软件更新点 (SUP) 正如我在上文中提到的,SCCM 中已经不存在目录了。SCCM 改为直接使用专用 Windows Server® Update Services (WSUS) 服务器,该服务器将充当软件更新点 (SUP) 来提供元数据下载和客户端扫描。在 SCCM 中禁用了 WSUS 的更新二进制文件传递功能,以允许将重点放在扫描过程上来。进行此调整后,WSUS 调整为能在专用服务器上使每个 SUP 处理多达 25,000 个客户端的扫描。SCCM 还允许在网络负载平衡 (NLB) 群集后面配置 SUP,从而获得更广的适用性和可调整性,使每个主站点最多能具有四个 SUP、最多可处理 100,000 个客户端。
配置项 (CI) 配置项是 SCCM 中使用的一种新方法,用于定义目标系统上应该存在的特定配置。SCCM 更新管理如今使用此基础结构。更新不应当再被视为一般软件发布,尽管二者依然存在类似之处。实际上,更新驻留在管理控制台中其各自的节点内,且使用这种独特的 CI 机制。在客户端,可以有选择地下载更新并将其保存在本地。

配置更新管理
设置更新管理通常包括三个方面:启用客户端代理、配置 SUP 及为分发配置更新。
SCCM 客户端代理(如图 1 所示)与其他客户端代理类似,是在管理控制台的同一个节点中配置的。管理员在软件更新客户端代理节点的属性页启用此代理,并配置更新安装和“部署重新评估”设置。启用软件更新客户端代理的设置是站点范围设置,即对于已启用此功能的站点,分配给它的每个 SCCM 客户端都会启用此角色。如果环境中部分系统不应启用此功能,您可以使用本地策略覆盖设置对每个系统覆盖此站点范围设置。
图 1 客户端代理属性 
管理员还可以使用此处的设置指定处理更新期限的方式。例如,假设您有四个更新等待安装,其中一个(更新 A)的期限比其他三个早一天。但假设最好同时安装所有四个更新,即使某些更新的期限尚未到达。您可以使用此选项卡上的“强制执行所有强制部署”选项来配置此选择。此外,管理员还可以通过此处的设置来指定隐藏更新过程中的所有通知和可见指示。这些选项如图 1 所示。
通过“部署重新评估”选项卡上的设置,管理员可以计划重新评估部署的时间。将按照此计划对 SCCM 客户端进行评估,以了解是否仍然需要以前安装的更新,如果缺少这些更新,则重新安装它们。

配置 SUP
上文中已经提到,SUP 是负责按照计划下载所有可用更新信息的组件,该组件还负责直接与 SCCM 客户端交互,以基于其更新数据库执行符合性扫描。配置 SUP 之前,必须先安装 WSUS 3.0 或更高版本的服务器,因为 SUP 过程实际上并不安装 WSUS,而是仅配置 WSUS 供 SCCM 使用。另外,必须在站点服务器上安装 WSUS 管理员控制台,以启用与 WSUS 服务器的连接。SCCM 接管 WSUS 服务器充当 SUP 角色后,WSUS 服务器便会专用于 SCCM,并且仅供 SCCM 客户端使用。
SUP 是 SCCM 中的新站点系统角色。要开始配置,请导航到管理员控制台的站点系统节点,然后添加新的站点系统。下一步是选择软件更新点,然后按向导中的步骤执行操作,向导会收集以下信息:
  • 代理配置
  • 端口和 SSL 信息
  • 此 SUP 应如何同步更新:通过 Microsoft Update、通过上游 SUP 还是手动同步
  • 同步计划
  • 所需的更新分类,如关键更新、驱动程序、安全更新、更新汇总等
  • 可用的更新产品:Windows®、Exchange、SQL Server™ 等(如图 2 所示)
  • 语言
图 2 站点角色向导中的产品设置 (单击该图像获得较大视图)
完成向导后,将安装 SUP,同时将对内部配置进行调整,使其支持 SCCM 要求。最好检查安装 SCCM 的日志文件夹中的 SUPSetup.log 确认已成功完成安装。
安装 SUP 后,必须执行同步,以使 SUP 检索更新,并将更新存储在 SUP 和 SCCM 数据库中。可以手动运行同步,也可以按照运行 SUP 安装向导时配置的计划运行同步。可以随时初始化手动更新同步,确保在首次安装 SUP 后进行同步是个不错的主意。图 3 显示了如何执行此操作。
图 3 手动运行同步 (单击该图像获得较大视图)
同步过程分为两个步骤。第一步,配置 SUP (WSUS) 服务器,使其与 SCCM 设置匹配,并将已配置的更新同步到 SUP (WSUS) 服务器本身。完成此步后,来自 SUP (WSUS) 的更新信息被同步到 SCCM 数据库,可供更新部署使用。这第二个步骤将在 SCCM 数据库中创建所需的 CI(每个软件更新创建一个),这个过程可能会很耗时。首次同步花费几个小时是很正常的。同步过程可在 WSyncMgr 日志中查看,图 45 显示了此日志的摘录。具体地说,图 4 显示了要求 SUP (WSUS) 服务器从 Microsoft Update 更新其更新列表的同步过程。图 5 显示了将 SUP 清单同步到 SCCM 数据库过程的开始部分。
图 4 同步更新列表 (单击该图像获得较大视图)
图 5 将更新作为 SCCM 数据库中的 CI 同步 (单击该图像获得较大视图)
将 WSUS 服务器配置为 SUP 后,所需的任何管理都可通过 SCCM 管理员控制台完成。如果直接对 WSUS 服务器进行配置更改,可能会对 SCCM 产生负面影响。此外,当 SCCM 检查其 SUP 以确保配置正确时,这些配置会每小时重设一次。
在多层结构中,要部署软件更新的每一个主站点都至少需要一个 SUP。这些 SUP 在层次结构中将仅与一个 SUP(一般为层次结构中处于最高一层的那一个)协同工作来与 Microsoft Update 同步。其余的 SUP 将通过已配置的上游 SUP 复制伙伴进行同步。

配置更新部署
配置客户端代理并配置及同步 SUP 后,您就已经准备好进行实际的部署了。首先,我们来了解一下 SCCM 管理用户界面的各个节点。基本上,有五个重要的主节点:更新存储库、更新列表、部署模板、部署管理和部署程序包。
所有同步的更新都存储在更新存储库中,供在部署时使用。您可以通过选择一个或多个更新并启动部署软件更新向导来部署更新,该向导需要执行两个任务:配置部署模板(或选择一个现成的模板)和配置部署自身。马上我就会介绍此过程。更新列表会变得相当大,而搜索文件夹(SCCM 2007 中的一项新功能)则可以有效地帮助您基于 28 个与更新相关的条件来查找所需的更新,这些条件包括严重性、分类、产品、发布日期和发布者。
更新列表允许管理员创建一组要管理的固定更新。这些更新可用于符合性报告、创建部署和管理委派。这些更新列表一旦创建,就会向下沿着层次结构复制,供在子站点中重新使用,就像程序包或广告一样。复制更新列表时,并不限于任何特殊部署;它们只是更新列表。完成并复制列表后,通过选择列表并选择部署更新,即可将列表中的更新作为一个整体进行部署。

部署模板
部署模板中包含在软件更新部署中常用的设置(如计划信息和目标集合信息),开发这些模板的目的是为了减少部署更新所用的管理时间。您可以创建模板来处理环境中的多种部署情况,并且只需选择合适的模板即可在部署向导中使用。部署模板预设的设置包括目标集合、更新期限设置(如图 6 所示)、重新启动设置和维护窗口。当部署中存在大量的更新时,目标系统的性能可能会受到影响,因为各个更新的期限是同时到达的。此外还应注意,创建部署时,模板中的设置会应用到部署。除非在部署内手动进行修改,否则这些设置会对部署一直有效。还有一点也很重要,请记住:如只是在稍后修改模板设置本身,对于使用修改后模板的现有部署,其上修改过的设置不会发生改变。
图 6 在向导中设置部署计划 (单击该图像获得较大视图)
可以在运行部署模板向导或部署软件更新向导(如果创建了新模板)时,部署图 6 中的选项。请注意,此屏幕中的期限设置设为 0。此设置的默认值为两周。如果此设置设为非零值,则客户端在部署更新之前会存在一定的延迟,延迟的最长时间为设置的该值。在可以进行部署和强制遵守配置之间这段时间内,最终用户可以手动安装更新,以在安排的期限前完成安装。到达期限时,会强制进行更新并安装。如果您在更新部署过程中遇到延迟,请确保此设置是根据您的需要正确配置的。

部署管理
配置好软件更新部署后,可以在“部署管理”节点上对其进行访问。请注意,已配置的软件部署与部署程序包不同。可以在此节点上查看和处理与部署相关的设置及包含在部署中的更新,但在程序包本身中无法实现这种查看和处理。此处的部署设置反映了来自软件更新向导的设置,以及从所选模板继承的设置。

部署程序包
部署程序包与部署标准 SMS 程序包类似,它们都定义更新的细节,包括源目录、分发点等。部署程序包独立于用于分发更新的实际部署,实质上是更新的存储位置。如果多个部署程序包中都包含部署所需的更新,则 SCCM 代理将确定检索更新的最佳位置,并可能会使用包含该更新的任意可用部署程序包。
部署软件更新向导用于在 SCCM 中部署更新。此向导可以与单个更新一起使用,也可以与更新列表一起使用。图 7 说明了如何启动该向导。
图 7 启动部署软件更新向导 (单击该图像获得较大视图)
接下来,此向导将依次提示您完成以下设置:输入部署的名称、是使用现成的模板设置还是使用新模板设置(如果选择新模板,向导将提示输入上文中所述的模板设置)、部署程序包设置(现有设置或新设置)、分发点设置、选择下载位置、下载的更新语言以及部署计划信息。
完成配置后,会更新策略以通知客户端存在目标更新,并会将更新安装到客户端系统。客户端过程与早期版本有很大不同,这不在本文讨论范围之内。尽管如此还是要提一下,主要区别是更新扫描已不再本地执行 —(SUP 处理所有扫描)— 但更新符合性的详细信息存储在本地 Windows Management Instrumentation (WMI) 存储库中,这与早期版本类似。
但与早期版本不同,已不再使用硬件清单向站点服务器发送更新状态。而是通过管理点将状态消息(一种新型的简化状态消息)发送到站点服务器。状态消息提供每个托管客户端的数据,以进行符合性扫描及跟踪部署过程。SCCM 中存在大量的用于软件更新管理的新报告,包括每台计算机对部署到每个客户端的所有已部署更新的整体符合性、每个客户端的部署执行状态,以及关于扫描和部署的客户端错误报告(这些报告提供待解决的最严重问题的栈排名列表)。
除了传统的按计划执行/强制执行更新部署外,SCCM 还允许您在计划的安装期限之前安装批准的更新,这与现在通过自动更新实现的功能非常相像。这一有用的补充功能甚至还可以在部署期限之前增加兼容系统的数量。
如果自定义更新对您来说很有用,通过 SCCM 也能满足您的要求。SMS 2003 R2 提供的自定义更新发布工具已进行了修改,更名为 System Center Updates Publisher 与 SCCM 2007 一起使用,因此,任何自定义更新都可以按前述的相同方式进行部署。
在 SCCM 中对更新管理进行了大量改动,但是从管理角度来说,相对于早期版本,这些更改应该更易于使用,是深受欢迎的改进。对于习惯使用 SMS 2003 的用户而言,某些概念性的改动最初可能会成为一种挑战,但新方式确实值得我们努力去适应它。