none
补丁管理测试,有办法实现吗? RRS feed

  • 问题

  • 我们计划用SCCM来进行补丁管理,现在所有用户已经装好SCCM的client了. 但是按照IT部署一个方案的流程,我们有要求必须要先有测试阶段的. 目标是只让几台服务器是通过SCCM来进行补丁管理,其他客户端继续沿用从微软来做更新的方式.

    现在的问题是, SCCM有办法做到这样吗? 我的理解是SUP一旦enable, client会修改客户机上的GPO让它们去找SCCM server来要补丁. 没有办法达到测试的目的.

    请高人指点.谢谢!
    Peace&Love
    2009年11月18日 7:48

全部回复

  • SUP 只安装 client, GPO 是设置在OU上的,把这些测试server 放在一个OU中,其它机器放在别的OU中。GPO设置在测试OU即可。
    2009年11月24日 9:05
    版主
  • 谢谢斑竹回复。但是你测试一下可能会发现,即使不推GPO,client还是会去找SCCM server拿update的,这个论坛里的某些user也提到了一样的问题。

    http://social.technet.microsoft.com/forums/en-US/configmgrsum/thread/2e16fedd-f9e6-4d80-ae33-bcc6fd527de2/ 

    我再测试一遍证实一下,如果update跟GPO没关系

    我的推行预测试就很难做了


    Peace&Love
    2009年11月24日 9:27
  • 没有GPO指定, client 不会知道 SCCM的SUP (WSUS)的存在,只可能缺省的从 Windows update 拿update。


    链接的文章太长,没怎么看,如果信息有用,请粘贴进来,利人利己。中文论坛的斑竹都是义务劳动,并不是MS的员工,不像英文论坛。我曾经有一段时间有空看英文论坛,很多斑竹一直都挂在论坛上。中文论坛的斑竹都要忙自己的工作,估计绝大部分都做不到长时间在线,所以也不会有很多时间收集相关信息,请谅解。

    2009年11月25日 8:49
    版主
  • 绝对理解。

    这是我抄出来一些别人的记录:

    What I am observing in my test environment is that a machine without any Windows Update related GPO settings (in fact, without any GPOs applies at all) works flawlessly with software updates

    --------------------------------------------------------------------------------
    from wally:

    Correct, you only need to enable the Software Updates Client Installation IF you want to install the SCCM client through WSUS/SUP. If your client is already installed, no need for it (though you could enable it if you wanted to use WSUS to upgrade the client to the SP1 version when it releases later this spring).

    You do NOT need to configure Automatic Updates for automatic installation. Not sure where that came from (hopefully not from our docs). All you need to do is to have the AU service enabled, and not disabled.

     

    We do use a policy to set the "intranet Microsoft update location". So you should not have a GPO setting it, or we'll fail to set it and clients may not get scanned or updated via SCCM.
    ---------------------------------------------------------------------------------

    实际情况跟我的一样


    Peace&Love
    2009年11月25日 8:57
  • 明白了 :-), sorry,我自己也糊涂了


    SUP 来安装 SCCM client,其实就是把SCCM client 作为一个 software update来进行安装 (仔细看通过SUP的安装过程和相关log,它确实是和其它update的安装过程一摸一样,而不是software package的安装过程)。换句话说,凡是使用 SUP 安装SCCM client的机器的 software update 都是通过SUP进行的。

    所以要满足lz的要求,就是要在其它机器的OU上设置一个GPO来将update 指向 windows update 站点,而不是内部 SUP。  这个测试组的机器还保留原样即可。反正lz的环境中所有机器都已经安装client了。





    2009年11月30日 3:16
    版主
  • 我测试下来的结果是 不需要用GPO指向microsoft update的站点的,也没法指。只要用GPO disable掉这个设定就好了。

    SCCM client是改user的local policy的。 GPO会覆盖掉这个设定。

    唉,虽然是可以,但是牵涉蛮广的,每个SITE的IT都要让他们去下GPO,很烦的


    Peace&Love
    2009年11月30日 3:24
  • 我测试下来的结果是 不需要用GPO指向microsoft update的站点的,也没法指。只要用GPO disable掉这个设定就好了。

    SCCM client是改user的local policy的。 GPO会覆盖掉这个设定。

    唉,虽然是可以,但是牵涉蛮广的,每个SITE的IT都要让他们去下GPO,很烦的


    Peace&Love
    哈哈,虽然有点麻烦,但最终还是实现了自己的需求,还是不错的!
    2009年12月1日 6:01
  • 呵呵,我脑抽了,我突然想到 client agent里disable software update就可以了。。
    Peace&Love
    2009年12月1日 6:10
  • 呵呵,我脑抽了,我突然想到 client agent里disable software update就可以了。。
    Peace&Love

    那不是把所有的client都disable了吗,你还怎么测试呀。
    2009年12月1日 6:20
  • 呵呵,很高兴自己解决了问题。

    windows update 是缺省设置,一般是不用设置,但是企业内GPO一会儿设了 一会儿改了的常有,最后实际变成什么样就难说了 :-)  为了以防万一还是明确设置一个比较简单。

    另:为什么每个site要分别设置GPO呢?  多站点的话,在域一级设置公用的GPO,测试组OU设置专门的GPO就可以了。站点上什么都不设置。

    simple is better

    2009年12月1日 8:59
    版主
  • 你可以在SCCM上新建一个集合,包含这些服务器,测试的话补丁更新只部署到这个集合不就可以达到测试的目的了?

    2009年12月9日 8:24