系统更新与分发服务的搭建、配置与管理

第15章系统更新与分发服务的搭建、配置与管理本章重点SUS服务器的配置SMS的功能及特点配置SMS2003网络防病毒服务15.1系统更新服务软件更新服务的简称为SUS（SoftwareUpdateServices），是STPP（StrategicTechnologyProtectionProgram）的重要组成部分，是建立在MicrosoftWindowsUpdate技术上的针对企业用户的一项定制服务。SUS提供了企业管理和发布紧急更新、安全更新的解决方案，借助于SUS，可以不必在经常查看安全更新，并手工下载人工安装。15.1系统更新服务15.1.1SUS概述15.1.2SUS服务器的配置15.1.3SUS客户端的设置15.1.1SUS概述1.SUS服务端功能2.SUS客户端功能3.SUS的获得与软件需求1.SUS服务端功能全面更新内置安全内容选择内容同步服务器到服务器同步多语言支持远程管理更新情况日志2.SUS客户端功能自动安装安装选择内置安全及时侦测必需的更新后台下载锁定安装易管理多语言支持3.SUS的获得与软件需求SUS服务端•软件环境•硬件要求•网络连接SUS客户端可从以下软件中获得：•SoftwareUpdateServices1.0ServicePack1•WindowsInstallerMSI包•Windows2000ServicePack3•WindowsXPServicePack1•WindowsServer2003家族操作系统15.1.2SUS服务器的配置由于SUS服务也需要借助于Web服务，并且在安装SUS时，会修改IIS的很多安全设置，因此，建议SUS服务器单独使用一个IIS服务。如果在SUS服务器安装有其他Web应用程序时，可能会受到影响而无法正常提供服务。SUS服务器程序可以直接从Microsoft的官方网站（）免费下载。15.1.2SUS服务器的配置1.SUS服务器的配置•代理服务器设置•设置SUS服务器名称•设置获取更新的位置•设置补丁更新的确认方式•设置补丁下载方式2.SUS服务器的同步与发布1.SUS服务器的配置•“SetOptions”页面1.SUS服务器的配置•设置SUS服务器名称指定SUS计算机名称和获取更新的位置1.SUS服务器的配置•设置补丁更新的确认方式更新确认方式和补丁下载方式2.SUS服务器的同步与发布•同步服务器页面2.SUS服务器的同步与发布•同步计划2.SUS服务器的同步与发布•同步完成提示2.SUS服务器的同步与发布•批准更新页面15.1.3SUS客户端的设置WindowsServer2003内置有SUS客户端，因此，无需安装再安装客户端，只需做简单的设置即可实现自动更新。如果只是将SUS服务器安装在WindowsServer2003，那么，网络中的Windows2000和WindowsXP客户端，仍然需要安装SUS客户端，或安装最新的ServicePack。15.1.3SUS客户端的设置1.设置自动更新2.利用组策略实现自动更新1.设置自动更新•“自动更新”选项卡2.利用组策略实现自动更新•“组策略编辑器”窗口2.利用组策略实现自动更新•“添加/删除模版”对话框2.利用组策略实现自动更新•“策略模板”对话框2.利用组策略实现自动更新•WindowsUpdate策略条目2.利用组策略实现自动更新•“配置自动更新属性”对话框2.利用组策略实现自动更新•“指定intranetMicrosoft更新服务位置属性”对话框2.利用组策略实现自动更新•“重新计划自动更新计划的安装属性”对话框2.利用组策略实现自动更新•“重新计划自动更新计划的安装属性”对话框15.2软件远程分发服务SMS（SystemManagementServer）是微软提供的面向较大规模的企业网络管理的网管软件。随着网络规模的不断扩大，拥有成百上千台计算机乃至跨越国界的企业网络越来越多，网络管理显得尤为重要，而且管理员的工作强度也不断增加。另外，网络安全一直是每一个企业网络所要考虑的首要问题。而如果采用SMS管理软件则上述问题都可以迎刃而解。15.2软件远程分发服务15.2.1SMS的功能和特性15.2.2安装SMS200315.2.3配置SMS200315.2.4SMS2003的主要应用15.2.1SMS的功能和特性1.SMS的主要功能2.SMS的主要优点3.SMS的结构4.SMS的站点1.SMS的主要功能（1）规划和管理网络（2）软件分发（3）软件测量（4）安全更新和系统升级（5）远程维护网络2.SMS的主要优点可靠的安全性最新的报表清单快速部署快速发现和解决问题基于Windows的管理3.SMS的结构•SMS站点的等级4.SMS的站点SMS2003站点服务器角色包括：•CAP（ClientAccessPoint，客户端访问点）角色•DP（DistributionPoint，软件分发点）角色•MP（ManagementPoint，管理点）角色•RP（ReportingPoint，报表点）角色•SLP（ServerLocatorPoint，站点指针）角色15.2.2安装SMS20031.SMS2003的环境需求2.SMS2003的安装SMS2003服务器端运行的操作系统平台必须是Windows2003Server或者WindowsServer2000，并且已经被提升为主域控制器。必须安装IIS的BITS服务SQLServer2000数据库。2.SMS2003的安装•选择安装选项2.SMS2003的安装•设置安装类型2.SMS2003的安装•键入产品信息2.SMS2003的安装•设置站点信息图2.SMS2003的安装•是否需要扩充AD2.SMS2003的安装•SMS安全信息设置2.SMS2003的安装•选择安装组件2.SMS2003的安装•指定SMS应用的数据库2.SMS2003的安装•SMS数据库名称2.SMS2003的安装•设置连接数量2.SMS2003的安装•确认安装信息15.2.3配置SMS20031.站点边界的配置2.指定站点系统3.配置发现模式4.配置连接账号5.配置客户端代理6.配置分发软件功能7.配置SMS站点备份配置SMS2003•SMS管理控制台1.站点边界的配置•配置站点边界2.指定站点系统•启动MP角色2.指定站点系统•系统提示2.指定站点系统•查看站点系统状态3.配置发现模式•选择活动目录域账户5.配置客户端代理•配置客户端代理软件5.配置客户端代理•手动安装客户端代理软件6.配置分发软件功能•分发软件7.配置SMS站点备份•备份SMS站点系统15.2.4SMS2003的主要应用1.通过SMS2003部署MicrosoftOffice20032.利用SMS2003实现系统更新3.SMS提高网络管理效率1.通过SMS2003部署MicrosoftOffice2003（1）部署Office2003的准备工作（2）服务器端的部署（3）开始分发（4）客户端操作（1）部署Office2003的准备工作•Office2003的系统需求（1）部署Office2003的准备工作•获取部署文件（2）服务器端的部署•创建组件包——填写软件基本信息（2）服务器端的部署•创建组件包——指定源文件（2）服务器端的部署•创建组件程序——创建SMS程序（2）服务器端的部署•创建组件程序——程序属性（2）服务器端的部署•创建分发点——创建分发点（2）服务器端的部署•创建组件公布（3）开始分发•选择分发点（3）开始分发•选择分发目标（3）开始分发•定制分发时间（4）客户端操作•客户端操作2.利用SMS2003实现系统更新（1）准备安全管理扫描工具（2）创建安全扫描工具包（3）设置补丁包的自动更新（4）分发“扫描工具数据包”到客户端（5）检查系统内补丁状态（6）使用Web报表查看计算机的整体安全补丁信息（7）发布安全或者升级补丁（1）准备安全管理扫描工具首先要在服务器端安装SMS2003的安全管理扫描工具，下载地址为：如果SMS主站点服务器不能实时连接到Internet，还可以从以下站点下载安全不定列表，分发给用户：（1）准备安全管理扫描工具•扫描工具下载（1）准备安全管理扫描工具•分发设置（1）准备安全管理扫描工具•数据库升级（1）准备安全管理扫描工具•准备安装（2）创建安全扫描工具包•创建安全扫描工具包（3）设置补丁包的自动更新•更新计划（4）分发“扫描工具数据包”到客户端首先，为所有能够运行安全扫描工具包的客户端创建一个集合，并使用SMS软件分发功能，创建一个Advertisement（分发公布），将“安全扫描工具包”中的“安全扫描工具包（expedited）”程序分发给刚刚创建的集合。等候一段时间后，查看Advertisement的状态并确认集合内客户端是否已经成功运行。（5）检查系统内补丁状态•资源探测器（5）检查系统内补丁状态•补丁信息配置情况（6）使用Web报表查看计算机的整体安全补丁信息•Web报表查看器（6）使用Web报表查看计算机的整体安全补丁信息•所有安全补丁状态报表（7）发布安全或者升级补丁•指定软件更新类型（7）发布安全或者升级补丁•选择扫描工具（7）发布安全或者升级补丁•所有待发的安全补丁（7）发布安全或者升级补丁•指定补丁包的源路经（7）发布安全或者升级补丁•补丁包及状态（7）发布安全或者升级补丁•设置补丁包参数（7）发布安全或者升级补丁•设置客户端动作（7）发布安全或者升级补丁•设置客户端参数（7）发布安全或者升级补丁•是否允许客户端推迟安装3.SMS提高网络管理效率激活远程管理客户端工具客户端设置实施远程管理激活远程管理客户端工具•激活远程管理工具客户端设置在SMS2003客户端的控制面板中双击“SystemsManagement”→“Action”选项卡→“MachinePolicyRetrieval&EvaluationCycle”→“InitiateAction”实施远程管理•连接到客户端15.3网络防病毒服务借助于Internet，一种新型病毒可以在短短的几天时间内横扫全球，由于绝大多数病毒都隐身于Web服务和E-mail服务，更是令人防不胜防。在拥有庞大数量计算机的网络中，仅仅安装少量防病毒软件根本无济于事，因为只要有感染病毒的计算机存在，那么网络内就永无宁日。因此，网络病毒的查杀就显得更为重要。15.3网络防病毒服务15.3.1SymantecAntiVirus的安装15.3.2安装SymantecAntiVirus客户端程序15.3.1SymantecAntiVirus的安装1.SymantecAntiVirus的安装顺序2.安装Symantec系统中心3.安装SymantecAntiVirus服务器程序4病毒库和引擎的升级5配置自动防护1.SymantecAntiVirus的安装顺序安装“Symantec系统中心”控制台和“AlertManagementSystem控制台”将SymantecAntiVirus企业版装到服务器和客户端上（可选）安装LiveUpdate管理实用程序（可选）在主服务器上安装用于管理“中央隔离区”的“隔离区控制台”在隔离区服务器上安装“中央隔离区”将SymantecAntiVirus企业版服务器程序安装到指定的服务器将SymantecAntiVirus企业版客户端程序远程安装到