Основные компоненты и рекомендации по установке.

Долгожданный пакет обновлений Windows 2000 Service Pack 3 (SP3) был выпущен летом 2002 г. После распаковки его размер составляет 145 Мбайт; в 1670 файлах содержится более 1000 программных исправлений. SP3 не только включает обычные исправления для устранения ошибок и пробелов в системе безопасности, но и повышает производительность, а также расширяет возможности некоторых функций. Кроме того, предусмотрено несколько режимов установки пакета в различных условиях.

Среди главных усовершенствований SP3 — более мощные службы Windows 2000 Server Terminal Services и новая модель выделения и управления временными лицензиями Terminal Services, служба репликации файлов (File Replication Service, FRS), переработанный механизм распознавания и управления устройствами USB, более надежное взаимодействие с Novell NetWare и новая функция Automatic Updates. Кроме того, заслуживают внимания некоторые улучшения для системных компонентов Windows 2000. Компания Microsoft выпустила сопутствующие исправления и для комплектов Windows 2000 Support Tools и Deployment Tools.

Terminal Services

В SP3 входит 41 исправление для Terminal Services, в том числе шесть — для устранения «голубых экранов»; пять — для решения проблем, возникающих при попытках клиентов Terminal Services распечатать документ на сетевом принтере; несколько исправлений для ошибок сетевых соединений, «рабочего стола», процедур входа и выхода из системы. Не менее важное новшество пакета исправлений — модель назначения временных лицензий клиентского доступа к Terminal Services (TSCAL) и обработки истекших лицензий TSCAL.

В процессе первого подсоединения к системе после установки SP3 Terminal Services назначает временную 90-дневную TSCAL. Если тот же клиент регистрируется повторно, Terminal Services назначает полноценную лицензию TSCAL (если имеется свободная лицензия). Новая модель не предусматривает выделение постоянных лицензий тем машинам, на которых случайно регистрировались пользователи Terminal Services. Кроме того, после отказа лицензированной клиентской машины пользователям не приходится обращаться в Microsoft Clearinghouse для восстановления утерянного маркера TSCAL. В версиях, предшествующих SP3, маркер хранился на клиентской машине и мог быть утерян, если отказывал жесткий диск или компьютер списывали. В настоящее время срок действия TSCAL составляет от 52 до 89 дней. За семь дней до истечения TSCAL Terminal Services связывается с сервером лицензий и продлевает лицензию на следующий срок продолжительностью от 52 до 89 дней. Если сервер лицензий не отвечает, то Terminal Services пытается возобновить истекающую лицензию при каждой регистрации клиента. По истечении срока действия лицензии Terminal Services возвращает ее в пул свободных TSCAL. Если в системе отказывает жесткий диск или происходит другая серьезная поломка, то в соответствии с новой моделью Terminal Services назначает запасной системе временную 90-дневную лицензию (на один день длиннее, чем максимальный 89-дневный срок TSCAL). По прошествии 89 дней первоначальную лицензию отказавшей машины можно использовать повторно и назначить запасной системе.

FRS

Мощный и надежный механизм репликации файлов играет ключевую роль в крупных распределенных сетях. В SP3 вошло выпущенное ранее отдельное исправление, которое устраняет несколько слабых мест FRS.

Модернизированная FRS последовательно принимает наборы для репликации с партнерских систем. Эта процедура сокращает время и ресурсы, необходимые FRS для получения информации при репликации. Кроме того, в обновленной версии используется новый алгоритм, обеспечивающий продолжение репликации файлов при заполнении промежуточного хранилища на 90%. Алгоритм позволяет службе удалять промежуточные файлы до тех пор, пока занятое пространство не составит 60% емкости хранилища, объем которого по умолчанию равен 660 Мбайт.

Стандартный размер журнала FRS увеличен до 128 Мбайт. С увеличением журнала сокращается число перезаписей данных и уменьшается необходимость в непринудительном (nonauthoritative) восстановлении Active Directory (AD). В прежних версиях Windows 2000 для восстановления контроллера домена (DC) и устранения проблем FRS-репликации приходилось использовать наиболее свежую резервную копию — иными словами, выполнять непринудительное восстановление вместо принудительного. Теперь FRS позволяет изменить путь переноса данных (staging path) без предварительного непринудительного восстановления. Чтобы изменить путь, следует остановить FRS, переместить файлы и перезапустить FRS. Вместо автоматической инициации процедуры восстановления FRS записывает в журнал событий FRS сообщение, которое указывает на необходимость восстановления, и администратор может назначить процедуру в удобное для себя время.

Исправлена и ошибка SP2, которая проявлялась при попытках репликации сжатых файлов.

Устройства USB

Проблемы с устройствами USB возникли сразу же после выхода Windows 2000. Одна из программ коррекции SP3 устраняет длительную задержку при распознавании USB-клавиатуры и USB-мыши в процессе начальной загрузки; вторая предотвращает зависание системы при выходе из состояния ожидания, вызываемое USB-устройствами, а третья предупреждает зависание системы при подключении и удалении USB-камеры. Кроме того, в SP3 устранены причины появления двух «голубых экранов», связанные с USB: в одном случае «голубой экран» возникает при подключении промежуточного USB-устройства к работающей системе, а в другом — при попытке установить Windows 2000 с USB-накопителя CD-ROM. Пакет SP3 обеспечивает копирование (без ошибок) более чем 4 Кбайт данных между устройствами USB. Однако по-прежнему остается проблема с клавиатурой USB и мышью PS/2: чтобы распознать эту комбинацию устройств, операционной системе может потребоваться до 1 ч после начальной загрузки. Если возможно, такой аппаратной комбинации следует избегать. Или же можно получить соответствующую программу коррекции в службе Microsoft Product Support Services (PSS).

Взаимодействие с NetWare

В пакете SP3 содержатся исправления для трех компонентов, обеспечивающих взаимодействие с NetWare: Client Services for NetWare (CSNW), Gateway Services for NetWare (GSNW) и File and Print Services for NetWare (FPNW). В результате модернизации устраняются досадные задержки при просмотре или открытии клиентами файлов на сервере NetWare, исправляется неверное сообщение об ошибке, которое выводится при удалении клиентами файлов в папке My Documents, расположенной на системе NetWare, и обеспечивается корректное обновление каталога My Documents. Администраторы смешанной среды Windows 2000/NetWare по достоинству оценят исправления, которые устраняют нарушения прав доступа к принтерам CSNW, позволяют изменить стандартные параметры принтера GSNW и лучше управлять клиентами FPNW в AD. Благодаря исправлениям SP3 клиенты CSNW смогут использовать различные учетные записи для регистрации в Windows 2000 и NetWare и успешно изменять пароли NetWare, независимо от их длины.

Automatic Updates

Automatic Updates — единственный новый компонент системы, добавляемый SP3. Его непросто исключить из пакета, поэтому, если не приложить усилий, он будет составной частью каждой системы Windows 2000 SP3. Пользователи, регулярно посещающие Web-узел Microsoft Windows Update, чтобы обновить свои машины, по достоинству оценят автоматическую процедуру выполнения этой задачи.

SP3 устанавливает две новые службы модернизации — Automatic Updates и Background Intelligent Transfer Service (BITS) — и утилиту Automatic Updates в панели управления. Активная служба Automatic Updates проверяет наличие важных исправлений через отрезки времени случайной продолжительности, но не менее чем через 22 ч; служба BITS загружает важнейшие исправления с выбранного сервера исправлений. Работу Automatic Updates можно настроить локально с помощью утилиты Automatic Updates или групповых политик Windows 2000. Чтобы воспользоваться любым из этих методов, необходимо зарегистрироваться с учетной записью Administrator. При настройке процедуры обновления с помощью групповых политик можно перенаправить клиента с Web-узла Microsoft Windows Update на внутренний сервер Software Update Services (SUS). Использование SUS-сервера дает возможность выбрать, протестировать и проверить программы коррекции перед тем, как развертывать их на всем предприятии. Программу SUS-сервера и соответствующие официальные документы можно загрузить по адресу: http://www.microsoft.com/windows2000/ windowsupdate/sus/default.asp. В документации SP3 ошибочно утверждается, что по умолчанию компоненты Automatic Updates отключены. Эти компоненты активизированы не в шаблоне Group Policy Windows Update, а локально в утилите Automatic Updates.

Другие важные изменения и инструменты

В SP3 имеются полезные дополнения к некоторым компонентам Windows 2000. Наиболее важные среди них следующие.

  • License Manager более не назначает постоянные лицензии учетной записи computer (machinename$), если система подключается к SYSVOL для загрузки политики или к серверу обновлений. Благодаря исключению ложных лицензий база данных будет содержать более точную информацию о числе пользователей. Возможно, перед модернизацией полезно очистить базу данных, чтобы начать работу с SP3 "с чистого листа".

Для этого можно вручную удалить старые учетные записи computer и user или удалить три файла базы данных License Manager на всех DC. Рекомендации по очистке базы данных на всех компьютерах сети приведены в статье Microsoft «How to Reset License Manager Information» (Q153140, http://support.microsoft.com).

  • NT Backup более не фрагментирует диск при восстановлении всего тома.
  • Crashdump работает на машинах с памятью более 4 Гбайт.
  • Пользователь VPN должен пройти аутентификацию перед тем, как менять пароль.
  • Многофункциональные принтеры Hewlett-Packard (HP) более не используют 100% ресурсов процессора при спулинге в файл печати.
  • В AD применяется метод срочной репликации для немедленного "проталкивания" событий разблокирования учетных записей и изменений пароля на главный контроллер домена (PDC) и другие DC сайта. В SP3 служба AD не инициирует срочную репликацию при блокировании учетной записи. Чтобы немедленно сообщить о блокировании учетной записи другим DC сайта, необходимо изменить пароль блокируемой учетной записи.
  • DC, на котором восстанавливается AD, корректно проводит репликацию с партнерами.
  • Устранены многочисленные отказы службы Local Security Authority Server (LSASS), которые случались при использовании Dcpromo для изменения статуса DC.
  • Инструменты поддержки и развертывания. Вместе с SP3 компания Microsoft выпустила два сопутствующих пакета: Windows 2000 SP3 Support Tools и Windows 2000 SP3 Deployment Tools. Их можно найти на компакт-диске с SP3 или загрузить из Internet. Пакет модернизации Support Tools содержит 19 Мбайт изменений для утилит в каталоге support ools на компакт-диске Windows 2000. Чтобы установить исправления для Support Tools с компакт-диска SP3, следует дважды щелкнуть на файле support oolssetup.exe. Для установки исправлений из загружаемого файла Support Tools нужно дважды щелкнуть на этом файле. Среди сопутствующих документов - файл sreadme.doc, в котором содержатся инструкции по установке обновлений Support Tools на большое количество машин с помощью пакета Windows Installer 2000rkst.msi, и новый файл Error and Event Messages Help с сообщениями об ошибках и событиях, индексированных по идентификационным номерам.

Пакет обновлений для Deployment Tools содержит усовершенствованную версию утилиты Sysprep (sysprep.exe) из набора ресурсов Microsoft Windows 2000 Server Resource Kit. В настоящее время Sysprep корректно работает с пакетом Microsoft Server Appliance Kit, больше не генерирует двойных имен компьютеров и правильно выбирает разделы реестра для записи информации об OEM-устройствах.

Проведение модернизации

Прежде чем установить SP3, необходимо создать резервные копии системного диска, состояния системы и диска аварийного восстановления (Emergency Repair Disk, ERD). При обновлении ERD следует помнить, что NT Backup перезаписывает файлы в каталоге winnt epair. Чтобы заархивировать экземпляр системы перед обновлением ERD, достаточно просто скопировать файлы в каталог winnt epair в другом месте.

Следует помнить о четырех условиях успешной модернизации: необходимо выявить и заменить предыдущие исправления, конфликтующие с официальным каталогом SP3, идентифицировать соответствующие программы коррекции системы безопасности, обновить Microsoft Internet Explorer (IE) и составить план проведения процедур для Automatic Updates. Эти шаги описаны во врезке «Windows 2000 SP3: четыре условия успешной модернизации».

Существует четыре способа модернизации системы с любой предыдущей версией Windows 2000: локальная установка, сетевая установка, с помощью пакета Microsoft Systems Management Server (SMS) и ориентированного на конкретный компьютер пакета для установки, составленного с использованием файла Windows Installer update.msi и групповой политики. В руководстве Microsoft Windows 2000 Service Pack 3 Installation and Deployment Guide содержатся рекомендации по использованию каждого из этих четырех методов. Чтобы инсталлировать Windows 2000 SP3 на новой системе или модернизировать машину Windows NT, можно одновременно установить операционную систему и пакет обновлений или выполнить комбинированную процедуру. SP3 несовместим со старыми машинами Windows 9x — на них необходимо сначала установить Windows 2000, а потом уже SP3.

При локальной установке всегда требуется больше дискового пространства, чем при сетевом методе, так как утилита Setup восстанавливает и копирует 1670 файлов пакета обновлений во временный локальный каталог. При локальной установке с использованием компакт-диска SP3 или загружаемого файла w2ksp3.exe свободное пространство на локальной машине должно составлять не менее 410 Мбайт для Windows 2000 Professional и 550 Мбайт для Windows 2000 Server. При сетевой установке требуется 240 Мбайт свободного пространства для Windows 2000 Pro и 335 Мбайт для Windows 2000 Server. После удаления временных файлов по окончании установки на всех платформах освобождается 45 Мбайт дискового пространства.

Файл w2ksp3.exe можно запустить из командной строки или двойным щелчком (локально или с сетевого диска) в Windows Explorer. При запуске файла из Windows Explorer необходимо закрыть Explorer до окончания процедуры модернизации, чтобы избежать ошибки при замене программой установки одного из файлов Windows Explorer (mshtml.dll).

Чтобы уменьшить требования к свободному пространству на локальном диске во время установки, можно распаковать загружаемый файл, предоставить общий доступ к верхнему уровню распакованного каталога и запустить процедуру установки с помощью утилиты Update (update.exe) SP3. Распаковать пакет обновлений из командной строки можно следующим образом:

w2ksp3.exe /x

В ответ на запрос следует ввести путь к локальному или сетевому каталогу установки. Если введен путь C:sp3, процедура извлечения создает каталог C:sp3i386 и копирует все стандартные файлы и каталоги операционной системы в папку C:sp3i386. Чтобы вывести на экран параметры командной строки update.exe по окончании извлечения файлов, необходимо набрать:

i386updateupdate /?

Для получения списка исправлений следует использовать параметр /l, для автоматической установки — параметр /u. Параметр /z отменяет перезагрузку, позволяя задействовать дополнительные программы коррекции до перезапуска. Параметр /s:installation directory обеспечивает одновременную установку операционной системы и исправлений.

Если начать процедуру модернизации двойным щелчком или запустить w2ksp3.exe (без предварительной распаковки пакета обновлений), то программа Installer извлекает файлы пакета, записывает их во временный каталог и запускает update.exe из временного каталога. Затем Installer проводит инвентаризацию системных файлов и идентифицирует файлы, которые нуждаются в обновлении. В процессе инвентаризации Installer выводит на экран лицензионное соглашение End User License Agreement (EULA) и предлагает создать каталог обновляемых файлов. Данный этап — последняя возможность отменить процедуру установки. Затем Installer создает каталог $NTServicePackUninstall$ и копирует в него все файлы, подлежащие модернизации. Следующим действием Installer заменяет системные файлы файлами из пакета обновлений. Если файлы блокированы (т. е. в данный момент используются), то Installer дает новому файлу временное имя и вносит его в журнал для последующего переименования. Эти файлы заменяются во время перезагрузки. Installer разбирает соответствующие .inf-файлы, чтобы обновить информацию реестра, и выполняет несколько программ с помощью rundll32.exe (метод запуска программ в процессе модернизации операционной системы). Эти программы регистрируют утилиты Java, применяют шаблон безопасности пакета обновлений, удаляют счетчики Performance Monitor и выполняют другие операции по очистке. После завершения работы программ Installer удаляет все временные файлы и инициирует перезапуск системы. Процедура переименования файлов завершается после перезагрузки компьютера.

Программа SP3 Setup протоколирует все эти действия в файле %systemroot%svcpack.log. После успешного завершения модернизации в первой части журнала содержатся ссылки на старую и новую информацию в реестре. Если использовался стандартный режим создания каталога обновленных файлов, то второй раздел журнала содержит сведения о создании Installer этого каталога, а в следующих нескольких строках приведено ориентировочное время, необходимое для создания и заполнения каталогов системы (в том числе каталога обновленных файлов). Затем в журнале документируются программа удаления и копирование файлов в различные папки корневого каталога системы. В строках журнала, начинающихся со слов Starting Process, документируются завершающие этапы, в ходе которых программа Setup отмечает некоторые .dll-файлы, заменяемые при следующей перезагрузке, и выполняет несколько вспомогательных программ.

Если попытка установить на машине SP3 заканчивается неудачей, то можно выяснить причину неполадок, сравнив файл журнала системы (%systemroot%svcpack.log) с файлом журнала успешной модернизации.

Своевременное напоминание

Пакет SP3 после изменения конфигурации системы переустанавливать не требуется. Если на машине есть действительный каталог SP3, то механизм Windows File Protection (WFP) не позволит приложениям, использующим Windows Installer, заменить текущие файлы более старыми версиями. Однако если компоненты Windows были удалены, а затем повторно установлены, то необходимо переустановить все обновления для этих компонентов.

При подготовке данной статьи я обнаружила более 100 сообщений об ошибках, выявленных после выхода SP3. Примеры этих ошибок можно найти по адресу: http://support.microsoft.com/default.aspx?scid=fh;en-us;kbhowto. Следует выбрать пункт Windows 2000 из раскрывающегося списка Select a Microsoft Product, а затем ввести строку kbwin2000presp4fix в текстовое окно Search for. Я употребляю слово «примеры», так как Microsoft пока не опубликовала исчерпывающий список, состоящий исключительно из ошибок, обнаруженных после выхода SP3. Я надеюсь, что ко времени публикации данной статьи он будет составлен.

Спустя месяц после появления SP3 окончательный вердикт о достоинствах пакета еще не вынесен. Если прибавить к нему исправления для IE, для ошибок, обнаруженных после выхода SP3, и программы коррекции системы безопасности, то общее число изменений программного кода составит около 1100. Есть множество убедительных доводов в пользу модернизации, но только после тщательной подготовки и проверки влияния столь серьезных изменений на рабочую среду.

Паула Шерик — редактор Windows & .NET Magazine и консультант по вопросам планирования, реализации и взаимодействия сетей. С ней можно связаться по адресу: paula@winnetmag.com.

Windows 2000 SP3: четыре условия успешной модернизации

Существует четыре фактора, которые могут помешать установке пакета исправлений. Для успешной модернизации требуется идентифицировать потенциальные конфликты с исправлениями, выпущенными после SP3, определить необходимые программы коррекции системы безопасности, обновить Microsoft Internet Explorer (IE) и задать расписание для Automatic Updates.

1. Идентификация конфликтов с исправлениями, выпущенными после SP3

Во-первых, нужно провести инвентаризацию модернизируемых систем, чтобы выявить все ранее установленные исправления, конфликтующие с SP3. За несколько месяцев до выпуска окончательной версии SP3 компания Microsoft предоставила отдельным потребителям 59 исправлений, не вошедших в этот пакет, а затем изменила окончательную сборку SP3. Таким образом, оригинальные исправления, выпущенные после SP3, содержат более ранние версии файлов, чем окончательный каталог SP3. Если попытаться установить оригинальную версию программы коррекции на действующей системе SP3, то конфликт версий файлов может привести к сбою в установке и неправильному функционированию исправлений. Как утверждают в Microsoft, конфликты возможны только с исправлениями, которые распространялись частным образом, но не с программами коррекции системы безопасности и исправлениями программного кода, полученными из Microsoft Download Center или с Web-узла Microsoft Windows Update. Для успешной работы операционной системы необходимо получить обновленные версии и установить их после перехода к SP3. «Конфликтующие» исправления описаны в следующих статьях Microsoft (их можно найти по адресу: http://support.microsoft.com):

  • "Some Windows 2000 Active Directory Hotfixes May Cause a Conflict with SP3 for Windows 2000" (Q326797);
  • "Some Windows 2000 SMB Redirector Hotfixes May Cause a Conflict with SP3 for Windows 2000" (Q326798);
  • "Some Shell Hotfixes May Cause a Conflict with SP3 for Windows 2000" (Q326799);
  • "Some Windows 2000 Kernel Hotfixes May Cause a Conflict with SP3 for Windows 2000: 1 of 2" (Q326935);
  • "Some Windows 2000 Kernel Hotfixes May Cause a Conflict with SP3 for Windows 2000: 2 of 2" (Q326800);
  • "Some Windows 2000 Spooler Hotfixes May Cause a Conflict with SP3 for Windows 2000" (Q326801);
  • "Some Windows 2000 Network Shell Hotfixes May Cause a Conflict with SP3 for Windows 2000" (Q326802);
  • "Some Windows 2000 OLE Hotfixes May Cause a Conflict with SP3 for Windows 2000" (Q326803);
  • "Some Windows 2000 Internet Information Services Hotfixes May Cause a Conflict with SP3 for Windows 2000" (Q326804).

Провести инвентаризацию установленных исправлений можно с помощью вошедшей в состав SP3 версии программы hotfix.exe, Hfnetchk или Microsoft Baseline Security Analyzer (MBSA). Однако эти утилиты обнаруживают лишь исправления, установленные с использованием программы hotfix.exe, но не поправки в программном коде, внесенные с помощью Microsoft Internet Publishing Provider (MSDAIPP). MSDAIPP не записывает информацию об изменениях в разделе реестра, проверяемом программой hotfix.exe.

Версия update.exe, вошедшая в состав SP3, составляет список исправлений, установленных на локальной системе. Чтобы увидеть окно, подобное показанному на Экране A, следует распаковать SP3, открыть командную строку и ввести

i386updateupdate -l

Чтобы получить список исправлений с помощью hotfix.exe, следует разархивировать файлы, составляющие любую недавно установленную программу коррекции: например, заменить длинное имя загруженного исправления коротким, таким, как Qnnnnnn, а затем открыть командную строку и ввести

Qnnnnnn/ /x

Затем ввести

hotfix -l

Hfnetchk (http://www.microsoft.com/downloads/release.asp? releaseid= 31154&area=featured&ordinal=2) и MBSA http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ security/tools/tools/mbsahome.asp) — лучшие инструменты аудита установленных исправлений на удаленных машинах. С помощью развитого интерфейса командной строки Hfnetchk можно выбирать компьютеры по имени домена, имени компьютера или адресу TCP/IP. Hfnetchk сохраняет отчет о проверке в постоянном текстовом файле. Мне нравится графический интерфейс и функции именования и архивирования отчетов MBSA. Программа MBSA располагает специализированной версией Hfnetchk и обеспечивает те же возможности дистанционного аудита и сохраняет результаты в HTML-файле. Имея фиксированные записи, нетрудно сравнить снимки состояния системы до и после операции. Это полезный инструмент для контроля процедуры и оценки результатов конфигурирования.

2. Идентификация необходимых исправлений системы безопасности

В SP3 входит 35 исправлений в области безопасности, некоторые из них датированы еще 2000 г. Список этих исправлений приведен по адресу: http://www.microsoft.com/technet/treeview/default.asp?url=/ technet/security/news/w2ksp3.asp. Исправления в SP3 представляют собой лишь подмножество исправлений, опубликованных Microsoft перед выпуском SP3. В частности, SP3 не устанавливает 16 исправлений, опубликованных в 2002 г., и все исправления системы безопасности, появившиеся после MS02-029 (опубликовано 2 июля 2002 г.). При подготовке к модернизации следует сравнить все исправления в этом списке, а также все исправления, опубликованные после 2 июля 2002 г., с исправлениями, уже установленными на обновляемой машине. Затем можно добавить недостающие исправления в комбинированный каталог или составить сценарий, чтобы применить их после установки SP3. В руководстве Microsoft Windows 2000 Hotfix Installation and Deployment Guide описано несколько способов установки сразу нескольких исправлений при единственной перезагрузке.

3. Модернизация IE

Windows 2000 SP3 позволяет «спрятать» IE, Microsoft Outlook и Outlook Express, но, чтобы сделать это без ошибок, необходима новейшая версия файла mshtml.dll браузера IE. Если попытаться скрыть эти приложения при установке SP3 на машине с IE 5.5 SP1 (или более ранней версии), то IE генерирует сообщение об ошибке доступа в модуле mshtml.dll. Чтобы избежать подобной ошибки, перед применением пакета SP3 следует заменить браузер на IE 6.0 или IE 5.5 SP2.

В результате соглашения Microsoft с министерством юстиции США по антимонопольному делу, компания более не поставляет исправления для IE вместе с пакетами обновлений. В состав Windows 2000 SP3 входят исправления для системы безопасности из IE 5.01 SP2, но отсутствуют исправления для IE 6.0 и IE 5.5. Список текущих исправлений для IE 6.0 приведен по адресу: http://www.microsoft.com/technet/security/current.asp? productid=119&servicepackid=0, аналогичный список для IE 5.5 можно найти по адресу: http://www.microsoft.com/technet/security/current.asp? productid=80&servicepackid=0.

4. Планирование Automatic Updates

Прежде чем развертывать Windows 2000 SP3, необходимо определить корпоративную политику для управления службой автоматического обновления. Следует решить, нужно ли активизировать эту функцию, и если да, то выбрать предпочтительный режим обновления для рабочих станций, серверов и контроллеров доменов (DC). В противном случае любой пользователь, имеющий право регистрироваться с учетной записью администратора, сможет локально настроить Automatic Updates — а едва ли полезно ежедневно запускать Windows Update на настольных компьютерах и серверах.