【IT168专稿】对于企业网络中的计算机，从安全角度考虑，我们一般都启用了自动更新功能。这样微软只要有新的补丁发布，那么客户端就能够自动完成下载更新。可是你想过没有，如果几百台计算机都同时下载，那么有限的网络带宽将被无情的占用，导致正常的业务需要都无法满足。

　　我们知道，Microsoft提供的自动更新功能其就是让网络中的计算机从微软的服务器下载补丁，那么我们为什么不转变一下思路，将微软的这些补丁下载到本地的服务器上，然后让客户端从本地网络服务器上下载，这样整个网络相当于只有一台服务器需要连接微软的补丁更新服务器，其它的计算机都是在网络内部进行下载更新，这样速度岂不是快了许多。

　　SUS服务的英文全名叫“SOFTWARE UPDATE SERVICES”，从字面意思上看就是“软件更新服务”。这是微软为企业用户提供的一项服务，利用该服务，能够帮助企业网络管理人员自动动态部署、下载、分发、安装Windows系统的补丁程序。

　　完整的SUS服务是由服务端程序和客户端程序两部分组成的。其中SUS服务端程序只能安装在Windows 2000 Server、Advanced Server、Datacenter Server和Windows 2003 Server等服务器操作系统上，服务端程序的作用就是与Windows Update站点进行联系，同步更新微软发布的补丁供内部计算机补丁更新；客户端只能安装在Windows 2000 SP2以及Windows XP版本中，如果在Windows 2000 SP2、Windows XP SP1及Windows 2003系统上则不需要安装，因为它们已经包括在系统中了。

　　一、安装服务端
　　1．准备工作
　　对于充当SUS服务器的计算机来说，必须满足一定的要求。除了在上文所介绍的SUS服务端程序只能安装在Windows 2000/2003服务器版本之上，还必须安装IIS服务，这是因为使用IIS服务我们可以在远程配置管理SUS服务器；对于IE浏览器最低版本为5.5，建议使用IE6.0，对于操作系统所在分区必须使用NTFS格式，如果系统使用的分区格式为Fat32等格式，那么可以使用Convert进行分区格式转换。打开命令提示符窗口，输入“Convert C： /FS:NTFS”并回车即可将C盘转换成NTFS格式，并且里面的内容不会丢失。

　　做好准备工作之后，就可以下载服务端和客户端程序了。打开浏览器访问http://www.microsoft.com/windowsserversystem/sus/default.mspx，在页面中下载SUS的服务端程序和客户端程序。

　　2．服务器安装
　　双击下载回来的服务端程序，启动安装向导。安装时首先会检测服务器是否满足安装需要，如果不能满足则会弹出信息窗口以提示（如图1），对于已经满足安装条件的计算机来说，安装向导则会出现欢迎界面，单击“Next”按钮进入安装许可协议窗口，要想使用SMS服务，那么只有选中 “I accept the terms in the License Agreement”才能继续。选好之后继续单击“Next”进入安装类型设置窗口，这里提供了典型安装（Typical）和自定义安装（Custom）两种选择，对于一般用户来说我们建议选择典型安装，单击Typical前的按钮进行安装。

　　需要注意的是在SUS服务端安装向导过程中，程序会自动打开IIS Lockdown安装向导（如图2），该程序的安装是自动进行的，不需要我们做任意设置。待其安装完毕即会返回SUS安装向导，并且提示安装已经完成。

　　二、服务端配置
　　1．进入管理页面
　　为了便于网络管理员在不同的环境中都能使用SUS服务器，它提供了两种配置管理SUS服务器的方法，即直接在本地管理和通过浏览器进行远程配置管理。
　　（1）本地管理
　　如果SUS安装在本地计算机上，那么我们只需要打开“我的电脑”中的“控制面板”窗口，然后进入“管理工具”文件夹，双击其中的 “Microsoft Software Update Services”项，这样就可以直接打开SUS配置窗口（如图3）。

　　（2）远程管理
　　更多的时候我们不需要也不可能直接到服务器前进行配置，为了解决这个问题SUS给我们提供了基于浏览器远程登录配置的方式，这也是前文所必须要安装IIS服务的原因所在。
　　打开浏览器，在其地址栏中按照“http://服务器IP地址/SUSAdmin”或 “http://服务器名/SUSAdmin”格式输入，输入之后按下回车键，会弹出一个登录窗口，要求我们输入用户名和密码，此时输入拥有该台服务器操作系统管理员权限的帐户名称和对应的密码进行登录，登录成功后配置窗口和本地登录后打开的配置窗口是一样的。

　　（3）解决远程无法登录
　　如果在使用SUS服务之前，该台计算机就已经充当了Web服务器的功能，那么在我们安装了SUS服务之后，可能会与默认站点之间发生冲突，导致无法使用远程登录方式进行管理。
　　如果出现这种情况，我们则需要对SUS站点进行适当的修改。进入“控制面板”，打开“管理工具”中的“Internet信息服务”项，在打开的管理窗口中我们可以看到这里有SUS服务端程序建立的Web站点，并且该站点处于停止状态，此时我们只需要打开该Web站点属性窗口，然后更改其IP地址，如果没有多余IP地址的，只需要将默认的80端改改成其它值，例如8080，然后单击“确定”按钮保存设置，保存修改后在IIS中再次选中并右击该站点，在弹出的菜单中选择“启动”命令即可。

　　2．服务器配置
　　虽然说SUS功能是很强大的，但是其配置过程对于一个合格的网络管理员来说还是非常简单的。
在前文打开的SUS配置窗口中可以看到，左侧为服务配置的功能栏目，右侧是对应的项目。而在SUS服务端配置中，最重要的配置都集中在“Other Options”下的“Set options”下。打开“Set Options”项，可以看到里面提供了五项具体的配置内容，为了让读者了解配置SUS服务的真正内容，我们将分项向读者讲解。

　　（1）代理服务器配置
　　配置的第一项是“Select a proxy server configuration”，从文字上解释就是代理服务器配置。这主要是针对那些使用了代理服务器共享上网的用户，在此则可以把“Use a proxy server to access the Internet”项选中，表示当前计算机是通过代理服务器访问Internet；然后再选中 “Use the following proxy server to access the Internet”，同时在“Address”和“Port”处填入代理服务器的IP地址和端口，对于那些需要进行身份验证的代理服务器用户，还要选中 “Use the following user credentials to access the proxy server”选项，然后在“User”和“Password”处输入代理服务器的用户名和密码。
　　如果网络不是使用代理服务器共享上网，而是直接连接Internet，那么我们就不需要进行代理服务器的配置，只要选中“Do not use a proxy server to access the Internet”选项即可（如图4）。

　　（2）SUS服务器名称
　　对于SUS服务器名称来说并没有太大的实用意义，需要注意的是SUS服务器名称与计算机称两者的含义是不同的，但是我们可以在“Specify the name your clients use to locate this update server”中看到SUS服务器的名称默认使用系统的计算机名称，对此一般不需要作出修改，如果需要更改的话只需要在“Server name”后输入新的名称即可。

　　（3）补丁更新来源
　　这是一项比较重要的配置，因为它关系到SUS服务器从何处获得最新的补丁。我们看到在 “Select which server to synchronize content from”处提供了两种选择。即“Synchronize directly from the Microsoft Windows Update Servers”和“Synchronize from a local Software Update Server server”。其中默认选项为“Synchronize directly from the Microsoft Windows Update Servers”，表示与Microsft的Windows Update更新服务器同步更新补丁，这也是绝大多数中小型企业用户的选择；当然如果你的网络规模比较大，局域网中配置了多个SUS服务器，那么你只需要指定一台服务器从微软的补丁更新服务器上获取最新的补丁程序，其它的SUS服务器则可以选择“Synchronize from a local Software Update Server server”，然后在输入框中输入直接与微软补丁服务器上获取补丁的那台SUS服务器的名称，这样它们就可以从该台服务器上获取最新的补丁了（如图5）。

　　（4）不同版本的补丁处理关系
　　为了增强系统的安全性，微软经常对以前发布的补丁进行升级，提供新的补丁替代旧版本的补丁。这样SUS服务器在下载遇到这类型的补丁时该怎么办呢？在“Select how you want to handle new versions of previously approved updates”下提供了两种选择。建议用户选择“Automatically approve new versions of previously approved updates”，这就可以用最新的补丁自动替代原来发布的补丁了，如果选择“Do not automatically approve new versions of approved updates. I will manually approve these updates later”项，那么碰到这种情况则需要用户进行手工确认是否下载了。

　　（5）设置下载补丁语言种类
　　微软的操作系统语言版本极多，我们正常使用的是简体中文版。因此我们只需要下载对应语言版本的补丁。在“Select where you want to store updates”下选中“Save the updates to a local folder”，然后单击“Clear All”按钮，再选中“Chinese Simplified”选项即可。
　　做好上面的所有项目的配置后单击“Apply”按钮应用设置。

　　3．补丁更新设置
　　对SUS服务进行了全面的配置之后，我们就可以进行与Windows Update服务器进行补丁更新了。在SUS配置窗口左侧单击“Synchronize server”，我们可以看到右侧有“Synchronize Now”和“Synchronization Schedule”两个按钮。
　　我们不可能在第一时间知道微软补丁的发布情况，因此最好让系统来自动检测。单击“Synchronization Schedule”打开自动更新时间设置，选中“Synchronize using this schedule”选项，然后设置更新的时间以及星期，建议大家将更新时间设置为凌晨，因为这个时候使用网络的用户比较少，速度比较快，有助于网络效率的发挥（如图6）。

　　但是对于初次使用SUS服务的用户来说，或许已经等不及到凌晨去自动更新了，这也没有关系，我们只需要单击“Synchronize Now”按钮（如图7）即可启动更新。在更新时我们还可以实时了解更新的进展。

　　三、客户端的配置
　　将客户端程序下载并放置在服务器上，让客户端每个用户都下载该程序进行安装，安装过程比较简单，在这里不再多述。
　　1．添加模板
　　在客户端上打开“运行”窗口，输入“Gpedit.msc”并回车打开组策略编辑器，依次选择“本地计算机策略—计算机配置—管理模板”，右击“管理模板”，在弹出的菜单中选择“添加/删除模板”（如图8），在打开的窗口中选中“wuau”项，然后单击左下角的“添加”按钮，在打开的策略模板窗口中选中“wuau.adm”将其打开后返回组策略编辑器。

　　小提示：策略模板一般保存于系统安装目录下的INF文件夹中，如果是Windows 2000系统，则默认安装在C:\Winnt\inf，如果是Windows XP则默认保存在C:\Windows\inf。因此如果在打开的策略模板窗口中没有wuau.adm文件，可以进行手工选择。

　　2．组策略更新配置
　　组策略模板添加后，我们在组策略编辑器的“管理模板”下看到多出了“Windows Update”项，在该项下面有四个具体的配置内容（如图9），下面我们向大家详细介绍这四个项目的配置。

　　（1）配置自动更新
　　双击打开“配置自动列新”项目，在“策略”选项卡中将其设为“启用”，然后在“配置自动更新”下拉菜单中选择客户端更新的方式，例如我们选择“自动下载并计划安装”，这样我们就可以在下面的“计划安装日期”和“计划安装时间”两项进行设置补丁下载后的安装日期和时间了，这有点和系统的计划任务相类似（如图10）。

　　（2）指定Intranet Microsoft更新服务位置
　　既然已经启用了客户端自动列新功能，那么则必须告诉客户端到哪里下载补丁。这就需要在“指定Intranet Microsoft更新服务位置”中进行配置了。双击打开该项，在“策略”选项卡中将其设为“启用”，然后在“设置检测更新的intranet服务更新服务”和“设置intranet统计服务器”处填入SUS服务器的地址，如果在前文曾改了端口的还必须加上端口号。

　　（3）重新计划自动更新计划的安装
　　如果前文配置自动更新时设置了计划安装，那么客户端很有可能在计划的时间内没有打开计算机，从而错过安装。对于这种情况我们就可以在“重新计划自动更新计划的安装”项中进行配置。
　　打开配置窗口，将其设为“启用”，然后设置系统启动后等待时间，例如一分钟，这样当客户端错过了计划的补丁安装时间，那么只要在开机后一分钟就开始自动执行丢失的安装计划（如图11）。

　　（4）不为计划的自动更新安装重新启动
　　有很多补丁安装后都会要求重新启动才可以生效，如果客户端用户在自动安装好补丁后系统自动重启，那么很可能造成当前正在编辑的内容丢失。对此，我们需要设置手工重新启动。双击打开该项，将其设为“已启用”，这样客户端在安装好补丁时，就会自动提示用户是否重新启动计算机，而不是直接自动重启计算机。

　　3．Windwos XP SP2模板配置
　　在上面我们所介绍的四项只是针对Widnwos 2000 SP2用户而言的，这四项是SUS客户端配置最基本的内容。但是如果你的系统版本不同，那么其配置项目会有所增多。例如Windwos XP SP2已经自动安装了客户端程序，那么我们就不需要进行策略模板的添加，直接在“管理模板”下打开“Windwos组件”，在这里面已经将“Windows Update”项自动添加进来，并且右侧的配置项目更多（如图12）。

　　现在客户端用户只要打开计算机，并且在规定的时间内检测到有新的补丁存在服务器上，它就会自动将其下载到本地，并按设置的内容进行安装。可以预见的是，当再有新的补丁发布时，SUS服务器会首先进行更新，然后再通过局域网进行发布，这样一来相当于只下载一次，其它的都是在内网际协议传输，速度当然快了许多，相当于给局域网计算机补丁升级开通了一条快车道。