伴隨“沖擊波”病毒的出現，微軟升級網站的知名度迅速攀升。每當微軟有新補丁發布時，網民們蜂擁而至，抱怨登不上去者大有人在。而此刻最辛苦的還要算局域網的網管員。他除了要爭取在第一時間為自己管轄的所有服務器升級外，還要為客戶端下載適用于多種平臺、多種語言環境的補丁包，之后還要檢驗這些補丁包是否都升級到位。往往一個補丁還未處理完畢，另一補丁又來了。人們不禁要問，微軟首倡的“零管理”哪里去了？其實微軟已前期推出了SUS（Software Update Services）服務，以此來兌現它的“零管理”。

■ SUS服務的工作流程
在局域網內部搭建SUS服務器→定期有選擇地與微軟升級網站做內容同步→重新定向內網客戶端的升級URL，使之從微軟升級網站轉到內部SUS服務器上來→利用組策略自動安裝SUS客戶端程序→同時定制客戶端的升級方式和升級時間表。

■ SUS服務的安裝與配置

1．SUS服務器的安裝

（1）SUS服務器的硬件最低配置：Pentium Ⅲ 700MHz，512MB內存，6GB硬盤空間。

（2）軟件最低配置：Windows 2000 Server，SP2，IIS 5.0，IE5.5，NTFS分區，最好是一臺域控制器（DC）。

（3）SUS客戶端的軟件配置為Windows 2000/XP。

（4）SUS服務器安裝程序包（Sus10sp1.exe）和客戶端安裝程序包（Wuau22chs.msi）的下載鏈接如下http://go.microsoft.com/fwlink/?LinkId=6930。

SUS服務器的安裝很簡單，選擇典型安裝幾乎無需用戶干預。如果您的缺省分區不夠大，最好還是選擇定制安裝，重新指定其他分區，因為僅下載中英文版的補丁就要占用1GB的硬盤空間。

2．SUS服務器的配置

（1）安裝結束后自動進入配置界面，點擊“Set options”進入設置選項。除了填入本地SUS服務器IP地址“168.192.0.1”、選擇“Chinese Simplified”和“English”外，其他均可保留缺省設置。點擊[Apply]確定。

（2）點擊“Synchronize server”與微軟升級網站做內容同步。這個過程時間很長，有1GB左右的內容要下載。之前最好先設置日后的同步時間表。

（3）內容同步完成后點擊“Approve updates”，將已下載的內容有選擇地提供給內網用戶。SUS服務器的配置工作到此結束，日后要修改配置時，只需在瀏覽器地址欄中輸入http://ServerName/SUSAdmin/”即可。如果是遠程管理，需要管理員口令。

3．組策略配置

（1）定制客戶端的升級方式和升級時間表
點擊“開始→程序→管理工具→Active Directory用戶和計算機”，右擊“組織單元（OU）”，可以是域，也可以是組，選擇“屬性”，選擇“組策略”，點擊“新建”，為該策略取名“SUS”，點擊“編輯”，在新界面中右擊“計算機配置”下的“管理模板”，選擇“添加/刪除模板”，點“添加”瀏覽至WINNT/INF目錄下，選擇“Wuau.adm”文件后點擊“打開”，點擊“關閉”。

展開上述界面中的“管理模板→Windows Components→Windows update”，雙擊“Configure Automatic Updates”，出現附圖所示界面。按圖中的參數配置后，點[下一策略]，填入本地SUS服務器IP地址http://168.192.0.1”后點擊[確定]。

（2）自動安裝客戶端程序
將從微軟網站下載來的中文版客戶端程序包Wuau22chs.msi復制到SUS服務器的NETLOGON共享目錄下（其實際路徑在WINNT/SYSVOL/sysvol/DomainName/scripts下）。

點擊“開始→程序→管理工具→Active Directory用戶和計算機”，右擊剛剛配置過的“組織單元（OU）”選擇“屬性→組策略→SUS→編輯”，在新界面中展開“軟件設置”，右擊“軟件安裝”，選擇“新建→程序包”，在文件名欄中填入“//ServerName/NETLOGON/WUAU22CHS.msi”，點擊“打開”，選擇“已指派”，點擊[確定]。

■ 必要的檢驗手段
一項服務搭建成功后，管理員勢必要檢驗其效果，但SUS目前的版本未提供直觀的管理界面。必須通過特殊手段從服務器和和客戶端進行雙向檢驗。

服務器端的檢驗手段是添加wutrack.bin日志：點擊“開始→程序→管理工具→Internet服務管理器”，點擊“Web站點”，右擊左欄中的“Wutrack.bin”，選擇“屬性”，選中“日志訪問”，點擊[確定]。該日志文件存放在WINNT/SYSTEM32/LogFiles目錄下，文件中相關記錄的格式為：/wutrack.bin?U=&&C=&&A=&&I=&&D=&&P=&&L=&&S=&&E=&&M=&&X=

如何解讀請參見SUS白皮書《Deploying Microsoft Software Update Services》第83頁。

客戶端的檢驗手段是查看注冊表的HKEY_LOCAL_MACHINE/Software/Policies/Microsoft/Windows/WindowsUpdate項和Winnt/Windows目錄下的Windows Update.log文件。

最后需要說明兩點：
（1）SUS服務只提供關鍵性更新；
（2）Windows 9.x系列不在SUS的管理范圍內。