgress(RecordID,Time,SiteCode,PctComplete,MessageID) select msg.RecordID, msg.Time, insSC.InsStrValue as SiteCode, IsNULL(insPC.InsStrValue,100) as PctComplete, msg.MessageID from v_StatusMessage msg join v_StatMsgAttributes att on msg.RecordID=att.RecordID and msg.Time=att.AttributeTime join v_StatMsgInsStrings insVER on msg.RecordID=insVER.RecordID and insVER.InsStrIndex=1 join v_StatMsgInsStrings insSC on msg.RecordID=insSC.RecordID and insSC.InsStrIndex=2 left join v_StatMsgInsStrings insPC on msg.RecordID=insPC.RecordID and insPC.InsStrIndex=3 where MessageID in (3531,3532,3533) and Component in ('SMS_ASYNC_RAS_SENDER','SMS_ISDN_RAS_SENDER','SMS_LAN_SENDER','SMS_SNA_RAS_SENDER ','SMS_X25_RAS_SENDER','SMS_WINSOCK_SENDER') and att.AttributeID=400 and att.AttributeValue= 'BAR00001' and insVER.InsStrValue=CONVERT(varchar(10),@ver) select Sites.SiteCode, prog.Time, prog.MessageID, prog.PctComplete as 'Sending % Complete', Sites.Targeted as 'DPs Targeted', 100*Sites.Installed/Sites.Targeted as '% DPs Complete' from v_PackageStatusDetailSumm Sites left join (#PkgProgress prog join (select SiteCode, MAX(Time) as MaxTime from #PkgProgress group by SiteCode) as LastProg on prog.Time=LastProg.MaxTime and prog.SiteCode=LastProg.SiteCode) on Sites.SiteCode=prog.SiteCode where Sites.PackageID = 'BAR00001' and Sites.Targeted>0 order by prog.SiteCode drop table #PkgProgress ``` ##### 緊急變更要求 在緊急變更要求的狀況中,您應該提高所有網站間限制並允許軟體更新,儘可能快速傳送至其他網站。若網站之間的網路連結很低或已經擁塞,提高網際間傳送者的限制沒有作用。在類以的狀況中,您應該考慮使用 SMS Courier Sender,傳送更新至每一個網站。 #### 傳送更新至分送點 當更新抵達 SMS 網站伺服器,它們會自動分送至網站內的任何發佈點。您應該監控表格 2 顯示之 SMS 事件的每一個分送點。 表格 2:SMS 分送事件
訊息 ID 詳細資訊
2342 此指示 SMS Distribution Manager 開始發佈套件至分送點。
2330 此指示 SMS Distribution Manager 已成功分送套件至分送點。
**注意:**用戶端開始安裝軟體更新之前,原則也必須在本機管理點提供使用。 #### 選擇部署群組 當您使用 **Distribute Software Updates Wizard** 來分送新軟體更新時,您不必精確設定目標電腦。這是因為精靈在用戶端部署了智慧代理程式,會在即將安裝新軟體更新時呼叫。此代理程式會自動判斷透過精靈通知的軟體更新,是否適用該電腦以及是否已經安裝它。它也會處理連鎖多重軟體更新以及必要的重新啟動,讓它們成為目前的。 您應該為用此方式 (以下面的因素為基礎) 而安裝的目標軟體更新,建立群組: - 要檢查電腦並安裝新軟體更新的頻率。(會建立 SMS 通知,它會在指定的間隔,檢查新的軟體更新)。 - 會需要個別的查詢來涵蓋伺服器、工作站以及可攜式電腦,因為每一固都有不同的排程而且可能執行不同的程式來安裝軟體更新。 - 會需要個別的查詢來涵蓋不同部門或地理位置的電腦,因為有不同的時區存在。如果您想讓更新在所有時區的相同時間被強制使用,請核取 Distributed Software Update 的 \[Coordinated Universal Time\] 核取方塊。 若您未使用 Distribute Software Updates Wizard,但是軟體更新目前正透過自訂套件和集合來分送,您可能需要建立一或多個 SMS 查詢。例如: - 使用單一查詢和以該查詢為基礎的單一集合,修改首展每一個階段的查詢。一開始,會修改查詢來降低首展第一個階段的目標用戶端範圍,例如單一網站或工作群組。當首展擴充至更多用戶端,會擴充查詢,因此它的範圍包括首展下一個階段的用戶端。 - 對查詢所做的變更應予以追蹤而且保留先前的版本,因為這樣可讓管理員控制回復軟體更新。 [](#mainsection)[回到頁首](#mainsection) ### 部署階段 — 通知軟體更新至用戶端電腦 部署軟體更新至實際執行環境的第一個步驟,是通知軟體更新至用戶端電腦。可以分階段測試,或者所有用戶端可以接收相同部署期間的更新。如需更多資訊,請參閱<[補充程式管理階段 4 —部署](https://www.microsoft.com/technet/security/guidance/secmod197.mspx)>單元中的<將軟體更新部署到至目標電腦>。 當您使用 **Distribute Software Updates Wizard**,會自動建立重複的通知,它會在目標集合的電腦上,執行軟體更新安裝代理程式。重複間隔可以從預設值 (7 天),視需要為集合變動。例如,包括伺服器的集合可以每日執行一次,或者甚者次數更多。 其他要考慮的事項包括: - 若您有一個控制群組,先部署至這些電腦。 - 若不同類型的電腦需要不同的排程,可以使用相同套件和程式,為多個集合建立多個通知。 - 若執行軟體更新安裝程式的重複間隔設定成每日,而且重大軟體更新的首展應更快地執行,則應建立新的一次性強制指派,以便儘快執行通知。 - 若首展目前正在擴散,當第一個階段的首展完畢,您應該修改查詢,在下一個階段包括用戶端,例如要部署的下一個網站。集合是手動更新或在定義的排程更新,之後,軟體更新安裝程式會自動通知給新的用戶端。 - 用於目標集合的SMS 查詢是以清單資訊為基礎,這些資訊指示哪些電腦未安裝軟體更新。當電腦安裝軟體更新而且後續重新重新記錄,這些電腦會在集合更新時,排出集合之中,因為它們將不再符合查詢定義了。沒有軟體更新的新電腦新增至網路並由 SMS 重新記錄之後,當集合下次更新時,會自動通知軟體更新安裝程式給它。 如果您未使用 **Distribute Software Updates Wizard** 來部署軟體更新,您需要考慮以下各項: - 當通知設定成安裝軟體更新,它的排程會設定成定期重複。如此是為了讓失敗的安裝自動重試。若通知未重複,您必須手動重複,請為失敗的用戶端建立集合,以及為該集合建立新通知。請重複這些步驟,直到修正全部用戶端為止。 - 類似通知的重複間隔,需要仔細選擇,因為成功安裝了版本的用戶端,會保留在目標集合中,直到已經收集新清單為止—安裝程式本身可以觸發它—或者直到已經在 SMS 資料庫更新清單,而且重新評估集合為止。因此,程式可以會在已成功執行過的用戶端上重複執行。基於此原因,要執行的的程式會先檢查,瞭解否已經安裝軟體更新。若已安裝,則程式會立即結束。 至於非重大的軟體更新,SMS 2003 允許管理員提供選項讓使用者決定何時安裝更新,在特定的期限後,自動更新安裝。您可以使用 **Distribute Software Updates Wizard** 並選取 \[Allow users to postpone for\] 核取方塊,就可以做到,如圖 12 所示。 ![](images/Dd548210.SGFG19912(zh-tw,TechNet.10).jpg) 圖 12 *此螢幕捕捉畫面示範如何選擇* ***\[Allow users to postpone for\]*** *核取方塊。* 使用者和服務擁有者應該被通知已經可以安裝軟體更新,以及在特定時間之後,會強制安裝。依此方式,遠端可攜式電腦的使用或電腦透過慢速連結的使用者,可以選擇方便的時候,安裝軟體更新。到了指派日期時,便會自動安裝軟體更新。 至於透過 **Distribute Software Updates Wizard** 取得的軟體更新,會通知使用者關於目前透過圖 13 顯示的汽球文字而取得的更新。 ![](images/Dd548210.SGFG19913(zh-tw,TechNet.10).jpg) 圖 13 *關於可用更新的使用者通知。* 您應該建立查詢,傳回最近登入伺服器的使用者名稱,以及目標伺服器遺漏的授權更新清單,如此您可以輕輕鬆鬆通知電腦擁有者,他們的規範層次和未來的期限。 #### 緊急變更要求 當變更要求指示資源更新是緊急狀況,您需要考慮以下各項: - 部署應該以通知參考電腦集合為開始。參考電腦集合包含實際執行環境中的所有代表電腦,因此是任何階段式或結構式部署的重要步驟。此方法可以讓您有信心,在實際執行環境的其餘部份開始部署。 - 您應該儘快地在用戶端安裝軟體更新,無論它們在 SMS 網站或分送點的連線和連結速度。執行進階用戶端的電腦使用者,會每隔 3 小時提醒期限。 - 建立通知時,您應該確定未選擇 \[Assignments are not mandatory over slow links\] 核取方塊,如圖 14 所示。 ![](images/Dd548210.SGFG19914(zh-tw,TechNet.10).jpg) 圖 14 *\[Assignments are not mandatory over slow links\] 核取方塊。* - 要求可攜式電腦的使用者到辦公室安裝重大軟體更新,可能比較好,特別是軟體更新很大或者使用者透過標準電話連結或慢速連結的時候。至於無法來到辦公室的使用者,可能需要建立通知並設成下載軟體更新至本機硬碟,然後從該處執行,如圖 15 所示。 ![](images/Dd548210.SGFG19915(zh-tw,TechNet.10).jpg) 圖 15 *如何建立通知並設定成下載軟體更新至本機硬碟,然後從該處執行。* - 除了上述之外,考慮使用保護的分送點來繫結遠端或可攜式電腦至分送點。毫無疑問地,保護的分送點應該是最接近遠端或可攜式電腦使用者的分送點。使用保護的分送點可以確定遠端使用者,永遠會在軟體更新使用該分送點。不過,如果保護的分送點不可使用時,則遠端使用者會自動返回最靠近且未保護的分送點。 [](#mainsection)[回到頁首](#mainsection) ### 部署階段 —監控和報告部署進度 因為電腦無法安裝更新的原因很廣泛,所以能夠監控部署的進度是重要的。如需更多資訊,請參閱<[補充程式管理階段 4 —部署](https://www.microsoft.com/technet/security/guidance/secmod197.mspx)>單元中的<將軟體更新部署到至目標電腦>。 通知套件給用戶端集合,完成套件的部署之後,您應該判斷用戶端是否成功執行通知。目前有一些工具可以用來檢查從 SMS 用戶端傳回的狀態訊息。 SMS 支援工具包括一個稱為 Advertisement Status Viewer 的工具,它以狀態訊息為基礎,提供通知的部署狀態。不過,當您檢查通知的部署狀態,知道以下各項,通常很有幫助: - 哪些用戶端是在集合中,但未收到通知。 - 哪些用戶端收到通知,但尚未執行。 - 哪些用戶端執行程式失敗。 狀態訊息僅能告訴您重複通知是否執行。Patch Install 程式則實際負責安裝任何新的、核准的軟體更新。若要檢查程式是否在用戶端上執行成功,您可以分析狀態訊息,判斷此程式上次在每一個用戶端成功執行的時間。若自它執行的時間比任何用戶端的重複期間更長,您應該調查。 狀態訊息也會為一般使用者記錄自發性與強制性修正的程度,以及這些使用者如何管理重新啟動和安排的安裝。以此資料為基礎,可以調整強制和預設值,讓電腦更符合規範,更有效率。表格 3 顯示的訊息,可以用來檢閱類似的資訊。 表格 3:通知狀態訊息
訊息 ID 說明
11250 遺漏安排的安裝期間 (提早啟動):等候重試。
11251 遺漏安排的安裝期間 (延遲啟動):等候重試。
11256 遺漏安排的安裝期間 (限制過期):等候重試。
11269 需要重新啟動系統,才能繼續安裝。
11257 需要重新啟動系統,才能安裝使用者重新安排的更新。
11258 需要重新啟動系統,才能安裝使用者延後的更新。
11259 需要重新啟動系統,才能安裝自動延後的更新。
11252 使用者已重新安排安裝。
11253 使用者已延後安裝。
11254 安裝已自動延後。
11270 需要重新啟動電腦。
11266 安裝完成而且工作站角色停止重新啟動。
11267 安裝完成而且工作站角色停止重新啟動。
11268 安裝完成而且不需要重新啟動。
11261 安裝完成而且使用者已重新安排重新啟動。
11262 安裝完成而且使用者已延後重新啟動。
11263 安裝完成而且自動延後重新啟動。
11264 已啟動必要的重新啟動。
11265 已啟動必要的強制重新啟動。
至於透過 Security Updates Inventory Tool 或 the Microsoft Office Inventory Tool for Updates 識別的更新,您可以使用內建的報告,檢查軟體更新的成功部署。**Compliance by Software ID** 報告可以用來提供已安裝或遺漏更新的系統總數目摘要,以及與軟體更新分送相關的狀態。此報告可以協助您識別特定軟體更新的目前規範層次。不過,它依靠更新的清單,所以不會和在狀態訊息一樣,看起來一樣是最新的。 #### 分析結果 部署進度,為什麼特定電腦無法安裝軟體更新的原因很多,包括以下各項: - 電腦因各種原因而離線—例如,使用者未上班、使用者必須撥號、使用者是行動使用者,或者電腦進行維護中。 - 目前重新建立或重新建立影像的電腦。 - 擁有 SMS 用戶端的電腦自上次基準/掃描之後,便未與 SMS 網站伺服器溝通。 - 由於使用者或維護所需,電腦已經停止其代理程式服務。 - 電腦因各種原因,拒絕存取它們。 - 電腦的 MSXML 3 最多僅到 SP1 (SMS 2003 需要 MSXML 3.0 SP4)。 - 電腦的磁碟空間不足。 若其中一項原因造成部份用戶端電腦未在指定的 SLA 內修正,您將需要判斷要採取什麼補救步驟,讓它們合乎規範。 雖然您可能無法修正所有機器,不過您應該確定已完全瞭解為這什麼這些機會無法或不應該修正的原因。 以下指南會協助您解決軟體更新的失敗,以便安裝和讓更多電腦合乎規範: - 永遠在第一個部署階段之後重新掃描環境,找出在第一個階段遺漏的電腦。 - 經常監控和報告部署進度。 - 重新掃描和監控會造成後續的重新部署階段,以報告異常的電腦為目標。 - 永遠試著判斷部署失敗的根本原因。 - 只要 SMS 代理程式服務狀況良好,離線或目前重建的電腦,就應該獲得通知。 - 請參考此小節的指南,增加部署的成功率。 [](#mainsection)[回到頁首](#mainsection) ### 部署階段 —處理失敗的部署 如果您認為部署作業失敗而且需要停止和回復,則您應該停止首展、解除安裝失敗的更新,然後重新部署它們。如需更多資訊,請參閱<[補充程式管理階段 4 —部署](https://www.microsoft.com/technet/security/guidance/secmod197.mspx)>單元中的<將軟體更新部署到至目標電腦>。 - **若要處理異常:** 1. 停止部署現用的套件。 2. 識別和解決問題。 3. 重新通知套件。 4. 解除安裝軟體更新。 #### 停止部署現用的套件 - **若要停止部署現用的套件:** 1. 從 SMS Administrator 主控台的套件節點,選擇要暫時停止的程式。 2. 在 \[Program Properties Advanced\] 索引標籤,選擇 \[Disable this program on computers where it is advertised\] 核取方塊。這樣做會停止或暫停程式的相關通知,即使它們已被強制指派或設定成在特定時間或排程開始。 3. 開啟 **Distribute Software Updates Wizard** ,然後移除您嘗試停用之軟體更新的核取記號, 然後儲存變更。若此套件中其他軟體更新正常執行時,如此可允許您保持啟用通知。 #### 識別和解決問題 表格 4 列示報告檢視工具中 Software Update Infrastructure Health 目錄的標準報告。您可以使用這些報告,快速識別任何發生在嘗試安裝軟體更新的任何問題,以及從網際網路下載軟體更新目錄時發生的問題。及早發現並解決問題,以及對於一般軟體更新傳回碼和狀態訊息有正確的認識,是重要的。 一般問題包括: - 磁碟空間不足:用戶端電腦至少要有 10 MB 可用的磁碟空間。 - 過期的 XML 剖析器版本:若在 System File Protection (SFP) 組態偵測,則至少需要 MSXML 3.0 SP2。若 XML 剖析器檔案沒有SFP,則 XML 3.0 SP4 是必要的版本而且會自動升級。(SFP 組態將不會更新)。 - 安裝通知會在必要的掃描工具通知之前執行。這會造成安裝代理程式失敗,因為軟體更新目錄無法使用。 表格 4:軟體更新報告
報告名稱 報告目錄
依產品規範 軟體更新 —規範
依軟體 ID 規範 軟體更新 —規範
可以套用特定軟體更新的電腦 軟體更新 —規範
特定電腦的軟體更新 軟體更新 —規範
未授權的軟體更新 軟體更新 —規範
軟體更新和適用和已安裝的電腦計數 軟體更新 —規範
所有電腦和特定軟體更新分送狀態 軟體更新 —分送狀態
軟體更新的分送狀態摘要 軟體更新 —分送狀態
依軟體更新 ID 分類的軟體更新分送狀態 軟體更新 —分送狀態
無法部署的軟體更新摘要 軟體更新 —分送狀態
因特定通知而傳回軟體更新錯誤訊息的電腦 軟體更新 —架構狀態
軟體更新狀態 軟體更新 —架構狀態
指定日數內,特定電腦的軟體更新狀態訊息 軟體更新 —架構狀態
#### 重新通知套件 請依以下指南,輕鬆地重新通知套件: - 您可以新增其他排程至現有的通知,重新傳送相同的套件。此程序會強制用戶端重新安裝套件,即使已經收到套件而且以前已經執行。 - 您可以新增其他排程至通知,保持重新執行相同的通知。當您在實驗電腦測試而且需要快速重新傳送套件,這是有效的解決方案。此程序可以協助您部署軟體更新至實際執行環境之前,充分測試軟體更新。此方法也可用來確保進入環境的新電腦已安裝補充程式。 - 您可以在通知按滑鼠右鍵,然後選擇 \[All Tasks-rerun advertisement\],就可以輕輕鬆鬆重新傳送通知。 #### 解除安裝軟體更新 Microsoft 發佈的軟體更新,有些提供了解除安裝方法,有些則否。您將必須查閱安全性佈告的技術詳細資訊,判斷哪些軟體更新可以解除安裝。這項活動應該在補充程式管理程序的「識別」階段中完成。 若要使用 SMS 解除安裝軟體更新,您應該知道解除安裝指令。Microsoft 更新一般會在登錄中有一個參照,包括當可以解除安裝時的解除安裝指令。 - **解除安裝軟體更新** 1. 建立 SMS 套件和指令碼,使用新的通知,從登錄取得相關資訊。 2. 從上述登錄收到的資訊為基礎,建立相關集合規則。一般,您可以使用軟體更新清單資料當成集合規則,除非軟體更新未提供掃描工具偵測。若沒有,您可能需要自訂指令碼或變更 SMS\_def.mof,取得需要的目標詳細資訊。 3. 建立包含指令碼的 SMS 套件,讓它執行解除安裝指令。請留意執行無訊息式解除安裝時需要的任何命令行選項。 4. 使用 SMS 通知程序,按照您部署版本的相同方法,分送此套件。 **注意:**請考慮使用不會影響一般使用的模擬軟體更新 (毋須重新啟動),讓您的 IT 人員練習部署以及評估結果。 [](#mainsection)[回到頁首](#mainsection)