Windows操作系統的安全問題越來越受到大家的關注,每隔一段時間微軟都要發布修復系統漏洞的補丁,但很多用戶仍不能及時使用這些補丁修復系統,以致造成重大損失。
尤其是現在局域網的規模越來越大,對網絡管理員來說,手工為每臺客戶機安裝補丁的工作量太大,且很難實現。而在局域網中架設升級服務器(Microsoft Software Update Services)就可以使客戶機定期自動執行升級操作了。
一、SUS介紹
Microsoft Software Update Services(簡稱SUS)由網絡管理員在局域網內部獨自構建,可將微軟的最新補丁發送給用戶。它分為服務器端和客戶端兩部分,可為1.5萬個用戶提供升級服務。
服務器端(SUS Server )只推出了英文版和日文版,而客戶端則支持24種語言版本,包括中文版。SUS Server能為 Windows 2000 +SP2及以上版本、Windows XP 、Windows 2003系統提供升級服務,但不支持Windows 98和Windows NT系統。
二、SUS服務對硬件和軟件平臺的要求
在安裝SUS服務前,要根據局域網的用戶情況進行合理的規劃,為SUS選擇合適的硬件和軟件平臺。
1.服務器端
對于服務器端來說,微軟推薦服務器的硬件配置為“700MHz主頻以上的CPU,512MB以上內存,6GB以上的硬盤空間”。如果局域網內升級的用戶數量較少,也可以適當降低硬件配置要求。
SUS Server的軟件平臺要求為Windows 2000 Server+SP2及以上版本的操作系統或Windows Server 2003,同時需要IIS 5、IE 5.5及以上版本的支持。
2.客戶端
客戶端對硬件配置沒有什么特殊要求,軟件平臺只要是Windows 2000+SP2及以上版本(Windows XP/2003)即可,不支持Windows 98和Windows NT。
另外,對于Windows 2000+SP2和Windows XP系統,首先需要安裝SUS的客戶端程序;而對于Windows 2000+SP3及以上版本、Windows XP+SP1及以上版本和Windows Server 2003,就不需要安裝客戶端,直接就可以在組策略中進行設置。
網絡管理員可以根據用戶的需要,合理地為SUS選擇軟硬件平臺。
三、服務器平臺的選擇
筆者所管理的局域網內的計算機數量不超過70臺,屬于小型局域網,采用工作組形式。筆者選用了局域網內的一臺DELL服務器來部署SUS服務,并且安裝了Windows Server 2003操作系統,所有分區都采用NTFS格式。
提示:建議大家不要在WWW服務器上安裝SUS Server。在安裝SUS Server的同時還會安裝IIS Lockdown Tool,這是一個提高IIS安全性的軟件,但它可能會導致其他IIS服務工作不正常,建議不要安裝。
四、服務器端配置
首先下載SUS服務器端軟件,然后直接執行,安裝過程中選擇安裝英文版本,其他參數使用默認設置即可。
注意:SUS服務器的系統盤和保存SUS補丁文件的硬盤分區都必須是NTFS文件系統,否則就不能成功安裝。該軟件的下載地址為:http://www.microsoft.com/downloads/details.aspx﹖FamilyId=A7A A96E4-6E41-4F54-972C-AE66A4E4BF6 C&displaylang=en。
1.SUS服務器基本參數設置
設置SUS服務器參數有兩種方法,即本地設置和遠程設置,設置時需要有管理員權限。對于本地設置方法,點擊“控制面板→管理工具”,運行“Microsoft Software Update Services”即可。而遠程設置則需要在遠端計算機上打開IE瀏覽器,在地址欄中輸入“http://192.168.0.10/SUSAdmin/”,其中“192.168.0.10”為該SUS服務器的IP地址,接著輸入管理員用戶名和密碼就可登錄SUS服務器管理窗口。
在管理窗口左欄中點擊“Other Options”菜單下的“Set Options”選項,就可以對SUS服務器的基本參數進行設置。
①在“Select a proxy server configuration”中對防火墻參數進行設置,建議使用默認設置“Automatically detect proxy server settings”,當然也可以根據局域網的情況自定義設置,在“Use the following proxy server to access the Internet”輸入框中填上防火墻的IP地址和端口號。
接著在中間的“Specify the name your clients use to locate this update server”欄中為SUS服務器取一個好記的名稱,如“TJRAO”,這樣客戶端計算機就可以通過SUS服務器來訪問升級服務器了。
在“Select which server to synchronize content from”欄設置同步補丁內容的來源。如果你打算與微軟的升級服務器同步,就選擇“Synchronize directly from the Microsoft Windows Update servers”。如果你想和網絡中的其他SUS服務器同步,可選擇“Synchronize from a local Software Update Services server”,然后在輸入框中填寫目標SUS服務器的名稱或者IP地址。
②在“Select how you want to handle new versions of previously approved updates”中對補丁程序的發布進行設置,建議大家選擇“Do not automatically approve new versions of approved updates......”。管理員對補丁程序進行測試后,再手工發布給局域網用戶,這就避免了某些補丁程序會與用戶使用的程序發生沖突的問題。
“Select where you want to store updates”選項用來設置保存補丁程序的方式,建議你在這里選擇“Save the updates to a local folder”,這樣就可以只下載你需要的補丁。
最后,點擊“Apply”保存參數設置。
2.SUS服務器的同步
完成SUS服務器的參數設置后,就可以進行服務器的同步工作了。在管理窗口中先點擊“Synchronize server”,再點擊右欄的“Synchronize Now”按鈕就可開始同步工作。但由于受到網絡速度的限制,這一過程需要花費很多時間。
建議大家選擇自動同步,點擊“Synchronization Schedule”按鈕,在彈出的對話框中選擇“Synchronize using this schedule”,然后設置同步的日期和時間,建議大家在每天凌晨進行同步(圖1)。
圖 1
3.補丁的發布
完成了SUS服務器同步后,就可以為用戶發布補丁了。在管理窗口左欄點擊“Approve updates”,右欄窗口中會列出已經下載的補丁程序。首先,網絡管理員將這些補丁安裝在少數計算機上進行測試,如果測試正常,就選中補丁程序名稱前面的復選框,然后點擊右下角的“Approve”按鈕,并同意補丁程序的最終用戶許可協議才能完成發布工作。
五、客戶端配置
完成了服務器端的配置后,必須對客戶端進行配置,才能使用SUS服務器提供的升級服務。配置環境分為工作組環境和域環境兩種,本文主要針對采用工作組形式的小型局域網,因此只介紹在工作組環境中的配置(大型局域網采用域環境配置比較合適)。在工作組環境下需要對每臺客戶端計算機分別進行設置,雖然這種方式比較麻煩,但對于機器數量不多的局域網來說,還是一種不錯的方案。
1.SUS客戶端軟件的安裝
局域網用戶是否需要安裝SUS客戶端軟件,取決于客戶機采用的操作系統以及安裝的系統補丁情況。使用Windows 2000+SP2和Windows XP系統的用戶,需要安裝SUS客戶端軟件,而采用Windows 2000+SP3、Windows XP +SP1 和Windows Server 2003系統的用戶則不需要安裝,因為這些系統中已經內置了SUS客戶端程序。
如果客戶機需要安裝SUS客戶端程序,可從http://www.microsoft.com/windows2000/downloads/recommended/susclie nt/default.asp下載SUS客戶端軟件,安裝完成后就可以進行客戶端設置了。
