Bereitstellen von Windows XP Service Pack 2 in Unternehmensumgebungen
Windows XP SP2 – Implementierungshandbuch für Unternehmen
Zusammenfassung In diesem Handbuch werden drei Methoden für die Bereitstellung von Microsoft® Windows® XP Service Pack 2 (SP2) in Unternehmensumgebungen beschrieben: Microsoft® Software Update Services (SUS), Systems Management Server (SMS) und Gruppenrichtlinie. Das Handbuch enthält schrittweise Anleitungen zur Verwendung der einzelnen Methoden. Die Zielgruppe besteht aus IT-Implementierern – zuständig für die Ausführung der Ratschläge zur Bereitstellungsplanung, die in Windows XP Service Pack 2 – Planungshandbuch für Unternehmen beschrieben werden. Auf dieser Seite
ÜbersichtDieses Handbuch enthält schrittweise Anleitungen zur Verwendung von SUS, SMS und der Gruppenrichtlinie für die Bereitstellung von Windows XP SP2. Es ist in folgende Abschnitte unterteilt:
Bevor Sie mit der technischen Implementierung Ihrer SP2-Bereitstellung beginnen, sollten Sie nach Möglichkeit die von Microsoft zur Verfügung gestellte Dokumentation lesen. Da Windows XP SP2 einen großen Sprung im Hinblick auf Sicherheit bietet, ist es wichtig, dass Sie die neuen Sicherheitsfeatures verstehen. Durch diese Dokumentation können nicht nur die Vorgehensweisen zum Testen, Anpassen und Bereitstellen des Service Packs, sondern auch die aktuellen Sicherheitsverfahren und -richtlinien geändert werden. Die Ressourcen im Abschnitt "Weitere Informationen" sollten unbedingt gelesen werden. Lesen Sie insbesondere Handbuch zum Installieren und Bereitstellen von Microsoft Windows XP Service Pack 2. Entwerfen der BereitstellungBevor das Implementierungsteam SP2 in einem Unternehmen bereitstellt, sollte es die Richtlinien für die Umgebung und Softwareverteilung überprüfen, um die beste Bereitstellungsmethode zu ermitteln. Darüber hinaus muss das Team ermitteln, wie SP2 zur Verteilung angepasst werden soll. Weil jede Umgebung unterschiedlich ist, stellen diese Aspekte das für Sie zutreffende Szenario möglicherweise nicht vollständig dar; deshalb muss das Team Zeit für die Überprüfung der Unternehmensanforderungen aufwenden. Lesen und beantworten Sie die folgenden Fragen, um besser zu verstehen, wie eine Bereitstellung entworfen wird:
InstallationsoptionenTabelle 1 enthält Beschreibungen der Befehlszeilenoptionen, die von SP2 während der Installation unterstützt werden. Ermitteln Sie die Optionen, die Sie zur Unterstützung Ihrer Anforderungen verwenden müssen. (Diese Befehlszeilenoptionen gelten nicht für Bereitstellungen von SP2 mithilfe der Gruppenrichtlinie.) Tabelle 1. Befehlszeilenoptionen für das Service Pack
BereitstellungsartenSP2 unterstützt mehrere Bereitstellungsszenarien. Wenn bekannt ist, welches Bereitstellungsszenario (oder welche Szenarienkombination) verwendet werden soll, können die erforderlichen Faktoren ermittelt werden, z. B. der Serverstandort (an dem die Service Pack-Dateien in Bezug auf die Menge der Benutzer gespeichert werden), die Serverkonfiguration (Hardware, Software usw. zur Sicherstellung der optimalen Serverauslastung) und die Netzwerkkapazitätsplanung (um sicherzustellen, dass die Service Pack-Bereitstellung das Netzwerk nicht lahm legt oder zu erheblichen Leistungsproblemen bei den anderen Unternehmensanwendungen führt). In der folgenden Auflistung werden die Szenarien zum Installieren von SP2 beschrieben:
RemotebenutzerBei langsameren DFÜ-Verbindungen lässt sich oft nicht sicherstellen, dass das Service Pack tatsächlich übermittelt und installiert wird. SMS kann das Service Pack auf den Remotearbeitsstationen effizient bereitstellen, indem es bandbreitenbezogene Technologien nutzt, z. B. Microsoft® Internetinformationsdienste (Internet Information Services – IIS), Neustart des Prüfpunkts und den intelligenten Hintergrundübertragungsdienst (Background Intelligent Transfer Service – BITS). Außerdem sollten Sie die Bereitstellung für einen Zeitpunkt planen, zu dem sich die Remotemitarbeiter im Büro befinden (eventuell während einer Firmenveranstaltung), und sie dann für die normalerweise kleinere Remotegruppe anders durchführen. Sie können aber auch entscheiden, dass das Erstellen und Verteilen von CD-ROMS für die Service Pack-Installation die beste Option für Remotebenutzer ist. Anpassungen der Windows-FirewallsBeim Entwerfen der SP2-Bereitstellung sollte das Implementierungsteam einen Plan entwickeln, der auf den Tests des neuen Features "Windows-Firewall" basiert. Damit SP2 in Ihrer Umgebung funktioniert, müssen Sie die Funktionsweise der Windows-Firewall entweder anpassen oder dieses Feature deaktivieren. In folgenden Handbüchern wird erläutert, wie die Windows-Firewall-Features angepasst und bereitgestellt werden können: Verketten von Updates, die nach SP2 veröffentlicht wurdenBei den Windows XP-Updates wurde Qchain.exe-Funktionalität in das Installationsprogramm Update.exe integriert. Diese bietet Ihnen die Möglichkeit zum Installieren von SP2 und anschließend einer beliebigen Anzahl von Updates, die nach SP2 veröffentlicht wurden, ohne den Computer zwischen den einzelnen Installationen neu starten zu müssen. Berücksichtigen Sie beim Verketten von Updates mit SP2 die folgenden Punkte:
Tabelle 2 führt die Befehlszeilenoptionen auf, die vom Update unterstützt werden. Tabelle 2. Befehlszeilenoptionen für das Update
Weitere Informationen zur Ausführung einer kombinierten Installation, bei der SP2 und die nach SP2 veröffentlichten Updates zusammen installiert werden, finden Sie im Handbuch zum Installieren und Bereitstellen von Microsoft Windows XP Service Pack 2. Integrierte Installation und eigenständige InstallationFür SP2 gibt es zwei Installationsmethoden.
In diesem Handbuch wird der integrierte Installationsprozess nicht beschrieben. Weitere Informationen zu integrierten Installationen finden Sie im Handbuch zum Installieren und Bereitstellen von Microsoft Windows XP Service Pack 2. Anleitungen zum Planen und Ausführen einer integrierten Installation auf neuen Computern finden Sie in Solution Accelerator for Business Desktop Deployment (englischsprachig). Vorbereiten des Service PacksNoch vor der Entwicklung eines Planes zum Bereitstellen von SP2 sollten Sie das Service Pack downloaden und für die Bereitstellung vorbereiten. Wenn Sie die nachstehenden Schritte durchgehen, erhalten Sie die Informationen, die zur Vervollständigung Ihres Bereitstellungsplans benötigt werden. Mehrere wichtige Informationen sollen Ihnen bei der Bereitstellungsplanung helfen.
Schritt 1. Beschaffen des Service PacksDownloaden Sie SP2 unter Windows XP Service Pack 2 - Ressourcen für IT-Profis. Zur Anpassung und Bereitstellung in Unternehmen müssen Sie das Netzwerkinstallationspaket downloaden. Schritt 2. Entpacken des Service PacksBeim Netzwerkinstallationspaket (Xpsp2.exe) handelt es sich um ein selbstextrahierendes Paket mit allen Dateien, die für die SP2-Installation auf einem Computer unter Windows XP erforderlich sind. Dieses Paket kopiert alle SP2-Dateien auf den Zielcomputer – ein effektives Verfahren für Administratoren, die einen freigegebenen Netzwerkordner für die Bereitstellung des Service Packs auf mehreren Computern einrichten möchten. Das Service Pack kann zwar als komprimierte Datei in der Form bereitgestellt werden, in der es von der Microsoft-Website gedownloadet wurde. Bei einem Unternehmen empfiehlt es sich jedoch, das Service Pack zu entpacken, damit es vor der Bereitstellung individuell angepasst werden kann. Führen Sie zum Entpacken von SP2 die folgenden Schritte aus:
Eine zusätzliche Befehlszeilenoption in Xpsp2.exe ermöglicht es Ihnen, die Aufforderung zur Eingabe des Pfades für die Service Pack-Extrahierung zu überspringen. Tabelle 3 führt die beiden Methoden zum Extrahieren des Service Packs auf. Tabelle 3. Befehlszeilenoptionen für die Extraktion
Schritt 3. Anpassen der Windows-FirewallsSP2 umfasst wichtige Verbesserungen an der Windows-Firewall, der in früheren Windows XP-Versionen integrierten Internet Connection Firewall (ICF). Eine Verbesserung besteht darin, dass die Windows-Firewall während einer eigenständigen oder integrierten Installation von SP2 standardmäßig aktiviert ist. Infolgedessen benötigen Netzwerkadministratoren Flexibilität, um Änderungen an der Standardkonfiguration der Windows-Firewall während und nach der SP2-Installation vornehmen zu können. Das Implementierungsteam muss die Standardkonfiguration der Windows-Firewall möglicherweise aus den folgenden Gründen ändern:
Die Windows-Firewall kann durch Ändern der zugehörigen INF-Datei (Netfw.inf), in der die Standardkonfiguration gespeichert ist, vorkonfiguriert werden. Während einer eigenständigen oder integrierten Installation von SP2 importiert die Windows-Firewall deren Konfiguration in diese INF-Datei. Folglich werden Änderungen, die vor der SP2-Installation an der INF-Datei vorgenommen werden, automatisch in die Standardkonfiguration der Windows-Firewall einbezogen. In diesem Handbuch werden die einzelnen Schritte zum Anpassen der Windows-Firewall nicht erläutert. Entsprechende Informationen finden Sie jedoch unter den folgenden Ressourcen:
Entwickeln von Software Update ServicesIn den folgenden Abschnitten wird beschrieben, wie SP2 mithilfe von SUS bereitgestellt werden kann:
ServerstrukturSUS kann in vielen Konfigurationen bereitgestellt werden, doch für die meisten Konfigurationen trifft eine von zwei Kategorien zu: Bereitstellung auf einem einzigen SUS-Server oder Bereitstellung auf hierarchischen SUS-Servern. In diesem Abschnitt werden beide Strukturen zur Verwendung bei der SP2-Bereitstellung beschrieben. Bereitstellung auf einem einzigen SUS-ServerBei dieser Konfiguration nutzen alle Clients im Unternehmen den einzigen SUS-Server für sämtliche Clientupdates und Service Packs – einschließlich SP2. Alle Updates werden auf einem einzigen Server genehmigt und an alle Clients übermittelt, die diesen Server verwenden. Diese Konfiguration könnte für ein kleines Unternehmen oder eine kleine Arbeitsgruppe (maximal 25 Clients) in Frage kommen. Sie ist aber möglicherweise nicht geeignet, wenn ein Unternehmen größer ist, über mehrere Abteilungen verfügt oder besser steuern möchte, wann das Service Pack bereitgestellt wird. Bei dieser Konfiguration würden mehrere Abteilungen, Arbeitsgruppen oder Unternehmenseinheiten denselben SUS-Server nutzen. Die Topologie mit einem einzigen SUS-Server bietet jedoch keine maximale Flexibilität für größere Umgebungen. In größeren Umgebungen möchten Sie SP2 normalerweise nicht auf sämtlichen Computern gleichzeitig in derselben Arbeitsgruppe installieren. Deshalb sollten Sie es auf hierarchischen SUS-Servern bereitstellen. Bereitstellung auf hierarchischen SUS-ServernEine Hierarchie von SUS-Servern bietet mehrere Vorteile:
Sie können eine vorhandene Bereitstellung auf einem einzigen SUS-Server in ein hierarchisches Modell mit einem übergeordneten SUS-Server konvertieren, der mehrere untergeordnete SUS-Server enthält (siehe Abbildung 1). Wenn Sie noch keine SUS-Server bereitgestellt haben, können Sie eine eigene SUS-Hierarchie völlig neu entwickeln. Im vorliegenden Handbuch wird allen Fällen vorausgesetzt, dass Sie SUS erfolgreich auf einen einzigen Server in Ihrer Umgebung geladen haben. In diesem Modell verwendet keiner der Clientcomputer den übergeordneten SUS-Server zum Empfang von Updates. Stattdessen wird SP2 von allen Clients über einen der untergeordneten SUS-Server empfangen. Es wird vorgeschlagen, dass Sie außerdem einen getrennten SUS-Testserver mit einem repräsentativen Clientbeispiel beibehalten, um zunächst die Auswirkung von SP2 abzuschätzen, bevor Sie es auf einer umfangreicheren Produktionsebene einführen. Mithilfe dieses hierarchischen SUS-Entwurfs können Administratoren besser steuern, welche Clientzusammenstellungen aktualisiert werden sollen. Beachten Sie, dass SP2 auf dem übergeordneten Server als Genehmigt ausgewählt werden muss. Andernfalls steht es zur Installation auf den untergeordneten SUS-Servern nicht zur Verfügung. Hinweis: Informationen zum Downloaden von Microsoft SUS finden Sie unter Software Update Services Home (englischsprachig). ServerkonfigurationDamit eine SUS-Hierarchie vorhanden ist, müssen sowohl die übergeordneten als auch die untergeordneten SUS-Server korrekt konfiguriert werden. Dazu legen Sie die Optionen auf der Seite Set Options der über- und untergeordneten SUS-Server fest:
In diesem Handbuch wird auch empfohlen, dass Sie die Option Synchronize list of approved items updated from this location (replace mode) deaktivieren, wodurch sichergestellt wird, dass auf dem übergeordneten Server genehmigte Aktualisierungen nicht automatisch auf den untergeordneten SUS-Servern genehmigt sind. Auf diese Weise können Sie die von Ihnen gewählten Aktualisierungen für bestimmte Computerzusammenstellungen genehmigen. Hinweis: Konfigurieren Sie Ihre untergeordneten SUS-Server so, dass sie spätestens eine Stunde, nachdem der übergeordnete Server die Aktualisierungen von den Microsoft-Servern abgerufen hat, automatisch mit dem übergeordneten SUS-Server synchronisiert werden. ClientkonfigurationNachdem Ihre übergeordneten und untergeordneten SUS-Server bereitgestellt sind, müssen Sie festlegen, welche Clientcomputer welchen untergeordneten Server verwenden. Die Clients erhalten das SP2-Paket nur von untergeordneten und nicht von übergeordneten Servern. Eine typische Active Directory-Domänenumgebung verfügt über viele Organisationseinheiten, deren Computerkonten bereits eingerichtet sind. Sie können Ihre Windows XP-Clientcomputer mithilfe zweier Methoden anweisen, die Aktualisierung von einem bestimmten untergeordneten SUS-Server durchzuführen: Verwenden von GPOs (Group Policy Objects), die mit den Organisationseinheiten verknüpft sind oder Verwenden von Gruppenmitgliedschaften. Bereitstellen von SP2 mithilfe von GPOs, die mit Organisationseinheiten verknüpft sindSie können GPOs mit Organisationseinheiten verknüpfen, die Computerobjekte enthalten, wie in Abbildung 3 gezeigt. Alle Computer innerhalb der Organisationseinheit verwenden den in der GPO festgelegten SUS-Server. Daher installieren alle Computer innerhalb der Organisationseinheit das SP2 innerhalb von 24 bis 48 Stunden, wenn dieses auf einem bestimmten untergeordneten Server genehmigt wurde. Das Sie steuern können, welche Clientcomputer einen bestimmten SUS-Server einsetzen, ist diese Methode ideal zum Steuern der Bandbreitenverwendung geeignet. Diese Methode ist jedoch nicht optimal dafür geeignet sicherzustellen, dass die Installationen von SP2 auf den Computern in der Arbeitsgruppe gestaffelt erfolgen. Sie sollten wieder sicherstellen, dass nicht alle Computer einer bestimmten Arbeitsgruppe oder Geschäftseinheit gleichzeitig betroffen sind. Bereitstellen von SP2 mithilfe der GruppenmitgliedschaftAnstelle das GPO auf Organisationseinheitsebene zu verknüpfen, können Sie Sicherheitsgruppen für Ihre Clientcomputer erstellen, die verschiedene Organisationseinheiten umfassen. Dann erstellen und verknüpfen Sie GPOs auf Domänenebene, filtern dabei aber nach bestimmten Sicherheitsgruppen, die diese Computerkonten enthalten. Wie in Abbildung 4 gezeigt, werden drei Sicherheitsgruppen erstellt, die sich über Organisationseinheitsgrenzen hinweg erstrecken:
Dann werden drei einzelne GPOs mit der Domäne verknüpft, die festlegen, welchen SUS-Server die einzelnen Gruppen verwenden. Das GPO wird jedoch von der Sicherheitsgruppe gefiltert. In diesem Beispiel werden die GPOs Untergeordneten SUS-Server 1 verwenden, Untergeordneten SUS-Server 2 verwenden und Untergeordneten SUS-Server 3 verwenden alle mit der Domäne verknüpft. In Abbildung 5 wird die Gruppe "Authentifizierte Benutzer" aus dem Abschnitt für die Sicherheitsfilterung des GPOs entfernt und dafür COMPUTER-GRUPPE1 hinzugefügt. Daher wird das GPO Untergeordneten SUS-Server 1 verwenden nur auf Computer in der Sicherheitsgruppe COMPUTER-GRUPPE1 angewendet.  Abbildung 5. Bereitstellen von SP2 mithilfe der Sicherheitsfilterung innerhalb eines GPOs Für jedes neu von Ihnen erstellte GPO müssen Sie die Einstellungen festlegen, die jeder Zusammenstellung von Clientcomputern mitteilt, wann das SP2 installiert werden muss und von welchem untergeordneten SUS-Server der Download erfolgt. Diese Einstellungen befinden sich unter Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update. Das clientseitige SUS-Verhalten wird von vier Richtlinieneinstellungen bestimmt:
Entwickeln von Systems Management ServerDie Verwendung von SMS stellt die einfachste und sicherste Methode zum erfolgreichen und ordnungsgemäßen Bereitstellen von SP2 für Ihr Unternehmen dar. Wenn Sie SMS bereits für Softwareverteilungen und Sicherheitsaktualisierungen verwenden, müssten schon eine Richtlinie und eine Umgebung für die Softwareverteilung entwickelt worden sein. Diese Umgebung sollte mindestens aus den folgenden Schritten bestehen:
Beurteilen der UmgebungVor der Entwicklung des Bereitstellungsplans und der Verteilungszeitpläne überprüfen Sie Ihre aktuelle SMS-Infrastruktur, einschließlich der Möglichkeit, Software zu verteilen und einschließlich sämtlicher SMS-Clientanforderungen für die Teilnahme an der Einführung (Rollout). Überprüfen Sie die folgenden Richtlinien, damit Ihre SP2-Bereitstellung erfolgreich verläuft. Suchen und Korrigieren Sie problematische ClientsFinden Sie alle SMS-Clients, die in letzter Zeit keinen Bericht erstellt haben und deren Einträge möglicherweise in der SMS-Verwaltungskonsole nicht vorhanden sind. In einigen Fällen müssen Sie den SMS-Client möglicherweise neu installieren oder reparieren, um sicherzustellen, dass der Computer für die SP2-Installation geeignet ist. Erfassen und Prüfen des ComputerbestandsStellen Sie vor der SP2-Bereitstellung sicher, dass alle SMS-Clients ihren Bestand gemeldet haben. Ändern Sie den Zeitplan für die Hardware und Software, damit die SMS-Clients die Bestandsaufnahmezyklen einen Tag vor der Bereitstellung von SP2 durchführen, um sicherzustellen, dass die SMS-Daten zum Erstellen von Abfragen und Sammlungen geeignet sind. Wenn Sie die Bestandsaufnahme für die Hardware und Software erzwingen müssen, bevor der SMS-Client den aktualisierten Zeitplan für die Bestandsaufnahme erhält (z. B. Remoteclients), können Sie die in Liste 1 und Liste 2 gezeigten VBScript-Skripts verteilen, um die Bestandsaufnahmezyklen zu erzwingen. Liste 1. Erzwingen der Bestandsaufnahme für die Hardware
Set cpApplet = CreateObject("CPAPPLET.CPAppletMgr")
Set actions = cpApplet.GetClientActions
For Each action In actions
If Instr(action.Name,"Hardware Inventory") > 0 Then
action.PerformAction
End if
Next
Liste 2. Erzwingen der Bestandsaufnahme für die Software
Set cpApplet = CreateObject("CPAPPLET.CPAppletMgr")
Set actions = cpApplet.GetClientActions
For Each action In actions
If Instr(action.Name,"Software Inventory") > 0 Then
action.PerformAction
End if
Next
Testen der SMS-SoftwarebereitstellungEs gibt zwei hauptsächliche Möglichkeiten, um auf eine erfolgreiche SP2-Bereitstellung hin zu testen:
Stellen Sie ein Testpaket (eine inaktive Nutzlast) für eine oder mehrere Zusammenstellungen innerhalb der Produktionsumgebung bereit, um die SMS 2003-Umgebung, den Bestand, die Zusammenstellungen und Verbindungen zu testen. Wenn ein Administrator ein Verteilungspaket bereitstellt, das nur ein Testpaket enthält, generiert es alle SMS 2003-Berichte und Statusmeldungen, die anzeigen, wie das Update erfolgreich alle angestrebten Computer erreicht hat. Das Testpaket hat jedoch keine Auswirkungen auf die Produktionsumgebung. Es verändert die Zielcomputer nicht und erzwingt auch keine Neustarts. Hinweis: Das SMS 2003 Toolkit 1 umfasst ein Tool für Testpakete und steht unter folgender Adresse kostenlos zum Download bereit: Systems Management Server 2003 Toolkit 1 (nur auf Englisch verfügbar). Erhöhen der erweiterten ClientcachegrößeWenn Sie den erweiterten SMS-Client unter Verwendung der Standardwerte installieren, wird der Downloadcache mit einer Größe von 250 MB erstellt. Das SP2 umfasst ungefähr 270 MB, deshalb müssen Sie die Größe des Downloadcaches erhöhen, der für die SMS-Clients bei der Vorbereitung der SP2-Bereitstellung reserviert wird. Das in Liste 3 gezeigte VBScript-Skript prüft, ob die Standardgröße von 250 MB für den Cache verwendet wird. Ist dies der Fall, vergrößert es den verfügbaren Downloadcache auf 1 GB. (Sie können den Wert für nValueToSet ändern, um die gewünschte Cachegröße anzugeben.) Verteilen Sie das Skript an alle Windows XP-Computer. Liste 3. Erhöhen des erweiterten Clientdownloadcaches
On Error Resume Next
Dim nValueToCheck
Dim nValueToSet
Dim oUIResource
Dim oCache
Set oUIResource = CreateObject("UIResource.UIResourceMgr")
Set objCacheInfo = oUIResource.GetCacheInfo
nValueToCheck = 250
nValueToSet = 1000
' Set the cache size if it's less than or equal to 250
if objCacheInfo.TotalSize <= nValueToCheck then
objCacheInfo.TotalSize = nValueToSet
end if
Vorbereiten auf die BereitstellungSie müssen vor der Bereitstellung von SP2 in Ihrer Organisation einige vorbereitende Schritte durchführen. Führen Sie die in den folgenden Abschnitten beschriebenen Schritte mithilfe des Bereitstellungsplans zum Eintragen der erforderlichen Daten durch. Hinweis: Microsoft hat eine Liste potenzieller Probleme zusammengestellt, deren Sie sich vor der Bereitstellung von SP2 in einer SMS-Umgebung bewusst sein sollten. Prüfen Sie alle SMS-Clientprobleme und Problemumgehungen, die in Systems Management Server 2003 - Häufig gestellte Fragen zu Clients enthalten sind. Erstellen von ZusammenstellungenZusammenstellungen, in denen Mitgliedschaftsrecheln auf Abfragen basieren, sind dynamisch. Nachdem Sie die anfängliche Mitgliedschaftsliste erstellt haben, werden Clients automatisch zur Zusammenstellung hinzugefügt oder aus dieser entfernt. Nachdem Sie die anfängliche Mitgliedschaftsliste erstellt haben, fügt SMS Clientcomputer hinzu oder entfernt diese, wenn sich ihre Attribute ändern (obwohl Clientupdates nicht deinstalliert werden, wenn der Client aus der Zusammenstellung entfernt wird). In einer dynamischen Umgebung hält SMS die Zusammenstellung auf aktuellem Stand, um sicherzustellen, dass nur die geeigneten Clients verteilte Programme erhalten. Eine eigenständige SP2-Installation kann nur auf einem Computer durchgeführt werden, der Windows XP Home Edition oder Windows XP Professional ausführt, daher müssen Sie eine auf Abfragen basierende Zusammenstellung erstellen, die alle Windows XP-Computer in Ihrer Organisation sucht. Führen Sie die folgenden Schritte aus, um eine Zusammenstellung zu erstellen:
Nachdem die Zusammenstellung erstellt wurde, verwenden Sie die in Liste 4 gezeigten Abfragen, um Ihre Windows XP-Zusammenstellung zu erstellen. Hinweis: Die Zeile wurde zur besseren Lesbarkeit in mehrere Zeilen unterteilt. Wenn Sie diese Zeile in einem System testen möchten, müssen Sie sie als einzelne Zeile ohne Zeilenumbruch eingeben. Liste 4. Mitgliedschaftsabfragen der Windows XP-Zusammenstellung select sms_r_system.ResourceID,sms_r_system.ResourceType, sms_r_system.Name,sms_r_system.SMSUniqueIdentifier, sms_r_system.ResourceDomainORWorkgroup,sms_r_system.Client from sms_r_system where OperatingSystemNameandVersion like '%Workstation 5.1%' select SMS_R_System.ResourceID,SMS_R_System.ResourceType, SMS_R_System.Name,SMS_R_System.SMSUniqueIdentifier, SMS_R_System.ResourceDomainORWorkgroup,SMS_R_System.Client from SMS_R_System inner join SMS_G_System_OPERATING_SYSTEM on SMS_G_System_OPERATING_SYSTEM.ResourceID = SMS_R_System.ResourceId where SMS_G_System_OPERATING_SYSTEM.Version = "5%" Erstellen des PaketsAls nächstes generieren Sie einen leeren Eintrag oder ein Paket, in das das Programm abgelegt wird. Führen Sie die folgenden Schritte aus, um ein Paket zu erstellen:
SMS zeigt das neue Paket in der SMS-Administratorkonsole an und fügt das Paketzugriffskonto "Benutzer" mit Leseberechtigung zu den Zugriffskonten für dieses Paket hinzu.  Abbildung 8. Erstellen eines Pakets Erstellen des ProgrammsNachdem der Paketeintrag erstellt wurde, müssen Sie die eigentlichen Programmdaten (vollständiger Pfad- und Dateiname) darin ablegen. Führen Sie die folgenden Schritte aus, um die Programmdaten zu erstellen:
Verteilen des PaketsNachdem das Paket erstellt wurde, ist das SP2 für die Bereitstellung auf den Verteilungspunkten bereit. Führen Sie die folgenden Schritte durch, um die SP2-Bereitstellung für die Verteilungspunkte zu starten:
SMS sendet eine Kopie der Paketdaten an jeden neuen Verteilungspunkt.  Abbildung 10. Assistent zum Verwalten der Verteilungspunkte Bereitstellen von SP2Nachdem alle Vorbereitungen für die Bereitstellung abgeschlossen sind und auch die zugehörige Autorisierung erhalten wurde, können Sie das SP2 bereitstellen. Die Bereitstellung bedeutet mehr, als einfach einen Schalter umzulegen und dem Service Pack die Verteilung in der Organisation zu erlauben: Die Bereitstellung muss überwacht werden und erfordert möglicherweise eine Problembehandlung. Die Bereitstellung bedeutet auch, darauf zu achten, dass die SMS-Clients die SMS-Ankündigungen erhalten, das Programm gestartet und das Programm korrekt installiert sowie die auf die Installation folgenden Aufgaben durchgeführt haben. Der erste Schritt bei der Bereitstellung ist das Erstellen und Konfigurieren der Ankündigung, einschließlich dem Einrichten des Zeitplans für die Bereitstellung:
SMS sendet die Ankündigungsdaten, einschließlich der Zeitplandaten, an Clientzugriffspunkte (Client Access Points – CAPs) des Standorts.  Abbildung 11. Dialogfeld mit Ankündigungseigenschaften für Service Pack 2 Überwachen der BereitstellungNachdem die SP2-Bereitstellung gestartet wurde, müssen Sie ermitteln, ob die Clients die Ankündigung erfolgreich ausgeführt haben. Es gibt verschiedene SMS 2003-Tools mit denen Sie die zurückgegebenen Statusmeldungen der SMS-Clients überprüfen können. Eines dieser Tools, die Ankündigungsstatusanzeige, bietet eine Ansicht des Bereitstellungsstatus der Ankündigung auf Basis ihrer Statusmeldungen. Der Administrator ermittelt erst Folgendes, bevor die Statusmeldungen vollständig genutzt werden können:
Die Statusmeldungen teilen nur mit, ob die Ankündigung ausgeführt wurde. Das Installationsprogramm installiert alle neuen, genehmigten Aktualisierungen. Der SMS-Administrator analysiert die Statusmeldungen, um zu ermitteln, wann das Programm zuletzt erfolgreich auf den einzelnen Clients ausgeführt wurde. Dadurch kann er prüfen, ob eine erfolgreiche Ausführung des Programms auf den Clients erfolgt ist. Der SMS-Administrator untersucht Verzögerungen, die z. B. auftreten können, wenn ein SMS-Client nicht eingeschaltet ist oder nicht ordnungsgemäß funktioniert. Der SMS-Administrator prüft auch Statusmeldungen, um die Anzahl der Desktopbenutzer zu ermitteln, die das Service Pack freiwillig installiert haben sowie die Anzahl der Benutzer, bei denen die Installation erzwungen wurde und wie die Benutzer, die das Service Pack installiert haben, mit den Neustarts und der geplanten Installation umgehen. Aufräumen nach der BereitstellungNach der SP2-Bereitstellung sollten Sie diese überprüfen und weitere Untersuchungen anstellen, um sicherzustellen, dass sich neue Computer weiterhin erfolgreich mit dem Netzwerk verbinden können. Remotemitarbeiter haben die Ankündigung z. B. möglicherweise noch nicht erhalten. Setzen Sie nach der Service Pack-Bereitstellung einen weiteren Bestandsaufnahmezyklus für die Software und Hardware auf den SMS-Clientcomputern durch, um die Daten in der SMS-Datenbank zu aktualisieren. Verwenden Sie Abfragen, um zu überprüfen, dass sich alle gewünschten Computer auf der Ebene SP2 befinden. Verwenden Sie die in Liste 5 gezeigte Abfrage, um die Windows XP-Versionsebenen für alle Computer in Ihrer Organisation anzuzeigen. Hinweis: Die Zeile wurde zur besseren Lesbarkeit in mehrere Zeilen unterteilt. Wenn Sie diese Zeile in einem System testen möchten, müssen Sie sie als einzelne Zeile ohne Zeilenumbruch eingeben. Liste 5. Neubewertung der Windows XP-Versionsebenen select SMS_G_System_COMPUTER_SYSTEM.Name, SMS_G_System_OPERATING_SYSTEM.Version, SMS_G_System_OPERATING_SYSTEM.BuildNumber from SMS_R_System inner join SMS_G_System_COMPUTER_SYSTEM on SMS_G_System_COMPUTER_SYSTEM.ResourceID = SMS_R_System.ResourceId inner join SMS_G_System_OPERATING_SYSTEM on SMS_G_System_OPERATING_SYSTEM.ResourceID = SMS_R_System.ResourceId where SMS_G_System_OPERATING_SYSTEM.Version > "5%" order by SMS_G_System_OPERATING_SYSTEM.Version, SMS_G_System_OPERATING_SYSTEM.BuildNumber Wenn Sie Windows XP-Computer bemerken, die das SP2 nicht ordnungsgemäß installiert haben oder sich nicht korrekt melden, dann untersuchen Sie diese einzeln, um sicherzustellen, dass die SMS-Daten korrekt sind und das SP2 ordnungsgemäß installiert werden kann. Entwickeln der GruppenrichtlinieSie können die in Active Directory integrierte Technologie verwenden, um die SP2-Bereitstellung zu inszenieren. Wenn Sie die Gruppenrichtlinie zum Bereitstellen von SP2 gewählt haben, wird in diesem Handbuch empfohlen, dass die Clients das SP2 von der am dichtesten gelegenen, nicht zum Netzwerk gehörenden Quelle downloaden. Das Bereitstellen von SP2 über die Gruppenrichtlinie besteht aus drei Hauptschritten:
Konfigurieren des DFS für SP2In diesem Handbuch wird empfohlen, dass Sie eine DFS-Konfiguration für die SP2-Bereitstellung in einer Hub-and-Spoke-Konfiguration einrichten. In Abbildung 12 wird ein Beispiel gezeigt, dass den meisten Organisation mit mehreren Active Directory-Standorten entsprechen sollte. In dieser Konfiguration platzieren Sie das P2 anfangs auf dem festgelegten Hub-Server und verwenden dann den Dateireplikationsdienst, um das SP2 an die DFS-Spoke-Server zu verteilen. Führen Sie die folgenden Schritte durch, um die erste DFS-Verbindung einzurichten:
Führen Sie für jeden Spoke-Server die folgenden Schritte durch:
Führen Sie die folgenden Schritte durch, um mit der anfänglichen Replikation zwischen dem Stamm- und den Spoke-Servern zu beginnen.
Erstellen von GruppenrichtlinienobjektenNachdem Ihr Verteilungsnetzwerk für die Bereitstellung von SP2 über DFS eingerichtet ist, können Sie die Gruppenrichtlinienobjekte (GPOs) erstellen, um das Service Pack an die Clientcomputer zu verteilen. Dazu weisen Sie den Zielcomputern die Datei Update.msi zu. Update.msi ist die Paketdatei des Windows-Installationsprogramms für das SP2. Sie befindet sich im Unterordner i386\update des Service Pack-Ordners. Führen Sie die folgenden Schritte durch, um Update.msi auf Computer anzuwenden:
Eingrenzen auf bestimmte ComputerEine typische Active Directory-Domänenumgebung verfügt über viele Organisationseinheiten, deren Computerkonten bereits eingerichtet sind. Wenn Sie bereit sind, können Sie bestimmte Computer eingrenzen. Es gibt drei Hauptmethoden, um bestimmte Computer einzugrenzen:
Verwenden von OrganisationseinheitenSie können ein Gruppenrichtlinienobjekt mit Organisationseinheiten verknüpfen, die Computerobjekte enthalten. Auf diese Weise installieren alle Windows XP-Computer in einer Organisationseinheit das SP2, nachdem das Gruppenrichtlinienobjekt mit einer bestimmten Organisationseinheit verknüpft wurde. Beachten Sie jedoch, dass diese Methode hinsichtlich Leistung und Stabilität nicht ideal ist, da nicht alle Windows XP-Computer in einer bestimmten Arbeitsgruppe oder Unternehmenseinheit gleichzeitig betroffen sind. Hinweis: Nicht-Windows XP-Computer versuchen anfangs das SP2 zu laden, ignorieren die Zuordnung aber einfach. Diese Computer versuchen tatsächlich weiterhin, die SP2-Zuordnung bei jedem Neustart zu laden (und zu ignorieren). Erwägen Sie die Erstellung einer Organisationseinheit, die Nicht-Windows XP-Computer enthält, z. B. Microsoft® Windows 2000 Professional-Computer, so dass sich diese nicht im Verwaltungsbereich des Gruppenrichtlinienobjekts befinden und dieses Verhalten somit gemildert wird. Alternativ können Sie die Sicherheitsgruppenfilterung (wird später beschrieben) verwenden, um den Aufgabenbereich des Gruppenrichtlinienobjekts festzulegen, damit Nicht-Windows XP-Computer aus dem GPO herausgefiltert werden. Verwenden von Organisationseinheiten und WMI-FilternAnstatt das SP2 für alle Windows XP-Computer innerhalb einer Organisationseinheit bereitzustellen, können Sie die Bereitstellung auf bestimmte Windows XP-Computer einschränken. Sie können das SP2 z. B. nur auf Windows XP-Computern mit 256 MB RAM, 1 GB freiem Speicherplatz oder mit anderen Eigenschaften bereitstellen. Dazu müssen Sie einen WMI-Filter erstellen. Führen Sie die folgenden Schritte durch, um einen WMI-Filter zu erstellen:
Führen Sie die folgenden Schritte durch, um einen WMI-Filter mit einem Gruppenrichtlinienobjekt zu verknüpfen.
Weitere Informationen zum Erstellen von WMI-Filtern finden Sie unter WMI Filters Overview (englischsprachig). In dem in Abbildung 14 gezeigten Beispiel ist eine GPO, die das SP2 zuordnet, mit jeder Organisationseinheit verknüpft, die Windows XP-Computerkonten enthält. Das Service Pack wird tatsächlich jedoch nur auf Windows XP-Computerkonten angewendet, die den Kriterien im WMI-Filter entsprechen. Verwenden von GruppenAnstatt ein Gruppenrichtlinienobjekt mit der Organisationseinheitsebene zu verknüpfen, die Clients anweist, das SP2 zu downloaden, können Sie Active Directory-Sicherheitsgruppen erstellen, die Windows XP-Clientcomputer enthalten, die verschiedene Organisationseinheiten umfassen. Dann erstellen und verknüpfen Sie ein Gruppenrichtlinienobjekt auf Domänenebene, filtern dabei aber den Bereich nach bestimmten Sicherheitsgruppen (siehe Abbildung 15). Verwenden Sie die folgenden Schritte, um einen neue Gruppe in Active Directory zu erstellen:
Führen Sie die folgenden Schritte durch, um das Gruppenrichtlinienobjekt mit der Domäne zu verknüpfen:
Führen Sie die folgenden Schritte durch, um das Gruppenrichtlinienobjekt nach der zuvor erstellten Gruppe zu filtern:
In diesem Beispiel wird das GPO XP/SP2 auf Computer anwenden mit der Domäne verknüpft. Die Standardgruppe "Authentifizierte Benutzer" wird aus dem Abschnitt Sicherheitsfilterung des GPOs entfernt und dafür XPCOMPUTER-GRUPPE1 und XPCOMPUTER-GRUPPE2 hinzugefügt. Deshalb wird das GPO "XP/SP2 auf Computer anwenden" nur auf Windows XP-Computer in den Gruppen XPCOMPUTER-GRUPPE1 und XPCOMPUTER-GRUPPE2 angewendet. Verwalten neuer GruppenrichtlinieneinstellungenSobald SP2 an einen Client übermittelt und der Computer neu gestartet wurde, werden Computer und Benutzer durch die neuen Gruppenrichtlinieneinstellungen verwaltet. Nach der Installation von SP2 werden ca. 600 neue Richtlinieneinstellungen erkannt. Eine Liste der SP2-Richtlinieneinstellungen finden Sie unter Group Policy Settings Reference for Windows XP Professional Service Pack 2 (englischsprachig). Anhand dieser downloadbaren Microsoft® Office Excel-Kalkulationstabelle lässt sich einfacher ermitteln, welche Richtlinieneinstellungen Auswirkungen auf SP2-Clients haben. Die Kalkulationstabelle erleichtert außerdem die Suche nach dem Pfad zum Aktivieren bzw. Deaktivieren bestimmter Richtlinieneinstellungen, und sie stellt eine Kopie des entsprechenden Hilfetextes zu den Einstellungen bereit. Wenn Sie diese Einstellungen in Ihrer Domäne implementieren möchten, damit sie für alle Windows XP-Clients zur Verfügung stehen, lesen Sie den Knowledge Base-Artikel 816662, "Recommendations for managing Group Policy Administrative Template (.adm) files" (englischsprachig). Obwohl SP2 viele neue Richtlinieneinstellungen hinzufügt, müssen Sie sorgfältig wählen, welche dieser Einstellungen implementiert werden sollen, weil Sie damit das sicherere Verhalten der neuen Standardeinstellungen von SP2 deaktivieren könnten. Lesen Sie deshalb den Hilfetext zu den einzelnen Richtlinieneinstellungen. Testen und bewerten Sie dann im Testlabor jede mögliche Einstellung, die in der Produktion verwendet werden könnte. Verwalten der Windows-FirewallEines der SP2-Features, das mithilfe der Gruppenrichtlinie verwaltet werden soll, ist die Windows-Firewall. Die Richtlinieneinstellungen für die Windows-Firewall befinden sich in Computerkonfiguration\Administrative Vorlagen\Netzwerk\Netzwerkverbindungen\Windows-Firewall. Innerhalb des Knotens Windows-Firewall sind identische Richtlinieneinstellungen unter Domänenprofil und Standardprofil enthalten (siehe Abbildung 16):
Den meisten Unternehmen wird empfohlen, die folgenden Richtlinieneinstellungen für die Windows-Firewall zu konfigurieren:
Testen der Service Pack-BereitstellungDa SP2 ein umfangreiches Update zu Windows XP darstellt, ist das Testen des Service Packs vor der Bereitstellung an die Produktionsumgebung besonders wichtig. Sie sollten das Service Pack in zwei Bereichen testen: Anwendungskompatibilität und Hardwarekompatibilität. Testen Sie Ihre Anwendungen vor der Bereitstellung von SP2, um sicherzustellen, dass sie mit der neuen Betriebssystemebene kompatibel sind. In einem Unternehmen können mehrere tausend Anwendungen über verteilte Netzwerke installiert sein, und Kompatibilitätsprobleme bei einer oder mehreren dieser Anwendungen können kostspielige Produktivitätsprobleme verursachen. Zu den Anwendungen, die Sie zur Sicherstellung der Kompatibilität testen müssen, gehören Kernanwendungen, die ein Bestandteil der Standard-Desktopkonfigurationen sind, z. B. Office-Produktivitätssuiten; Branchenanwendungen, z. B. Ressourcenplanungssuiten für Unternehmen; Verwaltungsprogramme, z. B. Antivirus-, Komprimierungs-, Sicherungs- und Remotesteuerungsprogramme; sowie benutzerdefinierte Tools, z. B. Anmeldeskripts. Systemnahe Programme – wie z. B. Antivirusprogramme, Kernelmodus- und Filtertreiber – sind besonders problemanfällig. Außerdem müssen Sie sicherstellen, dass Ihre Serveranwendungen kompatibel sind. Die Anwendungskompatibilitätstests beginnen damit, dass die im gesamten Unternehmen verwendeten Anwendungen identifiziert und deren Prioritäten festgelegt werden. Auf diese Weise können Sie die Zielsetzungen und den Umfang des Projekts besser ermitteln. Nachdem Sie die Prioritäten festgelegt und die speziellen Überlegungen zu Serveranwendungen untersucht haben, können Sie den Testplan entwickeln. Wenn während der Tests Kompatibilitätsprobleme auftreten, müssen Sie Lösungen entwickeln, diese testen und dann zur Bereitstellung packen. Führen Sie die folgenden Aufgaben zum Lösen von Anwendungskompatibilitätsproblemen aus:
Beim Testen von SP2 sollten Sie nach den folgenden häufigen Kompatibilitätsproblemen suchen:
Sogar wenn ein Computer unter Windows XP oder Windows XP mit Service Pack 1 korrekt funktionierte, sollten Sie die Zeit zur Ermittlung aufwenden, ob die SP2-Installation zu irgendwelchen Hardwareproblemen führen könnte. Erwägen Sie diese Aktionen, um Hardwarekompatibilitätsprobleme noch vor den Tests im Labor zu minimieren.
LabortestsUm zu ermitteln, ob Ihre Anwendungen und Hardware mit SP2 kompatibel sind, müssen Sie sie in einer Laborumgebung auf Computern testen, die die Hardware- und Softwarekonfigurationen in Ihrem Unternehmen darstellen. Diese Konfigurationen enthalten Variablen, wie z. B.:
Die Größe und Komplexität des Testlabors wird durch die Komplexität der zu testenden Anwendungen sowie durch die Netzwerkumgebung bestimmt. Zusätzlich zur Duplizierung von Hardware- und Softwarekonfigurationen sollten Sie die Vorgehensweise simulieren, mit der Sie die Anwendungen in der Produktionsumgebung installieren und einsetzen. Beachten Sie auch die Funktionsänderungen in SP2. Sehen Sie sich dazu die Liste der Funktionalitätsänderungen im Whitepaper Diese Funktionsänderungen bringt das Microsoft Windows XP Service Pack 2 an. PilottestsDie Durchführung der Pilottests ist der letzte Hauptschritt vor der Bereitstellung von SP2. Eine Pilotversion ist eine Bereitstellung von SP2 an eine Teilmenge der Live-Produktionsumgebung oder einer Benutzergruppe. Die Pilottests sollen in erster Linie demonstrieren, dass SP2 in der Produktionsumgebung genauso gut wie im Labor funktioniert und dass es die geschäftlichen Anforderungen Ihres Unternehmens erfüllt. Mit der Durchführung eines Pilottests wird das Risiko eines Unternehmens verringert, dass während einer umfangreichen Bereitstellung Probleme auftreten. Möglicherweise erwägen Sie die Durchführung mehrerer Pilottests, die aus separaten Tests für verschiedene Technologien oder Unternehmensgruppen bestehen. Der Pilottest sollte lange genug ausgeführt werden, damit die Pilotgruppe SP2 während ihrer täglichen Aktivitäten testen kann, ob Probleme auftreten, die die Produktivität behindern könnten – z. B. über mehrere Tage bis Wochen. Abbildung 17 veranschaulicht einen typischen Pilottest.  Abbildung 17. Workflow des SP2-Pilottests Die Pilottester sollten Feedback dazu liefern, wie gut der Computer und die Anwendungen nach der Installation funktionieren. Das Release Management-Team verwendet dieses Feedback zum Lösen auftretender Probleme oder zum Erstellen eines Notfallplans. Letztlich führt der Pilottest zur Entscheidung, ob eine vollständige Bereitstellung durchgeführt oder der Vorgang verlangsamt werden soll, damit Sie Probleme lösen können, die die Bereitstellung gefährden könnten. Informationen zur Durchführung eines Pilotprogramms finden Sie unter Microsoft Solutions Framework (englischsprachig). Die wichtigsten Daten, die Sie während der Pilotphase erhalten, bestehen aus dem Feedback der Pilotgruppe. Deshalb sollten Sie die in Tabelle 4 aufgeführten Fragen während der Installationstests an jedes Mitglied der Pilotgruppe verteilen und um Beantwortung bitten. Je nach der technischen Begabung der Pilottester können Sie auch bestimmte Schritte einbeziehen, die die Tester zur Überprüfung ihrer Antworten ausführen sollten. Zusätzlich zur Frage, ob SP2 ordnungsgemäß installiert wurde, händigen Sie den Testern beispielsweise eine Liste der zu überprüfenden Installationsprotokolldateien sowie Anweisungen zur Überprüfung der Informationen in der Windows-Ereignisanzeige aus. Tabelle 4. Bewertung des SP2-Pilottests
Erwägen Sie auch, ein Formular ähnlich Tabelle 5 zu verteilen, damit die Pilottester ihre Informationen während der Pilotphase aufzeichnen können. Tabelle 5. "Tagebuch" zum SP2-Pilottest
Einführen (Rollout) von SP2Die genauen Schritte für die Bereitstellung sind von der gewählten Bereitstellungsmethode abhängig. Weitere Informationen zu diesen Schritten finden Sie in den Abschnitten "Entwickeln von Software Update Services", "Entwickeln von Systems Management Server" und "Entwickeln der Gruppenrichtlinie". In der folgenden Liste werden weitere Probleme beschrieben, die Sie nach Beginn einer SP2-Einführung berücksichtigen sollten.
Weitere Informationen
|
In diesem Beitrag
|
