Software Update Services 2.0 概觀

發佈日期: 2003 年 5 月 22 日 | 更新日期: 2006 年 4 月 13 日



本頁內容

簡介
包含在 SUS 2.0 的內容是什麼?
功能概況
SUS 2.0 和更新管理處理程序
管理 SUS 2.0 的更新
接下來的步驟

簡介

即將發行的 Software Update Services (SUS) 2.0,目的是使您能快速地部署最新重大和安全性更新到 Microsoft® Windows® 2000 伺服器及 Windows Server™ 2003 伺服器和執行 Microsoft® Windows® 2000 Professional 或 Windows® XP Professional 的桌上型電腦。

使用有計劃發行的 SUS 2.0,資訊技術 (IT) 管理員就能完全控制經由 Windows Update 發佈的更新,來更新他們網路上的電腦。

SUS 2.0 解決方案提供下列管理基礎結構:

  • Windows Update — Microsoft 網站包括所有 Microsoft 產品更新和更新類型。

  • 伺服器元件 —Microsoft Software Update Services,又稱為 SUS 2.0 Server,是安裝在公司防火牆內部,執行 Windows 2000 系列伺服器或 Windows Server 2003 系列作業系統的電腦上。伺服器元件提供的管理功能,需要透過網路工具來管理和散佈,而系統管理員也能在公司網路內任何的 Windows 電腦上存取。

  • 用戶端元件 —「自動更新」和用戶端元件會在接受 Microsoft 產品更新的電腦上執行。此元件能使伺服器和用戶端電腦二者直接連接到 Windows Update 或執行 SUS 2.0 的伺服器以接收更新。「自動更新」元件預計包含在 Windows 2000 Service Pack 4 (SP4) 和更新版本、Windows XP 和更新版本及 Windows Server 2003。


包含在 SUS 2.0 的內容是什麼?

SUS 2.0 建立在 SUS 1.0 功能的基礎,目前預計提供下列功能:

  • Microsoft 產品的擴充支援,包括 Office、SQL Server、Exchange 和硬體驅動程式

  • 廣泛支援其他更新類別

  • 以 Windows 用戶端或伺服器電腦支援的語系來部署更新到電腦的能力

  • 重大更新自動決定優先順序和下載

  • 透過「幕後智慧型傳送服務 (BITS)」技術的改良頻寬效能

  • 鎖定數組更新到特定電腦群組的能力

  • 系統管理員選擇並決定時程自動下載特定類型更新的能力

  • 改良的回報能力使系統管理員監視更新部署狀態和伺服器狀況

  • 透過應用程式發展介面 (API) 和指令碼,管理用戶端和伺服器元件二者的擴充性

  • SQL 伺服器引擎能當作 SUS 2.0 資料儲存機制

  • SUS 1.0 和 SUS 2.0 間的簡易移轉

需求

SUS 2.0 預計需要下列項目。

伺服器
  • Windows 2000 Server SP4 或更新版本,或是 Windows Server 2003

  • Microsoft Internet Information Services (IIS) 5.0 或更新版本,Microsoft Internet Explorer 6.0

用戶端
  • Windows 2000 Service Pack 3 (SP3) 或更新版本,Windows XP 和 Windows Server 2003


功能概況

SUS 2.0 預定提供下列功能。

用戶端功能

「自動更新」能使 Windows 自動下載和安裝 Microsoft 產品的更新。用戶端元件主要功能 — 根據計劃 —,包含下表中的功能。

SUS 2.0 用戶端功能

功能

描述

內建安全性

內容:
SUS 2.0 用戶端僅信任 Microsoft 簽署的特定內容;因此,不可能擅自更改內容。
主從式關係:SUS 2.0 用戶端會要求 SUS 2.0 伺服器自行驗證,以建立通訊並且使用安全性通訊協定加密工作階段期間交換的資料。
電腦隱私權:SUS 用戶端不會傳送任何屬於個人的識別資訊給 Microsoft。收集到的資料嚴格上來說都是一般性的,而且用來逐步改良這項服務。

自動偵測、下載和適用更新的安裝

「自動更新」會判定電腦是否有遺漏更新,然後便會自動開始下載和安裝。
在受到管理的環境中,用戶端能夠直接從 Windows Update 或 SUS 2.0 伺服器取得更新。
在受到管理的環境中,系統管理員能設定用戶端多久檢查一次 SUS 2.0 伺服器的更新。

使用者排程和通知選項

使用者的排程和通知選項能透過群組原則來設定。
擁有管理權限的使用者能夠在自動下載、安裝,或者在設定安裝排程之前,指定是否要受到通知。另外,使用者有能力復原先前拒絕或隱藏的更新。

有效的幕後更新下載

「自動更新」預計使用 BITS 新技術下載更新到電腦,這是內建在 Windows 2000 SP3 和更新版本作業系統的網路頻寬節流技術。
BITS 技術會在下載期間提供差異壓縮 — 唯有檔案內容更動之後才會從 SUS 2.0 伺服器或 Windows Update 被下載,這使得更新程式能透過「自動更新」有效地散佈。

使用者在更新安裝期間不會受到中斷

只要做好設定,「自動更新」安裝更新時不需重新開機或立刻中斷服務,也不必等到排定的自動安裝時間。相反地,「自動更新」合併需要重新啟動電腦的更新統一做一次重新啟動。
「自動更新」也會排除使用者和使用者授權合約 (EULA) 之間的互動需要。在 SUS 環境中,代表用戶端的系統管理員能接受 SUS 2.0 伺服器上的 EULA。

系統管理員具備強大和可延伸的管理能力

在 Active Directory® 目錄服務環境,提供系統管理員利用「群組原則」設定「自動更新」。此外,系統管理員有能力利用登錄機碼,在遠端透過登入指令檔或相仿的機制來設定「自動更新」。
另外,系統管理員能夠使用指令碼透過「元件物件模型 (COM)」的 API 管理用戶端。軟體開發套件 (SDK) 是接下來可供使用的。

用戶端電腦的更新

在系統管理員的管理下,用戶端電腦能自動地將「自動更新」升級到較新的版本,不需要系統管理員重新設定電腦。

改良更新可行性規則

SUS 2.0 用戶端有能力僅下載和安裝真正適用於電腦的更新。系統管理員不需要推測該安裝何種更新,SUS 2.0 用戶端和 SUS 2.0 伺服器能一同評估該套用何種更新到指定的系統中。例如,客戶不會冒著風險安裝 Windows 2000 的更新在 Windows XP 的電腦上。

伺服器端功能

SUS 2.0 伺服器系統管理工具提供功能強大的管理功能。伺服器元件包括下表中的功能。

SUS 2.0 伺服器端的功能

功能

描述

內建安全性

SUS 2.0 系統管理工具的頁面是限制成 SUS 2.0 伺服器上的本機系統管理員。同步處理會驗證任何透過更新伺服器下載的數位簽章。如果簽章不是來自 Microsoft,則不會刪除套件。在此程序使用的通訊協定,將確保 SUS 2.0 伺服器能安全及可靠地與 Windows Update 通訊。

更多內容

SUS 2.0 能長期支援 Microsoft 所有產品的更新。

新資料模式

SUS 2.0 元件透過新的資料型式來處理更新,其中,存在著更新間的複雜關係 (例如,更新之間的取代或相依性)。

更新管理基礎結構和水平延展式支援

SUS 2.0 提供系統管理員有機會建立 SUS 2.0 伺服器體系所組成的更新管理基礎結構。例如,SUS 2.0 伺服器能夠部署成自發伺服器、具備部署複寫的主機或負載平衡叢集。因此,SUS 2.0 能夠向外延展管理任何的用戶端。
另外,系統管理員擁有設定電腦的彈性,能直接從 Windows Update,或內部網路散佈更新的 SUS 2.0 伺服器中取得更新。系統管理員也能夠依他們的網路結合兩者的安裝佈署。

預先部署檢查和核准

藉由傳送部署請求到指定目標群組內所有的電腦,系統管理員能估計有多少台電腦需要更新,以及更新部署如何地影響網路。在實際部署更新安裝之前,預先部署檢查會使系統管理員執行更新影響分析。

目標設定

目標設定讓系統管理員建立一個層級的目標電腦群組,然後指定更新給單一 SUS 2.0 伺服器群組。另外,SUS 2.0 支援下列事項:用戶端和伺服器端的目標設定、Active Directory 環境的登錄原則支援,以及非 Active Directory 環境的伺服器端清單。

系統管理員的下載行為

除了 BITS 技術讓有效的幕後下載更方便,BITS 技術如預期使伺服器根據系統管理員定義的更新喜好設定和排程,而進行同步處理。系統管理員能在更新下載時 (包括僅有部署更新時的下載選項) 指定二者間的時間區塊,以及在下載發生時,所使用的網路頻寬量。

期限為準的安裝 (或解除安裝)

系統管理員能強力執行期限內的更新安裝。使用者在這種情況下不能夠將更新安裝延宕超過指定的期限。

解除安裝

在更新的支援下,如果認定更新不適於部署後所處的生產環境,系統管理員能夠移除更新。

回報

原定是要讓系統管理員能透過 SUS 2.0 回報功能,儘可能監視更新活動和伺服器狀態。為了要監視和管理更新活動,SUS 2.0 之後會根據用戶端傳送過來的事件提供標準報告,以集合平均每個目標群組、每台電腦和每次更新的更新部署狀態。此外,系統管理員之後會在建立自訂報告的情況下,將唯讀檢視存取到 SUS 2.0 資料庫中。

透過 API 的管理延伸性

系統管理員能使用指令碼透過 .NET 的 API 來管理 SUS 2.0 伺服器。開發人員可透過 SUS 2.0 的 API 建立和 SUS 2.0 整合的管理應用程式。而 SDK 也能使用。

匯入和匯出功能

系統管理員能使用匯入和匯出功能在兩台 SUS 2.0 伺服器之間下載和傳輸更新。在這樣的例子中,匯入和匯出功能可以容易地在中斷的網路更新管理基礎結構。其中,受到防護的網路並沒有實體的網路存取,或是連結到另一個網路,具有網路存取功能的連線能力。例如,智慧型社群便是。

伺服器資料庫的備份和還原

系統管理員能輕易地備份及還原他們 SUS 2.0 伺服器的更新內容、部署行動活動及設定 Microsoft® SQL Server 2000、Service Pack 2 (SP2) 或最更新版本,或是 Microsoft Data Engine (MSDE) 2000 資料庫。

具彈性的伺服器設定選項

針對遠端系統管理,伺服器設定選項包括使用 Secure Sockets Layer (SSL) 或超文字傳輸協定 (HTTP) 連接 SUS 2.0 伺服器,並且支援用戶端和伺服器端通訊預設連接埠 80 及以外的連接埠。如果 SUS 2.0 伺服器透過代理伺服器連接到網際網路,系統管理員也能設定代理伺服器。

SUS 1.0 伺服器的移轉工具

移轉工具讓 SUS 1.0 客戶將他們先前的系統管理設定,從 SUS 1.0 伺服器緊密地移轉到 SUS 2.0 伺服器。


SUS 2.0 和更新管理處理程序

本節描述 Microsoft 推薦的更新管理處理程序,以及提供範例說明系統管理員如何使用現成的 SUS 2.0 功能,成功地處理程序中四個階段的每個階段。請注意,超過一個階段後可能會使用到許多的功能。若要了解更多有關於 SUS 2.0 的系統管理功能,請參閱這份文件中稍早介紹的<伺服器端功能>。

1. 評估

系統管理員針對評估階段的目標是要能了解什麼會對實際執行的環境構成威脅,以及知道方法使實際執行的環境能支援例行性工作和緊急更新管理。透過第一個步驟,「評估」階段基本上是個進行中的處理程序。

例如,系統管理員必須評估需更新的伺服器和用戶端數目,儲存和網路頻寬需求內容,以及部署平均一次更新的可接受的時間。而且也必須決定要更新的平台種類、產品和語系。根據這些因素,才能夠決定延展 SUS 2.0 元件最有效率的拓撲。SUS 2.0 預定能提供數目繁多的選項來設定 SUS 2.0 元件,包括在 SUS 2.0 伺服器的位置上能儲存更新內容,或者是從 Windows 下載有需要的內容的能力。系統管理員也能夠設定「自動更新」能自動下載及安裝電腦上所遺漏的更新。SUS 2.0 提供管理 Active Directory 和非 Active Directory 環境二者中用戶端的選項。

SUS 2.0 提供標準化集合報告讓系統管理員能不斷地續繼執行。這些報告會提供一組電腦清單,內有所接觸過的 SUS 2.0 伺服器,以及後來的作業系統、語系和電腦的更新程式層級。報告也會確認安裝過何種更新,以及電腦和伺服器正常運作所判定的遺漏。

2. 識別

系統管理員在「識別」階段的目標,在於以簡便的方式來發現新的更新,並且決定更新是否適用於實際執行的環境,以及更新的優先順序。

SUS 2.0 系統管理工具讓系統管理員建立訂閱。訂閱能給系統管理員就產品種類和分類來決定如何與 Windows Update (或上游 SUS 2.0 伺服器) 進行同步更新。例如,訂閱可包含僅針對 Windows XP 重大更新和 Office XP 安全性更新的下載請求。系統管理員也能夠設定每項訂閱的同步處理排程。例如,系統管理員能建立重大更新的訂閱,每日下載的更新及每週選擇性更新下載的訂閱。

若要判定更新是否和實際執行的環境有關,系統管理員必須能夠查看更新的屬性。系統管理員也能夠執行更新的預先部署檢查,目的在於協助系統管理員估計有多少台電腦需要更新,以及在更新安裝到實際執行的環境之前,更新部署會如何影響網路。

3. 評估和計劃

系統管理員針對「評估」和「計劃」階段的目標是要測試更新,而所處的環境和實際執行環境相似 (雖然是分離開來的)。以了解企業核心系統和應用程式是否有可能受到破壞,決定部署更新到實際執行環境的必要工作,規劃更新的發行,建立發行之後舉行發行的可接受度測試。

在評估測試環境內的更新時,系統管理員有機會能執行到正使用在實際部署中的許多 SUS 2.0 的功能。這包括建立訂閱,設定自動同步處理 SUS 2.0 伺服器的排程,建立電腦的目標群組和鎖定要下載和安裝到這些群組的更新,執行預先部署的檢查,之後排定要自動更新的安裝。在測試期間和之後,系統管理員能使用 SUS 2.0 提供的標準化報告來監視測試更新安裝的成功性。

4. 部署

系統管理員在「部署」階段的目標,在於測試、核准和安排更新安裝,然後檢閱部署完成後的處理程序。

若要調查實際執行的環境,確保能在部署前管理更新,SUS 2.0 能讓系統管理員檢閱更新的屬性,並且使用預先部署檢查來決定更新所造成的影響。若要建立更新首次執行到實際執行環境的順序,系統管理員能根據網路和人員配置資源,使用 SUS 2.0 建立最有效率的上游和下游、獨立和複寫的 SUS 2.0 伺服器設定。此外,原定系統管理員能藉由使用群組原則,或透過 API 以擴充性的方式管理伺服器或用戶端,來設定用戶端如何與 SUS 2.0 伺服器或 Windows Update 通訊。

透過 SUS 2.0 系統管理工具,系統管理員能指定電腦的目標群組,之後鎖定要部署到這些群組中的更新。系統管理員原定能開始著手更新安裝 (如果有需要則要在期限內執行) 或解除安裝,如果情況是更新部署在實際執行的環境後,發現是不適用的。系統管理員能使用回報功能來判定成功的電腦或目標群組更新部署。

程序完成時

系統管理員在連續完成每個階段後,基本上會回到評估階段。其中,應該要繼續清查計算中的資產,評估可能的安全性威脅和弱點,決定關於更新的最佳資訊來源,並且評估現有軟體散佈的基礎結構和作業效率。

管理 SUS 2.0 的更新

SUS 2.0 目前原定能提供下列案例。

SUS 2.0 伺服器的既定案例

Microsoft 計劃提供下列 SUS 2.0 伺服器案例:

  • 部署多種不同的更新到擁有良好控制層級的幾組電腦
    使用 SUS 2.0 系統管理工具,系統管理員能建立一個或更多個電腦目標群組,之後鎖定一個或多個更新以安裝到這些群組中的電腦。系統管理員也能夠藉由已選擇的更新所安裝到的指定目標群組來設定期限 (日期和時間)。
    在 Active Directory 環境中,系統管理員能根據目前的計劃,使用群組原則指派用戶端電腦到有運用到 SUS 2.0 系統管理而建立的目標群組。新的可啟用群組原則的用戶端電腦能使用用戶端目標設定。這些電腦連線到 SUS 2.0 伺服器時,能夠和所屬的群組通訊。在這種情況下,伺服器能自動將它們新增到群組內。

  • 根據系統管理員的喜好設定能從 Microsoft 完整和有效地下載更新。
    SUS 2.0 系統管理工具原定可賦與系統管理員有能力建立訂閱,在這當中,可指定要從 Microsoft 下載的更新種類,以及指定更新下載的排程表。訂閱在執行時,有包含訂閱的 SUS 2.0 伺服器會同步處理訂閱中所指定的更新,連同 Windows Update 上可使用的符合更新種類。指定訂閱中的更新時,系統管理員能選擇平台、產品、語系和更新種類。例如,訂閱可包含僅針對英文版 Windows XP 的重大更新,和英文版 Office XP 安全性更新的下載需求。

  • 決定整個公司網路內部的更新的適用性
    系統管理員利用 SUS 2.0 系統管理工具,在實際執行環境部署更新之前,為所有電腦或指定的電腦群組,執行更新影響分析 (或預先部署檢查)。在決定整組更新的適用性時,系統管理員會使用更新狀態報告來監視更新在核准當中的進度。

  • 檢閱整組電腦的部署狀態
    SUS 2.0 系統管理工具可使系統管理員產生一份更新狀態報告。裡面可顯示執行特定動作 (或所有動作) 的全部更新 (例如,安裝或解除安裝),以及動作發生的日期。此外,系統管理員可產生這份報告用來顯示全部電腦,或針對特定目標群組的更新狀態。

  • 如果需要時,初步進行更新的解除安裝
    SUS 2.0 系統管理工具原定可使系統管理員產生一份更新狀態報告。裡面可顯示執行特定動作 (或所有動作) 的全部更新 (例如,安裝或解除安裝),以及動作發生的日期。至於安裝,系統管理員能設定更新會自動解除安裝的期限。若要找出更新是否支援解除安裝,系統管理員能夠透過系統管理員工具介面檢查更新的詳細細節。

  • 透過指令碼以延伸性的方式管理 SUS 2.0 元件
    系統管理員能透過 API 利用管理伺服器端和用戶端 SUS 2.0 兩者的能力。伺服器 API 以 .NET 為基礎,而用戶端 API 則是以 COM 為基礎。SDK 原定適用於這兩類原件。

自動更新的既定案例

SUS 2.0 目前預定提供「自動更新」的下列案例:

  • 自動更新的按一下設定體驗
    藉由按一下「控制台」的 [自動更新] 頁面,擁有系統管理員權限的使用者能夠指定是否要在更新下載或安裝前,接受來自「自動更新」的通知。其他的選項,包括設定更新自動安裝的時間,在這樣的情況下在 [自動更新] 頁面上設定只會很容易。

  • 自動及時更新重大更新和其他的 Microsoft 更新
    原定使用者不用必須搜尋重大更新和資訊。「自動更新」會把更新直接傳送到電腦上。「自動更新」然後會確認使用者何時會在線上,並且會使用網路連線從 Windows Update 網站上搜尋下載更新。

既定的部署案例

SUS 2.0 有足夠的彈性來符合廣泛組織的更新管理需求。從擁有撥接連線能力的小型企業,到擁有數以千計散佈在多個網站的使用者的大型企業。依照組織的大小、所在位置以及連線的基礎結構,系統管理員能決定向外延展 SUS 2.0 伺服器最有效的方法。而這有可能是一台或多台 SUS 2.0 伺服器。

下列所述是小型、中型和中斷網路中部署 SUS 2.0 元件的通用案例。

單一 SUS 2.0 伺服器 (小型或簡易型網路)

在小型或簡易型的網路案例中,系統管理員會根據既定的發行來安裝伺服器,為了是要在公司的防火牆內部執行 SUS 2.0。而這能直接和外部的公用 Windows Update 網站同步處理內容,並且散佈更新到用戶端電腦,就如同下列表格所顯示。

單一 SUS 2.0 伺服器

單一 SUS 2.0 伺服器
多台 SUS 2.0 伺服器 (中型或更複雜的網路)

下列是二種在中型或較複雜的網路中部署 SUS 2.0 元件的原定和普通的案例。

多台獨立的 SUS 2.0 伺服器

系統管理員在這個案例中,部署設定多台伺服器以致於能獨立管理每台伺服器,並且將每台伺服器的內容同步處理傳送到 Windows Update,如同下表所顯示。

多台獨立的 SUS 2.0 伺服器

多台獨立的 SUS 2.0 伺服器

這種案例中的部署方法可適用於多種情況,例如分公司,其中不同的區域網路 (LAN) 或廣域網路 (WAN) 網段是以個別實體的方式來處理。執行 SUS 2.0 的伺服器可設定成僅對執行特定作業系統 (像是 Windows 2000) 的用戶端部署更新。然而另一台伺服器可設定為僅有部署更新到執行另一個作業系統 (例如 Windows XP) 的用戶端。在這些情況下,這兩台伺服器的內容不需要同步化。

多台內部同步化的 SUS 2.0 伺服器

系統管理員要部署多台執行 SUS 2.0 的伺服器,以便能夠在組織的內部網路同步處理所有的內容。在這個例子中,伺服器能設定成父伺服器或上游伺服器,或是其他伺服器會被同步處理而傳送到的來源。其他執行 SUS 2.0 的伺服器,例如子伺服器或下游伺服器,能同步處理來自上游伺服器的內容。子伺服器能執行手動或自動同步處理,而同步處理可包括更新,連同一系列核准的更新。或是僅有更新本身,沒有核准的清單。在可適用的情況下,透過地理上分散的網路來定出伺服器的位置,以提供給所有的用戶端最佳的連線能力。

如同第二個表格所記載,系統管理員能設計部署多台在內部能同步處理的伺服器,把單一伺服器暴露在網路上 (第一個表格的擴充版本),或是延伸如下列表格中所顯示的設計圖,將內部網路完全從網際網路上隔離開。

多台內部同步化的 SUS 2.0 伺服器

多台內部同步化的 SUS 2.0 伺服器
中斷的 SUS 2.0 伺服器 (高安全性網路,不具備網路連線能力)

如果具備網路功能,但 Windows 電腦沒有連接到網際網路上,系統管理員在這種情況下,能設定內部伺服器執行 SUS 2.0,如同下列表格所舉例的說明。在這個範例中,伺服器建立為了能夠連接到網際網路上,但卻隔離於內部網路之外。在下載、測試和核准完伺服器上的更新後,系統管理員能以手持方式攜帶媒體到執行 SUS 2.0 的伺服器以及內部網路中的散佈點。雖然下列表格有舉例說明以最簡易的形式所呈現出的模式,但是卻可調整成任何大小的部署。

中斷的 SUS 2.0 伺服器不具有內部網路可連線到網際網路的能力

中斷的 SUS 2.0 伺服器不具有內部網路可連線到網際網路的能力

接下來的步驟

若要了解有關 SUS 1.0 的資訊,請參閱 Microsoft 網站上的《 Software Update Services (英文)》,網址是 http://go.microsoft.com/fwlink/?LinkId=22631。雖然 SUS 2.0 大幅擴充 SUS 1.0 的功能,您還是得處理下列事項:

  • 若要比較 SUS 1.0 和其他 Microsoft Management Solutions,請在 [More Information] 下,按一下 [Choosing a Security Update Management Solution]。

  • 評估 SUS 1.0,請在 [Highlights],按一下 [Software Update Services Interactive Simulation]。


顯示: