微軟軟體更新服務(SUS):一般問答
微軟軟體更新服務(SUS):一般問答--Little@FAT翻譯
翻譯疏漏和錯誤之處,請指正! 微軟軟體更新服務:一般問答 原文:http://www.microsoft.com/windows2000/windowsupdate/sus/susfaq.asp 翻譯:Little@FAT (2003.9.26) 問:什麼是微軟軟體更新服務(SUS)? 答:微軟公司軟體昇級服務是Windows 2000 和 Windows Server 2003的免費增加設備,用以大大簡化貴服務機構中電腦的重大更新、安全更新和SP修正檔的更新程序。 SUS是一個關於Web的套用,可以讓管理員快速可靠地發佈更新到執行Windows 2000, Windows XP, 和 Windows Server 2003的桌面客戶端和服務器。更新(和修正檔程序)可以從Windows站點同步並儲存的本機的SUS服務器,然後,那些你需要佈署的更新在被測試並被批准後,它們就可以被安裝了自動更新元件的客戶端從SUS服務器上下載。 問:微軟軟體更新服務有那些元件? 答:SUS包含以下可下載的元件: Microsoft Software Update Service s(微軟軟體更新服務):這是一個安裝在你公司防火牆後的服務器上的一個服務。他從Windows更新站點同步重要的Windows 2000和Windows XP的更新。同步程序可以完全自動或者管理員手動 完成。當更新被下載後,你可以在你的環境中做測試並且決定是否把它們佈署到你的服務機構中。SUS服務元件有英語和日語的版本。 Automatic Updates(自動更新元件):這個元件執行在那些你希望使用微軟軟體更新服務的客戶端電腦上。自動更新元件在包含在Windows 2000 Service Pack 3(SP3)或以後版本,Windows SP1或者以後版本,Widnows Server 2003上。他可以很容易的安裝到Windows 2000 SP2和Windows XP RTM的系統上。這個元件可以讓你的Windows服務器和客戶端機連線到執行SUS服務的服務器上來接受任何更新。你可以控制每個客戶端連線到哪台服務器,並且可以做出計劃讓每個客戶在什麼時候來安裝重要的安全更新--既可以通過手工又可以通過活動目錄的群組原則來實現。 自動更新客戶端現在支持24種語言。 問:那裡可以下載微軟SUS元件? 答:點擊下面的連接來下載SUS元件: 服務器元件-微軟SUS(SUS10SP1.EXE)。 客戶端元件-自動更新(wuau22*.Msi) 注意,客戶端元件只有Windows 200 SP2和Windows XP (RTM)版本需要,Windows 2000 SP3或者以後版本,Windows XP SP1或者以後版本和Windows Server 2003已經內裝。 群組原則元件(suau.adm管理範本) 問:當我安裝了SUS服務器元件,我能夠在IE瀏覽器中瀏覽SUS Web頁來獲得更新-就像我直接訪問Windows Update(Windows開始選單中)一樣麼? 答:不行,SUS服務器只是設計用來和客戶端的自動更新元件通訊的,不支持客戶端直接訪問內部的Windows 更新Web站點。即使在SUS環境中,你如果點擊開始選單中的Windows Update,你將直接連接外部的微軟Windows 更新站點,這樣你牛可以撇開內部的SUS服務器來直接安裝更新。 問:SUS支持什麼類型的操作系統呢? 答:自動更新設備支持Windows 2000 SP2和以後的操作系統。 如果你執行Windows 2000 SP2(不管是專業版還是服務器家族版本)或者Windows XP RTM版本,你必須安裝相應語言版本的自動更新服務的客戶端元件(MSI文件)。 如果你執行Windows 2000 SP3或者以後版本,Windows XP SP1或以後版本,或者Windows Server 2003,自動更新服務器元件已經包含在系統中,不在需要再安裝客戶端的MSI文件。 問:SUS支持那些語言? 答:SUS服務器端只有英語和日語兩種。 SUS自動更新客戶端元件現在有24種語言可選:阿拉伯語,中文(簡體)和中文(繁體),捷克語,丹麥語,荷蘭語,英語,芬蘭語,發育,德語,希臘語,希伯來語,匈牙利語,意大利語,日語,韓語,挪威語,波蘭語,葡萄牙語,葡萄牙語(巴西),俄語,西班牙語,瑞典語,土耳其語。 問:SUS會怎樣影響我的微軟系統管理服務器(SMS)? 答:SUS不是用來替代其他像微軟系統管理服務(一個單獨的產品)那樣的企業級軟體分發解決方案的,許多客戶正在使用象累死SMS的軟體來完成軟體管理,包括安全回應和病毒防護的解決方案。這些客戶應該繼續使用這些解決方案。為了改善系統管理服務產品,微軟在2002年第三季度發佈了SMS 2.0更新服務器增補包,這個增補包增加了安全更新的改進並且允許你決定哪台電腦需要軟體更新。 問:在選項安全更新管理方案上微軟有什麼建議(推薦)? 答:檢視 選項安全更新解決方案,你會找到一個SUS和SMS的異同的對照表,它們在佈署關鍵更新時有所區別。 問:我想使用SMS來發佈套用程式,同時想用SUS來發佈和管理修正檔,SMS和SUS相容嗎? 答:是的,它們可以一起工作。 問:SMS的SUS特性包使用和SUS相同的技術嗎? 答:不是,它們只是縮寫相同,但是這兩個產品之間沒有共享的程式碼。 問:如果我在SUS上有問題需要支持,有其他資源嗎? 答:我們建議你開始使用SUS公開的新聞組,這個新聞組可以直接通過瀏覽器來訪問。在左邊到導航面版,點擊Management Technologies>Main>Software Update Services。如果你希望使用Outlook Express,你可以訂閱microsoft.public.softwareupdatesvcs新聞組,該新聞組位於:msnews.microsoft.com。 問:我可將SUS的註解和建議呢傳送到哪裡? 答:註解和建議可以發表在SUS的公開新聞組上,也可以傳送到微軟SUS回饋電子郵件: cwufdbk@microsoft.com 軟體更新 問:使用SUS,我可以更新什麼產品呢? 答:SUS 1.0支持Windows 2000(SP2或以後版本),Windows XP專業版和Windows Server 2003,不支持其他任何微軟產品比如微軟Office、SQL Server或 Exchange Server的更新。 問:SUS支持所有 Windows 2000, Windows XP, 和 Windows Server™ 2003的安全更新嗎? 答:是的,微軟致力於保護你的網路安全,所有的在安全公告牌上發佈的安全修正檔都包含在SUS(的能力範圍之內)。 問:SUS支持什麼類型的更新? 答:Windows 關鍵更新 Windows 安全修正檔(嚴重的,重要的,中等的,低等的) Widnows 更新回滾 Windows 2000, Windows XP, 和Windows Server 2003 Service Packs 問:安全修正檔在安全公告牌上發佈後多久可以通過SUS更新? 答:Windows 更新站點和安全更新(或其他內容)、安全公告牌一起更新。我們盡力讓Windows更新在微軟的更新服務器上可用時,也在SUS上同時出現,但也有可能會稍有延遲(2-3個小時)。 問:SUS支持Service Pack? 答:是的,Windwos SP4和Windows XP SP1開始支持 Service Pack,Windows Server 2003的特性服務包在其Service Pack發佈後也會同樣被支持。 問:Service Pack是怎樣安裝的? 答:SUS現在可以發佈Service Pack包,Service Pack使用一個指令行選項開關來實現靜默安裝,所以不需要用戶干預。Service Pack包還使用一個指令行選項來製作制作備份當前設定以便在以後需要的時候可以卸載。 問:當我嘗試將SUS同步時,報告磁碟空間不足,我應該怎樣做? 答:如果磁碟空間不足,可能是因為你同步了你的環境中不需要的語言。如果只選項一種語言,用來報更新雕刻本機磁碟空間大吁需要300兆到600兆。要檢查你設定了同步多少種語言的更新,開啟SUS Admin頁,點擊左邊導航面版上的Set Option,然後檢查你所選項的同步內容。如果選項了同步多種語言,你應該安裝下面的步驟做: 點擊Clear All。 選項你需要部分到客戶端的語言包。 點擊Apply。 找到硬碟上的\SUS\Content\Cabs資料夾。 刪除該檔案夾中所有內容。 同步你的服務器,這樣將只下載你所指定的語言的更新。 問:在安裝Service Pack時,自動更新界面好像掛起,我應該怎樣做? 答:自動更新用戶界面(UI)可能沒有掛起而只是在等待Service Pack安裝到結束。在Service Pack安裝的程序中沒有什麼動態的指示安裝在繼續,直到安裝完成 之前你不會得到什麼進度信息。這一點在你使用Service Pack的靜默安裝且不出現UI時尤其如此。Service Pack安裝可能需要幾分鐘,特別是在比較慢的硬體上,所以最好的選項是等到自動更新服務的UI提示你安裝已經完成。 問:為什麼Service Pack被檢測到並且已經安裝,但在下個輪詢中又要求安裝額外的更新? 答:Service Pack(還有其他一些更新)是排他的,就是說它們必須跟其他更新分開單獨安裝。當自動更新客戶端檢測到更新並且其中有一個是排他的,只有排他的更新會被安裝到客戶端上。這保證客戶端在安裝並重新啟動後,客戶端的自動更新元件在下一個檢測週期會提供並且安裝那些適合的更新。 問:我可以增加我自己的更新到SUS嗎? 答:不行,不能集成你自己的更新或者第三方更新到SUS。 問:我可以使用SUS來更新驅動程式嗎? 答:不行,SUS 1.0不支持傳送驅動程式,儘管自動更新客戶端元件試突檢測驅動程式。執行Window XP或者Windows Server 2003的電腦上的「Windows Update.log」文件中包含了一下項目,這些項目在檢查SUS上可用的更新時會用到: Error IUENGINE Querying software update catalog from http://mysusserver/autoupdatedrivers/getmanifest.asp (Error 0x80190194) 這些項目在執行Windows XP和Windows Server 2003的電腦上是需要的,但是這些不會干擾自動更新元件安裝重要的windows更新。 問:有新更新可用時間表的嗎? 答:新更新通常在每週三早上(太平洋時間)發佈,雖然有時候沒有新的更新內容發佈。很少的機會,新的更新檢測內容會不在每週三發佈。 問:當有新的更新可用,我會怎樣得到通知? 答:SUS電子郵件告知系統會讓你在最新的重要更新發佈時通知你,這個可選的電子郵件告知系統僅僅告知,它不是SUS執行所必須的。要登記SUS的電子兼有更新,點擊下面的連接: http://www.microsoft.com/windows2000...dir-email.asp. 問:我已經登記了SUS電子郵件告知,但是有時候告知的電子郵件會比我的SUS服務器已經同步並接受到新的更新晚好幾個小時,這是為什麼? 答:偶爾,用來傳送SUSU電子郵件的系統會有大量的電子郵件要傳送,(因而延誤了時間)。 問:我的網路中只有執行Windows 2000的電腦,我可以選項只下載這個平台的更新嗎? 答:不行。在當前版本的SUS中,沒有辦法選項只下載你想要佈署的平台的更新。在下個版本的SUS中,我們將會將這點集成進去。 問:為什麼我的SUS服務器看起來經常顯示為「已更新」狀態? 答:產生這個現象的最可能的原因是檢測某個更新的檢測標準改變了--而不是更新本身,或者是更新的二進制包(文件)被修改了。如果更新本身被修改了(二進制修改),那麼與此有關的Knowledge Base我的文件中會指出。 問:為什麼更新會持續傳遞並重複安裝到客戶端? 答:這通常是由不恰當的檢測標準引起的,組合每次更新安裝失敗或者每次推遲安裝但是沒有新增一些可以讓更新檢測元件來查詢的東西。 如果你的電腦碰到了這樣的問題,首先到Knowledge Base中檢視在安裝程序中發生了些什麼。其次是去SUS新聞組查檢視這是不是一個已知的問題。 問:為什麼新安裝的客戶端會提出多重的Internet Explorer的累計更新? 答:SUS 1.0不會知道後來的更新會替代以前的更新。Internet Explorer (IE)的累計修正檔就是最好的例子。最好的方法,當新的IE 累計修正檔發佈並且你批准它們可以佈署時,你應該同時取消以前的IE累計更新 的批准。你也應檢查所有後繼更新替代前面更新的修正檔的KB我的文件,並且取消在SUS服務器上的已經被替代的修正檔的批准。 問:有64位操作系統的更新嗎? 答:現在沒有。 服務器信息 問:安裝SUS服務,最低的硬體要求如何? 答:X86或者相容的在Pentium 700水準的處理器,512兆記憶體,6G的可用硬碟空間。 問:使用推薦配置的服務器執行SUS,可以支持多少客戶端? 答:單個SUS服務器可以支持多大15000個客戶端。你也可以在在你的網中中佈署多個SUS服務器。 問:我可以在AD的DC上執行SUS嗎? 答:是的,SUS 1.0 with SP1可以。 問:我可以在執行 Microsoft Windows® Small Business Server的服務器上執行SUS嗎? 答:是的,SUS 1.0 with SP1可以。請注意 SUS 1.0 with SP1也可以執行在Microsoft Windows Small Business Server 2003上。 問:在Windows Server 2003 上我為什麼得到「SUS administration site access problem」錯誤? 答:Windows Server 2003在安全性方面有所增強,當你安裝了SUS SP1後,你訪問SUS時就會發生這個錯誤。請閱讀SUS SP1的Release Note,裡面有解決這一問題的描述。 問:哪裡可以找到更新的SUS with SP1的管理範本? 答:更新的管理範本擴展了SUS with SP1的功能,可以在Software Update Services 1.0 ADM File for Service Pack 1下載。 問:如何使用管理範本(wuau.amd)? 答:Wuau.adm文件必須安裝到你用來管理關於域的群組原則的電腦。按下列步驟做: 拷貝wuau.adm到%WinDir%\Inf。(替換現有的wuau.adm文件) 在群組原則樹中,右擊電腦配置樹下的管理範本,選項增加/刪除範本。 如果「wuau」在當前的原則範本列表中,單機刪除,如果沒有在列表中,直接轉到下一步。 單機增加並且選項wuau.adm,點擊開啟。 驗證wuau在現在的原則範本列表中。點擊關閉。 現在,可以在客戶端端的電腦上找到自動更新元件位於:Configuration>Administrative Templates>Windows Components>Windows Update。 問:為什麼我在昇級SUS 1.0到SUS with SP1時出現1316錯誤? 答:這個問題通常發生在SUS 1.0是直接從網路開啟MSI文件來安裝而不是先下載到本機後在執行來安裝。當SUS with SP1試突更新時,它必須從原來的MSI安裝包中讀取一些信息。要更正這個錯誤,你應該下載SUS 1.0,然後重新安裝SUS 1.0 with SP1。下面的步驟可以說明 你下載/安裝得更加容易些,按照一下步驟來做,可以避免重新下載所有的更新,並且會保留以前的同步和批准歷史信息,並且會儲存當前的批准列表,所以SUS 管理員不需要重新測試和批准。 拷貝\SUS\Contents\Cabs到一個製作制作備份目錄。 拷貝一下文件到一個製作制作備份目錄: \wwwroot\approveditems.txt \wwwroot\autoupdate\dictionaries\approveditems.txt \wwwroot\autoupdate\dictionaries\settings.txt \wwwroot\autoupdate\administration\history-sync.xml \wwwroot\autoupdate\administration\history-approve.xml 卸載SUS 1.0。 安裝SUS 1.0 with SP1。 將製作制作備份的文件拷回原來的位置。 按照一下步驟重新啟動WuSyncService: 在指令行執行Service.msc。 找到軟體更新同步服務。 右擊,內容,重新啟動。 開啟SUS管理頁面,檢查你的設定和批准條目。 同步SUS服務器。 問:為什麼在我的SUS服務器上會出現事件ID為107的警告信息? 答:這個錯誤信息可以被忽略。同步服務在正常工作,你可以像以往一樣管理SUS。 問:如果在子SUS服務器和父SUS服務器之間有一個代理服務器,我可以讓子SUS服務器從父SUS服務器哪裡同步嗎? 答:SUS的代理服務器的設定是讓SUS服務器到公共的Windows更新服務器上去下載更新的用的。SUS服務器到SUS服務器之間的同步不是使用代理配置資訊的。 當一台SUS服務器和另外一台SUS同步信息時,它使用一個叫做WINHTTP_ACCESS_TYPE_NO_PROXY 的WinHTTP。這種設計,可以防止SUS服務器從一個虛假的Internet上的服務器上同步有可能被批准的內容。 問:SUS服務可以工作在80以外的連接埠上嗎? 答:SUS 1.0只能工作在連接埠80上,並且客戶端的自動更新元件只能使用這個連接埠和SUS服務器通訊。 問:我配置用來存放下載來的更新的磁牒報告磁碟空間不足,如何解決? 答:一個辦法是將更新內容推到新的驅動器。按照下面步驟做: 在新驅動器上建立一個新分區。 將\SUS\Content的內容移動到該分區的根目錄。 在電腦管理的MMC中,選項地盤管理部分。 右擊新新增的分區,選項更改驅動器字母和路徑。 選項增加,然後選項將該驅動器掛入一個空的NTFS資料夾。 在同一個對話視窗中,選項原來的更新內容資料夾(比如c:\sus\content) 問:為什麼我的SUS服務器不能同步更新內容並且同步日誌中也沒有試突同步的記錄?還有,我得到一個錯誤 8007000D (資料無效)。如何修正這個錯誤? 答:這可能是因為你的SUS服務器上的日期錯誤引起的,重新設定日期即可。 問:我希望批准更新時,接受end user licensing agreement (EULA) 的YES/NO按鈕不可用,如果修正這個錯誤? 答:"Normal size (96 DPI)." 這個具有代表性的問題可能是由於你的顯示分辯率設定超過96dpi引起的。到控制面版-顯示器內容設定-設定-進階,將顯示設定到普通大小(96 DPI)。 問:我可以用SUS來更新軍事化管理區的電腦麼? (註:所謂軍事化管理區的概念我是在ISA SERVER中碰到的,即為了保證web、ftp服務器的安全,而將這些服務器放在單獨的局局內網段中,並且通過ISA SERVER的發佈功能發佈出去,這樣這些服務器可以受到ISA服務器的保護並且局局內網用戶訪問這些服務器也將會受到ISA的限制,這些web、ftp服務器所在的區域稱作軍事化管理區) 答:這個很容易實現,你只要保證DMZ區的電腦可以訪問位於非DMZ區的的SUS服務器即可。 問:我將SUS服務器遷移到一台新服務器上,但是我仍看到有一些客戶端視圖到已經不存在的SUS服務器上去下載更新。我應該怎樣做? 答:在遷移SUS服務到新的服務器之前,最好使用群組原則將自動更新元件設定到禁用狀態,然後再遷移SUS,最後在將自動更新設定回啟用狀態。否則將會導致客戶端繼續企圖到老服務器下載更新。 如果你確實有企圖到老服務器上下載的工作,你可以使用Windows XP和Windows Server 2003CD上的BITSAdmin工具來刪除這些工作。你也可以在MSDN上找到如何使用BITSAdmin的例子。 問:在安裝了SUS後,客戶端不能下載更新了,我應該怎麼辦? 答:如果你在安裝SUS之前安裝了URLSCAN工具 並且這個工具組織了所有對*.exe的訪問,SUS安裝並不能改變URLSCAN的設定,所以客戶端電腦不能下載任何修正檔或者更新。為了解決這個問題,你應該修改urlscan.ini配置文件,允許對*.exe的請求,並且重新啟動IIS或者重新啟動SUS服務。 問:為了讓同步能夠進行,防火牆上需要開啟哪些連接埠? 答:SUS只需要80連接埠來通訊。 問:為了同步能夠進行,防火牆上要執行對哪些URL的訪問? 答:你需要允許訪問一下URL: http://www.msus.windowsupdate.com http://download.windowsupdate.com http://cdm.microsoft.com 客戶端信息 問:當我視圖安裝客戶端MSI(wuau22*.msi)時,提示說需要Service Pack 2的錯誤,我應該如何做? 答:從Windows 2000 Service Pack 3和Windows XP Service Pack 1開始,自動更新元件已經包含在其中了,否則就需要單獨下載和安裝客戶端更新元件。自動更新元件也已經包含在Windows Server 2003中 了。 問:我怎樣才能在一個客戶端強制更新檢測? 答:請參閱Knowledge Base文章326693 ,這裡有如何強制自動更新元件2.2版進行新一輪檢測週期。 問:自動更新元件在客戶端電腦上工作時,需要最終客戶 有什麼特別的權限媽? 答:如果最終用戶是屬於本機管理員組的,那麼他或者她就可以操作自動更新界面,並且可以決定開始下載和安裝。如果他或者她不是本機管理員組的成員,他或者她就不能操作自動更新的界面,也不會看到工作管理欄上的自動更新的氣泡提示。如果最終用戶不是本機管理員,那麼自動更新唯一可以正常工作的辦法是它們的電腦設定了計劃更新。 問:我如何驗證更新已經正確安裝? 答:你可以使用SUS佈署白皮書中描述的的報告功能來實現 ,但是只適用於報告通過SUS服務器安裝的更新。對於一般的更新,要檢驗其是否正確安裝: 在SUS服務器上的每個更新都有相應的KB我的文件,這些我的文件中有如何檢驗各自的更新在執行不同的平台的電腦上有沒有正確安裝。你可以很容易地點擊每個已經批准的更新的詳細資料連接來檢視相應的KB我的文件,然後點擊更像描述圖示。 你也可以執行run Microsoft Baseline Security Analyzer (MBSA)來檢查客戶端是否已經安裝了需要的更新。 問:是否可以在計劃更新客戶端時禁止自動重新啟動? 答:如果你使用SUS 1.0 SP1,你可以設定 NoAutoRebootWithLoggedOnUsers 原則來防止在已經有用戶登入的客戶端上安裝更新時的重新啟動。如果客戶端沒有用戶登入,則沒有辦法防止客戶端在計劃更新後的重新啟動。 問:我新增了一個註冊表鍵值,自動更新沒有理會,我應該怎樣做? 答:在新增了一個註冊表鍵值(替代使用用戶原則)來配置自動更新元件後,你需要重新啟動一下自動更新服務,或者重新啟動電腦以讓自動更新客戶端可以讀到新的設定。 問:使用無人職守方式安裝了操作系統並且沒有安裝自動更新元件,現在我如何安裝它? 答:現在要安裝自動更新元件,安裝一下步驟進行: 找到原來安裝程序中使用的winnt.sif或者unattedn.txt文件 。 修改unattend文件的中的the [Components] 部分的AutoUpdate=On,其他不要改動。 將檔案拷貝的一個可以訪問的共享目錄中。 在指令碼中,執行 "sysocmgr.exe /i:%windir%\inf\sysoc.inf /u:<th_to_unattend.txt> /q."。 注意如果原來的無人職守的Windows XP RTM安裝已經完成並且已經安裝了Windows XP SP1,你需要在sysocmgr指令行後面加上/f開關選項。 問:我如何確定我的客戶端現在是通過我的SUS服務器而不是外部的Windows 更新站點進行更新? 答:在客戶端電腦上,開啟 open %windir%\Windows Update.log並搜尋類似http://mysusserver/autoupdate/getman...載更新。 問:我知道我的客戶端已經重新轉發IP到我的SUS服務器,為什麼我在Windows Update.log 還是看到https://v4.windowsupdate.microsoft.com? 答:即使客戶端自動更新元件被配置重轉發IP到你的SUS服務器,如果你沒有禁用(通過原則)或者阻止(通過防火牆)直接訪問外部的Windows 更新服務器站點,你的用戶仍然可以直接通過瀏覽器連線到微軟的Windows 更新站點來下載更新。訪問外部Windows 更新站點的記錄會儲存在 Windows Update.log文件中。 要驗證通過瀏覽器訪問Widnwos 更新站點而不是通過自動更新元件的,訪問:https://v4.windowsupdate.microsoft.com/consumerdrivers/getmanifest.asp。這表示外部的Windows 更新站點正在被訪問,Windows XP 和Windows Server 2003用戶的自動更新用戶會訪問http://CorpWU-01/autoupdatedrivers/getmanifest.asp ,並且不會檢查Windows 2000的驅動程式的更新。 |
感謝提供此類的文章
|
3q
|
所有時間均為台北時間。現在的時間是 08:34 AM。 |
Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.
『服務條款』
* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *