.

Планирование установки обновлений программного обеспечения

Важной частью процесса планирования в системе SCCM 2012 является разработка критериев, которые вы можете использовать, чтобы определить, достигнут ли приемлемый уровень соответствия для установки обновлений. Без этой информации будет трудно узнать, нужно ли потратить дополнительное время для отслеживания устройств с устаревшим программным обеспечением. В таблице 1 приведены примеры критериев соответствия для рабочих станций. Таблица 2 содержит примеры критериев соответствия для серверов.

 

Примеры критериев соответствия для рабочих станций

 

Примеры критериев соответствия для серверов

Необходимо также запланировать действия, которые потребуется выполнить, если ваше окружение не соответствует критериям. Другой важной частью процесса планирования является решение вопроса о том, какие обновления вы хотите устанавливать и как часто. Большинство организаций создает уникальное развертывание для каждого «вторника обновлений». Компания Microsoft выпускает пакеты исправлений для систем безопасности каждый второй вторник месяца, и этот вторник многие называют «вторником обновлений». Итак, далее я покажу, как настроить развертывание исправлений, выходящих по «вторникам обновлений». Но сначала необходимо разобраться с компонентами механизма обновления программного обеспечения.

Компоненты механизма обновления программного обеспечения

Механизм обновления программного обеспечения в системе SCCM состоит из восьми компонентов. Большинство из них генерируется только один раз, а создание других компонентов может быть автоматизировано. После того как компоненты созданы, утверждение и развертывание ежемесячных обновлений занимает менее 10 минут. Ниже приведено описание компонентов и рекомендуемой стратегии частоты их создания.

Точка обновления программного обеспечения. Точка обновления программного обеспечения — сервер Windows Server Update Services (WSUS), которым управляет система SCCM. В отличие от автономного решения WSUS, клиенты не загружают и не устанавливают обновления непосредственно с точки обновления программного обеспечения. Единственные данные, загружаемые клиентом с точки обновления программного обеспечения, — метаданные обновлений. В системе SCCM 2012 поддерживается только одна точка обновления программного обеспечения, но в версии SCCM 2012 SP1 поддерживается использование нескольких точек обновления программного обеспечения. Этот компонент необходимо установить только один раз.

Пакет развертывания. Пакет развертывания похож на любой другой пакет в системе SCCM, за исключением того, что он содержит только двоичные файлы обновлений программного обеспечения. Клиент загружает лишь необходимые обновления. В результате пакеты развертывания могут содержать смешанный состав обновлений для нескольких операционных систем. В версии SCCM 2012 SP1 клиент может отменить применение обновления службой Windows Update, если запрашиваемое обновление недоступно в пакете развертывания. Рекомендуется создавать новый пакет развертывания дважды в год.

Группы обновлений программного обеспечения. Группа обновлений программного обеспечения — группа обновлений, которые могут быть развернуты на устройствах. Они также могут использоваться для того, чтобы отследить уровень соответствия обновлениям. Группа обновлений программного обеспечения может быть создана автоматически, с помощью функции Automatic Update Rule, или вручную, путем выбора обновлений. Рекомендуется создавать новую группу обновлений программного обеспечения каждый месяц для развертывания «вторничных обновлений».

Развертывание. Развертывание — дочерний объект группы обновлений программного обеспечения. Как любое другое развертывание, этот компонент содержит информацию о назначении установки, расписании и взаимодействии с пользователем (например, перезапускать ли компьютер после установки обновлений в случае необходимости). Правило Automatic Deployment Rule создаст первое развертывание. Все остальные развертывания для группы обновлений программного обеспечения должны создаваться вручную. Вы должны будете создавать несколько развертываний каждый месяц.

Шаблоны обновления программного обеспечения. Развертываниями обновлений программного обеспечения можно управлять при помощи шаблонов. Необходимо создать один шаблон для каждого уникального сценария развертывания. Ниже перечислены демонстрационные шаблоны, которые, возможно, стоит рассмотреть.

  • Пилотная группа 1: все компьютеры, которые участвуют в первом тестовом развертывании.
  • Пилотная группа 2: все компьютеры, которые участвуют во втором тестовом развертывании.
  • Рабочие станции в производственном контуре: все рабочие станции, для которых не отключена установка исправлений.
  • Серверы (автоматическая установка): все серверы, установка и перезапуск которых будут выполняться автоматически, но в рамках окон обслуживания.
  • Серверы (установка вручную): все серверы, установка и перезапуск которых будут выполняться вручную.

Каждый шаблон нужно создать только один раз.

Коллекции. Коллекция – это группа целей для развертывания. Каждая коллекция создается только один раз. У вас будет, по крайней мере, одна коллекция на каждый шаблон. На экране 1 приведены примеры коллекций. Все коллекции, содержащие буквы MW, имеют настроенный период обслуживания. В столбце Referenced Collections указывается число ссылочных коллекций. Ссылочная коллекция – это коллекция, которая была либо исключена из другой коллекции, либо добавлена в нее. Коллекция SUM Excluded содержит устройства, которых процесс обновления не коснется.

 

Примеры коллекций
Экран 1. Примеры коллекций

Период обслуживания. Период, или окно обслуживания – это свойство коллекции, определяющее, когда может быть установлено программное обеспечение и когда могут быть перезапущены компьютеры. К устройству применяются периоды обслуживания всех коллекций, членом которых оно является. Периоды обслуживания создаются один раз.

Automatic Deployment Rule. Automatic Deployment Rule — очень мощная функция, которая позволяет полностью автоматизировать процесс развертывания обновлений программного обеспечения. Правило содержит информацию о времени выполнения, составе загружаемых обновлений, месте хранения обновлений и о том, будет ли развертывание активировано автоматически. Обычно создается правило для «вторника обновлений» и правило для обновлений системы System Center Endpoint Protection. Для каждого приложения необходимо создать правило Automatic Deployment Rule один раз.

Настройка компонента Software Update Deployment

Теперь, когда вы знаете о компонентах механизма обновления программного обеспечения, я расскажу о том, какие действия нужно выполнить для того, чтобы настроить развертывание обновлений программного обеспечения, выпускаемых по «вторникам обновлений». В частности, я покажу, как создать коллекцию (с настройкой периода обслуживания) и правило Automatic Deployment Rule, как работать с группами обновлений программного обеспечения и развернуть обновления на производственных машинах. Я не буду описывать процесс создания точки обновления программного обеспечения. Для получения информации об этом обратитесь к веб-странице Configuring Software Updates in Configuration Manager (http://technet.microsoft.com/en-us/library/gg712312.aspx).

Создание коллекции

Обновления программного обеспечения всегда развертываются на коллекцию, поэтому создание коллекции является важной частью настройки механизма обновления программного обеспечения. Вы можете добавить элементы в коллекцию тремя способами:

  • использовать прямое правило, чтобы напрямую добавить элементы к новой коллекции;
  • применить включающее правило коллекции, чтобы добавить элементы другой коллекции в новую коллекцию;
  • задействовать правило запроса, чтобы динамически добавлять элементы в новую коллекцию. При использовании этого подхода необходимо будет задать запрос на языке WMI Query Language (WQL)

Вы можете использовать оболочку Windows PowerShell, новый компонент в версии SCCM 2012 SP1, чтобы создать коллекцию и добавить элементы непосредственно в нее. Например, чтобы создать коллекцию SUM WRK Pilot I, элементами которой будут члены группы SUM_WRK_Pilot1 службы каталогов Active Directory (AD), выполните следующие шаги.

1. Нажмите на кнопку Home в консоли администратора SCCM 2012 и выберите пункт меню Connect via Windows PowerShell.

2. В консоли PowerShell введите

New-CMDeviceCollection -Name «SUM WRK Pilot1» -LimitingCollectionName «All Systems»

и нажмите клавишу Enter.

3. Оставаясь в консоли PowerShell, запустите команду для добавления группы AD SUM_WRK_Pilot1 в качестве элемента, например:

Add-CMDeviceCollectionQueryMembershipRule
-CollectionName «SUM Workstation Pilot 1»
-RuleName «SUM Pilot 1» –QueryExpression
«select SMS_R_SYSTEM.ResourceID,SMS_R_SYSTEM.ResourceType,
SMS_R_SYSTEM.Name,SMS_R_SYSTEM.SMSUniqueIdentifier,
SMS_R_SYSTEM.ResourceDomainORWorkgroup,
SMS_R_SYSTEM.Client from SMS_R_System where
SMS_R_System.SystemGroupName = 'Domain\\SUM_WRK_Pilot1'»

Несмотря на то, что в этой статье команда разрывается на несколько строк, в консоли PowerShell команды должны вводиться единой строкой.

Также вы можете создавать коллекции с помощью мастера Create Device Collection Wizard или мастера Create User Collection Wizard. Для получения дополнительной информации о создании коллекций с помощью этих мастеров обратитесь к веб-странице How to Create Collections in Configuration Manager (http://technet.microsoft.com/en-us/library/gg712295.aspx).

После создания коллекции и добавления в нее элементов вы можете создать период обслуживания для этой коллекции. Несмотря на то, что коллекция SUM WRK Pilot I, которую вы только что создали, не нуждается в периоде обслуживания, ниже перечислены шаги, которые необходимо выполнить, если вы хотите создать период обслуживания для другой коллекции:

  1. Откройте свойства коллекции.
  2. Выберите вкладку Maintenance Windows.
  3. Нажмите кнопку в виде желтой звезды и внесите данные, определяющие расписание окна обслуживания.
  4. Щелкните «OK", чтобы сохранить изменения и закрыть свойства коллекции.

Создание правила Automatic Deployment Rule

После создания коллекции вы можете использовать мастер Create Automatic Deployment Rule Wizard для создания правила Automatic Deployment Rule для установки «вторничных обновлений». Необходимо выполнить следующие шаги.

1. В консоли администратора SCCM 2012 перейдите к рабочей области Software Library.

2. Выберите узел Software Updates и его подуровень Automatic Deployment Rules. Нажмите кнопку Create Automatic Deployment Rule, размещенную на ленте, чтобы запустить мастер Create Automatic Deployment Rule Wizard.

3. На странице General, показанной на экране 2, введите название Patch Tuesday в поле Name и описание в поле Description. В поле Collection укажите имя созданной коллекции SUM WRK Pilot I или выберите ее из списка. В области Each time the rule runs and finds new updates выберите вариант Create a new Software Update Group. Несмотря на то, что добавление обновлений в существующую группу обновлений программного обеспечения полезно при создании правила Automatic Deployment Rule для обновления определений антивируса Endpoint Protection, данный метод не подходит для регулярных обновлений программного обеспечения. В этом случае будет создаваться новая группа каждый месяц. Иначе все закончится тем, что в группе будет слишком много обновлений. У группы обновлений программного обеспечения есть предел в 1000 обновлений. Снимите флажок Enable the deployment after this rule is run. Нажмите Next.

 

Создание коллекции
Экран 2. Создание коллекции

4. На странице Deployment Settings нажмите кнопку Next.

5. На странице Software Updates выберите следующие фильтры и добавьте указанные критерии поиска:

  • Date Released or Revised: Last 1 month;
  • Update Classification:»Critical Updates«OR "Security Updates»;
  • Title: -Itanium.

Обратите внимание на то, что фильтр Title предотвратит загрузку обновлений, содержащих слово Itanium. Убедитесь, что ваше окно соответствует примеру на экране 3, и нажмите кнопку Next.

 

Установка фильтров и критериев поиска
Экран 3. Установка фильтров и критериев поиска

6. На странице Evaluation Schedule выберите вариант Enable rule to run on a schedule и нажмите кнопку Customize. Настройте правило на выполнение во второй вторник каждого месяца в выбранное время. Нажмите кнопку OK, а затем щелкните Next.

7. На странице Deployment Schedule установите следующие настройки. В раскрывающемся списке Time based on выберите пункт Client local time. В разделах Software available time и Installation deadline выберите значение As soon as possible. Не надо опасаться, что эти сроки будут слишком жесткими, потому что эта настройка применяется только к устройствам в вашей пилотной группе. Для производственных рабочих станций я рекомендую делать обновления доступными за два дня до крайнего срока, установленного компанией. Обновления начнут загружаться в фоновом режиме, после того как станут доступными, и будут установлены после наступления крайнего срока. Нажмите Next.

8. На странице User Experience выберите пункт Display in Software Center and show all notifications в раскрывающемся списке User notifications. Кроме того, запретите перезапуск системы на серверах и на рабочих станциях, как показано на экране 4. Нажмите кнопку Next.

 

Запрет на перезагрузку обновляемых систем
Экран 4. Запрет на перезагрузку обновляемых систем

9. На странице Alerts вы можете настроить отправку предупреждений системой SCCM в случаях, когда уровень соответствия опускается ниже определенного процента. Для этого установите флаг Generate an alert when the following conditions are met. Далее в раскрывающемся списке Client compliance is below the following percent выберите значение 95. Наконец, установите параметр Offset from the deadline option в значение «35 дней». Установленные параметры означают, что система SCCM создаст предупреждение, если уровень соответствия будет ниже 95% спустя 35 дней с момента наступления крайнего срока. Нажмите кнопку Next.

10. На странице Download Settings задайте следующие настройки. Выберите параметр развертывания Download software updates from distribution point and install для предпочтительной точки распределения. Выберите вариант Select Download and install software updates from the fallback content source location в качестве параметра развертывания, который будет использоваться в случаях, если обновления не будут доступны ни на одной предпочтительной точке распространения. Установите флаг Select Download and install software updates from the fallback content source location. Установите флаг If software updates are not available on preferred distribution point or remote distribution point, download content from Microsoft Updates. Последний флаг — новая функция версии SP1, которая позволяет клиентам отменить изменения и использовать службу Windows Update для загрузки содержимого обновлений. Клиент загрузит содержимое лишь для тех обновлений, которые вы утвердили. Если после проверки заданные настройки похожи на настройки, показанные на экране 5, нажмите кнопку Next.

 

Настройка параметров загрузки обновлений
Экран 5. Настройка параметров загрузки обновлений

11. На странице Deployment Package вы можете выбрать существующий пакет развертывания или создать новый. Для этого примера создайте новый пакет, указав имя и описание для него. В поле Package Source введите или укажите через проводник путь к папке, содержащей двоичные файлы обновления программного обеспечения. Оставьте приоритет передачи в значении medium, как и предложено по умолчанию. Нажмите кнопку Next.

12. На странице Distribution Points укажите точки распространения или группы точек распространения, на которые вы хотите распространить пакет, и нажмите кнопку Next.

13. На странице Download Location выберите параметр Download software updates from the Internet и нажмите кнопку Next.

14. На странице Language Selection выберите языки, поддерживаемые в вашей организации, и нажмите кнопку Next.

15. На странице Summary нажмите кнопку Save As Template. В появившемся диалоговом окне Save As Template введите название типа автоматического развертывания Pilot Deployment I в поле Name и нажмите Save.

16. Нажмите кнопку Next, чтобы мастер создал правило Automatic Deployment Rule. Когда процесс завершится, нажмите Close.

Теперь правило Patch Tuesday появилось в списке Automatic Deployment Rules. Запустите это правило вручную, выбрав его и нажав кнопку Run Now в ленте, как показано на экране 6. Нажмите кнопку Yes, чтобы запустить процесс.

 

Запуск процесса обновления
Экран 6. Запуск процесса обновления

Работа с группами Software Update Groups

Правило Patch Tuesday теперь будет автоматически создавать новую группу обновлений каждый «вторник обновлений». Ваши обязанности будут следующие: переименовывать группу обновления, удалять любые нежелательные обновления и активировать развертывание на пилотную коллекцию.

Чтобы переименовать группу обновлений и удалить любые нежелательные обновления, выполните следующие шаги.

  1. В консоли администратора SCCM 2012 перейдите к рабочей области Software Library. Откройте узел Software Update Groups и убедитесь, что создана новая группа для «вторничных обновлений».
  2. Переименуйте эту группу обновлений, щелкнув по ней правой кнопкой мыши, выбрав пункт Properties и указав новое имя. Стандарты именования так же важны в SCCM, как и в любой другой системе управления. Вы будете использовать имена при выполнении отчетов и отслеживании соответствия обновлениям. Я рекомендую применять следующее соглашение о назначении имен: Год + номер месяца + месяц (например, 2013 04 April).
  3. Щелкните правой кнопкой мыши по группе обновлений и выберите пункт Show Members. Когда вы просматриваете различные обновления в группе, обратите внимание, что статистические данные соответствия обновляются.
  4. Удалите любые нежелательные обновления из группы обновлений, щелкнув правой кнопкой мыши по обновлению, выбрав пункт Edit Membership и вариант Remove the update(s) from the shown update groups.

Теперь настало время активировать развертывание «вторничных обновлений» на пилотную группу рабочих станций. Выполните следующие шаги.

  1. Вернитесь к рабочей области Software Update Groups, выберите переименованную группу обновлений и щелкните по вкладке Deployment в нижней части окна. Обратите внимание, что у вас есть отключенное развертывание.
  2. Щелкните правой кнопкой мыши по развертыванию, выберите пункт Properties и поменяйте имя на более понятное, добавив в него информацию о коллекции и о том, что развертывание является пилотным (например, WRK 2013 04 April Pilot I).
  3. Щелкните правой кнопкой мыши по записи о развертывании и выберите пункт Enable, как показано на экране 7.

 

Активирование развертывания обновлений
Экран 7. Активирование развертывания обновлений

Развертывание обновлений на производственные системы

После успешного развертывания на пилотной группе вы готовы создать развертывание для производственных рабочих станций. Для создания развертывания используйте мастер Deploy Software Updates Wizard. Выполните следующие шаги:

  1. Удостоверьтесь, что группа обновлений программного обеспечения выбрана, и нажмите кнопку Deploy на ленте, чтобы запустить мастер Deploy Software Updates Wizard.
  2. В поле Deployment Name на вкладке General введите имя развертывания.
  3. В поле Collection введите имя коллекции, содержащей производственные рабочие станции, или выберите ее из списка. Нажмите кнопку Next.
  4. На странице Deployment Settings нажмите кнопку Next.
  5. На странице Scheduling укажите крайний срок установки. Крайний срок определяет момент, когда обновления будут установлены автоматически. Нажмите Next.
  6. На странице User Experience установите следующие настройки. В раскрывающемся списке User notifications выберите пункт Display in Software Center, and only show notifications for computer restarts. В области Device restart behavior установите флаг Workstations. Убедитесь, что ваше окно соответствует показанному на экране 8, затем нажмите кнопку Next.
  7. На странице Alerts установите флаг Generate an alert when the following conditions are met и нажмите кнопку Next.
  8. На странице Download Settings выберите вариант If software updates are not available on preferred distribution point or remote distribution point, download content Microsoft Updates. Нажмите кнопку Next.
  9. На странице Summary нажмите кнопку Save As Template, введите имя Workstation Production и нажмите Save. Благодаря сохранению настроек в качестве шаблона вам не придется выполнять через те же самые действия каждый месяц.
  10. Нажмите кнопку Next.
  11. Нажмите Summary и Next, чтобы установить обновления.

 

Развертывание на рабочих станциях
Экран 8. Развертывание на рабочих станциях

Возможно, вы захотите создать дополнительное развертывание «вторничных обновлений», например развертывание для серверов, которые могут быть перезапущены автоматически, и развертывание для серверов, требующих перезапуска вручную. Предполагая, что некоторые серверы уже добавлены в пилотную коллекцию, и «вторничные обновления» протестированы на ней, вы можете использовать мастер Deploy Software Updates Wizard для развертывания этих обновлений на производственных серверах.

Например, следующие шаги позволяют с помощью предопределенного шаблона развернуть «вторничные обновления» на серверы, которые могут быть перезапущены автоматически:

  1. Удостоверьтесь, что группа обновлений программного обеспечения выбрана, и нажмите на кнопку Deploy на ленте, чтобы запустить мастер Deploy Software Updates Wizard.
  2. В поле Deployment Name на вкладке General введите имя развертывания, как показано на экране 9.
  3. Нажмите кнопку Select Deployment Template и выберите предопределенный шаблон.
  4. В случае необходимости щелкните по любой из ссылок страницы (например, Scheduling, Alerts), если хотите изменить элементы развертывания.
  5. Нажмите Summary и Next, чтобы установить обновления.

 

Создание описания развертывания
Экран 9. Создание описания развертывания

Не стоит усложнять

Для многих администраторов управление обновлениями программного обеспечения является сложным процессом, но так быть не должно. Сохраняя простоту подхода к решению, как показано в статье, вы, скорее всего, справитесь с заданием быстрее и будете лучше понимать процесс обновления программного обеспечения. Всегда следует начинать с определения количества необходимых развертываний и заключения соглашения об уровне обслуживания (SLA), положения которого должны соответствовать вашим возможностям и утверждаться руководством. При условии наличия установленного количества развертываний и заключенного соглашения SLA, система SCCM 2012 является великолепным инструментом, позволяющим гарантировать высокий уровень соответствия при минимальных усилиях.