Windows Server Update Services 2.0更新及使用教程1

大部分对计算机比较熟悉的朋友都知道，通常安装好Windows 操作系统后要做的第一件事就是上Windows Update网站去给Windows 安装补丁程序，否则各种漏洞对系统就是一个很大的威胁。不过遗憾的是很多人还没有这样的意识，疏忽了给系统打补丁。这也间接造成了病毒的横行，例如去年的“蠕虫王”和前几天的“冲击波”，这两个病毒都是利用了微软软件的漏洞编写和传播的，遗憾的是在这些病毒广泛流传之前，相应软件的补丁程序早就已经由微软发布出来并提供了免费下载，只要用户能经常性地访问Windows Update网站打补丁，就不会感染这些病毒，可是很多人都疏忽了这一点。好在经过这两次教训，更多的人知道“打补丁”的重要性，可是问题又来了。 微软的升级服务器都架设在国外，有时候由于网络的原因造成了国内用户连接服务器的速度非常慢，这些时候光下载补丁就要一个多小时的时间，效率非常低。另一方面，对于有上百台电脑的企业，每台电脑都连接到微软的服务器去下载上百兆字节的补丁程序，这对企业的网络带宽也是一个不小的负担，况且由于大家都到微软的服务器下载补丁，管理员就无法对补丁程序的内容进行控制，如果某个补丁正好跟企业内部广泛使用的某个软件有冲突的话，还可能造成更大的麻烦。现在，问题解决了，那就是使用微软的SUS（Software Update Service，软件更新服务）服务。 而SUS的后续版本Windows Server Update Services（下文统一简称为WSUS）又将带来什么新功能呢? 我们来进入文章的第一部分强大的更新服务器WSUS 虽然美国微软已经把软件名更名为Windows Server Update Services 2.0（WSUS）但是微软中国还叫Software Update Services 2.0（SUS）其实是一个软件。 我们来看下微软中国的关于Software Update Services 2.0的说明吧 简介 即将发布的 Software Update Services (SUS) 2.0 致力于帮助用户对基于 Microsoft® Windows® 2000 和 Windows Server™ 2003 的服务器以及运行 Microsoft® Windows® 2000 Professional 或 Windows® XP Professional 的台式机快速部署最新的重要更新和安全更新。 通过使用计划发布的 SUS 2.0，信息技术 (IT) 管理员可以完全控制管理通过 Windows Update 发布给网络中的计算机的更新的分发。 SUS 2.0 解决方案提供包括下列组件的管理体系结构： • Windows Update - 包括所有基于产品和更新类型的可用 Microsoft 更新的 Microsoft 网站。   • 服务器组件 - Microsoft 软件更新服务，称为 SUS 2.0 服务器，用于安装在公司防火墙内运行 Windows 2000 Server 或 Windows Server 2003 家族操作系统的计算机上。服务器组件提供通过基于 Web 的工具管理和分发更新的管理功能，管理员可以访问公司网络中的任何 Windows 计算机。   • 客户端组件 - 自动更新（Automatic Updates），即客户端组件，在接收 Microsoft 产品更新的计算机上运行。本组件可以将服务器和客户端计算机直接连接至 Windows Update 或连接至接收更新的运行 SUS 2.0 的服务器上。自动更新组件计划纳入 Windows 2000 Service Pack 4 (SP4) 和更高版本、Windows XP 和更高版本以及 Windows Server 2003 中。     SUS 2.0 中计划包含的功能 SUS 2.0 构建在 SUS 1.0 的功能之上，目前计划提供下列功能： • 扩展对包括 Office、SQL Server、Exchange 和硬件驱动程序在内的 Microsoft 产品的支持   • 扩展对附加更新类别的支持   • 提供使用 Windows 客户端或服务器计算机支持的任何语言的计算机部署更新的能力   • 自动排列优先级和下载重要更新   • 通过后台智能传输服务 (BITS) 技术提高带宽效率   • 提供对特定计算机组进行更新的能力   • 提供管理员选择和决定自动下载特定类型更新的计划的能力   • 改进了报告能力，使管理员能够监视更新部署状态和服务器的正常运转   • 扩展了通过应用程序编程接口 (API) 和脚本管理客户端和服务器组件的能力   • SQL Server 引擎用作 SUS 2.0 数据知识库   • 方便地从 SUS 1.0 迁移到 SUS 2.0   要求 计划的 SUS 2.0 要求如下： 服务器 • Windows 2000 Server SP4 或更高版本或 Windows Server 2003   • Microsoft Internet Information Services (IIS) 5.0 或更高版本、Microsoft Internet Explorer 6.0   客户端 • Windows 2000 Service Pack 3 (SP3) 或更高版本、Windows XP 和 Windows Server 2003     功能一览 SUS 2.0 目前计划提供下列功能。 客户端功能 自动更新使 Windows 能够自动下载和安装 Microsoft 产品的更新。下表中列出的是计划的客户端组件的主要功能。 SUS 2.0 计划的客户端功能 功能 说明 内置安全  内容： SUS 2.0 客户端将只信任由 Microsoft 签名的特定内容，因此，不可能篡改内容。 客户端-服务器关系：SUS 2.0 客户端要求 SUS 2.0 服务器进行自身身份验证来建立通信，并使用安全协议加密会话期间交换的数据。 计算机隐私：SUS 客户端不发送任何个人标识信息给 Microsoft。搜集的数据绝对是一般信息并只用来改进服务。   自动检测、下载和安装适用更新  自动更新可以确定如果计算机缺少更新则可以自动启动下载和安装。 在托管环境中，客户端可以直接从 Windows Update 或从 SUS 2.0 服务器获得更新。 在托管环境中，管理员可以配置客户端检查 SUS 2.0 服务器新更新的频率。   用户可用的计划和通知选项  用户可用的计划和通知选项可以通过组策略进行配置。 具有管理权限的用户可以指定在自动下载、安装或设置安装计划前是否通知用户。此外，用户可以检索以前拒绝的更新或隐藏的更新。   有效的后台下载更新  自动更新计划使用 BITS（一种创新的带宽限制技术）,已内置入 Windows 2000 SP3 和更高版本的操作系统中，用于将更新下载至计算机。 BITS 技术提供下载期间的增量数据压缩 - 只从 SUS 2.0 服务器或 Windows Update 下载文件中发生更改的部分，这样可以通过自动更新有效分发 Service Pack。   安装更新时不中断用户  设置为该选项时，自动更新能够在无需重启或中断服务的情况下，一找到更新就立即安装，而不会等到计划的自动安装时间。而且，自动更新将把需要计算机重启的更新合并到一次重启中。 自动更新还去除用户与最终用户许可协议 (EULA) 交互的要求。在 SUS 环境中，EULA 将由管理员代表客户端在 SUS 2.0 服务器上接受。   强大的、可扩展的管理员管理能力  在 Active Directory® 目录服务环境中，计划为管理员提供通过使用组策略配置自动更新行为的可能性。在其他情况下，计划为管理员提供通过使用登录脚本或类似机制使用注册表项远程配置自动更新的能力。 此外，管理员可以使用脚本通过基于组件对象模型 (COM) 的 API 管理客户端。计划可使用软件开发工具包 (SDK)。   客户端计算机的自我更新  在管理员托管方案中，客户端计算机可以将其自动更新组件更新为新版本，而无需管理员重新配置计算机。   改进的更新适用规则  SUS 2.0 客户端具有仅下载和安装真正对计算机适用的特定更新的能力。而管理员不用猜测更新安装在何处，SUS 2.0 客户端与 SUS 2.0 服务器协同来评估将哪一个更新应用至特定系统。例如，客户在 Windows XP 计算机上安装适合于 Windows 2000 的更新时不会有风险。   服务器端功能 SUS 2.0 服务器管理工具计划提供一套强大的管理功能。下表中列出了服务器组件的功能。 SUS 2.0 计划的服务器端功能 功能 说明 内置安全  SUS 2.0 管理工具页限于 SUS 2.0 服务器上的本地管理员。同步将通过更新服务器验证所有下载的数字签名。如果签名不是来自于 Microsoft，包将被删除。此进程使用的协议保证 SUS 2.0 服务器与 Windows Update 站点通信的安全性和可靠性。   更多内容  SUS 2.0 支持随时间推移更新所有的 Microsoft 产品。   新数据模型  SUS 2.0 组件旨在通过新数据模型处理更新，在该模型中更新之间可以存在复杂的关系（例如，更新之间的取代和依赖）。   更新管理体系结构和横向扩展支持  SUS 2.0 计划为管理员提供创建由 SUS 2.0 服务器层次结构组成的更新管理体系结构的能力。例如，SUS 2.0 服务器可部署为匿名服务器、从属副本主机或负载平衡群集。因此，SUS 2.0 横向扩展为可处理任意多个客户端。 此外，计划让管理员可以灵活选择配置计算机是直接从 Windows Update 还是从内部分发更新的 Intranet SUS 2.0 服务器获得更新。管理员还可以根据网络配置使用两种设置的组合。   预先部署检查和审批  通过在一个特定的目标组中向所有计算机发送预先部署请求，计划使管理员可以评估需要更新的计算机数目以及部署更新将影响网络的程度。预先部署检查使得管理员能够在实际部署安装更新前执行更新影响分析。   目标  目标计划使管理员能够创建同等级的计算机的目标组并从一个 SUS 2.0 服务器为那些组指定特定更新。此外，SUS 2.0 将支持下列功能：客户端和服务器端目标、支持 Active Directory 环境的基于注册表的策略以及非 Active Directory 环境的服务器端列表。   管理员定义的下载行为  除了 BITS 技术将促进的有效后台下载外，计划的 BITS 技术使得服务器能够同步基于管理员定义的更新首选项和计划。管理员能够在更新下载时指定时间段（包括部署的仅下载作为更新的选项）和出现下载时使用的网络带宽值。   基于截止时间的安装（或卸载）  计划让管理员能够强制安装更新的截止时间。在这种情况下用户不能在指定截止时间后延期安装更新。   卸载  如果更新支持卸载，当部署更新后确定更新不适合产品环境时管理员可以启动卸载更新。   报告  计划使管理员能够通过 SUS 2.0 报告功能监视更新活动和服务器的正常运转。为监视和管理更新活动，SUS 2.0 提供基于客户端发送的事件，包括每次更新、每台计算机和每个目标组的更新部署状态的标准报告。此外，如果管理员要创建客户报告，则能够访问 SUS 2.0 数据库中的只读视图。   通过 API 扩展管理  管理员可以使用脚本通过基于 .NET 的 API 管理 SUS 2.0 服务器。开发人员可以创建通过 SUS 2.0 API 与 SUS 2.0 集成的管理应用程序。可以使用 SDK。   导入和导出能力  管理员可以使用导入和导出功能在两个 SUS 2.0 服务器之间下载和传输更新。在这种情况下，导入和导出功能将使在没有物理 Internet 访问或与其他网络的 Internet 连接的断开的网络（受保护的网络）中的更新管理体系结构更易于管理，例如智能社区。   备份和还原服务器数据库  管理员可以很容易从 Microsoft® SQL Server™ 2000 Service Pack 2 (SP2) 或更高版本以及 Microsoft Data Engine (MSDE) 2000 数据库备份和还原 SUS 2.0 服务器的更新内容、部署操作事件和设置。   灵活的服务器配置选项  对于远程管理，服务器配置选项计划包括使用安全套接字层 (SSL) 或超文本传输协议 (HTTP) 与 SUS 2.0 服务器连接并支持除默认端口 80 以外其他端口用于客户端和服务器通信。如果 SUS 2.0 服务器通过代理服务器与 Internet 相连，管理员还可以配置代理服务器设置。   SUS 1.0 服务器的迁移工具  迁移工具使得 SUS 1.0 客户能够无缝地将以前 SUS 1.0 服务器上的管理设置迁移到 SUS 2.0 服务器。     SUS 2.0 和更新管理进程 本节说明 Microsoft 推荐的更新管理进程方法，还为管理员提供如何使用计划的 SUS 2.0 功能确保进程的四个阶段中的每一阶段都能成功的示例。注意：许多功能可以在一个以上的阶段中使用。有关计划的 SUS 2.0 管理功能的详细信息，请参阅本文档前面部分的“服务器端功能”。 1. 评估 管理员在评估阶段的目标是了解什么因素可能对产品环境构成威胁并了解准备产品环境以支持例行和紧急更新管理的方法。通过第一步，评估阶段实质是个持续进行的进程。 例如，管理员将评估有多少服务器和客户端需要更新，它们各自的存储和网络带宽需求以及部署一般更新的可以接受的时间。管理员还要确定要更新什么平台、产品和语言。基于这些因素，他们能够确定最有效的拓扑以横向扩展其 SUS 2.0 组件。SUS 2.0 旨在提供很多选项设置 SUS 2.0 组件，包括在 SUS 2.0 服务器上本地存储更新内容或根据需要从 Windows 下载内容。管理员还可以配置自动更新以在计算机上自动下载和安装缺少的更新。SUS 2.0 提供选项管理 Active Directory 和非 Active Directory 环境中的客户端。 SUS 2.0 计划提供标准合并报告，管理员可以在持续进行的基础上运行。这些报告提供与 SUS 2.0 服务器联系的计算机列表，然后是这些计算机的操作系统、语言和服务包级的列表。报告还将识别计算机安装或丢失了哪些更新并确定服务器的正常运行。 2. 识别 管理员在识别阶段的目标是以简便的方式发现新更新，确定更新是否与产品环境有关以及确定更新优先级。 SUS 2.0 管理工具旨在允许管理员创建订阅。管理员使用订阅可以确定按照产品和分类哪些更新与 Windows Update （或上游 SUS 2.0 服务器）同步；例如订阅可以只包含 Windows XP 重要更新和 Office XP 安全更新的下载请求。管理员可以为每个订阅设置同步计划。例如，管理员可以创建一个需要每天下载的重要更新的订阅，再创建另一个每周下载的可选更新的订阅。 要确定更新是否与产品环境相关，计划使管理员能够查看更新的属性。管理员还可以运行预先部署检查更新，旨在帮助管理员在产品环境中安装更新前评估需要更新的计算机数量以及部署更新给网络带来的影响。 3. 评估和计划 评估和计划阶段管理员的目标是在一个类似产品环境的环境（与产品环境分离）中测试更新，查看重要业务系统和应用程序是否兼容，确定将更新部署到产品中的必要任务，计划更新发布，构建发布以及进行接受发布的测试。 在测试环境中评估更新时，管理员可以运行在实际部署中使用的许多 SUS 2.0 功能。这些功能包括创建订阅，设置自动同步 SUS 2.0 服务器的计划，创建计算机目标组以及确定要下载和安装到这些组的更新，运行预先部署检查和安排自动更新安装计划。测试期间和测试完成后，管理员可以使用 SUS 2.0 提供的标准报告监视测试更新安装的成功进行。 4. 部署 部署阶段的管理员目标是测试、审批和计划更新安装并在部署完成后检查进程。 要考察产品环境以在部署前确保可以处理更新，SUS 2.0 计划让管理员检查更新属性并使用预先部署检查在安装更新前确定影响。要建立更新应用至产品的顺序，管理员可以使用 SUS 2.0 基于网络和人力资源创建最有效的上游和下游以及独立和副本 SUS 2.0 服务器配置。此外，管理员可以通过使用组策略或者通过 API 扩展管理服务器或客户端，配置客户端如何与 SUS 2.0 服务器或 Windows Update 通信。 通过 SUS 2.0 管理工具，管理员可以指定计算机的目标组并确定要部署到这些组的更新。如果在更新部署到产品环境后，证明更新不合适，计划使管理员可以启动更新安装（如有必要，在截止日期前启动）或启动卸载。管理员还可以使用报告确定计算机或目标组的更新部署的成功。 进程完成后 管理员按序完成每个阶段后，返回评估阶段，继续清查现有的计算资产、评估可能存在的安全威胁和漏洞，确定更新信息的优先来源以及评估现有软件分发体系结构和操作有效性。   SUS 2.0 管理更新 SUS 2.0 目前计划启用下列方案。 SUS 2.0 服务器的计划方案 Microsoft 正在计划为 SUS 2.0 服务器启用下列方案： • 将多个不同更新部署到具有良好控制级的计算机组 使用 SUS 2.0 管理工具，管理员可以创建一个或多个计算机目标组，然后确定将一个或多个更新安装到这些组中的计算机上。管理员还可以设置截止时间（日期和时间），在该日期之前选定更新将安装到指定目标组。 在 Active Directory 环境中，管理员可以根据当前计划使用组策略将客户端计算机分配到使用 SUS 2.0 管理工具创建的目标组。新的组策略使客户端计算机能够使用客户端目标。当这些计算机连接到 SUS 2.0 服务器时，可以与自身所属的组通信，在这种情况下服务器自动将其添加到组。   • 基于管理员首选项从 Microsoft 无缝并有效下载更新 使用 SUS 2.0 管理工具管理员可以创