补丁自动打—建局域网内部SUS服务

伴随“冲击波”病毒的出现，微软升级网站的知名度迅速攀升。每当微软有新补丁发布时，网民们蜂拥而至，抱怨登不上去者大有人在。而此刻最辛苦的还要算局域网的网管员。他除了要争取在第一时间为自己管辖的所有服务器升级外，还要为客户端下载适用于多种平台、多种语言环境的补丁包，之后还要检验这些补丁包是否都升级到位。往往一个补丁还未处理完毕，另一补丁又来了。人们不禁要问，微软首倡的“零管理”哪里去了？其实微软已前期推出了SUS（Software Update Services）服务，以此来兑现它的“零管理”。

■ SUS服务的工作流程
在局域网内部搭建SUS服务器→定期有选择地与微软升级网站做内容同步→重新定向内网客户端的升级URL，使之从微软升级网站转到内部SUS服务器上来→利用组策略自动安装SUS客户端程序→同时定制客户端的升级方式和升级时间表。

■ SUS服务的安装与配置

1．SUS服务器的安装

（1）SUS服务器的硬件最低配置：Pentium Ⅲ 700MHz，512MB内存，6GB硬盘空间。

（2）软件最低配置：Windows 2000 Server，SP2，IIS 5.0，IE5.5，NTFS分区，最好是一台域控制器（DC）。

（3）SUS客户端的软件配置为Windows 2000/XP。

（4）SUS服务器安装程序包（Sus10sp1.exe）和客户端安装程序包（Wuau22chs.msi）的下载链接如下http://go.microsoft.com/fwlink/?LinkId=6930。

SUS服务器的安装很简单，选择典型安装几乎无需用户干预。如果您的缺省分区不够大，最好还是选择定制安装，重新指定其他分区，因为仅下载中英文版的补丁就要占用1GB的硬盘空间。

2．SUS服务器的配置

（1）安装结束后自动进入配置界面，点击“Set options”进入设置选项。除了填入本地SUS服务器IP地址“168.192.0.1”、选择“Chinese Simplified”和“English”外，其他均可保留缺省设置。点击[Apply]确定。

（2）点击“Synchronize server”与微软升级网站做内容同步。这个过程时间很长，有1GB左右的内容要下载。之前最好先设置日后的同步时间表。

（3）内容同步完成后点击“Approve updates”，将已下载的内容有选择地提供给内网用户。SUS服务器的配置工作到此结束，日后要修改配置时，只需在浏览器地址栏中输入http://ServerName/SUSAdmin/”即可。如果是远程管理，需要管理员口令。

3．组策略配置

（1）定制客户端的升级方式和升级时间表
点击“开始→程序→管理工具→Active Directory用户和计算机”，右击“组织单元（OU）”，可以是域，也可以是组，选择“属性”，选择“组策略”，点击“新建”，为该策略取名“SUS”，点击“编辑”，在新界面中右击“计算机配置”下的“管理模板”，选择“添加/删除模板”，点“添加”浏览至WINNT\INF目录下，选择“Wuau.adm”文件后点击“打开”，点击“关闭”。

展开上述界面中的“管理模板→Windows Components→Windows update”，双击“Configure Automatic Updates”，出现附图所示界面。按图中的参数配置后，点[下一策略]，填入本地SUS服务器IP地址http://168.192.0.1”后点击[确定]。

（2）自动安装客户端程序
将从微软网站下载来的中文版客户端程序包Wuau22chs.msi复制到SUS服务器的NETLOGON共享目录下（其实际路径在WINNT\SYSVOL\sysvol\DomainName\scripts下）。

点击“开始→程序→管理工具→Active Directory用户和计算机”，右击刚刚配置过的“组织单元（OU）”选择“属性→组策略→SUS→编辑”，在新界面中展开“软件设置”，右击“软件安装”，选择“新建→程序包”，在文件名栏中填入“\\ServerName\NETLOGON\WUAU22CHS.msi”，点击“打开”，选择“已指派”，点击[确定]。

■ 必要的检验手段
一项服务搭建成功后，管理员势必要检验其效果，但SUS目前的版本未提供直观的管理界面。必须通过特殊手段从服务器和和客户端进行双向检验。

服务器端的检验手段是添加wutrack.bin日志：点击“开始→程序→管理工具→Internet服务管理器”，点击“Web站点”，右击左栏中的“Wutrack.bin”，选择“属性”，选中“日志访问”，点击[确定]。该日志文件存放在WINNT\SYSTEM32\LogFiles目录下，文件中相关记录的格式为：/wutrack.bin?U=&&C=&&A=&&I=&&D=&&P=&&L=&&S=&&E=&&M=&&X=

如何解读请参见SUS白皮书《Deploying Microsoft Software Update Services》第83页。

客户端的检验手段是查看注册表的HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate项和Winnt/Windows目录下的Windows Update.log文件。

最后需要说明两点：
（1）SUS服务只提供关键性更新；
（2）Windows 9.x系列不在SUS的管理范围内。