昇級伺服器也能DIY
大部分對電腦比較熟悉的朋友都知道,通常安裝好Windows 操作系統後要做的第一件事就是上Windows Update網站去給Windows 安裝修正檔程序,否則各種漏洞對系統就是一個很大的威脅。不過遺憾的是很多人還沒有這樣的意識,疏忽了給系統打修正檔。
這也間接造成了病毒的橫行,例如去年的「蠕蟲王」和前幾天的「衝擊波」,這兩個病毒都是利用了微軟軟體的漏洞編寫和傳播的,遺憾的是在這些病毒廣泛流傳之前,相應軟體的修正檔程序早就已經由微軟發佈出來並提供了免費下載,只要用戶能經常性地訪問Windows Update網站打修正檔,就不會感染這些病毒,可是很多人都疏忽了這一點。
好在經過這兩次教訓,更多的人知道「打修正檔」的重要性,可是問題又來了。
微軟的昇級伺服器都架設在國外,有時候由於網路的原因造成了國內用戶連接伺服器的速度非常慢,這些時候光下載修正檔就要一個多小時的時間,效率非常低。
另一方面,對於有上百台電腦的企業,每台電腦都連線到微軟的伺服器去下載上百兆字元的修正檔程序,這對企業的網路帶寬也是一個不小的負擔,況且由於大家都到微軟的伺服器下載修正檔,管理員就無法對修正檔程序的內容進行控制,如果某個修正檔正好跟企業內部廣泛使用的某個軟體有衝突的話,還可能造成更大的麻煩。
現在,問題解決了,那就是使用微軟的SUS(Software Update Service,軟體更新服務)服務。
先決條件
SUS有自己的伺服器端和客戶端。
對於伺服器端,有如下的要求:
硬體:700MHz主頻以上的CPU,512MB以上記憶體,6GB以上的硬碟空間
軟體:Windows 2000 Server SP2 以上的操作系統,Windows Server 2003,IIS 5以上版本,IE 5.5以上版本
可見SUS對硬體的要求比較高,不過這裡有一點是要說明的,微軟推薦的這種硬體配置可以同時為15000台電腦提供昇級服務,因此如果你的網路沒有這麼大規模,硬體的條件可以適當放寬。
另一方面,對於6GB的硬碟空間,這是用來儲存所有語種的修正檔文件的,如果你的網路中只有簡體中文版或者英文版操作系統的電腦,那你可以通過設定而不下載其他語種的修正檔文件,以節約硬碟空間。
對於客戶端,同樣有一些要求:
首先,SUS服務只能為Windows 2000 SP2/XP/2003提供昇級服務,這就意味著Windows NT和Windows 9x以及Windows 2000 SP1都無法通過這個服務昇級。
對於Windows 2000 SP2和Windows XP,首先還需要安裝一個SUS的客戶端程序;對於Windows 2000 SP3及以上版本,Windows XP SP1 及以上版本和Windows Server 2003,都不需要安裝客戶端,直接就可以在群組原則中進行設定。
工作原理
對於伺服器端,可以理解為微軟昇級伺服器的一個本機鏡像。
伺服器端可以自動或者手動跟微軟的昇級伺服器同步,下載所有的修正檔程序,然後發佈在企業內部的網路中。
客戶端則跟通常情況沒有太大差別,只是通過群組原則的設定把預設的微軟伺服器改為企業內部的昇級伺服器的路徑,就可以自動下載和安裝。
而如果你的網路環境有特別需要,你還可以架設多個SUS伺服器,客戶端可以選項任意一個伺服器下載修正檔。對於伺服器,你還可以設定其它的SUS伺服器都跟同一個主SUS保持同步,而不是各自去跟微軟的伺服器同步,這樣進一步減少了網路流量。
套用範圍
SUS只能提供Windows操作系統的關鍵更新和Service Pack,驅動程式和其他更新都是不包括在內的。而微軟的其他產品,例如Office、Exchange等的昇級也不包括。
伺服器端的配置
在本文中,我們會練習在一台Windows Server 2003 Standard獨立伺服器上安裝並配置SUS服務。
首先來這裡下載伺服器端的安裝文件,然後直接執行安裝,其中一切選項都可以按照預設設定進行。
需要注意的是,由於安全方面的原因,SUS伺服器的系統碟和儲存SUS修正檔文件的硬碟分區都必須是NTFS文件系統。
另外,如果你是在Windows 2000 Server操作系統上安裝SUS,安裝程序還會同時為你安裝IIS Lockdown Tool,這是一個提高IIS安全性的軟體。
伺服器端軟體安裝好後就可以開始設定了,設定SUS伺服器有兩種方法:本機設定和遠端設定,設定需要你有Administrators組的權限。
對於本機設定,只要在控制台的系統管理工具中雙按「Microsoft Software Update Services」即可。
而遠端管理則需要在遠端電腦上開啟IE瀏覽器(5.5以上版本),然後在位址欄輸入「http://伺服器名或IP/susadmin」 然後Enter鍵,接著輸入相應的用戶名和密碼登入。
配置界面非常眼熟,這跟我們平常訪問的微軟Windows Update網站非常相似,所有的功能都可以在左側的列表中開啟。
首先要對這個伺服器進行設定,在左側的「Other Options」表單下點擊的「Set Options」,接著可以看見的界面。
排在最前面的是防火牆設定,在「Select a proxy server configuration」下,你可以輸入你的防火牆參數,通常只要你在IE中進行過設定,在這裡使用預設設定就可以了。
接著在「Specify the name your clients use to locate this update server」下可以為伺服器起一個比較好記的名稱,這樣在客戶端就可以通過伺服器名來訪問昇級伺服器而不是IP位址。
在「Select which server to synchronize content from」下可以設定同步修正檔內容的來源,如果你的這個伺服器打算從微軟的昇級伺服器同步,就選「Synchronize directly from the Microsoft Windows Update servers」;
如果你想從網路中的其他SUS伺服器上同步內容,則選「Synchronize from a local Software Update Services server」,並在下面輸入目標伺服器的名稱或者IP位址。
在「Select how you want to handle new versions of previously approved updates」下,我們可以設定同步了修正檔程序後採取的操作。如果你認為所有修正檔程序都不需要預先測試,而直接就可以佈署的話,就在這裡選項「Automatically approve new versions of previously approved updates」;
相反,如果你打算把所有的修正檔程序都先測試過再發佈的話,就選「Do not automatically approve new versions of approved updates. I will manually approve these updates later」,這樣如果有新的修正檔程序被下載,這些程序不會被馬上發佈出去,而等待管理員驗證,然後手工發佈。
建議管理員採用這種方式,雖然可能增大了自己的工作量,不過對網路中的其它電腦是有好處的。
可以想像這種情況,某個修正檔程序正好和你的網路中很常用的一個軟體起了衝突,如果這個修正檔程序被自動發佈了出去,所有的客戶端都會遇到這種麻煩,這時候作為管理員的你的麻煩可能就更大了。
在「Select where you want to store updates」下你可以設定儲存修正檔程序的方式。
你可以簡單的選項「Maintain the updates on a Microsoft Windows Update server」,這樣SUS伺服器的修正檔下載就會跟微軟的伺服器保持完全同步,而不管那些修正檔是否真正需要。
所以通常還是建議你在這裡選項「Save the updates to a local folder」,並且僅選項你需要的修正檔語種,這樣會減少額外的下載。
一切都設定完成後點擊頁面右下角的「Apply」儲存設定。
接著進行伺服器的同步工作。點擊左側的「Synchronize server」,可以看見的界面。
你可以點擊「Synchronize Now」按鈕,馬上開始同步。這將會是一個漫長的程序,尤其是你要同步的修正檔語種比較多以及網速較慢的時候。所以建議你設定自動同步,點擊「Synchronization Schedule」按鈕,然後看到的界面。
選「Synchronize using this schedule」,然後在下面設定同步方式,如果你的伺服器是24小時不間斷執行的,建議你設定伺服器在每天凌晨進行同步,因為這段時間網路的利用率最低,容易獲得較高的下載速度。設定後點擊「OK」按鈕儲存設定。
在伺服器同步完成後,如果你設定了在發佈前先批准,那麼就要開始批准的工作了。在左側的列表中點擊「Approve updates」,可以看到界面。
所有已經下載回來的修正檔程序都會列在這裡,每個修正檔的右側會顯示該修正檔的狀態,如果是「Approved」則表示該修正檔已經經過了測試,並批准發佈出去;如果一個修正檔的狀態是「Not Approved」就需要注意了,你接下來就應該在少數測試用途的電腦上安裝這些修正檔程序,如果一切正常,那麼就選這個修正檔程序名稱前面的複選框,然後點擊右下角的「Approve」按鈕。
接著你要同意修正檔程序的最終用戶許可傳輸協定,在這裡遇到了一個小問題,就是彈出的顯示許可傳輸協定的對話視窗上並沒有任何按鈕,你需要按Tab鍵使這個按鈕顯示出來並點擊。
除了修正檔的狀態外,在這裡你還可以看到其他更多的信息,例如每個修正檔中都會用綠色的字顯示這個修正檔所套用的操作系統,而如果安裝了這個修正檔後需要重啟動,則修正檔的描述中回用顯眼的紅色字跡表示出來。
每個修正檔都還帶有一個連結,點擊後就可以連線到微軟網站察看修正檔的詳細內容。
注意:如果你設定了修正檔發佈前先批准,那麼只有經過批准的程序才會被客戶端下載和安裝。
至此,伺服器端的基本設定都已經完成了。
客戶端的配置
客戶端我們分兩種情況說明,那就是域環境和工作組環境。首先看看工作組環境。
注意:以下內容涉及到活動目錄以及群組原則,而Windows XP Home Edition即沒有群組原則也無法加入域,因此不在我們這裡的討論範圍。
工作組環境下需要對每台客戶端電腦分別設定,如果網路中有較多的電腦這樣顯然很麻煩,好在通常電腦數量多的情況下管理員都會使用活動目錄的方式管理,因此這個問題並不嚴重,我們繼續看下去。
對於Windows 2000 SP2和Windows XP,我們要先安裝SUS客戶端,在這裡下載,
安裝後,在客戶端的執行中輸入「gpedit.msc」開啟群組原則編輯器,並依次展開「電腦配置」-「管理範本」,然後在「管理範本」上點擊滑鼠右鍵,選項「增加/刪除模版」,然後在圖六的界面上點擊「增加」按鈕,並找到%windir%\inf目錄下的wuau.adm文件,雙按增加。
接著繼續開啟「Windows元件」-「Windows Update」(這一項只有在安裝了客戶端軟體並增加後才會出現),在視窗右側就會顯示出兩條可用的原則。
其中「配置自動更新」可以讓你設定進行更新的時間和處理方法,「指定企業內部網際網路…」則用來指定伺服器的位置,你可以以「http://伺服器名稱」或者「http://伺服器IP」的方式輸入。而接下來你要做的就是分別在網路中的每台電腦上進行同樣的設定。
處理好這些後就可以了,以後每到預先設定的時間,程序就會自動連線到指定的昇級伺服器檢查更新,如果有更新,則會按照預先的設定,或者自動下載並詢問安裝,或者提示用戶。
需要注意,SUS對於客戶端沒有可訪問的頁面,所有的昇級只能在後台自動進行。
對於Windows XP SP1和Windows 2000 SP3 還有Windows Server 2003,這些操作系統已經安裝了客戶端,因此直接在群組原則中按照上面的方法設定即可。
如果你的網路規模比較大,套用了活動目錄,那麼管理起來會更加方便。
在域控制器上的執行中輸入「dsa.msc」並Enter鍵,開啟Active Directory用戶和電腦設定視窗,在要新增原則的OU或者域上點擊滑鼠右鍵,選項「內容」,然後在內容視窗中開啟「群組原則」選擇項,並點擊「新增」按鈕,給新增的原則命名(例如叫做SUS,)。
選新增的群組原則,點擊「編輯」按鈕,接著會彈出一個群組原則設定視窗,這跟我們平常執行gpedit.msc開啟的視窗很類似,不過這裡可以為整個域中的所有電腦設定群組原則。
在這個視窗中依次展開「電腦配置」-「管理範本」-「Windows 元件」-「Windows Update」,然後通過設定這裡的原則就可以給所有登入域的電腦設定SUS客戶端的工作參數。
有一點是需要注意的,如果客戶端的操作系統是Windows 2000 SP2、Windows XP,那麼首先仍然需要安裝SUS客戶端軟體。
整個客戶端的設定工作就是這樣了。相信經過設定,以後管理員的維護工作將會更加輕鬆,而網路中的電腦也會更加安全!
|