用ITMU进行局域网补丁管理,SMS2003系列之七.doc

用ITMU进行局域网补丁管理，SMS2003系列之七版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。/202879/78974用ITMU管理补丁补丁管理是网络管理员的一项重要工作。目前无论是操作系统还是服务器软件，为了弥补当初设计上的缺陷，增加安全性，软件公司推出了各种补丁作为应对策略。对于补丁，管理员是又喜又忧，喜的是每个补丁都有针对性地解决了现有问题或消除了安全隐患，对提高网络安全水平有很大帮助；忧的是补丁数量实在是太多了，象微软公司每周都针对不同产品发布不同的补丁，这管理员万一不小心漏补了一个重要的安全补丁，嘿嘿，后果可就不好说了.那有没有什么办法能帮助管理员解决补丁管理的问题呢？有的，今天我们就给大家介绍如何利用SMS的ITMU进行局域网内的补丁管理。ITMU是Inventory Tool for Microsoft Updates的缩写，意思是微软补丁库存清单工具，顾名思义，这是一款专门管理微软补丁的工具。ITMU除了能够管理操作系统的补丁，对微软的多款服务器补丁也能提供很好支持。下面我们用实验向大家说明如何进行ITMU的部署和配置，拓扑如下图所示，Florence是域控制器，Berlin是SMS服务器，安装了SMS2003SP2，Perth是客户机。 一 部署ITMU我们准备在SMS服务器上部署ITMU，Berlin上已经安装了SMS2003SP2，刚开始准备安装SMSSP2自带的ITMUv2版本，毕竟安装盘自带的软件兼容性应该不成问题。但匪夷所思的事情发生了，用ITMUv2安装无论如何不能成功，在网上搜了一通，才明白ITMUv2的更新列表已经过期，应安装最新的ITMUv3版本。从下列地址/download/0/1/1/011353a6-65d6-4579-97a1-1be7ae04340a/SMS2003ITMU_CHS.exe下载ITMUv3，下载完后在Berlin上执行ITMU的安装程序SMSITMU.SMI，如下图所示弹出ITMU的安装向导，选择下一步同意软件许可协议，下一步选择安装文件夹，我们采取默认设置设置同步主机，同步主机负责连接到Internet下载补丁列表，同步主机必须安装SMS高级客户端。如果同步主机不能连接到Internet下载补丁列表，可以手动将补丁列表放置到指定目录下供ITMU使用。本次实验中我们使用Berlin作为同步主机。ITMU要求输入SMS对象的名称，ITMU会根据这个名称自动生成相应的数据包，集合，播发等对象。我们用默认的SMS对象名称“Microsoft Updates工具”。测试计算机我们选择Perth，ITMU会自动为测试计算机创建一个集合，用以方便工程师测试补丁分发。在分发选项中我们选择将ITMU相应数据包复制到所有的分发点，将ITMU相应数据包播发到包含测试计算机的集合。 接下来设置Windows Update代理的名称，SMS客户端必须安装Windows Update代理才能更新补丁。将分发选项中的两项都选中，这样ITMU可以在ITMU数据包中创建一个程序，用以在客户机上安装Windows Update代理。开始ITMU的安装，安装过程中需要同步到微软网站更新补丁列表，如下图所示，这一过程耗时较长，请大家耐心等待。 同步终于结束，点击完成ITMU安装完成后，打开SMS管理员控制台，可以看到ITMU创建了下列对象，如下图所示。这些对象中包括了数据包，程序，播发，集合。数据包负责提供补丁更新的安装文件，程序负责在客户端安装Windows update代理以及同步更新列表，集合负责找出符合补丁安装条件的计算机，播发负责将补丁以及Windows update代理分发到合适的计算机上。二 分发Windows Update代理到客户端想在客户端进行补丁更新，我们必须先把Windows Update代理分发到客户端。我们在播发中查看“Microsoft Update工具”的播发属性。如下图所示，这个播发负责的工作就是在客户端安装Windows Update代理。我们看到Windows Update代理分发到了“Microsoft Update工具”集合，这个集合内的成员是谁呢？是Perth。Perth是在安装ITMU时我们填写的测试计算机名称，我们可以先利用Perth测试一下补丁分发的效果然后再进行推广。当然，如果你很有把握，不需要测试，那就可以修改下图中的播发，直接播发到“All Systems”集合即可。如果我们希望客户端安装了windows Update代理后立刻报告自己的补丁缺失情况，我们可以在程序中选择“Microsoft Update工具（加急）”，否则客户端会在每次硬件清单收集时向服务器报告补丁状况。部署了播发时间后，Windows Update工具应该播发到Perth上了，那我们如何得知Perth安装了Windows Update代理呢？Windows Update代理安装之后，就会将补丁状况集成在硬件清单中，因此我们只要查看Perth的硬件清单就可以了，在集合中找到Perth，选择启动资源浏览器，如下图所示，硬件清单中多出了一项“扩展的软件更新”，里面列出了Perth可用的补丁列表。 三 分发补丁到客户机客户端安装了Windows Update代理后，我们就可以向客户机分发补丁了，我们准备在Perth上先进行软件分发测试。如下图所示，我们选择“Microsoft Update工具”集合，在所有任务中选择“分发软件更新”软件更新向导启动，向导会引导我们完成补丁下载的任务，然后创建相关的数据包，再把数据包播发到合适的集合更新类型选择“Microsoft Update”，下一步创建一个包含补丁的数据包，下一步给创建的数据包命名为“Microsoft Update Test”，下一步设置组织名称，我们取名为ITET下图出现了可用的补丁列表，由于是测试实验，我们只选择一个补丁进行更新选择“自动为我下载可用的更新源文件”，让ITMU从Internet下载补丁，ITMU的一个新功能就是可以从Internet自动下载中文补丁，而不象以前那样必须手工下载然后放到指定的目录。补丁开始在线下载如下图所示，补丁的就绪状态为“是”，这意味着补丁可以分发了选择将Berlin作为补丁分发点选择安装补丁后“立即收集客户端库存清单”，这样客户端安装补丁后会在最短时间向服务器报告状态在下图设置中，我们可以选择安装补丁时采用无人值守方式，也可以设置补丁运行的时间参数下图仍然是补丁分发的设置，我们要求客户机在最短时间内实施补丁安装选择将数据包播发到“Microsoft Update工具”集合，完成分发向导打开“Microsoft Update Test”的播发属性，设置播发开始时间，如下图所示检查Perth的补丁分发也可以在SMS服务器上进行，在SMS服务器的集合中找到Perth，启动资源管理器，如下图所示，我们在“扩展的软件更