补丁更新服务器方案

2023年11月26日发(作者：)

补丁更新服务器⽅案

如何为局域⽹内配备⼀台SUS系统（补丁更新服务器）

为了保证单位局域⽹的安全运⾏，防⽌病毒、⽊马利⽤Windows系统漏洞进⾏攻击和传播，定期为客户机安装最新的补丁修

复程序。但随着⽹络规模的不断扩⼤，客户机数⽬俱增，靠⼀⼈之⼒⽆法完成全部客户机的补丁安装任务。虽然告诉同事们如

何登录微软“Windows Update”⽹站，或使⽤Windows Update服务安装最新的补丁程序单位局域⽹中有300台左右的机器，通

过硬件路由器接⼊互联⽹，并且都是采⽤Windows2000或以上版本的操作系统，⼯作组运⾏环境。了解到此情况后，建议使

⽤Microsoft Software Update Services(简称SUS)，在局域⽹中部署⼀台“SUS服务器”，为客户机提供补丁发放服务，这样⽤

户就不再需要使⽤微软的“Windows Update”服务了，通过局域⽹中的SUS服务器，就能完成Windows补丁安装⼯作，并且安

装过程是全⾃动的，不需要⽤户进⾏⼲预。

Software Update Services(SUS) 系统

提⽰:SUS分为服务器端和客户端，服务器端只推出英⽂版和⽇⽂版，能同时为15,000个⽤户提供升级服务;客户端则⽀持包括

中⽂版在内的24种语⾔版本。SUS server能为Windows 2000 +SP2及以上版本、Windows XP 、Windows 2003系统提供升

级服务，但不⽀持Windows 98和Windows NT系统。此外SUS不提供除操作系统以外的其它微软产品的升级，如SQL

Server、Exchange Server等。

⼀、准备⼯作

在安装、配置SUS Server之前，⾸先为它选择合适的硬件和软件平台。推荐的硬件配置为“700MHz主频以上的CPU，512MB

以上内存，6GB以上的剩余硬盘空间”，SUS Server 需要Windows 2000 Server+ SP2及以上版本、Windows Server 2003服

务器操作系统⽀持，此外还要IIS 5/6服务器、IE 5.5浏览器以上版本的⽀持。

SUS Client对硬件平台没特殊要求，但采⽤的操作系统必须是Windows 2000 +SP2及以上版本/XP/2003，不⽀持Windows 98

和Windows NT。

提⽰:对于客户端为Windows 2000 +SP2、Windows XP系统，则需要安装SUS Client程序;⽽Windows 2000+ SP3、

Windows XP +SP1(SP2) 及以上版本和Windows Server 2003，就不需要安装SUS Client，该程序已包含在系统中。

⼆、SUS Server部署

1、服务器端平台选择

⾸先为SUS Server选择服务器平台，因为客户机数⽬并不太多，所以服务器的硬件配置不需要太⾼。选择局域⽹内的⼀台浪

潮服务器，它的硬件配置为:P4 2.0G CPU，512MB ECC 内存，40G SCSI硬盘，并且此服务器中安装了Windows Server

2003操作系统，所有分区都采⽤了NTFS⽂件系统。

2、安装IIS服务

Windows Server 2003默认是不安装IIS服务的，但SUS Server需要IIS的⽀持才能正常运⾏，因此要⼿⼯安装该服务。

在Win2003服务器中，点击“开始→设置→控制⾯板”选项，运⾏“添加或删除程序”，在弹出的窗⼝中切换到“添加/删除Windows

组件”页。然后在“Windows组件向导”对话框中选中“应⽤程序服务器”选项，点击下⽅的“详细信息”按钮，在弹出的对话框中选

中“Internet信息服务(IIS)”组件，点击“确定”按钮。最后在“组件向导”对话框中⼀路点击“下⼀步”，完成IIS组件的安装。

提⽰:建议不要在SUS Server服务器中向⽤户提供IIS服务，IIS的运⾏最好只是为SUS Server提供服务。这是因为安装SUS

Server时，同时会为系统安装IIS Lockdown Tool⼯具，

它可能会导致其它⽤户不能正常访问IIS⽹站。

3、安装、配置SUS Server

(1).安装SUS Server

完成了IIS的安装后，就开始安装配置SUS Server了。下载SUS Server英⽂版进⾏安装，过程⾮常简单，建议选择“典型”⽅

式，接着⼀路“Next”后就完成安装，最后弹出SUS Server配置管理页⾯。

提⽰:安装SUS Server和保存补丁⽂件的硬盘分区都必须是NTFS⽂件系统，否则就会出现错误提⽰，不能成功安装。

(2).SUS Server参数配置

使⽤的是典型安装⽅式，完成后SUS Server还不能提供补丁服务，需要进⼀步进⾏配置才⾏。在Win2003服务器中，进⼊

到“控制⾯板->管理⼯具”，运⾏“Microsoft Software Update Services”⼯具。接着在登录对话框中输⼊管理员帐号和密码，点

击“确定”后，就登录SUS服务器管理页⾯。

提⽰:除了在本地管理配置SUS Server外，还可以对它进⾏远程配置，在远端客户机中运⾏IE浏览器，在地址栏中输⼊“

SUS Server的IP地址/SUSAdmin/”，回车后，输⼊管理员帐号和密码即可。

在SUS Server管理页⾯左框点击“Other Options”下的“Set Options”链接，接着在右框中就能对SUS Server参数进⾏配置了。

A、代理服务器配置

在“Select a proxy server configuration”中对SUS Server的代理服务器参数进⾏设置，如果SUS Server是直接或通过路由器接

⼊互联⽹，⼀定要选择“Automatically detect proxy server settings”项，如果是通过代理服务器的话，要选择“Use the following

proxy server to access the Internet”项，并在输⼊框中填上代理的IP地址和端⼝号。

B、指定服务器名

接着在“Specify the name your clients use to locate this update server”栏中为SUS Server 起⼀个好记的名称，如机器

名“TJRAO”，这样客户机就可以通过机器名来访问SUS Server 了。

提⽰:如果客户机⽆法解析NetBIOS名字，这⾥就要使⽤DNS名或IP地址来代替机器名了。

C、同步内容配置

在“Select which server to synchronize content from”中设置补丁内容的来源，因为就部署这⼀台SUS Server服务器，必须与微

软的补丁服务器同步，选择“Synchronize directly from the Microsoft Windows Update servers”项。

提⽰:如果局域⽹中部署了多台SUS Server，都和微软补丁服务器同步未免浪费⼤量带宽和时间，只需要其中⼀台和微软补丁

服务器同步，其它的SUS Server和本地的此台SUS Server同步即可。这时就要选中“Synchronize from a local Software

Update Services server”项，在输⼊框中填⼊⽬标SUS Server的机器名或者IP地址。

在“Select where you want to store updates”栏中设置保存补丁⽂件的⽅式，建议选择“Save the updates to a local folder”项，

这样就可以只同步你需要语种的补丁，避免浪费，如只选择同步“Chinese Simplified(简体中⽂)”，其它参数使⽤默认值即可，

最后点击“Apply”按钮。

(3).同步操作

完成SUS Server参数配置后，就可以进⾏同步⼯作，下载⽤户需要的补丁⽂件。在管理页⾯左框点击“Synchronize

server”项，接着点击右框的“Synchronize Now”按钮，开始

同步⼯作。

提⽰:由于受到⽹络带宽和补丁⽂件⼤⼩的限制，同步⼯作需要⼀个漫长的过程。建议选择⾃动同步，点击“Synchronization

Schedule”按钮，在配置对话框中选择“Synchronize using this schedule”项，设置好同步的⽇期和时间，建议在凌晨进⾏同步

⼯作。

(4).发布操作

同步完成后，SUS Server默认并不⽴即为⽤户发布补丁⽂件，当测试补丁没有问题后，才进⾏⼿⼯发布。在管理页⾯左框点

击“Approve updates”按钮，右框显⽰下载的补丁⽂件。如果某些补丁测试正常，想进⾏发布，选中补丁⽂件前的复选框，点

击“Approve”按钮按钮。

然后同意最终⽤户许可协议后，完成这些补丁的发布⼯作。这样，就完成了SUS Server 的配置。

三、SUS Client配置

以上完成了SUS Server的配置，现在还需要为客户机配置SUS Client，才能使⽤SUS Server提供的升级服务。由于管理的局

域⽹是⼯作组环境，所以介绍针对⼯作组环境的SUS Client配置。

1、是否安装SUS Client

客户机是否要安装SUS Client程序，取决于它采⽤了哪种操作系统和安装的修复补丁，对于Windows 2000+ SP2和Windows

XP的⽤户，是必须安装SUS Client的。⽽Windows 2000+ SP3、Windows XP +SP1及其以上版本和Windows Server 2003

的⽤户则不需要安装，因为系统中已经内置了SUS Client。

2、合理配置SUS Client

A、添加模板

完成SUS Client安装后，还需要对其进⾏配置。在客户机上，点击“开始→运⾏”，输⼊“”后回车，弹出组策略编辑

器，依次展开“计算机配置→管理模板”，右键点击“管理模板”后，选择“添加/删除模版”，在“添加/删除模版”对话框中点击“添

加”。

找到“x:windowsinf”⽬录下的“”(x表⽰windows的系统盘，默认为C)，双击该⽂件，完成模板的添加。

B、配置组策略

接着依次展开“计算机配置→管理模板→Windows组件→Windows Update”，在右栏中双击“配置⾃动更新”策略，在属性对话框

中配置更新时间和处理⽅法，选择“已启⽤”选项，在“配置⾃动更新”下拉列框中选择“4-⾃动下载并计划安装”，接着在下⾯

的“计划安装⽇期”和“计划安装时间”中设置合适的⽇期和时间，最后点击“确定”。

打开“指定企业内部互联⽹Windows Update服务位置”策略，选择“已启⽤”，接着在输⼊框中指定SUS服务器的位置，可以使⽤

SUS Server机器名或IP地址，最后点击“确定”。

接下来按照上⾯的⽅法为局域⽹中每台客户机配置SUS Client。配置完成后，所有的客户机就可以按照指定的设置，⾃动连接

到SUS Server进⾏更新，并且所有的更新操作均在后台⾃动进⾏的，不需要⼈为⼲预。

提⽰:在⼯作组环境中，要⼿⼯为每台客户机进⾏SUS Client配置，虽然⿇烦些，但对于⼩型局域⽹来说还是可以接受的。如

果你⽹络规模较⼤，建议采⽤域环境，这样就只需要在域控制器中进⾏域组策略配置即可，免去了配置客户机的⿇烦。

通过以上⼏步，就完成了SUS系统在局域⽹中的部署，以后升级就变得⾮常⽅便了，即使客户机被限制不能上⽹，只要SUS

Server正常连接到互联⽹中，升级操作⼀样不受影响，从此再也不⽤为Windows升级发愁了。