Configuration Manager 소프트웨어 업데이트에 대한 모범 사례

적용 대상: Configuration Manager(현재 분기)

이 문서에는 Configuration Manager 소프트웨어 업데이트에 대한 모범 사례가 포함되어 있습니다. 정보는 초기 설치 및 진행 중인 작업에 대한 모범 사례로 정렬됩니다.

설치 모범 사례

Configuration Manager 소프트웨어 업데이트를 설치할 때는 다음 모범 사례를 사용합니다.

소프트웨어 업데이트 지점에 공유 WSUS 데이터베이스 사용

기본 사이트에 둘 이상의 소프트웨어 업데이트 지점을 설치하는 경우 동일한 Active Directory 포리스트의 각 소프트웨어 업데이트 지점에 대해 동일한 WSUS 데이터베이스를 사용합니다. 동일한 데이터베이스를 공유하는 경우 클라이언트가 새 소프트웨어 업데이트 지점으로 전환할 때 발생할 수 있는 클라이언트 및 네트워크 성능 영향을 크게 완화하지만 완전히 제거하지는 않습니다. 델타 검사는 클라이언트가 이전 소프트웨어 업데이트 지점과 데이터베이스를 공유하는 새 소프트웨어 업데이트 지점으로 전환할 때 계속 발생하지만, WSUS 서버에 자체 데이터베이스가 있는 경우보다 검사가 훨씬 작습니다. 소프트웨어 업데이트 지점 전환에 대한 자세한 내용은 소프트웨어 업데이트 지점 전환을 참조하세요.

중요

또한 소프트웨어 업데이트 지점에 공유 WSUS 데이터베이스를 사용할 때 로컬 WSUS 콘텐츠 폴더를 공유합니다.

WSUS 데이터베이스 공유에 대한 자세한 내용은 다음 블로그 게시물을 참조하세요.

• Configuration Manager 소프트웨어 업데이트 지점에 대한 공유 SUSDB를 구현하는 방법

• Configuration Manager 사용할 때 콘텐츠 데이터베이스를 공유하는 여러 WSUS 인스턴스에 대한 고려 사항입니다.

Configuration Manager 및 WSUS가 동일한 SQL Server 사용하는 경우 명명된 인스턴스를 사용하도록 구성하고 다른 하나는 기본 인스턴스를 사용하도록 구성합니다.

Configuration Manager 및 WSUS 데이터베이스가 동일한 SQL Server 인스턴스를 공유하는 경우 두 애플리케이션 간의 리소스 사용량을 쉽게 확인할 수 없습니다. Configuration Manager 및 WSUS에 다른 SQL Server 인스턴스를 사용합니다. 이 구성을 사용하면 각 애플리케이션에 대해 발생할 수 있는 리소스 사용 문제를 보다 쉽게 해결하고 진단할 수 있습니다.

"로컬로 업데이트 저장" 설정 지정

WSUS를 설치할 때 업데이트를 로컬로 저장하도록 설정을 선택합니다. 이 설정으로 인해 WSUS는 소프트웨어 업데이트와 관련된 사용 조건을 다운로드합니다. 동기화 프로세스 중에 용어를 다운로드하고 WSUS 서버의 로컬 하드 드라이브에 저장합니다. 이 설정을 선택하지 않으면 클라이언트 컴퓨터가 사용 조건이 있는 소프트웨어 업데이트에 대한 규정 준수 검사에 실패할 수 있습니다. 소프트웨어 업데이트 지점의 WSUS 동기화 관리자 구성 요소는 이 설정이 기본적으로 60분마다 사용하도록 설정되어 있는지 확인합니다.

TLS/SSL을 사용하도록 소프트웨어 업데이트 지점 구성

TLS/SSL을 사용하도록 WSUS(Windows Server Update Services) 서버 및 해당 소프트웨어 업데이트 지점을 구성하면 잠재적 공격자가 클라이언트를 원격으로 손상시키고 권한을 상승시킬 수 있습니다. 최상의 보안 프로토콜을 구현하려면 TLS/SSL 프로토콜을 사용하여 소프트웨어 업데이트 인프라를 보호하는 것이 좋습니다. 자세한 내용은 PKI 인증서와 함께 TLS/SSL을 사용하도록 소프트웨어 업데이트 지점 구성 자습서를 참조하세요.

운영 모범 사례

소프트웨어 업데이트를 사용하는 경우 다음 모범 사례를 사용합니다.

단일 소프트웨어 업데이트 배포에서 소프트웨어 업데이트를 1000으로 제한

각 소프트웨어 업데이트 배포에서 소프트웨어 업데이트 수를 1000개로 제한합니다. 자동 배포 규칙을 만들 때 지정된 조건이 1,000개 이상의 소프트웨어 업데이트를 초래하지 않는지 확인합니다. 소프트웨어 업데이트를 수동으로 배포하는 경우 1,000개 이상의 업데이트를 선택하지 마세요.

ADR이 "패치 화요일"과 일반 배포에 대해 실행 될 때마다 새 소프트웨어 업데이트 그룹을 만듭니다.

배포에는 1,000개의 소프트웨어 업데이트가 제한됩니다. ADR(자동 배포 규칙)을 만들 때 기존 업데이트 그룹을 사용할지 또는 규칙이 실행 될 때마다 새 업데이트 그룹을 만들 것인지를 지정합니다. 여러 소프트웨어 업데이트를 초래하는 조건을 ADR에 지정하고 규칙이 되풀이 일정에 따라 실행되는 경우 규칙이 실행 될 때마다 새 소프트웨어 업데이트 그룹을 만듭니다. 이 동작은 배포가 배포당 소프트웨어 업데이트 1000개 제한을 초과하지 않도록 방지합니다.

Endpoint Protection 정의 업데이트에 대한 ADR에 기존 소프트웨어 업데이트 그룹 사용

ADR을 사용하여 Endpoint Protection 정의 업데이트를 자주 배포하는 경우 항상 기존 소프트웨어 업데이트 그룹을 사용합니다. 그렇지 않으면 ADR은 시간이 지남에 따라 수백 개의 소프트웨어 업데이트 그룹을 만들 수 있습니다. 정의 업데이트 게시자는 일반적으로 4개의 최신 업데이트로 대체될 때 정의 업데이트가 만료되도록 설정합니다. 따라서 ADR에서 만든 소프트웨어 업데이트 그룹에는 게시자에 대한 4개 이상의 정의 업데이트(활성 업데이트 1개 및 대체 3개)가 포함되지 않습니다.

참고 항목

소프트웨어 업데이트 계획