Služba Microsoft Software Update Services: Často kladené dotazy

Služba Microsoft Software Update Services (SUS) je bezplatný doplněk pro systémy Windows 2000 a Windows Server™ 2003 navržený s cílem výrazně zjednodušit proces instalace nejnovějších kritických aktualizací, aktualizací zabezpečení a aktualizací Service Pack do počítačů v organizacích. Služba SUS se instaluje jako webová služba, která správcům umožňuje rychle a spolehlivě instalovat aktualizace do stolních počítačů i serverů se systémy Windows 2000, Windows XP a Windows Server 2003. Aktualizace mohou být synchronizovány ze serverů služby Windows Update a uloženy na serveru SUS. Po schválení aktualizací, které byly v organizaci otestovány a jejich instalace je požadována, je možné je stahovat ze serveru SUS pomocí služby Automatické aktualizace do klientských počítačů.

Služba SUS je tvořena následujícími součástmi, které jsou k dispozici ke stažení:

Součásti služby SUS si můžete stáhnout po klepnutí na následující odkazy:

Ne. Server SUS může komunikovat pouze se službou Automatické aktualizace v klientských počítačích a neumožňuje přístup k internímu webu Windows Update. I v síti se službou SUS budou ale uživatelé po klepnutí na odkaz Windows Update v nabídce Start přesměrováni na externí web Windows Update, ze kterého budou moci normálně stahovat a instalovat aktualizace, namísto serveru SUS.

Součást Automatické aktualizace je podporována v operačním systému Windows 2000 Service Pack 2 (SP2) a vyšším.

Služba SUS není určena jako náhrada jiných řešení pro distribuci softwaru v podnikových sítích, jako například Microsoft Systems Management Server. Řada zákazníků využívá řešení jako SMS pro úplnou správu softwaru včetně odstraňování potíží se zabezpečením a viry. Tito zákazníci by měli daná řešení používat i nadále. Pro vylepšení možností systému Systems Management Server vydala společnost Microsoft ve třetím čtvrtletí roku 2002 sadu SMS 2.0 Software Update Services Feature Pack, která obsahuje vylepšení správy oprav zabezpečení a umožňuje určovat počítače, do kterých mají být instalovány aktualizace softwaru.

Prostudujte si dokument Výběr řešení pro správu aktualizací zabezpečení, ve kterém naleznete tabulku srovnávající hlavní rozdíly mezi službou Software Update Services (SUS) a serverem Systems Management Server (SMS) v oblasti instalace kritických aktualizací.

Ano. Je možné je provozovat souběžně.

Ne. Kromě stejné zkratky nesdílí oba produkty žádný kód.

Doporučujeme začít diskusní skupinou služby SUS (US), která je přístupná přes webový prohlížeč. V levém podokně klepněte postupně na položky Management Technologies>Main>Software Update Services. Pokud dáváte přednost aplikaci Outlook Express, můžete se přihlásit k odběru diskusní skupiny microsoft.public.softwareupdatesvcs hostované na serveru msnews.microsoft.com.

Návrhy a připomínky můžete uložit v diskusní skupině služby SUS nebo je zaslat na e-mailovou adresu cwufdbk@microsoft.com.

Služba SUS 1.0 podporuje aktualizace pro systémy Windows 2000 (Service Pack 2 a vyšší), Windows XP Professional a Windows Server™ 2003. Neumožňuje aktualizovat jiné produkty společnosti Microsoft, jako například Microsoft Office, SQL Server™ či Exchange Server.

Ano. Společnost Microsoft považuje za svou povinnost poskytovat zákazníkům prostředky umožňující kvalitní zabezpečení jejich sítí. Součástí služby SUS jsou všechny opravy zabezpečení vydané v rámci bulletinů zabezpečení pro systémy Windows.

Podporovány jsou následující aktualizace:

Web Windows Update obsahuje nové aktualizace zabezpečení (stejně jako další obsah) v okamžiku vydání bulletinů zabezpečení. Snažíme se vydávat aktualizovaný obsah pro službu SUS ve stejném okamžiku, kdy je k dispozici na webu Windows Update, někdy ovšem může dojít k malému prodlení (2 až 3 hodiny).

Ano. Prostřednictvím služby SUS jsou nyní k dispozici aktualizace Service Pack počínaje Windows 2000 SP4 a Windows XP SP1. Po jejich vydání budou k dispozici i aktualizace Service Pack pro Windows Server™ 2003.

Služba SUS nyní podporuje aktualizace Service Pack. Pro jejich instalaci v tzv. tichém režimu, kdy není požadována žádná interakce uživatele, jsou používány příkazy příkazového řádku. Stejně tak jsou příkazy příkazového řádku používány pro vytváření záložních souborů, aby bylo v případě potřeby možné tyto aktualizace odebrat.

Jestliže došlo k zaplnění disku, možná synchronizujete více jazyků, než je pro vaše prostředí nutné. V případě pouze jediného vybraného jazyka by potřeba místa na disku pro místní uložení aktualizací neměla překročit 300 MB až 600 MB. Počet synchronizovaných jazyků můžete ověřit na stránce pro správu SUS Admin, kde v levém podokně klepněte na položku Set Options (Nastavit možnosti) a poté ověřte seznam jazyků, pro které je synchronizován obsah. Jestliže synchronizujete obsah pro více jazyků, než je požadováno, postupujte podle následujících pokynů:

Rozhraní služby Automatické aktualizace pravděpodobně pouze čeká na dokončení instalace dané aktualizace Service Pack. Žádná animace neindikuje, že instalace stále probíhá, stejně jako není ani žádným jiným způsobem možné zjistit její průběh dříve, než je dokončena. Toto platí obzvláště proto, že aktualizace Service Pack jsou instalovány v tichém režimu bez uživatelského rozhraní instalačního programu aktualizace. Instalace aktualizace Service Pack může trvat několik minut, především s pomalejším hardwarem, takže nejlepší možností je počkat, dokud uživatelské rozhraní služby Automatické aktualizace neoznámí dokončení instalace.

Aktualizace Service Pack (a některé další aktualizace) jsou ve své podstatě výhradní a je nezbytné je instalovat samostatně. Jakmile klient Automatické aktualizace nalezne některou z těchto výhradních aktualizací, je klientskému počítači k instalaci nabídnuta pouze samostatně. Tak je zajištěno, že po instalaci a restartováni jsou při novém vyhledání klientem Automatické aktualizace nabídnuty a nainstalovány pouze aktualizace, které jsou určeny pro nově nainstalovanou aktualizaci Service Pack.

Ne. Do služby SUS není možné integrovat vlastní aktualizace či aktualizace jiných výrobců.

Ne. Služba SUS 1.0 nepodporuje instalaci ovladačů, i když se součást Automatické aktualizace o jejich nalezení pokouší. Při vyhledávání aktualizací na serveru SUS bude soubor Windows Update.log v počítačích se systémem Windows XP a Windows Server 2003 obsahovat následující položku:

Error IUENGINE Querying software update catalog from
http://mysusserver/autoupdatedrivers/getmanifest.asp (Error 0x80190194)

Tato položka je v počítačích se systémem Windows XP a Windows Server 2003 očekávána a nijak nekoliduje se schopností služby SUS a Automatické aktualizace stahovat a instalovat kritické aktualizace pro systém Windows.

Nový obsah je obvykle vydáván týdně vždy ve středu ráno (tichomořské časové pásmo), i když někdy není vydán žádný. V řídkých případech může být obsah či aktualizace vydáván i v jiných dnech.

Služba e-mailového oznamování aktualizací SUS informuje o nejnovějších kritických aktualizacích, jakmile jsou k dispozici. Tato volitelná e-mailová oznámení slouží pouze k informativním účelům a nejsou pro funkci služby SUS požadována. Chcete-li se přihlásit k odběru e-mailových oznámení služby SUS, navštivte webovou stránku http://www.microsoft.com/windows2000/windowsupdate/sus/redir-email.asp.

Někdy je náš poštovní systém používaný pro odeslání e-mailových oznámení služby SUS zahlcen množstvím odesílaných e-mailů.

Ne. V aktuální verzi služby SUS není možné selektivně stahovat aktualizace jen pro jeden typ platformy. Tuto funkci plánujeme integrovat do dalších verzí služby SUS.

Nejčastější příčinou tohoto jevu je změna kritérií vyhledání aktualizace, a nikoli změna samotné aktualizace. Změní-li se samotná aktualizace (binárně), byla by taková změna dokumentována v článku znalostní báze přidruženému k dané aktualizaci.

K tomuto jevu obvykle dochází z důvodu chybných kritérií vyhledávání spolu s opakovanou chybou při instalaci aktualizace, nebo i s úspěšnou instalací, která ale nevytvoří určitý příznak hledaný při určování požadovaných aktualizací. Jestliže ve vašich počítačích dochází k podobnému problému, prostudujte si nejprve článek znalostní báze přidružený k dané aktualizaci a ověřte, zda instalace probíhá úspěšně. Poté prohledejte diskusní skupinu služby SUS (US), zda je váš problém obecně známý.

Služba SUS 1.0 není nativně schopna zjistit aktualizace, které nahrazují dříve nainstalované aktualizace. Nejlepším příkladem tohoto stavu jsou kumulativní aktualizace aplikace Internet Explorer (IE). Nejvhodnějším postupem je tedy při schvalování nově vydané kumulativní aktualizace aplikace IE zrušit schválení všech předchozích kumulativních aktualizací pro stejnou aplikaci. Dále je vhodné prostudovat články znalostní báze týkající se všech ostatních aktualizací, zda nenahrazují některé jiné aktualizace, a zrušit schválení aktualizací na serveru SUS, které jsou nahrazovány jinými aktualizacemi také dostupnými na serveru SUS.

Zatím ještě ne.

Počítač s procesorem Intel X-86 nebo kompatibilním procesorem úrovně P700, 512 MB RAM a 6 GB volného místa na pevném disku.

Jeden server SUS může podporovat až 15 000 klientů. V jedné síti je také možné provozovat více serverů SUS.

Ano. Služba SUS 1.0 s aktualizací SP1 tuto konfiguraci umožňuje.

Ano. Služba SUS 1.0 s aktualizací SP1 tuto konfiguraci umožňuje. Službu SUS SP1 je také možné provozovat na serveru Microsoft Windows Small Business Server 2003.

Výsledkem vylepšení zabezpečení v systému Windows Server 2003 mohou být potíže s přístupem k síti SUS po instalaci aktualizace SUS SP1. Úplný popis řešení těchto potíží naleznete v dokumentu Poznámky k vydání aktualizace SUS SP1 (US).

Aktualizovaná šablona pro správu s dalšími funkcemi služby SUS s aktualizací SP1 je k dispozici ke stažení na webové stránce Software Update Services 1.0 ADM File for Service Pack 1 (US).

Soubor wuau.adm by měl být nainstalován do počítače, který slouží ke správě zásad skupiny domény. Postupujte podle následujících pokynů:

K této chybě může docházet, byla-li původní instalace služby SUS 1.0 zahájena spuštěním instalačního souboru MSI přímo z Internetu namísto jeho uložení do počítače a následného spuštění místně. Jakmile se služba SUS s aktualizací SP1 pokusí o upgrade, potřebuje před zahájením přečíst z předchozího instalačního souboru MSI načíst určité informace. Pro odstranění těchto potíží je nutné přeinstalovat službu SUS 1.0 a poté znovu spustit instalaci služby SUS SP1. Následující kroky pomohou tuto odinstalaci a přeinstalaci urychlit. Tyto kroky odstraní potřebu znovu stahovat všechny aktualizace, zachovají předchozí synchronizace a seznam aktuálně schválených aktualizací, takže správce služby SUS nebude muset znovu určovat, jaké již byly otestovány a schváleny.

Tato zpráva je chybná a můžete ji ignorovat. Služba Synchronization Service pracuje správně a všechny úlohy správce můžete provádět běžným způsobem.

Konfigurace proxy v nastavení serveru SUS je využívána, jen pokud server stahuje obsah z veřejných serverů Windows Update. Synchronizace mezi servery SUS nevyužívá informace o konfiguraci proxy uvedené v nastavení serveru SUS. Při synchronizaci serveru SUS s jiným serverem SUS je používána metoda WinHTTP nazvaná WINHTTP_ACCESS_TYPE_NO_PROXY. Toto chování je implementováno úmyslně, aby interní servery SUS nemohly synchronizovat obsah a případně schválené aktualizace z cizích serverů SUS v Internetu.

Služba SUS 1.0 funguje jen na portu 80 a její součást Automatické aktualizace v klientských počítačích dokáže komunikovat se serverem SUS pouze na tomto portu.

Jednou z možností je vynutit přesunutí obsahu na novou jednotku. Postupujte podle následujících pokynů:

K těmto potížím může docházet, pokud není datum na serveru SUS správné, a je možné je odstranit nastavením správného data na serveru.

K těmto potížím obvykle dochází, je-li zobrazení nastaveno na hodnotu vyšší než 96 bodů na palec (dpi). Z okna Ovládací panely otevřete panel Zobrazení, klepněte na kartu Nastavení a poté na tlačítko Upřesnit a dále změňte hodnotu Nastavení zobrazení na Normální velikost (96 dpi).

Toho je obvykle možné dosáhnout použitím hostitelských hlaviček, které by počítačům v zóně DMZ umožňovaly přistupovat k serveru SUS umístěnému mimo zónu DMZ.

Před přesunutím služby SUS na nový server je nejvhodnější pomocí modulu snap-in Zásady skupiny převést službu Automatické aktualizace do zakázaného stavu, poté přesunout službu SUS a následně znovu povolit součást Automatické aktualizace. Nebudete-li postupovat uvedeným způsobem, budou se probíhající úlohy i nadále snažit o stahování aktualizací z původního serveru.

Jestliže se již některé úlohy snaží o stahování z původního serveru SUS, můžete je odstranit pomocí nástroje BITSAdmin, který je k dispozici na disku CD-ROM systému Windows XP a Windows Server 2003. Příklady použití tohoto nástroje naleznete na webové stránce Příklady použití nástroje BITSAdmin na webu MSDN.

Pokud jste před instalací služby SUS nainstalovali nástroj URLScan a nastavili jej na blokování všech souborů typu *.exe, instalace služby SUS toto nastavení nezmění, takže klientské počítače nemohou stahovat opravy a aktualizace. Pro odstranění tohoto problému je nutné změnit soubor urlscan.ini tak, aby povoloval požadavky na soubory *.exe, a poté restartovat Internetovou informační službu (IIS) nebo server SUS.

Další častou příčinou, proč není možné stahovat aktualizace, je neshoda položky „server name“ na stránce SUSAdmin>Set options s názvem určeným v zásadách služby Automatické aktualizace (WUServer).

Služba SUS požaduje ke komunikaci pouze port 80.

Je nutné povolit následující adresy URL:

Počínaje verzemi Windows 2000 Service Pack 3 (SP3) a Windows XP Service Pack 1 (SP1) je součást Automatické aktualizace zahrnuta v daných aktualizacích Service Pack a není ji tedy třeba instalovat. Součást Automatické aktualizace je také zahrnuta v systému Windows Server 2003.

Informace naleznete v článku znalostní báze 326693 Jak vynutit, aby služba Automatické aktualizace 2.2 provedla kontrolu dostupných aktualizací.

Je-li daný uživatel členem místní skupiny správců, bude moci spouštět stahování a instalace pomocí součásti Automatické aktualizace. Není-li daný uživatel členem místní skupiny správců, nebude moci spouštět stahování a instalace pomocí součásti Automatické aktualizace a v oznamovací části hlavního panelu jeho plochy se nebude zobrazovat ikona či upozornění na aktualizace. Pro koncové uživatele, kteří nejsou místními správci, je jedinou možností aktualizace počítače pomocí služby Automatické aktualizace nastavení časového plánu instalací.

Můžete využít funkce pro generování sestav služby SUS popsané v dokumentu Dokument white paper o zavedení služby Software Update Services (US) ta ale funguje pouze pro aktualizace nainstalované prostřednictvím služby SUS. Chcete-li ověřit, zda byly správně nainstalovány jakékoli aktualizace, postupujte podle následujících pokynů:

Pokud používáte službu SUS 1.0 SP1, můžete nastavením zásady NoAutoRebootWithLoggedOnUsers zabránit restartování počítače v případě, že je v okamžiku plánované instalace přihlášen libovolný uživatel. Není-li v okamžiku plánované instalace aktualizací k počítači přihlášen žádný uživatel, není možné automatickému restartování zabránit.

Při konfiguraci součásti Automatické aktualizace pomocí klíčů registru namísto zásad je nutné buď restartovat službu Automatické aktualizace, nebo počítač, aby klient provedené změny zjistil.

Chcete-li nainstalovat součást Automatické aktualizace, postupujte podle následujících pokynů:

Pokud původní bezobslužná instalace nainstalovala systém Windows XP a poté do něj byl nainstalována aktualizace Windows XP SP1, bude pravděpodobně také nutné v příkazu sysocmgr zadat přepínač /f.

V klientském počítači otevřete soubor %windir%\Windows Update.log a pokud v něm naleznete položky jako http://mysusserver/autoupdate/getmanifest.asp, pak byla součást Automatické aktualizace správně přesměrována na server SUS.

I když byl klient Automatické aktualizace přesměrován na server SUS, pokud nebyl pomocí zásad zakázán nebo na bráně firewall zamezen přístup k externímu webu Windows Update, mohou k němu uživatelé normálně přistupovat přes webový prohlížeč. Přístup k externímu webu Windows Update přes prohlížeč je zaznamenán do souboru Windows Update.log.

Chcete-li ověřit, zda bylo k webu Windows Update přistupováno z prohlížeče a nikoli služby Automatické aktualizace, zkuste najít položky volání adresy https://v4.windowsupdate.microsoft.com/consumerdrivers/getmanifest.asp. Takové položky indikují přístup k externímu webu Windows Update, protože služba Automatické aktualizace v systému Windows XP a Windows Server 2003 volá adresu http://CorpWU-01/autoupdatedrivers/getmanifest.asp a v systému Windows 2000 vůbec ovladače nevyhledává.