爲了保證單位局域網的安全運行,防止病毒、***利用Windows系統漏洞進行***和傳播,定期爲客戶機安裝最新的補丁修復程序。但隨着網絡規模的不斷擴大,客戶機數目俱增,靠一人之力無法完成全部客戶機的補丁安裝任務。雖然告訴同事們如何登錄微軟“Windows Update”網站,或使用Windows Update服務安裝最新的補丁程序,但大部分同事還是“門外漢”,經常碰到不能安裝補丁的問題。
單位局域網中有120臺左右的機器,通過硬件路由器接入互聯網,並且都是採用Windows2000或以上版本的操作系統,工作組運行環境。瞭解到此情況後,建議使用Microsoft Software Update Services(簡稱SUS),在局域網中部署一臺“SUS服務器”,爲客戶機提供補丁發放服務,這樣用戶就不再需要使用微軟的“Windows Update”服務了,通過局域網中的SUS服務器,就能完成Windows補丁安裝工作,並且安裝過程是全自動的,不需要用戶進行干預。
Software Update Services(SUS) 系統
提示:SUS分爲服務器端和客戶端,服務器端只推出英文版和日文版,能同時爲15,000個用戶提供升級服務;客戶端則支持包括中文版在內的24種語言版本。SUS server能爲 Windows 2000 +SP2及以上版本、 Windows XP 、Windows 2003系統提供升級服務,但不支持Windows 98和Windows NT系統。此外SUS不提供除操作系統以外的其它微軟產品的升級,如SQL Server、Exchange Server等。
一、準備工作
在安裝、配置SUS Server之前,首先爲它選擇合適的硬件和軟件平臺。推薦的硬件配置爲“700MHz主頻以上的CPU,512MB以上內存,6GB以上的剩餘硬盤空間”,SUS Server需要Windows 2000 Server+ SP2及以上版本、Windows Server 2003服務器操作系統支持,此外還要IIS 5/6服務器、IE 5.5瀏覽器以上版本的支持。
SUS Client對硬件平臺沒特殊要求,但採用的操作系統必須是Windows 2000 +SP2及以上版本/XP/2003,不支持Windows 98和Windows NT。
提示:對於客戶端爲Windows 2000 +SP2、Windows XP系統,則需要安裝SUS Client程序;而Windows 2000+ SP3、Windows XP +SP1(SP2) 及以上版本和Windows Server 2003,就不需要安裝SUS Client,該程序已包含在系統中。
二、SUS Server部署
1、服務器端平臺選擇
首先爲SUS Server選擇服務器平臺,因爲客戶機數目並不太多,所以服務器的硬件配置不需要太高。選擇局域網內的一臺浪潮服務器,它的硬件配置爲:P4 2.0G CPU,512MB ECC內存,40G SCSI硬盤,並且此服務器中安裝了Windows Server 2003操作系統,所有分區都採用了NTFS文件系統。
2、安裝IIS服務
Windows Server 2003默認是不安裝IIS服務的,但SUS Server需要IIS的支持才能正常運行,因此要手工安裝該服務。
在Win2003服務器中,點擊“開始→設置→控制面板”選項,運行“添加或刪除程序”,在彈出的窗口中切換到“添加/刪除Windows組件”頁。然後在“Windows組件嚮導”對話框中選中“應用程序服務器”選項,點擊下方的“詳細信息”按鈕,在彈出的對話框中選中“Internet信息服務(IIS)”組件,點擊“確定”按鈕。最後在“組件嚮導”對話框中一路點擊“下一步”,完成IIS組件的安裝。
提示:建議不要在SUS Server服務器中向用戶提供IIS服務,IIS的運行最好只是爲SUS Server提供服務。這是因爲安裝SUS Server時,同時會爲系統安裝IIS Lockdown Tool工具,它可能會導致其它用戶不能正常訪問IIS網站。
3、安裝、配置SUS Server
(1).安裝SUS Server
完成了IIS的安裝後,就開始安裝配置SUS Server了。下載SUS Server英文版進行安裝,過程非常簡單,建議選擇“典型”方式,接着一路“Next”後就完成安裝,最後彈出SUS Server配置管理頁面。
提示:安裝SUS Server和保存補丁文件的硬盤分區都必須是NTFS文件系統,否則就會出現錯誤提示,不能成功安裝。
(2).SUS Server參數配置
使用的是典型安裝方式,完成後SUS Server還不能提供補丁服務,需要進一步進行配置才行。
在Win2003服務器中,進入到“控制面板->管理工具”,運行“Microsoft Software Update Services”工具。接着在登錄對話框中輸入管理員帳號和密碼,點擊“確定”後,就登錄SUS服務器管理頁面。
提示:除了在本地管理配置SUS Server外,還可以對它進行遠程配置,在遠端客戶機中運行IE瀏覽器,在地址欄中輸入“http:// SUS Server的IP地址/SUSAdmin/”,回車後,輸入管理員帳號和密碼即可。
在SUS Server管理頁面左框點擊“Other Options”下的“Set Options”鏈接,接着在右框中就能對SUS Server參數進行配置了。
A、代理服務器配置
在“Select a proxy server configuration”中對SUS Server的代理服務器參數進行設置,如果SUS Server是直接或通過路由器接入互聯網,一定要選擇“Automatically detect proxy server settings”項,如果是通過代理服務器的話,要選擇“Use the following proxy server to access the Internet”項,並在輸入框中填上代理的IP地址和端口號。
B、指定服務器名
接着在“Specify the name your clients use to locate this update server”欄中爲SUS Server起一個好記的名稱,如機器名“TJRAO”,這樣客戶機就可以通過機器名來訪問SUS Server了。
提示:如果客戶機無法解析NetBIOS名字,這裏就要使用DNS名或IP地址來代替機器名了。
C、同步內容配置
在“Select which server to synchronize content from”中設置補丁內容的來源,因爲就部署這一臺SUS Server服務器,必須與微軟的補丁服務器同步,選擇“Synchronize directly from the Microsoft Windows Update servers”項。
提示:如果局域網中部署了多臺SUS Server,都和微軟補丁服務器同步未免浪費大量帶寬和時間,只需要其中一臺和微軟補丁服務器同步,其它的SUS Server和本地的此臺SUS Server同步即可。這時就要選中“Synchronize from a local Software Update Services server”項,在輸入框中填入目標SUS Server的機器名或者IP地址。
在“Select where you want to store updates”欄中設置保存補丁文件的方式,建議選擇“Save the updates to a local folder”項,這樣就可以只同步你需要語種的補丁,避免浪費,如只選擇同步“Chinese Simplified(簡體中文)”,其它參數使用默認值即可,最後點擊“Apply”按鈕。
(3).同步操作
完成SUS Server參數配置後,就可以進行同步工作,下載用戶需要的補丁文件。在管理頁面左框點擊“Synchronize server”項,接着點擊右框的“Synchronize Now”按鈕,開始同步工作。
提示:由於受到網絡帶寬和補丁文件大小的限制,同步工作需要一個漫長的過程。建議選擇自動同步,點擊“Synchronization Schedule” 按鈕,在配置對話框中選擇“Synchronize using this schedule”項,設置好同步的日期和時間,建議在凌晨進行同步工作。
(4).發佈操作
同步完成後,SUS Server默認並不立即爲用戶發佈補丁文件,當測試補丁沒有問題後,才進行手工發佈。在管理頁面左框點擊“Approve updates”按鈕,右框顯示下載的補丁文件。如果某些補丁測試正常,想進行發佈,選中補丁文件前的複選框,點擊“Approve”按鈕按鈕。
然後同意最終用戶許可協議後,完成這些補丁的發佈工作。這樣,就完成了SUS Server的配置。
三、SUS Client配置
以上完成了SUS Server的配置,現在還需要爲客戶機配置SUS Client,才能使用SUS Server提供的升級服務。由於管理的局域網是工作組環境,所以介紹針對工作組環境的SUS Client配置。
1、是否安裝SUS Client
客戶機是否要安裝SUS Client程序,取決於它採用了哪種操作系統和安裝的修復補丁,對於Windows 2000+ SP2和Windows XP的用戶,是必須安裝SUS Client的。而Windows 2000+ SP3、Windows XP +SP1及其以上版本 和Windows Server 2003的用戶則不需要安裝,因爲系統中已經內置了SUS Client。
2、合理配置SUS Client
A、添加模板
完成SUS Client安裝後,還需要對其進行配置。在客戶機上,點擊“開始→運行”,輸入“gpedit.msc”後回車,彈出組策略編輯器,依次展開“計算機配置→管理模板”,右鍵點擊“管理模板”後,選擇“添加/刪除模版”,在“添加/刪除模版”對話框中點擊“添加”。
找到“x:\windows\inf”目錄下的“wuau.adm”(x表示windows的系統盤,默認爲C),雙擊該文件,完成模板的添加。
B、配置組策略
接着依次展開“計算機配置→管理模板→Windows組件→Windows Update”,在右欄中雙擊“配置自動更新”策略,在屬性對話框中配置更新時間和處理方法,選擇“已啓用”選項,在“配置自動更新”下拉列框中選擇“4-自動下載並計劃安裝”,接着在下面的“計劃安裝日期”和“計劃安裝時間”中設置合適的日期和時間,最後點擊“確定”。
打開“指定企業內部互聯網Windows Update服務位置”策略,選擇“已啓用”,接着在輸入框中指定SUS服務器的位置,可以使用SUS Server機器名或IP地址,最後點擊“確定”。
接下來按照上面的方法爲局域網中每臺客戶機配置SUS Client。配置完成後,所有的客戶機就可以按照指定的設置,自動連接到SUS Server進行更新,並且所有的更新操作均在後臺自動進行的,不需要人爲干預。
提示:在工作組環境中,要手工爲每臺客戶機進行SUS Client配置,雖然麻煩些,但對於小型局域網來說還是可以接受的。如果你網絡規模較大,建議採用域環境,這樣就只需要在域控制器中進行域組策略配置即可,免去了配置客戶機的麻煩。