A Windows Firewall beállítása a telepítés előtt/után
Csoportházirend
Talán ez a legkényelmesebb megoldás, hiszen tartományi környezetben központi helyről, egyszerűen és teljeskörűen, ám minimális munkával szabályozhatjuk a tűzfal beállításokat (is). Az új tűzfalra vonatkozó részt a Computer Configuration / Administrative Templates / Network / Network Connections szakaszban találjuk meg. Kétféle módon is frissülhet a Csoportházirendünk az SP2 új beállításait tartalmazó sablonokkal (természetesen nemcsak a tűzfal sablonokra vonatkoznak ezek a módszerek, az SP2 rengeteg újítása miatt, a Csoportházirend alaposan kibővült): 1.; egy, már az SP2-vel működő tartományi kliensről az mmc.exe-vel megnyitjuk az adott GPO-t, 2.; a Csoportházirendben kézzel beimportáljuk az új system.adm (1703 KB a korábbi legfrissebb w2k3-as 1474 KB-al szemben) mellett inetres.adm, a wmplayer.adm illetve wuau.adm sablon állományokat. Csak a pontosság kedvéért: automatikusan csak azokba a GPO-kba kerülnek be az új sablonok, amit megnyitunk (tehát ha egy GPO-ba bekerült, az meg nem jelenti azt, hogy azonnal a többi is frissülni fog).
Fontos felhívni a figyelmet arra a körülményre, hogy az új sablonok kicsit más szerkezetűek, azaz nem teljesen kompatibilisek a jelenlegi GPO szerkesztőkkel. Ennek az a következménye, hogy alapból csak az XP SP2-es kliensekről tudjuk hiba nélkül a Csoportházirendet konfigurálni. Ha pl. Windows 2000/2003 alatt próbáljuk megnyitni valamelyik GPO-t, akkor a következő (többszörös) hibaüzenettel szembesülünk:
"The following entry in the [strings] section is too long and has been truncated."
A probléma a Microsoft előtt is ismert és az SP2 kiadása után rögvest meg is voltak a javítások, amelyeket a következő helyekről le is tölthetünk, Windows 2000 és Windows 2003 Server-hez egyaránt.
Segítség a migráláshoz, inkompatibiltás
A Microsoft kiadott egy részletes, több mint 100 oldalas, angol nyelvű migrációs útmutatót azon rendszergazdák számára, akik át szeretnének térni a Windows XP Service Pack 2-es verziójára. Számos rémhír és dezinformáció keringett és kering ma is az interneten (nem kevés - akár más területen egyébként magas színvonalú - magyar weboldalon is) az SP2-ről, ezért célszerű volt egy részletes és hiteles leírás kiadása. Sokan attól tartanak, hogy az SP2 új biztonsági megoldásai és restrikciói miatt jónéhány eddig használt szoftver nem fog korrekt módon működni, az "Application Compatibility Testing and Mitigation Guide for Windows XP Service Pack 2" című dokumentumban viszont megtaláljuk, hogyan lehet kompatibilitási teszteket végezni, és az esetlegesen felmerülő hibákat elhárítani. Ezen kívül két lehetséges telepítési útmutatót is tartalmaz nagyvállalati rendszerek számára, valamint rengeteg példa szkriptet (Outlook, WF, DCOM, IE, RPC kategóriában) amelyekkel enyhíthetjük az SP2 által okozott "sebeket". A Microsoft persze tisztában van bizonyos inkompatibilitási esetekkel, ez a KB cikk a tűzfallal kapcsolatos esetleges problémákat és a hibakeresést vázolja. Az itt található KB cikkben pedig egy lista található azokról az alkalmazásokról, amelyekkel gond lehet. Hasznos lehet ez a gyűjtemény is, amelyet egy MVP kolléga állított össze és jelentős mennyiségű SP2-vel kapcsolatos KB cikket és egyéb forrást tartalmaz.
Hogyan ne telepítsük?
Gondolom kicsit meglepő ez a kérdés, épp ebben a rovatban, de azért életszerű. A Microsoft szerint előfordulhat olyan eset, amikor a szükséges, ám esetenként kellemetlen megszorítások és új funkciók miatt (pl. vállalati szinten), alaposan fel kell készülni az SP2 bevezetésére. Előfordulhat viszont, hogy a kliensek a Windows Update weboldalon keresztül, vagy az Automatic Update kliens segítségével nemkívánatos módon mégis letöltik és telepítik a szervizcsomagot. Ezt elkerülendő a Microsoft publikált három megoldást, amelyekkel 120 napig (augusztus 16-tól kezdve) lehetséges késleltetni az SP2 alkalmazását. Az egyik módszer megintcsak egy tartományban "élő" megoldás, a Csoportházirendhez kiadtak egy új ADM sablont, amely blokkolja a WU/AU módszerrel végzett telepítést a Windows XP RTM és SP1-es változatán. A következő helyre kerül a Csoportházirendben:
Computer Configuration / Administrative Templates / Windows Components / Windows Update
A szokásos módon lehetséges beimportálni, majd részletesen konfigurálni az egyetlen új opciót. Amennyiben nem lehetséges a Csoportházirend segítségével kezelni a kliens gépeket, akkor használhatjuk a Microsoft által digitális aláírással ellátott futtatható állományt (XPSP2Blocker.exe). Az alkalmazás amelyet a /B kapcsolóval állítunk tiltó üzemmódra, gyakorlatilag egy registry bejegyzést (DoNotAllowXPSP2) kreál a lent kiemelt helyre, amelynek az értékét 1-re állítja (az /U kapcsoló hatására pedig törli a bejegyzést).
HKLMSoftwarePoliciesMicrosoftWindowsWindowsUpdate
Rendelkezésünkre áll még egy szkript is, amely gyakorlatilag ugyanezt teszi meg, de rugalmasabban paraméterezhető. Az ezekhez a módszerekhez való kellékek egy adagban, az ún. "Toolkit to Temporarily Block Delivery of Windows XP SP2 to a PC Through Automatic Updates and Windows" csomagban találhatóak meg, amely innen letölthető. Természetesen az interaktív vagy a SUS/SMS/GP által végzett telepítésre ezeknek az eszközöknek a használata nincs befolyással.