Windows Server Update Services 2.0更新及使用教程1

大部分对计算机比较熟悉的朋友都知道,通常安装好Windows 操作系统后要做的第一件事就是上Windows Update网站去给Windows 安装补丁程序,否则各种漏洞对系统就是一个很大的威胁。不过遗憾的是很多人还没有这样的意识,疏忽了给系统打补丁。这也间接造成了病毒的横行,例如去年的“蠕虫王”和前几天的“冲击波”,这两个病毒都是利用了微软软件的漏洞编写和传播的,遗憾的是在这些病毒广泛流传之前,相应软件的补丁程序早就已经由微软发布出来并提供了免费下载,只要用户能经常性地访问Windows Update网站打补丁,就不会感染这些病毒,可是很多人都疏忽了这一点。好在经过这两次教训,更多的人知道“打补丁”的重要性,可是问题又来了。

微软的升级服务器都架设在国外,有时候由于网络的原因造成了国内用户连接服务器的速度非常慢,这些时候光下载补丁就要一个多小时的时间,效率非常低。另一方面,对于有上百台电脑的企业,每台电脑都连接到微软的服务器去下载上百兆字节的补丁程序,这对企业的网络带宽也是一个不小的负担,况且由于大家都到微软的服务器下载补丁,管理员就无法对补丁程序的内容进行控制,如果某个补丁正好跟企业内部广泛使用的某个软件有冲突的话,还可能造成更大的麻烦。现在,问题解决了,那就是使用微软的SUS(Software Update Service,软件更新服务)服务。

而SUS的后续版本Windows Server Update Services(下文统一简称为WSUS)又将带来什么新功能呢?

我们来进入文章的第一部分强大的更新服务器WSUS

虽然美国微软已经把软件名更名为Windows Server Update Services 2.0(WSUS)但是微软中国还叫Software Update Services 2.0(SUS)其实是一个软件。

我们来看下微软中国的关于Software Update Services 2.0的说明吧

简介
即将发布的 Software Update Services (SUS) 2.0 致力于帮助用户对基于 Microsoft® Windows® 2000 和 Windows Server™ 2003 的服务器以及运行 Microsoft® Windows® 2000 Professional 或 Windows® XP Professional 的台式机快速部署最新的重要更新和安全更新。

通过使用计划发布的 SUS 2.0,信息技术 (IT) 管理员可以完全控制管理通过 Windows Update 发布给网络中的计算机的更新的分发。

SUS 2.0 解决方案提供包括下列组件的管理体系结构:

• Windows Update - 包括所有基于产品和更新类型的可用 Microsoft 更新的 Microsoft 网站。
 
• 服务器组件 - Microsoft 软件更新服务,称为 SUS 2.0 服务器,用于安装在公司防火墙内运行 Windows 2000 Server 或 Windows Server 2003 家族操作系统的计算机上。服务器组件提供通过基于 Web 的工具管理和分发更新的管理功能,管理员可以访问公司网络中的任何 Windows 计算机。
 
• 客户端组件 - 自动更新(Automatic Updates),即客户端组件,在接收 Microsoft 产品更新的计算机上运行。本组件可以将服务器和客户端计算机直接连接至 Windows Update 或连接至接收更新的运行 SUS 2.0 的服务器上。自动更新组件计划纳入 Windows 2000 Service Pack 4 (SP4) 和更高版本、Windows XP 和更高版本以及 Windows Server 2003 中。
 

 
SUS 2.0 中计划包含的功能
SUS 2.0 构建在 SUS 1.0 的功能之上,目前计划提供下列功能:

• 扩展对包括 Office、SQL Server、Exchange 和硬件驱动程序在内的 Microsoft 产品的支持
 
• 扩展对附加更新类别的支持
 
• 提供使用 Windows 客户端或服务器计算机支持的任何语言的计算机部署更新的能力
 
• 自动排列优先级和下载重要更新
 
• 通过后台智能传输服务 (BITS) 技术提高带宽效率
 
• 提供对特定计算机组进行更新的能力
 
• 提供管理员选择和决定自动下载特定类型更新的计划的能力
 
• 改进了报告能力,使管理员能够监视更新部署状态和服务器的正常运转
 
• 扩展了通过应用程序编程接口 (API) 和脚本管理客户端和服务器组件的能力
 
• SQL Server 引擎用作 SUS 2.0 数据知识库
 
• 方便地从 SUS 1.0 迁移到 SUS 2.0
 

要求
计划的 SUS 2.0 要求如下:

服务器
• Windows 2000 Server SP4 或更高版本或 Windows Server 2003
 
• Microsoft Internet Information Services (IIS) 5.0 或更高版本、Microsoft Internet Explorer 6.0
 

客户端
• Windows 2000 Service Pack 3 (SP3) 或更高版本、Windows XP 和 Windows Server 2003
 

 
功能一览
SUS 2.0 目前计划提供下列功能。

客户端功能
自动更新使 Windows 能够自动下载和安装 Microsoft 产品的更新。下表中列出的是计划的客户端组件的主要功能。

SUS 2.0 计划的客户端功能

功能 说明
内置安全
 内容:
SUS 2.0 客户端将只信任由 Microsoft 签名的特定内容,因此,不可能篡改内容。
客户端-服务器关系:SUS 2.0 客户端要求 SUS 2.0 服务器进行自身身份验证来建立通信,并使用安全协议加密会话期间交换的数据。
计算机隐私:SUS 客户端不发送任何个人标识信息给 Microsoft。搜集的数据绝对是一般信息并只用来改进服务。
 
自动检测、下载和安装适用更新
 自动更新可以确定如果计算机缺少更新则可以自动启动下载和安装。
在托管环境中,客户端可以直接从 Windows Update 或从 SUS 2.0 服务器获得更新。
在托管环境中,管理员可以配置客户端检查 SUS 2.0 服务器新更新的频率。
 
用户可用的计划和通知选项
 用户可用的计划和通知选项可以通过组策略进行配置。
具有管理权限的用户可以指定在自动下载、安装或设置安装计划前是否通知用户。此外,用户可以检索以前拒绝的更新或隐藏的更新。
 
有效的后台下载更新
 自动更新计划使用 BITS(一种创新的带宽限制技术),已内置入 Windows 2000 SP3 和更高版本的操作系统中,用于将更新下载至计算机。
BITS 技术提供下载期间的增量数据压缩 - 只从 SUS 2.0 服务器或 Windows Update 下载文件中发生更改的部分,这样可以通过自动更新有效分发 Service Pack。
 
安装更新时不中断用户
 设置为该选项时,自动更新能够在无需重启或中断服务的情况下,一找到更新就立即安装,而不会等到计划的自动安装时间。而且,自动更新将把需要计算机重启的更新合并到一次重启中。
自动更新还去除用户与最终用户许可协议 (EULA) 交互的要求。在 SUS 环境中,EULA 将由管理员代表客户端在 SUS 2.0 服务器上接受。
 
强大的、可扩展的管理员管理能力
 在 Active Directory® 目录服务环境中,计划为管理员提供通过使用组策略配置自动更新行为的可能性。在其他情况下,计划为管理员提供通过使用登录脚本或类似机制使用注册表项远程配置自动更新的能力。
此外,管理员可以使用脚本通过基于组件对象模型 (COM) 的 API 管理客户端。计划可使用软件开发工具包 (SDK)。
 
客户端计算机的自我更新
 在管理员托管方案中,客户端计算机可以将其自动更新组件更新为新版本,而无需管理员重新配置计算机。
 
改进的更新适用规则
 SUS 2.0 客户端具有仅下载和安装真正对计算机适用的特定更新的能力。而管理员不用猜测更新安装在何处,SUS 2.0 客户端与 SUS 2.0 服务器协同来评估将哪一个更新应用至特定系统。例如,客户在 Windows XP 计算机上安装适合于 Windows 2000 的更新时不会有风险。
 

服务器端功能
SUS 2.0 服务器管理工具计划提供一套强大的管理功能。下表中列出了服务器组件的功能。

SUS 2.0 计划的服务器端功能

功能 说明
内置安全
 SUS 2.0 管理工具页限于 SUS 2.0 服务器上的本地管理员。同步将通过更新服务器验证所有下载的数字签名。如果签名不是来自于 Microsoft,包将被删除。此进程使用的协议保证 SUS 2.0 服务器与 Windows Update 站点通信的安全性和可靠性。
 
更多内容
 SUS 2.0 支持随时间推移更新所有的 Microsoft 产品。
 
新数据模型
 SUS 2.0 组件旨在通过新数据模型处理更新,在该模型中更新之间可以存在复杂的关系(例如,更新之间的取代和依赖)。
 
更新管理体系结构和横向扩展支持
 SUS 2.0 计划为管理员提供创建由 SUS 2.0 服务器层次结构组成的更新管理体系结构的能力。例如,SUS 2.0 服务器可部署为匿名服务器、从属副本主机或负载平衡群集。因此,SUS 2.0 横向扩展为可处理任意多个客户端。
此外,计划让管理员可以灵活选择配置计算机是直接从 Windows Update 还是从内部分发更新的 Intranet SUS 2.0 服务器获得更新。管理员还可以根据网络配置使用两种设置的组合。
 
预先部署检查和审批
 通过在一个特定的目标组中向所有计算机发送预先部署请求,计划使管理员可以评估需要更新的计算机数目以及部署更新将影响网络的程度。预先部署检查使得管理员能够在实际部署安装更新前执行更新影响分析。
 
目标
 目标计划使管理员能够创建同等级的计算机的目标组并从一个 SUS 2.0 服务器为那些组指定特定更新。此外,SUS 2.0 将支持下列功能:客户端和服务器端目标、支持 Active Directory 环境的基于注册表的策略以及非 Active Directory 环境的服务器端列表。
 
管理员定义的下载行为
 除了 BITS 技术将促进的有效后台下载外,计划的 BITS 技术使得服务器能够同步基于管理员定义的更新首选项和计划。管理员能够在更新下载时指定时间段(包括部署的仅下载作为更新的选项)和出现下载时使用的网络带宽值。
 
基于截止时间的安装(或卸载)
 计划让管理员能够强制安装更新的截止时间。在这种情况下用户不能在指定截止时间后延期安装更新。
 
卸载
 如果更新支持卸载,当部署更新后确定更新不适合产品环境时管理员可以启动卸载更新。
 
报告
 计划使管理员能够通过 SUS 2.0 报告功能监视更新活动和服务器的正常运转。为监视和管理更新活动,SUS 2.0 提供基于客户端发送的事件,包括每次更新、每台计算机和每个目标组的更新部署状态的标准报告。此外,如果管理员要创建客户报告,则能够访问 SUS 2.0 数据库中的只读视图。
 
通过 API 扩展管理
 管理员可以使用脚本通过基于 .NET 的 API 管理 SUS 2.0 服务器。开发人员可以创建通过 SUS 2.0 API 与 SUS 2.0 集成的管理应用程序。可以使用 SDK。
 
导入和导出能力
 管理员可以使用导入和导出功能在两个 SUS 2.0 服务器之间下载和传输更新。在这种情况下,导入和导出功能将使在没有物理 Internet 访问或与其他网络的 Internet 连接的断开的网络(受保护的网络)中的更新管理体系结构更易于管理,例如智能社区。
 
备份和还原服务器数据库
 管理员可以很容易从 Microsoft® SQL Server™ 2000 Service Pack 2 (SP2) 或更高版本以及 Microsoft Data Engine (MSDE) 2000 数据库备份和还原 SUS 2.0 服务器的更新内容、部署操作事件和设置。
 
灵活的服务器配置选项
 对于远程管理,服务器配置选项计划包括使用安全套接字层 (SSL) 或超文本传输协议 (HTTP) 与 SUS 2.0 服务器连接并支持除默认端口 80 以外其他端口用于客户端和服务器通信。如果 SUS 2.0 服务器通过代理服务器与 Internet 相连,管理员还可以配置代理服务器设置。
 
SUS 1.0 服务器的迁移工具
 迁移工具使得 SUS 1.0 客户能够无缝地将以前 SUS 1.0 服务器上的管理设置迁移到 SUS 2.0 服务器。
 

 
SUS 2.0 和更新管理进程
本节说明 Microsoft 推荐的更新管理进程方法,还为管理员提供如何使用计划的 SUS 2.0 功能确保进程的四个阶段中的每一阶段都能成功的示例。注意:许多功能可以在一个以上的阶段中使用。有关计划的 SUS 2.0 管理功能的详细信息,请参阅本文档前面部分的“服务器端功能”。

1. 评估
管理员在评估阶段的目标是了解什么因素可能对产品环境构成威胁并了解准备产品环境以支持例行和紧急更新管理的方法。通过第一步,评估阶段实质是个持续进行的进程。

例如,管理员将评估有多少服务器和客户端需要更新,它们各自的存储和网络带宽需求以及部署一般更新的可以接受的时间。管理员还要确定要更新什么平台、产品和语言。基于这些因素,他们能够确定最有效的拓扑以横向扩展其 SUS 2.0 组件。SUS 2.0 旨在提供很多选项设置 SUS 2.0 组件,包括在 SUS 2.0 服务器上本地存储更新内容或根据需要从 Windows 下载内容。管理员还可以配置自动更新以在计算机上自动下载和安装缺少的更新。SUS 2.0 提供选项管理 Active Directory 和非 Active Directory 环境中的客户端。

SUS 2.0 计划提供标准合并报告,管理员可以在持续进行的基础上运行。这些报告提供与 SUS 2.0 服务器联系的计算机列表,然后是这些计算机的操作系统、语言和服务包级的列表。报告还将识别计算机安装或丢失了哪些更新并确定服务器的正常运行。

2. 识别
管理员在识别阶段的目标是以简便的方式发现新更新,确定更新是否与产品环境有关以及确定更新优先级。

SUS 2.0 管理工具旨在允许管理员创建订阅。管理员使用订阅可以确定按照产品和分类哪些更新与 Windows Update (或上游 SUS 2.0 服务器)同步;例如订阅可以只包含 Windows XP 重要更新和 Office XP 安全更新的下载请求。管理员可以为每个订阅设置同步计划。例如,管理员可以创建一个需要每天下载的重要更新的订阅,再创建另一个每周下载的可选更新的订阅。

要确定更新是否与产品环境相关,计划使管理员能够查看更新的属性。管理员还可以运行预先部署检查更新,旨在帮助管理员在产品环境中安装更新前评估需要更新的计算机数量以及部署更新给网络带来的影响。

3. 评估和计划
评估和计划阶段管理员的目标是在一个类似产品环境的环境(与产品环境分离)中测试更新,查看重要业务系统和应用程序是否兼容,确定将更新部署到产品中的必要任务,计划更新发布,构建发布以及进行接受发布的测试。

在测试环境中评估更新时,管理员可以运行在实际部署中使用的许多 SUS 2.0 功能。这些功能包括创建订阅,设置自动同步 SUS 2.0 服务器的计划,创建计算机目标组以及确定要下载和安装到这些组的更新,运行预先部署检查和安排自动更新安装计划。测试期间和测试完成后,管理员可以使用 SUS 2.0 提供的标准报告监视测试更新安装的成功进行。

4. 部署
部署阶段的管理员目标是测试、审批和计划更新安装并在部署完成后检查进程。

要考察产品环境以在部署前确保可以处理更新,SUS 2.0 计划让管理员检查更新属性并使用预先部署检查在安装更新前确定影响。要建立更新应用至产品的顺序,管理员可以使用 SUS 2.0 基于网络和人力资源创建最有效的上游和下游以及独立和副本 SUS 2.0 服务器配置。此外,管理员可以通过使用组策略或者通过 API 扩展管理服务器或客户端,配置客户端如何与 SUS 2.0 服务器或 Windows Update 通信。

通过 SUS 2.0 管理工具,管理员可以指定计算机的目标组并确定要部署到这些组的更新。如果在更新部署到产品环境后,证明更新不合适,计划使管理员可以启动更新安装(如有必要,在截止日期前启动)或启动卸载。管理员还可以使用报告确定计算机或目标组的更新部署的成功。

进程完成后
管理员按序完成每个阶段后,返回评估阶段,继续清查现有的计算资产、评估可能存在的安全威胁和漏洞,确定更新信息的优先来源以及评估现有软件分发体系结构和操作有效性。

 
SUS 2.0 管理更新
SUS 2.0 目前计划启用下列方案。

SUS 2.0 服务器的计划方案
Microsoft 正在计划为 SUS 2.0 服务器启用下列方案:

• 将多个不同更新部署到具有良好控制级的计算机组
使用 SUS 2.0 管理工具,管理员可以创建一个或多个计算机目标组,然后确定将一个或多个更新安装到这些组中的计算机上。管理员还可以设置截止时间(日期和时间),在该日期之前选定更新将安装到指定目标组。
在 Active Directory 环境中,管理员可以根据当前计划使用组策略将客户端计算机分配到使用 SUS 2.0 管理工具创建的目标组。新的组策略使客户端计算机能够使用客户端目标。当这些计算机连接到 SUS 2.0 服务器时,可以与自身所属的组通信,在这种情况下服务器自动将其添加到组。
 
• 基于管理员首选项从 Microsoft 无缝并有效下载更新
使用 SUS 2.0 管理工具管理员可以创建订阅,并在其中指定从 Microsoft 下载哪些更新以及指定更新下载的计划。订阅运行时,包含订阅的 SUS 2.0 服务器会用 Windows Update 中可用的匹配类别中的更新同步订阅中指定的更新。在订阅中指定更新时,管理员可以选择平台、产品、语言和更新类别。例如,订阅可以包括只下载英文版的 Windows XP 的重要更新和英文版的 Office XP 的安全更新的下载请求。
 
• 确定公司网络中更新的适用性
SUS 2.0 管理工具目前计划为管理员提供执行更新影响分析(或预先部署检查)的能力,可在产品环境中部署更新前用于所有计算机或特定计算机组。在确定一组更新的适用性时,管理员可以使用更新状态报告监视审核更新的进程。
 
• 检查一组计算机中的部署状态
SUS 2.0 管理工具计划为管理员提供生成更新状态报告的能力,报告中显示执行某一操作(或所有操作)的所有更新(例如,安装或卸载)以及操作发生的日期。此外,管理员还可以生成该报告以显示所有计算机的更新或特定目标组的更新。
 
• 启动更新卸载(如有必要)
如果部署更新后管理员确定更新不适合产品环境,可以卸载更新(如果该更新支持卸载)。对于卸载,管理员可以设置截止日期,超过该日期更新将自动卸载。要知道更新是否支持卸载,管理员可以通过管理工具接口检查更新的详细信息。
 
• 通过脚本扩展管理 SUS 2.0 组件
计划使管理员可以通过 API 管理服务器端和客户端 SUS 2.0 组件。计划使服务器 API 基于 .NET,而客户端 API 基于 COM。计划使 SDK 对两种组件均可用。
 

自动更新的计划方案
SUS 2.0 目前计划启用下列自动更新方案:

• 自动更新的一次单击配置体验
通过在控制面板中的自动更新页中的一次单击,拥有管理权限的用户可以指定是否要在下载或安装更新前接收来自自动更新的通知。其他选项(包括设置自动安装更新的时间)在这种情况下在自动更新页中进行配置一样容易。
 
• 自动获得重要更新和其他 Microsoft 更新的最新信息
计划使用户不必搜索重要更新和信息 - 自动更新会直接传递给用户的计算机。当用户在线并使用 Internet 连接从 Windows Update 网站搜索所需下载更新时,自动更新可以识别出。
 

计划的部署方案
SUS 2.0 具有足够的灵活性,可以满足多种组织(从拨号连接的小型业务客户到有跨多个站点分布的成千上万用户的大型业务客户)更新管理的需要。根据组织规模、位置和连接系统结构,管理员可以确定最有效的方式横向扩展 SUS 2.0 服务器(可以为一个或多个服务器)。

以下列出的是在小型、中型和未连接的网络中部署 SUS 2.0 组件的通用计划方案。

单个 SUS 2.0 服务器(小型或简单网络)
在小型或简单网络方案中,根据计划发布,管理员可以在企业防火墙内设置运行 SUS 2.0 的服务器,这样可以直接从外部的公共 Windows Update 站点同步内容,并将更新分发到客户端计算机,如下图所示。

单个 SUS 2.0 服务器


多个 SUS 2.0 服务器(中型或更复杂网络)
以下是两个计划的通用方案,用于在中型或更复杂网络中部署 SUS 2.0 组件。

多个独立的 SUS 2.0 服务器
在此计划方案中,管理员可以部署多个配置好的服务器,这样每个服务器可以单独管理,并且每个服务器可以将其内容与 Windows Update 同步,如下图所示。

多个独立的 SUS 2.0 服务器

 
此方案中的部署方法适用于将不同的局域网 (LAN) 或广域网 (WAN) 的网段作为独立实体(如分支机构办公室)进行管理的情况。也适用于当一个运行 SUS 2.0 的服务器配置为仅对运行某一定操作系统(如 Windows 2000)的客户端部署更新而另一个服务器配置为仅对运行其他操作系统(如 Windows XP)的客户端部署更新的情况。在这些情况下,两个服务器无须同步内容。

多个内部同步 SUS 2.0 服务器
计划使管理员可以部署多个运行 SUS 2.0 的服务器,其中这些服务器在组织的 Intranet 内同步所有内容。在这种情况下,一个服务器设置为父服务器或上游服务器,然后其他服务器将同步其上的来源。附加运行 SUS 2.0 的服务器 - 子服务器或下游服务器,从上游服务器同步内容的服务器。子服务器可以执行手动或自动同步,同步包括更新以及批准更新的列表,或只有更新而无列表。如果适用,可以在地理上分散的网络中定位服务器,以提供对所有客户端的最佳连接。

如第二幅图中所示,管理员可以设计部署多个内部同步服务器,而对 Internet 开放其中一个(第一幅图的扩展版本)或通过向外扩展设计将其 Intranet 完全与 Internet 隔离,如下图所示。

多个内部同步 SUS 2.0 服务器


断开连接的 SUS 2.0 服务器(安全性高的网络,无 Internet 连接)
如果网络的、基于 Windows 的计算机没有连接到 Internet,在此计划方案中,管理员可以设置运行 SUS 2.0 的内部服务器,如下图所示。在此示例中,创建了一个与 Internet 相连但与 Intranet 隔离的服务器。当在此服务器上完成下载、测试和审批后,管理员在 Intranet 内向运行 SUS 2.0 的服务器以及向分发点手动发送媒体。下图以最简形式说明此模型,可以将其扩展到任意规模的部署。

断开连接的 SUS 2.0 服务器(没有连接到 Internet 的 Intranet)


 
后续步骤
有关 SUS 1.0 的信息,请参阅Microsoft 网站上的 Software Update Services,其网址为 http://go.microsoft.com/fwlink/?LinkId=22631(英文)。虽然 SUS 2.0 极大地扩展了 SUS 1.0 的功能集,但是您现在可以执行下列操作:

 

 

该版本新增加的功能主要有:
支持对更多微软产品进行更新,根据目前评估版的估计,除了Windows,还有Office、Exchange、SQL等产品被支持。
可以根据更新所应用的产品以及类型自动下载更新程序。

支持更多语言。

通过2.0版的后台智能传输服务(Background Intelligent Transfer Service,BITS)最大限度利用网络带宽。

可以将更新程序应用给目标计算机或者目标计算机组。

在安装之前就可以判断关键更新以及安全更新程序是否适用于某台计算机。

更灵活的部署选项。

更详细的报告。

灵活的数据库选项。

数据合并以及导出/导入功能。

通过公开的API对现有功能进行扩展。

首页右上角有几个大图标,分别可以打开不同功能的页面,接下来就分别看看。

更新
这里显示了服务器已经下载回来的所有补丁程序(安装文件,或仅目录),并且根据不同的类别和应用范围进行了分类。在页面最左侧是更新链接以及筛选面板,对于每个我们经过测试没问题的更新程序,只要选中程序,然后点击这里的“更改批准”按钮就可以将该补丁程序发布出去,而对于那些不需要的补丁程序,则可以在点击选中之后点击“拒绝更新”按钮。


左面的筛选列表主要是为了确定用户要同步的信息,更新程序列表中,最左侧的图标表示了每个更新程序的不同重要性,而将鼠标指针悬停在该图标上方稍等片刻之后这类图标的含义就会显示出来,而第二列类似文件柜的图标则显示了每个更新的下载情况,如果该图标是灰色的,表明更新还没有被下载,如果是淡蓝色并带有绿色箭头则表示更新正在被下载,深蓝色则表明下载已经完成。“标题”一列显示了每个更新程序的名称;“分类”一列则显示了更新程序所属的类别;“已释放”一列显示了该程序被微软发布的时间,注意,这里显示的是微软发布该程序的时间,而不是你下载到WSUS服务器上,或者批准发布的时间;最后一列“批准”则显示了该程序当前的状态。侧面板的下半部分详细显示了上半部分被选中的更新的详细信息,从介绍到应用的语言以及重要程度都有提及,该面板上还有两个其他选项卡,在这些选项卡中可以了解更多详细信息,例如被选中的补丁程序已经应用到了哪些计算机,哪些计算机需要但是还没有安装,甚至哪些在安装的时候失败了,都可以从中看到。

 

报告
报告页面上提供的链接则可以对服务器的状态以及补丁的下载和安装情况生成详细的报告,让管理员做到心中有数。

计算机
这是WSUS的一个新功能,我们可以根据实际情况(例如运行不同操作系统或不同的用途)将所有计算机分别归类为不同的组,这样在部属更新的时候就可以为不同的组部署不同的更新

选项
WSUS的主要设置都是在这里进行的,在安装好WSUS之后,首先建议你在这里根据实际需要对选项进行调整。

同步选项
首先是同步计划,我们可以根据自己的网络情况设置不同的计划,例如可以让服务器每天凌晨的网络使用低峰里倒微软的服务器去同步,当然,你也可以选择自己手工同步。
接着是“自动批准选项”。“更新”选项下我们可以在很对不同类别的更新程序采取不同的批准方式,首先选中“使用下列规则自动批准更新进行检测”,然后选中下方的“使用下列规则自动批准更新进行安装”,距离来说,如果我们需要带WSUS检测到有新的关键更新或安全更新之后就自动批准、下载,并发布出去,那么可以这样设置;点击“批准进行安装”类别下的“添加/删除分类”按钮,打开图15所示的对话框,然后在这里选中“安全更新程序”以及“关键更新程序”,点击确定。接着点击“添加/删除计算机组”按钮,然后确保所有计算机组都被选中。

最后是计算机选项在这里可以指定如何将计算机指定给组。如果您使用 Windows Server Update Services 来指定,那么新计算机将被自动放到“未指定的计算机”组中。


下面我开始说明一些Windows Server Update Services的使用方法
先决条件

SUS有自己的服务器端和客户端。

对于服务器端,有如下的要求:

硬件:700MHz主频以上的CPU,512MB以上内存,6GB以上的硬盘空间

软件:Windows 2000 Server SP2 以上的操作系统,Windows Server 2003,IIS 5以上版本,IE 5.5以上版本

可见SUS对硬件的要求比较高,不过这里有一点是要说明的,微软推荐的这种硬件配置可以同时为15000台计算机提供升级服务,因此如果你的网络没有这么大规模,硬件的条件可以适当放宽。另一方面,对于6GB的硬盘空间,这是用来保存所有语种的补丁文件的,如果你的网络中只有简体中文版或者英文版操作系统的计算机,那你可以通过设置而不下载其他语种的补丁文件,以节约硬盘空间。

对于客户端,同样有一些要求:

首先,SUS服务只能为Windows 2000 SP2/XP/2003提供升级服务,这就意味着Windows NT和Windows 9x以及Windows 2000 SP1都无法通过这个服务升级。

对于Windows 2000 SP2和Windows XP,首先还需要安装一个SUS的客户端程序;对于Windows 2000 SP3及以上版本,Windows XP SP1 及以上版本和Windows Server 2003,都不需要安装客户端,直接就可以在组策略中进行设置。

工作原理

对于服务器端,可以理解为微软升级服务器的一个本地镜像。服务器端可以自动或者手动跟微软的升级服务器同步,下载所有的补丁程序,然后发布在企业内部的网络中。

客户端则跟通常情况没有太大差别,只是通过组策略的设置把默认的微软服务器改为企业内部的升级服务器的路径,就可以自动下载和安装。

而如果你的网络环境有特别需要,你还可以架设多个SUS服务器,客户端可以选择任意一个服务器下载补丁。对于服务器,你还可以设置其它的SUS服务器都跟同一个主SUS保持同步,而不是各自去跟微软的服务器同步,这样进一步减少了网络流量。

应用范围

SUS只能提供Windows操作系统的关键更新和Service Pack,驱动程序和其他更新都是不包括在内的。而微软的其他产品,例如Office、Exchange等的升级也不包括。

服务器端的配置

在本文中,我们会练习在一台Windows Server 2003 Standard独立服务器上安装并配置SUS服务。

首先要下载服务器端的安装文件,然后直接执行安装,其中一切选项都可以按照默认设置进行。需要注意的是,由于安全方面的原因,SUS服务器的系统盘和保存SUS补丁文件的硬盘分区都必须是NTFS文件系统。另外,如果你是在Windows 2000 Server操作系统上安装SUS,安装程序还会同时为你安装IIS Lockdown Tool,这是一个提高IIS安全性的软件。

服务器端软件安装好后就可以开始设置了,设置SUS服务器有两种方法:本地设置和远程设置,设置需要你有Administrators组的权限。

对于本地设置,只要在控制面板的管理工具中双击“Microsoft Software Update Services”即可。

而远程管理则需要在远端计算机上打开IE浏览器(5.5以上版本),然后在地址栏输入“http://服务器名或IP/susadmin” 然后回车,接着输入相应的用户名和密码登录。

首先先让我们看看他是如何安装的

 

 

 

进入管理界面后首先要进行同步配置首先选择要更新的软件版本

然后选择分类

然后就可以进行更新操作了
之后需要配置客户端计算机
该操作可以配置一台计算机,也可以同时配置多台计算机,具体操作方法是:将这些计算机包括在组策略对象 (GPO) 中,然后针对该对象执行下述过程。Microsoft 建议您新建一个仅包含 WSUS 设置的 GPO,然后将此 WSUS GPO 链接到适用于您的环境的 Active Directory 容器。在简单环境中,您可能将单个 WSUS GPO 链接到域。在较为复杂的环境中,您可能将多个 WSUS GPO 链接到多个组织单位 (OU),从而可以对不同类型的计算机应用不同的 WSUS 策略设置。
设置客户端计算机包括以下四个过程:

加载 WSUS 管理模板。
将计算机指向 WSUS 服务器。
配置自动更新的行为。
设置计算机和 WSUS 服务器之间的连接频率。
加载 WSUS 管理模板
在组策略对象编辑器中,右键单击任一管理模板节点。
单击“添加/删除模板”。
单击“添加”。
在“策略模板”中,单击“wuau.adm”,然后单击“打开”。
在“添加/删除模板”中,单击“关闭”。
将计算机指向 WSUS 服务器
在组策略对象编辑器中,依次展开“计算机配置”、“管理模板”、“Windows 组件”,然后单击“Windows Update”。
在详细信息窗格中,单击“指定 Intranet Microsoft 更新服务位置”。
同时在“为检测更新设置 Intranet 更新服务”和“设置 Intranet 统计服务器”中键入同一 WSUS 服务器的 HTTP URL。例如,在上述两个文本框中键入 http://服务器名,其中服务器名是 WSUS 服务器的名称。
单击“确定”,然后配置自动更新的行为。
 注意

每台客户端计算机只能设置为一次与一台 WSUS 服务器进行通信。如果以后更改上述设置,并指定一台不同的 WSUS 服务器,客户端计算机便会停止与先前指定的 WSUS 服务器的连接。但是,该客户端计算机将仍然保留在先前 WSUS 服务器上指定的计算机列表和计算机组中。此外,先前的 WSUS 服务器将报告该客户端计算机上一次与其进行连接的时间(该时间必须是精确的时间 - 应该在该客户端计算机停止与该服务器进行连接之前)。要使客户端计算机不再出现在先前指定的 WSUS 服务器上,必须将该计算机从 WSUS 服务器中删除。有关执行此任务的步骤,请参阅从 WSUS 服务器中删除计算机。
配置自动更新的行为
在组策略对象编辑器中,依次展开“计算机配置”、“管理模板”、“Windows 组件”,然后单击“Windows Update”。
在详细信息窗格中,单击“配置自动更新”。
选择下列选项之一:
提醒下载并提醒安装。该选项会在下载和安装更新之前对已登录的管理用户进行提醒。
自动下载并提醒安装。该选项会自动开始下载更新,然后在安装更新之前对已登录的管理用户进行提醒。
自动下载并计划安装。该选项会自动下载并安装更新。如果将自动更新配置为执行计划安装,那么还必须设置执行计划安装的日期和时间。
允许本地管理员选择设置。该选项允许本地管理员使用控制面板中的“自动更新”来自行选择配置选项。例如,他们可以选择自己的计划安装时间。不允许本地管理员禁用自动更新。只有当自动更新完成自我更新以便与 WSUS 兼容之后,才会显示“允许本地管理员选择设置”选项。
设置计算机和 WSUS 服务器之间的连接频率
在组策略对象编辑器中,依次展开“计算机配置”、“管理模板”、“Windows 组件”,然后单击“Windows Update”。
在组策略对象编辑器的详细信息窗格中,单击“自动更新检测频率”,然后设置该选项。
连接间隔的确切时间实际上等于此处指定的小时数减去指定小时数的百分之零到百分之二十。例如,如果使用该策略指定的连接频率为 20 小时,那么所有应用该策略的客户端都会每隔 16 小时到 20 小时检查一次更新。如果将状态设置为“启用”,Windows 将按照指定的间隔检查是否具有可用的更新。如果将状态设置为“禁用”或“未配置”,Windows 将按照 22 小时的默认间隔检查是否具有可用的更新。

 注意

如果希望 WSUS 服务器接收更新,则必须还将它视为一台客户端计算机。这样便可以针对 WSUS 服务器执行上述过程;例如,在本主题所述的过程中,您需要将服务器包括在域 GPO 中。
WSUS 客户端计算机要求自动更新与 WSUS 兼容。在多数情况下,您无需考虑此事项。当客户端计算机首次与 WSUS 服务器连接时,自动更新便会进行自我更新(假如您已经执行了默认服务器安装 - WSUS 已安装在“默认网站”上)。但是,如果您运行的是没有附带任何 Service Pack 的 Windows XP 版本,自动更新便无法自动进行自我更新。如果您在网络中运行该版本的 Windows XP,则请参阅部署 Microsoft Windows Server Update Services(文档可能为英文)(http://www.microsoft.com/),了解有关详细信息。
管理员定义的配置选项(无论是在 Active Directory 环境中借助适用于基于域的 GPO 的组策略进行设置,还是在非 Active Directory 环境中通过配置注册表或本地 GPO 进行设置)始终优先于用户定义的选项。使用管理策略配置自动更新时,便会在客户端计算机上禁用自动更新用户界面。
有关在 Active Directory 和非 Active Directory 网络环境中设置和配置客户端计算机的选项的详细信息,请参阅部署 Microsoft Windows Server Update Services(文档可能为英文)。(http://www.microsoft.com/)


然后要使用安全套接字层(SSL)
要设置 SSL,必须在 WSUS 服务器上安装证书,然后将客户端计算机(和下游 WSUS 服务器,如果有的话)配置为信任服务器证书。
客户端的配置

客户端我们分两种情况说明,那就是域环境和工作组环境。首先看看工作组环境。

注意:以下内容涉及到活动目录以及组策略,而Windows XP Home Edition即没有组策略也无法加入域,因此不在我们这里的讨论范围。

工作组环境下需要对每台客户端计算机分别设置,如果网络中有较多的计算机这样显然很麻烦,好在通常计算机数量多的情况下管理员都会使用活动目录的方式管理,因此这个问题并不严重,我们继续看下去。

对于Windows 2000 SP2和Windows XP,我们要先安装SUS客户端

安装后,在客户端的运行中输入“gpedit.msc”打开组策略编辑器,并依次展开“计算机配置”-“管理模板”,然后在“管理模板”上点击鼠标右键,选择“添加/删除模版”,然后在图六的界面上点击“添加”按钮,并找到%windir%/inf目录下的wuau.adm文件,双击添加。接着继续打开“Windows组件”-“Windows Update”(这一项只有在安装了客户端软件并添加后才会出现),在窗口右侧就会显示出两条可用的策略。其中“配置自动更新”可以让你设置进行更新的时间和处理方法,“指定企业内部互联网…”则用来指定服务器的位置,你可以以“http://服务器名称”或者“http://服务器IP”的方式输入。而接下来你要做的就是分别在网络中的每台计算机上进行同样的设置。

 

处理好这些后就可以了,以后每到预先设置的时间,程序就会自动连接到指定的升级服务器检查更新,如果有更新,则会按照预先的设置,或者自动下载并询问安装,或者提示用户。需要注意,SUS对于客户端没有可访问的页面,所有的升级只能在后台自动进行。

对于Windows XP SP1和Windows 2000 SP3 还有Windows Server 2003,这些操作系统已经安装了客户端,因此直接在组策略中按照上面的方法设置即可。

如果你的网络规模比较大,应用了活动目录,那么管理起来会更加方便。

在域控制器上的运行中输入“dsa.msc”并回车,打开Active Directory用户和计算机设置窗口,在要创建策略的OU或者域上点击鼠标右键,选择“属性”,然后在属性窗口中打开“组策略”选项卡,并点击“新建”按钮,给新建的策略命名(例如叫做SUS,图七)。选中新建的组策略,点击“编辑”按钮,接着会弹出一个组策略设置窗口,这跟我们平常运行gpedit.msc打开的窗口很类似,不过这里可以为整个域中的所有计算机设置组策略。

在这个窗口中依次展开“计算机配置”-“管理模板”-“Windows 组件”-“Windows Update”,然后通过设置这里的策略就可以给所有登入域的计算机设置SUS客户端的工作参数。有一点是需要注意的,如果客户端的操作系统是Windows 2000 SP2、Windows XP,那么首先仍然需要安装SUS客户端软件。

整个客户端的设置工作就是这样了。相信经过设置,以后管理员的维护工作将会更加轻松,而网络中的计算机也会更加安全!


 

 



shangrh 发表于 >2005-6-9 10:15:25 [全文] [评论] [引用] [推荐] [档案] [推给好友]

2005-6-9
Windows Server Update Services 2.0更新及使用教程

大部分对计算机比较熟悉的朋友都知道,通常安装好Windows 操作系统后要做的第一件事就是上Windows Update网站去给Windows 安装补丁程序,否则各种漏洞对系统就是一个很大的威胁。不过遗憾的是很多人还没有这样的意识,疏忽了给系统打补丁。这也间接造成了病毒的横行,例如去年的“蠕虫王”和前几天的“冲击波”,这两个病毒都是利用了微软软件的漏洞编写和传播的,遗憾的是在这些病毒广泛流传之前,相应软件的补丁程序早就已经由微软发布出来并提供了免费下载,只要用户能经常性地访问Windows Update网站打补丁,就不会感染这些病毒,可是很多人都疏忽了这一点。好在经过这两次教训,更多的人知道“打补丁”的重要性,可是问题又来了。

微软的升级服务器都架设在国外,有时候由于网络的原因造成了国内用户连接服务器的速度非常慢,这些时候光下载补丁就要一个多小时的时间,效率非常低。另一方面,对于有上百台电脑的企业,每台电脑都连接到微软的服务器去下载上百兆字节的补丁程序,这对企业的网络带宽也是一个不小的负担,况且由于大家都到微软的服务器下载补丁,管理员就无法对补丁程序的内容进行控制,如果某个补丁正好跟企业内部广泛使用的某个软件有冲突的话,还可能造成更大的麻烦。现在,问题解决了,那就是使用微软的SUS(Software Update Service,软件更新服务)服务。

而SUS的后续版本Windows Server Update Services(下文统一简称为WSUS)又将带来什么新功能呢?

我们来进入文章的第一部分强大的更新服务器WSUS

虽然美国微软已经把软件名更名为Windows Server Update Services 2.0(WSUS)但是微软中国还叫Software Update Services 2.0(SUS)其实是一个软件。

我们来看下微软中国的关于Software Update Services 2.0的说明吧

简介
即将发布的 Software Update Services (SUS) 2.0 致力于帮助用户对基于 Microsoft® Windows® 2000 和 Windows Server™ 2003 的服务器以及运行 Microsoft® Windows® 2000 Professional 或 Windows® XP Professional 的台式机快速部署最新的重要更新和安全更新。

通过使用计划发布的 SUS 2.0,信息技术 (IT) 管理员可以完全控制管理通过 Windows Update 发布给网络中的计算机的更新的分发。

SUS 2.0 解决方案提供包括下列组件的管理体系结构:

• Windows Update - 包括所有基于产品和更新类型的可用 Microsoft 更新的 Microsoft 网站。
 
• 服务器组件 - Microsoft 软件更新服务,称为 SUS 2.0 服务器,用于安装在公司防火墙内运行 Windows 2000 Server 或 Windows Server 2003 家族操作系统的计算机上。服务器组件提供通过基于 Web 的工具管理和分发更新的管理功能,管理员可以访问公司网络中的任何 Windows 计算机。
 
• 客户端组件 - 自动更新(Automatic Updates),即客户端组件,在接收 Microsoft 产品更新的计算机上运行。本组件可以将服务器和客户端计算机直接连接至 Windows Update 或连接至接收更新的运行 SUS 2.0 的服务器上。自动更新组件计划纳入 Windows 2000 Service Pack 4 (SP4) 和更高版本、Windows XP 和更高版本以及 Windows Server 2003 中。
 

 
SUS 2.0 中计划包含的功能
SUS 2.0 构建在 SUS 1.0 的功能之上,目前计划提供下列功能:

• 扩展对包括 Office、SQL Server、Exchange 和硬件驱动程序在内的 Microsoft 产品的支持
 
• 扩展对附加更新类别的支持
 
• 提供使用 Windows 客户端或服务器计算机支持的任何语言的计算机部署更新的能力
 
• 自动排列优先级和下载重要更新
 
• 通过后台智能传输服务 (BITS) 技术提高带宽效率
 
• 提供对特定计算机组进行更新的能力
 
• 提供管理员选择和决定自动下载特定类型更新的计划的能力
 
• 改进了报告能力,使管理员能够监视更新部署状态和服务器的正常运转
 
• 扩展了通过应用程序编程接口 (API) 和脚本管理客户端和服务器组件的能力
 
• SQL Server 引擎用作 SUS 2.0 数据知识库
 
• 方便地从 SUS 1.0 迁移到 SUS 2.0
 

要求
计划的 SUS 2.0 要求如下:

服务器 
• Windows 2000 Server SP4 或更高版本或 Windows Server 2003
 
• Microsoft Internet Information Services (IIS) 5.0 或更高版本、Microsoft Internet Explorer 6.0
 

客户端
• Windows 2000 Service Pack 3 (SP3) 或更高版本、Windows XP 和 Windows Server 2003
 

 
功能一览
SUS 2.0 目前计划提供下列功能。

客户端功能
自动更新使 Windows 能够自动下载和安装 Microsoft 产品的更新。下表中列出的是计划的客户端组件的主要功能。

SUS 2.0 计划的客户端功能

功能 说明 
内置安全
 内容:
SUS 2.0 客户端将只信任由 Microsoft 签名的特定内容,因此,不可能篡改内容。
客户端-服务器关系:SUS 2.0 客户端要求 SUS 2.0 服务器进行自身身份验证来建立通信,并使用安全协议加密会话期间交换的数据。
计算机隐私:SUS 客户端不发送任何个人标识信息给 Microsoft。搜集的数据绝对是一般信息并只用来改进服务。
 
自动检测、下载和安装适用更新
 自动更新可以确定如果计算机缺少更新则可以自动启动下载和安装。
在托管环境中,客户端可以直接从 Windows Update 或从 SUS 2.0 服务器获得更新。
在托管环境中,管理员可以配置客户端检查 SUS 2.0 服务器新更新的频率。
 
用户可用的计划和通知选项
 用户可用的计划和通知选项可以通过组策略进行配置。
具有管理权限的用户可以指定在自动下载、安装或设置安装计划前是否通知用户。此外,用户可以检索以前拒绝的更新或隐藏的更新。 
 
有效的后台下载更新
 自动更新计划使用 BITS(一种创新的带宽限制技术),已内置入 Windows 2000 SP3 和更高版本的操作系统中,用于将更新下载至计算机。
BITS 技术提供下载期间的增量数据压缩 - 只从 SUS 2.0 服务器或 Windows Update 下载文件中发生更改的部分,这样可以通过自动更新有效分发 Service Pack。
 
安装更新时不中断用户
 设置为该选项时,自动更新能够在无需重启或中断服务的情况下,一找到更新就立即安装,而不会等到计划的自动安装时间。而且,自动更新将把需要计算机重启的更新合并到一次重启中。
自动更新还去除用户与最终用户许可协议 (EULA) 交互的要求。在 SUS 环境中,EULA 将由管理员代表客户端在 SUS 2.0 服务器上接受。 
 
强大的、可扩展的管理员管理能力
 在 Active Directory® 目录服务环境中,计划为管理员提供通过使用组策略配置自动更新行为的可能性。在其他情况下,计划为管理员提供通过使用登录脚本或类似机制使用注册表项远程配置自动更新的能力。
此外,管理员可以使用脚本通过基于组件对象模型 (COM) 的 API 管理客户端。计划可使用软件开发工具包 (SDK)。
 
客户端计算机的自我更新
 在管理员托管方案中,客户端计算机可以将其自动更新组件更新为新版本,而无需管理员重新配置计算机。 
 
改进的更新适用规则 
 SUS 2.0 客户端具有仅下载和安装真正对计算机适用的特定更新的能力。而管理员不用猜测更新安装在何处,SUS 2.0 客户端与 SUS 2.0 服务器协同来评估将哪一个更新应用至特定系统。例如,客户在 Windows XP 计算机上安装适合于 Windows 2000 的更新时不会有风险。
 

服务器端功能
SUS 2.0 服务器管理工具计划提供一套强大的管理功能。下表中列出了服务器组件的功能。

SUS 2.0 计划的服务器端功能

功能 说明 
内置安全
 SUS 2.0 管理工具页限于 SUS 2.0 服务器上的本地管理员。同步将通过更新服务器验证所有下载的数字签名。如果签名不是来自于 Microsoft,包将被删除。此进程使用的协议保证 SUS 2.0 服务器与 Windows Update 站点通信的安全性和可靠性。
 
更多内容
 SUS 2.0 支持随时间推移更新所有的 Microsoft 产品。
 
新数据模型
 SUS 2.0 组件旨在通过新数据模型处理更新,在该模型中更新之间可以存在复杂的关系(例如,更新之间的取代和依赖)。
 
更新管理体系结构和横向扩展支持
 SUS 2.0 计划为管理员提供创建由 SUS 2.0 服务器层次结构组成的更新管理体系结构的能力。例如,SUS 2.0 服务器可部署为匿名服务器、从属副本主机或负载平衡群集。因此,SUS 2.0 横向扩展为可处理任意多个客户端。
此外,计划让管理员可以灵活选择配置计算机是直接从 Windows Update 还是从内部分发更新的 Intranet SUS 2.0 服务器获得更新。管理员还可以根据网络配置使用两种设置的组合。
 
预先部署检查和审批
 通过在一个特定的目标组中向所有计算机发送预先部署请求,计划使管理员可以评估需要更新的计算机数目以及部署更新将影响网络的程度。预先部署检查使得管理员能够在实际部署安装更新前执行更新影响分析。
 
目标
 目标计划使管理员能够创建同等级的计算机的目标组并从一个 SUS 2.0 服务器为那些组指定特定更新。此外,SUS 2.0 将支持下列功能:客户端和服务器端目标、支持 Active Directory 环境的基于注册表的策略以及非 Active Directory 环境的服务器端列表。
 
管理员定义的下载行为
 除了 BITS 技术将促进的有效后台下载外,计划的 BITS 技术使得服务器能够同步基于管理员定义的更新首选项和计划。管理员能够在更新下载时指定时间段(包括部署的仅下载作为更新的选项)和出现下载时使用的网络带宽值。
 
基于截止时间的安装(或卸载)
 计划让管理员能够强制安装更新的截止时间。在这种情况下用户不能在指定截止时间后延期安装更新。 
 
卸载
 如果更新支持卸载,当部署更新后确定更新不适合产品环境时管理员可以启动卸载更新。
 
报告
 计划使管理员能够通过 SUS 2.0 报告功能监视更新活动和服务器的正常运转。为监视和管理更新活动,SUS 2.0 提供基于客户端发送的事件,包括每次更新、每台计算机和每个目标组的更新部署状态的标准报告。此外,如果管理员要创建客户报告,则能够访问 SUS 2.0 数据库中的只读视图。
 
通过 API 扩展管理
 管理员可以使用脚本通过基于 .NET 的 API 管理 SUS 2.0 服务器。开发人员可以创建通过 SUS 2.0 API 与 SUS 2.0 集成的管理应用程序。可以使用 SDK。
 
导入和导出能力
 管理员可以使用导入和导出功能在两个 SUS 2.0 服务器之间下载和传输更新。在这种情况下,导入和导出功能将使在没有物理 Internet 访问或与其他网络的 Internet 连接的断开的网络(受保护的网络)中的更新管理体系结构更易于管理,例如智能社区。
 
备份和还原服务器数据库
 管理员可以很容易从 Microsoft® SQL Server™ 2000 Service Pack 2 (SP2) 或更高版本以及 Microsoft Data Engine (MSDE) 2000 数据库备份和还原 SUS 2.0 服务器的更新内容、部署操作事件和设置。
 
灵活的服务器配置选项
 对于远程管理,服务器配置选项计划包括使用安全套接字层 (SSL) 或超文本传输协议 (HTTP) 与 SUS 2.0 服务器连接并支持除默认端口 80 以外其他端口用于客户端和服务器通信。如果 SUS 2.0 服务器通过代理服务器与 Internet 相连,管理员还可以配置代理服务器设置。
 
SUS 1.0 服务器的迁移工具
 迁移工具使得 SUS 1.0 客户能够无缝地将以前 SUS 1.0 服务器上的管理设置迁移到 SUS 2.0 服务器。
 

 
SUS 2.0 和更新管理进程
本节说明 Microsoft 推荐的更新管理进程方法,还为管理员提供如何使用计划的 SUS 2.0 功能确保进程的四个阶段中的每一阶段都能成功的示例。注意:许多功能可以在一个以上的阶段中使用。有关计划的 SUS 2.0 管理功能的详细信息,请参阅本文档前面部分的“服务器端功能”。

1. 评估
管理员在评估阶段的目标是了解什么因素可能对产品环境构成威胁并了解准备产品环境以支持例行和紧急更新管理的方法。通过第一步,评估阶段实质是个持续进行的进程。

例如,管理员将评估有多少服务器和客户端需要更新,它们各自的存储和网络带宽需求以及部署一般更新的可以接受的时间。管理员还要确定要更新什么平台、产品和语言。基于这些因素,他们能够确定最有效的拓扑以横向扩展其 SUS 2.0 组件。SUS 2.0 旨在提供很多选项设置 SUS 2.0 组件,包括在 SUS 2.0 服务器上本地存储更新内容或根据需要从 Windows 下载内容。管理员还可以配置自动更新以在计算机上自动下载和安装缺少的更新。SUS 2.0 提供选项管理 Active Directory 和非 Active Directory 环境中的客户端。

SUS 2.0 计划提供标准合并报告,管理员可以在持续进行的基础上运行。这些报告提供与 SUS 2.0 服务器联系的计算机列表,然后是这些计算机的操作系统、语言和服务包级的列表。报告还将识别计算机安装或丢失了哪些更新并确定服务器的正常运行。

2. 识别
管理员在识别阶段的目标是以简便的方式发现新更新,确定更新是否与产品环境有关以及确定更新优先级。

SUS 2.0 管理工具旨在允许管理员创建订阅。管理员使用订阅可以确定按照产品和分类哪些更新与 Windows Update (或上游 SUS 2.0 服务器)同步;例如订阅可以只包含 Windows XP 重要更新和 Office XP 安全更新的下载请求。管理员可以为每个订阅设置同步计划。例如,管理员可以创建一个需要每天下载的重要更新的订阅,再创建另一个每周下载的可选更新的订阅。

要确定更新是否与产品环境相关,计划使管理员能够查看更新的属性。管理员还可以运行预先部署检查更新,旨在帮助管理员在产品环境中安装更新前评估需要更新的计算机数量以及部署更新给网络带来的影响。

3. 评估和计划
评估和计划阶段管理员的目标是在一个类似产品环境的环境(与产品环境分离)中测试更新,查看重要业务系统和应用程序是否兼容,确定将更新部署到产品中的必要任务,计划更新发布,构建发布以及进行接受发布的测试。

在测试环境中评估更新时,管理员可以运行在实际部署中使用的许多 SUS 2.0 功能。这些功能包括创建订阅,设置自动同步 SUS 2.0 服务器的计划,创建计算机目标组以及确定要下载和安装到这些组的更新,运行预先部署检查和安排自动更新安装计划。测试期间和测试完成后,管理员可以使用 SUS 2.0 提供的标准报告监视测试更新安装的成功进行。

4. 部署
部署阶段的管理员目标是测试、审批和计划更新安装并在部署完成后检查进程。

要考察产品环境以在部署前确保可以处理更新,SUS 2.0 计划让管理员检查更新属性并使用预先部署检查在安装更新前确定影响。要建立更新应用至产品的顺序,管理员可以使用 SUS 2.0 基于网络和人力资源创建最有效的上游和下游以及独立和副本 SUS 2.0 服务器配置。此外,管理员可以通过使用组策略或者通过 API 扩展管理服务器或客户端,配置客户端如何与 SUS 2.0 服务器或 Windows Update 通信。

通过 SUS 2.0 管理工具,管理员可以指定计算机的目标组并确定要部署到这些组的更新。如果在更新部署到产品环境后,证明更新不合适,计划使管理员可以启动更新安装(如有必要,在截止日期前启动)或启动卸载。管理员还可以使用报告确定计算机或目标组的更新部署的成功。

进程完成后
管理员按序完成每个阶段后,返回评估阶段,继续清查现有的计算资产、评估可能存在的安全威胁和漏洞,确定更新信息的优先来源以及评估现有软件分发体系结构和操作有效性。

 
SUS 2.0 管理更新
SUS 2.0 目前计划启用下列方案。

SUS 2.0 服务器的计划方案
Microsoft 正在计划为 SUS 2.0 服务器启用下列方案:

• 将多个不同更新部署到具有良好控制级的计算机组
使用 SUS 2.0 管理工具,管理员可以创建一个或多个计算机目标组,然后确定将一个或多个更新安装到这些组中的计算机上。管理员还可以设置截止时间(日期和时间),在该日期之前选定更新将安装到指定目标组。
在 Active Directory 环境中,管理员可以根据当前计划使用组策略将客户端计算机分配到使用 SUS 2.0 管理工具创建的目标组。新的组策略使客户端计算机能够使用客户端目标。当这些计算机连接到 SUS 2.0 服务器时,可以与自身所属的组通信,在这种情况下服务器自动将其添加到组。
 
• 基于管理员首选项从 Microsoft 无缝并有效下载更新
使用 SUS 2.0 管理工具管理员可以创建订阅,并在其中指定从 Microsoft 下载哪些更新以及指定更新下载的计划。订阅运行时,包含订阅的 SUS 2.0 服务器会用 Windows Update 中可用的匹配类别中的更新同步订阅中指定的更新。在订阅中指定更新时,管理员可以选择平台、产品、语言和更新类别。例如,订阅可以包括只下载英文版的 Windows XP 的重要更新和英文版的 Office XP 的安全更新的下载请求。
 
• 确定公司网络中更新的适用性
SUS 2.0 管理工具目前计划为管理员提供执行更新影响分析(或预先部署检查)的能力,可在产品环境中部署更新前用于所有计算机或特定计算机组。在确定一组更新的适用性时,管理员可以使用更新状态报告监视审核更新的进程。
 
• 检查一组计算机中的部署状态
SUS 2.0 管理工具计划为管理员提供生成更新状态报告的能力,报告中显示执行某一操作(或所有操作)的所有更新(例如,安装或卸载)以及操作发生的日期。此外,管理员还可以生成该报告以显示所有计算机的更新或特定目标组的更新。
 
• 启动更新卸载(如有必要)
如果部署更新后管理员确定更新不适合产品环境,可以卸载更新(如果该更新支持卸载)。对于卸载,管理员可以设置截止日期,超过该日期更新将自动卸载。要知道更新是否支持卸载,管理员可以通过管理工具接口检查更新的详细信息。
 
• 通过脚本扩展管理 SUS 2.0 组件
计划使管理员可以通过 API 管理服务器端和客户端 SUS 2.0 组件。计划使服务器 API 基于 .NET,而客户端 API 基于 COM。计划使 SDK 对两种组件均可用。
 

自动更新的计划方案
SUS 2.0 目前计划启用下列自动更新方案:

• 自动更新的一次单击配置体验
通过在控制面板中的自动更新页中的一次单击,拥有管理权限的用户可以指定是否要在下载或安装更新前接收来自自动更新的通知。其他选项(包括设置自动安装更新的时间)在这种情况下在自动更新页中进行配置一样容易。
 
• 自动获得重要更新和其他 Microsoft 更新的最新信息
计划使用户不必搜索重要更新和信息 - 自动更新会直接传递给用户的计算机。当用户在线并使用 Internet 连接从 Windows Update 网站搜索所需下载更新时,自动更新可以识别出。
 

计划的部署方案
SUS 2.0 具有足够的灵活性,可以满足多种组织(从拨号连接的小型业务客户到有跨多个站点分布的成千上万用户的大型业务客户)更新管理的需要。根据组织规模、位置和连接系统结构,管理员可以确定最有效的方式横向扩展 SUS 2.0 服务器(可以为一个或多个服务器)。

以下列出的是在小型、中型和未连接的网络中部署 SUS 2.0 组件的通用计划方案。

单个 SUS 2.0 服务器(小型或简单网络)
在小型或简单网络方案中,根据计划发布,管理员可以在企业防火墙内设置运行 SUS 2.0 的服务器,这样可以直接从外部的公共 Windows Update 站点同步内容,并将更新分发到客户端计算机,如下图所示。

单个 SUS 2.0 服务器 


多个 SUS 2.0 服务器(中型或更复杂网络)
以下是两个计划的通用方案,用于在中型或更复杂网络中部署 SUS 2.0 组件。

多个独立的 SUS 2.0 服务器
在此计划方案中,管理员可以部署多个配置好的服务器,这样每个服务器可以单独管理,并且每个服务器可以将其内容与 Windows Update 同步,如下图所示。

多个独立的 SUS 2.0 服务器 

 
此方案中的部署方法适用于将不同的局域网 (LAN) 或广域网 (WAN) 的网段作为独立实体(如分支机构办公室)进行管理的情况。也适用于当一个运行 SUS 2.0 的服务器配置为仅对运行某一定操作系统(如 Windows 2000)的客户端部署更新而另一个服务器配置为仅对运行其他操作系统(如 Windows XP)的客户端部署更新的情况。在这些情况下,两个服务器无须同步内容。

多个内部同步 SUS 2.0 服务器
计划使管理员可以部署多个运行 SUS 2.0 的服务器,其中这些服务器在组织的 Intranet 内同步所有内容。在这种情况下,一个服务器设置为父服务器或上游服务器,然后其他服务器将同步其上的来源。附加运行 SUS 2.0 的服务器 - 子服务器或下游服务器,从上游服务器同步内容的服务器。子服务器可以执行手动或自动同步,同步包括更新以及批准更新的列表,或只有更新而无列表。如果适用,可以在地理上分散的网络中定位服务器,以提供对所有客户端的最佳连接。

如第二幅图中所示,管理员可以设计部署多个内部同步服务器,而对 Internet 开放其中一个(第一幅图的扩展版本)或通过向外扩展设计将其 Intranet 完全与 Internet 隔离,如下图所示。

多个内部同步 SUS 2.0 服务器 


断开连接的 SUS 2.0 服务器(安全性高的网络,无 Internet 连接)
如果网络的、基于 Windows 的计算机没有连接到 Internet,在此计划方案中,管理员可以设置运行 SUS 2.0 的内部服务器,如下图所示。在此示例中,创建了一个与 Internet 相连但与 Intranet 隔离的服务器。当在此服务器上完成下载、测试和审批后,管理员在 Intranet 内向运行 SUS 2.0 的服务器以及向分发点手动发送媒体。下图以最简形式说明此模型,可以将其扩展到任意规模的部署。

断开连接的 SUS 2.0 服务器(没有连接到 Internet 的 Intranet) 


 
后续步骤
有关 SUS 1.0 的信息,请参阅Microsoft 网站上的 Software Update Services,其网址为 http://go.microsoft.com/fwlink/?LinkId=22631(英文)。虽然  SUS 2.0 极大地扩展了 SUS 1.0 的功能集,但是您现在可以执行下列操作:

 



该版本新增加的功能主要有:
支持对更多微软产品进行更新,根据目前评估版的估计,除了Windows,还有Office、Exchange、SQL等产品被支持。
可以根据更新所应用的产品以及类型自动下载更新程序。

支持更多语言。

通过2.0版的后台智能传输服务(Background Intelligent Transfer Service,BITS)最大限度利用网络带宽。

可以将更新程序应用给目标计算机或者目标计算机组。

在安装之前就可以判断关键更新以及安全更新程序是否适用于某台计算机。

更灵活的部署选项。

更详细的报告。

灵活的数据库选项。

数据合并以及导出/导入功能。

通过公开的API对现有功能进行扩展。

首页右上角有几个大图标,分别可以打开不同功能的页面,接下来就分别看看。

更新
这里显示了服务器已经下载回来的所有补丁程序(安装文件,或仅目录),并且根据不同的类别和应用范围进行了分类。在页面最左侧是更新链接以及筛选面板,对于每个我们经过测试没问题的更新程序,只要选中程序,然后点击这里的“更改批准”按钮就可以将该补丁程序发布出去,而对于那些不需要的补丁程序,则可以在点击选中之后点击“拒绝更新”按钮。


左面的筛选列表主要是为了确定用户要同步的信息,更新程序列表中,最左侧的图标表示了每个更新程序的不同重要性,而将鼠标指针悬停在该图标上方稍等片刻之后这类图标的含义就会显示出来,而第二列类似文件柜的图标则显示了每个更新的下载情况,如果该图标是灰色的,表明更新还没有被下载,如果是淡蓝色并带有绿色箭头则表示更新正在被下载,深蓝色则表明下载已经完成。“标题”一列显示了每个更新程序的名称;“分类”一列则显示了更新程序所属的类别;“已释放”一列显示了该程序被微软发布的时间,注意,这里显示的是微软发布该程序的时间,而不是你下载到WSUS服务器上,或者批准发布的时间;最后一列“批准”则显示了该程序当前的状态。侧面板的下半部分详细显示了上半部分被选中的更新的详细信息,从介绍到应用的语言以及重要程度都有提及,该面板上还有两个其他选项卡,在这些选项卡中可以了解更多详细信息,例如被选中的补丁程序已经应用到了哪些计算机,哪些计算机需要但是还没有安装,甚至哪些在安装的时候失败了,都可以从中看到。



报告
报告页面上提供的链接则可以对服务器的状态以及补丁的下载和安装情况生成详细的报告,让管理员做到心中有数。

计算机
这是WSUS的一个新功能,我们可以根据实际情况(例如运行不同操作系统或不同的用途)将所有计算机分别归类为不同的组,这样在部属更新的时候就可以为不同的组部署不同的更新

选项
WSUS的主要设置都是在这里进行的,在安装好WSUS之后,首先建议你在这里根据实际需要对选项进行调整。

同步选项
首先是同步计划,我们可以根据自己的网络情况设置不同的计划,例如可以让服务器每天凌晨的网络使用低峰里倒微软的服务器去同步,当然,你也可以选择自己手工同步。
接着是“自动批准选项”。“更新”选项下我们可以在很对不同类别的更新程序采取不同的批准方式,首先选中“使用下列规则自动批准更新进行检测”,然后选中下方的“使用下列规则自动批准更新进行安装”,距离来说,如果我们需要带WSUS检测到有新的关键更新或安全更新之后就自动批准、下载,并发布出去,那么可以这样设置;点击“批准进行安装”类别下的“添加/删除分类”按钮,打开图15所示的对话框,然后在这里选中“安全更新程序”以及“关键更新程序”,点击确定。接着点击“添加/删除计算机组”按钮,然后确保所有计算机组都被选中。

最后是计算机选项在这里可以指定如何将计算机指定给组。如果您使用 Windows Server Update Services 来指定,那么新计算机将被自动放到“未指定的计算机”组中。


下面我开始说明一些Windows Server Update Services的使用方法
先决条件

SUS有自己的服务器端和客户端。

对于服务器端,有如下的要求:

硬件:700MHz主频以上的CPU,512MB以上内存,6GB以上的硬盘空间

软件:Windows 2000 Server SP2 以上的操作系统,Windows Server 2003,IIS 5以上版本,IE 5.5以上版本

可见SUS对硬件的要求比较高,不过这里有一点是要说明的,微软推荐的这种硬件配置可以同时为15000台计算机提供升级服务,因此如果你的网络没有这么大规模,硬件的条件可以适当放宽。另一方面,对于6GB的硬盘空间,这是用来保存所有语种的补丁文件的,如果你的网络中只有简体中文版或者英文版操作系统的计算机,那你可以通过设置而不下载其他语种的补丁文件,以节约硬盘空间。

对于客户端,同样有一些要求:

首先,SUS服务只能为Windows 2000 SP2/XP/2003提供升级服务,这就意味着Windows NT和Windows 9x以及Windows 2000 SP1都无法通过这个服务升级。

对于Windows 2000 SP2和Windows XP,首先还需要安装一个SUS的客户端程序;对于Windows 2000 SP3及以上版本,Windows XP SP1 及以上版本和Windows Server 2003,都不需要安装客户端,直接就可以在组策略中进行设置。

工作原理

对于服务器端,可以理解为微软升级服务器的一个本地镜像。服务器端可以自动或者手动跟微软的升级服务器同步,下载所有的补丁程序,然后发布在企业内部的网络中。

客户端则跟通常情况没有太大差别,只是通过组策略的设置把默认的微软服务器改为企业内部的升级服务器的路径,就可以自动下载和安装。

而如果你的网络环境有特别需要,你还可以架设多个SUS服务器,客户端可以选择任意一个服务器下载补丁。对于服务器,你还可以设置其它的SUS服务器都跟同一个主SUS保持同步,而不是各自去跟微软的服务器同步,这样进一步减少了网络流量。

应用范围

SUS只能提供Windows操作系统的关键更新和Service Pack,驱动程序和其他更新都是不包括在内的。而微软的其他产品,例如Office、Exchange等的升级也不包括。

服务器端的配置

在本文中,我们会练习在一台Windows Server 2003 Standard独立服务器上安装并配置SUS服务。

首先要下载服务器端的安装文件,然后直接执行安装,其中一切选项都可以按照默认设置进行。需要注意的是,由于安全方面的原因,SUS服务器的系统盘和保存SUS补丁文件的硬盘分区都必须是NTFS文件系统。另外,如果你是在Windows 2000 Server操作系统上安装SUS,安装程序还会同时为你安装IIS Lockdown Tool,这是一个提高IIS安全性的软件。

服务器端软件安装好后就可以开始设置了,设置SUS服务器有两种方法:本地设置和远程设置,设置需要你有Administrators组的权限。

对于本地设置,只要在控制面板的管理工具中双击“Microsoft Software Update Services”即可。 

而远程管理则需要在远端计算机上打开IE浏览器(5.5以上版本),然后在地址栏输入“http://服务器名或IP/susadmin”  然后回车,接着输入相应的用户名和密码登录。

首先先让我们看看他是如何安装的







进入管理界面后首先要进行同步配置首先选择要更新的软件版本

然后选择分类

然后就可以进行更新操作了
之后需要配置客户端计算机
该操作可以配置一台计算机,也可以同时配置多台计算机,具体操作方法是:将这些计算机包括在组策略对象 (GPO) 中,然后针对该对象执行下述过程。Microsoft 建议您新建一个仅包含 WSUS 设置的 GPO,然后将此 WSUS GPO 链接到适用于您的环境的 Active Directory 容器。在简单环境中,您可能将单个 WSUS GPO 链接到域。在较为复杂的环境中,您可能将多个 WSUS GPO 链接到多个组织单位 (OU),从而可以对不同类型的计算机应用不同的 WSUS 策略设置。
设置客户端计算机包括以下四个过程:

加载 WSUS 管理模板。 
将计算机指向 WSUS 服务器。 
配置自动更新的行为。 
设置计算机和 WSUS 服务器之间的连接频率。 
加载 WSUS 管理模板
在组策略对象编辑器中,右键单击任一管理模板节点。 
单击“添加/删除模板”。 
单击“添加”。 
在“策略模板”中,单击“wuau.adm”,然后单击“打开”。 
在“添加/删除模板”中,单击“关闭”。 
将计算机指向 WSUS 服务器
在组策略对象编辑器中,依次展开“计算机配置”、“管理模板”、“Windows 组件”,然后单击“Windows Update”。 
在详细信息窗格中,单击“指定 Intranet Microsoft 更新服务位置”。 
同时在“为检测更新设置 Intranet 更新服务”和“设置 Intranet 统计服务器”中键入同一 WSUS 服务器的 HTTP URL。例如,在上述两个文本框中键入 http://服务器名,其中服务器名是  WSUS 服务器的名称。 
单击“确定”,然后配置自动更新的行为。 
 注意

每台客户端计算机只能设置为一次与一台 WSUS 服务器进行通信。如果以后更改上述设置,并指定一台不同的 WSUS 服务器,客户端计算机便会停止与先前指定的 WSUS 服务器的连接。但是,该客户端计算机将仍然保留在先前 WSUS 服务器上指定的计算机列表和计算机组中。此外,先前的 WSUS 服务器将报告该客户端计算机上一次与其进行连接的时间(该时间必须是精确的时间 - 应该在该客户端计算机停止与该服务器进行连接之前)。要使客户端计算机不再出现在先前指定的 WSUS 服务器上,必须将该计算机从 WSUS 服务器中删除。有关执行此任务的步骤,请参阅从 WSUS 服务器中删除计算机。 
配置自动更新的行为
在组策略对象编辑器中,依次展开“计算机配置”、“管理模板”、“Windows 组件”,然后单击“Windows Update”。 
在详细信息窗格中,单击“配置自动更新”。 
选择下列选项之一: 
提醒下载并提醒安装。该选项会在下载和安装更新之前对已登录的管理用户进行提醒。 
自动下载并提醒安装。该选项会自动开始下载更新,然后在安装更新之前对已登录的管理用户进行提醒。 
自动下载并计划安装。该选项会自动下载并安装更新。如果将自动更新配置为执行计划安装,那么还必须设置执行计划安装的日期和时间。 
允许本地管理员选择设置。该选项允许本地管理员使用控制面板中的“自动更新”来自行选择配置选项。例如,他们可以选择自己的计划安装时间。不允许本地管理员禁用自动更新。只有当自动更新完成自我更新以便与 WSUS 兼容之后,才会显示“允许本地管理员选择设置”选项。 
设置计算机和 WSUS 服务器之间的连接频率
在组策略对象编辑器中,依次展开“计算机配置”、“管理模板”、“Windows 组件”,然后单击“Windows Update”。 
在组策略对象编辑器的详细信息窗格中,单击“自动更新检测频率”,然后设置该选项。 
连接间隔的确切时间实际上等于此处指定的小时数减去指定小时数的百分之零到百分之二十。例如,如果使用该策略指定的连接频率为 20 小时,那么所有应用该策略的客户端都会每隔 16 小时到 20 小时检查一次更新。如果将状态设置为“启用”,Windows 将按照指定的间隔检查是否具有可用的更新。如果将状态设置为“禁用”或“未配置”,Windows 将按照 22 小时的默认间隔检查是否具有可用的更新。

 注意

如果希望 WSUS 服务器接收更新,则必须还将它视为一台客户端计算机。这样便可以针对 WSUS 服务器执行上述过程;例如,在本主题所述的过程中,您需要将服务器包括在域 GPO 中。 
WSUS 客户端计算机要求自动更新与 WSUS 兼容。在多数情况下,您无需考虑此事项。当客户端计算机首次与 WSUS 服务器连接时,自动更新便会进行自我更新(假如您已经执行了默认服务器安装 - WSUS 已安装在“默认网站”上)。但是,如果您运行的是没有附带任何 Service Pack 的 Windows XP 版本,自动更新便无法自动进行自我更新。如果您在网络中运行该版本的 Windows XP,则请参阅部署 Microsoft Windows Server Update Services(文档可能为英文)(http://www.microsoft.com/),了解有关详细信息。  
管理员定义的配置选项(无论是在 Active Directory 环境中借助适用于基于域的 GPO 的组策略进行设置,还是在非 Active Directory 环境中通过配置注册表或本地 GPO 进行设置)始终优先于用户定义的选项。使用管理策略配置自动更新时,便会在客户端计算机上禁用自动更新用户界面。 
有关在 Active Directory 和非 Active Directory 网络环境中设置和配置客户端计算机的选项的详细信息,请参阅部署 Microsoft Windows Server Update Services(文档可能为英文)。(http://www.microsoft.com/)  


然后要使用安全套接字层(SSL)
要设置 SSL,必须在 WSUS 服务器上安装证书,然后将客户端计算机(和下游 WSUS 服务器,如果有的话)配置为信任服务器证书。
客户端的配置

客户端我们分两种情况说明,那就是域环境和工作组环境。首先看看工作组环境。

注意:以下内容涉及到活动目录以及组策略,而Windows XP Home Edition即没有组策略也无法加入域,因此不在我们这里的讨论范围。

工作组环境下需要对每台客户端计算机分别设置,如果网络中有较多的计算机这样显然很麻烦,好在通常计算机数量多的情况下管理员都会使用活动目录的方式管理,因此这个问题并不严重,我们继续看下去。

对于Windows 2000 SP2和Windows XP,我们要先安装SUS客户端

安装后,在客户端的运行中输入“gpedit.msc”打开组策略编辑器,并依次展开“计算机配置”-“管理模板”,然后在“管理模板”上点击鼠标右键,选择“添加/删除模版”,然后在图六的界面上点击“添加”按钮,并找到%windir%/inf目录下的wuau.adm文件,双击添加。接着继续打开“Windows组件”-“Windows Update”(这一项只有在安装了客户端软件并添加后才会出现),在窗口右侧就会显示出两条可用的策略。其中“配置自动更新”可以让你设置进行更新的时间和处理方法,“指定企业内部互联网…”则用来指定服务器的位置,你可以以“http://服务器名称”或者“http://服务器IP”的方式输入。而接下来你要做的就是分别在网络中的每台计算机上进行同样的设置。



处理好这些后就可以了,以后每到预先设置的时间,程序就会自动连接到指定的升级服务器检查更新,如果有更新,则会按照预先的设置,或者自动下载并询问安装,或者提示用户。需要注意,SUS对于客户端没有可访问的页面,所有的升级只能在后台自动进行。

对于Windows XP SP1和Windows 2000 SP3 还有Windows Server 2003,这些操作系统已经安装了客户端,因此直接在组策略中按照上面的方法设置即可。

如果你的网络规模比较大,应用了活动目录,那么管理起来会更加方便。

在域控制器上的运行中输入“dsa.msc”并回车,打开Active Directory用户和计算机设置窗口,在要创建策略的OU或者域上点击鼠标右键,选择“属性”,然后在属性窗口中打开“组策略”选项卡,并点击“新建”按钮,给新建的策略命名(例如叫做SUS,图七)。选中新建的组策略,点击“编辑”按钮,接着会弹出一个组策略设置窗口,这跟我们平常运行gpedit.msc打开的窗口很类似,不过这里可以为整个域中的所有计算机设置组策略。

在这个窗口中依次展开“计算机配置”-“管理模板”-“Windows 组件”-“Windows Update”,然后通过设置这里的策略就可以给所有登入域的计算机设置SUS客户端的工作参数。有一点是需要注意的,如果客户端的操作系统是Windows 2000 SP2、Windows XP,那么首先仍然需要安装SUS客户端软件。

整个客户端的设置工作就是这样了。相信经过设置,以后管理员的维护工作将会更加轻松,而网络中的计算机也会更加安全!

你可能感兴趣的:(Windows Server Update Services 2.0更新及使用教程1)