架设局域网升级服务器SUS
Windows操作系统的安全问题越来越受到大家的关注,每隔一段时间微软都要发布修复系统漏洞的补丁,但很多用户都不能及时使用这些补丁修复系统,造成重大损失。如前一段时间的“冲击波”病毒泛滥,就是利用Windows系统的RPC DCOM漏洞。尤其是现在局域网的规模越来越大,对网络管理员来说,手工为每台客户机安装补丁的工作量太大,很难实现。为什么不在局域网中架设升级服务器(Microsoft Software Update Services)?这样客户机就可以定期自动执行升级操作了。
一、 Microsoft Software Update Services(SUS)介绍
Microsoft Software Update Services(简称SUS)是网络管理员在企业内部独自构建的,将微软的最新补丁发送给用户的“Windows Update网站”服务。它分为服务器端和客户端两部分,可以为15,000个用户提供升级服务。服务器端(SUS server )只推出英文版和日文版,而客户端则支持24种语言版本,包括中文版;SUS server能为 Windows 2000 +SP2及以上版本、 Windows XP 、Windows 2003系统提供升级服务,但不支持Windows 98和Windows NT系统。另外它也不提供其它微软产品的升级,如Microsoft Office、SQL Server、Exchange Server等。
二、 SUS服务对硬件和软件平台的要求
在安装SUS服务前,要根据局域网的用户情况进行合理的规划,为SUS选择合适的硬件和软件平台。
1、服务器端
对于服务器端来说,微软推荐硬件配置为“700MHz主频以上的CPU,512MB以上内存,6GB以上的硬盘空间”,如果局域网内升级的用户数量较少,也可以适当降低硬件配置要求;SUS Server的软件平台为Windows 2000 Server+ SP2及以上版本的操作系统,Windows Server 2003,需要IIS 5、IE 5.5以上版本的支持。
2、客户端
客户端对硬件配置没什么特殊要求,软件平台只要是Windows 2000 +SP2及以上版本/XP/2003即可,但不支持Windows 98和Windows NT。另外,对于Windows 2000 +SP2和Windows XP系统,首先需要安装SUS的客户端程序;对于Windows 2000+ SP3及以上版本、Windows XP +SP1 及以上版本和Windows Server 2003,就不需要安装客户端,直接就可以在组策略中进行设置。
网络管理员可以根据用户的需要,合理的为SUS选择软硬件平台。
三、 服务器平台的选择
笔者所管理的局域网机器数不超过70台,属于小型局域网,采用工作组形式。选择局域网内一台DELL服务器来部署SUS服务,它的配置为: P4 2.0G CPU,512MB ECC内存,20G SCSI硬盘,并且安装了Windows Server 2003操作系统,所有分区都采用了NTFS文件系统。另外,建议不要在WWW服务器上安装SUS Server,在安装SUS Server的同时还为你安装IIS Lockdown Tool,这是一个提高IIS安全性的软件,可能会导致其它IIS服务工作不正常,如OWA。
四、 服务器端配置
首先下载SUS服务器端软件,然后直接执行,安装过程中选择安装英文版本,其他参数使用默认设置即可,要注意,SUS服务器的系统盘和保存SUS补丁文件的硬盘分区都必须是NTFS文件系统,否则就不能成功安装。该软件的下载地址如下:
“
http://www.microsoft.com/downloads/details.aspx?FamilyId=A7AA96E4-6E41-4F54-972C-AE66A4E4BF6C&displaylang=en”
1、 SUS服务器基本参数设置
设置SUS服务器参数有两种方法:“本地设置和远程设置”,设置时需要有管理员权限。对于本地设置,进入到“控制面板—>管理工具”,运行“Microsoft Software Update Services”即可。而远程设置则需要在远端机器上打开IE浏览器,在地址栏中输入“
http://192.168.0.10/SUSAdmin/”,其中“192.168.0.10”为该SUS服务器的IP地址,接着在对话框中输入管理员用户名和密码(图一),点击“确定”后,就登录SUS服务器管理窗口。
在管理窗口左栏点击“Other Options”菜单下的“Set Options”选项,在右栏中就可以对SUS服务器的基本参数进行设置。
①(图二)在“Select a proxy server configuration”中对防火墙参数进行设置,建议使用默认设置“Automatically detect proxy server settings”就可以了,当然也可以根据局域网的情况自定义设置,在“Use the following proxy server to access the Internet”输入框中填上防火墙的IP地址和端口号。
接着在中间栏的“Specify the name your clients use to locate this update server”中为SUS服务器起一个好记的名称,如“TJRAO”,这样客户端机器就可以通过SUS服务器名来访问升级服务器了。
在“Select which server to synchronize content from”下来设置同步补丁内容的来源,如果你打算与微软的升级服务器同步,就选择“Synchronize directly from the Microsoft Windows Update servers”,如果你想和网络中的其他SUS服务器同步,选中“Synchronize from a local Software Update Services server”,然后在输入框中填写目标SUS服务器的名称或者IP地址。
②(图三) 在“Select how you want to handle new versions of previously approved updates”中设置同步了补丁程序后采取的操作,建议大家选择“Do not automatically approve new versions of approved updates……”,管理员对补丁程序测试后,才手工发布给局域网用户,这就避免了某些补丁程序与用户使用的程序发生冲突。
“Select where you want to store updates”选项是用来设置保存补丁程序的方式,建议你在这里选择“Save the updates to a local folder”,这样只下载你需要的补丁语种,减少了额外的开销。
最后点击“Apply”保存参数设置。
2、 SUS服务器的同步
完成SUS服务器的参数设置后,就可以进行服务器的同步工作(图四)。在管理窗口左栏点击“Synchronize server”,这时点击右栏的“Synchronize Now” 按钮就开始同步工作了。但由于受到网络速度的限制,往往这需要一个漫长的过程。建议大家选择自动同步,点击“Synchronization Schedule” 按钮,在弹出的对话框中选择“Synchronize using this schedule”(图五),然后设置同步的日期和时间,建议大家在每天凌晨进行同步。
3、 补丁的发布
完成了SUS服务器同步后,就可以为用户发布补丁了。在管理窗口左栏点击“Approve updates”,右栏窗口中列出已经下载的补丁程序(图六)。首先,网络管理员对这些补丁在少数机器上进行测试,如果测试正常,就选中补丁程序名称前面的复选框,然后点击右下角的“Approve”按钮,接着你要同意补丁程序的最终用户许可协议才能完成发布工作。
这样,就完成了SUS服务器端配置。
五、 客户端配置
完成了服务器端的配置后,必须对客户端进行配置,才能使用SUS服务器提供的升级服务。配置分为两种:工作组环境和域环境,本文主要针对采用工作组形式的小型局域网,因此只介绍工作组环境的配置,大型局域网采用域环境配置比较合适。在工作组环境下需要对每台客户端机器分别设置,虽然这种方式麻烦些,但对于机器数量不多局域网来说,还是一种不错的方案。
1、SUS客户端软件的安装
局域网用户是否需要安装SUS客户端软件,取决于客户机采用哪种操作系统以及安装的系统补丁情况,对于使用Windows 2000+ SP2和Windows XP系统的用户来说,是需要安装SUS客户端软件的,而采用Windows 2000+ SP3、Windows XP +SP1 和Windows Server 2003系统的用户则不需要安装,在这些系统中已经内置了客户端程序。
如果客户机需要安装,从
“
http://www.microsoft.com/windows2000/downloads/recommended/susclient/default.asp”下载SUS客户端软件,安装完成后就可以进行客户端设置了。
2、SUS客户端的设置
①在客户端机器上,点击“开始――>运行”,在运行对话框中输入“gpedit.msc”,打开组策略编辑器,在主窗口中依次展开“计算机配置――>管理模板”,然后鼠标右键点击“管理模板”选项,在弹出的菜单中选择“添加/删除模版”,在添加/删除模版对话框中点击“添加”按钮(图七),找到“c:\windows\inf”目录下的“wuau.adm”文件(以WINXP为例,系统安装在C盘),双击该文件,完成模板文件的添加。
②接着在组策略编辑器主窗口中,依次找到“计算机配置――>管理模板――>Windows组件――>Windows Update”,在右栏中有两条关于“Windows Update”的策略(图八),分别为:配置自动更新和指定企业内部互联网Windows Update服务位置。
双击“配置自动更新”策略,弹出属性对话框(图九),在这里我们设置进行更新的时间和处理方法,默认是“未配置”的,在对话框单选栏中选择“已启用”选项,“配置自动更新”下拉列表中选择“4-自动下载并计划安装”,接着根据用户的需要在下面的“计划安装日期”和“计划安装时间”选择合适的日期和时间,如“2-每星期一、12:00”,最后点击“确定”按钮保存设置。
打开“指定企业内部互联网Windows Update服务位置”对话框(图十),选择“已启用”单选项,然后在下面的输入框中指定SUS服务器的位置,可以使用SUS服务器名称或IP地址,如在输入框中输入“
http://192.168.0.10”或“
http://TJRAO”,最后点击“确定”按钮。
这样一台客户机的设置就完成了,接下来网络管理员为局域网中每台客户机做同样的设置。所有的工作完成后,客户机每到设置的自动更新时间,就会自动连接到指定的SUS服务器检查更新,如果有更新内容,则会按照预先的设置进行升级。需要注意,所有的升级操作是在后台自动进行的。
局域网中架设了SUS服务器后,管理员再也不需要为每台客户机进行手工升级,不但减轻了工作量,而且增强了网络安全,何乐而不为呢!
