网络管理自动化
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

第3章 系统补丁更新自动化

Windows系统漏洞可谓屡见不鲜、层出不穷,而且其危险性和危害性也越来越大。因此,及时更新系统补丁、堵塞系统漏洞,保证 Windows 系统安全,就成为网络管理人员的当务之急。WSUS(Windows Software Update Service)作为微软为数不多的免费服务程序,允许管理员在 Windows 工作站和服务器上快速、可靠地部署重大更新和安全更新。更让人欣慰的是, WSUS 3.0已经可以支持Windows Vista系统的安全管理更新服务。同时微软公司又提供了一款收费的补丁管理工具,即Microsoft Systems Management Server 2003管理软件中的Inventory Tool for Microsoft Updates Revision 3(简称(ITMU R3)),允许客户端和SMS交互,网络管理员可以在控制台直接看到客户端计算机补丁升级的结果,从而有效地掌握网络中补丁的部署情况。

3.1 Windows系统更新服务

Windows Server Update Services简称WSUS,是微软公司推出的、免费为使用微软产品的用户提供的可以升级Windows产品(补丁、Hotfix、驱动程序等)的工具。除了可以给Windows系统提供升级补丁分发服务之外,还可以给微软的Office、SQL Server等重要软件提供补丁升级分发服务。WSUS 3.0 的工作原理是通过位于局域网防火墙内部的 WSUS 服务器,通过Internet连接到Microsoft Update站点,然后有选择地下载客户端所需的更新内容,并有计划有选择地反馈给不同的客户端。另外,如果网络客户端数量较多还可以同时配置多台 WSUS 服务器,以达到备份和负载平衡的目的。

3.1.1 WSUS概述

WSUS 的主要功能就是提供微软产品的更新服务,这在任何一个版本而言都是毋庸置疑的。微软提供的用于管理微软产品更新服务的免费组件,从最早的 SUS 到目前的 WSUS 3.0主要经历了SUS、WUS、WSUS 2.0和WSUS 3.0几个阶段,当然实现的功能也从最初的只能支持Windows系统更新服务,提升到了已经可以支持大部分的微软产品更新服务。

WSUS(Windows Server Update Services)相比以前的版本,增加了如下的功能。

1. 操作更简单

WSUS 3.0 已经彻底从传统的 Web 管理界面中脱离出来,用户可以通过 Microsoft Management Console 3.0控制台轻松管理。另外,当客户端连接至WSUS服务器时,会发现在左侧导航栏中多出了许多可操作选项;服务器端筛选和过滤功能也增强了许多,管理员可以更灵活地选择下载当前网络中所需的更新内容;WSUS 3.0还支持远程管理,但用户必须拥有足够的操作权限并且已经安装了MMC 3.0控制台;管理员可以通过在微软网站注册系统更新提示服务,来确保可以第一时间去下载安全更新。

2. 可管理性更强

WSUS 3.0允许WSUS服务器每小时下载一次所需更新,这样就可以在微软发布更新内容的第一时间下载到更新内容;WSUS 3.0允许管理员指定不同产品的更新分类;WSUS 3.0仅赋予客户端对WSUS Reporters的只读权限,即客户端只能读取报表内容但无法批准某项更新或配置WSUS服务器配置。

3. 对复合型服务器的支持更好

首先如果网络中存在多台 WSUS 3.0 服务器,则可以在同一台管理控制台上进行统一管理,而不必去单独配置和管理;WSUS 3.0服务器可以和其他服务器或服务器群集进行统一配置和管理,但是这些服务器必须使用相同的SQL数据库。

4. 服务器备份和恢复更加快速

用户可以在WSUS服务器运行正常的情况下进行数据备份,当出现故障时使用作好的备份可以将服务器快速恢复到正常状态,免去了重新安装和配置的麻烦。

5. 同一客户端可以被指派到不同的分组中

由于一台服务器可能担当不同的角色或安装了不同的Microsoft产品,若每次只能被派到指定的分组中,则需要对所有产品进行更新时就要反复分组。现在每一台WSUS 3.0客户端都可以被指定到不同的分组中,从而可以一次完成多个产品的更新。

6. 带宽优化更到位

目前广泛应用的WSUS 2.0中已经提供了带宽优化功能,而WSUS 3.0又在WSUS 2.0的基础上将这种优化性能提升了50%,如果在X64的WSUS服务器上则表现更为明显。

7. 改良型API接口使WSUS服务器扩展更容易

新型的API接口完全基于.NET Framework 2.0,管理员可以通过这种接口连接高级管理工具实现远程控制管理,并且可允许管理员远程获取所有客户端的硬件和软件信息,这和 SMS 2003非常类似。

3.1.2 WSUS服务端部署

在 WSUS 3.0 网络环境中同样包括服务器端和客户端两部分,现在就来看一下如何配置WSUS 3.0服务器端。

1. WSUS服务器需求

WSUS服务器端安装之前,需要首先下载必须的补丁和安装IIS服务,如果没有安装这些补丁,将不能正常安装。

(1) 软件需求

首先WSUS 3.0服务器的系统环境必须是Windows Server 2003 SP1以上版本,并且确保已经正确安装了如下系统组件:

● 若使用Windows Server 2003作为WSUS服务器则必须先安装Service Pack 1;若使用Windows Server Vista则必须使用Beat 2或更高版本的。

提示

由于Windows Server Vista目前尚未正式推出建议使用Windows Server 2003 SP1作为WSUS服务器操作系统。

● 安装IIS 6.0或更高版本(Windows Server 2003安装光盘中已经提供)。

● 安装BITS 2.0或更高版本(Windows Server 2003安装光盘中已经提供)。

安装Windows Installer 3.1或更高版本,下载地址为http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=889482FC-5F56-4A38-B838-DE776FD4138C。

● 安装Microsoft .NET Framework 2.0,下载地址为http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=0856eacb-4362-4b0d-8edd-aab15c5e04f5。

● 安装 MMC 3.0 控制台,下载地址为 http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=4C84F80B-908D-4B5D-8AA8-27B962566D9F。

● 安装 Report Viewer,WSUS 服务器查看报表使用的组件工具,下载地址为:http://download.microsoft.com/download/9/8/d/98d5fe83-60ad-4d40-bc25-5f60b9f21a11/ReportViewer.exe。

提示

MMC 3.0和Report Viewer是可选组件。如果不安装MMC 3.0则无法在控制台管理WSUS 3.0服务器,如果不安装Report Viewer则无法查看WSUS 3.0的报表,所以建议安装。

(2) 硬件需求

WSUS 3.0功能虽然有了明显提升,但硬件需求方面变化不大。以下是客户端数量不大于500个的WSUS服务器的主要硬件配置信息:

● 服务器内存至少为1GB。

● 处理器至少为1GHz或更高。

● 磁盘空间依据所选数据库的不同而不同,建议保留30GB的自由空间用于存储下载数据和数据库信息。

● 确保WSUS服务器到Internet以及和客户端之间的网络连接正常。

2. WSUS服务器端的安装和配置

■ 准备工作

开始部署WSUS 3.0服务器端之前需要完成的工作和需要安装的组件,前面已经作了简要介绍。其中单独下载的必备组件安装都比较简单,直接运行安装程序即可。另外用户也可以事先安装好SQL Server 2005(含SP1)数据库,或者是在安装WSUS 3.0过程中直接安装WSMDE (Windows)数据库。

■ 安装IIS 6.0和BITS服务

(1) 打开“控制面板”→“添加或删除程序”→“添加/删除 Windows 组件”选项,显示如图3-1所示的“Windows组件向导”对话框。

图3-1 “Windows组件向导”对话框

(2) 在Windows组件列表中,选择“Internet信息服务(IIS)”并单击“详细信息”按钮,显示如图3-2所示的“应用程序服务器”对话框。

图3-2 “应用程序服务器”对话框

(3) 在“应用程序服务器的子组件”列表框中,选择“Internet信息服务(IIS)”并单击“详细信息”按钮,显示如图3-3所示的“Internet信息服务(IIS)”对话框。选中“后台智能传送服务(BITS)服务器扩展”复选框。

图3-3 “Internet信息服务(IIS)”对话框

(4) 连续单击“确定”按钮,开始安装选择的组件。

提示

在此过程中需要用到Windows Server 2003安装光盘。

■ 安装.Net Framework 2.0

从微软的网站下载.Net Framework 2.0安装包,存储到服务器中的临时文件夹,双击可执行文件,安装.Net Framework 2.0。

(1) 双击可执行文件,安装包自动解压缩到临时目录,如图3-4所示。

图3-4 解压文件包

(2) 完成后,自动启动安装程序,如图3-5所示。

图3-5 安装向导之一

(3) 单击“下一步”按钮,显示如图3-6所示的“最终用户许可协议”对话框。选中“我接受许可协议中的条款”复选框。

图3-6 安装向导之二

(4) 单击“安装”按钮,启动安装进程,直到最后完成,如图3-7所示。

图3-7 安装向导之三

■ 安装报表查看器

从微软的网站下载ReportViewr安装包,存储到服务器中的临时文件夹,双击可执行文件,安装报表查看器。

(1) 双击可执行文件,解压缩完成后,启动安装向导,如图3-8所示。

图3-8 安装向导之一

(2) 单击“下一步”按钮,显示如图3-9所示的“最终用户许可协议”对话框。选择“我接受许可协议中的条款”复选框。

图3-9 安装向导之二

(3) 单击“安装”按钮,启动安装进程,直到最后完成,如图3-10所示。

图3-10 安装向导之三

■ 安装WSUS 3.0服务器

一切准备工作就绪之后就可以开始安装WSUS 3.0服务器了,具体操作步骤如下。

(1) 运行WSUS 3.0安装程序,启动安装向导显示如图3-11所示的对话框。如果仍有准备工作为完成,则无法看到该向导,会出现提示某某组件还没有安装的对话框。

图3-11 欢迎使用WSUS 3.0安装向导

(2) 单击“下一步”按钮,显示如图3-12所示的“安装模式”对话框。WSUS提供两种安装模式,包括管理控制台的完整服务器安装和仅限管理控制台,建议安装成前者。

图3-12 “安装模式”对话框

(3) 单击“下一步”按钮,显示如图3-13所示的“许可协议”对话框,安装之前用户应先仔细阅读该协议中列出的所有条款,选择“我接受许可协议条款”单选按钮。

图3-13 “许可协议”对话框

(4) 单击“下一步”按钮,安装向导将开始检测WSUS 3.0所需的所有组件(启动安装向导之前只检测必须组件),主要包括Microsoft .NET Framework 2.0、MMC 3.0和Report Viewer,如果没有安装则会停止安装;如果已经正确安装则会显示如图3-14所示的“选择更新源”对话框。单击“浏览”按钮可以重新指定WSUS的安装目录,但必须保证目标分区的文件系统是NTFS格式。

图3-14 “选择更新源”对话框

提示

这里有一个非常重要的复选框,即“本地存储更新”。可以明确地是无论选择与否都可继续安装。如果选择该复选框,则 WSUS 服务器将下载所有客户端需要的所有更新安装程序,并保存到本地服务器上。显然这样就可以避免每个用户单独连接到Internet下载自己所需的更新,节约了大量的Internet带宽,但是这需要 WSUS 服务器有足够的磁盘空间来存储这些安装程序(最小为6GB),并且该分区的文件系统必须为NTFS(便于设置访问安全选项)。如果取消了该复选框,则 WSUS 服务器只负责下载更新程序的列表,并控制客户端可以安装的安全更新。这里笔者建议用户选择该复选框,6GB 的磁盘空间对于服务器而言应该不是问题。

(5) 单击“下一步”按钮,显示如图3-15所示的“数据库选项”对话框。在这里网络管理员可以有三个选择来指定WSUS 3.0服务器所使用的数据库,安装向导默认的是WSUS 3.0安装过程中自动安装的WSMDE(Windows)数据库,也可以选择本地计算机上已经安装的数据库。

图3-15 “数据库选项”对话框

提示

如果在上述准备工作中已经安装了SQL Server 2005 SP1数据库,则可以选择第二个单选项,并在下拉列表中指定数据库名称。如果没有安装则可以保持默认选项,但用于安装WSMDE数据库的目录所在分区同样必须是NTFS格式,并保证最少有2 GB的自由空间。

(6) 单击“下一步”按钮,显示如图3-16所示的“网站选择”对话框,选择WSUS管理工具和服务网站使用的端口号。如果是全新并且第一次安装WSUS 3.0服务器,则可以选择使用TCP的80端口或TCP的8530端口;如果是升级安装或者当前服务器还安装有其他Web站点占用了80端口,则可以通过WSUS安装向导创建一个自定义的Web站点,并使用8530端口。此时的站点使用端口是不可配置的,自动更新功能也是关闭的,需要创建一个在80端口的虚拟目录来启用自我更新。需要注意的是,如果使用了8530端口则在配制客户端访问服务器使用的网络路径时也要指明端口,默认的80端口则无需指定。如果WSUS只供内网使用,则可以使用8530端口;如果为广域网上的其他系统使用,建议用户使用TCP的80端口。

图3-16 “网站选择”对话框

(7) 单击“下一步”按钮,显示如图3-17所示的“准备安装Windows Serevr Update Services 3.0”对话框,这里显示了前面配置的 WSUS 3.0 及其数据库的安装路径、客户端访问自我更新连接到的站点,以及安装WSUS 3.0过程中将要安装的组件等。单击“上一步”按钮可返回重新设置。

图3-17 “准备安装Windows Serevr Update Services 3.0”对话框

(8) 单击“下一步”按钮,即可开始安装,由于需要安装的组件比较多所以可能需要较长的时间。安装完成后会显示如图3-18所示的“正在完成Windows Serevr Update Services 3.0安装向导”对话框。单击“完成”按钮,将完成WSUS的安装。

图3-18 “正在完成Windows Serevr Update Services 3.0安装向导”对话框

■ 配置WSUS 3.0服务器

安装完毕之后,自动启动配置向导,也可以依次单击“开始”→“管理工具”→“Microsoft Windows Server Update Services v3.0”选项,启动WSUS 3.0配置向导。

(1) 第一次启动时会显示如图3-19所示的“在您开始之前”对话框,提示开始配制之前应做好的准备工作。主要包括目前服务器防火墙是否允许客户端访问、服务器是否可以正常连接到微软的更新站点和如果使用了代理服务器是否拥有合法的登录口令,在这里前两项是必须保证的,最后一项则可以根据自己的实际情况而定,如果不是通过代理服务器连接到 Internet则用户名和密码也就无从谈起了。

图3-19 “在您开始之前”对话框

(2) 单击“下一步”按钮,显示如图3-20所示的“加入Microsoft Update改善计划”对话框。如果想加入,则选择“是的,我希望加入Microsoft Update改善计划”复选框,否则清除该复选框即可。

图3-20 “加入Microsoft Update改善计划”对话框

提示

WSUS 3.0服务器访问Microsoft Update站点并下载更新安装程序时需要用到80(用于HTTP协议)和443(用于HTTPS协议)端口,因此开始配置之前应先在防火墙上开启这两个端口。如果防火墙上需要对通过这两个端口可以访问的站点进行限制,则只需将如下站点加入可以访问的站点列表中,同样可以连接到Microsoft Update站点。用到的站点地址如下所示:

http://windowsupdate.microsoft.com

http://*.windowsupdate.microsoft.com

https://*.windowsupdate.microsoft.com

http://*.update.microsoft.com

https://*.update.microsoft.com

http://*.windowsupdate.com

http://download.windowsupdate.com

http://download.microsoft.com

http://*.download.windowsupdate.com

http://wustat.windows.com

(3) 单击“下一步”按钮,显示如图3-21所示的“选择‘上游服务器’”对话框,这主要是针对当前配置的WSUS 3.0服务器需要从另一台WSUS服务器获得更新的情况而言的,如果用户使用的是这种模式,则需要键入上游服务器名称和使用的端口,以及两者同步过程中是否要启动SSL验证等。如果当前配置的WSUS 3.0服务器需要直接连接到微软更新站点,则保持系统默认的“从Wicrosoft Update进行同步”单选项即可。

图3-21 “选择‘上游服务器’”对话框

提示

当选择从上游 WSUS 服务器获取更新安装程序时,后面的许多设置选项都会被屏蔽,而只延用上游服务器的相关设置,例如选择支持的产品类型、语言版本等。

(4) 单击“下一步”按钮,显示如图3-22所示的“指定代理服务器”对话框。目前有许多企业网络为了保护内部网络安全和控制内部网络对外网的访问,都采用了代理服务器的模式,即在内网和外网之间设置一台专用于访问控制和转发请求的网络服务器,在这种模式的网络配置WSUS 3.0服务器时毫无疑问当然是选择在内网,即WSUS 3.0服务器访问微软更新站点时也要通过代理服务器,此时就需要在这里键入代理服务器名称、访问端口、用户名、密码等验证信息。笔者所使在网络中没有代理服务器,所以可以略过此步骤。

图3-22 “指定代理服务器”对话框

(5) 单击“下一步”按钮,显示如图3-23所示的“连接到上游服务器”对话框,如果在前面指定上游服务器是指定了网络中的其他WSUS服务器,则此时会测试到对方WSUS之间的连接,如果没有指定则会测试到Microsoft Update站点的连接。连接到上游服务器后将会下载允许更新的类型、可以支持的产品列表、可用更新的语言类型等。

图3-23 “连接到上游服务器”对话框

(6) 单击“开始连接”按钮即可开始尝试连接,连接到站点服务器的过程也就是同步的过程,所以需要的时间可能会较长一些,完成后会显示如图3-24所示的画面。如果由于某些故障未能成功完成同步,则可以再次单击“开始连接”按钮尝试,直至成功为止。

图3-24 “连接到上游服务器”对话框

(7) 单击“下一步”按钮,显示如图3-25所示的“选择‘产品’”对话框,在“产品”列表中列出的就是目前WSUS 3.0可以支持的所有Microsoft应用程序,如果曾经使用过WSUS 2.0,肯定会发现这里增加了许多新的产品。不仅可支持的新产品增加了,而且产品分类更加详细,管理员的可操作性也更强。在产品列表中选择目前网络中所有需要实现更新服务的微软应用程序即可。

图3-25 “选择‘产品’”对话框

(8) 单击“下一步”按钮,显示如图3-26所示的“选择‘分类’”对话框,在这里可以设置需要下载的更新分类,包括服务包、安全更新、关键更新和驱动程序等,最早的WUS只能支持部分Windows操作系统的安全更新和重要更新两种,如今已经扩展到了9种更新分类。

图3-26“选择‘分类’”对话框

(9) 单击“下一步”按钮,显示如图3-27所示的“设置同步计划”对话框,即是否为该WSUS 3.0服务器指定同步计划,当然也可以选择“手动同步”单选项进行手动同步,这个可以依据自己网络的实际情况进行定义。例如网络中的客户端众多,且类型复杂随时都有获取更新安装程序的需要,则可以给WSUS 3.0服务器指定一个自动执行的计划,目前WSUS 3.0自动同步的最高频率为每小时一次,即每隔一小时就自动连接到Microsoft Update站点检查更新发布情况。

图3-27 “设置同步计划”对话框

提示

当设置较高的同步频率时,就要占用过多的网络带宽,所以实际操作时还要结合自己的网络连接情况而定。

(10) 单击“下一步”按钮,显示如图3-28所示的“完成”对话框,即可初步完成WSUS 3.0的配置。选择“启动Windows Server Update Services管理控制台”复选框则将返回控制台窗口并应用所做的修改,选择“开始初始同步”复选框则关闭该对话框之后立即进行第一次同步测试。

图3-28 “完成”对话框

(11) 单击“下一步”按钮,显示如图3-29所示的“后续步骤”对话框,列出配置系统需要的其他步骤。

图3-29 “后续步骤”对话框

(12) 单击“完成”按钮,关闭配置向导,同时启动WSUS管理控制台,如图3-30所示。

图3-30 WSUS管理控制台

(13) 在“更新服务”列表中,选择WSUS服务器,在窗口中间区域可以查看当前服务器的计算机状态、同步状态、更新状态、下载状态、服务器统计信息等,如图3-31所示。

图3-31 状态信息

3. WSUS其他配置

通过上述配置,WSUS 3.0服务器已经可以正常运行。但是在应用过程中可能会需要修改其中的某些选项和设置,在WSUS 3.0控制台窗口中,单击左侧导航栏中的“选项”选项,显示如图3-32所示的窗口。例如下载更新后需要先对某些计算机进行测试,然后才可以分发,这就需要将这些测试计算机指派到同一计算机组中。

图3-32 WSUS 3.0的所有选项设置

■ 更新源和代理服务器

在选项列表中单击“更新源和代理服务器”超链接,显示如图3-33所示的“更新源和代理服务器”对话框。网络管理员可以选择从那个微软的Update服务器更新,在本例中选择“从Microsoft Update进行同步”。如果需要从其他的升级服务器更新,选择“从其他Windows Server Update Services服务器进行同步”单选按钮,同时在“服务器名”和“端口号”文本框中,键入上游服务器的相关信息即可。

图3-33 “更新源和代理服务器”对话框

■ 产品和分类

在选项列表中单击“更新源和代理服务器”超链接,显示如图3-34所示的“产品”选项卡。切换到“产品”选项卡,选择需要更新的产品前的复选框,如果需要选择全部产品,则选择“所有产品”复选框。

图3-34 “产品”选项卡

打开“分类”选项卡,显示如图3-35所示的“分类”选项卡。选择需要更新的分类前的复选框,如果需要选择全部分类,则选择“所有分类”复选框。

图3-35 “分类”选项卡

■ 更新文件和语言

在选项列表中单击“更新文件和语”超链接,显示如图3-36所示的“更新文件”选项卡。建议选择“将更新文件本地存储在此服务器上”单选按钮,可以为内网用户提供快速更新服务。

图3-36 “更新文件”选项卡

切换到“更新语言”选项卡,显示如图3-37所示的“更新语言”选项卡。建议选择“仅下载这些语言的更新”列表中的“中文(简体)”复选框,仅下载有关中文的更新即可,其他的则不需要下载。

图3-37 “更新语言”选项卡

■ 同步计划

在选项列表中单击“同步计划”超链接,显示如图3-38所示的“同步计划”对话框。网络管理员根据需要选择“手动同步”或者“自动同步”,建议选择“自动同步”,WSUS 将自动从微软的服务器上下载最新的更新补丁,同时网络管理员可以设置第一次同步的时间,允许WSUS服务器每天自动最多和微软的Update服务器同步24次,也就是说每个小时同步一次。

图3-38 “同步计划”对话框

同步计划网络管理员可以根据需要设置同步的次数,尽量将同步的时间安排在网络不是很繁忙的时候,下载更新程序。

■ 自动审批

在选项列表中单击“自动审批”超链接,显示如图3-39所示的“自动审批”对话框。在这里可以对WSUS 3.0服务器的自动审批规则进行设置,如添加某项新规则、删除现有规则或编辑现有规则等。只有在自动审批规则中被设置为允许的更新分类和产品类型才可以被分发到指定的计算机或计算机组中。

图3-39 “自动审批”对话框

列表中的“默认的自动审批规则”是WSUS 3.0服务器默认的自动创建的审批规则。

选择现有规则后,单击“删除”按钮即可将其删除,也可以单击“编辑”按钮对其进行再次编辑,但需要注意的是编辑完之后需要保存修改的规则。

同时,提供“新建规则”功能,下面说明如何使用“新建规则”功能。

(1) 单击“新建规则”按钮,显示如图3-40所示的“添加规则”对话框。

图3-40 添加规则之一

(2) 在“步骤1:选择属性”分组框中,选择需要批准的产品类型和更新分类,选择某一项前面的复选框的同时,在“步骤 2:编辑属性”分组框中会自动增加针对该项的设置选项,例如这里选择“当更新属于特定产品时”项,即仅自动批准指定产品的更新,此时“步骤 2:编辑属性”分组框就会增加一条“当更新属于 任何产品 时”记录。如图3-41所示。

图3-41 添加规则之二

(3) 在“步骤2:编辑属性”分组框中还可以对选定的分类进行详细编辑,单击每个分类条目中的下画线部分即可,例如本例中先单击“任何产品”时,显示如图3-42所示的“选择‘产品’”对话框。默认状态下选择所有产品,有些产品并不是需要的,只需在这里将其取消即可,最后单击“确定”按钮保存设置,设置完成的产品如图3-43所示。

图3-42 添加规则之三

图3-43 添加规则之四

(4) 在新建自动审批规则对话框的“步骤2:编辑属性”分组框中单击“为 所有计算机审批更新”条目中的“所有计算机”,显示如图3-44所示的“选择计算机组’”对话框,在这里可以设置将该自动审批规则应用到的计算机组,其中“未分配的计算机”中包含的是当前网络中所有未被指派分组的计算机,“Windows XP”是后来新建的计算机组。选择相应组前的复选框,单击“确定”按钮保存。

图3-44 添加规则之五

(5) 在“步骤 3:指定名称”文本框中键入新建自动审批规则的名称,键入一个容易识别的名称,本例中为Windows XP,如图3-45所示。。

图3-45 添加规则之六

(6) 重复上述设置,根据需要创建更多的自动审批规则。

(7) 选择新建的规则,在新建规则对话框中单击“运行规则”按钮,显示如图3-46所示的“运行规则”对话框。

图3-46 添加规则之七

(8) 提示用户启用规则之前需要先进行保存,是否要继续。单击“是”按钮启用,此时WSUS 3.0服务器会根据所选自动审批规则中的限制和过滤条件筛选可用的更新安装程序,需要等待一段时间,如图3-47所示。

图3-47 添加规则之八

(9) 成功启用后,单击“关闭”按钮即可,如图3-48所示。

图3-48 添加规则之九

■ 设置计算机和计算机组

指定接收更新文件的客户端计算机和计算机组是一项非常重要的工作,有时为了实现某种目的可能需要随时改动。WSUS 3.0的一大亮点就是允许管理员将同一台客户端同时指派到不同的计算机组中,这就为用户节省了不少的设置时间,例如在分发更新之前需要先进行测试,测试就可以将属于不同分组中的部分计算机抽调出来组成一个新的测试组,测试完成之后无需进行任何修改即可广泛部署。

在所有设置选项列表中单击“计算机”超级链接,打开如图3-49所示的“计算机”对话框。这里显示了允许管理员分配客户端的两种方式,即通过WSUS控制台和通过组策略或注册表添加。在后面的内容中会详细介绍如何利用这两种方法指派客户端分组。

图3-49 计算机”对话框

■ 服务器清理向导

服务器清理向导可以帮助清除WSUS 3.0服务器上的垃圾文件,例如过期的metadata、更新安装程序,以及无效的客户端分组和指定更新安装程序等,这些文件不仅会占用有限的磁盘空间,而且还可能造成服务器响应速度慢,影响分发效率。

(1) 在所有选项列表中单击“服务器整理”超级链接,显示如图3-50所示的WSUS“欢迎使用服务器清理向导”对话框,默认情况下选择所有的选项,网络管理员可以通过选择或取消其前面的复选框来决定清理或保留该项指定的更新。

图3-50 “欢迎使用服务器清理向导”对话框

提示

在选择清理指定更新时要尤其注意查看其详细信息,确保已经过期或没用。

(2) 单击“下一步”按钮,显示如图3-51所示的“正在清理服务器”对话框。即可开始清理,根据WSUS 3.0服务器的运行情况和所选的清理选项的不同,需要的时间也会有所不同,通常需要几分钟到十几分钟的时间。

图3-51 “正在清理服务器”对话框

(3) 清理完成,显示如图3-52所示的“清理完成”对话框,单击“完成”按钮,关闭对话框。

图3-52 “清理完成”对话框

■ 报告汇总

该选项只适用于存在下游服务器的WSUS 3.0服务器。在所有选项列表中单击“报告汇总”超级链接,显示如图3-53所示的“报告汇总”对话框。在这里包括两个选项,即“从副本下游服务器汇总状态”和“不要从副本下游服务器汇总状态”,意思分别是收集下游服务器上所有的状态信息和不收集下游服务器上的状态信息,网络管理员可以根据自己的需要选择。最后单击“确定”按钮保存设置即可。

图3-53 “报告汇总”对话框

■ 电子邮件通知

启用WSUS 3.0服务器的电子邮件通知功能后,可以在服务器同步完成后的第一时间通知管理员,或者直接将收集到的状态报告发送给管理员,以备日后查看和调用。

在所有选项列表中单击“电子邮件通知”超级链接,显示如图3-54所示的“电子邮件通知”对话框,默认显示的是常规选项卡。在这里需要对每一项通知的收件人进行指定。选择“在同步新更新时发送电子邮件通知”复选框,可以让WSUS 3.0服务器同步完毕后通知“收件人”文本框中的收件人。选择“发送状态报告”复选框然后,对发送频率和发送时间设置,即可让WSUS 3.0服务器每隔指定的时间向收件发送状态报告信息。在“语言”右侧的下拉列表中,选择默认的语言版本,选择“中文(简体)”即可。

图3-54 “电子邮件通知”对话框

切换到“电子邮件通知”对话框,显示如图3-55所示的“电子邮件通知”对话框。由于发送邮件的过程是由WSUS 3.0服务器自动完成的,所以这里还要对发送邮件时使用的用户名和邮件服务器进行设置。最后设置完毕后可以先单击“测试”按钮测试一下,指定的收件人是否确定可以收到WSUS 3.0服务器发送的邮件通知,确认成功后再单击“应用”按钮提交修改。

图3-55 设置发送邮件服务器

提示

这里未能列出的配置选项并非不重要,只是在运行WSUS 3.0配置向导过程中已经作过相应的修改,但是在日后应用过程中如果需要对某些选项进行设置,仍可以在这里实现。

■ WSUS服务器配置向导

网络管理员可以使用此向导配置WSUS的一些基本参数,这是微软公司提供的人性化的一部分,可以帮助不熟悉WSUS系统的网络管理员快速入门。

3.1.3 WSUS客户端配置

WSUS可以为Windows 2000以上操作系统的计算机部署应用更新,在这些系统从WSUS获取更新以前,必须进行设置。对于加入到Active Directory中的计算机来说,可以通过组策略进行设置。对于没有加入到Active Directory的计算机,可以通过运行gpedit.msc进行添加设置。

1. 客户端的安装和配置

根据需要添加的客户端所在环境的不同,网络管理员可以采用以下两种不同方式配置WSUS 3.0客户端,即域控制器的组策略编辑器和工作组环境中客户端各自的本地策略编辑器,当然除此之外还可以通过修改注册表等其他方法实现,但相对要麻烦一些,所以建议用户使用本例中介绍的配置方式。

■ 通过组策略编辑器配置

如果通过组策略为Active Directory网络中的计算机指定WSUS升级服务器的地址,需要在包括网络中所有计算机的“组织单元”或其上一级“组织单元”配置组策略,或者将需要更新的计算机“移动”到一个新创建的“组织单元”中,然后再对该组中的所有计算机及进行操作即可,具体步骤如下。

(1) 新建一个用于保存所有WSUS 3.0客户端计算机的组织单位,当然也可以使用AD默认提供的组织单位,例如WSUS 3.0。

(2) 使用新建计算机的方法将客户端计算机添加到指定的组织单位中,也可以从其他组织单位中直接拖曳。

(3) 右击组织单位并选择属性打开对话框,接着单击“组策略”标签,显示如图3-56所示的“组策略”选项卡。由于在此之前并没有对该组织单位进行任何策略限制,所以策略列表是空白的。

图3-56 创建和编辑策略

(4) 单击“新建”按钮新建一条策略,并为其指定新的名称,例如WSUS 3.0 Client,然后单击“编辑”按钮打开如图3-57所示的“组策略编辑器”窗口。

图3-57 “组策略编辑器”窗口

选择“计算机配置”→“管理模板”→“Windows组件”→“Windows Update”选项,即可看到所有的设置选项,默认都是“未被配置”。

提示

这里的操作步骤与安装 WSUS 3.0 之前有些区别,安装之前直接在“Windows组件”下方的“Windows Update”中就可以设置客户端的自动更新选项。但是安装 WSUS 3.0 之后会自动在 Windows 管理模版中增加一个“Windows Components”选项,用于保存后来安装的所有Windows相关组件,例如WSUS、SMS等,所以配置更新选项的时候也要在这里进行。

(5) 双击“配置自动更新”策略,显示如图3-58所示的“配置自动更新”对话框,先选择“已启用”单选项激活下面的选项。

图3-58 “配置自动更新”对话框

在“配置自动更新”右侧的下拉列表中选择对应的自动更新类型,共有 2~5 四种类型,建议选择第4种类型“自动下载并计划安装”,即自动下载更新并计划安装时还要继续设置“计划安装日期”和“计划安装时间”选项,指定执行安装的时间和日期。设置完成后单击“应用”和“确定”按钮保存设置。

(6) 双击“指定intranet Microsoft更新服务位置”策略,显示如图3-59所示的“指定intranet Microsoft 更新服务位置”对话框。首先选择“已启用”单选按钮,然后在“为检测更新设置intranet更新服务”文本框中指定局域网中的WSUS 3.0服务器地址,在“设置intranet统计服务器”文本框中指定用于获取客户端状态信息的服务器地址,本例中使用一台服务器。如果网络中的 WSUS 服务器和统计报表服务器(只用于获取客户端的状态和需求信息)分别是不同的服务器,则此处指定时应十分注意。

图3-59 “指定intranet Microsoft更新服务位置”对话

提示

设置这两条策略的顺序千万不可颠倒,否则将不会生效,即必须先启用“配置自动更新”,然后才可以设置WSUS服务器地址。

(7) 保存组策略编辑结果即可。其他组策略网络管理员可以根据自己的需要进行修改,此处不再详细介绍。

由于组策略的刷新和应用需要一定的时间,所以保存编辑结果后即使客户端重新登录域控制器了也可能无法立即联系到 WSUS 服务器。而默认情况下,每隔 90 分钟计算机组策略便会在后台刷新一次,刷新的时间可能随机偏移0~30分钟,客户端计算机要在域控制器刷新组策略20分钟后才可以应用到组策略。如果想要以更快的速度刷新组策略,可以在服务器端设置组策略后,通过运行gpupdate命令让设置即时生效,并在客户端计算机通过运行 gpupdate/force 命令立刻生效。如果计算机不是 Active Directory 的成员,可以通过输入 wuauclt.exe/detectnow 来消除20分钟延时。

■ 通过本地策略配置

如果计算机没有加入到 Active Directory,或者想覆盖Active Directory中通过组策略指定的WSUS升级服务器的地址或配置,可以在客户端计算机上通过运行“gpedit.msc”,并从“计算机配置”→“管理模板”→“Windows组件”→“Windows Update”中进行设置。

(1) 选择“开始”→“运行”,打开如图3-60所示的“运行”对话框,键入gpedit.msc,按Enter键。

图3-60 “运行”对话框

(2) 进入组策略编辑器,选择“计算机配置”→“管理模板”→“Windows组件”→“Windows Update”选项,双击右侧的“配置自动更新”选项,在“配置自动更新”对话框(如图3-61所示)中启用自动更新并选择自动更新的方式。如果选择了“自动下载并计划安装”选项,则需要设置“计划安装日期”和“计划安装时间”。

图3-61 “配置自动更新 属性”对话框

(6) 单击“下一设置”按钮,显示“指定Intranrnet Microsoft更新服务位置 属性”对话框,如图3-62所示。启用内部更新并指定升级服务器的地址,格式为http://WSUS服务器IP地址。

图3-62 “指定Intranrnet Microsoft更新服务位置 属性”对话框

(7) 最后单击“确定”按钮保存所有设置即可。需要注意,保存本地策略修改后并不会立即生效,也需要一定的等待时间。当然也可以使用强制刷新本地策略的方法使其立即生效,即在命令提示符窗口中运行gpupdate /force命令行,显示如图3-63所示的结果即表明刷新成功。

图3-63 强制刷新本地策略

生效之后,客户机会自动联系WSUS服务器进行升级。

2. 客户端注意事项

WSUS客户端在应用过程中应注意以下几个方面。

● 配置完WSUS客户端后下载,安装补丁的时间是根据机器的配置随机出现的。

● 可以按照如下方法检查WSUS客户端是否生效:配置完WSUS客户端后,在Windows目录下会生成 windowsupdate.log 文件,在其内可以看到此客户端是从何处升级的补丁及升级了哪些补丁。

● Windows 98,Windows XP HomeEditon操作系统无法配置WSUS客户端。

● Windows 2000/XP系统安装某些系统补丁后可能会出现无法登录系统或蓝屏等故障,此时可以开机进入安全模式,并按照补丁安装的先后顺序,从后往前依次删除,直至故障排除为止。

3.1.4 WSUS服务应用和管理

使用过WSUS 2.0的用户管理WSUS 3.0时并不困难,相反地是它引进了Windows控制台管理方式,功能虽然增加了不少,但操作上并没有复杂许多。当然,WSUS 服务器的日常应用也并非想象中的那样容易,配置好服务器和客户端再连接好网络就可以高枕无忧了,事实并非如此。首先,可能需要不定期地手动运行同步、查看同步报告、分析客户端当前情况等,其次是网络中客户端的变动也需要在服务器上做出相应的设置,另外对 WSUS 下载的所有更新进行及时分类管理也是非常重要的。

1. 执行服务器同步操作

所谓的“同步”也就是当前WSUS 3.0服务器从微软的Microsoft Update站点或其指定的上游WSUS服务器获取所需更新的过程。在前面配置WSUS服务器的过程中就曾经介绍过,用户可以通过手动和制定同步计划两种方式来实现,但是为了不致浪费过多Internet连接带宽建议使用手动同步的方式。

■ 查看WSUS服务器同步结果

打开“WSUS 管理控制台”窗口,然后在左侧控制台目录中选择“同步”选项,显示如图3-64所示的窗口,这里显示了在此之前WSUS服务器所做的几次同步操作,从图中显示的结果可以看出服务器经历了三次手动同步,每一次同步开始的时间、结束的时间,同步结果是成功还是失败等。在更新结果列表中单击某一次同步记录时可以在下面信息窗口中显示此次同步的详细信息,除以上摘要信息外还包括更新的数量、分类等。

图3-64 “Update Services”窗口

WSUS 服务器的同步报告信息当然不会像这里显示的这样简单,右击同步记录,在弹出的快捷菜单中选择“同步报告”命令,显示如图3-65所示的“同步报告”窗口。包括同步摘要信息以及此次同步中新的更新程序、修改更新和过期更新等。

图3-65 “同步报告”窗口

同步报告的功能并不是仅仅告诉管理员此次同步一共下载了多少更新,分别是什么类型,它还允许详细查看任何一个更新程序的详细信息,如描述信息、所属类型、发布日期等常用信息,如图3-66所示。这恰恰是判断一个更新是否对客户端有用的有效途径。例如在通过Windows自动更新为自己的计算机安装已下载的更新时,往往要先看清它的描述信息,可以弥补哪些漏洞,安装之后会产生什么影响等。

图3-66 “同步报告”窗口

■ 执行同步

执行WSUS 服务器同步是一项非常关键的操作,如果制订了同步计划,只需打开计算机系统就会自动完成,当然也可以采取手动的方式。

在“操作”分组框中单击“立即同步”超级链接,WSUS 立即执行同步更新,如图3-67所示的是正在同步的画面,需要注意的是在同步过程中将不会显示同步开始的时间、同步类型、结果等信息,但是可以在下面的信息提示框中查看到当前的同步进度。同步过程中如需停止,则单击“停止同步”超链接即可。

图3-67 同步

2. 计算机及分组管理

WSUS 3.0对客户端的管理都是通过分组的方式进行的,分组的标准非常灵活,可以根据所需更新类型的不同划分,也可以根据所属部门的不同进行划分。最常用的一个分组就是“测试组”,众所周知,在实施广泛分发之前必须对部分客户端进行测试,确保不会发生任何意外的情况下在可以分发安装到所有的客户端。默认情况下所有客户端都将存储在“未分类的计算机”分组中,必要的情况下可以将其迁移或复制到其他分组。

■ 搜索和添加计算机

正确配置WSUS 3.0客户端后,服务器将自动发现这些客户机,并将其指派到“未分配的计算机”组中。如果没有立即显示则可以尝试刷新一下服务器,首先在左侧导航目录中单击“未分配的计算机”分组,然后在中间窗口的标题栏中单击“刷新”按钮,即可将已经应用策略的计算机列出,如图3-68所示。

图3-68 “Update Services”窗口

如果仍未能正常显示在未指派分组中,还可以通过服务器搜索的方法查找。单击“所有计算机”后继续在右侧“操作”窗口中单击“搜索”超级链接,打开如图3-69所示的“搜索”对话框,确保“搜索”分组框中选择的是“计算机”,然后单击“立即查找”按钮即可立即搜索,完成后将在搜索结果中显示搜索到的所有客户端计算机。

图3-69 “搜索”对话框

另外,这也是批量添加计算机的一个好办法,如果搜索之前在“搜索所有计算机的名称”文本框中指定了某些关键字,则单击“立即查找”按钮后将只搜索计算机名中包含该关键字的客户端。在搜索结果中可以借助Shift和Ctrl组合键同时选择多个客户端。

提示

不仅可以搜索客户端,还可以利用它来搜索更新程序。首先在“搜索”下拉列表中选择“更新”,然后在“文本”文本框中键入想要搜索的更新程序标题

中包含的关键字,例如描述信息、文章编号、MRSC编号、类型等,本例中键入的是更新类型,接着单击“立即搜索”按钮即可开始搜索,稍等即可显示搜索结果,如图3-70所示。在这里可以像在同步结果报告中一样对某个更新程序进行批准或拒绝批准,操作方法非常类似,此处不复赘述。

图3-70 “搜索”对话框

在搜索客户端结果列表中选择想要指派到某个分组的计算机名后,单击鼠标右键并选择“更改成员身份”,打开如图3-71所示的“设置计算机组成员身份”对话框。在这里显示了当前WSUS 3.0服务器上所有的计算机组,选择某一个或者多个分组名称前的复选框即可将所选的计算机分派到相关的分组中,同一台计算机可以被同时分派到不同的分组中。单击“确定”按钮,即可将计算机划分到不同的组中。

图3-71 “设置计算机组成员身份”对话框

■ 删除计算机

计算机的删除也不复杂。当分组中的某些客户端无需再从WSUS服务器获取更新或者由于其他原因退出网络后,则需要及时在WSUS 3.0服务器上将其删除,例如现在需要删除Test分组中的某一台计算机。

首先展开所在分组并找到要删除的计算机名称,选择后单击“操作”窗口中的“计算机”选项并单击“删除”按钮,显示如图3-72所示的“删除计算机”对话框。提示将从WSUS 3.0服务器上彻底删除指定的计算机,单击“是”按钮确认即可,但是需要注意的是,彻底删除计算机后将不会在以后的搜索结果中显示,即无法再次添加。

图3-72 “删除计算机”对话框

如果需要删除计算机组,则可以在选定分组后单击“操作”窗口中的“Test(分组名称)”选项并单击“删除”按钮,此时会显示如图3-73所示的“删除计算机组”对话框。删除分组的同时将同时删除分组中包括的计算机及其子分组。

图3-73 “删除计算机组”对话框

这里包括三个单选项。

● 从此组中删除计算机。

● 将计算机移动到此组的父组中。

● 从此WSUS服务器中删除计算机。

■ 创建和管理分组

(1) 创建分组

使用WSUS 3.0服务器管理更新过程中经常需要添加一些特别或临时分组,首先在左侧目录中单击“所有计算机”选项,如图3-74所示。

图3-74 管理控制台

在右侧“操作”功能列表中,单击“添加计算机组”超级链接,打开如图3-75所示的“添加计算机组”对话框,或者右击“所有计算机”,在弹出的快捷菜单中选择“添加计算机组”命令。接着在“名称”文本框中键入新分组的名称,最后单击“添加”按钮即可大功告成。

图3-75 创建计算机组

(2) 管理分组

创建完分组后就可以添加计算机了,可以使用上面提到搜索和更改成员关系来实现,此处不复赘述。下面看一下在分组中可以对其成员做哪些操作。

① 如果当前分组中的客户端数量非常多,为了便于查看和管理,可以先按照一定的规则将其分类,例如按照操作系统或者服务器等。展开计算机组后,单击右侧“操作”窗口中“计算机”下面的“分组依据”,并选择“操作系统”或者“服务器”即可,如图3-76所示。

图3-76 “Update Services”窗口

② 选择“操作系统”选项后,显示如图3-77所示的按照操作系统分的组。

图3-77 “Update Services”窗口

如果当前操作的WSUS 3.0服务器还存在多台下服务器,则可以根据计算机组中的客户端所属的不同服务器进行分组显示。

③ 在计算机组中还可以直观地查看某个客户端当前的状态以及固有的属性信息,包括操作系统版本、语言、IP地址、所属分组等。对于WSUS管理员而言这些信息都不重要,重要的是下面的圆形分布图,在这里可以检查客户机当前的更新状态,需要的更新数量,已经安装的更新,安装更新失败情况等,通过分析这些数据可以更好的管理网络中的其他客户机。

鼠标右键单击选择的客户端计算机,在弹出的快捷菜单中选择“状态报告”命令,显示如图3-78所示的“BookAD的计算机报告”窗口,在该窗口中,将列出当前计算机的状态。

图3-78 “BookAD的计算机报告”窗口

3. 更新的管理

WSUS 服务器的主要功能就是将客户端所需的更新文件顺利地送达,所以只有合理有效地管理好这些更新或更新信息才能快速的为客户端提供服务。更新管理主要包括更新内容的管理和更新操作的管理两部分。

■ 更新内容

更新内容也就是WSUS服务器分发到客户端的安装程序,它主要包括元数据和更新文件两部分。在大多数用户看来这两者好像是一个文件一样,客户端需要的时候从服务器端下载即可,其实并非如此。

元数据主要是指更新程序的属性信息、EULAs(End -User License Agreements 终端用户协议)等相关数据,保存在WSUS 3.0服务器使用的数据库中,这个与安装WSUS 3.0服务器时的相关设置无关,只能完全下载并保存在指定的数据库中。

更新文件也就是客户端安装更新时用到的安装包,这才是更新程序的主要内容所在,相对于元数据而言它们占用空间较多,通常被保存在 WSUS 服务器指定的目录分区上,当然如果安装 WSUS 服务器时设置的是指下载安装信息而不下载安装文件,则这些文件会保存在微软的Microsoft Update站点上。

■ 更新操作

对更新的操作可以说是WSUS服务器应用中的重点,主要包括对更新的批准、测试以及存储管理等几个方面。使用过SUS的用户都知道,它只允许管理员批准安装或者不批准安装某个更新,但是在 WSUS 中管理员可以对更新内容进行批准安装、批准删除、批准仅检测、批准拒绝等各种操作。WSUS 服务器获得更新文件之后只有经过批准操作才能正确地安装到指定的WSUS客户端上。

(1) 分类查看更新

无论更新文件是否保存在本地WSUS 3.0服务器上,同步之后都可以在WSUS控制台上查看到获取的所有的更新文件信息,并且已经进行分类显示。单击左侧导航目录中的“更新”选项即可查看,如图3-79所示是分组显示的结果,共分为“所有更新”、“关键更新”、“安全更新”、“WSUS 更新”四类,分别显示了每一类更新中包含更新文件的数量,所有客户端中需要该更新的数量等。

图3-79 “Update Services”窗口

(2) 批准更新

只有经过WSUS服务器的批准,WSUS客户端才能正常下载和安装自己所需的更新程序。

① 在WSUS管理控制台列表中,选择“更新”→“关键更新”选项,如图3-80所示。

图3-80 “Update Services”窗口

② 在“关键更新”列表中,选择所有的“Windows Server 2003更新程序”,在窗口右侧的功能列表中,选择“更新”→“审批”选项,如图3-81所示。

图3-81 选择更新

③ 显示如图3-82所示“审批更新”对话框,在“计算机组”列表中,单击“所有计算机”下拉箭头,在弹出的快捷菜单中选择“已审批进行安装”命令。

图3-82 “审批更新”对话框

④ 审批完成的属性信息如图3-83所示。

图3-83 “审批更新”对话框

⑤ 单击“确定”按钮,显示如图3-84所示的“审批调度”对话框。开始执行审批过程。

图3-84 “审批调度”对话框

⑥ 单击“关闭”按钮,即可完成所选的更新程序的审批。

(3) 存储更新的管理

安装和配置WSUS服务器时如果设置了在本地保存更新文件,则可能会需要较大的磁盘空间,并且需要经常整理这些更新。另外还可以重新增加一块大容量硬盘,并将更新文件的存储路径设置到该硬盘上,这就需要用到更新的存储管理了。不仅如此,当存储更新文件的磁盘或分区出现故障时同样会用到。在这里WSUS 3.0提供了一个非常实用的命令行管理工具——WSUSUtil,默认状态下它的路径是C:\Program Files\Update Services\Tools>,借助它不仅可以实现上述存储管理功能,还可以实现WSUS服务器迁移、导入导出等。

首先,打开命令提示符窗口,并转入WSUSutil所在的路径下,该命令必须附加特定参数执行,单独运行将显示如图3-85所示的相关帮助信息。其中healthmonitoring、export、import、movecontent 等都是 WSUSutil 的参数,无法单独执行。继续运行类似 wsusutil help healthmonitoring 的命令行,可以继续查看附带该参数后的用法及效果。经常用到的主要是export(导出备份)、import(导入备份)、movecontent(移动目录)三个。

图3-85 WSUSutil帮助信息

导入和导出WSUS服务器备份在日常管理工作中非常重要,不仅可以用于灾难后的服务器恢复,还可以将导出的备份通过移动存储介质转移到无法通过网络连接到Internet或WSUS服务器的内部网络,使它们也能在第一时间获得更新。

在运行正常的WSUS服务器同步完毕后,执行如下命令行将其更新元数据导出到移动介质上。需要注意的是,导出的数据并不包括更新安装文件、服务器的批准信息、服务器设置等,只包括所有更新文件的摘要信息。如图3-86所示是成功导出后的结果,整个过程所需的时间主要取决于 WSUS 服务器存储的更新内容的多少,短则几分钟即可,长则可能要花上三四个小时。

图3-86 成功导出更新元数据

导出备份命令:wsusutil export d:\test.cab d:\test.log

如果只为了达到备份WSUS服务器的目的则可以到此为止了,直接打开导出时创建的日志文件可以查看整个过程中WSUSutil所做的所有动作。如果想将其导入到无法联网的内部网络的WSUS服务器,则可以继续执行导入命令:wsusutil import e:\test.cab e:\daoru.log。该命令行中只需指定所要导入的 WSUS 元数据备份文件所在目录即可,如果想要查看整个过程的所有动作,仍可以设置让其创建完整日志。如图3-87所示的是成功导入备份后的结果。

图3-87 成功导入备份

提示

导出和导入备份过程中千万不可终止操作,否则可能会前功尽弃。

4. WSUS服务器的报告监视

WSUS 服务器的报告监视功能应用也非常广泛,不仅可以查看更新状态报告、安装情况报告还可以查看客户机状态信息及需求反馈报告,详细了解这些情况后才能合理地将更新文件准确地部署到指定的客户端。在WSUS 3.0控制台窗口中单击左侧导航目录中的“报告”,显示如图3-88所示的报告窗口,包括更新报告、计算机报告和同步报告三部分。

图3-88 “Update Services”窗口

报告功能的应用非常简单,在更新报告、计算机报告和同步报告三个大项下面又分出了不同的详细选项,例如更新报告下面就包括更新状态摘要、更新详细情况、更新状态报表等,单击即可显示想要查看的详细信息。如图3-89所示的是单击“更新状态摘要”链接后打开的更新状态摘要窗口,那么为什么这里是空白的呢?其实这是提示用户对将要显示的报告结果进行筛选设置,因为有些时候报告中的结果比较复杂,则可能需要较长地加载时间。为了尽快查看到自己想要的结果,在这里可以对其进行设置。

图3-89 更新报告窗口

这里共包括更新级别、所属产品类型、计算机组、更新执行结果等设置选项,假设只想查看所有更新级别中的安全更新和关键更新就可以单击“任何分类”链接,打开如图3-90所示的“选择‘更新分类’”对话框,只保留列表中的“Service Pack”和“关键更新程序”被选择,然后单击“确定”按钮保存设置。

图3-90 “选择‘更新分类’”对话框

设置完筛选条件后单击“运行报告”按钮即可生成所需的报告,如图3-91所示。默认状态下每页仅显示一个更新的相关信息,包括描述信息、更新级别、发布日期、文章编号等。另外,如果 WSUS 服务器已经连接了打印机或远程打印机,还可以单击打印按钮将当前报告结果输出到打印机上。

图3-91 更新报告窗口

其他类型报告的使用和查看与之类似,这里就不重复介绍了。

5. 客户端获取并安装更新文件

服务器端批准指定的更新程序后客户端就可以开始安装了。

(1) 如果是通过域控制器组策略配置的客户端则可以重新登录到域控制器,如果修改的是本地计算机策略,则可以使用强制刷新的方法使其立即生效。

(2) 正确连接到WSUS服务器后,客户端桌面右下角任务栏中出现如图3-92所示的气泡提示框,提示用户已经准备好本地计算机所需的更新,单击提示框即可安装。

图3-92 客户端提示信息

(3) 单击信息提示框开始安装所需更新,显示如图3-93所示的“您想怎样安装更新”对话框,当然是否出现该对话框和前面修改本地策略或域控制器组策略时选择的方式是一致的,如果默认下载并安装则不会出现提示框而直接安装更新了。这里提供了两种安装方式,快速安装和自定义安装,建议选择快速安装。

图3-93 “您想怎样安装更新”对话框

(4) 单击“安装”按钮即可开始安装,显示如图3-94所示的“正在安装更新”对话框,此时用户可以最小化当前窗口继续其他操作。根据需要安装的更新内容的多少,需要的时间也会有所不同,安装完成后同样会在系统任务栏出现气泡提示框。

图3-94 “正在安装更新”对话框

(5) 安装完成后,显示如图所示的“您已成功更新了计算机”对话框。有些更新内容必须重新启动计算机后才可以生效,所以可能会提示重新启动计算机,如图3-95所示。

图3-95 “您已成功更新了计算机”对话框

6. 设置特殊文件发布

在应用WSUS发布补丁程序过程中可能会发现有些文件无法通过服务器发布给客户端,例如*.reg格式的注册表文件等。其实这并不奇怪,因为在IIS 6.0的MIME类型中只定义了常用的文件类型,而没有和IIS 5一样包含通配符MIME映射。这样当客户端浏览器从IIS 6 Web服务器上请求某个文件时,如果该文件的扩展名并没有在IIS的MIME类型中进行定义,IIS 会返回404错误-文件或目录未找到。

当需要通过WSUS服务器发布IIS的MIME类型列表库中不包括的文件时,需要先将文件类型添加到IIS全局或指定站点的MIME类型库中,操作步骤如下。

(1) 打开IIS控制台,然后右击服务器名并选择“属性”选项,显示如图3-96所示的对话框。本例中是在IIS全局范围内添加的MIME类型,将对当前服务器的所有站点生效,除此之外还可以直接选择想要添加的站点新的MIME类型。

图3-96 本地服务器属性对话框

(2) 单击“MIME类型”按钮显示如图3-97所示的“MIME类型”对话框,在“注册的MIME类型”列表中显示的所有类型都是当前服务器支持的,可以对选择的项目进行编辑,也可以直接删除。

图3-97 MIME类型库

(3) 单击“新建”按钮显示如图3-98所示的对话框。在扩展名栏中,键入对应的文件扩展名,如.reg等,如果不输入“.”则IIS会自动添加;如果想添加通配符MIME映射,即允许访问任何没有 MIME 类型定义的文件,则在扩展名栏输入“*”,不过不推荐使用这种方式。然后在MIME类型栏,输入相应的类型。

图3-98 新建MIME类型

(4) 最后单击“确定”按钮保存即可。

提示

在指定MIME类型时一定要注意和客户端“文件夹选项”中的“文件类型”相对应,如图3-99所示,否则将无法正常应用。

图3-99 客户端对应的文件类型

3.2 ITMU(R3)补丁管理

安装操作系统补丁,是每个网络管理员都必须要做的,而且也是基本的工作。但是面对网络中成百上千台电脑,如果每个都要管理员亲自安装,那么工作量特别繁重。虽然可以借助SUS、WUS 等软件来完成整个网络电脑的补丁程序安装,但是它们的功能有限,仅能完成补丁的分发功能,分发后客户端计算机是否安装完成,是否正确安装,网络管理员一无所知,所以仍然不能满足网络管理员的要求。

Inventory Tool for Microsoft Updates Revision 3(简称(ITMU R3))是微软基于SMS SP2推出的功能强大的补丁管理系统,SMS管理控制台和客户端计算机之间提供友好的交互能力,网络管理员可以根据报表或者查看单台计算机的方式,分析单台计算机或者补丁的整体安装情况,做到对操作系统的补丁情况了如指掌,保证所有客户端计算机操作系统的安全,从而增强网络安全。在部署ITMU之前,需要在网络首先部署SMS 2003 SP2 ,SMS安装的过程请参考“第3章 操作系统部署自动化之SMS服务器安装、SMS服务器配置、SMS客户端部署”章节。

3.2.1 下载MMC 3.0

要正确使用ITMU R3,SMS站点服务器需要安装MMC 3.0,MMC 3.0是微软提供的免费的管理控制台,网络管理员可以到微软的网站下载,地址为:http:// support.microsoft.com/Default.aspx?kbid=907265,如图3-100所示。

图3-100 MMC下载窗口

3.2.2 下载ITMU R3

ITMU R3 的下载地址是:http://www.microsoft.com/downloads/details.aspx?FamilyID=ba59d1a1-ff98-4103-824d-bbe6e414346b&DisplayLang=zh-cn,网络管理员可以到微软提供的下载地址,下载最新的ITMU版本,如图3-101所示。

图3-101 ITMU下载窗口

3.2.3 ITMU安装

ITMU R3下载后是一个压缩包,网络管理员需要将压缩包解压缩后,存储到一个文件夹中,例如c:\Sms_test,然后执行系统安装。下面将介绍ITMU的安装过程。

(1) 将下载的安装包解压缩到一个临时目录下,例如 c:\Sms_test,执行 SMSITMU.msi安装文件,启动ITMU安装向导,显示如图3-102所示的对话框。

图3-102 ITMU安装向导之一

(2) 单击“下一步”按钮,显示如图3-103所示的“许可协议”对话框。选择“我接受许可协议”单选按钮。

图3-103 ITMU安装向导之二

(3) 单击“下一步”按钮,显示如图3-104所示的“目标文件夹”对话框。网络管理员根据需要选择目标文件夹,默认即可。必须具有对NTFS文件系统中文件夹的“写”权限。默认位置为\Program Files\Microsoft Updates Inventory Tool 文件夹。将在此目标文件夹下创建PkgSource文件夹和WUSPkgSource文件夹。

图3-104 ITMU安装向导之三

(4) 单击“下一步”按钮,显示如图3-105所示的“自动获取最新的Windows Update目录”对话框。在“同步主机”文本框中,键入作为同步主机的计算机,用于定时获取Windows Update Catalogs,建议选择一台安装有高级客户端机器,并能够访问Internet的机器(不建议选择站点服务器)。本例选择站点服务器作为同步主机。站点服务器自动从 Internet 上下载catalog。

图3-105 ITMU安装向导之四

同步主机必须是SMS高级客户端,并且用于运行安装程序的用户账户必须至少拥有对一个集合的读取权限,且该集合包含该高级客户端。该同步主机不需要对Internet的访问权限。如果该同步主机拥有对Internet的访问权限,选择“同步主机将自动从Web下载该目录”单选按钮。如果该同步主机没有对Internet的访问权限,选择“我将下载该目录,同步主机将从文件夹复制该目录”单选按钮。可以从 Microsoft Update 网站(http://go.microsoft.com/fwlink/ ?LinkID=74689)下载Microsoft Update目录。

(5) 单击“下一步”按钮,显示如图3-106所示的“库存清单工具分发设置”对话框。必须为SMS将要创建的对象指定基本名称。建议的名称为“Microsoft Updates工具”。

图3-106 ITMU安装向导之五

如果选择其他基本名称,则该名称必须与已有SMS对象的名称以及将在以后的安装过程中创建的SMS对象的名称不同。该名称不能超过33个字符。该基本名称将在安装过程中创建的数据包、程序、集合以及播发的名称中用到。

如果选择“将库存清单工具数据包复制到所有分发点”复选框,安装程序将自动配置要复制到运行安装程序的站点中的所有分发点和所有子站点上的数据包。如果要限制包含清单工具数据包的分发点,则不选择此选项,在安装完成后为此数据包手动配置分发点。必须为此数据包的每个站点至少创建一个分发点,否则播发将无法在任何SMS客户端上运行。

如果选择让安装程序创建播发,可以指定SMS高级客户端的名称用作测试计算机。该计算机必须已经安装SMS高级客户端,并且必须属于可以利用在运行安装程序过程中登录所使用的账户进行读取的集合。安装程序将测试计算机添加到“Microsoft Updates工具(预生产)”集合中。

(6) 单击“下一步”按钮,显示如图3-107所示的“Windows Update代理的分发设置”对话框。

图3-107 ITMU安装向导之六

如果选择“创建分发Windwos Update代理的SMS对象”复选框,则必须为SMS将要创建的其他对象指定名称。默认的名称为“Windows Update 代理”。如果选择其他名称,则该名称必须与已有SMS对象的名称不同,特别是与用于分发清单工具的对象创建的名称不同。该名称长度必须少于33个字符。

如果选择“将 Windows Update 代理数据包复制到所有分发点”复选框,安装程序将自动配置要复制到运行安装程序的站点中的所有分发点和所有子站点上的数据包。如果要限制包含“Windows Update Agent”数据包的分发点,则不选择此选项,在安装完成后为此数据包手动配置分发点。

如果选择“创建程序以便安装库存清单工具所依赖的Windows Update代理”复选框,安装程序将创建一个名称为“Windows Update代理”的程序。该程序没有为其创建的播发。但是,如果选择此选项,安装程序将修改“Microsoft Updates工具”程序和“Microsoft Updates 工具(加急)”程序,首先运行“Windows Update 代理”程序。

(7) 单击“下一步”按钮,显示如图3-108所示的“安装”对话框。设置完毕,准备安装ITMU。

图3-108 ITMU安装向导之七

(8) 单击“下一步”按钮,显示如图3-109所示的“安装进度”对话框。

图3-109 ITMU安装向导之九

(9) 文件复制安装和从微软的网站下载更新完成,显示如图3-110所示对话框,单击“完成”按钮,完成ITMU的安装。

图3-110 ITMU安装向导之十

3.2.4 验证安装结果

ITMU在安装完成后,在SMS管理控制台上将安装集合、数据包、播发组件,网络管理员可以根据是否存在这些组件,确认ITMU是否正确安装。

1. 集合组件

打开SMS管理控制台,选择“Systems Management Server”→“站点数据库(名称)”→“集合”选项,如图3-111所示。在集合下可以看到新创建的集合,Microsoft Updates Tool, Microsoft Updates Tool (pre-production)集合、Microsoft Updates Tool Sync 集合、Microsoft Updates Tool IA64集合和Microsoft Updates Tool x64集合。

图3-111 SMS控制台

2. 数据包组件

打开SMS管理控制台,选择“Systems Management Server”→“站点数据库(名称)”→“数据包”选项,如图3-112所示。在数据包下可以看到新创建的数据包,Microsoft Updates Tool数据包、Windows Update Agent x86数据包、Windows Update Agent IA64数据包和Windows Update Agent x64数据包。

图3-112 SMS控制台

3. 播发组件

打开SMS管理控制台,选择“Systems Management Server”→“站点数据库(名称)”→“播发”选项,如图3-113所示。在播发下可以看到新创建的播发包,Microsoft Updates Tool播发和Microsoft Updates Tool Sync播发。

图3-113 SMS控制台

4. 客户端计算机验证

客户端计算机接受到策略,在硬件信息收集周期内,启动工具扫描当前计算机的补丁状况,并将检测到的信息资产的方式呈现出来。如果客户端计算机正常接收到SMS分发的策略,将在硬件资产中添加2个列表项,分别是Windows Update Agent Version、扩展的软件更新、扫描数据包版本,网络管理员可以根据客户端计算机是否收集到这 3 项列表,判断 ITMU 是否正常运行。

(1) 打开SMS管理控制台,选择“Systems Management Server”→“站点数据库(名称)”→“集合”→“Microsoft Updates 工具 (预生产)”选项。

(2) 在右侧的窗口中,鼠标右键单击测试计算机名称,在弹出的快捷菜单中选择“所有任务”选项,在弹出的级联菜单中选择“启动资源管理器”命令,如图3-114所示。

图3-114 功能菜单

(3) 显示“资源管理器”窗口,选择“测试计算机名称”→“硬件”→“Windows Update Agent Version”选项,在右侧的窗口中,显示更新代理的版本,如图3-115所示。

图3-115 更新代理版本

(4) 在“资源管理器”窗口,选择“测试计算机名称”→“硬件”→“扩展的软件更新”选项,在右侧的窗口中,显示当前计算机的补丁安装情况,如图3-116所示。

图3-116 补丁列表

鼠标右键单击“扩展的软件更新”名称,在弹出的快捷菜单中选择“查看”选项,在弹出的快捷菜单中选择“添加/删除列”命令,显示如图3-117所示的“添加/删除列”对话框。网络管理员可以根据需要选择需要显示的数据列,其中的状态数据列表示当前的补丁是否已经安装。

图3-117 “添加/删除列”对话框

(5) 在“资源管理器”窗口,选择“测试计算机名称”→“硬件”→“扫描数据包版本”选项,在右侧的窗口中,显示上一次扫描的时间,如图3-118所示。

图3-118 扫描数据包版本

3.2.5 补丁分发

每次在企业网络中大规模发布安全补丁前,建议在测试环境中进行发布测试,确认不会破坏任何现有应用后再发布到企业网络中。下面以发布 MS07-016 补丁为例说明如何使用ITMU分发补丁。

(1) 打开SMS管理控制台,选择“Systems Management Server”→“站点数据库(名称)”→“数据包”选项,右击“数据包”,在弹出的快捷菜单中选择“所有任务”选项,在弹出的级联菜单中选择“分发软件更新”命令,如图3-119所示。

图3-119 功能菜单

(2) 启动如图3-120所示的分发软件更新向导。

图3-120 分发软件更新向导之一

(3) 单击“下一步”按钮,显示如图3-121所示的“指定软件更新类型”对话框。选择“选择更新类型”单选按钮,在下列列表框中,选择SMS使用的更新类型。

图3-121 分发软件更新向导之二

(4) 单击“下一步”按钮,显示如图3-122所示的“创建SMS数据包,或修改数据包和更新”对话框。在“SMS数据包”列表中,选择“新建”数据包。

图3-122 分发软件更新向导之三

(5) 单击“下一步”按钮,显示如图3-123所示的“标识SMS数据包”对话框。在“数据包名称”文本框中,键入数据包的名称,例如 MS07-016,“程序名称”列表框中,自动填充完成数据包名称。

图3-123 分发软件更新向导之四

(6) 单击“下一步”按钮,显示如图3-124所示的“自定义组织”对话框。

图3-124 分发软件更新向导之五

(7) 单击“下一步”按钮,显示如图3-125所示的“选择库存清单扫描工具”对话框。在当前的SMS站点中,仅安装了ITMU一种方式的系统补丁更新工具,如果安装了其他类型的更新工具,在“库存清单扫描工具数据包”列表中,选择相应的工具。在“程序名称”列表中选择程序执行名称。

图3-125 分发软件更新向导之六

(8) 单击“下一步”按钮,显示如图3-126所示的“添加和删除更新”对话框。ITMU加载从微软网站下载的“wsusscn2.cab”文件,显示所有可用的补丁列表。

图3-126 分发软件更新向导之七

提示

同一个安全补丁可能会由于产品或语言的不同而有多个补丁包。如果需要对所有受影响的系统都安装此安全补丁,需要将他们都选上。这里也可以选择多个安全补丁。

① 网络管理员可以查询需要的补丁。例如在“Q号码”数据列下方的文本框中,键入需要的补丁号码,例如928090,单击右侧的“漏斗”按钮,将查询出需要的补丁列表,如图3-127所示。

图3-127 分发软件更新向导之八

② 查询出的Q号码为“928090”的补丁,有不同的版本,分别对应不同的操作系统,例如Windows XP、Windows Server 2003、Windows Server 2000Windows Server 2003 Datacenter等,在实际网络应用中不会需要如此多的补丁,网络管理员可以根据数据列的“已请求”数据列,判断需要下载并且分发补丁,如图3-128所示。

图3-128 分发软件更新向导之九

③ Q号码为“928090”的补丁,目前存在一个请求,网络管理员仅需要选择“已请求”数据列值为1的产品即可,也就说选择“已请求”数据列值为1的“产品”复选框。

(9) 单击“下一步”按钮,显示如图3-129所示的“指定文件的源目录”对话框。向导自动选择“第5步”创建的数据包的名称作为存储补丁的源目录,如果指定服务器可以登录到Internet,则选择“自动为我下载可以的更新源文件”单选按钮,否则选择“我将自己下载源文件”单选按钮。本例中,站点服务器可以登录到 Internet,选择“自动为我下载可以的更新源文件”单选按钮。

图3-129 分发软件更新向导之十

(10) 下载补丁

如果选择“自动为我下载可以的更新源文件”,则使用如下操作。

① 单击“下一步”按钮,显示如图3-130所示的“下载进度”对话框,向导自动从微软指定的网站地址下载选择的补丁。

图3-130 分发软件更新向导之十一

② 补丁下载完成,显示如图3-131所示的“软件更新状态”对话框。如果“就绪”数据列中的标识为“是”,说明补丁下载成功。

图3-131 分发软件更新向导之十二

③ 单击“属性”按钮,显示如图3-132所示的“分发软件更新向导”对话框,可以查看当前补丁的详细信息。

图3-132 分发软件更新向导之十三

如果选择“我将自己下载源文件”,则使用如下操作。

① 选择“我将自己下载源文件”单选按钮,如图3-133所示。

图3-133 分发软件更新向导之十四

② 单击“下一步”按钮,显示如图3-134所示的“软件更新状态”对话框。“就绪”数据列的状态是“否”,表示目前的补丁不可用。

图3-134 分发软件更新向导之十五

③ 单击“属性”按钮,显示如图3-135所示的“分发软件更新向导”对话框。

图3-135 分发软件更新向导之十六

④ 单击“导入”按钮,显示“打开”文件对话框,选择补丁所在的文件夹,注意必须使用UNC的方式选择存储补丁文件的文件夹,如图3-136所示。

图3-136 分发软件更新向导之十七

⑤ 选择对应的补丁程序(EXE 后缀的文件),单击“打开”按钮,显示如图3-137所示“分发软件更新向导”对话框。

图3-137 分发软件更新向导之十八

⑥ 单击“是”按钮,完成补丁的导入,如图3-138所示。单击“确定”按钮,关闭“属性”对话框。

图3-138 分发软件更新向导之十九

(11) 单击“下一步”按钮,显示如图3-139所示的“更新分发点”对话框。选择当前站点中设置的分发点。

图3-139 分发软件更新向导之二十

(12) 单击“下一步”按钮,显示如图3-140所示的“配置安装代理设置”对话框。

图3-140 分发软件更新向导之二十一

● 如果选择“立即收集客户端库存清单(可能增加系统活动)”复选框,如果软件更新在计算机需要重启后再生效,在“推迟重新启动”的下拉列表框中,选择启动的方式。

提示

如果选择“无”,将立即启动计算机。

● 如果选择“关闭正在运行的程序兵器丢弃未保存的数据”复选框,则客户端计算机正在处理的数据将会全部丢失,建议不选择此选项。

(13) 单击“下一步”按钮,显示如图3-141所示的“配置安装代理设置”对话框。设置补丁在客户端的执行方式,如果选择“执行无人参与的软件更新安装”,客户端计算机在接收到通知后,将在后台自动执行补丁的安装。如果需要重新启动,将根据设置弹出重新启动对话框,提示计算机使用者关闭正在使用的应用程序。

图3-141 分发软件更新向导之二十二

(14) 单击“下一步”按钮,显示如图3-142所示的“配置安装代理设置”对话框。客户端计算机根据接受到的通知决定是否安装补丁,支持时间限制功能,如果超出限制将立即安装发布的补丁。

图3-142 分发软件更新向导之二十三

(15) 单击“下一步”按钮,显示如图3-143所示的“播发更新”对话框。为不要分发的补丁创建一个广告,通知所选择的目标集合。

图3-143 分发软件更新向导之二十四

单击“浏览”按钮,显示如图3-144所示的“浏览集合”对话框。选择目标集合。单击“确定”按钮,完成目标的设置。

图3-144 分发软件更新向导之二十五

(16) 单击“下一步”按钮,显示如图3-145所示的“正在完成分发软件更新向导”对话框。单击“完成”按钮,完成补丁分发的设置。

图3-145 分发软件更新向导之二十六

3.2.6 客户端安装补丁

网络管理员可以根据补丁的情况,指定补丁的分发策略,不需要重新启动的补丁可以立即执行安装,不需要提示客户端计算机使用者,有的补丁需要重新启动计算机后,方可生效,需要给出补丁更新提示,注意不要强制重新启动计算机,否则用户会丢失正在处理的数据。网络管理员也可以让客户端计算机使用“人机交互”的方式,安装补丁,建议补丁在后台执行,减少补丁遗漏的机会。

下面以客户端计算机手动安装补丁的方式,介绍在接受到补丁通知后,如何以手动方式安装。

(1) 客户端计算机接受到服务器播发的广告后,在客户端计算机的任务栏中显示接收到的信息,如图3-146所示。

图3-146 客户端消息

(2) 单击“软件更新安装”对话框,显示如图3-147所示的软件更新对话框。在到达指定的时间后,执行补丁安装任务。

图3-147 软件更新对话框

(3) 单击“现在安装”按钮,稍等,显示如图3-148所示对话框,提示补丁正在安装。

图3-148 安装进度对话框

(4) 安装完成,显示如图3-149所示的安装完成对话框。单击“显示详细信息”按钮,显示安装的补丁的状况,以及微软网站的下载地址。

图3-149 安装完成对话框

(5) 单击“关闭”按钮,关闭对话框,在任务栏上显示提示信息,如图3-150所示。注意,有部分补丁需要重新启动计算机后,方可生效。

图3-150 “软件更新安装”对话框