应该只将一个 SUS 父配置为自动从 Microsoft 公共 Update 软件更新，如下图所示。请注意，在父服务器上应仅批准经过测试且已批准部署的更新。
　　
　　推荐的 SUS 拓扑结构
　　借助预先配置的同步计划，SUS 父服务器可以每天从公共的 Microsoft Update 服务器关键更新和更新。这需要在中打开出站 TCP 端口 80。
　　
　　SUS 测试服务器被配置为可从 SUS 父服务器更新。这也可以在每天固定的时刻进行，其同步时间应设置为 SUS 父服务器与公共 Microsoft Windows Update 服务器同步后一小时。（一小时是距离 SUS 父服务器同步计划所可能的最接近的时间。）这样做是为了确保软件包尽快到达 SUS 测试服务器并能够进行审批和测试。
　　
　　SUS 测试工作组应当在 SUS 测试服务器上审批新的更新。审批结束后，更新便立即可用于所有的 SUS 测试客户端。为避免所有的 SUS 测试客户端同时轮询 SUS 测试服务器，这些客户端将每隔 22 小时轮询该服务器一次，时间间隔的差别最多不超 20%，以实现随机性。特定更新测试成功后，SUS 管理员应当在 SUS 父服务器上批准该更新。
　　
　　在 SUS 父服务器上批准更新后，向该服务器报告的 SUS 客户端在默认情况下将于 22 小时之内开始从该服务器下载更新。安装根据指定的时间表开始进行，也可以由本地管理员执行。向 SUS 子服务器报告的客户端计算机，将在批准到达子服务器起的 22 小时之内开始下载更新。
　　
　　SUS 子服务器将被配置为每天与父服务器自动同步。子服务器将同步并下载所有的内容，以及 SUS 父服务器上的已批准项目。同步完成后，SUS 父服务器上的所有已批准更新都将镜像到 SUS 子服务器上镜像，并且立即可用于产品 SUS 客户端（这些客户端配置为可以向这样的 SUS 子服务器轮询关键和更新）。
　　
　　在上图所示的拓扑结构设计中，管理员只需在 SUS 父服务器上批准更新，就可以使该更新可用于所有的产品 SUS 客户端。随时都可以对所有的 SUS 服务器进行手动同步。
　　
　　Microsoft 有时会更新软件更新的检测条件（元数据），这将导致软件更新表现为“已更新”状态。此外，如果重新发布了软件更新，也有可能会导致界面上显示“已更新”状态。重新发布软件更新的情况很少发生，但是，如果发生，软件更新公告中将显示相关信息。如果更新的原始版本已在 SUS GUI 中得到批准，则 SUS 管理员可以将 SUS 服务器配置为自动审批，或手动审批重新发布的更新版本。
　　
　　要确保不会在未经过测试的情况下自动将已修改的更新发布到产品环境中，管理员应当在 SUS 服务器上选择选项“不要自动审批新版本的已批准更新。我将在以后手动批准这些更新”。
　　
--------------------next---------------------