SUS服务安装指南

SUS服务安装指南

一、前言

 

SUS(Software Update Services)是一个管理和分发解决已知安全漏洞和其他稳定性问题的重要Windows补丁的一个系统服务。它可以支持对Windows 2000，Windows XP和Windows 2003的补丁发布。

 

SUS由三个部分组成：

· Windows Update Synchronization Service: 用来从网上下载补丁

· 一个支持客户Automatic Update服务请求的IIS网站

· SUS的管理页面

 

客户端系统需求：

·Windows 2000 with Service Pack 3

·Windows XP with Service Pack 1

·Windows Server 2003

 

服务器端运行SUS服务的最小需求：

·Pentium III 700 MHz 或者更高CPU

·512 MB 内存

·6 GB 的剩余磁盘空间

·Windows 2000 Server with Service Pack 2 或者Windows Server 2003

·Internet Information Server 5.0或者更高版本

·Internet Explorer 5.5 或者更高版本

 

这样配置的一个SUS服务可以支持最多15,000个客户端。但是在更大型或者更为复杂的企业，建议使用SMS作为更好的企业策略。

 

SUS的语言支持：

更新的系统补丁可以包括多个语言包，但是SUS现在仅仅提供英文版本和日本版本

 

二、安装和配置SUS服务：

 

第一步：从MS的网站获得SUS软件安装包：http://go.microsoft.com/fwlink/?LinkId=6930. 这是一个33 MB的名字叫做Sus10sp1.EXE的文件。下载下来，然后拷贝到你需要安装SUS服务的机器上。

 

第二步：安装SUS服务：

 

1、双击Sus10sp1.exe 开始安装SUS服务。在安装的时候我一般选择自定义安装，这样可以在安装的时候就进行一些起初的配置。

 

2、确定SUS服务安装的路径和更新数据包保存的路径。对于客户端没有连接到Internet的企业，我们可以选择让客户端从服务器下载安装；对于客户端连接到Internet的企业，我们则可以有更多的选择，除了从SUS服务器安装以外，还可以把客户端重定向到Microsoft的网站上面去。

 

图 1 配置SUS的安装路径

 

3、接下来，我们需要配置下载的补丁包的语言版本。你可以根据企业的客户端的情况，配置不同的语言版本。为了减少SUS所占用的硬盘空间和下载补丁的时间，这是非常有必要的。

 

图 2 配置下载补丁包的语言

 

4、更新批准配置。默认情况下，所有补丁包需要你手动批准，只有你批准过的补丁才会发布到客户端去。如果你想让它自动批准的话，需要做下面的配置。

 

图 3 更新批准的配置

 

5、跟着下面的安装指引我们将完成我们的安装工作，接下来是完成SUS的配置工作。

 

第三步：SUS的配置。

 

由于在安装的时候，我们已经对SUS完成了大部分的配置，那么现在我们来修改或者检查一下刚才我们的配置。在这里我们可以通过新安装的管理工具或者通过在IE中输入管理地址http://susserver/SUSAdmin来管理我们的SUS服务。

 

图 4 管理工具中的 SUS管理工具

 

在这里，为了方便的使用SUS服务，可以在DNS服务中添加了相应的主机记录，让SUS服务器可以通过域名进行访问。如：http://sus.domain.com/SUSAdmin

 

当我们使用管理员身份进入管理工具后，可以看到下面的管理界面：

 

图 5 SUS管理界面

 

1、检查安装中配置的选项。

 

在左边的Other Options中点击Set Options，我们将会在右边看到我们在安装时所配置的相关部分。

·Select a proxy server configuration 在这里，如果你的网络是通过代理服务器上网的，你可能需要配置相关的代理服务器地址。

 

·Specify the name your clients use to locate this update server 在这里，，你可以配置NetBIOS名称，DNS名称或者是服务器的IP地址。在一个较为复杂的网络里面，建议配置为DNS名字，方便客户端的查询。

 

·Select which server to synchronize content from 在这里，你可以为你当前的SUS服务指定是否是从MS的更新服务器下载还是从内网中的某一台服务器下载更新补丁。

 

·Select how you want to handle new versions of previously approved updates 这个栏目在刚才的安装过程中已经配置了，自动的或者手动的，你可以在这里修改它。

 

·Select where you want to store updates 刚一看见，还以为可以修改contents的目录，结果不是。这个选项是安装中的那个语言选项，你可以选择是否从MS的服务器下载更新补丁。

 

2、管理服务器同步。

 

选择管理界面中的Synchronize server，可以对同步服务进行管理。我们可以手动执行同步任务，或者配置同步计划任务。

 

为了管理方便，首先需要操作的是配置Synchronization Schedule（同步计划）。当你配置完成同步计划后，你会发现Next synchronization将会提示下一次同步的时间。

图 6 配置服务器同步计划

 

如果你点击立刻同步，SUS服务会从MS的Update Server下载相关的补丁。一般来说，第一次的同步都是通过Synchronize Now来完成的。

 

3、批准(Approve)下载的补丁。当所有的补丁下载完成以后，你可能需要到Approve updates中去检查补丁是否已经Approved，没有Approved的补丁是不会发布出去的。

 

4、在服务器管理中，还有很多其他日志相关内容等等，但这不是这次的主要任务，比如大家可以检查服务器的更新情况，见图：

图 7 同步日志

 

第四步：通过组策略完成SUS服务任务。

 

　因为通过组策略管理SUS服务是最方便的一个方法，所以这里对基于域环境中的组策略进行说明。当然，我们也可以通过修改注册表的方法实现，如何实现修改注册表的方式，请看后面的附录一。其余更多的内容请到http://www.microsoft.com/windowsserversystem/sus/default.mspx查看。

 

首先，我们运行dsa.msc，打开Active Directory Users and Computers管理工具，选择需要分发的相关OU，建立一个新的组策略，这里暂时命名为Auto Update。对于如何AD，OU以及组策略的配置，请参阅其他的MS的相关文档说明。

 

下面，我们打开这个新建立的组策略进行编辑：

 

1、导入Windows Updates模版。

 

选中组策略中的计算机配置-〉管理模版，点击鼠标右键Add/Remove Templates，找到wuau.adm，把相关的模版添加近来。如果你是Windows 2000的机器你会发现Windows Components下面会多出一个Windows Update这个组件；如果是Windows 2003则不会有什么变化。

 

图 8 导入新的模版

 

Windows Update包含下面四个内容：

·Configure Automatic Updates

·Specify intranet Microsoft update service location

·Reschedule Automatic Updates scheduled installations

·No auto-restart for scheduled Automatic Updates installations

 

该模版你可以在：http://www.microsoft.com/downloads/details.aspx?FamilyId=D26A0AEA-D274-42E6-8025-8C667B4C94E9&displaylang=en下载

该模版一定要从上面的网站下载，不是%systemroot%/inf中的那个wuau.adm。

 

 

2、对组策略进行配置。

 

2.1.　 Configure Automatic Updates

图 9 配置自动更新

一般来说，我们会选择4. Auto download and schedule the install，因为这样客户端会自动下载相关的补丁，同时在你指定的时间安装相关的补丁，而且不需要客户端的干预。

 

对于3-Auto download and notify for install 和 2-Notify for download and notify for install这两个选项，可以认为是对于高级用户才有效的。因为如果忘记的对系统的更新造成的后果有时候是不可预计的，不建议选择。

 

2.2. Specify intranet Microsoft update service location 在这里，你需要填入SUS服务器的URL。其中，URL里面不包含任何所谓的端口信息。

 

　值得注意的是，SUS服务必须80端口，所以在安装的时候，你的IIS服务的80端口不能被使用，否则SUS不能起到作用。

 

2.3. Reschedule Automatic Updates scheduled installations 启用就好，这个选项确定计算机重新启动后，Automatic Updates等待多久的时间去执行上次没有完成的任务。

 

2.4. No auto-restart for scheduled Automatic Updates installations 为了不影响客户端的正常工作，应该启用这个选项。这样在一些需要重新启动的补丁安装好了以后不会自动重新启动，而是会等待客户端的指令。

 

 

OK，所有的任务已经完成了，当你的客户端成功的刷新了组策略以后，他们就可以自动更新系统补丁了。或许最初的时候，当系统成功的分发了需要重新启动计算机的补丁后有相关的提示，你只需要给用户解释一下就好了。比以前没有安装SUS跑到每台机器去Update总是幸运多了。

 

 

三、版权说明：

1、该文档允许复制，传播，但是不允许修改任何相关的内容，包括错别字在内。

2、在没有作者许可的情况下，不允许用于商业用途

3、相关的协议内容请看：http://creativecommons.org/licenses/by-nc-nd/2.0/

 

 

附录一：在工作组状态，通过修改注册表实现SUS客户端的更新。(以下内容从SUS文档翻译和编辑)

 

1、注册表相关键值的位置：

 

HKLM/Software/Policies/Microsoft/Windows/WindowsUpdate

 

2、名称和组策略对应关系：

2.1. RescheduleWaitTime

值的范围: 1-60（分钟）

注册表的值类型: REG_DWORD

对应的组策略：Reschedule Automatic Updates scheduled installations

 

2.2. NoAutoRebootWithLoggedOnUsers

如果你希望已经登录的用户选择重新启动计算机配置这个为1；否则不作配置

值类型: REG_DWORD

对应的组策略：No auto-restart for scheduled Automatic Updates installations

 

2.3. 与Configure Automatic Updates相关的内容：

 

2.3.1 . NoAutoUpdate

值的范围为 0或者1。当值为0时，Automatic Updates是启用的。0是默认选项；当值为1时，Automatic Updates 是禁用的。

值的类型: Reg_DWORD

 

2.3.2 . AUOptions

值的范围为 2或者3或者4。对应的是Configure Automatic Updates 中的Configure automatic updating选项

值的类型: Reg_DWORD

 

2.3.3 . ScheduledInstallDay

值的范围是： 0|1|2|3|4|5|6|7. 其中，0 表示每一天; 从1到 7 表示从星期一到星期日。对应的是Scheduled install day

值得类型: Reg_DWORD

 

2.3.4 . ScheduledInstallTime

值的范围是0到23，代表一天的24个小时。对应的是：Scheduled install time

值的类型: Reg_DWORD

 

 

2.4. 与Specify intranet Microsoft update service location 相关的内容

 

2.4.1 . UseWUServer

设置为1去启用 Automatic Updates 去使用WUServer指定的运行的SUS服务。

值的类型: Reg_DWORD

 

2.4.2 . WUServer

Sets the SUS server by HTTP name (for example, http://IntranetSUS).

Registry Value Type: Reg_SZ

 

2.4.3 WUStatusServer

Sets the SUS statistics server by HTTP name (for example, http://IntranetSUS).

Registry Value Type: Reg_SZ