本页内容
 |
简介 |
|
SUS 2.0 中计划包含的功能 |
|
功能一览 |
|
SUS 2.0 和更新管理进程 |
|
SUS 2.0 管理更新 |
|
后续步骤 |
简介
即将发布的 Software Update Services (SUS) 2.0 致力于帮助用户对基于 Microsoft® Windows® 2000 和 Windows Server™ 2003 的服务器以及运行 Microsoft® Windows® 2000 Professional 或 Windows® XP Professional 的台式机快速部署最新的重要更新和安全更新。
通过使用计划发布的 SUS 2.0,信息技术 (IT) 管理员可以完全控制管理通过 Windows Update 发布给网络中的计算机的更新的分发。
SUS 2.0 解决方案提供包括下列组件的管理体系结构:
| • |
Windows Update - 包括所有基于产品和更新类型的可用 Microsoft 更新的 Microsoft 网站。 |
| • |
服务器组件 - Microsoft 软件更新服务,称为 SUS 2.0 服务器,用于安装在公司防火墙内运行 Windows 2000 Server 或 Windows Server 2003 家族操作系统的计算机上。服务器组件提供通过基于 Web 的工具管理和分发更新的管理功能,管理员可以访问公司网络中的任何 Windows 计算机。 |
| • |
客户端组件 - 自动更新(Automatic Updates),即客户端组件,在接收 Microsoft 产品更新的计算机上运行。本组件可以将服务器和客户端计算机直接连接至 Windows Update 或连接至接收更新的运行 SUS 2.0 的服务器上。自动更新组件计划纳入 Windows 2000 Service Pack 4 (SP4) 和更高版本、Windows XP 和更高版本以及 Windows Server 2003 中。 |
SUS 2.0 中计划包含的功能
SUS 2.0 构建在 SUS 1.0 的功能之上,目前计划提供下列功能:
| • |
扩展对包括 Office、SQL Server、Exchange 和硬件驱动程序在内的 Microsoft 产品的支持 |
| • |
扩展对附加更新类别的支持 |
| • |
提供使用 Windows 客户端或服务器计算机支持的任何语言的计算机部署更新的能力 |
| • |
自动排列优先级和下载重要更新 |
| • |
通过后台智能传输服务 (BITS) 技术提高带宽效率 |
| • |
提供对特定计算机组进行更新的能力 |
| • |
提供管理员选择和决定自动下载特定类型更新的计划的能力 |
| • |
改进了报告能力,使管理员能够监视更新部署状态和服务器的正常运转 |
| • |
扩展了通过应用程序编程接口 (API) 和脚本管理客户端和服务器组件的能力 |
| • |
SQL Server 引擎用作 SUS 2.0 数据知识库 |
| • |
方便地从 SUS 1.0 迁移到 SUS 2.0 |
要求
计划的 SUS 2.0 要求如下:
服务器
| • |
Windows 2000 Server SP4 或更高版本或 Windows Server 2003 |
| • |
Microsoft Internet Information Services (IIS) 5.0 或更高版本、Microsoft Internet Explorer 6.0 |
客户端
| • |
Windows 2000 Service Pack 3 (SP3) 或更高版本、Windows XP 和 Windows Server 2003 |
功能一览
SUS 2.0 目前计划提供下列功能。
客户端功能
自动更新使 Windows 能够自动下载和安装 Microsoft 产品的更新。下表中列出的是计划的客户端组件的主要功能。
SUS 2.0 计划的客户端功能
| 功能 | 说明 |
|
内置安全 |
内容: |
|
自动检测、下载和安装适用更新 |
自动更新可以确定如果计算机缺少更新则可以自动启动下载和安装。 |
|
用户可用的计划和通知选项 |
用户可用的计划和通知选项可以通过组策略进行配置。 |
|
有效的后台下载更新 |
自动更新计划使用 BITS(一种创新的带宽限制技术),已内置入 Windows 2000 SP3 和更高版本的操作系统中,用于将更新下载至计算机。 |
|
安装更新时不中断用户 |
设置为该选项时,自动更新能够在无需重启或中断服务的情况下,一找到更新就立即安装,而不会等到计划的自动安装时间。而且,自动更新将把需要计算机重启的更新合并到一次重启中。 |
|
强大的、可扩展的管理员管理能力 |
在 Active Directory® 目录服务环境中,计划为管理员提供通过使用组策略配置自动更新行为的可能性。在其他情况下,计划为管理员提供通过使用登录脚本或类似机制使用注册表项远程配置自动更新的能力。 |
|
客户端计算机的自我更新 |
在管理员托管方案中,客户端计算机可以将其自动更新组件更新为新版本,而无需管理员重新配置计算机。 |
|
改进的更新适用规则 |
SUS 2.0 客户端具有仅下载和安装真正对计算机适用的特定更新的能力。而管理员不用猜测更新安装在何处,SUS 2.0 客户端与 SUS 2.0 服务器协同来评估将哪一个更新应用至特定系统。例如,客户在 Windows XP 计算机上安装适合于 Windows 2000 的更新时不会有风险。 |
服务器端功能
SUS 2.0 服务器管理工具计划提供一套强大的管理功能。下表中列出了服务器组件的功能。
SUS 2.0 计划的服务器端功能
| 功能 | 说明 |
|
内置安全 |
SUS 2.0 管理工具页限于 SUS 2.0 服务器上的本地管理员。同步将通过更新服务器验证所有下载的数字签名。如果签名不是来自于 Microsoft,包将被删除。此进程使用的协议保证 SUS 2.0 服务器与 Windows Update 站点通信的安全性和可靠性。 |
|
更多内容 |
SUS 2.0 支持随时间推移更新所有的 Microsoft 产品。 |
|
新数据模型 |
SUS 2.0 组件旨在通过新数据模型处理更新,在该模型中更新之间可以存在复杂的关系(例如,更新之间的取代和依赖)。 |
|
更新管理体系结构和横向扩展支持 |
SUS 2.0 计划为管理员提供创建由 SUS 2.0 服务器层次结构组成的更新管理体系结构的能力。例如,SUS 2.0 服务器可部署为匿名服务器、从属副本主机或负载平衡群集。因此,SUS 2.0 横向扩展为可处理任意多个客户端。 |
|
预先部署检查和审批 |
通过在一个特定的目标组中向所有计算机发送预先部署请求,计划使管理员可以评估需要更新的计算机数目以及部署更新将影响网络的程度。预先部署检查使得管理员能够在实际部署安装更新前执行更新影响分析。 |
|
目标 |
目标计划使管理员能够创建同等级的计算机的目标组并从一个 SUS 2.0 服务器为那些组指定特定更新。此外,SUS 2.0 将支持下列功能:客户端和服务器端目标、支持 Active Directory 环境的基于注册表的策略以及非 Active Directory 环境的服务器端列表。 |
|
管理员定义的下载行为 |
除了 BITS 技术将促进的有效后台下载外,计划的 BITS 技术使得服务器能够同步基于管理员定义的更新首选项和计划。管理员能够在更新下载时指定时间段(包括部署的仅下载作为更新的选项)和出现下载时使用的网络带宽值。 |
|
基于截止时间的安装(或卸载) |
计划让管理员能够强制安装更新的截止时间。在这种情况下用户不能在指定截止时间后延期安装更新。 |
|
卸载 |
如果更新支持卸载,当部署更新后确定更新不适合产品环境时管理员可以启动卸载更新。 |
|
报告 |
计划使管理员能够通过 SUS 2.0 报告功能监视更新活动和服务器的正常运转。为监视和管理更新活动,SUS 2.0 提供基于客户端发送的事件,包括每次更新、每台计算机和每个目标组的更新部署状态的标准报告。此外,如果管理员要创建客户报告,则能够访问 SUS 2.0 数据库中的只读视图。 |
|
通过 API 扩展管理 |
管理员可以使用脚本通过基于 .NET 的 API 管理 SUS 2.0 服务器。开发人员可以创建通过 SUS 2.0 API 与 SUS 2.0 集成的管理应用程序。可以使用 SDK。 |
|
导入和导出能力 |
管理员可以使用导入和导出功能在两个 SUS 2.0 服务器之间下载和传输更新。在这种情况下,导入和导出功能将使在没有物理 Internet 访问或与其他网络的 Internet 连接的断开的网络(受保护的网络)中的更新管理体系结构更易于管理,例如智能社区。 |
|
备份和还原服务器数据库 |
管理员可以很容易从 Microsoft® SQL Server™ 2000 Service Pack 2 (SP2) 或更高版本以及 Microsoft Data Engine (MSDE) 2000 数据库备份和还原 SUS 2.0 服务器的更新内容、部署操作事件和设置。 |
|
灵活的服务器配置选项 |
对于远程管理,服务器配置选项计划包括使用安全套接字层 (SSL) 或超文本传输协议 (HTTP) 与 SUS 2.0 服务器连接并支持除默认端口 80 以外其他端口用于客户端和服务器通信。如果 SUS 2.0 服务器通过代理服务器与 Internet 相连,管理员还可以配置代理服务器设置。 |
|
SUS 1.0 服务器的迁移工具 |
迁移工具使得 SUS 1.0 客户能够无缝地将以前 SUS 1.0 服务器上的管理设置迁移到 SUS 2.0 服务器。 |
SUS 2.0 和更新管理进程
本节说明 Microsoft 推荐的更新管理进程方法,还为管理员提供如何使用计划的 SUS 2.0 功能确保进程的四个阶段中的每一阶段都能成功的示例。注意:许多功能可以在一个以上的阶段中使用。有关计划的 SUS 2.0 管理功能的详细信息,请参阅本文档前面部分的“服务器端功能”。
1. 评估
管理员在评估阶段的目标是了解什么因素可能对产品环境构成威胁并了解准备产品环境以支持例行和紧急更新管理的方法。通过第一步,评估阶段实质是个持续进行的进程。
例如,管理员将评估有多少服务器和客户端需要更新,它们各自的存储和网络带宽需求以及部署一般更新的可以接受的时间。管理员还要确定要更新什么平台、产品和语言。基于这些因素,他们能够确定最有效的拓扑以横向扩展其 SUS 2.0 组件。SUS 2.0 旨在提供很多选项设置 SUS 2.0 组件,包括在 SUS 2.0 服务器上本地存储更新内容或根据需要从 Windows 下载内容。管理员还可以配置自动更新以在计算机上自动下载和安装缺少的更新。SUS 2.0 提供选项管理 Active Directory 和非 Active Directory 环境中的客户端。
SUS 2.0 计划提供标准合并报告,管理员可以在持续进行的基础上运行。这些报告提供与 SUS 2.0 服务器联系的计算机列表,然后是这些计算机的操作系统、语言和服务包级的列表。报告还将识别计算机安装或丢失了哪些更新并确定服务器的正常运行。
2. 识别
管理员在识别阶段的目标是以简便的方式发现新更新,确定更新是否与产品环境有关以及确定更新优先级。
SUS 2.0 管理工具旨在允许管理员创建订阅。管理员使用订阅可以确定按照产品和分类哪些更新与 Windows Update (或上游 SUS 2.0 服务器)同步;例如订阅可以只包含 Windows XP 重要更新和 Office XP 安全更新的下载请求。管理员可以为每个订阅设置同步计划。例如,管理员可以创建一个需要每天下载的重要更新的订阅,再创建另一个每周下载的可选更新的订阅。
要确定更新是否与产品环境相关,计划使管理员能够查看更新的属性。管理员还可以运行预先部署检查更新,旨在帮助管理员在产品环境中安装更新前评估需要更新的计算机数量以及部署更新给网络带来的影响。
3. 评估和计划
评估和计划阶段管理员的目标是在一个类似产品环境的环境(与产品环境分离)中测试更新,查看重要业务系统和应用程序是否兼容,确定将更新部署到产品中的必要任务,计划更新发布,构建发布以及进行接受发布的测试。
在测试环境中评估更新时,管理员可以运行在实际部署中使用的许多 SUS 2.0 功能。这些功能包括创建订阅,设置自动同步 SUS 2.0 服务器的计划,创建计算机目标组以及确定要下载和安装到这些组的更新,运行预先部署检查和安排自动更新安装计划。测试期间和测试完成后,管理员可以使用 SUS 2.0 提供的标准报告监视测试更新安装的成功进行。
4. 部署
部署阶段的管理员目标是测试、审批和计划更新安装并在部署完成后检查进程。
要考察产品环境以在部署前确保可以处理更新,SUS 2.0 计划让管理员检查更新属性并使用预先部署检查在安装更新前确定影响。要建立更新应用至产品的顺序,管理员可以使用 SUS 2.0 基于网络和人力资源创建最有效的上游和下游以及独立和副本 SUS 2.0 服务器配置。此外,管理员可以通过使用组策略或者通过 API 扩展管理服务器或客户端,配置客户端如何与 SUS 2.0 服务器或 Windows Update 通信。
通过 SUS 2.0 管理工具,管理员可以指定计算机的目标组并确定要部署到这些组的更新。如果在更新部署到产品环境后,证明更新不合适,计划使管理员可以启动更新安装(如有必要,在截止日期前启动)或启动卸载。管理员还可以使用报告确定计算机或目标组的更新部署的成功。
进程完成后
管理员按序完成每个阶段后,返回评估阶段,继续清查现有的计算资产、评估可能存在的安全威胁和漏洞,确定更新信息的优先来源以及评估现有软件分发体系结构和操作有效性。
SUS 2.0 管理更新
SUS 2.0 目前计划启用下列方案。
SUS 2.0 服务器的计划方案
Microsoft 正在计划为 SUS 2.0 服务器启用下列方案:
| • |
将多个不同更新部署到具有良好控制级的计算机组 |
| • |
基于管理员首选项从 Microsoft 无缝并有效下载更新 |
| • |
确定公司网络中更新的适用性 |
| • |
检查一组计算机中的部署状态 |
| • |
启动更新卸载(如有必要) |
| • |
通过脚本扩展管理 SUS 2.0 组件 |
自动更新的计划方案
SUS 2.0 目前计划启用下列自动更新方案:
| • |
自动更新的一次单击配置体验 |
| • |
自动获得重要更新和其他 Microsoft 更新的最新信息 |
计划的部署方案
SUS 2.0 具有足够的灵活性,可以满足多种组织(从拨号连接的小型业务客户到有跨多个站点分布的成千上万用户的大型业务客户)更新管理的需要。根据组织规模、位置和连接系统结构,管理员可以确定最有效的方式横向扩展 SUS 2.0 服务器(可以为一个或多个服务器)。
以下列出的是在小型、中型和未连接的网络中部署 SUS 2.0 组件的通用计划方案。
单个 SUS 2.0 服务器(小型或简单网络)
在小型或简单网络方案中,根据计划发布,管理员可以在企业防火墙内设置运行 SUS 2.0 的服务器,这样可以直接从外部的公共 Windows Update 站点同步内容,并将更新分发到客户端计算机,如下图所示。
单个 SUS 2.0 服务器
多个 SUS 2.0 服务器(中型或更复杂网络)
以下是两个计划的通用方案,用于在中型或更复杂网络中部署 SUS 2.0 组件。
多个独立的 SUS 2.0 服务器
在此计划方案中,管理员可以部署多个配置好的服务器,这样每个服务器可以单独管理,并且每个服务器可以将其内容与 Windows Update 同步,如下图所示。
多个独立的 SUS 2.0 服务器
此方案中的部署方法适用于将不同的局域网 (LAN) 或广域网 (WAN) 的网段作为独立实体(如分支机构办公室)进行管理的情况。也适用于当一个运行 SUS 2.0 的服务器配置为仅对运行某一定操作系统(如 Windows 2000)的客户端部署更新而另一个服务器配置为仅对运行其他操作系统(如 Windows XP)的客户端部署更新的情况。在这些情况下,两个服务器无须同步内容。
多个内部同步 SUS 2.0 服务器
计划使管理员可以部署多个运行 SUS 2.0 的服务器,其中这些服务器在组织的 Intranet 内同步所有内容。在这种情况下,一个服务器设置为父服务器或上游服务器,然后其他服务器将同步其上的来源。附加运行 SUS 2.0 的服务器 - 子服务器或下游服务器,从上游服务器同步内容的服务器。子服务器可以执行手动或自动同步,同步包括更新以及批准更新的列表,或只有更新而无列表。如果适用,可以在地理上分散的网络中定位服务器,以提供对所有客户端的最佳连接。
如第二幅图中所示,管理员可以设计部署多个内部同步服务器,而对 Internet 开放其中一个(第一幅图的扩展版本)或通过向外扩展设计将其 Intranet 完全与 Internet 隔离,如下图所示。
多个内部同步 SUS 2.0 服务器
断开连接的 SUS 2.0 服务器(安全性高的网络,无 Internet 连接)
如果网络的、基于 Windows 的计算机没有连接到 Internet,在此计划方案中,管理员可以设置运行 SUS 2.0 的内部服务器,如下图所示。在此示例中,创建了一个与 Internet 相连但与 Intranet 隔离的服务器。当在此服务器上完成下载、测试和审批后,管理员在 Intranet 内向运行 SUS 2.0 的服务器以及向分发点手动发送媒体。下图以最简形式说明此模型,可以将其扩展到任意规模的部署。
断开连接的 SUS 2.0 服务器(没有连接到 Internet 的 Intranet)
后续步骤
有关 SUS 1.0 的信息,请参阅Microsoft 网站上的 Software Update Services,其网址为 http://go.microsoft.com/fwlink/?LinkId=22631(英文)。虽然 SUS 2.0 极大地扩展了 SUS 1.0 的功能集,但是您现在可以执行下列操作:
| • |
要将 SUS 1.0 与其他 Microsoft 管理解决方案相比较,请在“More Information”下,单击“Choosing a Security Update Management Solution”。 |
| • |
要评估 SUS 1.0,请在“Highlights”下,单击“Software Update Services Interactive Simulation”。 |