SUS系统安装操作指南

SUS系统安装操作指南

 

一、系统介绍：

     Windows 操作系统的安全问题越来越受到大家的关注，每隔一段时间微软都要发布修复系统漏洞的补丁，对网络管理员来说，手工为每台客户机安装补丁的工作量太大，且很难实现。而在局域网中架设升级服务器（ Microsoft Software Update Services ）就可以使客户机定期自动执行升级操作了。

     Microsoft Software Update Services （简称 SUS ）由网络管理员在局域网内部独自构建，可将微软的最新补丁发送给用户。它分为服务器端和客户端两部分，可为 1.5 万个用户提供升级服务。

　　 安装 SUS 服务器之前，须确保服务器符合安装 SUS 的最低硬件要求：

★ 奔腾 III 700MHz 或更高的处理器

★ 6GB 硬盘空间（包含安装和存储安全更新的空间）

★ NTFS 文件系统（安装和存储安全更新的硬盘必须是 NTFS 分区）

工作原理

　 　对于服务器端，可以理解为微软升级服务器的一个本地镜像。服务器端可以自动或者手动跟微软的升级服务器同步，下载所有的补丁程序，然后发布在企业内部的网络中。

　 　客户端则跟通常情况没有太大差别，只是通过组策略的设置把默认的微软服务器改为企业内部的升级服务器的路径，就可以自动下载和安装。

　　 而如果你的网络环境有特别需要，你还可以架设多个 SUS 服务器，客户端可以选择任意一个服务器下载补丁。对于服务器，你还可以设置其它的 SUS 服务器都跟同一个主 SUS 保持同步，而不是各自去跟微软的服务器同步，这样进一步减少了网络流量。

　　 应用范围

　　 SUS 只能提供 Windows 操作系统的关键更新和 Service Pack ，驱动程序和其他更新都是不包括在内的。而微软的其他产品，例如 Office 、 Exchange 等的升级也不包括。

SUS 服务对硬件和软件平台的要求

　　在安装 SUS 服务前，要根据局域网的用户情况进行合理的规划，为 SUS 选择合适的硬件和软件平台。

　　 1. 服务器端

　　对于服务器端来说，微软推荐服务器的硬件配置为“ 700MHz 主频以上的 CPU ， 512MB 以上内存， 6GB 以上的硬盘空间”。如果局域网内升级的用户数量较少，也可以适当降低硬件配置要求。

　　 SUS Server 的软件平台要求为 Windows 2000 Server+SP2 及以上版本的操作系统或 Windows Server 2003 ，同时需要 IIS 5 、 IE 5.5 及以上版本的支持。

     提示：建议大家不要在网站服务器上安装SUS Server 。在安装SUS Server 的同时还会安装IIS Lockdown Tool ，这是一个提高IIS 安全性的软件，但它可能会导致其他IIS 服务工作不正常。

　　 2. 客户端

　　客户端对硬件配置没有什么特殊要求，软件平台只要是 Windows 2000+SP2 及以上版本（ Windows XP/2003 ）即可，不支持 Windows 98 和 Windows NT 。

　　另外，对于 Windows 2000+SP2 和 Windows XP 系统，首先需要安装 SUS 的客户端程序；而对于 Windows 2000+SP3 及以上版本、 Windows XP+SP1 及以上版本和 Windows Server 2003 ，就不需要安装客户端，直接就可以在组策略中进行设置。

提示：对于非正版Win XP 操作系统，应注意不要在该机器上进行SUS 客户端的设置，因为一些非正版的Win XP 操作系统不支持微软补丁的升级（针对SP2 ），如进行升级后，会造成非正版Win XP 操作系统处于不能激活状态。

二、服务器端配置

     SUS 服务器安装、配置、操作由市院技术处负责。各县、区院技术处如有2 台及2 台以上服务器的，使用其中的一台进行安装配置，如只有一台服务器的。使用符合安装条件的微机进行安装。

三、配置客户端

提示：该操作由各县、区院系统管理员完成，请详细阅读。

服务器配置完毕后，我们需要通过配置组策略来让相应的客户端自动从 SUS 服务器而不是 Windows Update 服务器获取更新。

系统要求：

在 Windows 2000 SP3 、 Windows XP SP1 及 Windows Server 2003 中已经内置了 SUS 客户端，因此只有 Windows 2000 SP2 及未升级至 SP1 的 Windows XP 才需要安装客户端。

SUS 客户端的设置和配置步骤：

1 、在客户端计算机上，点击 “ 开始 → 运行 ” ，在对话框中输入 “gpedit.msc” ，打开组策略编辑器。

2 、在 [ 计算机配置 ] 项的所属中，右键点击 [ 管理模板 ] 。在弹出菜单点击 [ 添加 / 删除模板 ] 。

3 、点击弹出设定界面中的 [ 添加 ] 。

4 、选中策略模板中的 [ WUAU.adm ] 策略文件。点击 [ 打开 ] 。

5 、在成功引导 wuau.adm 文件后点击 [ 关闭 ] 。

6 、在组策略设定界面，展开并选中 [ 计算机配置 ] 项所属的 [ 管理模板 ] 项所属 [Windows 组件 ] 项所属的 [Windows Update] 选项。在组策略设定界面 [Windows Update] 项的右侧详细部，选中 [ 配置自动更新 ] ，之后右键弹出菜单 , 点击设定界面中的 [ 属性 ] 。

7 、将 [ 配置自动更新 ] 策略部分中的属性设定为 [ 启用 ] 状态， [ 配置自动更新 ] 的模式设定推荐为缺省模式 4 （自动下载并计划安装），并点击 [ 下一策略 ] 。

8 、将 [ 指定 Intranet Microsoft 更新服务模式 ] 策略部分中的属性设定为 [ 启用 ] 状态， [ 设置检测更新的 intranet 更新服务： ] 和 [ 设置 intranet 统计服务器： ] 的设定全部为 http:// 你的 SUS 服务器 IP 地址 。例子：如果你的 SUS 服务器IP 地址为：10.153.91.5 ，则填入[url]http://10.153.91.5[/url]

9 、上述 SUS client 端的设置正确完成后，您的系统将具备自动升级功能。自动从本地网络上的 SUS 服务器下载微软补丁 ，桌面右下角将出现 Windows Update 的图标。并在你规定的 [ 计划安装时间 ] 上进行微软补丁的安装。

提示：在 [ 计算机配置 ] 项的所属中，右键点击 [ 管理模板 ] 选中策略模板中的 [ WUAU.adm ] 策略文件。如果找不到wusu.adm 文件，你的操作系统可能是Win 2000+SP1 或是Win Xp ，此时你需要在该客户机上运行WUAU22CHS.msi 文件，系统中才有WUAU.ADM 模板文件。

四、确认客户机器SUS 服务可用

    由于 SUS 服务的运行时无人值守方式的，所以在第三部分第七小步 [ 计划安装时间 ] 时要选择一个计算机开启的时间，建议为下午 4 ：00 ， 这样计算机才处于开启状态，可以从    SUS 服务器上下载补丁并进行安装。

     确认步骤：

1 、鼠标左键点击桌面左下的菜单项 [ 开始 ] ，之后点击 [ 运行 ] 。 输入 [SERVICES.msc] 并执行，以开启服务设定界面。 请确认 [Automatic Updates] 服务已经启动，且启动类型为 [ 自动 ] 。 请确认 [Background Intelligent Transfer Service] 服务已经启动。

2 、鼠标左键点击桌面左下的菜单项 [ 开始 ] ，之后点击 [ 运行 ] 。 输入 [ regedit ] 并执行，打开注册表编辑器，检查下面注册表键值，

 [ HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate ]

  项目 [ WUSERVER ] 数值是否为你本地的 SUS 服务器的 IP 地址。

3 、同时在几天以后打开 [ 控制面板 ] 中的 [ 添加或删除程序 ] 注意有无新增加的 WINDOWS 补丁更新。