架設局域網內Update服務器

轉貼http://www.5dmail.net/html/2006-8-29/2006829125152.htm

Windows操作系統的安全問題越來越受到大家的關注，每隔一段時間微軟都要發佈修復系統漏洞的補丁，但很多用戶仍不能及時使用這些補丁修復系統，以致造成重大損失。
　　尤其是現在局域網的規模越來越大，對網絡管理員來說，手工為每台客戶機安裝補丁的工作量太大，且很難實現。而在局域網中架設升級服務器(Microsoft Software Update Services)就可以使客戶機定期自動執行升級操作了。
　　一、SUS介紹
　　Microsoft Software Update Services(簡稱SUS)由網絡管理員在局域網內部獨自構建，可將微軟的最新補丁發送給用戶。它分為服務器端和客戶端兩部分，可為1.5萬個用戶提供升級服務。
　　服務器端(SUS Server )只推出了英文版和日文版，而客戶端則支持24種語言版本，包括中文版。SUS Server能為 Windows 2000 +SP2及以上版本、Windows XP 、Windows 2003系統提供升級服務，但不支持Windows 98和Windows NT系統。
　　二、SUS服務對硬件和軟件平台的要求
　　在安裝SUS服務前，要根據局域網的用戶情況進行合理的規劃，為SUS選擇合適的硬件和軟件平台。
　　1.服務器端
　　對於服務器端來說，微軟推薦服務器的硬件配置為「700MHz主頻以上的CPU，512MB以上內存，6GB以上的硬盤空間」。如果局域網內升級的用戶數量較少，也可以適當降低硬件配置要求。
　　SUS Server的軟件平台要求為Windows 2000 Server+SP2及以上版本的操作系統或Windows Server 2003，同時需要IIS 5、IE 5.5及以上版本的支持。
　　2.客戶端
　　客戶端對硬件配置沒有什麼特殊要求，軟件平台只要是Windows 2000+SP2及以上版本(Windows XP/2003)即可，不支持Windows 98和Windows NT。
　　另外，對於Windows 2000+SP2和Windows XP系統，首先需要安裝SUS的客戶端程序;而對於Windows 2000+SP3及以上版本、Windows XP+SP1及以上版本和Windows Server 2003，就不需要安裝客戶端，直接就可以在組策略中進行設置。
　　網絡管理員可以根據用戶的需要，合理地為SUS選擇軟硬件平台。三、服務器平台的選擇
　　筆者所管理的局域網內的計算機數量不超過70台，屬於小型局域網，採用工作組形式。筆者選用了局域網內的一台DELL服務器來部署SUS服務，並且安裝了Windows Server 2003操作系統，所有分區都採用NTFS格式。
　　提示:建議大家不要在WWW服務器上安裝SUS Server。在安裝SUS Server的同時還會安裝IIS Lockdown Tool，這是一個提高IIS安全性的軟件，但它可能會導致其他IIS服務工作不正常，建議不要安裝。
　　四、服務器端配置
　　首先下載SUS服務器端軟件，然後直接執行，安裝過程中選擇安裝英文版本，其他參數使用默認設置即可。
　　注意:SUS服務器的系統盤和保存SUS補丁文件的硬盤分區都必須是NTFS文件系統，否則就不能成功安裝。該軟件的下載地址為:http://www.microsoft.com/downloads/details.aspx﹖FamilyId=A7A A96E4-6E41-4F54-972C-AE66A4E4BF6 C&displaylang=en。
　　1.SUS服務器基本參數設置
　　設置SUS服務器參數有兩種方法，即本地設置和遠程設置，設置時需要有管理員權限。對於本地設置方法，點擊「控制面板→管理工具」，運行「Microsoft Software Update Services」即可。而遠程設置則需要在遠端計算機上打開IE瀏覽器，在地址欄中輸入「http://192.168.0.10/SUSAdmin/」，其中「192.168.0.10」為該SUS服務器的IP地址，接著輸入管理員用戶名和密碼就可登錄SUS服務器管理窗口。
　　在管理窗口左欄中點擊「Other Options」菜單下的「Set Options」選項，就可以對SUS服務器的基本參數進行設置。
　　①在「Select a proxy server configuration」中對防火牆參數進行設置，建議使用默認設置「Automatically detect proxy server settings」，當然也可以根據局域網的情況自定義設置，在「Use the following proxy server to access the Internet」輸入框中填上防火牆的IP地址和端口號。
　　接著在中間的「Specify the name your clients use to locate this update server」欄中為SUS服務器取一個好記的名稱，如「TJRAO」，這樣客戶端計算機就可以通過SUS服務器來訪問升級服務器了。
　　在「Select which server to synchronize content from」欄設置同步補丁內容的來源。如果你打算與微軟的升級服務器同步，就選擇「Synchronize directly from the Microsoft Windows Update servers」。如果你想和網絡中的其他SUS服務器同步，可選擇「Synchronize from a local Software Update Services server」，然後在輸入框中填寫目標SUS服務器的名稱或者IP地址。
　　②在「Select how you want to handle new versions of previously approved updates」中對補丁程序的發佈進行設置，建議大家選擇「Do not automatically approve new versions of approved updates......」。管理員對補丁程序進行測試後，再手工發佈給局域網用戶，這就避免了某些補丁程序會與用戶使用的程序發生衝突的問題。
　　「Select where you want to store updates」選項用來設置保存補丁程序的方式，建議你在這裡選擇「Save the updates to a local folder」，這樣就可以只下載你需要的補丁。
　　最後，點擊「Apply」保存參數設置。
　　2.SUS服務器的同步
　　完成SUS服務器的參數設置後，就可以進行服務器的同步工作了。在管理窗口中先點擊「Synchronize server」，再點擊右欄的「Synchronize Now」按鈕就可開始同步工作。但由於受到網絡速度的限制，這一過程需要花費很多時間。
　　建議大家選擇自動同步，點擊「Synchronization Schedule」按鈕，在彈出的對話框中選擇「Synchronize using this schedule」，然後設置同步的日期和時間，建議大家在每天凌晨進行同步.