使用 SUS 执行修补程序管理～～～

coolfax

使用 SUS 执行修补程序管理～～～

目标

使用本模块可以实现：

• 使用 SUS 和 MBSA 实现修补程序管理过程的所有四个阶段。


返回页首
适用范围

本模块适用于下列产品和技术

• Microsoft® Software Update Services (SUS) 1.0（附带 Service Pack 1）

• Microsoft Baseline Security Analyzer (MBSA) 1.1.1


返回页首
如何使用本模块

本模块提供有关如何使用 SUS 和 MBSA 实现四个阶段的修补程序管理过程的详细信息。

为了充分理解本模块内容，请：

• 参阅模块修补程序管理过程。该模块概述修补程序管理过程的各个阶段（共四个），并介绍可在 Microsoft Windows® 操作系统环境中支持修补程序管理的工具。

• 请参阅以下四个模块，它们详细描述了包含四个阶段的修补程序管理过程：

• 请参阅模块修补程序管理阶段 1 – 评估。

• 请参阅模块修补程序管理阶段 2 – 识别。

• 请参阅模块修补程序管理阶段 3 – 评估和计划。

• 请参阅模块修补程序管理阶段 4 – 部署。


• 请参阅“Software Update Services Deployment”白皮书，该文章可以从 SUS 站点 http://www.microsoft.com/windows ... �英文）下载。

• 请参阅“Microsoft Baseline Security Analyzer”的介绍，其网址为 http://www.microsoft.com/mbsa（英文）。


返回页首
摘要

本模块介绍了如何使用 SUS 和 MBSA 进行企业修补程序管理。本模块中提供的指导和信息可以帮助您实现 Microsoft 推荐的四阶段的修补程序管理过程。

返回页首
准备工作

开始使用本模块之前，需要执行以下准备步骤：

• 下载 MBSA

请从位于 http://www.microsoft.com/technet ... .asp（英文）的 MBSA 主页中下载 MBSA。

• 下载最新的 MBSA XML 文件

如果您使用的计算机可以访问 Internet，则可以自动下载最新的安全 XML 文件（如果需要）。但是，如果您的计算机没有 Internet 访问权限，则需要使用位于以下站点的签署 .cab 文件下载最新的 XML 文件：http://download.microsoft.com/do ... .cab（英文）。

该 .cab 文件是已签署的，这样做是为了确保它没有被修改。您必须解压缩该文件并将其存储到存储 MBSA 的同一个文件夹中。

注意：要查看最新的 XML 文件而不进行下载，请登录以下站点：http://www.microsoft.com/technet ... .xml（英文）。

• 安装 MBSA

您可以使用 Mbsasetup.msi 安装 MBSA。默认的安装目录为：\Program Files\Microsoft Baseline Security Analyzer\。

注意：您需要从此目录运行命令。MBSA 并不为您创建环境变量。

• 下载 SUS 1.0（附带 SP1）

您可以从 http://www.microsoft.com/downloa ... �英文）中下载 SUS 1.0（附带 SP1）。

• 安装 SUS 1.0（附带 Service Pack 1）

请使用 SUS10SP1.exe 进行安装。


返回页首
预备知识

使用本模块之前，应该了解以下内容：

• 您可以使用 GUI (Mbsa.exe) 或从命令行 (Mbsacli.exe) 中操作 MBSA。

• MBSA 使用端口 138 和 139 执行扫描。

• MBSA 需要对您所扫描的计算机具有管理员权限。可以使用选项 /u （用户名）和 /p （密码）指定运行扫描的用户名。请不要将用户名和密码存储在文本文件中，例如命令文件或脚本。

• MBSA 需要以下软件：

• Microsoft Windows XP、Microsoft Windows 2000 或 Microsoft Windows NT® 4.0 SP4 和更高版本的操作系统（本地扫描只能在使用简单文件共享的 Windows XP 计算机上实现）

• Internet Information Services (IIS) 4.0、5.0（执行 IIS 漏洞检查时需要）

• Microsoft SQL Server 7.0, 2000（执行 SQL 漏洞检查时需要）

• Microsoft Office 2000、XP（需要执行 Office 漏洞检查）


• 对于 MBSA 而言，必须安装/启用以下服务：

• Server 服务

• 远程注册服务

• 文件和打印共享


• SUS 仅在端口 80 上工作；客户端上的自动更新组件只能在该端口上与 SUS 服务器进行通信。

• SUS 1.0 SP1 在 Windows 2000 Server（附带 Service Pack 2 或更高版本）上运行。必须在服务器上启用 IIS。


返回页首
评估阶段 – 扫描更新

开始使用 SUS 将软件更新部署到产品环境中之前，必须执行审核。有关背景信息，请参阅模块修补程序管理阶段 1 – 评估。

如果使用 SUS 进行修补程序管理，必须使用 MBSA 进行审核和扫描。MBSA 将报告以下操作系统上缺少的安全更新和 Service Pack，并识别其漏洞：

• Microsoft Windows Server 2003

• Windows XP

• Windows 2000

• Windows NT 4.0


MBSA 还报告计算机配置是否符合常见的最佳安全实践（如强密码）。

此外，MBSA 还报告以下应用程序缺少的安全更新：

• Microsoft Internet Information Server 4.0

• Microsoft Internet Information Services 5.0 和 6.0

• Microsoft SQL Server 7.0 和 SQL Server 2000（包括 Microsoft SQL Server Desktop Engine (MSDE) 1.0 和 MSDE 2000）

• Microsoft Exchange Server 5.5 和 Exchange Server 2000（包括 Exchange 管理工具）

• Microsoft Internet Explorer 5.01 及更高版本

• Microsoft Windows Media Player 6.4 及更高版本


MBSA 还识别以下应用程序的错误配置设置：

• Internet Information Server 4.0

• Internet Information Services 5.0 和 6.0

• Internet Explorer 5.01 及更高版本

• SQL Server 7.0 和 SQL Server 2000（包括 MSDE 1.0 和 MSDE 2000）

• Office 2000 和 Office XP

• 使用 MBSA 扫描更新

1.
在安装 MBSA 的工作站上，以域管理员的身份登录并运行 MBSA GUI。

2.
单击“选取多个要扫描的计算机”并输入要扫描的域名或 Internet 协议 (IP) 地址范围。如果要扫描整个域，则输入的名称必须为该域的 NetBIOS 名称，而不是 DNS 中所使用的完全限定域名 (FQDN)。

3.
选择“使用 SUS 服务器”并输入 http:// server，其中 server 是所需的 SUS 服务器名，如图 1 所示。





图 1
扫描域或 IP 地址范围中的计算机

4.
单击“开始扫描”并等待结果。

5.
单击“选取要查看的安全报告”并单击要查看其报告的计算机。

6.
单击“结果详细信息”以查看详细信息。



注意：MBSA 只检测操作系统和软件应用程序的软件更新的存在或缺少情况，这些特定的软件更新内容列在 Microsoft 知识库文章 306460“Hfnetchk Returns Note Messages for Installed Patches”中，其网址为 http://support.microsoft.com/def ... 6460（英文）。

MBSA 的输出将标识您的 IT 基础结构中是否已采用物理方式安装了 MBSA 被指定进行扫描的软件应用程序，以及确保这些应用程序的安全所需的安全更新。

图 2 所示为一个 IIS 5.0 安装在 Windows 2000 成员服务器上的示例。



图 2
MBSA 扫描的输出

MBSA 的 GUI 版本扫描文件版本和注册表项信息。使用 MBSA 的命令行版本 (Mbsacli.exe) 可以执行更加全面的产品环境扫描，它可以验证每个扫描的安全更新的文件校验和版本、文件版本和注册表项信息。

使用 MBSA 命令行版本时，有两个可以选择的选项：

• 使用 /hf 开关可以仅执行安全更新扫描

• 如果不使用 /hf，将执行对整个计算机的扫描


使用 Mbsacli.exe（带 /hf 开关）创建的扫描结果可以在命令行上查看，也可以发送至输出文件中；而使用 Mbsacli.exe（不带 /hf 开关）则会产生一个 XML 扫描报告，此报告可以在 MBSA GUI 中查看。可以将 Mbsacli.exe /hf 的输出导入 Microsoft Excel 或文本文件中，以进行进一步分析。

返回页首
评估阶段 – 设置环境基准

您可以结合使用 MBSA 命令行实用程序 (Mbsacli.exe /hf) 的输出及 Microsoft Excel 中的“数据透视表和数据透视图”功能，标识产品环境中已部署的项目，并设置适当的基准。有关背景信息，请参阅模块修补程序管理阶段 1 – 评估。

注意：SUS 客户端将自动应用 SUS 服务器上可用于它们（且已被批准）的更新。因此，这些更新可能不需要包含在结构映像中，而可以在将新的计算机加入域时应用。然而，实践中，许多通过 SUS 提供的更新不是对计算机的成功运行非常关键，就是可以降低受安全漏洞影响的风险。这表明管理员应当向基础结构添加新的安全更新，这样新计算机从部署到产品环境中的那一刻起就会得到保护。

返回页首
评估阶段 – 设计 SUS 基础结构

评估软件分布基础结构是有效的修补程序管理过程的另一个重要组成部分。有关背景信息，请参阅模块修补程序管理阶段 1 – 评估中的“评估现有软件分布基础结构”部分。

应该只将一个 SUS 父服务器配置为自动从 Microsoft 公共 Windows Update 服务器下载软件更新，如图 3 所示。请注意，在父服务器上应仅批准经过测试且已批准部署的更新。



图 3
推荐的 SUS 拓扑结构

借助预先配置的同步计划，SUS 父服务器可以每天从公共的 Microsoft Windows Update 服务器下载关键更新和安全更新。这需要在防火墙中打开出站 TCP 端口 80。

SUS 测试服务器被配置为可从 SUS 父服务器下载更新。这也可以在每天固定的时刻进行，其同步时间应设置为 SUS 父服务器与公共 Microsoft Windows Update 服务器同步后一小时。（一小时是距离 SUS 父服务器同步计划所可能的最接近的时间。）这样做是为了确保软件包尽快到达 SUS 测试服务器并能够进行审批和测试。

SUS 测试工作组应当在 SUS 测试服务器上审批新的更新。审批结束后，更新便立即可用于所有的 SUS 测试客户端。为避免所有的 SUS 测试客户端同时轮询 SUS 测试服务器，这些客户端将每隔 22 小时轮询该服务器一次，时间间隔的差别最多不超 20%，以实现随机性。特定更新测试成功后，SUS 管理员应当在 SUS 父服务器上批准该更新。

在 SUS 父服务器上批准更新后，向该服务器报告的 SUS 客户端在默认情况下将于 22 小时之内开始从该服务器下载更新。安装根据指定的时间表开始进行，也可以由本地管理员执行。向 SUS 子服务器报告的客户端计算机，将在批准到达子服务器起的 22 小时之内开始下载更新。

SUS 子服务器将被配置为每天与父服务器自动同步。子服务器将同步并下载所有的内容，以及 SUS 父服务器上的已批准项目。同步完成后，SUS 父服务器上的所有已批准更新都将镜像到 SUS 子服务器上镜像，并且立即可用于产品 SUS 客户端（这些客户端配置为可以向这样的 SUS 子服务器轮询关键和安全更新）。

在图 3 所示的拓扑结构设计中，管理员只需在 SUS 父服务器上批准更新，就可以使该更新可用于所有的产品 SUS 客户端。随时都可以对所有的 SUS 服务器进行手动同步。

Microsoft 有时会更新软件更新的检测条件（元数据），这将导致软件更新表现为“已更新”状态。此外，如果重新发布了软件更新，也有可能会导致界面上显示“已更新”状态。重新发布软件更新的情况很少发生，但是，如果发生，软件更新公告中将显示相关信息。如果更新的原始版本已在 SUS GUI 中得到批准，则 SUS 管理员可以将 SUS 服务器配置为自动审批，或手动审批重新发布的更新版本。

要确保不会在未经过测试的情况下自动将已修改的更新发布到产品环境中，管理员应当在 SUS 服务器上选择选项“不要自动审批新版本的已批准更新。我将在以后手动批准这些更新”。

同步时间间隔

应当将父服务器配置为可根据每天的同步时间安排从公共 Microsoft Windows Update 服务器下载更新，但是管理员可以通过手动选择“SUS 服务器管理”页上的“立即同步”选项更频繁地请求更新。

应当将下载配置为在网络空闲时进行。通常，一天一次应当已足够，如图 4 所示。



图 4
配置 SUS 以下载更新

请注意，应当将子服务器配置为按照计划的时间间隔从父服务器自动下载新的更新。此时间间隔应当安排在父服务器从公共 Microsoft Windows Update 服务器下载更新后至少一小时。

如果管理员知道在计划的下一次下载之前已发布了更新，可以使用“立即同步”选项。

返回页首
识别阶段 – 获得通知

评估环境之后，下一个阶段将关注识别问题以及获得有关可用更新的信息。有关背景信息，请参阅模块修补程序管理阶段 2 – 识别。

Microsoft 安全通知服务

电子邮件是最常用的软件更新通知方式。接收电子邮件通知的一种方法是在 http://www.microsoft.com/technet ... �英文）上预订 Microsoft Security 通知服务。

SUS 修补程序警报服务

如果您已注册 SUS 修补程序警报服务，通常系统会通过电子邮件通知您可以使用 SUS 部署新的更新，如图 5 所示。该电子邮件指示可以在公共 Windows Update 服务器中下载的新更新程序，但并不说明这些更新程序的内容。



图 5
通知管理员可通过 Microsoft Software Update Services 获得最新软件更新的电子邮件示例

返回页首
识别阶段 – 处理通知

收到通知后，您需要确定有哪些可用的软件更新。有关背景信息，请参阅模块修补程序管理阶段 2 – 识别。

在 SUS 中，您应该在每次收到新的电子邮件更新通知时在 SUS 服务器和公共 Windows Update 服务器之间强制进行同步。这可以通过使用“SUS 服务器管理”页上的“立即同步”选项得以实现，如图 6 所示。



图 6
强制 SUS 服务器与 Microsoft Windows Update 服务器同步内容

注意：使用 SUS 只能部署“SUS 服务器管理”页中显示的更新。

要确定各个软件更新与产品环境中的计算机的相关性，应参阅相关的安全公告或知识库文章。可以按照下面介绍的过程从“SUS 服务器管理”页中访问此文档。

• 查找软件更新的详细信息

1.
单击审批日志超链接。

2.
查找要检查的特定更新。

3.
单击“详细信息”以查看特定的更新（如图 7 所示）。





图 7
SUS 审批日志

4.
在“更新详细信息”对话框中，单击“信息”图标（如图 8 所示）。




图 8
访问更新的支持信息



注意：当管理员通过“SUS 服务器管理”页面选择要审批的特定更新时，该更新将自动通知与其他更新的相关性。审批特定更新时将自动审批该特定更新所依赖的所有更新。自动更新客户端将确保按照正确的顺序安装这些更新。

返回页首
识别阶段 – 确保安全更新是安全的

前已述及，所有 Microsoft 通过公共 Windows Update 服务器提供的安全更新都带有数字签名。SUS 服务器下载新的安全更新时，将自动检查该更新的签名。有关背景信息，请参阅模块修补程序管理阶段 2 – 识别。

SUS 父服务器将下载新的更新并使用临时文件扩展名 (.tmp) 存储它们。仅当成功验证数字签名后，才会使用文件的原始文件扩展名（如 .exe）重命名它们，并将它们置于 \Content\Cabs 文件夹下（如图 9 所示）。



图 9
SUS 服务器上带数字签名的更新的位置

如果更新没有通过数字签名检查，将在 SUS 下载服务器上的事件日志中写入一个错误，同步日志中将记录一次由于签名检查失败而导致的更新下载失败，如图 10 所示。



图 10
数字签名验证失败

SUS 管理员必须每天都检查同步日志中的下载失败记录。SUS 客户端将执行同样的过程，无论它们是从公共 Windows Update 服务器下载更新还是从 SUS 服务器下载更新。

由于 SUS 父服务器是组织中的客户端以及组织中的 SUS 服务器的更新来源，因此 SUS 管理员应当确保在该计算上将病毒扫描程序安装为一个服务，并将其配置为扫描所有的传入或传出文件。

验证软件更新安装步骤

测试卸载是否正常工作是非常重要的。卸载之后，应该检查服务器是否仍按照预期运行，并且应继续观察事件日志和系统监视器计数器。

软件更新无法由 SUS 自动卸载，因此必须使用“控制面板”中的“添加或删除程序”手动删除它们。如果将影响大量计算机，最好开发一个执行此任务的脚本。

返回页首
评估和计划阶段 – 安排更新

如果您的计算机对业务运行非常关键，且对计算机进行更改和重新启动需要在特定时间内（停机窗口）进行，则需要将软件更新部署和由此而引起的所有系统重新启动操作安排到这些停机窗口中。有关背景信息，请参阅模块修补程序管理阶段 3 – 评估和计划中的“规划发布”部分。

• 在 SUS 环境中安排更新

1.
使用“自动下载并通知安装”设置，将组策略对象 (GPO) 中的策略设置配置为可以下载但“不安装”所需的更新。

2.
监视这些服务器上的事件日志，以确认所需的更新已下载并能够安装。

3.
登录到服务器并开始安装，然后授权在需要时在与更改管理员达成一致的日期和时间重新启动计算机。



如果将工作站上的最新更新内容的安装（和可能的计算机重新启动）安排到正常工作时间以外，则应使用“重新安排自动更新预定安装”GPO 设置使得错过预定安装的计算机可以能够将安装重新安排到在自动更新服务启动时执行。

注意：如果不使用此 GPO 设置，则在（由于关闭了客户端计算机）错过预定安装后，将不再进行安装，即使重新启动计算机也是一样。相反，SUS 客户端软件会等到下一个预定启动时间到来后再次尝试安装。这可能会引起一个问题：除非计算机在预定的安装时间处于联机状态，否则更新将永远不会被应用。

默认情况下，安装更新后需要重新启动计算机，不具备本地管理员权限的用户在计算机执行强制重新启动之前，只有 5 分钟时间保存或保护他们的工作。

• 防止强制重新启动

1.
请使用“不自动重新启动预定的自动更新安装”GPO 设置控制重新启动行为。如果启用 GPO 设置，则当用户仍处于登录状态时，该设置将阻止自动更新自动重新启动计算机。

2.
为使此设置生效，最终用户必需具有对他们的计算机的“重新启动”权限。



注意：如果要修补的产品是使用 Windows Installer 部署的，则该 Installer 可能需要具备对原始安装文件的访问权限。如果执行的是无人参与软件更新安装，这些文件需要与最初安装该产品时位于“同一”位置。如果产品是从物理介质（如 CD 驱动器）中安装的，则 Windows Installer 将尝试在当前插入的 CD 上查找原始文件。

返回页首
评估和计划阶段 – 部署紧急变更请求

紧急变更请求需要特定的步骤和注意事项。有关背景信息，请参阅模块修补程序管理阶段 3 – 评估和计划。

如果变更请求指示软件更新对业务非常重要，则您必须：

• 使用“组策略”强制客户端在它们的常规预定维护窗口之前安装该软件更新。

• 覆盖正常的同步安排，在正常的计划中，子 SUS 服务器将在网络空闲时同步更新，方法是使用“SUS 服务器管理”页上的“立即同步”在已下载更新的 SUS 服务器与任何子服务器之间强制执行复制。


返回页首
评估和计划阶段 – 生成发行版本

部署更新之前，可能需要准备更新可执行文件和发布包。有关背景信息，请参阅模块修补程序管理阶段 3 – 评估和计划。

由 SUS 部署的更新是从公共 Windows Update 服务器直接下载的，并且已经打包为 .exe 文件格式，因此不需要重新打包以进行部署。

使用 SUS 执行引导滚动

有关背景信息，请参阅模块修补程序管理阶段 3 – 评估和计划。

• 执行引导滚动

1.
请仅在 SUS 引导服务器上审批更新。不要在任何其他的 SUS 服务器上审批更新。

2.
创建新的站点级 GPO（称为“SUS 引导 GPO”）并配置策略设置，使得应用此 GPO 的计算机引用 SUS 引导服务器获得更新。

3.
应用安全性筛选，以便只有 SUS 引导客户端对此 GPO 具有“读取并应用策略设置”权限。

4.
通过将此 SUS 引导 GOP 置于分配给站点的 GPO 列表的顶部，确保其优先级。确保“强制”(Windows 2003) 或“不覆盖”(Windows 2000) 选项已启用，以确保应用该策略。

5.
将更新成功部署到产品环境中后，管理员应当删除该 SUS 引导 GPO。引导所涉及的客户端，在刷新“组策略”后应当还原到产品 SUS 服务器，以获取新的更新。



如果引导不成功，则需要在引导 SUS 服务器“取消批准”它，并从已安装它的客户端上卸载它。管理员需要使用“控制面板”中的“添加或删除程序”手动执行此操作（可能时）。对于不能手动卸载的更新，请使用 Windows XP 的系统还原实用程序、Windows Server 2003 和 Windows 2000 的备份和还原工具（或所使用的其他还原技术）将客户端还原回安装更新前的上此已知正常状态。

返回页首
部署阶段 – 传达滚动计划

安全并成功地部署更新之前，需要通知用户，这是因为可能有些特定的操作需要他们执行，以协助更新安装过程。有关背景信息，请参阅模块修补程序管理阶段 4 – 部署。

• 清楚地传达滚动计划

1.
向用户和管理员发送内容清楚且显眼的电子邮件，通知他们将进行更新并提供有关如何安装的信息。如果要在非重要工作时间以外的时间内更新桌面，应当向最终用户发送电子邮件，通知他们在特定日期不要关闭计算机。

2.
应当对此邮件进行标记，以提醒用户和管理员为安装软件更新所需执行的操作。这些操作取决于对特定 SUS 客户端强制的下载和安装策略设置。

• 通知下载和通知安装
使用本地管理员权限登录的用户将收到有关将应用于客户端计算机的新批准的更新的通知，他们需要在工具栏上出现“可以下载新的更新通知”时选择下载更新的选项。要完成安装，用户需要在下载完成后显示“可以安装新的更新通知”时选择安装软件更新的选项。
只要尚未安装当前已检测的更新，自动更新客户端就不会与 SUS 服务器联系来获取进一步的更新信息。

• 自动下载并通知安装
新批准的、应用于客户端计算机的更新将由自动更新客户端自动下载。为了安装软件更新，使用本地管理员权限登录的用户需要在出现“可以安装新的软件更新”通知时选择进行安装的选项。
只要尚未安装当前已检测的更新，自动更新客户端就不会与 SUS 服务器联系来获取进一步的更新信息。

• 自动下载并安排安装
如果选择此选项，则使用本地管理员权限登录的用户将收到新更新可用的通知，并获得在预定安装时间之前安装更新的选项，或在安装完成后延迟重新启动（如果被要求）的选项。
没有本地管理员权限的用户将不会获得此选项，更新将在预定时间在后台安装。仅当启用“不自动重新启动预定的自动更新安装”策略设置时，这些用户才可以选择延迟计算机的重新启动。如果不启用此设置，则自动更新客户端将通知用户系统将在 5 分钟之内关闭，并在这段时间过去后自动重新启动系统。

注意：还应该使用“重新安排自动更新预定的安装”GPO 设置，使得错过预定安装的计算机可以将安装重新安排到在自动更新服务启动时进行。




返回页首
部署阶段 – 在 SUS 服务器上暂存更新

客户端要想安装新的更新，这些更新必须位于客户端的本地 SUS 服务器上。有关背景信息，请参阅模块修补程序管理阶段 4 – 部署。为避免影响正常的业务操作，应当将 SUS 子站点安排为在网络空闲时同步更新（和已批准更新的列表）。需要检查每个子服务器上的同步日志，以检查服务器上是否有特定的更新。图 11 演示了此过程。



11
检查服务器上是否有该更新

如果 SUS 子服务器上没有该更新，则应该运行手动同步以下载更新，然后检查同步日志以确认更新是否已收到。

注意：如果外围网络中有 SUS 服务器，则必须将来自 SUS 下载服务器的与 SUS 有关的内容复制到脱机介质中，将其传输至外围网络，然后将其复制到配置本地 SUS 服务器被配置为从中获取源文件的服务器中。

• 通过分阶段滚动发布更新

1.
在 SUS 父服务器上禁用更新“审批”列表同步。虽然子服务器具有更新中的文件的副本，但是该副本不会被部署到客户端，这是因为审批列表尚未同步。

2.
应当随后启用审批列表同步，以将滚动内容发布到不同的站点。



返回页首
部署阶段 – 向客户端计算机通告软件更新

将软件更新部署到产品环境中所必需的第一步是向客户端计算机通告软件更新。滚动可以是分阶段的，也可以使所有的客户端在同一部署期间收到更新。有关背景信息，请参阅模块修补程序管理阶段 4 – 部署。

开放式滚动

如果不要求分阶段滚动，则应该执行以下过程。

• 实现开放式滚动

1.
在 SUS 父服务器上审批更新。这将使更新可用于使用 SUS 父服务器获取更新的客户端，如图 12 所示




图 12
在 SUS 父服务器上审批更新

2.
如果将自动更新客户端配置为可在有新的更新时通知本地管理员，SUS 客户端将在下一个检测周期内或在本地管理员提示时开始下载新批准的更新。



SUS 客户端每隔 17 到 22 小时轮询 SUS 服务器一次，查找新的更新。假设有一个新的更新已被批准，并且已存储到本地 SUS 服务器上，则将自动下载该新更新，并向已登录的用户（如果该用户具有本地管理员权限）发送通知，告知他们新的更新可用。下载完成时，将根据为该自动更新客户端选择的安装选项执行安装。

注意：如果选择了通知下载和通知安装的选项，将不会自动下载更新。已登录的本地管理员必须请求下载，才能实际执行下载。

自动更新安装选项包括:

• 预定安装：
更新将自在预定的安装时间安装，除非本地管理员已提前安装。在预定的时间，计算机必须处于联机状态，才能进行安装。但是，“重新安排自动更新预定安装”GPO 设置允许错过预定安装时间的计算机在自动更新服务重新启动时执行安装。

• 通知安装：
本地管理员（登录后）将收到更新可以进行安装的通知。管理员可以立即安装更新，也可以将安装推迟到更加合适的时间。没有本地管理员权限的用户将无法了解即将发布的更新。


如果要安装的更新需要重新启动，本地管理员可以将重新启动时间延迟到一个更加合适的时间。他们应该了解在重新启动之前不能下载或安装任何其他更新。

如果启用“预定的安装”选项和“不要自动重新启动预定的自动更新安装”GPO 设置，系统将提示具有计算机重新启动权限的用户以及具有本地管理员权限的用户在执行安装后重新启动。仅当没有其他用户使用远程桌面工具（如终端服务）交互式登录到计算机时，才可以进行重新启动。

SUS 子服务器在下一个同步时间间隔中同步更新审批，并以前面提到的方式使更新可用于它们的客户端。

具有本地管理员权限的用户将通过任务栏图标（如图 13 所示）得到有关任何等待预定安装时间的更新的通知。他们能够强制立即执行安装（仍登录时），或等待在预定的安装时间自动执行安装。



图 13
向已登录用户通知新的更新

假设已启用“不要重新启动预定的自动更新安装”策略设置，则对于没有这些权限的用户，唯一的通知消息就是指示更新已安装，并且需要重新启动计算机，如图 14 所示。


图 14
不自动重新启动 SUS 客户端

如果不是这种情况，则自动更新客户端将通知用户系统将在 5 分钟之内关闭，并且它将在这段时间过去后自动重新启动系统。

分阶段滚动

如果要通过分阶段滚动发布更新，应执行以下过程。

• 实现分阶段滚动

1.
在父 SUS 服务器上审批更新。

2.
在由该服务器支持的客户端上成功部署更新后，应当在下一个滚动阶段中在支持客户端的 SUS 子服务器上启用审批列表同步。



例如，如果将影响所有 Windows XP 客户端的更新首先发布到 Seattle 客户端，那么在部署完成后，对于 Cambridge 中的客户端来说，SUS 管理员将首先在 Seattle SUS 服务器上审批更新，然后客户端将开始下载并安装该更新。在 Seattle 部署完毕后，SUS 管理员将在 Cambridge SUS 服务器上启用审批列表同步，该同步操作在滚动准备阶段处于禁用状态。成功同步审批列表后，在 Seattle 服务器上批准的更新将可用于由 Cambridge 服务器支持的客户端。

紧急变更请求
某些情况下，您可能需要避免在“SUS 服务器管理”页上获得更新的批准与在目录服务器上部署更新之间的时间延迟。对于可以防止对关键性服务器的安全性破坏的更新，应当尽快部署，而不应等到下一个预定安装时间再进行部署。

以下过程给出了发布软件更新并强制关键性服务器安装该更新所需的步骤。也可以为应用到工作站的软件更新采用类似的过程。

注意：此过程只能在具有足够的可用网络带宽的业务场所成功实现，足够的带宽可以使软件更新文件和更新的审批列表用于 SUS 服务器。

• 使用 SUS 和组策略快速部署更新

1.
将临时组策略对象 (GPO) 分配到组织单元 (OU) 结构的适当部分，并使用安全筛选功能确保将该策略应用于适当的计算机。请注意，此临时 SUS GPO 的优先级应高于通常使用的 SUS GPO。应当将此 GPO 中的策略设置配置为可禁用自动更新客户端，并将计算机的默认组策略刷新时间间隔更改为 5 分钟。

2.
强制域控制器复制，以便所有域控制器都具有新组策略对象的副本。

3.
等待 120 分钟，使 OU 内的所有客户端刷新组策略。

4.
修正新 GPO 策略中的策略设置，以便自动更新客户端得到启用，并设置为自动下载和自动安装。将自动安装设置为在当前时间 1 小时后进行。

5.
强制域控制器复制，以便所有域控制器都具有已更改的组策略对象的副本。

6.
等待大约 5 分钟，以使所有的 SUS 客户端刷新已更新的 SUS GPO 设置。GPO 生效后，自动更新客户端应当开始从 SUS　服务器下载新的更新。达到指定的时间后，安装就会开始。

7.
更新程序成功安装在所有目标计算机后，应删除用于进行所有更改的临时 GPO。服务器在刷新它们的组策略设置后就会恢复已有的自动更新下载和安装选项。



注意：仅在更新对业务运行十分关键时，才应该考虑此过程。一般情况下，管理员应等待标准的 SUS 安装计划。

返回页首
部署阶段 – 监视并报告部署进度

由于计算机可能会因为多种原因而无法安装更新，因此监视部署进度非常重要。有关背景信息，请参阅模块修补程序管理阶段 4 – 部署。

要监视在 SUS 环境下是否成功地发布了已部署更新，应当运行 MBSA 工具并监视在 MBSA 输出列表产生的报告中特定的软件更新是否不再显示为缺失项。

MBSA 还可以标识已安装的更新，以及已在 SUS 服务器上批准但尚未安装的更新。

• 扫描多个计算机

1.
在安装 MBSA 的工作站上，以域管理员的身份登录并运行 MBSA GUI。

2.
单击“选取多个要扫描的计算机”并输入要扫描的域名或 IP 地址范围。如果要扫描整个域，则输入的名称必须为该域的 NetBIOS 名称，而不是 DNS 中所使用的完全限定域名 (FQDN)。

3.
选择“使用 SUS 服务器”并输入 http:// server，其中 server 是所需的 SUS 服务器名，如图 15 所示




图 15
扫描域或 IP 地址范围中的计算机

4.
单击“开始扫描”并等待结果。

5.
单击“选取要查看的安全报告”，然后选择要查看其报告的计算机。

6.
单击“结果详细信息”以查看详细信息。



进行部署时，某些计算机不能安装软件更新的原因可能有许多，包括：

• 计算机因某些原因脱机，例如，用户外出、用户必须拨号上网、移动用户或正在对计算机进行维护。

• 正在重新构建计算机或为计算机重新制作映像。

• 具有自动更新客户端的计算机不能与 SUS 服务器进行通信。

• 自动更新客户端服务已被用户停止或者由于进行维护而被停止。

• 计算机的磁盘空间不足。


如果其中的某个原因导致不能在给定的 SLA 中修补客户端计算机，则需要确定应采取哪些缓解措施来扭转这一情况。尽管您可能无法修补所有的计算机，但应确保完全了解计算机无法修补或不应修补的原因。

以下指导原则可帮助您解决一些安装软件更新失败问题，并帮助您使更多计算机回复正常：

• 请始终在第一个部署阶段之后重新扫描环境，以标识第一阶段中漏掉的计算机。

• 经常监视和报告部署进度。重新扫描和监视将导致后续的重新部署阶段以被报告为异常的计算机为目标。

• 始终以查找导致部署失败的根本原因为首要任务。

• 对于脱机或正在重新构建的计算机，只要自动更新客户端服务处于健康状态，则当计算机下次联机时，将下载并安装软件更新。

• 为增加部署的成功率，请参阅本部分中的指导原则。

• 处理不成功的部署

1.
检查自动更新客户端上的事件日志中任何与 SUS 有关的错误。可以在“Software Update Services Deployment”白皮书的附录 B“Software Updates Services Event Log Messages”中找到自动更新客户端的可能事件的完整列表，该白皮书可从 http://www.microsoft.com/windows ... �文）中下载。

2.
检查 SUS 服务器上的 IIS 日志，以查找出现故障的自动更新客户端。检查客户端IP 地址条目和日志条目。验证每个条目的 HTTP 返回代码（例如 404），以确定此问题是否是由下载故障引起的。

3.
检查 Windows Update 日志文件。该文件记录由自动更新客户端执行的所有活动，位于各个客户端计算机的系统文件夹根目录下。应当扫描该文件以了解过去的活动的详细信息和错误消息。

4.
检查 Iuhist.xml 文件，该文件记录已安装更新的全部历史记录以及它们的下载位置。可以在 Program Files\WindowsUpdate\V4 下找到此文件。



如果自动更新客户端无法下载更新，则需要在注册表中验证该自动更新客户端的状态。

• 验证自动更新客户端的状态

1.
在注册表中，转至 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update。

2.
查找自动更新客户端的 AUState 值。要使客户端能够查找新批准的更新，必须将 AUState 的值设置为 2。如果将 AUState 设置为 5，则客户端将挂起下载更新的安装，且在安装这些更新之前不会运行新的检测。安装完成后，该客户端会将本身重置为 AUState 2。如果将 AUState 设置为 7，则将禁用该客户端。如果将 AUState 设置为 8，则将执行安装，但计算机不会重新启动。



返回页首
部署阶段 – 处理失败的部署

如果确定部署不成功并且需要停止或回滚，则需要停止滚动，卸载发生故障的更新，然后重新部署它们。有关背景信息，请参阅模块修补程序管理阶段 4 – 部署。

停止已批准更新的部署

如果部署失败并且您需要阻止进一步安装，必须取消 SUS 服务器上的更新审批。在已下载更新但尚未安装的客户端上，本地管理员可以从待安装的更新列表中手动删除它。

在图 16 中，管理员已选择不安装 Q318138 更新。



图 16
选择不安装更新

注意：如果本地管理员选择不安装特定更新（如图 16 所示），则该更新将不会被安装，即使 SUS 管理员在“SUS 服务器管理”页面重新审批该更新，也是一样。这种情况下，计算机的本地管理员只需在该客户端上使用“控制面板”的“自动更新”中的“拒绝安装”按钮进行安装即可。

如果计算机已安装批准的更新，则只需通过使用“控制面板”中的“添加或删除程序”便可删除更新。并不是所有的更新都能被删除，这种情况下，Windows XP 计算机可以使用系统还原实用程序回滚。对于 Windows 2000 和 Windows Server 2003 系统，则必须使用它们的备份还原技术，将计算机还原回上次已知正常状态。在检查并测试特定的更新时，应当研究并确认以上信息，但在部署无法卸载的更新之前，应始终进行备份。