部署Forefront是一项比较复杂的工作。因为其不仅要在服务器上进行大量的配置，而且在客户端上也有不少的工作要做。在实际工作中，笔者发现不少管理员只重视服务器的维护与配置。而对于客户端，却忽视了他们的存在。结果导致Forefront的安全防护功能大打折扣。在这篇文章中，笔者总结了在客户端上必须做的几项工作，供大家参考。

　　一、在客户端上配置自动更新

　　用过杀毒软件的用户一定知道，杀毒软件要定时更新。否则的话，杀毒软件装了就等于没装。对于Forefront来说也是如此。跟微软操作系统自动更新一样，Forefront更新也有两种方式。一是直接从互联网上进行更新。这种方式的缺陷就是更新速度慢，而且会占用大量的网络带宽，。二是在企业内部部署一台更新服务器。只有这台更新服务从互联网上下载更新包，其他客户端的话则从这台更新服务器下载所需要的更新。如下图所示。显然当企业客户端数量比较多的时候，这种更新模式更加的合理。

　　在这篇文章中，笔者就以这种更新模式为例，谈谈具体的配置。当企业的客户端数量比较多的时候，如果一一为每台客户端进行配置的话，则工作量显然很大。笔者的建议是，通过微软操作系统的组策略工具来实现。具体的来说，可以参考如下步骤。

　　第一步：组策略相关配置。笔者建议通过组策略来配置更新策略。因为这可以减少配置的工作量。Forefront也是微软大家庭的一员，完全支持组策略。管理员可以在“组策略对象编辑器”对话框中，依次打开“计算机配置”、“管理模板”、“Windows组件”，然后单击“Windows更新”。在打开的设置列表中，双击“配置自动更新”。此时系统会打开一个“配置自动更新”的对话框，选择启用即可。此时就启用了自动更新模式。不过到这里还没完。如果不进行后续设置的话，客户端默认会从互联网上下载更新包。这里笔者上面所说的不符。故还需要为客户端设置更新源。

　　第二步：为客户端设置更新源。请各位读者继续关注刚才打开的“设置”列表。在这个列表中可以找到一个节点“指定更新服务位置”。双击这个节点，就可以打开“指定更新服务位置对话框”。在这个对话框中，选择“启用”，然后在对应的位置中输入客户端的URL。在配置URL的时候，需要注意端口。默认的话，更新服务所采用的端口号是80或者443，分别对应的协议是HTTP或者HTTPS。两者的区别就是前者对于通信流量没有进行加密，而后者则采取了加密处理。具体的差异各位读者可以查看SSL的相关信息。笔者这里要强调的不是他们的差异，而是端口的问题。如果计算机上的这个端口关闭了(有时候出于安全的需要)或者被其他服务所占用，那么在配置客户端URL的时候，就需要明确指定所采用的端口号。也就是说，要按如下方式设置：HTTP(S)：//服务器名：端口号。注意这个URL的配置直接关系到客户端的自动更新是否成功。在遇到客户端自动更新失败的时候，管理员首先要想到的就是这里的URL配置(包括端口)是否有问题。这是一种直觉或者条件反射。

　　第三步：正式启用。以上配置完成后，在设置列表中，找到“允许自动更新立即安装”，并双击它。然后在打开的“允许自动更新立即安装属性”对话框中，单击“启用”，并单击确定即可。

　　以上就是配置客户端从WSUS服务器上进行自动更新的相关步骤。笔者再次强调一下，虽然通过组策略来进行配置不是必须的。但是当客户端数量比较多的时候，笔者强烈建议通过组策略来实现。这可以减少配置的工作量以及简化后续的维护。