用ITMU进行局域网补丁管理，SMS2003系列之七

用 ITMU 管理补丁

 

补丁管理是网络管理员的一项重要工作。目前无论是操作系统还是服务器软件，为了弥补当初设计上的缺陷，增加安全性，软件公司推出了各种补丁作为应对策略。对于补丁，管理员是又喜又忧，喜的是每个补丁都有针对性地解决了现有问题或消除了安全隐患，对提高网络安全水平有很大帮助；忧的是补丁数量实在是太多了，象微软公司每周都针对不同产品发布不同的补丁，这管理员万一不小心漏补了一个重要的安全补丁，嘿嘿，后果可就不好说了 ….. 那有没有什么办法能帮助管理员解决补丁管理的问题呢？有的，今天我们就给大家介绍如何利用 SMS 的 ITMU 进行局域网内的补丁管理。

ITMU 是 Inventory Tool for Microsoft Updates 的缩写，意思是微软补丁库存清单工具，顾名思义，这是一款专门管理微软补丁的工具。 ITMU 除了能够管理操作系统的补丁，对微软的多款服务器补丁也能提供很好支持。

下面我们用实验向大家说明如何进行 ITMU 的部署和配置，拓扑如下图所示， Florence 是域控制器， Berlin 是 SMS 服务器，安装了 SMS2003 ＋ SP2 ， Perth 是客户机。

一 部署 ITMU

我们准备在 SMS 服务器上部署 ITMU ， Berlin 上已经安装了 SMS2003 ＋ SP2 ，刚开始准备安装 SMSSP2 自带的 ITMUv2 版本，毕竟安装盘自带的软件兼容性应该不成问题。但匪夷所思的事情发生了，用 ITMUv2 安装无论如何不能成功，在网上搜了一通，才明白 ITMUv2 的更新列表已经过期，应安装最新的 ITMUv3 版本。从下列地址                                                                     

[url]http://download.microsoft.com/download/0/1/1/011353a6-65d6-4579-97a1-1be7ae04340a/SMS2003ITMU_CHS.exe[/url] 下载 ITMUv3 ，下载完后在 Berlin 上执行 ITMU 的安装程序 SMSITMU.MSI ，如下图所示

 

弹出 ITMU 的安装向导，选择下一步

 

同意软件许可协议，下一步

 

选择安装文件夹，我们采取默认设置

 

设置同步主机，同步主机负责连接到 Internet 下载补丁列表，同步主机必须安装 SMS 高级客户端。如果同步主机不能连接到 Internet 下载补丁列表，可以手动将补丁列表放置到指定目录下供 ITMU 使用。本次实验中我们使用 Berlin 作为同步主机。

 

ITMU 要求输入 SMS 对象的名称， ITMU 会根据这个名称自动生成相应的数据包，集合，播发等对象。我们用默认的 SMS 对象名称“ Microsoft Updates 工具”。测试计算机我们选择 Perth ， ITMU 会自动为测试计算机创建一个集合，用以方便工程师测试补丁分发。在分发选项中我们选择将 ITMU 相应数据包复制到所有的分发点，将 ITMU 相应数据包播发到包含测试计算机的集合。

接下来设置 Windows Update 代理的名称， SMS 客户端必须安装 Windows Update 代理才能更新补丁。将分发选项中的两项都选中，这样 ITMU 可以在 ITMU 数据包中创建一个程序，用以在客户机上安装 Windows Update 代理。

 

开始 ITMU 的安装，安装过程中需要同步到微软网站更新补丁列表，如下图所示，这一过程耗时较长，请大家耐心等待。

同步终于结束，点击完成

 

ITMU 安装完成后，打开 SMS 管理员控制台，可以看到 ITMU 创建了下列对象，如下图所示。这些对象中包括了数据包，程序，播发，集合。数据包负责提供补丁更新的安装文件，程序负责在客户端安装 Windows update 代理以及同步更新列表，集合负责找出符合补丁安装条件的计算机，播发负责将补丁以及 Windows update 代理分发到合适的计算机上。

 

二   分发 Windows Update 代理到客户端

想在客户端进行补丁更新，我们必须先把 Windows Update 代理分发到客户端。我们在播发中查看“ Microsoft Update 工具”的播发属性。如下图所示，这个播发负责的工作就是在客户端安装 Windows Update 代理。我们看到 Windows Update 代理分发到了“ Microsoft Update 工具”集合，这个集合内的成员是谁呢？是 Perth 。 Perth 是在安装 ITMU 时我们填写的测试计算机名称，我们可以先利用 Perth 测试一下补丁分发的效果然后再进行推广。当然，如果你很有把握，不需要测试，那就可以修改下图中的播发，直接播发到“ All Systems ”集合即可。如果我们希望客户端安装了 windows Update 代理后立刻报告自己的补丁缺失情况，我们可以在程序中选择“ Microsoft Update 工具（加急）”，否则客户端会在每次硬件清单收集时向服务器报告补丁状况。

 

 

部署了播发时间后， Windows Update 工具应该播发到 Perth 上了，那我们如何得知 Perth 安装了 Windows Update 代理呢？ Windows Update 代理安装之后，就会将补丁状况集成在硬件清单中，因此我们只要查看 Perth 的硬件清单就可以了，在集合中找到 Perth ，选择启动资源浏览器，如下图所示，硬件清单中多出了一项“扩展的软件更新”，里面列出了 Perth 可用的补丁列表。

三 分发补丁到客户机

客户端安装了 Windows Update 代理后，我们就可以向客户机分发补丁了，我们准备在 Perth 上先进行软件分发测试。如下图所示，我们选择“ Microsoft Update 工具”集合，在所有任务中选择“分发软件更新”

 

软件更新向导启动， 向导会引导我们完成补丁下载的任务，然后创建相关的数据包，再把数据包播发到合适的集合

 

更新类型选择“ Microsoft Update ”，下一步

 

创建一个包含补丁的数据包，下一步

 

给创建的数据包命名为“ Microsoft Update Test ”，下一步

 

设置组织名称，我们取名为 ITET

 

下图出现了可用的补丁列表，由于是测试实验，我们只选择一个补丁进行更新

 

选择“自动为我下载可用的更新源文件”，让 ITMU 从 Internet 下载补丁， ITMU 的一个新功能就是可以从 Internet 自动下载中文补丁，而不象以前那样必须手工下载然后放到指定的目录。

 

补丁开始在线下载

 

如下图所示，补丁的就绪状态为“是”，这意味着补丁可以分发了

 

选择将 Berlin 作为补丁分发点

选择安装补丁后“立即收集客户端库存清单”，这样客户端安装补丁后会在最短时间向服务器报告状态

在下图设置中，我们可以选择安装补丁时采用无人值守方式，也可以设置补丁运行的时间参数

 

下图仍然是补丁分发的设置，我们要求客户机在最短时间内实施补丁安装

 

选择将数据包播发到“ Microsoft Update 工具”集合，完成分发向导

 

打开“ Microsoft Update Test ”的播发属性，设置播发开始时间，如下图所示

 

检查 Perth 的补丁分发也可以在 SMS 服务器上进行，在 SMS 服务器的集合中找到 Perth ，启动资源管理器，如下图所示，我们在“扩展的软件更新”中看到 Perth 已经安装了 KB896423 。

总结： ITMU 已经较好地解决了补丁问题，利用 SMS 的软件分发功能可以很容易地将补丁分发到客户端，监控功能也较完善，总体来说是管理员实施补丁管理的一个较好选择。只是，收费的 SMS 和免费的 WSUS 相比好象也没有体现出一些特别的优势，如果作为管理员，您会选择哪个产品呢？