Window 2000/XP在局域网内批量升级

现在发现的Windows漏洞越来越多，特别是一些重大漏洞可能会造成整个网络瘫痪，虽说我们可以使用Windows XP/2000自带的Windows Updata进行在线升级，但是对于机房、公司中大批量的电脑升级就没有那么容易了，特别是在局域网的出带宽较小或者不方便上网的情况下升级非常麻烦，令管理员非常头痛。
现在微软为我们准备了合适的解决方法，那就是SUS（Software Update Service软件升级服务器）。通过SUS可以在局域网中建立一个Windows升级服务器，以后局域网中的电脑就可以通过这个服务器来升级。
提示：目前SUS只能给客户端提供Windows操作系统和IE浏览器的关键更新和操作系统的Service Pack，还不能为Office或者其他微软软件提供更新服务。而且所有的更新活动都是通过Windows后台自动更新进行的，不需要任何人的干预，非常方便。
服务器端的安装：
对于服务器端，推荐配置：主频不低于700MHz的处理器，512MB以上的内存，6GB以上的硬盘空间；而软件的要求是：Windows 2000 Server或者Windows Server 2003，IIS5或者IIS 6，IE 5.5以上版本。
提示：该配置是按照15000台计算机提供升级服务而推荐的，如果你局域网中的机器比较少那么服务器配置可以相应降低。
在安装之前服务器上首先要安装和配置好IIS，安装SUS的服务器端，安装过程很简单，一切按照默认设置就可以。随后开始对SUS进行设置，这里有两种方法，本地设置或者远程设置。本地设置的话可以在“控制面板/管理工具”中双击“Microsoft Software Update Services”；远程设置可以随便使用一台安装了IE5.5的计算机，然后在IE的地址栏中输入http://IP/susadmin，回车后需要输入SUS服务器所在电脑上具有管理员权限的用户账户和密码，然后就可以看到（如图1）的管理界面。

首先在左侧的列表中点击“Set Options（操作设置）”对服务器进行设置，这里我们有以下几点需要注意：
Select which server to synchronize content from（选择服务同步源），这个选项可以让你设置SUS服务器更新的源，如果你的网络中有多台SUS服务器，那么你可以让其他服务器都跟一台同步，这样速度要快很多，但是如果你的网络中只有一台SUS服务器，那你就只能设置“Synchronize directly from the Microsoft Windows Update servers（直接跟微软的Windows Update 服务器同步）”了。
Select how you want to handle new versions of previously approved updates（选择你发布新补丁的方式），这个选项可以选择新补丁的发布方式，如果你觉得每个新补丁在发布到自己的网络之前都应该经过仔细测试，那么可以选择“Do not automatically approve new versions of approved updates. I will manually approve these updates later（不自动发布，手动发布）”，这样每当同步出一个新的补丁后这个补丁还不能立刻被你的客户端下载到，而是先由你进行有效的测试，当你认为这个补丁没问题后，才可以发布到网络中去。这样可以防止某些更新会和局域网使用的软件冲突。
Synchronize installation packages only for these locales（仅仅同步以下语言版本的补丁），这个选项你尤其要注意，默认情况下SUS服务器会把微软那里所有语种的补丁程序都下载回来，如果网络中只有简体中文版的系统或者其他语种，那么就没必要花费额外的时间来下载这些你并不需要的语种补丁，能节省不少硬盘空间。
设置好后点击页面右下角的“Apply（应用）”按钮，这些设置就可以生效了。
接着从左侧的列表中点击“Synchronize server（同步服务器）”链接，你能看见（图2）的界面，在这里可以指定SUS立刻跟其他服务器保持同步。

另外，这里可以设定同步计划，这样你可以设置服务器在每天晚上进行同步工作，因为这时候网络的利用率最低，不会影响到其他人。点击“Synchronization Schedule（同步计划）”按钮，这时会弹出一个窗口，在这里你可以设置同步的时间、频率以及重试次数等。如果点击“Synchronize Now”按钮，则会立刻开始同步。第一次同步的过程会很漫长，这取决于网速和下载的补丁的数量。
如果设置了发布补丁前进行测试，并且也测试过了所有补丁，那么现在要把它们发布到局域网中去。点击左侧的“Approve updates（发布更新）”链接，可以看见（图3）的界面。所有还没有被批准的补丁后面都用红色的“New”做了标记。选中需要批准的补丁前面的复选框，然后点击右下角的“Approve（发布）”按钮，就可以完成批准工作了。

服务器端的设置完以后，下面开始配置客户端。
SUS对客户端有一些要求，首先是操作系统，SUS只支持Windows 2000 SP2及以上版本的操作系统，软件方面，Windows 2000 SP2和Windows XP首先都需要安装一个SUS的客户端软件，而Windows 2000 SP3、Windows XP SP1和Windows Server 2003已经自带了客户端软件，不需要额外安装。
如果你的网络是工作组环境，那么你需要分别在每台电脑上设置SUS客户端。运行Gpedit.msc打开组策略编辑器，打开“计算机配置/管理模板”，然后在“管理模板”上点击鼠标右键，选择“添加/删除模版”，然后在（图4）的界面上点击“添加”按钮，并找到%windir%\inf目录下的wuau.adm文件，双击添加。接着继续打开“Windows组件/Windows Update”（这一项只有在安装了客户端软件并添加后才会出现），在窗口右侧会显示出两条可用的策略。其中“配置自动更新”可以让你设置进行更新的时间和处理方法，“指定企业内部互联网…”则用来指定服务器的位置，你可以以“http://服务器名称”或者“http://服务器IP”的方式输入。

如果你的网络中有域控制器且所有计算机都加入了域，那就更简单了，给需要安装客户端的操作系统安装了客户端以后，在域控制器上的运行中输入“dsa.msc”并回车，打开Active Directory用户和计算机设置窗口，在要创建策略的OU或者域上点击鼠标右键，选择“属性”，然后在属性窗口中打开“组策略”选项卡，并点击“新建”按钮，给新建的策略命名（图5）。选中新建的组策略，点击“编辑”按钮，接着会弹出一个组策略设置窗口，这跟我们平常运行gpedit.msc打开窗口很类似，不过这里可以为整个域中的所有计算机设置组策略。

在这个窗口中依次打开“计算机配置/管理模板/Windows 组件/Windows Update”，然后通过设置这里的策略就可以给所有登录域的计算机设置SUS客户端的工作参数。所有的客户机下次重启动就会应用这些设置。
客户端的部署完成了，相信经过这样的部署，你的网络中计算机打补丁将更方便和迅速，而安全性也能得到很大的提高。

责任编辑 赵毅 zhaoyi#51cto.com TEL:（010）68476636-8001