用ITMU管理补丁
补丁管理是网络管理员的一项重要工作。目前无论是操作系统还是服务器软件,为了弥补当初设计上的缺陷,增加安全性,软件公司推出了各种补丁作为应对策略。对于补丁,管理员是又喜又忧,喜的是每个补丁都有针对性地解决了现有问题或消除了安全隐患,对提高网络安全水平有很大帮助;忧的是补丁数量实在是太多了,象微软公司每周都针对不同产品发布不同的补丁,这管理员万一不小心漏补了一个重要的安全补丁,嘿嘿,后果可就不好说了…..那有没有什么办法能帮助管理员解决补丁管理的问题呢?有的,今天我们就给大家介绍如何利用SMS的ITMU进行局域网内的补丁管理。
ITMU是Inventory Tool for Microsoft Updates的缩写,意思是微软补丁库存清单工具,顾名思义,这是一款专门管理微软补丁的工具。ITMU除了能够管理操作系统的补丁,对微软的多款服务器补丁也能提供很好支持。
下面我们用实验向大家说明如何进行ITMU的部署和配置,拓扑如下图所示,Florence是域控制器,Berlin是SMS服务器,安装了SMS2003+SP2,Perth是客户机。
一 部署ITMU
我们准备在SMS服务器上部署ITMU,Berlin上已经安装了SMS2003+SP2,刚开始准备安装SMSSP2自带的ITMUv2版本,毕竟安装盘自带的软件兼容性应该不成问题。但匪夷所思的事情发生了,用ITMUv2安装无论如何不能成功,在网上搜了一通,才明白ITMUv2的更新列表已经过期,应安装最新的ITMUv3版本。从下列地址
下载ITMUv3,下载完后在Berlin上执行ITMU的安装程序SMSITMU.MSI,如下图所示
弹出ITMU的安装向导,选择下一步
同意软件许可协议,下一步
选择安装文件夹,我们采取默认设置
设置同步主机,同步主机负责连接到Internet下载补丁列表,同步主机必须安装SMS高级客户端。如果同步主机不能连接到Internet下载补丁列表,可以手动将补丁列表放置到指定目录下供ITMU使用。本次实验中我们使用Berlin作为同步主机。
ITMU要求输入SMS对象的名称,ITMU会根据这个名称自动生成相应的数据包,集合,播发等对象。我们用默认的SMS对象名称“Microsoft Updates工具”。测试计算机我们选择Perth,ITMU会自动为测试计算机创建一个集合,用以方便工程师测试补丁分发。在分发选项中我们选择将ITMU相应数据包复制到所有的分发点,将ITMU相应数据包播发到包含测试计算机的集合。
接下来设置Windows Update代理的名称,SMS客户端必须安装Windows Update代理才能更新补丁。将分发选项中的两项都选中,这样ITMU可以在ITMU数据包中创建一个程序,用以在客户机上安装Windows Update代理。
开始ITMU的安装,安装过程中需要同步到微软网站更新补丁列表,如下图所示,这一过程耗时较长,请大家耐心等待。
同步终于结束,点击完成
ITMU安装完成后,打开SMS管理员控制台,可以看到ITMU创建了下列对象,如下图所示。这些对象中包括了数据包,程序,播发,集合。数据包负责提供补丁更新的安装文件,程序负责在客户端安装Windows update代理以及同步更新列表,集合负责找出符合补丁安装条件的计算机,播发负责将补丁以及Windows update代理分发到合适的计算机上。
二 分发Windows Update代理到客户端
想在客户端进行补丁更新,我们必须先把Windows Update代理分发到客户端。我们在播发中查看“Microsoft Update工具”的播发属性。如下图所示,这个播发负责的工作就是在客户端安装Windows Update代理。我们看到Windows Update代理分发到了“Microsoft Update工具”集合,这个集合内的成员是谁呢?是Perth。Perth是在安装ITMU时我们填写的测试计算机名称,我们可以先利用Perth测试一下补丁分发的效果然后再进行推广。当然,如果你很有把握,不需要测试,那就可以修改下图中的播发,直接播发到“All Systems”集合即可。如果我们希望客户端安装了windows Update代理后立刻报告自己的补丁缺失情况,我们可以在程序中选择“Microsoft Update工具(加急)”,否则客户端会在每次硬件清单收集时向服务器报告补丁状况。
部署了播发时间后,Windows Update工具应该播发到Perth上了,那我们如何得知Perth安装了Windows Update代理呢?Windows Update代理安装之后,就会将补丁状况集成在硬件清单中,因此我们只要查看Perth的硬件清单就可以了,在集合中找到Perth,选择启动资源浏览器,如下图所示,硬件清单中多出了一项“扩展的软件更新”,里面列出了Perth可用的补丁列表。
三 分发补丁到客户机
客户端安装了Windows Update代理后,我们就可以向客户机分发补丁了,我们准备在Perth上先进行软件分发测试。如下图所示,我们选择“Microsoft Update工具”集合,在所有任务中选择“分发软件更新”
软件更新向导启动,向导会引导我们完成补丁下载的任务,然后创建相关的数据包,再把数据包播发到合适的集合
更新类型选择“Microsoft Update”,下一步
创建一个包含补丁的数据包,下一步
给创建的数据包命名为“Microsoft Update Test”,下一步
设置组织名称,我们取名为ITET
下图出现了可用的补丁列表,由于是测试实验,我们只选择一个补丁进行更新
选择“自动为我下载可用的更新源文件”,让ITMU从Internet下载补丁,ITMU的一个新功能就是可以从Internet自动下载中文补丁,而不象以前那样必须手工下载然后放到指定的目录。
补丁开始在线下载
如下图所示,补丁的就绪状态为“是”,这意味着补丁可以分发了
选择将Berlin作为补丁分发点
选择安装补丁后“立即收集客户端库存清单”,这样客户端安装补丁后会在最短时间向服务器报告状态
在下图设置中,我们可以选择安装补丁时采用无人值守方式,也可以设置补丁运行的时间参数
下图仍然是补丁分发的设置,我们要求客户机在最短时间内实施补丁安装
选择将数据包播发到“Microsoft Update工具”集合,完成分发向导
打开“Microsoft Update Test”的播发属性,设置播发开始时间,如下图所示
检查Perth的补丁分发也可以在SMS服务器上进行,在SMS服务器的集合中找到Perth,启动资源管理器,如下图所示,我们在“扩展的软件更新”中看到Perth已经安装了KB896423。
总结:ITMU已经较好地解决了补丁问题,利用SMS的软件分发功能可以很容易地将补丁分发到客户端,监控功能也较完善,总体来说是管理员实施补丁管理的一个较好选择。只是,收费的SMS和免费的WSUS相比好象也没有体现出一些特别的优势,如果作为管理员,您会选择哪个产品呢?
本文出自 “岳雷的微软网络课堂” 博客,请务必保留此出处http://blog.chinaunix.net/space.php?uid=16829731&do=blog&id=3198228
