Марсин Полич (Marcin Policht)

В предыдущей статье я рассказал о пакете SMS 2.0 Software Update Services Feature Pack. Сегодня мы рассмотрим его новейшее "воплощение», реализованное в недавно выпущенном SMS 2003. Я завершу свой обзор решений Microsoft в данной области обсуждением последних тенденций в стратегии управления заплатами.

SMS 2003 содержит ряд улучшений по сравнению с SMS 2.0. Эти усовершенствования направлены на улучшение производительности, масштабируемость, управляемость, безопасность, интеграцию с Active Directory и поддержку мобильных клиентов. Наиболее заметным является влияние на функциональные возможности в области развертывания заплат. Они включают в себя следующие изменения:

• SMS 2003 Advanced Client доступен на платформах Windows 2000, Windows XP и Windows 2003. Этот новый клиент использует новейшие технологии, делающие его более мощными и эффективными. Устанавливаемое программное обеспечение упаковано в формат Windows Installer (MSI), предлагающий возможности самовосстановления. Взаимодействие с инфраструктурой SMS осуществляется через HTTP и файлы политики, основанные на XML. Распространяемое программное обеспечение может быть кэшировано локально, что позволяет осуществлять загрузку по медленным и ненадежным сетям. Загрузка еще более улучшаются при помощи реализации Background Intelligent Transfer Service (BITS), взаимодействующей с Management Point и Distribution Point , размещающих компоненты IIS 6.0 (что требует наличия Windows 2003 server );
• Новые типы серверных ролей, работающие лучше в распределенной среде, для которой предназначена SMS. Роли включают Server Locator Point (предоставляющие информацию о структуре сайта для вновь установленных клиентов SMS), Management Point (служащие в качестве каналов взаимодействия между Advanced Client и Site Server , передающие информацию о статусе и инвентаризации в одном направлении и инструкции по установке программного обеспечения и конфигурационные настройки агента в другом – подобно серверам Client Access Point для стандартных клиентов) и Reporting Point (расположенные на IIS Web-сайты, генерирующие отчеты, основанные на резидентной инвентаризационной информации SMS). Подобно своему предшественнику, SMS 2003 включает точки Client Access Point и Distribution Point.
• Возможность создания связей локальных и удаленных перемещаемых сайтов (только для Advanced Client) – указывает расположения (в терминах IP-подсетей) вне инфраструктуры SMS и основных сетевых расположений. Поэтому, если осуществляются операции, требующие хорошего соединения (например, распространение программного обеспечения), они должны рассматриваться по-иному. Local Roaming Site Boundaries (локальные перемещаемые связи сайтов) содержат IP-подсети, соединенные через скоростные соединения. Это не только позволяет выполнять более быструю обработку распространения программного обеспечения, но также удерживает клиентов SMS от непреднамеренного изменения их членства в сайтах. Обратите внимание, что полные возможности по перемещению требуют расширений схемы Active Directory , которую следует аккуратно продумывать и планировать, особенно в среде Windows 2000 (где они вызывают полное обновления Глобального Каталога).
• Единственный главный ( primary ) сайт SMS может содержать до 100 тысяч Advanced Client. Рекомендуемым максимальным числом Advanced Client для одного подчиненного ( secondary ) сайта SMS является 1000 – что предполагает правильное планирование и включение таких компонентов, как Network Load Balancing и реплики БД SMS SQL Server.

Изменения функций

Кроме изменений, приведенных выше и оказывающих влияние на распространение программного обеспечения (включая его обновления), от исходного выпуска SMS 2.0 SUS Feature Pack также отличаются некоторые специфические функции управления заплатами, такие как:

• Мастер Distribute Software Updates Wizard (который запускается из узла Software Updates в консоли SMS Administrator) становится интегрированной частью SMS 2003. В SMS 2.0 мастер обновления требовался для запуска отдельной программы установки (PatchWiz_ENU.exe), загружаемой с Web -сайта Microsoft . Кроме того, поскольку базовая машина для Security Scan основана на Microsoft Baseline Security Analyzer , в свежей установке SMS 2003 инструмент сканирования обновлений безопасности, отображаемый в мастере, упоминается как MBSA (для обновлений из SMS 2.0, элемент MBSA создается вместе с элементом программы сканирования Security Tool). SMS 2003 Administrator Console также содержит , по умолчанию , элемент Software Updates Installation Agent;
• Теперь имеется возможность при запуске мастера Distribute Software Updates Wizard произвольно определить эталонный (базовый) компьютер. Это позволяет вам утверждать обновления заплат (и создавать подходящие пакеты) даже в том случае, если инвентаризация клиента SMS не требует этого. В этом мастере вы можете определить временные рамки, в течение которых должна быть осуществлена установка. Это поможет предотвратить перезагрузки рабочих станций или серверов вне окна планового обслуживания. С помощью другой функции, называемой динамическим конфигурированием пакетов, становится возможным создание нескольких программ для единственного пакета и определения критерия, основанного на том, какая из программ применима к другой коллекции (с отличающимися настройками).
• Web Reports для управления заплатами интегрированы в SMS Management Console ниже узла Reports. Обратите внимание на то, что если вы выполняете обновление с SMS 2.0 до SMS 2003, то вам необходимо удалить инструмент Web Reporting и Add - in Reports for Software Upgrades (замена версии, однако, не повлияет на существующие пакеты заплат и настройки заплат).
• Метод составления отчета о статусе установки заплат был изменен для более точного отражения состояния клиента SMS . Это применимо, например, к компьютерам, на которых заплата уже была установлена, но необходимой перезагрузки пока не произошло. В SMS 2.0 это заплата будет отражена, как установленная; в SMS 2003, диапазон состояний установки заплат был значительно расширен и включает такие состояния заплат как успешная, ожидающая перезагрузки, повторная, отложенная, проваленная и неустановленная.
• В то время как инструменты сканирования продолжают предоставляться в качестве отдельно загружаемых и требующих установки на Site Server , их расположение отличается от расположения их эквивалентов для SMS 2.0 SUS Feature Pack. Security Update Scan Tool и Microsoft Office Inventory Tool для обновлений доступны по адресу http://www.microsoft.com/smserver/downloads/2003/featurepacks/suspack/default.asp.
• Прокси-аутентификация для автоматических операций Sync host может быть настроена с помощью инструмента PatchDownloader . exe (находящегося в папке SMS\bin\i386\00000409 на сервере SMS) с помощью следующего синтаксиса:

Затем у вас будет запрошен пароль, который будет сохранен вместе с UserName в зашифрованном формате в ключе реестра на компьютере Sync host . Этот шаг должен быть предпринят вместе с настройками конфигурационных опций, описанных в предыдущей статье нашей серии: изменением командной строки программы для пакета инструмента синхронизации с тем, чтобы заставить его запускаться в автоматическом режиме, настройкой обновления точек распространения на основе расписания, настройкой конфигураций прокси для компьютеров (а не пользователей, как в случае с групповой политикой) и создание папки пакетов инструмента сканирования, локальной для компьютера Sync host . Обратите внимание, что в автоматическом режиме (то есть, при отсутствии зарегистрированных в системе пользователей), инструмент синхронизации выполняется в контексте безопасности учетной записи Local System , если Sync host установлен на Advanced Client SMS 2003 (для этой цели, стандартные клиенты используют учетную запись SMSCliToknAcct &).

• SMS Advanced Client включает постоянную функцию уведомления, обеспечивающую визуальную индикацию о статусе обновления заплаты для локального компьютера в форме иконки в системном окне. (Это осуществляется независимо от извещений об обновлении программного обеспечения, представляемых на стандартном или Advanced клиентах SMS).

Для получения дополнительной информации по функциональным возможностям по управлению заплатами в SMS 2003 (а также любым другим связанным темам), отсылаю вас к инструкциям с Web -сайта Microsoft SMS 2003 Concept, Planning, and Deployment Guide и SMS 2003 Operations Guide.

До сих пор, вся информация, представленная в этой серии была предназначена для получения хорошего понимания трех главных решений по управлению заплатами от Microsoft : Windows Update , Software Update Services (который скоро будет заменен на Windows Update Services ) и Systems Management Server Software Updates.

В дополнение к пониманию этих опций по управлению заплатами, организации также должны знать о последних заявлениях Microsoft относительно своих ближайших планов на будущее. В настоящее время Microsoft остается приверженной трем своим главным предложениям, в которых ожидаются дополнительные улучшения (уменьшение размера заплат с помощью binary delta compression ) и управляемости (в форме уменьшения требуемых перезагрузок). Существует также тенденция (просматривающаяся, например, в SQL 2005) для предоставления пользователям возможности добавлять заплаты в программы установки (интегрировать заплаты непосредственно в бинарный код продукта, с тем, чтобы установка и добавление заплат происходили одновременно).