如何使用 SMS 執行補充程式管理
更新日期: 2004 年 2 月 6 日
本頁內容
目標
適用範圍
如何使用本單元
摘要
開始之前
必須知道的事項
評估階段—掃描更新
評估階段—設計 SMS 架構
識別階段 —取得通知
識別階段 —處理通知
識別階段 —漏洞掃描工具
識別階段 —判斷軟體更新是否合適
評估和規劃階段 —判斷要修正的項目
評估和規劃階段 —部署緊急變更要求
評估和規劃階段 —建立發佈
部署階段 —部署準備
部署階段 — 通知軟體更新至用戶端電腦
部署階段 —監控和報告部署進度
部署階段 —處理失敗的部署
目標
透過此單元即可:
- 使用 Microsoft® Systems Management Server (SMS) 2003,執行補充程式管理程序的四個階段。
適用範圍
本單元適用於下列產品及技術:
- SMS 2003
如何使用本單元
本單元提供了如何使用 SMS 來執行四個補充程式管理程序階段的詳細資訊。
若要充分瞭解本單元:
請參閱<補充程式管理程序>單元。您將能從中瞭解補充程式管理程序中之四個階段的概觀,以及支援 Windows® 作業系統環境中之補充程式管理的工具。
請參閱下列的四個單元,分別詳述四個補充程式管理程序階段:
參閱<補充程式管理階段 1 —評估>單元。
參閱<補充程式管理階段 2 —識別>單元。
參閱<補充程式管理階段 3 —評估和規劃>單元。
參閱<補充程式管理階段 4 —部署>單元。
請參閱《SMS 2003 Concepts, Planning and Deployment Guide (英文)》,網址在 https://www.microsoft.com/smserver/techinfo/productdoc/default.asp。
摘要
本單元涵蓋使用 SMS 2003 執行企業補充程式管理的方法。本單元中的指南和資訊將會教您如何使用 SMS 2003 來執行 Microsoft 建議的四個補充程式管理程序階段。
開始之前
開始使用本單元之前:
- 請從 https://www.microsoft.com/smserver/downloads/2003/default.asp下載 SMS 2003 Software Update Scanning Tools。
必須知道的事項
使用本單元之前,應該知道下列事項:
Security Update Inventory Tool 和 Microsoft Office Inventory Tool for Updates 是可下載的 SMS 2003 Software Update Scanning Tools 其中一部份,並不是預設安裝的。
安裝 SMS 2003 Software Update Scanning Tools 需要存取網際網路,才能下載最新的檔案:
Invcm.exe,包含執行檔
Invcif.exe,包含 XML 檔案 (其中有全部 Office Update 檔案的名稱資訊)。
如果您的 SMS 2003 伺服器無法存取網際網路,請從 https://www.microsoft.com/office/ork/2003/journ/offutoolv2.htm 下載 Invcm.exe 和 Invcif.exe,或者從 Office 2003 Editions Resource Kit Toolbox 取得這兩個檔案,然後將它們複製到您的伺服器。
評估階段—掃描更新
必須先進行稽核後,才能開始使用 SMS 2003 的更新服務,將軟體更新部署至您的實際執行環境。如需更多資訊,請參閱<補充程式管理階段 1 — 評估>單元中的<清單/發現現有的電腦資產>小節。
識別硬體類型和版本
若要判斷應該要安裝什麼特定的軟體更新,您必須知道環境中的電腦類型。例如,如果要在伺服器上安裝補充程式,可能就需要觀察空檔期間。您可以利用 SMS 來建立集合,其中包含應該在特定空檔期間內修正的伺服器,以確保不會在正常營運時安裝軟體更新。如果您建立了一個列示伺服器以及它們的空檔期間的資料庫,您就可以建立一個程式,自動建立您所需的集合。如需有關如何進行的詳細資訊,請參閱 SMS 2003 SDK,網址在 https://www.microsoft.com/download/details.aspx?FamilyId=6150FB42-03D7-400C-92FD-A2FE3BE997D1&displaylang=en。
依照預設,SMS 2003 Hardware Inventory Client Agent 收集的資訊已足以區別可攜式電腦。但是,沒有單一屬性或屬性集合,可以明確識別電腦的類型或型號。
識別作業系統、應用程式和中介軟體
您必須完全瞭解在您實際執行環境中部署的所有作業系統、Service Pack (SP) 版本、軟體應用程式和版本。您可以使用 SMS 2003 Hardware Inventory Client Agent 來收集在 Windows [新增/移除程式] 程式中註冊之所有已安裝應用程式、Service Pack 以及軟體更新的資訊。
至於未在 [新增/移除程式] 註冊的應用程式,請使用 SMS 2003 Software Inventory Client Agent 來取得安裝在用戶端電腦之每個執行檔 (.exe) 的詳細資訊。另外,還需要其他的工作來分析此清單,以判斷實際安裝的產品。一般而言,即使您個人的需求不同,還是應該每星期檢查一次實際執行環境中之所有電腦的軟體清單。
對於部份應用程式,您有可能必須延伸 SMS 2003 Software Inventory Client Agent 收集的資訊,以獲得安裝之軟體應用程式版本的詳細資訊,以便選擇最合適的軟體更新。例如,Inventorying Internet Explorer 不僅是用來透過標準清單程序,檢閱為 Iexplore.exe 收集的資訊而已。擷取 Internet Explorer 版本資訊的唯一正確方法是讓 SMS 將登錄機碼儲存至保管 Internet Explorer 資料的電腦。登錄機碼包含的資訊,可以讓 SMS 用來儲存安裝的軟體更新和 Service Pack。若要讓 SMS 儲存登錄機碼,您必須修改 SMS_def.mof,使其包括 Registry Provider (讓 SMS 可存取登錄的程式碼)。
以下是 SMS_def.mof 範例檔,顯示清單登錄的修改。
//------------------------------------------------------
// 識別以應用程式模式執行 TS 的伺服器
// 終端機服務 - 自登錄取得 TSEnabled
// 終端機服務 - 自登錄取得 TSAppCompat
//------------------------------------------------------
#pragma namespace ("\\\\.\\root\\cimv2")
// 取得 TS Enabled 與 TS 應用程式模式
[DYNPROPS]
class TSAPPMode
{
[key]
string keyname="";
string TSEnabled;
string TSAppCompat;
};
[DYNPROPS]
instance of TSAPPMode
{
keyname="TSAPPMode";
[PropertyContext("local|HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\
Terminal Server|TSEnabled"),Dynamic, Provider("RegPropProv")]
TSEnabled;
[PropertyContext("local|HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\
Terminal Server|TSAppCompat"),Dynamic, Provider("RegPropProv")]
TSAppCompat;
};
#pragma namespace ("\\\\.\\root\\cimv2\\sms")
[
SMS_Report(TRUE),
SMS_Group_Name("TS Application Mode"),
SMS_Class_ID("MICROSOFT|TSAPPMode|1.0")
]
class TSAPPMode : SMS_Class_Template
{
[SMS_Report(TRUE),key]
string keyname;
[SMS_Report(TRUE)]
string TSEnabled;
[SMS_Report(TRUE)]
string TSAppCompat;
};
判斷角色
知道電腦的角色可以協助您判斷部署軟體更新後,必須重新啟動電腦的影響。依照預設,SMS 2003 Hardware Inventory Client Agent 收集的資訊已足以判斷電腦上執行的服務。不過,可能需要修改 SMS_def.mof 檔案,以從登錄收集其他資訊,如上所示。
瞭解連線
由於軟體更新的大小會不同,因此知道網路架構的限制將可降低分送此類更新的延遲。您可以使用 SMS Network Discovery 來提供網路拓樸以及連線至網路之裝置的資訊。如需詳細資訊,請參閱產品文件,網址在 https://www.microsoft.com/smserver/techinfo/productdoc/default.asp。
識別必要的軟體更新
管理員可以使用 SMS 2003 之 Software Update Management 功能所提供的 Security Updates Inventory Tool 來延伸 SMS 硬體清單,以報告需要在一組用戶端安裝的軟體更新,如圖 1 所示。
圖 1 新增安全性更新資訊至 SMS 資料庫
SMS 2003 用戶端會將安裝的軟體更新清單與可用的軟體更新清單 (在從 Microsoft Update 網站下載的 XML 檔案中) 做比較。
Security Updates Inventory Tool 的安裝常式也會建立循環通知 (每 7 天執行一次),以從 Microsoft Update 網站下載最新的軟體更新目錄檔 (Mssecure.cab)。網站伺服器會在下載完畢後自動建立新通知,目標是所有用戶端系統集合。此通知會使用最新的軟體更新目錄檔來執行 Security Updates Inventory Tool for Updates。
**注意:**SMS 2003 Security Updates Inventory Tool 並不會報告遺漏的 Service Pack。您需要使用 SMS 硬體和軟體清單用戶端代理程式來尋找目前安裝的 Service Pack。從現在開始,讓組織安裝最新的 service Pack 和補充程式,永遠是明智之舉。此外,安全性補充程式報告完全是以目前的 Service Pack 修正為基礎;例如,若目前的 Service Pack 是 SP2,則與 SP1 相關的軟體更新將不會顯示在報告中。
識別必要的 Office 軟體更新
SMS 2003 的 Software Update Management 功能包括 Microsoft Office Inventory Tool for Updates,讓管理員可以用來延伸 SMS 硬體清單,以報告讓 Office 保持最新所需的軟體更新。如圖 2 所示,用戶端電腦會將已經安裝的項目和最新的 Office Update 資料庫檔案 (invcif.exe) 內容做比較,其程序和先前提及的 Security Updates Inventory Tool 類似。
圖 2 新增 Office 更新資訊至 SMS 資料庫
**注意:**Office Update Inventory Tool 會使用 Office Update Tool 和 Office Update 資料庫 (invcif.exe),分析用戶端的電腦,尋找適用的 Office 更新。Office Update Tool 收集的資料接下來會轉換成與 SMS 網站資料庫相容的格式。Office Update Sync Tool 會定期自動下載此工具的最新版本,然後使用 SMS 分送點,將其分送至企業中的電腦。
如需 Microsoft Office Update Tool 的詳細資訊,請參閱:https://support.microsoft.com/?kbid=312982。
檢查清單/稽核
將環境中的資訊維持正確又最新的狀態對補充程式管理是很重要的。管理員需要檢查稽核是否已完成,才可以開始使用儲存在 SMS 資料庫的資訊來支援補充程式管理工作和活動。
檢查稽核是否成功的第一個步驟是確認 Microsoft Office Inventory Tool for Updates 以及 SMS 2003 的 Security Updates Inventory Tool 已順利執行。若要進行確認,SMS 管理員應該檢查通知的狀態訊息,瞭解是否發生任何失敗。未執行更新清單工具的 SMS 用戶端電腦,應該報告至問題管理。
確認已順利執行掃描工具之後,管理員應該接著檢查每個 SMS 用戶端之硬體和軟體清單的狀態。此時,他們應該建立 Web 報告,詳列無法安裝硬體和軟體清單用戶端代理程式的電腦,以及無法在特定時間內執行的電腦 (資料中心級電腦應該每天,所有其他電腦則每星期)。例如,在 SMS 2003 的 Software Update-Infrastructure Health 目錄下,應該將傳回軟體更新錯誤訊息的電腦,用在其中特定的通知報告。所有顯示在此報告的電腦,應該交付問題管理。
當掃描遺漏的更新完畢,為掃描工具的「加速」版本建立通知,將可以強制使用硬體清單。依照預設,這些工具所取得的資訊會在下次排定的硬體清單週期報告至 SMS 網站伺服器。
評估階段—設計 SMS 架構
有效的軟體發佈架構是有效補充程式管理程序的關鍵部份。如需更多資訊,請參閱<補充程式管理階段 1 —評估>單元的<清單/發現現有的電腦資產>小節。若要評估您的 SMS 架構是否適當維護,請參閱《Systems Management Server 2003 Operations Guide (英文)》,您可以從 https://www.microsoft.com/download/details.aspx?FamilyId=BD2B3619-4704-4C19-A00B-628E65F6F826&displaylang=en 下載。
如需關於 SMS 2003 設計注意事項的詳細資訊,請參閱《Microsoft Solutions for Management (MSM) Management Architecture Guide (英文)》,網址在 https://www.microsoft.com/business/reducecosts/efficiency/manageability/default.mspx。
SMS 網站伺服器應該置於有大量用戶端的地方,或者需要管理或控制網路頻寬的地方。階層的深度必須足以 (包含很多層) 反映所屬網路架構或允許委任管理。
如果是關鍵性伺服器,降低部署軟體更新的時間很重要。若要達到此目的,需要更直接更可行的 SMS 結構,如圖 3 所示。
圖 3 設計 SMS 階層來支援補充程式管理
若要建立此結構,管理員必須在關鍵式伺服器所在處引入新的 SMS 網站伺服器,同時確定這些電腦會成為新 SMS 網站伺服器的用戶端。
某些位置可能會有兩個 SMS 網站伺服器:一個支援工作站用戶端,另一個支援關鍵性電腦。當網際網路通訊協定 (IP) 子網路符合特定網站管理的 IP 子網路時,電腦才會成為 SMS 網站的用戶端。
若要確定 SMS 網站伺服器支援關鍵式伺服器的快速回應時間,管理員不應在網站間傳送者設定任何頻寬限制,而是允許當日任何時間都可以進行內部通訊。
在日常業務中,督導和管理功能應該持續在階層的最上層伺服器執行。在組織需要部署軟體更新來解決資料中心伺服器的重大安全性漏洞事件中,管理員應該在負責關鍵性電腦的 SMS 網站伺服器,建立 SMS 套件和通知。因為通知不需要透過很深的 SMS 階層傳抵這些電腦,再者因為 SMS 網站之間沒有頻寬限制,所以可以將安裝軟體更新所需的時間大幅減少。
識別階段 —取得通知
當您評估環境之後,下一個階段會涉及問題識別,以及取得可用更新的相關資訊。如需更多資訊,請參閱<補充程式管理階段 2 —識別>單元的<發現新軟體更新>小節。
Microsoft Security Notification Service
透過電子郵件傳送的通知是補充程式通知最常見的形式。電子郵件通知的選擇之一是訂閱 Microsoft Security Notification Service,網址在 https://www.microsoft.com/technet/security/bulletin/notify.asp。
識別階段 —處理通知
收到通知之後,您需要識別可以取得的軟體更新,以及 SMS 軟體更新服務需要什麼,才能處理通知。如需更多資訊,請參閱<補充程式管理階段 2 —識別>單元的<發現新軟體更新>小節。
SMS 軟體更新管理
當您收到新的電子郵件通知時,第一件要做的事是判斷 SMS 2003 內的軟體更新管理工具,是否能夠偵測有適用您實際執行環境中之系統的軟體更新。
判斷是否有適用的軟體更新
判斷的第一個步驟是參閱知識庫文章 306460〈Microsoft Baseline Security Analyzer returns note messages for some updates (英文)〉,網址在 https://support.microsoft.com/default.aspx?scid=kb;en-us;306460,然後檢查是否可以偵測 MBSA 安裝或遺漏的軟體更新。KB 文章中將有相關說明。
如果產品是在支援的清單中,您就需要檢查軟體更新本身是否可以被 MBSA 偵測到。KB 306460 同樣有相關說明。
如果軟體更新套用至 MBSA 不支援的產品,或者 MBSA 無法偵測到它,則您將需要用 SMS 2003 Hardware Inventory Client Agent 和 SMS 2003 Software Inventory Client Agent 收集的資訊,判斷要套用軟體更新的電腦。
如果 MBSA 可以偵測到軟體更新,您就可以使用 SMS 2003 中的軟體更新管理工具,識別可以套用軟體更新的電腦。
如果軟體更新是用於 Microsoft Office 應用程式,您就應該檢查軟體更新是否在 Microsoft Office Inventory Tool for Updates 提供的更新清單中。如果軟體更新包括在此清單中,您就可以使用軟體更新管理工具,判斷可以套用軟體更新的電腦。否則,您將需要利用透過 SMS 2003 軟體和硬體清單用戶端代理程式擷取而得的資訊,作為基礎來建立報告。
圖 4 顯示剛才說明之程序的決策結構流程圖。
使用 MBSA 1.1 識別新的軟體更新的決策結構流程圖
識別階段 —漏洞掃描工具
您可以使用 SMS 2003 的 Software Update Management 功能元件,掃描和報告環境中,漏失和套用的軟體更新。如需背景資訊,請參閱<補充程式管理階段 2 —識別>單元的<判斷是否能信任來源與通知>小節。
Software Update Management 功能包含下列元件:
軟體更新清單工具
Distribute Software Updates Wizard
Software Updates Installation Agent
報表
在上面四個元件中,您可以使用軟體更新清單工具和 SMS 2003 Reports,掃描和報告安裝和遺漏的軟體更新。
軟體更新清單工具包括:
Security Updates Inventory Tool,可以處理 Microsoft 作業系統、Internet Explorer、SQL Server 以及 Exchange 的安全性更新。
Microsoft Office Inventory Tool for Updates,可以處理 Microsoft Office 的軟體更新。
這些工具都是各自獨立的。您可以使用其中一個或者都使用。
**注意:**依照預設,軟體更新清單工具不會安裝在 SMS 網站。您必須從 https://www.microsoft.com/smserver/downloads 下載。
Security Updates Inventory Tool 和 Microsoft Office Inventory Tool for Updates 所提供的清單資料,在中央位置提供關於 SMS 用戶端規範層次的詳細資訊。這項資訊包括:
目前安裝的更新和 Service Pack 清單。
可以取得和適用的軟體更新。
公佈更新的日期和時間。
安裝更新的日期和時間 (若有的話)。
另外,軟體更新清單也包括 Microsoft 知識庫文章連結,與適用的更新有關。這讓您能夠存取相關資訊,以協助您評估組織對於這些更新的需要。
每一個軟體更新清單工具都包含一個可安裝工具的安裝程式。
**注意:**如需 SMS 2003 Software Update Management 功能的詳細技術資訊,以及如何使用 SMS 2003 執行不同軟體更新的逐步指示,請參閱:《SMS 2003 Concepts and Planning Guide (英文)》的第 6 章〈Managing Software Updates〉,以及第 3 章〈Understanding SMS Features〉,可以從 https://www.microsoft.com/smserver/default.asp 取得。
執行軟體更新清單工具會在 SMS Administrator 主控台和一些 Web 報告中產生資訊。圖 5 中是以主控台為基礎的掃描範例。
圖 5 使用 SMS Administrator 主控台來識別遺漏的軟體更新以及相關的佈告 ID 號碼
Microsoft 會以目錄 (Mssecure.xml) 和網站下載的形式,發佈安全性更新的資訊。新安全性更新發佈後,會定期更新 Security Patch Bulletin Catalog 和 Microsoft Office Update Catalog。
SMS 2003 的 Software Update Management 功能會使用這些目錄當成評估用戶端的參考。軟體更新管理工具會在企業中的所有 SMS 用戶端電腦,執行詳細的已安裝和適用的更新清單。軟體更新清單工具會掃描用戶端,判斷需要什麼更新,讓用戶端保持最新,然後管理員可以使用 Distribute Software Updates Wizard ,部署需要的更新。
SMS 2003 包括數個預先定義的更新相關報告,與整個組織中遺漏的軟體更新有關。它們會將這項資訊顯示成適用的軟體更新以及安裝狀態。
舉一個例子,您可以使用 SMS 2003 中,軟體更新和適用和已安裝的電腦計數,顯示所有已安裝或適用的軟體更新清單,以及相關的資訊。此報告也會列示遺漏每一個軟體更新的電腦數目,以及已安裝軟體更新的目標電腦數目,如圖 6 所示。
圖 6 SMS 2003 中顯示軟體更新以及適用和已安裝的電腦的 Web 報告
您也可以使用以下的 SQL 查詢範例,識別過去 7 天內,在環境中報告的新軟體更新。
select QNumbers0 as Knowledgebase,
ID0 as Bulletin,
Product0 as 'Affected Product',
Title0 as 'Vulnerability',
MAX(DatePosted0) as 'Release Date',
MAX(DateRevised0) as Revised,
MIN(TimeDetected0) as 'First Detected on Clients'
from v_gs_patchstate
where (TimeDetected0 >= DATEADD(day,-7,getdate())
or DatePosted0 >= DATEADD(day,-7,getdate())
or DateRevised0 >= DATEADD(day,-7,getdate()))
and Status0 != 'Installed'
group by QNumbers0, ID0, Product0, Title0
識別階段 —判斷軟體更新是否合適
您應該檢查每一個收到的軟體更新與環境的關係。如需更多資訊,請參閱<補充程式管理階段 2 —識別>單元的<判斷軟體更新是否合適>小節。
您可以用來判斷 IT 架構之軟體更新適用性的,主要方法是:
參閱安全性佈告和 KB 文章
檢閱個別的軟體更新
使用 SMS Administrator 主控台
使用 SMS 內建報告
參閱安全性佈告和 KB 文章
若要隔離環境中可能受到漏洞影響的電腦,您應該查閱相關安全性佈告所列的受影響產品,以及存取在 SMS 的清單資料。
例如,SMS 2003 提供預設集合給以下的產品:
Microsoft Windows 2000 Professional
Windows 2000 Server
Windows XP
Windows 98
Windows NT® 4.0
Windows Server™ 2003
檢閱個別的軟體更新
通知中的每一個軟體更新都需要詳細和深入的檢閱;例如,更新可能適用於特定分析藍本或組態。您應該檢查實際執行環境中的分析藍本或組態是否符合知識庫文章中的分析藍本或組態。您可能需要建立 SMS 查詢和 Web 報告,才能取得這項資訊。
例如,如果知識庫文章說明軟體更新僅執行 SQL Server 且超過 3 GB 的電腦才需要,則您需要建立查詢或 Web 報告,判斷執行 SQL Server 的環境中是否有電腦具備此組態。不過,在顯示任何類似徵狀之前,可能需要以事前預防的方法,套用安全性更新。
使用 SMS Software Update Management 功能
您可以掃描 SMS 2003 Software Update Management 功能產生的結果和報告,檢視關於軟體更新的特定和適用的資訊。圖 7 顯示與 Exchange Server 2000 相關的重點摘述安全性補充程式。[Requested] 欄底下的值顯示要求此更新的電腦數目,而 [Compliant] 欄底下的值則顯示已經安裝並符合規範的電腦數目。圖 7 中只有一部電腦要求 Exchange Server 2000 更新。
圖 7 使用 SMS Administrator 主控台判斷軟體更新是否適合您的環境。
使用 SMS 報告
SMS 2003 的 Compliance by Software ID 報告提供已安裝安全性更新的電腦總數目—和未安裝的電腦—以及關於安全性補充程式分送的狀態。此報告,如圖 8 所示,協助識別特定安全性更新 (本狀況為 311967) 的現行規範層次,而且對於判斷環境的特定安全性更新獲得,是一個有用的工具。
圖 8 SMS 2003 的軟體 ID 報告規範
**注意:**SMS 2003 提供的一個有趣的功能是您不僅可以檢視每一個報告背後的 SQL 查詢,還也可以複製和修改查詢來自訂報告。此功能也允許您每隔 1 分鐘,甚至每隔 60 分鐘,自動重新整理報告,在緊急時或當您經常需要更新某一特定軟體更新的軟體更新分送和規範層次,其相關的狀態和報告時,特別有用。要使用此功能,只要反白特定報告以及檢視它的屬性就可以了。
評估和規劃階段 —判斷要修正的項目
決定要修正的項目需要對環境有正確和最新的瞭解。如需更多資訊,請參閱<補充程式管理階段 3 —評估和規劃>單元的<規畫發佈>小節。
由 Security Updates Inventory Tool 和 Microsoft Office Inventory Tool for Updates 二者取得的資訊,加上由 SMS 硬體和軟體清單用戶端代理程式擷取的資訊,可以用來判斷要安裝什麼特定的軟體更新。判斷需要修正機器的類型、角色以及網路連線,也是相當重要。
評估和規劃階段 —部署緊急變更要求
至於重大更新,您需要儘可能正確判斷可能處於危險的系統數目和類型。如需更多資訊,請參閱<補充程式管理階段 3 —評估和規劃>單元的<規畫發佈>小節。
若要比正常安排的清單週期還早的清單資料,SMS 管理員需要建立強制必要通知來執行 Security Updates Inventory Tool 或 Microsoft Office Inventory Tool for Updates,強制硬體和軟體清單在每一個明顯暴露漏洞下的用戶端電腦上執行。
若需要修正 SMS 2003 網站伺服器,您應該考慮手動修正這些電腦,如此在軟體更新植入實際執行環境的其他電腦時,就不會重新啟動這些伺服器。
至於網路連線差的網站,可能需要規劃使用 SMS Courier Sender,將軟體更新檔案置於抽取式媒體,然後儘可能快速將此媒體傳送到這些網站。
以下程序顯示需要採取的步驟,以便使用 Distribute Software Updates Wizard 來分送軟體,以及強制關鍵性伺服器安裝它。套用至工作站的軟體更新,也要執行同樣的程序。
**注意:**此程序僅會在有足夠網路頻寬的公司場所,能允許軟體更新檔案和更新的軟體分送原則供用戶端電腦使用,才會成功。
使用 Distribute Software Updates Wizard 分送軟體更新並強制關鍵性伺服器安裝它
從「控制台」 的 Run Available Programs 或 Advertised Programs Manager 工具,執行 SyncXML.exe 程式。 必須在裝載同步工作的電腦上完成此工作 (最初由掃描工具安裝程式建立會成為 SMS 網站伺服器電腦)。此會確定新發佈的目錄可以在本機取得。
手動重新整理此套件的分送點,讓新的目錄往環境中的其他網站和其他分送點。確定所有分送點都完成它們的更新。 目前重新整理的發佈點,是任傳統或 SMS 2.0 用戶端需要的。若需要,Advanced Client 會自動進入等候內容狀態,因為新程式項目會有一個原則,反映需要的新套件版本。
在現有的掃描工具套件建立新程式項目,查看程式的 "加速" 表單 (命令行包括 "/s /cache /kick")。 此程式會用來確定預先生產集合成員會在下一個可用的掃描週期,檢查最新的目錄版本。
為了方便使用,請以新軟體更新的相關特定佈告 ID 或 KB 編號來命名此新程式,例如 "Expedited MS03-039"。
通知新 "加速" 掃描工具程式來參照電腦位置。 因為這是新程式,所以事先生產電腦會被強制下載包含新目錄的相關套件版本。
在現有的掃描工具套件建立第二個新程式項目,查看程式的 "非加速" 表單 (命令行包括 "/s /cache")。
為了方便使用,請以新軟體更新的相關特定佈告 ID 或 KB 編號來命名此新程式,例如 "Non-expedited MS03039"。
使用 Distribute Software Updates Wizard ,為軟體更新特別建立新套件。處理用戶端清單時,視情況使用 [重新整理] 按鈕,確定已經善用所有可用的事先生產電腦清單。以事先生產集合為基礎,授權軟體更新。(掃描生產系統的同時,您可以準備套件)。
若您要早於安排的 Hardware Inventory Client Agent 排程,將清單資料傳送至網站伺服器,則選擇 Distribute Software Updates Wizard 第一個用戶端代理程式設定值頁面的 [Collect client inventory immediately (may increase system activity)] 核取方塊。
檢查您是否想使用全球定位時間方式,而不是按時區,強制軟體更新全球統一。此更新設定值依軟體而異。
請務必指定現有的掃描工具套件以及精靈適當頁面的程式,不要使用新程式。
不要在 Distribute Software Updates Wizard 的此點進行通知。
使用新套件可以確定儘快進行下載和執行階段,因為您可能管理的其他軟體更新,其重要性不若目前的活動。
在 Distribute Software Updates Wizard 關閉之後,開啟新 Distribute Software Updates Wizard 程式的內容頁,然後在新建的非加速程式上包括程式相依性。 程式相依性會在嘗試安裝軟體更新之前,促使用戶端執行掃描工具套件版本包含新目錄。此可以確定當代理程式第一次嘗試在本機重新整理清單時,它會強制執行程式相依性,以便確定最新的目錄已複製到用戶端。Distribute Software Updates Wizard 程式通知的下載和執行組態,會自動為相依的程式進行監控,因為它沒有自己的通知。
為 Distribute Software Updates Wizard 程式建立新通知,並設定為下載和執行。
若您要讓所有活動統一進行,而不是按照時區進行,請檢查全球定位時間的使用。正常情況下,若您在軟體更新 "Authorized on" 設定值使用全球定位時間,則您應該在通知中包括它。
確定通知開始時間早於第一個強制指派時間。此會允許 Advanced Client 先下載並準備服務期間抵達時啟動。(正在使用服務期間時,尤其重要)。
視需要為每一個變更期間重複此動作 (限制的安裝時間)。
使用「軟體更新 —部署狀態」底下可用的報告,針對狀態和規範,監控新建立的套件的部署。 調查一般涉及兩個階段:第一個階段著重軟體分送成功 (通知成功),第二個階段著重部署狀態。
依軟體更新 ID 分類的軟體更新分送狀態 此報告會提供「Install Verified」、「No Status」或「Failed」的計數以及每一種類別的進一步資訊。若「Install Verified」以外其他類別的數字太大,就需為它們個別執行此報告。
指定日數內,特定電腦的軟體更新狀態訊息 此報告提供讀者實際的安裝狀態。此報告若未說明軟體更新無法安裝的原因時,您必須檢查實際的電腦詳細資訊,了解通知狀態。
跟蹤緊急狀態 (達到足夠的規範之後),在進行中的作業,使用最近的軟體更新來調整日常套件,以及排除初始的套件。要這樣做,您需要從套件來源資料來複製檔案至另一個資料夾,然後使用 Distribute Software Updates Wizard 的 [Advanced] 和 [Import] 按鈕。因通知的大小因素,此通知一般會設定成從網路執行。
刪除您為預先生產集合成員建立的加速程式項目,以及為生產集合成員建立的非加速程式。 當不再需要這些項目時,系統會自動移除通知。
評估和規劃階段 —建立發佈
備妥版本規劃之後,程序的下一個階段是開發命令碼、工具和程序,讓管理員用來部署軟體更新至實際執行環境。如需更多資訊,請參閱<補充程式管理階段 3 —評估和規劃>單元的<建立發佈>小節。
在此需要執行的工作和活動主要取決於使用 SMS 2003 Distribute Software Updates Wizard 是否可以部署軟體更新。
Distribute Software Updates Wizard 會節省很多工作,否則便需要使用 SMS 2003 來部署軟體,因為它可以自動建立 SMS 套件並執行必要的程式來分送和安裝軟體更新。不屬於緊急變更要求的安全更新,可以新增至安全彙總套件,它包含所有套用至特定產品和 Service Pack 組合的安全性更新。例如,套用至 Windows 2000 SP3 的所有安全性更新,可以包括在安全彙總套件中,它會一次將適當的安全性更新套用至電腦,所以只需要一台電腦就可以了。使用安全彙總套件可以大大簡化管理和監督,而且明顯降低要讓電腦合乎規範而重新啟動的次數。
至於無法使用此功能而部署的軟體更新,管理員應該在 SMS 使用標準軟體分送程序,建立套件和通知來部署軟體更新。另外也需要指定批次檔案、MSI 檔案或執行檔,在用戶端電腦執行。安裝執行檔未附帶若軟體更新,則管理員需要使用 MSI 製作工具建立一個。
以下是建立發佈的進一步注意事項:
開發用於安裝軟體更新的程式,應該傳回正確的結束碼,以便透過 SMS 狀態系統傳回正確的狀態。成功安裝時,應該為 0,0 以外的數字表示安裝失敗。SMS 狀態系統會使用傳回碼,指示成功或失敗的通知。
可能也需要確定程式在系統登錄插入一個自訂機碼,如此管理員可以判斷特定電腦是否顯示軟體更新。這項資訊顯示在 SMS 資料庫之前以及可以用於 Web 報告和查詢之前,必須將 SMS Hardware Inventory Client Agent 設定成從 SMS 用戶端收集此資訊。
程式或批次檔不可結束,直到安裝完成為止。當與該通知相關的程式結束時,SMS 2003 假設通知執行完畢。若程式產生其他程序,而且在新程序完成軟體更新的安裝之前就已結束,程式將無法傳回適用安裝成功的結束碼。
若安裝失敗,批次檔或程式應該設定成撰寫事件至「事件日誌」。若要將失敗警告給管理員知道,您需要在會產生事件警告的 Microsoft Operations Manager-Server (MOM),建立相應的規則。
您可能也會想進一步開發指令碼,以寫入指示補充進行中的事件,當重新啟動伺服器時,可避免 MOM 主控台的假警告。
至於 Distribute Software Updates Wizard 支援的軟體更新,管理員應該使用此工具,建立新的 SMS 套件和通知,以便部署軟體更新。他們也應該新增軟體更新至先前的安全彙總套件。當軟體更新成功部署至實際執行環境中的所有用戶端,便可移除軟體更新的各個套件和通知,原因是安全彙總套件會確定軟體更新已套用至在實際執行環境引入的任何新電腦。
至於無法使用 Distribute Software Updates Wizard 部署的軟體更新,您將需要建立 SMS 套件和通知來部署軟體更新。若軟體更新未附帶安裝執行檔,管理員將需要按照上述步驟建立一個安裝執行檔。
部署階段 —部署準備
每一個新版本都要為其準備實際執行環境。為部署而準備軟體更新所需步驟有:
溝通首展排程
從測試環境匯入程式和通知
指派分送點
在分送點執行更新
選擇部署群組
如需更多資訊,請參閱<補充程式管理階段 4 —部署>單元中的<部署準備>。
溝通首展排程
更新可以放心並成功部署之前,需要知會您的使用者,因為他們可能有需要執行的動作來協助更新安裝程序。
清楚溝通首展排程
傳送明白且易於識別的電子郵件給使用者和管理員,警告他們更新並提供關於如何安裝的資訊。若更新是核心營業時數以外,桌上型電腦適用的更新,則電子郵件應訴使用者在持定日期的夜晚離開電腦。
郵件應該註明跟蹤旗標,提醒使用者和管理員,任何他們需要採取來安裝軟體更新的動作。
從測試環境匯入程式和通知
若要維護最大的穩定性和安全性,永遠將您開發的 SMS 2003 套件匯入測試環境。您的測試環境應該能代表實際執行的環境。至於目前使用 SMS 2003 標準軟體分送程序而部署的軟體更新,包括與套件相關的程式的套件定義,應該已經在測試環境中建立並經過測試。此套件應該匯入 SMS 2003 實際執行環境。
若要從測試環境匯入現有的套件,使用 Distribute Software Updates Wizard 的 Identify the SMS Package 頁面的 [Advanced] 和 [Import] 選項,如圖 9 和 10 所示。[Advanced] 按鈕允許從其他授權清單匯入先前處理的軟體更新,例如從測試環境至實際執行環境。
圖 9 Distribute Software Updates Wizard — [Advanced] 按鈕
圖 10 Distribute Software Updates Wizard — [Import] 按鈕
使用 Distribute Software Updates Wizard 的 [Import] 按鈕,匯入已掃描病毒的軟體更新檔案,如圖 11 所示。
圖 11 此螢幕捕捉畫面示範如何匯入已掃描病毒的檔案。
指派分送點
當套件匯入 SMS 2003,您應該決定分送點,用於提供軟體更新給用戶端電腦。將軟體更新二進位碼檔案放在所有網站的分送點上,這些分送點位於目標用戶端所在的地方。至於透過 Security Updates Inventory Tool 或 Microsoft Office Inventory Tool for Updates 識別的軟體更新,在 Distribute Software Updates Wizard 會指定成一個步驟,即使當套件建立,這些分送點可以以後手動調整。
一般而言,軟體更新會部署至相同的用戶端群組,因此相同的分送點會用於每一個軟體更新。例如,伺服器和伺服器應用程式的軟體更新,會位在資料中心網站的分送點。會計應用程式的軟體更新僅會位在會計部門網站的分送點。
此可以允許您在僅包含特定用戶端範圍分送點的 SMS 2003,設定分送點群組。使用分送點群組會加速指派分送點至目前部署的軟體更新相關程序。SMS 資料庫中的清單資訊可以用來識別您需要設置新分送點的地方。
**注意:**只是新增分送點至分送點群組不會造成套件傳送至新分送點,即使使用 [更新分送點] 選項。當有群組被指派至套件的時候,才會從群組評估分送點。新分送點會逐一新增至套件,然後更新分送點。
在分送點執行更新
當指派適當的分送點,您應該確定所有個別檔案的複本會分送至這些伺服器。使用 SMS 狀態系統,監控軟體更新檔案的分送。直到分送點擁有檔案後,網站中的用戶端才可以安裝軟體更新。
傳送軟體更新二進位碼檔案至分送點的程序,涉及在 SMS 網站之間以及從 SMS 網站至本機分送點之間傳送檔案。
在 SMS 網站之間傳送更新
在大部份的組織,負責在網站之間傳送指示、軟體套件,以及通知的網站間傳送者,通常被設定成限制使用的網路頻寬總額,或者可以發生的傳輸每日次數。這些限制主要是用於確定在正常營業時間之外進行軟體分送,但是當需要立即提供重大更新時,則可能造成問題。
表格 1 顯示您可以用來協助監視網站間複製的 SMS 訊息。
表格 1:SMS Sender 訊息
訊息 ID | 詳細資訊 |
---|---|
3531 | SMS Sender 目前正在傳送軟體分送套件至目標網站。 |
3532 | SMS Sender 傳送軟體分送套件至目標網站時,發生錯誤。 |
3533 | SMS Sender 已順利傳送軟體分送套件至目標網站。 |
訊息 ID | 詳細資訊 |
---|---|
2342 | 此指示 SMS Distribution Manager 開始發佈套件至分送點。 |
2330 | 此指示 SMS Distribution Manager 已成功分送套件至分送點。 |
訊息 ID | 說明 |
---|---|
11250 | 遺漏安排的安裝期間 (提早啟動):等候重試。 |
11251 | 遺漏安排的安裝期間 (延遲啟動):等候重試。 |
11256 | 遺漏安排的安裝期間 (限制過期):等候重試。 |
11269 | 需要重新啟動系統,才能繼續安裝。 |
11257 | 需要重新啟動系統,才能安裝使用者重新安排的更新。 |
11258 | 需要重新啟動系統,才能安裝使用者延後的更新。 |
11259 | 需要重新啟動系統,才能安裝自動延後的更新。 |
11252 | 使用者已重新安排安裝。 |
11253 | 使用者已延後安裝。 |
11254 | 安裝已自動延後。 |
11270 | 需要重新啟動電腦。 |
11266 | 安裝完成而且工作站角色停止重新啟動。 |
11267 | 安裝完成而且工作站角色停止重新啟動。 |
11268 | 安裝完成而且不需要重新啟動。 |
11261 | 安裝完成而且使用者已重新安排重新啟動。 |
11262 | 安裝完成而且使用者已延後重新啟動。 |
11263 | 安裝完成而且自動延後重新啟動。 |
11264 | 已啟動必要的重新啟動。 |
11265 | 已啟動必要的強制重新啟動。 |
報告名稱 | 報告目錄 |
---|---|
依產品規範 | 軟體更新 —規範 |
依軟體 ID 規範 | 軟體更新 —規範 |
可以套用特定軟體更新的電腦 | 軟體更新 —規範 |
特定電腦的軟體更新 | 軟體更新 —規範 |
未授權的軟體更新 | 軟體更新 —規範 |
軟體更新和適用和已安裝的電腦計數 | 軟體更新 —規範 |
所有電腦和特定軟體更新分送狀態 | 軟體更新 —分送狀態 |
軟體更新的分送狀態摘要 | 軟體更新 —分送狀態 |
依軟體更新 ID 分類的軟體更新分送狀態 | 軟體更新 —分送狀態 |
無法部署的軟體更新摘要 | 軟體更新 —分送狀態 |
因特定通知而傳回軟體更新錯誤訊息的電腦 | 軟體更新 —架構狀態 |
軟體更新狀態 | 軟體更新 —架構狀態 |
指定日數內,特定電腦的軟體更新狀態訊息 | 軟體更新 —架構狀態 |