Oficiální dokumentace k této oblasti se nachází v Software Updates in Configuration Manager. Představu Microsoftu o nasazování aktualizací můžeme získat z praktického ukázkového scénáře, který je popsán v Example Scenario for Deploying Software Updates.

Instalace

Na SCCM server nejprve musíme nainstalovat WSUS, protože SCCM stále využívá funkce Windows Server Update Services, aktuálně potřebujeme verzi 3.0 SP2. Potom v Configuration Manager Console přidáme roli Software Update Point. Již při přidávání role provádíme hlavní konfiguraci, ale k té se můžeme vrátit později (a změnit ji).

WSUS můžeme přidat jako roli serveru nebo stáhnout instalaci z Microsoft Download a nainstalovat ručně. Při instalaci WSUSu určujeme, jestli se pro databázi použije Windows Internal Database nebo SQL Server. Druhým důležitým údajem je, na jakém portu bude WSUS pracovat. Může se jednat o standardní 80/443 nebo 8530/8531 (případně i vlastní porty). Po ukončení instalačního průvodce se spustí konfigurační průvodce. Toho můžeme v klidu ukončit, protože celou konfiguraci bude provádět SCCM.

Vybíráme aktualizace, které chceme na server stahovat z Microsoftu. Samozřejmě je vhodné vybrat pouze produkty, které používáme, aby se nám zbytečně neplnila DB. Ale je doporučeno při přidávání role nevybrat žádné produkty a provést to až dodatečně při konfiguraci.

Při přidávání role Software Update Point v SCCM, což provedeme v Administration - Site Configuration - Servers and Site Systems Roles. Nastavujeme, že se tento server použije jako aktivní software update point.

Synchronizaci volíme z Microsoft update, naplánovaní synchronizace zatím neprovedeme. Klasifikaci, produkty a jazyky zatím také nemusíme nastavovat (nebo jejich nastavení zrušíme).

Pozn.: V případě problémů můžeme nahlédnout do logů SUPSetup.log a WSUSCtrl.log a také zkontrolovat stav v Monitoring - System Status - Component Status komponenty SMS_WSUS_CONTROL_MANAGER.

Konfigurace Software Update Point

Nejprve zvolíme skupiny aktualizací, které chceme stahovat.

• Administration - Site Configuration - Sites
• zvolíme naši Site a v menu vyberme Configure Site Components - Software Update Point
• zde nastavíme Clasifications, Products a Languages, případně i další parametry

Potom provedeme ruční synchronizaci (tehdy se nestahují vlastní aktualizace, ale pouze informace o nich).

• Software Library - Software Updates - All Software Updates
• v menu zvolíme Synchronize Software Updates
• odsouhlasíme informaci, že chceme zahájit proces synchronizace

Filtrování aktualizací

Poté, co proběhne synchronizace, již na stránce Software Library - Software Updates - All Software Updates uvidíme seznam aktualizací. Zde můžeme provádět vyhledávání a filtrování, které budeme dále potřebovat pro vytváření skupin aktualizací. Do pole Search můžeme zadat hledaný termín v názvu aktualizace a pomocí Add Criteria v pravém horním rohu můžeme přidávat filtrovací podmínky.

Takto můžeme zobrazit třeba pouze platné aktualizace pro OS Windows 7.

Zadané podmínky vyhledávání můžeme uložit pomocí tlačítka v Ribbonu Save Current Search.

Software Update Group

Princip nasazování aktualizací v SCCM je založen na seskupování aktualizací do skupin Software Update Group. Jedna skupina může nyní obsahovat maximálně 1000 aktualizací. Skupiny se používají jak pro zjištění shody (compliance), tedy zjištění kde nejsou aktualizace nainstalovány, tak pro vlastní instalaci. Aktualizace můžeme seskupovat třeba podle produktu nebo roku vydání. Pokud se něco na skupině změní (třeba se přidají nové aktualizace), tak to vyvolá kontrolu shody na klientech, což zatěžuje jak klienty, tak server. Doporučuje se vytvořit skupiny pro existující aktualizace a pak vytvářet novou skupinu pro každé záplatovací úterý (Patch Tuesday).

Vytvoření skupiny

• Software Library - Software Updates - All Software Updates
• můžeme využít vyhledávání z předchozího kroku, kdy vyfiltrujeme požadované aktualizace a pomocí kláves Ctrl+A je všechny označíme, nebo ručně označíme, co nás zajímá
• v Ribbonu klikneme na tlačítko Create Software Update Group a zadáme nějaký logický název, případně i s popisem

Takto jsme vytvořili Compliance Group, z které se po nasazení stává Update Group.

Pokud bychom chtěli přidat aktualizace do exitující skupiny, tak to možné je, ale nepřipadá mi to příliš intuitivní.

• Software Library - Software Updates - All Software Updates
• označíme aktualizace, které chceme přidat (pokud již byla skupina nasazena, tak je nejprve musíme stáhnout a uložit do balíčku)
• v Ribbonu na záložce Home klikneme na Edit Membership
• a zvolíme požadovanou skupinu

Instalace aktualizací - Deploy Group

Aby se aktualizace nainstalovali na klienty, tak se provede nasazení (deploy) vytvořené Software Update Group na nějakou kolekci. Klienti si pak stáhnou software update content soubory z distribution point do lokální cache. Pokud provedeme povinné nasazení, tak dojde k automatické instalaci v době, kterou jsme nastavili (scheduled deadline) nebo pokud si klient instalaci vyvolá sám dříve. Při nasazování můžeme zadat celou řadu parametrů, které ovlivní způsob instalace.

• Software Library - Software Updates - Software Update Groups
• označíme naši skupinu a klikneme na Deploy
• v prvním kroku zadáme název a vybereme kolekci pro nasazení

• několik dalších kroků je shodných jako u nasazování aplikace
• v druhém kroku můžeme změnit Detail level na Minimal, abychom nebyli zahlceni zprávami při nasazení většího množství aktualizací na více stanic
• v kroku Deployment Package vytvoříme nový balíček a zadáme cestu do sdílené složky, kam se uloží (obdoba jako u instalace aplikací), zde jsme použili \\sccm12\Sources\Updates\win7

• téměř v posledním kroku Summary můžeme použít tlačítko Save As Template a uložit si nastavení pro další použití (při vytváření nového nasazení můžeme v prvním kroku použít tuto šablonu)

• předposlední krok Progress může nějakou dobu trvat, v té chvíli se kopírují (stahují) aktualizace do zadané síťové složky (můžeme sledovat, jak přibývají)

Pozn.: V seznamu aktualizací v SCCM nyní uvidíme u updatů, které jsme nasadili, položky Downloaded a Deployed s hodnotou Yes. Také se můžeme podívat na vytvořený balíček v Software Updates - Deployment Packages. Stažené aktualizace se ukládájí do Content Library, kde se využívá Single Instance Store, takže se zde každý soubor nachází pouze jednou.

Informace o instalaci aktualizací

Jak probíhá instalace, se můžeme podívat na několika místech. Můžeme využití reporty.

• Monitoring - Reporting - v levém menu rozklikneme Reports a zvolíme Software Updates - B Deployment Management
• vpravo vidíme reporty, můžeme vybrat například Management 5 - Deployments that target a computer

Nebo se můžeme podívat na informace o shodě (compliance).

• Software Library - Software Updates - All Software Updates
• zde vidíme údaje týkající se všech aktualizací (z poslední summarizace, případně ji můžeme vyvolat ručně tlačítkem Run Summarization)
• můžeme vybrat aktualizace a dole vidíme detaily
• podobně se můžeme podívat na Software Update Groups
• nebo na informace o nasazení v Monitoring - Deployments

Aktualizace z pohledu klienta

Na klientovi se aktualizace instalují stejně jako jiné aplikace pomocí SCCM. Přesto je potřeba běžící služba Windows Update, která se použije pro vlastní instalaci. Pokud je k dispozici nějaká aktualizace, tak ji vidíme v Software Center. Pokud již musí být instalována, tak dostaneme informace v System Tray pomocí SCNotification (samozřejmě, co se zobrazí, záleží na nastavení, které jsme provedli při nasazení).

Auto Deployment Rules (ADR)

SCCM 2012 přináší to, co již umí WSUS sám o sobě, jde o automatické schvalování vybraných aktualizací. Můžeme vytvořit různá pravidla, která zajistí, že když se SCCM dozví o nových aktualizacích, tak podle zadaných podmínek některé aktualizace rovnou schválí a nasadí na klienty.

• Software Library - Software Updates - Automatic Deployment Rules
• klikneme na Create Automatic Deployment Rule
• v prvním kroku zadáme jméno, vybereme kolekci, volíme, jestli se nové aktualizace budou přidávat do existující skupiny nebo se pokaždé vytvoří nová (Microsoft doporučuje pro běžné aktualizace vytvářet vždy novou skupinu, pouze pro aktualizace definic použít stejnou skupinu) a povolíme provedení nasazení

• v kroku Software Updates definujeme pravidla, podle kterých se vyberou aktualizace, v tomto případě zvolíme Severity Critical a Date released or Revised 1 month (nechceme, aby se při prvním spuštění instalovali všechny staré aktualizace)

• dále nastavujeme plánovač, kdy se pravidlo spouští (pokud nechceme spouštět ručně), a kdy se aktualizace instalují
• v kroku User Experience volíme, jak budou aktualizace interagovat s klientem, můžeme nastavit zobrazení v Software Center a například potlačení restartu na serverech
• dále můžeme vytvořit aletry, které nás budou informovat o nedodržení shody
• v kroku Deployment Package vytvoříme nový balíček a zadáme jeho síťovou cestu \\sccm12\Sources\Updates\Critical
• další kroky můžeme nechat ve výchozím nastavení (případně zvolíme jazyk) a projít do konce

Tím jsme vytvořili pravidlo, nyní můžeme počkat, až proběhne plánované spuštění nebo spustit manuálně tlačítkem Run Now.

Informace o průběhu pravidla můžeme nalézt v logu v defaultní cestě C:\Program Files\Microsoft Configuration Manager\Logs\ruleengine.log. Po nějaké době se také můžeme podívat na Deployment Packages a Software Update Groups, kde by se měli vytvořit nové objekty.