今天为大家演示使用Configuration Manager部署及管理软件更新。
一、 技术概述
1. 软件更新同步
Configuration Manager 中的软件更新同步使用 Microsoft 更新来检索软件更新元数据。顶层站点(管理中心站点或独立主站点)按计划或在企业中从 Configuration Manager 控制台中手动启动同步时与 Microsoft 更新同步。 当 Configuration Manager 在顶层站点上完成软件更新同步时,软件更新同步将在子站点(如果存在)上开始。当同步在每个主站点或辅助站点上完成时,将会创建一个站点范围的策略,该策略向客户端计算机提供软件更新点的位置。
默认情况下,软件更新在客户端设置中启用。但是,如果在客户端上启用软件更新?客户端设置为“否”以在集合上或默认设置中禁用软件更新,则不会将软件更新点的位置发送到关联的客户端。客户端收到策略后,将启动软件更新符合性扫描,并将信息写入到 Windows Management Instrumentation (WMI)。然后,符合性信息将发送到管理点,后者随后将该信息发送到站点服务器。
2. 软件更新符合性评估
在将软件更新部署到 Configuration Manager 中的客户端计算机之前,请在客户端计算机上启动软件更新符合性扫描。 对于每个软件更新,将创建一条状态消息,其中包含该更新的符合性状态。状态消息将成批发送到管理点,并随后发送到站点服务器,在站点服务器中,会将符合性状态插入站点数据库。 软件更新的符合性状态显示在 Configuration Manager 控制台中。 你可以在需要更新的计算机上部署和安装软件更新。 下列部分提供有关符合性状态的信息,并描述用于扫描软件更新符合性的过程。
3. 扫描软件更新符合性过程
安装并同步了软件更新点之后,将创建一个站点范围的计算机策略,该策略告知客户端计算机已为站点启用了 Configuration Manager 软件更新。 客户端收到该计算机策略后,会计划在接下来的两个小时内随机启动符合性评估扫描。扫描启动后,软件更新客户端代理过程将清除扫描历史记录,提交请求以查找应用于扫描的 WSUS 服务器,并使用 WSUS 服务器位置更新本地组策略。
扫描请求传递到 Windows 更新代理 (WUA)。 然后,WUA 连接到本地策略中列出的 WSUS 服务器位置,检索在 WSUS 服务器上同步的软件更新元数据,并在客户端计算机中扫描更新。 软件更新客户端代理进程检测到符合性扫描已完成,并且会为上次扫描之后符合性状态发生更改的每个软件更新创建状态消息。状态消息每 15 分钟向管理点批量发送一次。 然后管理点将状态消息转发给站点服务器,在站点服务器中,会将状态消息插入站点服务器数据库。
初次扫描软件更新符合性之后,会按照配置的扫描计划开始扫描。 但是,如果客户端在生存时间 (TTL) 值所指明的时间范围内扫描了软件更新符合性,则客户端会使用本地存储的软件更新元数据。 当上一次扫描在 TTL 之外时,客户端必须连接到在软件更新点上运行的 WSUS,并更新存储在客户端上的软件更新元数据。
4. 软件更新部署包
软件更新部署包是用于将软件更新下载到网络共享文件夹的载体,并将软件更新源文件复制到站点服务器上的内容库,以及部署中定义的分发点上的内容库。通过使用下载更新向导,你可以下载软件更新并在部署它们之前将其添加到部署包。此向导允许你设置分发点上的软件更新,以及在将软件更新部署到客户端之前验证此部分部署过程是否成功。
使用部署软件更新向导来部署下载的软件更新之前,部署会自动使用包含软件更新的部署包。部署尚未下载的软件更新时,你必须在部署软件更新向导中指定新的或现有的部署包,完成向导时将下载软件更新。
5. 软件更新部署工作流
在你的环境中部署软件更新有两个主要方案,即手动部署和自动部署。通常,你手动部署软件更新以为客户端计算机创建基线,然后使用自动部署在客户端上管理软件更新。 下列部分提供有关软件更新的手动和自动部署工作流的概要。
1) 软件更新的手动部署
软件更新手动部署是在 Configuration Manager 控制台中选择软件更新并手动启动部署过程的过程。 在创建将管理进行中的每月软件更新部署的自动部署规则之前,你通常将使用此部署方法以用所需的软件更新使客户端计算机保持最新,并部署带外软件更新要求。
2) 软件更新的自动部署
通过使用自动部署规则配置自动软件更新部署。 你通常将此部署方法用于每月软件更新(通称为周二补丁日)以及管理定义更新。 运行规则时,符合指定条件的软件更新(例如上周中发布的所有安全软件更新)将添加到软件更新组中、软件更新内容文件将下载和复制到分发点,然后将软件更新部署到目标集合中的客户端计算机。
6. 软件更新部署过程
部署软件更新之后或在自动部署规则运行和部署软件更新时,会将部署分配策略添加到站点的计算机策略中。系统会将软件更新从下载位置(Internet 或网络共享文件夹)下载到包源。 系统会从包源中将软件更新复制到站点服务器上的内容库,然后复制到分发点上的内容库。
当部署的目标集合中的客户端计算机收到计算机策略时,软件更新客户端代理会启动评估扫描。客户端代理在收到部署后不久会将分发点中所需软件更新的内容下载到本地客户端缓存,但会等到部署的“软件可用时间”设置之后才能安装软件更新。 在用户手动启动安装之前,不会下载可选部署(没有安装截止时间的部署)中的软件更新。
当部署的目标集合中的客户端计算机收到计算机策略时,软件更新客户端代理会启动评估扫描。客户端代理在收到部署后不久会将分发点中所需软件更新的内容下载到本地客户端缓存,但会等到部署的“软件可用时间”设置之后才能安装软件更新。 在用户手动启动安装之前,不会下载可选部署(没有安装截止时间的部署)中的软件更新。
二、 Configuration Manager部署及管理软件更新的先决条件
1. WSUS3.0 SP2或者后续更新版本
2. Configuration Manager站点服务器上必须安装WSUS3.0管理控制台
3. Configuration Manager站点系统角色
1) 管理点
2) 分发点
3) 软件更新点
4) Reporting Services 点
4. 客户端需求
1) 客户端设置
2) Configuration Manager客户端上配置Windows Update代理
三、 在Configuration Manager站点服务器中配置软件更新点
(一) 配置站点系统先决条件
1. 登陆Configuration Manager服务器,点击服务器管理器,点击计算机管理,点击系统工具,展开本地用户和组,点击组
2. 双击administrators,点击添加
3. “选择用户、计算机、服务账户和组”中,点击对象类型,勾选计算机
4. “输入对象名称来选择”中键入WSUS计算机名称,点击检查名称,点击确定。本实验中将WSUS服务器与Configuration Manager服务器集成在一起,根据微软官方最佳实践是将WSUS服务器与Configuration Manager服务器分开安装,但是需要在Configuration Manager服务器安装WSUS管理控制台。
5. 点击工具,选择WSUS更新服务,确保WSUS服务器或者WSUS管理控制台已在Configuration Manager服务器安装
(二) 添加软件更新点到站点系统
1. 登陆Configuration Manager服务器服务器,打开Configuration Manager管理控制台
2. 点击管理,展开站点配置,点击服务器和站点系统角色,右键站点服务器名称,选择添加站点系统角色
3. 添加站点系统角色向导页面,点击下一步
4. 指定Internet代理服务器页面,点击下一步
5. 系统角色选择页面,选择添加软件更新点,点击下一步
6. 指定软件更新点设置,选择WSUS被配置为使用端口8530和8531进行客户端通信(Windows Server 2012上WSUS的默认设置),客户端连接类型选择仅允许Intranet客户端连接,点击下一步
7. 指定软件更新点的代理和账户设置页面,点击下一步
8. 同步源页面,选择不从Microsoft更新或上游数据源同步,点击下一步
9. 指定同步计划页面,根据实际需求配置同步计划,点击下一步
10.选择被取代的软件更新行为,点击下一步
11.选择想要同步的软件更新分类,根据企业实际环境选择更新的种类,点击下一步
12.选择想要的同步产品,点击下一步
13.选择想要同步的语言设置,点击下一步
14.摘要页面确认无误后点击下一步,等待配置完成
15.在完成页面,点击完成
16.点击监控,展开系统状态,点击组件状态,右键SMS_WSUS_CONTROL_MANAGER选择显示消息,点击全部
17.在Configuration Manager状态消息查看器中找到消息ID:1015,验证是否成功安装组件
(三) 配置软件更新点组件
1. 点击软件库,展开软件更新,右键所有软件更新,选择同步软件更新
2. 同步软件更新对话框中,点击“是”
3. 点击管理,展开站点配置,点击站点,右键站点名称,选择配置站点组件,点击软件更新点
4. 软件更新点组件属性页面,根据企业实际需求配置相关设置。在同步设置页面确认选择不从Microsoft更新或上游数据源同步
5. 点击产品,勾选Office2013、Windows 8.1以及Windows Server 2012R2,根据企业部署的实际产品选择产品,点击确定
(四) 同步软件更新点
1. 点击软件库,展开软件更新,右键所有软件更新,等待软件更新同步
2. 点击监视,点击软件更新点同步状态,查看同步状态
3. 打开CMTrace日志分析工具,打开wsyncmgr.log查看同步状况
4. 等待些许时间,点击软件库,展开软件更新,点击软件更新,查看已同步的更新列表
(五) 配置软件更新客户端设置
1. 点击软件库,点击客户端设置,右键默认客户端设置,选择属性
2. 默认设置属性页面,点击软件更新
3. 点击状态消息,配置状态消息报告周期时间
(六) 在客户端中执行软件更新
1. 登陆客户端机器BJ-CLI-04,打开控制面板,点击Configuration Manager
2. 在Configuration Manager属性页面,点击操作,选择计算机策略检索和评估周期,点击立即运行
3. 选择软件更新部扫描周期,点击立即运行