一、 部署环境介绍:
本次部署共涉及到2台服务器
1. DC:
角色: 域控制器 +DNS+ DHCP
操作系统:Windows Server 2008 R2标准版
2. SCCM:
角色: SCCM 2007 SP2+ SQL Server 2008 SP1 + WSUS 3.0 SP2
操作系统:Windows Server 2008 R2 企业版
一、 配置补丁管理
(一)配置SCCM2007的SUM组件:
1. 由于SCCM2007的SUM组件已经与WSUSv3进行了集成,如果当前是全新安装的WSUSv3或更高版本,您在安装完成后不需要进行WSUS向导配置,所有配置均通过SUM的配置来进行,以保证WSUS和SUM的配置同步。如果您的WSUSv3已经在使用中,建议您先对SUM进行需要的配置,然后手工更改WSUSv3的配置以保证和SUM配置相同。
2. 登陆SCCM2007服务器,打开Configuration Manager Console,依次展开站点数据库---
3. 按照向导提示根据企业需求进行设置来添加SCCM软件更新点角色,结果显示如图:
4. 并且依次展开SCCM2007安装目录下的Logs文件夹选择其中的SUPSetup.log文件检查软件更新点安装成功,如图:
5. 双击SCCM软件更新点角色,显示如图:
6. 如果企业内部存在代理,则可以在此进行代理服务器的设置。点击站点设置下的客户端代理,点击软件更新客户端代理,如图:
7. 右键点击软件更新客户端代理选择属性,显示如图:
8. 勾选在客户端上启用软件更新选项,并可以设置扫描计划,并根据需求在更新安装和部署重新评估页进行设置,如图:
9. 随后点击站点设置下的客户端安装方法选项,如图:
10. 右键点击软件更新点客户端安装选项的属性,勾选启用软件更新点客户端安装选项,如图:
11. 点击确定后,再次选择站点设置下的组件配置项,如图:
12. 右键点击软件更新点组件并选择属性,由于在先前添加SCCM软件更新点组件时进行过相应设置,所有在此根据需求进行检查即可,显示常规页如图:
13. 在此要对WSUS所使用的端口号进行设置,端口号的设置要根据WSUS先前安装时所设置的端口号相对应,如果WSUS安装时使用了默认的虚拟目录,则端口号为80,SSL端口号为443;如果WSUS安装时使用全新创建的虚拟目录,则端口号为8530,SSL端口号为8531。在同步设置页,如果WSUS没有从上游服务器进行同步,则选择从Microsoft Update同步,如果有上游服务器,则选择从上游服务器同步,如果当服务器与外部网络隔离时,则选择不同Microsoft Update或上游更新服务器同步选项,如图:
14. 分类、产品、同步计划和语言页显示如下:
15. 确认设置均正确后点击确定即可完成SUM配置。
(二)同步SUM组件:
1. 依次展开计算机管理中的软件更新节点,右键点击更新存储库的运行同步即可开始进行补丁Catalog的同步,并显示提示信息,如图:
2. 首次执行运行同步操作,SUM将会花费较长的时间进行,可以通过系统状态---组件状态中的SMS_WSUS_SYNC_MANAGER来检查,如图:
3. 如果希望看到详细信息,可以通过Logs文件夹中的wsyncmgr.log文件来监控即时状态,如图:
4. 首次同步将会非常费时,根据选择的补丁类型的不同将会花费数小时时间。同步完成后将会显示同步完成信息,如图:
5. 如果同步不成功,请检查是否存在代理设置不正确的问题或网络连接问题。
(三)对客户端进行补丁更新:
1. 登陆SCCM服务器,打开Configuration Manager Console控制台,依次展开站点数据库---计算机管理---软件更新---更新存储库,如图:
2. 点击其中的某个子文件夹来检查补丁更新情况,如:依次展开软件更新---更新存储库---安全更新程序---Microsoft---Windows XP , 将会显示客户端Windows XP的补丁情况,需要的、不需要的等,如图:
注:只有当客户端进行完起码一次补丁扫描,并成功返回结果后,才能在此显示出补丁更新状况,如果没有任何状况,请手工触发客户端Configuration Manager中的软件更新部署评估周期和软件更新扫描周期,如图:
3. 在此我们将按照标准更新部署方式来进行补丁更新。我们可以点击选择单个客户端需要的补丁,也可以使用Ctrl或Shift来选取多个补丁来同时部署。在此我们将选择多个补丁来部署,选中后右键点击选择部署软件更新,如图:
4. 出现部署软件更新向导,如图:
5. 在此可以自定义补丁包名称,设置后,点击下一步,出现部署模板页,如图:
6. 在此我们可以使用提前设置好的模板来进行操作,这样可以避免重复设置很多步骤。在此我们选择创建新的部署定义,并点击下一步,出现集合页,如图:
7. 点击浏览,出现浏览集合,选择补丁更新所针对的集合,如图:
8. 选择后点击下一步,出现显示/时间设置页,如图:
9. 如果希望补丁更新的过程可以让客户端看到,则选择允许在客户端上显示通知,如果不希望则选择禁止在客户端上显示通知,还可以设置补丁更新的时间标准和持续时间选项,如图:
10. 设置好后点击下一步,出现重新启动设置页,如图:
11. 在此可以对服务器和工作站计算机设置是否允许禁止重新启动等设置,根据需求进行选择,并点击下一步,出现事件生成页,如图:
12. 如果企业当中正在使用MOM来进行监控,则可以在此进行相关配置,以保证MOM能监控整个更新过程。按需求进行选择后,点击下一步,出现更新二进制下载 –SCCM客户端设置页,如图:
13. 当前您可以根据客户端所针对站点边界的链路速度来选择是否进行更新,以及是否允许当客户端无法连接到受保护DP时,是否能连接其他未受保护的DP进行补丁更新的设置,根据企业需求进行设置后点击下一步,出现创建模板页,如图:
14. 如果希望将前面几个步骤进行保存,并设置成模板,则模板名称中直接输入模板的名称和描述即可。如果不希望制作模板,则勾掉将部署属性另存为模板即可。在此根据需求进行设置,点击下一步,出现部署包页,如图:
15. 如果先前已经设置好一个部署包,则点选选择部署包项,并在浏览中选择已定义好的包,如果希望重新创建,则点选创建新的部署包,在名称栏中输入该部署包的名字,包括包源等信息,设置如图:
16. 设置好后,点击下一步,出现分发点页,如图:
17. 点击浏览,并选择好相应的分发点后,点击下一步,出现下载位置页,如图:
18. 在此可以选择补丁来源的方式,如果与外网的连接正常,并且没有提前下载该补丁时,请选择从Internet下载软件更新选项,如果已经提前下载好补丁,则选择从本地网络上的位置下载软件更新选项,并且请指定路径。根据需求进行设置后,点击下一步,出现语言选择页,如图:
19. 在此根据需求进行选择即可,点击下一步,出现部署计划页,如图:
20. 如果希望该补丁包立即生效,则选择尽快,如果希望该补丁包在未来的某一时刻生效,则选择日期和时间项,还可以设置补丁更新的最后期限和是否启用LAN唤醒设置,根据企业需求来进行选择,并点击下一步,出现摘要页,如图:
21. 确认信息无误后点击下一步,出现进度页,如图:
22. 稍等片刻后出现已完成向导页,如图:
23. 确认该部署包成功后,点击关闭即可。依次点击软件更新---部署管理,即可看到新部署的部署包,如图:
24. 依次点击软件更新---部署包 ,也可以看到新创建的部署包,如图:
25. 补丁部署完成后,可以通过Configuration Manager Console的报表功能进行检查。依次展开站点数据库---计算机管理---报表---报表,选择管理4 – 针对某台计算机的部署报表,并运行,出现该报表,如图:
26. 选择客户端,并点击显示,即可查看该客户端补丁更新的状况,如图: