原始链接 搭建局域网内部SUS服务 微软安全补丁自动打 李晖 伴随“冲击波”病毒的出现，微软升级网站的知名度迅速攀升。每当微软有新补丁发布时，网民们蜂拥而至，抱怨登不上去者大有人在。而此刻最辛苦的还要算局域网的网管员。他除了要争取在第一时间为自己管辖的所有服务器升级外，还要为客户端下载适用于多种平台、多种语言环境的补丁包，之后还要检验这些补丁包是否都升级到位。往往一个补丁还未处理完毕，另一补丁又来了。人们不禁要问，微软首倡的“零管理”哪里去了？其实微软已前期推出了SUS（Software Update Services）服务，以此来兑现它的“零管理”。 SUS服务的工作流程 在局域网内部搭建SUS服务器——定期有选择地与微软升级网站做内容同步——重新定向内网客户端的升级URL，使之从微软升级网站转到内部SUS服务器上来——利用组策略自动安装SUS客户端程序——同时定制客户端的升级方式和升级时间表。 SUS服务的安装与配置 SUS服务器的安装 　　SUS服务器的硬件最低配置：Pentium III 700，512M内存，6G硬盘空间； 　　软件最低配置：Windows 2000 Server，SP2，IIS 5.0，IE5.5，NTFS分区，最好是一台域控制器（DC）。 SUS客户端的软件配置为Windows 2000/XP。客户端的安装见后文“组策略配置”。 SUS服务器安装程序包（Sus10sp1.EXE）和客户端安装程序包（wuau22chs.msi）的下载链接如下： http://go.microsoft.com/fwlink/?LinkId=6930 SUS服务器的安装很简单，选择典型安装几乎无需用户干预。如果您的缺省分区不够大，最好还是选择定制安装，重新指定其它分区，因为仅下载中英文版的补丁就要占用1G的硬盘空间。 SUS服务器的配置 安装结束后自动进入配置界面，见图1。 图1 先点击Set options进入设置选项，见图2、图3。 图2 图3 除了在第二项栏中填入本地SUS服务器IP地址、在第五项只选Chinese Simplified和English外，其它均可保留缺省设置。点击Apply确定。 接下来的工作是点击Synchronize server与微软升级网站做内容同步。这个过程时间很长，有1G左右的内容要下载。之前最好先设置日后的同步时间表。 内容同步完成后的第三项设置是点击Approve updates，将已下载的内容有选择地提供给内网用户。 SUS服务器的配置工作到此结束，日后要修改配置时，只需在浏览器地址栏中输入http://ServerName/SUSAdmin/即可。如果是远程管理，需要管理员口令。 组策略配置 组策略配置有两项内容：（1）定制客户端的升级方式和升级时间表；（2）自动安装客户端程序。 （1）定制客户端的升级方式和升级时间表 点击开始——程序——管理工具——Active Directory用户和计算机——右击组织单元（OU），可以是域，也可以是组——选择属性——选择组策略——点击新建——为该策略取名“SUS”——点击编辑——在新界面中右击计算机配置下的管理模板——选择添加/删除模板——点添加——浏览至WINNT\INF目录下，选择WUAU.adm文件后点打开——点关闭。上述步骤的细节见图4。 图4 展开图4界面中的管理模板——Windows Components——Windows update——双击Configure Automatic Updates——出现图5界面。 图5 按图5的参数配置后，点下一策略，出现图6界面。 图6 填入本地SUS服务器IP地址后点确定。 （2）自动安装客户端程序 将从微软网站下载来的中文版客户端程序包wuau22chs.msi复制到SUS服务器的NETLOGON共享目录下（其实际路径在WINNT\SYSVOL\sysvol\DomainName\scripts下）。 点击开始——程序——管理工具——Active Directory用户和计算机，右击刚刚配置过的组织单元（OU）——选择属性——选择组策略——选择SUS后点编辑——在新界面中展开计算机配置——软件设置——右击软件安装——选择新建——选择程序包——在文件名栏中填入\\ServerName\NETLOGON\WUAU22CHS.msi——打开——选择已指派——确定。 必要的检验手段 一项服务搭建成功后，管理员势必要检验其效果，但SUS目前的版本未提供直观的管理界面。必须通过特殊手段从服务器和和客户端进行双向检验。 服务器端的检验手段是添加wutrack.bin日志： 开始——程序——管理工具——Internet服务管理器——点击Web站点——右击左栏中的wutrack.bin——选择属性——选中日志访问——确定。该日志文件存放在WINNT\SYSTEM32\LogFiles目录下，文件中相关记录的格式为： /wutrack.bin?U=&C=&A=&I=&D=&P=&L=&S=&E=&M=&X= 如何解读，请参见SUS白皮书《Deploying Microsoft Software Update Services》，第83页。 客户端的检验手段是查看注册表的HKEY_LOCAL_MACHINE\Software\Policies \Microsoft\Windows\WindowsUpdate项和Winnt/Windows目录下的Windows Update.log文件。 最后需要说明两点：（1）SUS服务只提供关键性更新；（2）Windows 9.x系列不在SUS的管理范围内。