管理

Steve Rachui

 

概览:

  • SMS 2003 R2 中全新的更新管理功能
  • 自定义更新发布工具
  • 自定义更新清单工具

当您需要为自己的系统部署自定义更新时,比如拿专用硬件或行业应用程序来说,很难拥有像 Windows 更新所具备的那种可管理、自动化流程优势。至少以前没有。现在,由于有了 Systems Management

Server (SMS) 2003 R2,您可以使用相同的管理更新功能部署您自己的自定义更新。SMS 2003 R2 拥有一系列新功能,其中包括对设备管理功能包的更新、指向操作系统部署 (OSD) 功能包的链接,以及其他一些增强安全监控能力的功能。该产品还有一个用来进行安全漏洞评估的扫描工具,这种工具对了解系统和网络中潜在的漏洞(如操作系统配置、用户密码、IIS 以及 SQL Server™ 配置的缺陷)至关重要。此外,该产品还包括自定义更新清单工具 (ITCU) 和自定义更新发布工具 (CUPT)。本文中,我将着重通过介绍这两种工具,来谈谈如何轻松而有效地部署自定义更新。

自定义更新发布工具

安装和使用 SMS 2003 R2 之前,首先要将包括客户端在内的层次结构更新到 SMS 2003 Service Pack 2 (SP2)。要使用 CUPT,您需更新到 Microsoft® Management Console (MMC) 3.0。您不必在 SMS 站点服务器上安装 CUPT,但至少要将其安装在 Windows® XP 中,且它还需要 SQL Server 2005 以承载其数据库;如果没有 SQL Server 2005,则必须安装 SQL Server Express Edition。CUPT 是 SMS 系统中引进和管理自定义更新的关键,在 SMS 中发布已创建的目录之前,它还能够先对这些目录进行测试。

自定义更新有两种形式 — 第三方供应商为他们生产的软件提供的更新,以及内部专为某一特定环境创建的更新。CUPT 是用来管理这两种更新的工具。使用第三方提供的自定义更新最为简便,因此我们就从这里说起。编写本文之时,有三个公司在生产可用来在 SMS 中扫描和分配适当补丁的更新目录,它们是 Adobe、1e 和 Citrix。选择自定义更新合作伙伴目录,可查看参与公司,如图 1 所示。

图 1 CUPT 操作

图 1** CUPT 操作 **(单击该图像获得较大视图)

使用合作伙伴提供的更新很简单,只需下载目录并将其添加到 SMS 中即可。首先下载所需的更新,然后选择“操作”菜单上的选项导入更新。这时会出现一个向导,询问刚下载的 .cab 文件的位置。在向导中指定该文件的位置后,新的更新将显示在 CUPT 中,可对它们进行进一步的配置并发布到 SMS 站点服务器上。但是请注意,必须标记每个所需的更新以进行发布。如果某个更新没有被标记,则在发出发布请求的时候,它将不会被包含在其中。这一操作可以批量执行,如图 2 所示。注意,较右边的一列必须有做的标记,这样才能保证更新的正常发布。

图 2 设置发布标记

图 2** 设置发布标记 **(单击该图像获得较大视图)

如有需要,您可以进一步自定义下载的每个更新。若要自定义,只需选中更新并选择“编辑”即可进行。然而,自定义更新时需留心,因为不合适的配置会导致意想不到或不尽人意的结果。

对更新进行标记之后,就可以发布了。这一过程可以通过两种途径来实现 - 发布到外部 .cab 文件以备今后使用;或将选中的更新与 SMS 站点数据库同步,以供当前使用。为了实现与 SMS 站点数据库的同步,您需要提供配置信息,如站点服务器的名称、程序包源文件的路径等(见图 3)。

图 3 同步信息

图 3** 同步信息 **(单击该图像获得较大视图)

突出显示“自定义更新”节点,然后从“操作”菜单中选择“设置”,这样可找到这个屏幕。等您提供可访问站点服务器的名称、指向自定义更新清单工具的源目录路径之后,站点代码和状态就被更新了。

通过设置同步选项,CUPT 可以实现与 SMS 站点服务器的同步。要执行同步操作,从“操作”菜单中选择发布更新选项。这将启动发布向导。为了将更新发布到 SMS 数据库以供当前使用,请确保已选中与 Systems Management Server 站点数据库同步的选项。值得庆幸的是,该步骤伴有可视化提示:如果尚未配置同步设置,则该选项灰显。

完成向导所提示的操作之后,就可以在 SMS 管理控制台上执行自定义更新了。启动分发软件更新向导之后,会出现一个可用来操作所有可用自定义更新的选项。

通过上述内容,您已经看到了消费和使用第三方产品的供应商生产更新的过程,假设没有预先打包的更新可供使用,那供应商所提供的软件的自定义更新又如何呢?这就是 CUPT 的优势所在。借助 CUPT,您可以创建包括所有目标条件的自定义更新来满足任何情况。

创建自定义更新并不困难,但要求管理员必须了解如何为软件打补丁、使用什么条件来确定补丁是否可用,以及应使用什么目标规则来集中更新。目标规则是在更新创建过程中分别定义的。这些定义可通过选择“操作”菜单中的“管理规则”选项查看。

选择“操作”菜单中的“创建更新”选项,可启动自定义更新创建,随即会出现一个向导,您可通过此向导提供自定义更新的详细信息。本文并未具体讨论如何创建自定义更新,但文中涉及的为导入的一个自定义第三方更新选择属性的内容,具有一定的启发作用,可帮助您了解创建自己的更新时每个字段所需的内容。已配置的第三方更新的属性如图 4 所示。

图 4 第三方更新的属性

图 4** 第三方更新的属性 **(单击该图像获得较大视图)

借助自定义更新创建流程,您可以实现除更新之外的更多功能;您还可以配置要分配给客户端系统的软件。尽管这种方法可行,但务必要注意,它既不是推荐方法,也不是 CUPT 的预定用途。

自定义更新清单工具

ITCU 是一种适用于自定义更新目录的新清单工具。与它之前的扫描工具一样,ITCU 可以创建自定义集合、数据包、以及用于将扫描工具部署到企业中 SMS 客户端的公告。与使用之前的扫描工具一样,ITCU 可以从一个可访问的 SMS 分发点检索目录(本例中指自定义更新目录)、可以基于目录数据执行扫描、可将扫描得到的结果插入 Windows Management Instrumentation (WMI),还可以通过硬件清单报告这些结果。扫描流程中主要的区别在于所用的目录。

SMS 2003 R2 的推出为现有的 SMS 安全体系增加了一个强大的工具。之前,管理员无法借助现有的 SMS 基础设施来为第三方和自定义应用程序打补丁。SMS R2 的推出因此而备受补丁管理管理员的青睐。

这样,您现在就有两种工具可供选择,来处理 Microsoft 之外的其他资源的软件更新。CUPT 和 ITCU 提供出色的可管理性和便利性,保证您的自定义更新会与您已经使用的 Windows 更新一样顺利完成。

更新管理资源

Steve Rachui 是 Microsoft 产品支持服务团队的一员,是一位负责提供可管理性支持的专家级工程师。他从 SMS 1.2 版开始为 SMS 提供支持。Steve 的联系电子邮件地址为 steverac@microsoft.com

© 2008 Microsoft Corporation 与 CMP Media, LLC.保留所有权利;不得对全文或部分内容进行复制.