다음을 통해 공유

2단계: WSUS 구성

WSUS(Windows Server Update Services) 서버 역할을 서버에 설치한 후 올바르게 구성해야 합니다. 또한 WSUS 서버에서 업데이트를 받도록 클라이언트 컴퓨터를 구성해야 합니다.

2.1. 네트워크 연결 구성

구성 과정을 시작하기 전에 다음 질문에 대한 답변을 알고 있어야 합니다.

  • 클라이언트가 서버에 액세스할 수 있도록 서버의 방화벽이 구성되어 있습니까?

  • 이 컴퓨터가 업스트림 서버(Microsoft 업데이트에서 업데이트를 다운로드하도록 지정된 서버)에 연결할 수 있나요?

  • 프록시 서버의 이름과 프록시 서버의 사용자 자격 증명(필요한 경우)을 갖고 있습니까?

그러면 다음 WSUS 네트워크 설정 구성을 시작할 수 있습니다.

  • 업데이트: 이 서버가 업데이트를 받는 방법을 지정합니다(Microsoft 업데이트 또는 다른 WSUS 서버에서).

  • 프록시: WSUS가 프록시 서버를 사용하여 인터넷에 액세스해야 하는 경우 WSUS 서버에서 프록시 설정을 구성합니다.

  • 방화벽: WSUS가 회사 방화벽 뒤에 있음을 식별하는 경우 에지 디바이스에서 추가 단계를 수행하여 WSUS 트래픽을 허용합니다.

중요합니다

WSUS 서버가 하나만 있는 경우 Microsoft에서 업데이트를 다운로드해야 하므로 인터넷에 액세스할 수 있어야 합니다. 여러 개의 WSUS 서버가 있는 경우 하나의 서버만 인터넷에 액세스해야 합니다. 나머지 서버는 네트워크를 통해 인터넷에 연결된 WSUS 서버에 액세스해야 합니다. 클라이언트 컴퓨터는 인터넷에 액세스할 필요가 없습니다. WSUS 서버에 대한 네트워크 액세스만 필요합니다.

네트워크에 공기가 틈새가 있는 경우(인터넷에 액세스할 수 없는 경우) WSUS를 사용하여 네트워크의 클라이언트 컴퓨터에 대한 업데이트를 제공할 수 있습니다. 이 방법에는 두 개의 WSUS 서버가 필요합니다. 인터넷에 액세스할 수 있는 하나의 WSUS 서버에서 Microsoft로부터 업데이트를 수집합니다. 보호된 네트워크의 두 번째 WSUS 서버는 업데이트를 클라이언트 컴퓨터에 제공합니다. 업데이트는 첫 번째 서버에서 이동식 미디어로 내보내고, 공극을 가로질러 전달되고, 두 번째 서버로 가져옵니다. 이 구성은 고급이며 이 문서의 범위를 벗어납니다.

2.1.1. 첫 번째 WSUS 서버에서 인터넷의 Microsoft 도메인에 연결할 수 있도록 방화벽 구성

회사 방화벽이 WSUS와 인터넷 사이에 있는 경우 WSUS에서 업데이트를 가져올 수 있도록 해당 방화벽을 구성해야 할 수 있습니다. Microsoft 업데이트에서 업데이트를 가져오기 위해 WSUS 서버에서 80 및 443 포트를 HTTP 및 HTTPS 프로토콜에 사용합니다. 대부분의 회사 방화벽은 이 유형의 트래픽을 허용하지만, 일부 회사는 보안 정책에 따라 서버의 인터넷 액세스를 제한합니다. 회사에서 액세스를 제한하는 경우 WSUS 서버가 Microsoft 도메인에 액세스할 수 있도록 방화벽을 구성해야 합니다.

첫 번째 WSUS 서버에는 다음 도메인의 80 및 443 포트에 대한 아웃바운드 액세스 권한이 있어야 합니다.

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

Microsoft Configuration Manager가 필요한 Microsoft 365 업데이트를 관리하는 경우 허용해야 하는 도메인에 대한 자세한 내용은 Microsoft Configuration Manager를 사용하여 Microsoft 365 앱에 대한 업데이트 관리를 참조하세요.

중요합니다

첫 번째 WSUS 서버에서 이러한 도메인 내의 모든 URL에 액세스할 수 있도록 방화벽을 구성해야 합니다. 이러한 도메인과 연결된 IP 주소는 지속적으로 변경되므로 IP 주소 범위를 대신 사용하지 마세요.

2.1.2. 다른 WSUS 서버에서 첫 번째 서버에 연결할 수 있도록 방화벽 구성

WSUS 서버가 여러 대 있는 경우 첫 번째(맨 위) 서버에 액세스하도록 다른 WSUS 서버를 구성해야 합니다. 그러면 다른 WSUS 서버는 최상위 서버에서 모든 업데이트 정보를 받습니다. 이 구성을 사용하면 최상위 서버에서 WSUS 관리 콘솔을 사용하여 전체 네트워크를 관리할 수 있습니다.

다른 WSUS 서버에는 두 개의 포트를 통한 최상위 서버에 대한 아웃바운드 액세스 권한이 있어야 합니다. 기본적으로 이러한 포트는 8530 및 8531입니다. 이 문서의 뒷부분에 있는 일부 연결에 TLS를 사용하도록 WSUS 서버의 IIS 웹 서버 구성 에 설명된 대로 이러한 포트를 변경할 수 있습니다.

비고

WSUS 서버 간의 네트워크 연결 속도가 느리거나 비용이 많이 드는 경우 Microsoft에서 직접 업데이트 페이로드를 받도록 하나 이상의 다른 WSUS 서버를 구성할 수 있습니다. 이 경우 해당 WSUS 서버에서 최상위 서버로 소량의 데이터만 전송됩니다. 이 구성이 작동하려면 다른 WSUS 서버에서 최상위 서버와 동일한 인터넷 도메인에 액세스할 수 있어야 합니다.

비고

대규모 조직이 있는 경우 다른 모든 WSUS 서버를 최상위 서버에 직접 연결하는 대신 연결된 WSUS 서버 체인을 사용할 수 있습니다. 예를 들어 최상위 서버에 연결하는 두 번째 WSUS 서버를 갖춘 다음, 다른 WSUS 서버를 두 번째 WSUS 서버에 연결할 수 있습니다.

2.1.3. 필요한 경우 프록시 서버를 사용하도록 WSUS 서버 구성

회사 네트워크에서 프록시 서버를 사용하는 경우 프록시 서버는 HTTP 및 HTTPS 프로토콜을 지원해야 합니다. 또한 기본 인증 또는 Windows 인증을 사용해야 합니다. 다음 구성 중 하나를 사용하여 이러한 요구 사항을 충족할 수 있습니다.

  • 두 프로토콜 채널을 지원하는 단일 프록시 서버. 이 경우 한 채널은 HTTP를 사용하도록 설정하고 다른 하나는 HTTPS를 사용하도록 설정합니다.

    비고

    WSUS 서버 소프트웨어를 설치하는 동안 하나의 프록시 서버에서 WSUS에 대한 두 프로토콜을 모두 처리하도록 설정할 수 있습니다.

  • 각각 하나의 프로토콜을 지원하는 두 프록시 서버. 이 경우 HTTP를 사용하도록 프록시 서버 하나를 구성하고 다른 프록시 서버는 HTTPS를 사용하도록 구성합니다.

두 프록시 서버를 사용하도록 WSUS를 설정하려면

  1. 로컬 관리자 그룹의 구성원인 계정을 사용하여 WSUS 서버로 사용하려는 컴퓨터에 로그인합니다.

  2. WSUS 서버 역할을 설치합니다. WSUS 구성 마법사를 사용하여 WSUS 구성 마법사에 설명된 대로 WSUS 구성 마법사를 사용하는 경우 프록시 서버를 지정하지 마세요.

  3. 관리자 권한으로 명령 프롬프트(Cmd.exe)를 엽니다.

    1. 시작 메뉴에서 명령 프롬프트를 검색합니다.
    2. 명령 프롬프트를 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 선택합니다.
    3. 사용자 계정 컨트롤 대화 상자가 나타나면 적절한 자격 증명(요청된 경우)을 입력하고 표시되는 작업이 원하는 작업인지 확인한 다음 계속을 선택합니다.

  4. 명령 프롬프트에서 C:\Program Files\Update Services\Tools 폴더로 이동합니다. 다음 명령을 입력합니다.

    wsusutil ConfigureSSLproxy [<proxy-server proxy-port>] -enable

    해당 명령에서:

    • proxy_server는 HTTPS를 지원하는 프록시 서버의 이름입니다.

    • proxy_port는 프록시 서버의 포트 번호입니다.

  5. 명령 프롬프트를 닫습니다.

프록시 서버를 WSUS 구성에 추가하려면

  1. WSUS 관리 콘솔을 엽니다.

  2. Update Services에서 서버 이름을 확장한 다음 옵션을 선택합니다.

  3. 옵션 창에서 원본 및 프록시 서버 업데이트를 선택한 다음 프록시 서버 탭으로 이동합니다.

  4. 동기화할 때 프록시 서버 사용을 선택한 다음, 해당 상자에 프록시 서버의 이름과 포트 번호를 입력합니다. 기본 포트 번호는 80입니다.

  5. 프록시 서버에서 특정 사용자 계정을 사용해야 하는 경우 사용자 자격 증명을 사용하여 프록시 서버에 연결합니다. 필요한 사용자 이름, 도메인 및 암호를 해당 상자에 입력합니다.

  6. 프록시 서버에서 기본 인증을 지원하는 경우 기본 인증 허용을 선택합니다(암호는 일반 텍스트로 전송됨).

  7. 확인을 선택합니다.

WSUS 구성에서 프록시 서버를 제거하려면

  1. WSUS 관리 콘솔의 Update Services에서 서버 이름을 확장한 다음 옵션을 선택합니다.

  2. 옵션 창에서 원본 및 프록시 서버 업데이트를 선택한 다음 프록시 서버 탭으로 이동합니다.

  3. 동기화할 때 프록시 서버 사용 확인란의 선택을 취소합니다.

  4. 확인을 선택합니다.

2.1.4. 클라이언트 컴퓨터에서 WSUS 서버에 액세스할 수 있도록 방화벽 구성

클라이언트 컴퓨터는 모두 WSUS 서버 중 하나에 연결해야 합니다. 각 클라이언트 컴퓨터에는 WSUS 서버의 두 포트에 대한 아웃바운드 액세스 권한이 있어야 합니다. 기본적으로 이러한 포트는 8530 및 8531입니다.

2.2. 네트워크 구성 마법사를 사용하여 WSUS 구성

다음 섹션의 절차에서는 WSUS 구성 마법사를 사용하여 WSUS 설정을 구성합니다. WSUS 관리 콘솔을 처음 시작할 때 WSUS 구성 마법사가 나타납니다. WSUS 관리 콘솔의 옵션 창을 사용하여 WSUS 설정을 구성할 수도 있습니다. 옵션 창 사용에 대한 자세한 내용은 이 문서의 다른 섹션에서 다음 절차를 참조하세요.

마법사를 시작하고 초기 설정 구성

  1. 서버 관리자 대시보드에서 도구>Windows Server Update Services를 선택합니다.

    비고

    WSUS 설치 완료 대화 상자가 나타나면 실행을 선택합니다. WSUS 설치 완료 대화 상자에서 설치가 성공적으로 완료되면 닫기를 선택합니다.

    WSUS 구성 마법사가 열립니다.

  2. 시작하기 전에 페이지에서 정보를 검토하고, 다음을 선택합니다.

  3. Microsoft 업데이트 개선 프로그램 참가 페이지에서 지침을 읽습니다. 프로그램에 참여하려면 기본 선택 항목을 유지하고, 참여하지 않으려면 확인란의 선택을 취소합니다. 그런 후 다음을 선택합니다.

업스트림 및 프록시 서버 설정 구성

  1. 업스트림 서버 선택 페이지에서 다음 옵션 중 하나를 선택합니다.

    • Microsoft 업데이트에서 동기화

    • 다른 Windows Server Update Services 서버에서 동기화

    다른 WSUS 서버에서 동기화하도록 선택한 경우 다음 단계를 수행합니다.

    1. 서버 이름과 이 서버가 업스트림 서버와 통신해야 하는 포트를 지정합니다.

    2. TLS를 사용하려면 업데이트 정보를 동기화할 때 SSL 사용을 선택합니다. 서버는 동기화에 포트 443을 사용합니다. (이 서버와 업스트림 서버가 TLS를 지원하는지 확인합니다.)

    3. 이 서버가 복제본 서버인 경우 업스트림 서버의 복제본을 선택합니다.

  2. 배포 옵션을 선택한 후 다음을 선택합니다.

  3. WSUS가 인터넷에 액세스하기 위해 프록시 서버가 필요한 경우 다음 프록시 설정을 구성합니다. 그렇지 않으면 이 단계를 건너뜁니다.

    1. 프록시 서버 지정 페이지에서 동기화할 때 프록시 서버 사용을 선택합니다. 그런 다음, 해당 상자에서 프록시 서버 이름과 포트 번호(기본적으로 80 포트)를 입력합니다.

    2. 특정 사용자 자격 증명을 사용하여 프록시 서버에 연결하려면 사용자 자격 증명을 사용하여 프록시 서버에 연결합니다. 그런 다음, 해당 상자에서 사용자의 사용자 이름, 도메인 및 암호를 입력합니다.

      프록시 서버에 연결하는 사용자에 대해 기본 인증을 사용하도록 설정하려면 기본 인증 허용을 선택합니다(암호는 일반 텍스트로 전송됨).

  4. 다음을 선택합니다.

  5. 업스트림 서버에 연결 페이지에서 연결 시작을 선택합니다.

  6. WSUS가 서버에 연결되면 다음을 선택합니다.

언어, 제품 및 분류 선택

  1. 언어 선택 페이지에서 WSUS에서 업데이트를 받는 언어(모든 언어 또는 언어 하위 집합)를 선택할 수 있습니다. 언어 하위 집합을 선택하면 디스크 공간이 절약되지만 이 WSUS 서버의 모든 클라이언트에 필요한 모든 언어를 선택하는 것이 중요합니다.

    특정 언어의 업데이트만 가져오도록 선택하는 경우 다음 언어의 업데이트만 다운로드를 선택한 다음, 원하는 업데이트에 대한 언어를 선택합니다. 그렇지 않으면 기본 선택 항목을 그대로 둡니다.

    경고

    이러한 언어로만 업데이트 다운로드 옵션을 선택하고 이 서버에 다운스트림 WSUS 서버가 연결된 경우 이 옵션은 다운스트림 서버에서 선택한 언어만 사용하도록 강제합니다.

  2. 다음을 선택합니다.

  3. 제품 선택 페이지에서 업데이트할 제품을 지정합니다. Windows와 같은 제품 범주 또는 Windows Server 2019와 같은 특정 제품을 선택합니다. 제품 범주를 선택하면 해당 범주의 모든 제품이 선택됩니다.

  4. 다음을 선택합니다.

  5. 등급 선택 페이지에서 가져오려는 업데이트 등급을 선택합니다. 모든 분류 또는 하위 집합을 선택한 다음, 다음을 선택합니다.

동기화 일정 구성

  1. 동기화 일정 설정 페이지에서 동기화를 수동으로 수행할지 아니면 자동으로 수행할지를 선택합니다.

    • 수동으로 동기화를 선택하는 경우 WSUS 관리 콘솔에서 동기화 프로세스를 시작해야 합니다.

    • 자동으로 동기화를 선택하면 WSUS 서버가 설정된 간격으로 동기화됩니다.

      첫 번째 동기화의 경우 시간을 설정한 다음 이 서버에서 수행할 일별 동기화 수를 지정합니다. 예를 들어 하루에 4개의 동기화를 지정하는 경우 오전 3:00부터 동기화는 오전 3:00, 오전 9:00, 오후 3:00 및 오후 9:00에 발생합니다.

  2. 다음을 선택합니다.

마법사를 완료합니다.

  1. 완료된 페이지에서 즉시 동기화를 시작하려면 초기 동기화 시작을 선택합니다. 이 옵션을 선택하지 않으면 WSUS 관리 콘솔을 사용하여 초기 동기화를 수행해야 합니다.

  2. 다른 설정에 대해 자세히 알아보려면 다음을 선택합니다. 그렇지 않은 경우 마침 을 선택하여 마법사를 종료하고 초기 WSUS 설정을 완료합니다.

마침을 선택하면 WSUS 관리 콘솔이 표시됩니다. 이 문서의 뒷부분에 설명된 대로 이 콘솔을 사용하여 WSUS 네트워크를 관리합니다.

2.3. TLS 프로토콜을 사용하여 WSUS 보호

TLS 프로토콜을 사용하여 WSUS 네트워크를 보호해야 합니다. WSUS는 TLS를 사용하여 연결을 인증하고 업데이트 정보를 암호화하고 보호할 수 있습니다.

경고

TLS 프로토콜을 사용하여 WSUS를 보호하는 것은 네트워크 보안에 중요합니다. WSUS 서버가 TLS를 사용하여 연결을 보호하지 못하는 경우 공격자는 WSUS 서버에서 다른 서버로 전송되거나 WSUS 서버에서 클라이언트 컴퓨터로 전송될 때 중요한 업데이트 정보를 수정할 수 있습니다. 이 경우 공격자는 클라이언트 컴퓨터에 악성 소프트웨어를 설치할 수 있습니다.

중요합니다

TLS 또는 HTTPS를 사용하도록 구성된 클라이언트 및 다운스트림 서버도 업스트림 WSUS 서버에 FQDN(정규화된 도메인 이름)을 사용하도록 구성해야 합니다.

2.3.1. WSUS 서버의 IIS 서비스에서 TLS/HTTPS를 사용하도록 설정하세요.

TLS/HTTPS를 사용하는 프로세스를 시작하려면 WSUS 서버의 IIS(인터넷 정보 서비스) 서비스에서 TLS 지원을 사용하도록 설정해야 합니다. 이 작업에는 서버에 대한 TLS/SSL(Secure Sockets Layer) 인증서를 만드는 작업이 포함됩니다.

서버에 대한 TLS/SSL 인증서를 가져오는 데 필요한 단계는 이 문서의 범위를 벗어나 네트워크 구성에 따라 달라집니다. 인증서를 설치하고 이 환경을 설정하는 방법에 대한 자세한 내용과 지침은 Active Directory 인증서 서비스에 대한 설명서를 참조하세요.

2.3.2. 일부 연결에 TLS를 사용하도록 WSUS 서버의 IIS 웹 서버 구성

WSUS에는 다른 WSUS 서버와 클라이언트 컴퓨터에 연결하는 데 두 개의 포트가 필요합니다. 한 포트는 TLS/HTTPS를 사용하여 업데이트 메타데이터 (업데이트에 대한 중요한 정보)를 보냅니다. 기본적으로 포트 8531은 이 용도로 사용됩니다. 두 번째 포트는 HTTP를 사용하여 업데이트 페이로드를 보냅니다. 기본적으로 포트 8530은 이 용도로 사용됩니다.

중요합니다

TLS가 필요하도록 전체 WSUS 웹 사이트를 구성할 수 없습니다. WSUS는 업데이트 메타데이터만 암호화하도록 설계되었습니다. Windows 업데이트는 동일한 방식으로 업데이트를 배포합니다.

업데이트 페이로드를 변조하는 공격자로부터 보호하기 위해 모든 업데이트 페이로드는 신뢰할 수 있는 특정 서명 인증서 세트를 통해 서명됩니다. 또한 암호화 해시는 각 업데이트 페이로드에 대해 계산됩니다. 해시는 업데이트에 대한 다른 메타데이터와 함께 보안 HTTPS 메타데이터 연결을 통해 클라이언트 컴퓨터로 보냅니다. 업데이트가 다운로드되면 클라이언트 소프트웨어에서 페이로드의 디지털 서명과 해시를 확인합니다. 업데이트가 변경된 경우 설치되지 않습니다.

다음 IIS 가상 루트에 대해서만 TLS가 필요합니다.

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

다음 가상 루트에는 TLS가 필요하지 않습니다.

  • 콘텐츠

  • 인벤토리

  • ReportingWebService

  • 셀프 업데이트

CA(인증 기관)의 인증서는 경우 각 WSUS 서버의 로컬 컴퓨터용 신뢰할 수 있는 루트 CA 저장소 또는 WSUS용 신뢰할 수 있는 루트 CA 저장소(있는 경우)로 가져와야 합니다.

IIS에서 TLS/SSL 인증서를 사용하는 방법에 대한 자세한 내용은 IIS 7 이상에서 SSL을 설정하는 방법을 참조하세요.

중요합니다

로컬 컴퓨터용 인증서 저장소를 사용해야 합니다. 사용자의 인증서 저장소는 사용할 수 없습니다.

일반적으로 HTTPS 연결에는 8531 포트를 사용하고, HTTP 연결에는 8530 포트를 사용하도록 IIS를 구성해야 합니다. 이러한 포트를 변경하는 경우 두 개의 인접한 포트 번호를 사용해야 합니다. HTTP 연결에 사용되는 포트 번호는 HTTPS 연결에 사용되는 포트 번호보다 정확히 1이 작아야 합니다.

서버 이름, TLS 구성 또는 포트 번호가 ClientServicingProxy 변경되면 클라이언트 프록시를 다시 초기화해야 합니다.

2.3.3. 클라이언트 연결에 TLS/SSL 서명 인증서를 사용하도록 WSUS 구성

  1. WSUS Administrators 그룹 또는 로컬 관리자 그룹의 구성원인 계정을 사용하여 WSUS 서버에 로그인합니다.

  2. 시작 메뉴에서 CMD를 입력하고 명령 프롬프트를 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 선택합니다.

  3. C:\Program Files\Update Services\Tools 폴더로 이동합니다.

  4. 명령 프롬프트에서 다음 명령을 입력합니다.

    wsusutil configuressl <certificate-name>

    이 명령에서 인증서 이름은 WSUS 서버의 DNS(도메인 이름 시스템) 이름입니다.

2.3.4. 필요한 경우 SQL Server 연결 보안

원격 SQL Server 데이터베이스에서 WSUS를 사용하는 경우 WSUS 서버와 데이터베이스 서버 간의 연결은 TLS를 통해 보호되지 않습니다. 이 경우 잠재적인 공격 벡터가 생성됩니다. 이 연결을 보호하려면 다음 권장 사항을 고려합니다.

  • WSUS 데이터베이스를 WSUS 서버로 이동합니다.

  • 원격 데이터베이스 서버와 WSUS 서버를 개인 네트워크로 이동합니다.

  • 네트워크 트래픽을 보호할 수 있도록 IPsec(인터넷 프로토콜 보안)을 배포합니다. IPsec에 대한 자세한 내용은 IPsec 정책 만들기 및 사용을 참조하세요.

2.3.5. 필요한 경우 로컬 게시를 위한 코드 서명 인증서 만들기

WSUS는 Microsoft에서 제공하는 업데이트를 배포하는 것 외에도 로컬 게시를 지원합니다. 로컬 게시를 사용하여 사용자 고유의 페이로드 및 동작을 사용하여 직접 디자인하는 업데이트를 만들고 배포할 수 있습니다.

로컬 게시를 사용하도록 설정하고 구성하는 것은 이 문서의 범위를 벗어납니다. 자세한 내용은 로컬 게시를 참조하세요.

중요합니다

로컬 게시는 복잡한 프로세스이며 필요하지 않은 경우가 많습니다. 로컬 게시를 사용하도록 설정하기 전에 문서를 신중하게 검토하고 이 기능을 사용할지 여부와 사용 방법을 고려해야 합니다.

2.4. WSUS 컴퓨터 그룹 구성

컴퓨터 그룹은 WSUS를 효과적으로 사용하는 데 중요한 부분입니다. 컴퓨터 그룹을 사용하여 특정 컴퓨터에 대한 업데이트를 테스트하고 대상으로 지정할 수 있습니다. 컴퓨터 그룹에는 모든 컴퓨터와 할당되지 않은 컴퓨터라는 두 가지 기본 그룹이 있습니다. 기본적으로 각 클라이언트 컴퓨터가 WSUS 서버에 처음 접속하면 서버는 해당 클라이언트 컴퓨터를 이러한 두 그룹에 모두 추가합니다.

조직에서 업데이트를 관리하는 데 필요한 만큼의 사용자 지정 컴퓨터 그룹을 만들 수 있습니다. 모범 사례로, 조직 내 다른 컴퓨터에 업데이트를 배포하기 전에 업데이트를 테스트할 컴퓨터 그룹을 하나 이상 만듭니다.

2.4.1. 클라이언트 컴퓨터를 컴퓨터 그룹에 할당하는 방법 선택

클라이언트 컴퓨터를 컴퓨터 그룹에 할당하는 방법에는 두 가지가 있습니다. 조직에 적합한 방법은 일반적으로 클라이언트 컴퓨터를 관리하는 방법에 따라 달라집니다.

  • 서버 쪽 대상 지정: 이 방법은 기본 방법입니다. 이 방법에서는 WSUS 관리 콘솔을 사용하여 클라이언트 컴퓨터를 컴퓨터 그룹에 할당합니다.

    이 방법을 사용하면 상황 변화에 따라 클라이언트 컴퓨터를 그룹 간에 빠르게 이동할 수 있는 유연성을 제공합니다. 그러나 따라서 할당되지 않은 컴퓨터 그룹에서 적절한 컴퓨터 그룹으로 새 클라이언트 컴퓨터를 수동으로 이동해야 합니다.

  • 클라이언트 쪽 대상: 이 방법에서는 클라이언트 컴퓨터 자체에 설정된 정책 설정을 사용하여 각 클라이언트 컴퓨터를 컴퓨터 그룹에 할당합니다.

    이 방법을 사용하면 새 클라이언트 컴퓨터를 적절한 그룹에 더 쉽게 할당할 수 있습니다. 이 작업은 WSUS 서버에서 업데이트를 받도록 클라이언트 컴퓨터를 구성하는 과정의 일부로 수행합니다. 그러나 따라서 WSUS 관리 콘솔을 통해 클라이언트 컴퓨터를 컴퓨터 그룹에 할당하거나 한 컴퓨터 그룹에서 다른 컴퓨터 그룹으로 이동할 수 없습니다. 대신 클라이언트 컴퓨터의 정책을 수정해야 합니다.

2.4.2. 해당하는 경우 클라이언트 대상을 사용하도록 설정

중요합니다

서버 쪽 대상 지정을 사용하려는 경우 이 섹션의 단계를 건너뜁니다.

  1. WSUS 관리 콘솔의 Update Services에서 WSUS 서버를 확장한 다음 옵션을 선택합니다.

  2. 옵션 창에서 컴퓨터를 선택합니다. 일반 탭으로 이동한 다음 컴퓨터에서 그룹 정책 또는 레지스트리 설정 사용을 선택합니다.

2.4.3. 원하는 컴퓨터 그룹 만들기

비고

서버 쪽 대상 또는 클라이언트 쪽 대상을 사용하여 클라이언트 컴퓨터를 컴퓨터 그룹에 추가하는지 여부에 관계없이 컴퓨터 그룹은 WSUS 관리 콘솔을 사용하여 만들어야 합니다.

  1. WSUS 관리 콘솔의 Update Services에서 WSUS 서버, 컴퓨터를 펼치고, 마우스 오른쪽 단추로 모든 컴퓨터를 클릭한 다음, 컴퓨터 그룹 추가를 선택합니다.

  2. 컴퓨터 그룹 추가 대화 상자의 이름에서 새 그룹의 이름을 지정합니다. 그런 다음, 추가를 선택합니다.

2.5 WSUS 서버와 TLS 연결을 설정하도록 클라이언트 컴퓨터 구성

TLS를 사용하여 클라이언트 컴퓨터의 연결을 보호하도록 WSUS 서버를 구성한다고 가정하면 해당 TLS 연결을 신뢰하도록 클라이언트 컴퓨터를 구성해야 합니다.

WSUS 서버의 TLS/SSL 인증서는 클라이언트 컴퓨터의 신뢰할 수 있는 루트 CA 저장소 또는 클라이언트 컴퓨터의 자동 업데이트 서비스 신뢰할 수 있는 루트 CA 저장소(있는 경우)로 가져와야 합니다.

중요합니다

로컬 컴퓨터용 인증서 저장소를 사용해야 합니다. 사용자의 인증서 저장소는 사용할 수 없습니다.

클라이언트 컴퓨터가 WSUS 서버에 바인딩하는 인증서를 신뢰해야 합니다. 사용되는 인증서의 종류에 따라 클라이언트 컴퓨터에서 WSUS 서버에 바인딩된 인증서를 신뢰할 수 있도록 서비스를 설정해야 할 수 있습니다.

로컬 게시를 사용하는 경우 WSUS 서버의 코드 서명 인증서를 신뢰하도록 클라이언트 컴퓨터도 구성해야 합니다. 지침은 로컬 게시를 참조하세요.

2.6. WSUS 서버에서 업데이트를 받도록 클라이언트 컴퓨터 구성

기본적으로 클라이언트 컴퓨터는 Windows 업데이트에서 업데이트를 받습니다. 대신 WSUS 서버에서 업데이트를 받도록 구성해야 합니다.

중요합니다

이 문서에서는 [그룹 정책]을 사용하여 클라이언트 컴퓨터를 구성하는 일단의 단계를 제공합니다. 이러한 단계는 대부분의 상황에서 적절합니다. 그러나 모바일 디바이스 관리 사용을 포함하여 클라이언트 컴퓨터에서 업데이트 동작을 구성하는 데 사용할 수 있는 다른 옵션이 많이 있습니다. 이러한 옵션에 대한 설명서는 추가 Windows 업데이트 설정 관리를 참조하세요.

2.6.1. 편집할 올바른 정책 집합 선택

Active Directory가 네트워크에 설정된 경우 GPO(그룹 정책 개체)에 포함시킨 다음 WSUS 설정을 사용하여 해당 GPO를 구성하여 하나 이상의 컴퓨터를 동시에 구성할 수 있습니다.

WSUS 설정만 포함하는 새 GPO를 만드는 것이 좋습니다. 이 WSUS GPO를 환경에 적합한 Active Directory 컨테이너에 연결합니다.

단일 환경에서는 단일 WSUS GPO를 도메인에 연결할 수 있습니다. 더 복잡한 환경에서는 여러 WSUS GPO를 여러 OU(조직 구성 단위)에 연결할 수 있습니다. GPO를 OU에 연결할 때 WSUS 정책 설정을 다양한 유형의 컴퓨터에 적용할 수 있습니다.

네트워크에서 Active Directory를 사용하지 않는 경우 로컬 그룹 정책 편집기를 사용하여 각 컴퓨터를 구성해야 합니다.

2.6.2. 클라이언트 컴퓨터를 구성하는 정책 편집

정책 설정을 사용하여 클라이언트 컴퓨터를 구성하려면 다음 섹션의 단계를 수행합니다.

비고

이러한 지침에서는 최신 버전의 정책 편집 도구를 사용하고 있다고 가정합니다. 이전 버전의 도구에서는 정책이 다르게 정렬될 수 있습니다.

정책 편집기를 열고 Windows 업데이트 항목으로 이동합니다.

  1. 적절한 정책 개체를 엽니다.

    • Active Directory를 사용하는 경우 그룹 정책 관리 콘솔을 열고 WSUS를 구성하려는 GPO로 이동하여 편집을 선택합니다. 그런 다음 컴퓨터 구성을 확장하고 정책을 확장합니다.
    • Active Directory를 사용하지 않는 경우 로컬 그룹 정책 편집기를 엽니다. 로컬 컴퓨터 정책이 표시됩니다. 컴퓨터 구성을 펼칩니다.

  2. 이전 단계에서 확장한 개체에서 관리 템플릿>Windows 구성 요소>Windows 업데이트를 확장합니다. 운영 체제가 Windows 10 또는 Windows 11인 경우 최종 사용자 환경 관리도 선택합니다.

자동 업데이트에 대한 설정 편집

  1. 세부 정보 창에서 자동 업데이트 구성을 두 번 클릭합니다. 자동 업데이트 구성 정책이 열립니다.

  2. [사용]을 선택한 다음 자동 업데이트 구성 설정에서 원하는 옵션을 선택하여 자동 업데이트 기능을 다운로드하고 승인된 업데이트를 설치하는 방법을 관리합니다.

    자동으로 다운로드하고 설치를 예약을 사용하는 것이 좋습니다. 사용자 개입 없이 WSUS에서 승인하는 업데이트가 적시에 다운로드 및 설치되도록 합니다.

  3. 원하는 경우 정책의 다른 부분을 편집합니다. 자세한 내용은 추가 Windows 업데이트 설정 관리를 참조하세요.

    비고

    다른 Microsoft 제품 설정의 업데이트 설치는 WSUS에서 업데이트를 수신하는 클라이언트 컴퓨터에 영향을 주지 않습니다. 클라이언트 컴퓨터는 WSUS 서버에서 승인된 모든 업데이트를 받습니다.

  4. 확인을 선택하여 자동 업데이트 구성 정책을 닫습니다.

업데이트를 호스트할 인트라넷 서버를 지정하기 위한 설정 편집

  1. 세부 정보 창에서 인트라넷 Microsoft 업데이트 서비스 위치 지정을 두 번 클릭합니다. 운영 체제가 Windows 10 또는 Windows 11인 경우 먼저 트리의 Windows 업데이트 노드로 돌아가서 Windows Server 업데이트 서비스에서 제공하는 업데이트 관리를 선택합니다.

    인트라넷 Microsoft 업데이트 서비스 위치 지정 정책이 열립니다.

  2. [사용]을 선택한 다음 업데이트를 검색하기 위한 인트라넷 업데이트 서비스 설정 및 인트라넷통계 서버 상자 설정 모두에서 WSUS 서버의 URL을 입력합니다.

    경고

    올바른 포트를 URL에 포함해야 합니다. 권장되는 대로 TLS를 사용하도록 서버를 구성한다고 가정하면 HTTPS에 대해 구성된 포트를 지정해야 합니다. 예를 들어 HTTPS에 포트 8531을 사용하도록 선택하고 서버의 도메인 이름이 wsus.contoso.com 경우 두 상자에 모두 입력 https://wsus.contoso.com:8531 해야 합니다.

  3. 확인을 선택하여 인트라넷 Microsoft 업데이트 서비스 위치 지정 정책을 닫습니다.

해당하는 경우 클라이언트 쪽 대상 구성

클라이언트 쪽 대상 지정을 사용하도록 선택하는 경우 이 섹션의 단계를 수행하여 구성 중인 클라이언트 컴퓨터에 적절한 컴퓨터 그룹을 지정합니다.

비고

이러한 단계에서는 클라이언트 컴퓨터를 구성하는 정책을 편집하는 단계를 완료한 것으로 가정합니다.

  1. 정책 편집기에서 Windows 업데이트 항목으로 이동합니다. 운영 체제가 Windows 10 또는 Windows 11인 경우 Windows Server 업데이트 서비스에서 제공하는 업데이트 관리도 선택합니다.

  2. 세부 정보 창에서 클라이언트 쪽 대상 지정 사용을 두 번 클릭합니다. 클라이언트 측 타겟팅 사용 정책이 열립니다.

  3. 활성화를 선택합니다. 이 컴퓨터의 대상 그룹 이름 아래에 클라이언트 컴퓨터를 추가할 WSUS 컴퓨터 그룹의 이름을 입력합니다.

    최신 버전의 WSUS를 실행하는 경우 세미콜론으로 구분된 그룹 이름을 입력하여 클라이언트 컴퓨터를 여러 컴퓨터 그룹에 추가할 수 있습니다. 예를 들어 Accounting;Executive를 입력하여 클라이언트 컴퓨터를 Accounting 및 Executive 컴퓨터 그룹 모두에 추가할 수 있습니다.

  4. 확인을 선택하여 클라이언트 측 타겟팅 사용 정책을 닫습니다.

2.6.3. 클라이언트 컴퓨터에서 WSUS 서버에 연결하도록 허용

클라이언트 컴퓨터는 WSUS 서버에 처음으로 연결할 때까지 WSUS 관리 콘솔에 표시되지 않습니다.

  1. 정책 변경 내용이 클라이언트 컴퓨터에 적용될 때까지 기다립니다.

    Active Directory 기반 GPO를 사용하여 클라이언트 컴퓨터를 구성하는 경우 그룹 정책 업데이트 메커니즘이 클라이언트 컴퓨터에 변경 내용을 전달하는 데 다소 시간이 걸립니다. 이 프로세스의 속도를 높이려면 관리자 권한으로 명령 프롬프트를 연 다음 gpupdate /force 명령을 입력할 수 있습니다.

    로컬 그룹 정책 편집기를 사용하여 개별 클라이언트 컴퓨터를 구성하는 경우 변경 내용이 즉시 적용됩니다.

  2. 고객 컴퓨터를 다시 시작합니다. 이 단계에서는 컴퓨터의 Windows 업데이트 소프트웨어에서 정책 변경을 검색하는지 확인합니다.

  3. 클라이언트 컴퓨터에서 업데이트를 검사하도록 합니다. 이 검사에는 일반적으로 약간의 시간이 걸립니다.

    다음 옵션 중 하나를 사용하여 프로세스의 속도를 높일 수 있습니다.

    • Windows 10 또는 11에서 설정 앱 Windows 업데이트 페이지를 사용하여 업데이트를 수동으로 확인합니다.
    • Windows 10 이전의 Windows 버전에서 제어판의 Windows 업데이트 아이콘을 사용하여 업데이트를 수동으로 확인합니다.
    • Windows 10 이전 버전의 Windows에서 관리자 권한으로 명령 프롬프트를 열고 wuauclt /detectnow 명령을 입력합니다.

2.6.4 클라이언트 컴퓨터에서 WSUS 서버에 성공적으로 연결되었는지 확인

이전 단계를 모두 성공적으로 수행하면 다음 결과가 표시됩니다.

  • 클라이언트 컴퓨터에서 업데이트를 성공적으로 검사합니다. (다운로드하고 설치할 해당 업데이트를 찾거나 찾지 못할 수도 있습니다.)

  • 클라이언트 컴퓨터가 약 20분 내에 대상 유형에 따라 WSUS 관리 콘솔에 표시되는 컴퓨터 목록에 나타납니다.

    • 서버 쪽 대상을 사용하는 경우 클라이언트 컴퓨터는 [모든 컴퓨터] 및 [할당되지 않은 컴퓨터] 컴퓨터 그룹에 나타납니다.

    • 클라이언트 쪽 대상 지정을 사용하는 경우 클라이언트 컴퓨터는 모든 컴퓨터 컴퓨터 그룹 및 클라이언트 컴퓨터를 구성하는 동안 선택한 컴퓨터 그룹에 표시됩니다.

2.6.5. 해당하는 경우 클라이언트 컴퓨터의 서버 쪽 대상 설정

서버 쪽 대상을 사용하는 경우 이제 새 클라이언트 컴퓨터를 적절한 컴퓨터 그룹에 추가해야 합니다.

  1. WSUS 관리 콘솔에서 새 클라이언트 컴퓨터를 찾습니다. 이 컴퓨터는 WSUS 서버의 컴퓨터 목록에 있는 [모든 컴퓨터] 및 [할당되지 않은 컴퓨터] 컴퓨터 그룹에 표시됩니다.

  2. 마우스 오른쪽 단추로 클라이언트 컴퓨터를 클릭하고, 멤버 자격 변경을 선택합니다.

  3. 대화 상자에서 적절한 컴퓨터 그룹을 선택한 다음, 확인을 선택합니다.

다음 단계

3단계: 업데이트 승인 및 배포