采用 SMS 2003 R2 部署自定义软件更新

当您需要为自己的系统部署自定义更新时，比如拿专用硬件或行业应用程序来说，很难拥有像 Windows 更新所具备的那种可管理、自动化流程优势。至少以前没有。现在，由于有了 Systems Management Server (SMS) 2003 R2，您可以使用相同的管理更新功能部署您自己的自定义更新。SMS 2003 R2 拥有一系列新功能，其中包括对设备管理功能包的更新、指向操作系统部署 (OSD) 功能包的链接，以及其他一些增强安全监控能力的功能。该产品还有一个用来进行安全漏洞评估的扫描工具，这种工具对了解系统和网络中潜在的漏洞（如操作系统配置、用户密码、IIS 以及 SQL Server™ 配置的缺陷）至关重要。此外，该产品还包括自定义更新清单工具 (ITCU) 和自定义更新发布工具 (CUPT)。本文中，我将着重通过介绍这两种工具，来谈谈如何轻松而有效地部署自定义更新。

安装和使用 SMS 2003 R2 之前，首先要将包括客户端在内的层次结构更新到 SMS 2003 Service Pack 2 (SP2)。要使用 CUPT，您需更新到 Microsoft^® Management Console (MMC) 3.0。您不必在 SMS 站点服务器上安装 CUPT，但至少要将其安装在 Windows^® XP 中，且它还需要 SQL Server 2005 以承载其数据库；如果没有 SQL Server 2005，则必须安装 SQL Server Express Edition。CUPT 是 SMS 系统中引进和管理自定义更新的关键，在 SMS 中发布已创建的目录之前，它还能够先对这些目录进行测试。

自定义更新有两种形式 — 第三方供应商为他们生产的软件提供的更新，以及内部专为某一特定环境创建的更新。CUPT 是用来管理这两种更新的工具。使用第三方提供的自定义更新最为简便，因此我们就从这里说起。编写本文之时，有三个公司在生产可用来在 SMS 中扫描和分配适当补丁的更新目录，它们是 Adobe、1e 和 Citrix。选择自定义更新合作伙伴目录，可查看参与公司，如图 1 所示。

图 1 CUPT 操作 (单击该图像获得较小视图)

图 1 CUPT 操作 (单击该图像获得较大视图)

使用合作伙伴提供的更新很简单，只需下载目录并将其添加到 SMS 中即可。首先下载所需的更新，然后选择“操作”菜单上的选项导入更新。这时会出现一个向导，询问刚下载的 .cab 文件的位置。在向导中指定该文件的位置后，新的更新将显示在 CUPT 中，可对它们进行进一步的配置并发布到 SMS 站点服务器上。但是请注意，必须标记每个所需的更新以进行发布。如果某个更新没有被标记，则在发出发布请求的时候，它将不会被包含在其中。这一操作可以批量执行，如图 2 所示。注意，较右边的一列必须有做的标记，这样才能保证更新的正常发布。

图 2 设置发布标记 (单击该图像获得较小视图)

图 2 设置发布标记 (单击该图像获得较大视图)

如有需要，您可以进一步自定义下载的每个更新。若要自定义，只需选中更新并选择“编辑”即可进行。然而，自定义更新时需留心，因为不合适的配置会导致意想不到或不尽人意的结果。

对更新进行标记之后，就可以发布了。这一过程可以通过两种途径来实现 － 发布到外部 .cab 文件以备今后使用；或将选中的更新与 SMS 站点数据库同步，以供当前使用。为了实现与 SMS 站点数据库的同步，您需要提供配置信息，如站点服务器的名称、程序包源文件的路径等（见图 3）。

图 3 同步信息 (单击该图像获得较小视图)

图 3 同步信息 (单击该图像获得较大视图)

突出显示“自定义更新”节点，然后从“操作”菜单中选择“设置”，这样可找到这个屏幕。等您提供可访问站点服务器的名称、指向自定义更新清单工具的源目录路径之后，站点代码和状态就被更新了。

通过设置同步选项，CUPT 可以实现与 SMS 站点服务器的同步。要执行同步操作，从“操作”菜单中选择发布更新选项。这将启动发布向导。为了将更新发布到 SMS 数据库以供当前使用，请确保已选中与 Systems Management Server 站点数据库同步的选项。值得庆幸的是，该步骤伴有可视化提示：如果尚未配置同步设置，则该选项灰显。

完成向导所提示的操作之后，就可以在 SMS 管理控制台上执行自定义更新了。启动分发软件更新向导之后，会出现一个可用来操作所有可用自定义更新的选项。

通过上述内容，您已经看到了消费和使用第三方产品的供应商生产更新的过程，假设没有预先打包的更新可供使用，那供应商所提供的软件的自定义更新又如何呢？这就是 CUPT 的优势所在。借助 CUPT，您可以创建包括所有目标条件的自定义更新来满足任何情况。

创建自定义更新并不困难，但要求管理员必须了解如何为软件打补丁、使用什么条件来确定补丁是否可用，以及应使用什么目标规则来集中更新。目标规则是在更新创建过程中分别定义的。这些定义可通过选择“操作”菜单中的“管理规则”选项查看。

选择“操作”菜单中的“创建更新”选项，可启动自定义更新创建，随即会出现一个向导，您可通过此向导提供自定义更新的详细信息。本文并未具体讨论如何创建自定义更新，但文中涉及的为导入的一个自定义第三方更新选择属性的内容，具有一定的启发作用，可帮助您了解创建自己的更新时每个字段所需的内容。已配置的第三方更新的属性如图 4 所示。

图 4 第三方更新的属性 (单击该图像获得较小视图)

图 4 第三方更新的属性 (单击该图像获得较大视图)

借助自定义更新创建流程，您可以实现除更新之外的更多功能；您还可以配置要分配给客户端系统的软件。尽管这种方法可行，但务必要注意，它既不是推荐方法，也不是 CUPT 的预定用途。

ITCU 是一种适用于自定义更新目录的新清单工具。与它之前的扫描工具一样，ITCU 可以创建自定义集合、数据包、以及用于将扫描工具部署到企业中 SMS 客户端的公告。与使用之前的扫描工具一样，ITCU 可以从一个可访问的 SMS 分发点检索目录（本例中指自定义更新目录）、可以基于目录数据执行扫描、可将扫描得到的结果插入 Windows Management Instrumentation (WMI)，还可以通过硬件清单报告这些结果。扫描流程中主要的区别在于所用的目录。

SMS 2003 R2 的推出为现有的 SMS 安全体系增加了一个强大的工具。之前，管理员无法借助现有的 SMS 基础设施来为第三方和自定义应用程序打补丁。SMS R2 的推出因此而备受补丁管理管理员的青睐。

这样，您现在就有两种工具可供选择，来处理 Microsoft 之外的其他资源的软件更新。CUPT 和 ITCU 提供出色的可管理性和便利性，保证您的自定义更新会与您已经使用的 Windows 更新一样顺利完成。