2 단계: WSUS 구성

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

WSUS(Windows Server Update Services) 서버 역할을 서버에 설치한 후 올바르게 구성해야 합니다. 또한 WSUS 서버에서 업데이트를 받도록 클라이언트 컴퓨터를 구성해야 합니다.

이 문서에서 안내하는 절차는 다음과 같습니다.

Task 설명
2.1. 네트워크 연결 구성 서버에서 필요한 연결을 만들 수 있도록 방화벽 및 프록시 설정을 구성합니다.
2.2. 네트워크 구성 마법사를 사용하여 WSUS 구성 WSUS 구성 마법사를 사용하여 기본 WSUS 구성을 수행합니다.
2.3. SSL(Secure Sockets Layer) 프로토콜을 사용한 WSUS 보안 WSUS를 보호하도록 SSL(Secure Sockets Layer) 프로토콜을 구성합니다.
2.4. WSUS 컴퓨터 그룹 구성 WSUS 관리 콘솔에서 컴퓨터 그룹을 만들어 조직의 업데이트를 관리합니다.
2.5 WSUS 서버와의 SSL 연결을 설정하도록 클라이언트 컴퓨터 구성 WSUS 서버에 대한 보안 연결을 설정하도록 클라이언트 컴퓨터를 설정합니다.
2.6. WSUS 서버에서 업데이트를 받도록 클라이언트 컴퓨터 구성 WSUS 서버에서 업데이트를 받도록 클라이언트 컴퓨터를 설정합니다.

2.1. 네트워크 연결 구성

구성 과정을 시작하기 전에 다음 질문에 대한 답변을 알고 있어야 합니다.

  • 클라이언트가 서버에 액세스할 수 있도록 서버의 방화벽이 구성되어 있습니까?

  • 이 컴퓨터를 업스트림 서버(Microsoft 업데이트에서 업데이트를 다운로드하도록 지정된 서버)에 연결할 수 있습니까?

  • 프록시 서버의 이름과 프록시 서버의 사용자 자격 증명(필요한 경우)을 갖고 있습니까?

그러면 다음 WSUS 네트워크 설정 구성을 시작할 수 있습니다.

  • 업데이트: 이 서버에서 업데이트를 가져오는 방법(Microsoft 업데이트 또는 다른 WSUS 서버에서)을 지정합니다.

  • 프록시: WSUS에서 프록시 서버를 사용하여 인터넷에 액세스해야 한다고 확인한 경우 WSUS 서버에서 프록시 설정을 구성해야 합니다.

  • 방화벽: WSUS가 회사 방화벽 뒤에 있다고 확인한 경우 WSUS 트래픽을 허용하기 위해 에지 디바이스에서 추가 단계를 수행해야 합니다.

Important

하나의 WSUS 서버만 있는 경우 Microsoft에서 업데이트를 다운로드해야 하므로 인터넷에 액세스할 수 있어야 합니다. 여러 개의 WSUS 서버가 있는 경우 하나의 서버만 인터넷에 액세스해야 합니다. 나머지 서버는 네트워크를 통해 인터넷에 연결된 WSUS 서버에 액세스해야 합니다. 클라이언트 컴퓨터는 인터넷에 액세스할 필요가 없으며 네트워크를 통해 WSUS 서버에 액세스해야 합니다.

"에어 갭" 네트워크인 경우(인터넷에 전혀 액세스할 수 없는 경우)에도 WSUS를 사용하여 업데이트를 네트워크의 클라이언트 컴퓨터에 제공할 수 있습니다. 이 방법에는 두 개의 WSUS 서버가 필요합니다. 인터넷에 액세스할 수 있는 하나의 WSUS 서버에서 Microsoft로부터 업데이트를 수집합니다. 보호된 네트워크의 두 번째 WSUS 서버는 업데이트를 클라이언트 컴퓨터에 제공합니다. 업데이트는 첫 번째 서버에서 이동식 미디어로 내보내고, 에어 갭을 통해 이동하고, 두 번째 서버로 가져옵니다. 이는 이 문서의 범위를 벗어나는 고급 구성입니다.

2.1.1. 첫 번째 WSUS 서버에서 인터넷의 Microsoft 도메인에 연결할 수 있도록 방화벽 구성

회사 방화벽이 WSUS와 인터넷 사이에 있는 경우 WSUS에서 업데이트를 가져올 수 있도록 해당 방화벽을 구성해야 할 수 있습니다. Microsoft 업데이트에서 업데이트를 가져오기 위해 WSUS 서버에서 80 및 443 포트를 HTTP 및 HTTPS 프로토콜에 사용합니다. 대부분의 회사 방화벽은 이 유형의 트래픽을 허용하지만, 일부 회사는 보안 정책에 따라 서버의 인터넷 액세스를 제한합니다. 회사에서 액세스를 제한하는 경우 WSUS 서버에서 Microsoft 도메인에 액세스할 수 있도록 방화벽을 구성해야 합니다.

첫 번째 WSUS 서버에는 다음 도메인의 80 및 443 포트에 대한 아웃바운드 액세스 권한이 있어야 합니다.

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

Important

첫 번째 WSUS 서버에서 이러한 도메인 내의 모든 URL에 액세스할 수 있도록 방화벽을 구성해야 합니다. 이러한 도메인과 연결된 IP 주소는 지속적으로 변경되므로 IP 주소 범위를 대신 사용하지 마세요.

방화벽 구성으로 인해 WSUS에서 업데이트를 가져오지 못하는 시나리오는 Microsoft 기술 자료의 885819 문서를 참조하세요.

2.1.2. 다른 WSUS 서버에서 첫 번째 서버에 연결할 수 있도록 방화벽 구성

여러 개의 WSUS 서버가 있는 경우 첫 번째("최상위") 서버에 액세스하도록 다른 WSUS 서버를 구성해야 합니다. 다른 WSUS 서버는 최상위 서버에서 모든 업데이트 정보를 받습니다. 이 구성을 사용하면 최상위 서버에서 WSUS 관리 콘솔을 사용하여 전체 네트워크를 관리할 수 있습니다.

다른 WSUS 서버에는 두 개의 포트를 통한 최상위 서버에 대한 아웃바운드 액세스 권한이 있어야 합니다. 기본적으로 8530 및 8531 포트입니다. 이러한 포트는 이 문서의 뒷부분에서 설명한 대로 변경할 수 있습니다.

참고 항목

WSUS 서버 간의 네트워크 연결 속도가 느리거나 비용이 많이 드는 경우 Microsoft에서 직접 업데이트 페이로드를 받도록 하나 이상의 다른 WSUS 서버를 구성할 수 있습니다. 이 경우 소량의 데이터만 해당 WSUS 서버에서 최상위 서버로 보내집니다. 이 구성이 작동하려면 다른 WSUS 서버에서 최상위 서버와 동일한 인터넷 도메인에 액세스할 수 있어야 합니다.

참고 항목

대규모 조직이 있는 경우 다른 모든 WSUS 서버를 최상위 서버에 직접 연결하는 대신 연결된 WSUS 서버 체인을 사용할 수 있습니다. 예를 들어 최상위 서버에 연결하는 두 번째 WSUS 서버를 갖춘 다음, 다른 WSUS 서버를 두 번째 WSUS 서버에 연결할 수 있습니다.

2.1.3. 필요한 경우 프록시 서버를 사용하도록 WSUS 서버 구성

회사 네트워크에서 프록시 서버를 사용하는 경우 프록시 서버에서 HTTP 및 HTTPS 프로토콜을 지원해야 합니다. 또한 기본 인증 또는 Windows 인증을 사용해야 합니다. 다음 구성 중 하나를 사용하여 이러한 요구 사항을 충족할 수 있습니다.

  • 두 프로토콜 채널을 지원하는 단일 프록시 서버. 이 경우 한 채널은 HTTP를 사용하도록 설정하고 다른 하나는 HTTPS를 사용하도록 설정합니다.

    참고 항목

    WSUS 서버 소프트웨어를 설치하는 동안 하나의 프록시 서버에서 WSUS에 대한 두 프로토콜을 모두 처리하도록 설정할 수 있습니다.

  • 각각 하나의 프로토콜을 지원하는 두 프록시 서버. 이 경우 한 프록시 서버는 HTTP를 사용하도록 구성하고 다른 프록시 서버는 HTTPS를 사용하도록 구성합니다.

두 프록시 서버를 사용하도록 WSUS를 설정하려면

  1. 로컬 관리자 그룹의 멤버인 계정을 사용하여 WSUS 서버가 될 컴퓨터에 로그온합니다.

  2. WSUS 서버 역할을 설치합니다. WSUS 구성 마법사 중에 프록시 서버를 지정하지 마세요.

  3. 관리자 권한으로 명령 프롬프트(Cmd.exe)를 엽니다.

    1. 시작으로 이동합니다.
    2. 검색 시작명령 프롬프트를 입력합니다.
    3. [시작] 메뉴의 위쪽에서 마우스 오른쪽 단추로 명령 프롬프트를 클릭한 다음. 관리자 권한으로 실행을 선택합니다.
    4. 사용자 계정 컨트롤 대화 상자가 표시되면 적합한 자격 증명을 입력하고(요청한 경우), 표시되는 작업이 원하는 작업인지 확인한 다음, 계속을 선택합니다.

  4. 명령 프롬프트 창에서 C:\Program Files\Update Services\Tools 폴더로 이동합니다. 다음 명령을 입력합니다.

    wsusutil ConfigureSSLproxy [<proxy_server proxy_port>] -enable

    해당 명령에서:

    • proxy_server는 HTTPS를 지원하는 프록시 서버의 이름입니다.

    • proxy_port는 프록시 서버의 포트 번호입니다.

  5. 명령 프롬프트 창을 닫습니다.

프록시 서버를 WSUS 구성에 추가하려면

  1. WSUS 관리 콘솔을 엽니다.

  2. 왼쪽 창에서 서버 이름을 펼친 다음, 옵션을 선택합니다.

  3. 옵션 창에서 업데이트 원본 및 업데이트 서버를 선택한 다음, 프록시 서버 탭을 선택합니다.

  4. 동기화할 때 프록시 서버 사용 확인란을 선택합니다.

  5. 프록시 서버 이름 텍스트 상자에서 프록시 서버의 이름을 입력합니다.

  6. 프록시 포트 번호 텍스트 상자에서 프록시 서버의 포트 번호를 입력합니다. 기본 포트 번호는 80입니다.

  7. 프록시 서버에서 특정 사용자 계정을 사용해야 하는 경우 사용자 자격 증명을 사용하여 프록시 서버에 연결 확인란을 선택합니다. 필요한 사용자 이름, 도메인 및 암호를 해당 텍스트 상자에 입력합니다.

  8. 프록시 서버에서 기본 인증을 지원하는 경우 기본 인증 허용(일반 텍스트로 암호 보냄) 확인란을 선택합니다.

  9. 확인을 선택합니다.

WSUS 구성에서 프록시 서버를 제거하려면

  1. 동기화할 때 프록시 서버 사용 확인란의 선택을 취소합니다.

  2. 확인을 선택합니다.

2.1.4. 클라이언트 컴퓨터에서 WSUS 서버에 액세스할 수 있도록 방화벽 구성

클라이언트 컴퓨터는 모두 WSUS 서버 중 하나에 연결됩니다. 클라이언트 컴퓨터에는 WSUS 서버의 두 포트에 대한 아웃바운드 액세스 권한이 있어야 합니다. 기본적으로 8530 및 8531 포트입니다.

2.2. 네트워크 구성 마법사를 사용하여 WSUS 구성

이 절차에서는 WSUS 관리 콘솔을 처음 시작할 때 나타나는 WSUS 구성 마법사를 사용하고 있다고 가정합니다. 이 항목의 뒷부분에서는 옵션 페이지를 사용하여 이러한 구성을 수행하는 방법을 알아봅니다.

WSUS를 구성하려면

  1. 서버 관리자의 왼쪽 창에서 대시보드>도구>Windows Server Update Services를 차례로 선택합니다.

    참고 항목

    WSUS 설치 완료 대화 상자가 표시되면 실행을 선택합니다. 설치가 성공적으로 완료되면 WSUS 설치 완료 대화 상자에서 닫기를 선택합니다.

  2. WSUS 구성 마법사가 열립니다. 시작하기 전에 페이지에서 정보를 검토하고, 다음을 선택합니다.

  3. Microsoft 업데이트 개선 프로그램에 참여 페이지의 지침을 읽습니다. 프로그램에 참여하려면 기본 선택 항목을 유지하고, 참여하지 않으려면 확인란의 선택을 취소합니다. 그런 후 다음을 선택합니다.

  4. 업스트림 서버 선택 페이지에서 Microsoft 업데이트와 업데이트 동기화 또는 다른 Windows Server Update Services 서버에서 동기화의 두 옵션 중 하나를 선택합니다.

    다른 WSUS 서버에서 동기화하도록 선택하는 경우:

    • 이 서버에서 업스트림 서버와 통신할 서버 이름 및 포트를 지정합니다.

    • SSL을 사용하려면 업데이트 정보를 동기화할 때 SSL 사용 확인란을 선택합니다. 동기화 시 서버가 포트 443을 사용합니다. (이 서버와 업스트림 서버가 SSL을 지원해야 합니다.)

    • 이 서버가 복제본 서버인 경우 업스트림 서버의 복제 서버 확인란을 선택합니다.

  5. 배포 옵션을 선택한 후 다음을 선택합니다.

  6. 프록시 서버 지정 페이지에서 동기화할 때 프록시 서버 사용 확인란을 선택합니다. 그런 다음, 해당 상자에서 프록시 서버 이름과 포트 번호(기본적으로 80 포트)를 입력합니다.

    Important

    인터넷에 액세스할 수 있는 프록시 서버가 WSUS에 필요하다고 확인한 경우 이 단계를 완료해야 합니다.

  7. 특정 사용자 자격 증명을 사용하여 프록시 서버에 연결하려면 사용자 자격 증명을 사용하여 프록시 서버에 연결 확인란을 선택합니다. 그런 다음, 해당 상자에서 사용자의 사용자 이름, 도메인 및 암호를 입력합니다.

    기본 인증을 프록시 서버에 연결하는 사용자에 사용하도록 설정하려면 기본 인증 허용(일반 텍스트로 암호 보냄) 확인란을 선택합니다.

  8. 다음을 선택합니다.

  9. 업스트림 서버에 연결 페이지에서 연결 시작을 선택합니다.

  10. WSUS가 서버에 연결되면 다음을 선택합니다.

  11. 언어 선택 페이지에는 WSUS에서 받을 업데이트의 언어(모든 언어 또는 언어의 하위 집합)를 선택할 수 있습니다. 언어의 하위 집합을 선택하면 디스크 공간이 절감되지만, 이 WSUS 서버의 모든 클라이언트 컴퓨터에 필요한 언어를 모두 선택해야 합니다.

    특정 언어의 업데이트만 가져오도록 선택하는 경우 다음 언어의 업데이트만 다운로드를 선택한 다음, 원하는 업데이트에 대한 언어를 선택합니다. 그렇지 않으면 기본 선택 항목을 그대로 둡니다.

    Warning

    이 서버에 연결된 다운스트림 WSUS 서버가 있는 경우 다음 언어의 업데이트만 다운로드옵션을 선택하면 다운스트림 서버에서도 선택한 언어만 사용하도록 이 옵션이 적용됩니다.

  12. 배포에 대한 언어 옵션을 선택한 후 다음을 선택합니다.

  13. 제품 선택 페이지에서는 원하는 업데이트에 대한 제품을 지정할 수 있습니다. Windows 등의 제품 범주 또는 Windows Server 2012 등의 특정 제품을 선택합니다. 제품 범주를 선택하면 해당 범주의 모든 제품이 선택됩니다.

  14. 배포에 대한 제품 옵션을 선택한 후 다음을 선택합니다.

  15. 등급 선택 페이지에서 가져오려는 업데이트 등급을 선택합니다. 모든 등급 또는 등급의 하위 집합을 선택하고, 다음을 선택합니다.

  16. 동기화 일정 설정 페이지에서 동기화를 수동으로 수행할지, 자동으로 수행할지 선택할 수 있습니다.

    • 수동으로 동기화를 선택하는 경우 WSUS 관리 콘솔에서 동기화 프로세스를 시작해야 합니다.

    • 자동으로 동기화를 선택하는 경우 WSUS 서버가 설정된 간격으로 동기화됩니다.

    첫 번째 동기화 시간을 설정한 다음, 이 서버에서 수행할 일별 동기화 횟수를 지정합니다. 예를 들어 오전 3시에 시작하여 하루에 4번의 동기화를 지정하는 경우 동기화는 오전 3시, 오전 9시, 오후 3시 및 오후 9시에 수행됩니다.

  17. 배포에 대한 동기화 옵션을 선택한 후 다음을 선택합니다.

  18. 마침 페이지에는 초기 동기화 시작 확인란을 선택하면 동기화를 바로 시작할 수 있는 옵션이 있습니다.

    이 옵션을 선택하지 않으면 WSUS 관리 콘솔을 사용하여 초기 동기화를 수행해야 합니다. 추가 설정에 대해 자세히 알아보려면 다음을 선택하고, 이 마법사를 종료하고 초기 WSUS 설정을 완료하려면 마침을 선택합니다.

  19. 마침을 선택하면 WSUS 관리 콘솔이 표시됩니다. 이 콘솔을 사용하여 나중에 설명한 대로 WSUS 네트워크를 관리합니다.

2.3. SSL(Secure Sockets Layer) 프로토콜을 사용한 WSUS 보안

WSUS 네트워크 보호를 지원하려면 SSL 프로토콜을 사용해야 합니다. WSUS는 SSL을 사용하여 연결을 인증하고 업데이트 정보를 암호화하고 보호할 수 있습니다.

Warning

SSL 프로토콜을 사용하여 WSUS를 보호하는 것은 네트워크 보안에 중요합니다. WSUS 서버에서 SSL을 적절하게 사용하여 해당 연결을 보호하지 않으면 중요한 업데이트 정보를 WSUS 서버 간에 또는 WSUS 서버에서 클라이언트 컴퓨터에 보낼 때 공격자가 해당 정보를 수정할 수 있습니다. 이렇게 되면 공격자가 클라이언트 컴퓨터에 악성 소프트웨어를 설치할 수 있습니다.

Important

또한 TLS(전송 계층 보안) 또는 HTTPS를 사용하도록 구성된 다운스트림 서버와 클라이언트는 업스트림 WSUS 서버에 대해 FQDN(정규화된 도메인 이름)을 사용하도록 구성해야 합니다.

2.3.1. SSL/HTTPS를 사용하도록 WSUS 서버의 IIS 서비스에서 SSL/HTTPS를 사용하도록 설정

프로세스를 시작하려면 WSUS 서버의 IIS 서비스에서 SSL 지원을 사용하도록 설정해야 합니다. 여기에는 서버에 대한 SSL 인증서를 만드는 작업이 포함됩니다.

서버에 대한 SSL 인증서를 가져오는 데 필요한 단계는 이 문서의 범위를 벗어나며, 네트워크 구성에 따라 달라집니다. 인증서를 설치하고 이 환경을 설정하는 방법에 대한 자세한 내용과 지침은 다음 문서를 참조하세요.

2.3.2. 일부 연결에 SSL을 사용하도록 WSUS 서버의 IIS 웹 서버 구성

WSUS에는 다른 WSUS 서버와 클라이언트 컴퓨터에 연결하는 데 두 개의 포트가 필요합니다. 한 포트는 SSL/HTTPS를 사용하여 업데이트 메타데이터(중요한 업데이트 정보)를 보냅니다. 이는 기본적으로 8531 포트입니다. 두 번째 포트는 HTTP를 사용하여 업데이트 페이로드를 보냅니다. 이는 기본적으로 8530 포트입니다.

Important

전체 WSUS 웹 사이트에서 SSL을 요구하도록 구성할 수 없습니다. WSUS는 업데이트 메타데이터만 암호화하도록 설계되었습니다. 이는 Windows 업데이트에서 업데이트를 배포하는 것과 동일한 방식입니다.

업데이트 페이로드를 변조하는 공격자로부터 보호하기 위해 모든 업데이트 페이로드는 신뢰할 수 있는 특정 서명 인증서 세트를 통해 서명됩니다. 또한 암호화 해시가 각 업데이트 페이로드에 대해 계산됩니다. 해시는 업데이트에 대한 다른 메타데이터와 함께 보안 HTTPS 메타데이터 연결을 통해 클라이언트 컴퓨터로 보냅니다. 업데이트가 다운로드되면 클라이언트 소프트웨어에서 페이로드의 디지털 서명과 해시를 확인합니다. 업데이트가 변경된 경우 설치되지 않습니다.

다음 IIS 가상 루트에는 SSL이 필요합니다.

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

다음 가상 루트에는 SSL이 필요하지 않습니다.

  • 콘텐츠

  • 인벤토리

  • ReportingWebService

  • SelfUpdate

CA(인증 기관)의 인증서는 경우 각 WSUS 서버의 로컬 컴퓨터용 신뢰할 수 있는 루트 CA 저장소 또는 WSUS용 신뢰할 수 있는 루트 CA 저장소(있는 경우)로 가져와야 합니다.

IIS에서 SSL 인증서를 사용하는 방법에 대한 자세한 내용은 SSL(Secure Sockets Layer) 필요(IIS 7)를 참조하세요.

Important

로컬 컴퓨터용 인증서 저장소를 사용해야 합니다. 사용자의 인증서 저장소는 사용할 수 없습니다.

일반적으로 HTTPS 연결에는 8531 포트를 사용하고, HTTP 연결에는 8530 포트를 사용하도록 IIS를 구성해야 합니다. 이러한 포트를 변경하는 경우 두 개의 인접한 포트 번호를 사용해야 합니다. HTTP 연결에 사용되는 포트 번호는 HTTPS 연결에 사용되는 포트 번호보다 정확히 1이 작아야 합니다.

서버 이름, SSL 구성 또는 포트 번호가 변경된 경우 ClientServicingProxy를 다시 초기화해야 합니다.

2.3.3. 클라이언트 연결에 SSL 서명 인증서를 사용하도록 WSUS 구성

  1. WSUS 관리자 그룹 또는 로컬 관리자 그룹의 멤버인 계정을 사용하여 WSUS 서버에 로그온합니다.

  2. 시작으로 이동하여 CMD를 입력하고, 마우스 오른쪽 단추로 명령 프롬프트를 클릭한 다음, 관리자 권한으로 실행을 선택합니다.

  3. %ProgramFiles%\Update Services\Tools\ 폴더로 이동합니다.

  4. 명령 프롬프트 창에서 다음 명령을 입력합니다.

    wsusutil configuressl _certificateName_

    해당 명령에서 certificateName은 WSUS 서버의 DNS 이름입니다.

2.3.4. 필요한 경우 SQL Server 연결 보안

원격 SQL Server 데이터베이스에서 WSUS를 사용하는 경우 WSUS 서버와 데이터베이스 서버 간의 연결은 SSL을 통해 보호되지 않습니다. 이 경우 잠재적인 공격 벡터가 만들어집니다. 이 연결을 보호하려면 다음 권장 사항을 고려합니다.

  • WSUS 데이터베이스를 WSUS 서버로 이동합니다.

  • 원격 데이터베이스 서버와 WSUS 서버를 개인 네트워크로 이동합니다.

  • 네트워크 트래픽을 보호할 수 있도록 IPsec(인터넷 프로토콜 보안)을 배포합니다. IPsec에 대한 자세한 내용은 IPsec 정책 만들기 및 사용을 참조하세요.

2.3.5. 필요한 경우 로컬 게시를 위한 코드 서명 인증서 만들기

Microsoft에서 제공하는 업데이트를 배포하는 것 외에도 WSUS는 로컬 게시를 지원합니다. 로컬 게시를 사용하면 자체 페이로드 및 동작을 사용하여 직접 디자인한 업데이트를 만들고 배포할 수 있습니다.

로컬 게시를 사용하도록 설정하고 구성하는 것은 이 문서의 범위를 벗어납니다. 자세한 내용은 로컬 게시를 참조하세요.

Important

로컬 게시는 복잡한 프로세스이며 필요하지 않은 경우가 많습니다. 로컬 게시를 사용 설정하도록 결정하기 전에 설명서를 신중하게 검토하고 이 기능을 사용할지 여부와 방법을 고려해야 합니다.

2.4. WSUS 컴퓨터 그룹 구성

컴퓨터 그룹은 WSUS를 효과적으로 사용하는 데 중요한 부분입니다. 컴퓨터 그룹을 구성해 특정 컴퓨터의 업데이트를 테스트하고 작업 대상으로 삼을 수 있습니다. 컴퓨터 그룹에는 모든 컴퓨터와 할당되지 않은 컴퓨터라는 두 가지 기본 그룹이 있습니다. 기본적으로 각 클라이언트 컴퓨터가 WSUS 서버에 처음 접속하면 서버는 해당 클라이언트 컴퓨터를 이러한 두 그룹에 모두 추가합니다.

조직에서 업데이트를 관리하는 데 필요한 만큼의 사용자 지정 컴퓨터 그룹을 만들 수 있습니다. 모범 사례로, 조직 내 다른 컴퓨터에 업데이트를 배포하기 전에 업데이트를 테스트할 컴퓨터 그룹을 하나 이상 만듭니다.

2.4.1. 클라이언트 컴퓨터를 컴퓨터 그룹에 할당하는 방법 선택

클라이언트 컴퓨터를 컴퓨터 그룹에 할당하는 방법에는 두 가지가 있습니다. 조직에 적합한 방법은 일반적으로 클라이언트 컴퓨터를 관리하는 방법에 따라 달라집니다.

  • 서버 쪽 대상: 기본 방법입니다. 이 방법에서는 WSUS 관리 콘솔을 사용하여 클라이언트 컴퓨터를 컴퓨터 그룹에 할당합니다.

    이 방법을 사용하면 상황 변화에 따라 클라이언트 컴퓨터를 그룹 간에 빠르게 이동할 수 있는 유연성을 제공합니다. 그러나 이는 새 클라이언트 컴퓨터를 할당되지 않은 컴퓨터 그룹에서 적절한 컴퓨터 그룹으로 수동으로 이동해야 함을 의미합니다.

  • 클라이언트 쪽 대상: 이 방법에서는 클라이언트 컴퓨터 자체에 설정된 정책 설정을 사용하여 각 클라이언트 컴퓨터를 컴퓨터 그룹에 할당합니다.

    이 방법을 사용하면 새 클라이언트 컴퓨터를 적절한 그룹에 더 쉽게 할당할 수 있습니다. 이 작업은 WSUS 서버에서 업데이트를 받도록 클라이언트 컴퓨터를 구성하는 과정의 일부로 수행합니다. 그러나 이는 WSUS 관리 콘솔을 통해 클라이언트 컴퓨터를 컴퓨터 그룹에 할당하거나 컴퓨터 그룹 간에 이동할 수 없음을 의미합니다. 대신 클라이언트 컴퓨터의 정책을 수정해야 합니다.

2.4.2. 해당하는 경우 클라이언트 대상을 사용하도록 설정

Important

서버 쪽 대상을 사용하는 경우 이 단계를 건너뛰세요.

  1. WSUS 관리 콘솔의 Update Services 아래에서 WSUS 서버를 펼친 다음, 옵션을 선택합니다.

  2. 옵션 창의 일반 탭에서 컴퓨터의 그룹 정책 또는 레지스트리 설정 사용을 선택합니다.

2.4.3. 원하는 컴퓨터 그룹 만들기

참고 항목

서버 쪽 대상 또는 클라이언트 쪽 대상을 사용하여 클라이언트 컴퓨터를 컴퓨터 그룹에 추가하는지 여부에 관계없이 컴퓨터 그룹은 WSUS 관리 콘솔을 사용하여 만들어야 합니다.

  1. WSUS 관리 콘솔의 Update Services에서 WSUS 서버, 컴퓨터를 펼치고, 마우스 오른쪽 단추로 모든 컴퓨터를 클릭한 다음, 컴퓨터 그룹 추가를 선택합니다.

  2. 컴퓨터 그룹 추가 대화 상자의 이름에서 새 그룹의 이름을 지정합니다. 그런 다음, 추가를 선택합니다.

2.5 WSUS 서버와의 SSL 연결을 설정하도록 클라이언트 컴퓨터 구성

SSL을 사용하여 클라이언트 컴퓨터의 연결을 보호하도록 WSUS 서버를 구성했다고 가정하고 해당 SSL 연결을 신뢰하도록 클라이언트 컴퓨터를 구성해야 합니다.

WSUS 서버의 SSL 인증서는 클라이언트 컴퓨터의 신뢰할 수 있는 루트 CA 저장소 또는 클라이언트 컴퓨터의 자동 업데이트 서비스 신뢰할 수 있는 루트 CA 저장소(있는 경우)로 가져와야 합니다.

Important

로컬 컴퓨터용 인증서 저장소를 사용해야 합니다. 사용자의 인증서 저장소는 사용할 수 없습니다.

클라이언트 컴퓨터가 WSUS 서버에 바인딩하는 인증서를 신뢰해야 합니다. 사용되는 인증서의 종류에 따라 클라이언트 컴퓨터에서 WSUS 서버에 바인딩된 인증서를 신뢰할 수 있도록 서비스를 설정해야 할 수 있습니다.

로컬 게시를 사용하는 경우 WSUS 서버의 코드 서명 인증서를 신뢰하도록 클라이언트 컴퓨터도 구성해야 합니다. 지침은 로컬 게시를 참조하세요.

2.6. WSUS 서버에서 업데이트를 받도록 클라이언트 컴퓨터 구성

기본적으로 클라이언트 컴퓨터는 Windows 업데이트에서 업데이트를 받습니다. 대신 WSUS 서버에서 업데이트를 받도록 구성해야 합니다.

Important

이 문서에서는 [그룹 정책]을 사용하여 클라이언트 컴퓨터를 구성하는 일단의 단계를 제공합니다. 이러한 단계는 대부분의 상황에서 적절합니다. 그러나 모바일 디바이스 관리 사용을 포함하여 클라이언트 컴퓨터에서 업데이트 동작을 구성하는 데 사용할 수 있는 다른 옵션이 많이 있습니다. 이러한 옵션은 추가 Windows 업데이트 설정 관리에서 설명하고 있습니다.

2.6.1. 편집할 올바른 정책 집합 선택

네트워크에서 Active Directory를 설정한 경우 GPO(그룹 정책 개체)에 포함시킨 다음, 해당 GPO를 WSUS 설정으로 구성하여 하나 이상의 컴퓨터를 동시에 구성할 수 있습니다.

WSUS 설정만 포함하는 새 GPO를 만드는 것이 좋습니다. 이 WSUS GPO를 환경에 적합한 Active Directory 컨테이너에 연결합니다.

단일 환경에서는 단일 WSUS GPO를 도메인에 연결할 수 있습니다. 더 복잡한 환경에서는 여러 WSUS GPO를 여러 OU(조직 구성 단위)에 연결할 수 있습니다. GPO를 OU에 연결하면 WSUS 정책 설정을 다양한 유형의 컴퓨터에 적용할 수 있습니다.

네트워크에서 Active Directory를 사용하지 않는 경우 로컬 그룹 정책 편집기를 사용하여 각 컴퓨터를 구성합니다.

2.6.2. 클라이언트 컴퓨터를 구성하는 정책 편집

참고 항목

이러한 지침에서는 최신 버전의 정책 편집 도구를 사용하고 있다고 가정합니다. 이전 버전의 도구에서는 정책이 다르게 정렬될 수 있습니다.

  1. 적절한 정책 개체를 엽니다.

    • Active Directory를 사용하는 경우 그룹 정책 관리 콘솔을 열고, WSUS를 구성하려는 GPO를 이동한 다음, 편집을 선택합니다. 그런 다음, 컴퓨터 구성, 정책을 차례로 펼칩니다.
    • Active Directory를 사용하지 않는 경우 로컬 그룹 정책 편집기를 엽니다. 로컬 컴퓨터 정책이 표시됩니다. 컴퓨터 구성을 펼칩니다.

  2. 이전 단계에서 펼친 개체에서 관리 템플릿, Windows 구성 요소, Windows 업데이트를 차례로 펼치고, 최종 사용자 환경 관리를 선택합니다.

  3. 세부 정보 창에서 자동 업데이트 구성을 두 번 클릭합니다. 자동 업데이트 구성 정책이 열립니다.

  4. 사용을 선택한 다음, 자동 업데이트 구성 설정 아래에서 [자동 업데이트]에서 승인된 업데이트를 다운로드하고 설치하는 방법을 관리하는 데 원하는 옵션을 선택합니다.

    자동으로 다운로드하고 설치를 예약을 사용하는 것이 좋습니다. WSUS에서 승인한 업데이트가 사용자 개입 없이 적시에 다운로드되어 설치되도록 합니다.

  5. 원하는 경우 추가 Windows 업데이트 설정 관리에서 설명한 대로 정책의 다른 부분을 편집합니다.

    참고 항목

    다른 Microsoft 제품의 업데이트 설치 확인란은 WSUS에서 업데이트를 받는 클라이언트 컴퓨터에 영향을 주지 않습니다. 클라이언트 컴퓨터는 WSUS 서버에서 이 컴퓨터에 대해 승인된 모든 업데이트를 받습니다.

  6. 확인을 선택하여 자동 업데이트 구성 정책을 닫습니다.

  7. 트리의 Windows 업데이트 노드로 돌아가서 Windows Server Update Service에서 제공되는 업데이트 관리를 선택합니다.

  8. Windows Server Update Service에서 제공되는 업데이트 관리 세부 정보 창에서 인트라넷 Microsoft 업데이트 서비스 위치 지정을 두 번 클릭합니다. 인트라넷 Microsoft 업데이트 서비스 위치 지정 정책이 열립니다.

  9. 사용을 선택한 다음, 인트라넷 업데이트 서비스에서 업데이트를 검색하도록 설정인트라넷 통계 서버 설정 텍스트 상자 모두에서 WSUS 서버의 URL을 입력합니다.

    Warning

    올바른 포트를 URL에 포함해야 합니다. 권장하는 대로 SSL을 사용하도록 서버를 구성했다고 가정하고 HTTPS에 대해 구성된 포트를 지정해야 합니다. 예를 들어 8531 포트를 HTTPS에 사용하도록 선택하고 서버의 도메인 이름이 wsus.contoso.com인 경우 두 텍스트 상자 모두에서 https://wsus.contoso.com:8531을 입력해야 합니다.

  10. 확인을 선택하여 인트라넷 Microsoft 업데이트 서비스 위치 지정 정책을 닫습니다.

해당하는 경우 클라이언트 쪽 대상 구성

클라이언트 쪽 대상을 사용하도록 선택한 경우 이제 적절한 컴퓨터 그룹을 구성하는 클라이언트 컴퓨터에 지정해야 합니다.

참고 항목

이러한 단계에서는 클라이언트 컴퓨터를 구성하기 위한 정책을 편집하는 단계를 방금 완료했다고 가정합니다.

  1. Windows Server Update Service에서 제공되는 업데이트 관리 세부 정보 창에서 클라이언트 대상 그룹 사용을 두 번 클릭합니다. 클라이언트 대상 그룹 사용 정책이 열립니다.

  2. 사용을 선택한 다음, 이 컴퓨터의 대상 그룹 이름 상자에서 클라이언트 컴퓨터를 추가하려는 WSUS 컴퓨터 그룹의 이름을 입력합니다.

    최신 버전의 WSUS를 실행하는 경우 세미콜론으로 구분된 그룹 이름을 입력하여 클라이언트 컴퓨터를 여러 컴퓨터 그룹에 추가할 수 있습니다. 예를 들어 Accounting;Executive를 입력하여 클라이언트 컴퓨터를 Accounting 및 Executive 컴퓨터 그룹 모두에 추가할 수 있습니다.

  3. 확인을 선택하여 클라이언트 대상 그룹 사용 정책을 닫습니다.

2.6.3. 클라이언트 컴퓨터에서 WSUS 서버에 연결하도록 허용

WSUS 서버에 처음 연결할 때까지 클라이언트 컴퓨터는 WSUS 관리 콘솔에 표시되지 않습니다.

  1. 정책 변경 내용이 클라이언트 컴퓨터에 적용될 때까지 기다립니다.

    Active Directory 기반 GPO를 사용하여 클라이언트 컴퓨터를 구성한 경우 그룹 정책 업데이트 메커니즘에서 변경 내용을 클라이언트 컴퓨터에 전달하는 데 약간의 시간이 걸립니다. 이 속도를 높이려면 상승된 권한으로 [명령 프롬프트] 창을 연 다음, gpupdate /force 명령을 입력합니다.

    로컬 그룹 정책 편집기를 사용하여 개별 클라이언트 컴퓨터를 구성한 경우 변경 내용이 즉시 적용됩니다.

  2. 클라이언트 컴퓨터를 다시 시작합니다. 이 단계에서는 컴퓨터의 Windows 업데이트 소프트웨어에서 정책 변경을 검색하는지 확인합니다.

  3. 클라이언트 컴퓨터에서 업데이트를 검사하도록 합니다. 이 검사에는 일반적으로 약간의 시간이 걸립니다.

    다음 옵션 중 하나를 사용하여 프로세스의 속도를 높일 수 있습니다.

    • Windows 10 또는 11에서 설정 앱의 Windows 업데이트 페이지를 사용하여 업데이트를 수동으로 확인합니다.
    • Windows 10 이전의 Windows 버전에서 제어판의 Windows 업데이트 아이콘을 사용하여 업데이트를 수동으로 확인합니다.
    • Windows 10 이전의 Windows 버전에서 상승된 권한으로 [명령 프롬프트] 창을 열고, wuauclt /detectnow 명령을 입력합니다.

2.6.4 클라이언트 컴퓨터에서 WSUS 서버에 성공적으로 연결되었는지 확인

이전 단계를 모두 성공적으로 수행한 경우 다음 결과가 표시됩니다.

  • 클라이언트 컴퓨터에서 업데이트를 성공적으로 검사합니다. (다운로드하고 설치할 해당 업데이트를 찾거나 찾지 못할 수도 있습니다.)

  • 클라이언트 컴퓨터가 약 20분 내에 대상 유형에 따라 WSUS 관리 콘솔에 표시되는 컴퓨터 목록에 나타납니다.

    • 서버 쪽 대상을 사용하는 경우 클라이언트 컴퓨터는 [모든 컴퓨터] 및 [할당되지 않은 컴퓨터] 컴퓨터 그룹에 나타납니다.

    • 클라이언트 쪽 대상을 사용하는 경우 클라이언트 컴퓨터는 [모든 컴퓨터] 컴퓨터 그룹과 클라이언트 컴퓨터를 구성하는 동안 선택한 컴퓨터 그룹에 나타납니다.

2.6.5. 해당하는 경우 클라이언트 컴퓨터의 서버 쪽 대상 설정

서버 쪽 대상을 사용하는 경우 이제 새 클라이언트 컴퓨터를 적절한 컴퓨터 그룹에 추가해야 합니다.

  1. WSUS 관리 콘솔에서 새 클라이언트 컴퓨터를 찾습니다. 이 컴퓨터는 WSUS 서버의 컴퓨터 목록에 있는 [모든 컴퓨터] 및 [할당되지 않은 컴퓨터] 컴퓨터 그룹에 표시됩니다.

  2. 마우스 오른쪽 단추로 클라이언트 컴퓨터를 클릭하고, 멤버 자격 변경을 선택합니다.

  3. 대화 상자에서 적절한 컴퓨터 그룹을 선택한 다음, 확인을 선택합니다.