2단계: WSUS 구성

적용 대상: Windows Server 2019, Windows Server(반기 채널), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

WSUS 서버 역할을 서버에 설치한 후에는 이를 올바르게 구성해야 합니다. 다음 검사 목록은 WSUS 서버의 초기 구성 수행과 관련된 단계를 요약해서 보여줍니다.

작업 설명
2.1. 네트워크 연결 구성 네트워크 구성 마법사를 사용하여 클러스터 네트워크를 구성합니다.
2.2. 네트워크 구성 마법사를 사용하여 WSUS 구성 WSUS 구성 마법사를 사용하여 기본 WSUS 구성 작업을 수행합니다.
2.3. WSUS 컴퓨터 그룹 구성 WSUS 관리 콘솔에서 컴퓨터 그룹을 만들어 조직에서 업데이트를 관리합니다.
2.4. 클라이언트 업데이트 구성 클라이언트 컴퓨터에 자동 업데이트를 적용하는 방법과 시기를 지정합니다.
2.5. SSL(Secure Sockets Layer) 프로토콜을 사용한 WSUS 보안 WSUS(Windows Server Update Services)를 보호하기 위한 SSL(Secure Sockets Layer) 프로토콜을 구성합니다.

2.1. 네트워크 연결 구성

구성 과정을 시작하기 전에 다음 질문에 대한 답변을 알고 있어야 합니다.

  1. 클라이언트가 서버에 액세스할 수 있도록 서버의 방화벽이 구성되어 있습니까?

  2. 이 컴퓨터는 업스트림 서버(Microsoft 업데이트에서 업데이트를 다운로드하도록 지정된 서버 등)에 연결할 수 있습니까?

  3. 프록시 서버의 이름과 프록시 서버의 사용자 자격 증명(필요한 경우)을 갖고 있습니까?

기본적으로 WSUS는 업데이트를 가져올 위치로 Microsoft 업데이트를 사용하도록 구성되어 있습니다. 네트워크에 프록시 서버가 있는 경우 이 프록시 서버를 사용하도록 WSUS를 구성할 수 있습니다. WSUS와 인터넷 사이에 회사 방화벽이 있는 경우에는 WSUS가 업데이트를 가져올 수 있도록 방화벽을 구성해야 할 수 있습니다.

업데이트를 Microsoft 업데이트에서 다운로드하려면 인터넷 연결이 필요하지만, WSUS에는 인터넷에 연결되어 있지 않은 네트워크로 업데이트를 가져올 수 있는 기능이 있습니다.

이러한 질문에 대한 답변이 마련되어 있으면 다음과 같은 WSUS 네트워크 설정의 구성 작업을 시작할 수 있습니다.

  • 업데이트 이 서버가 업데이트를 가져올 방법(Microsoft 업데이트 또는 다른 WSUS 서버)을 지정합니다

  • 프록시 WSUS가 프록시 서버를 사용해 인터넷에 액세스해야 하는 것으로 확인되면 WSUS 서버에 프록시 설정을 구성해야 합니다.

  • 방화벽 WSUS가 회사 방화벽 뒤에 있는 것으로 확인되면 에지 장치에서 몇 가지 단계를 추가로 수행해야 WSUS 트래픽이 올바르게 허용됩니다.

2.1.1. WSUS 서버에서 인터넷 연결

WSUS와 인터넷 사이에 회사 방화벽이 있는 경우 WSUS가 업데이트를 가져올 수 있도록 방화벽을 구성해야 할 수 있습니다. Microsoft 업데이트에서 업데이트를 가져오기 위해 WSUS 서버는 HTTPS 프로토콜에 포트 443을 사용합니다. 이 유형의 트래픽 허용 하는 대다수 회사 방화벽, 있지만 회사 보안 정책 때문에 서버에서 인터넷 액세스를 제한 하는 일부 회사에서는 있습니다. 회사에서 액세스를 제한하는 경우 WSUS에서 다음 URL목록에 대한 인터넷 액세스를 허용하는 권한을 얻어야 합니다.

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

중요

방화벽 구성으로 인해 WSUS가 업데이트를 가져오지 못하는 시나리오는 Microsoft 기술 자료의 문서 885819를 참조하세요.

다음 섹션에서는 WSUS와 인터넷 사이에 있는 회사 방화벽을 구성하는 방법에 대해 설명합니다. WSUS에서 모든 네트워크 트래픽이 시작되므로 WSUS 서버에서 Windows 방화벽을 구성할 필요가 없습니다. Microsoft 업데이트와 WSUS 사이 연결에는 포트 80과 443이 열려 있어야 하지만, 여러 WSUS 서버를 사용자 지정 포트에서 동기화하도록 구성할 수 있습니다.

2.1.2. WSUS 서버 간 연결

WSUS 업스트림 및 다운스트림 서버는 WSUS 관리자가 구성된 포트에서 동기화됩니다. 기본적으로 이러한 포트는 다음과 같이 구성됩니다.

  • WSUS 3.2 및 이전 버전에서는 HTTP에 포트 80, HTTPS에 포트 443 사용

  • WSUS 6.2 이상 (최소한 Windows Server 2012), HTTPS가 사용에 대 한 8530 HTTP 및 8531 포트

이러한 포트에서 인바운드 트래픽을 허용하도록 WSUS 서버의 방화벽을 구성해야 합니다.

2.1.3. 클라이언트(Windows 업데이트 에이전트)와 WSUS 서버 간 연결

수신 인터페이스 및 포트는 WSUS용 IIS 사이트와 클라이언트 PC를 구성하는 데 사용되는 그룹 정책 설정에서 구성됩니다. 기본 포트는 이전 섹션 WSUS 서버 간 연결 에서 지정한 것과 동일하며, WSUS 서버의 방화벽도 이러한 포트에서 인바운드 트래픽을 허용하도록 구성되어야 합니다.

프록시 서버 구성

회사 네트워크에서 프록시 서버를 사용하는 경우 프록시 서버는 HTTP 및 SSL 프로토콜을 지원하고 기본 인증 또는 Windows 인증을 사용해야 합니다. 다음 구성 중 하나를 사용하여 이러한 요구 사항을 충족할 수 있습니다.

  1. 두 프로토콜 채널을 지원하는 단일 프록시 서버. 이 경우 한 채널은 HTTP를 사용하도록 설정하고 다른 하나는 HTTPS를 사용하도록 설정합니다.

    참고

    WSUS 서버 소프트웨어 설치 중 하나의 프록시 서버에서 WSUS에 대한 두 프로토콜을 모두 처리하도록 설정할 수 있습니다.

  2. 각각 하나의 프로토콜을 지원하는 두 프록시 서버. 이 경우 한 프록시 서버는 HTTP를 사용하도록 구성하고 다른 프록시 서버는 HTTPS를 사용하도록 구성합니다.

각각 하나의 WSUS용 프로토콜을 처리하는 두 개의 프록시 서버를 설정하려면 다음 절차를 사용합니다.

두 프록시 서버를 사용하도록 WSUS를 설정하려면

  1. 로컬 관리자 그룹의 구성원인 계정을 사용하여 WSUS 서버가 될 컴퓨터에 로그온합니다.

  2. WSUS 서버 역할을 설치합니다. WSUS 구성 마법사(다음 섹션에서 설명)를 실행하는 동안 프록시 서버를 지정하지 마세요.

  3. 관리자 권한으로 명령 프롬프트(Cmd.exe)를 엽니다. 관리자 권한으로 명령 프롬프트를 열려면 시작 으로 이동합니다. 검색 시작명령 프롬프트 를 입력합니다. 시작 메뉴 위쪽에서 명령 프롬프트 를 마우스 오른쪽 단추로 클릭한 다음, 관리자 권한으로 실행 을 클릭합니다. 사용자 계정 컨트롤 대화 상자가 나타나면 요청할 경우 적합한 자격 증명을 입력하고 원하는 작업이 표시되는지 확인한 다음 계속 을 클릭합니다.

  4. 명령 프롬프트 창에서 C:\Program Files\Update Services\Tools 폴더로 이동합니다. 다음 명령을 입력합니다.

    wsusutil ConfigureSSLproxy [< proxy_server proxy_port>] -enable, 여기서

    1. proxy_server는 HTTPS를 지원하는 프록시 서버의 이름입니다.

    2. proxy_port는 프록시 서버 포트 번호입니다.

  5. 명령 프롬프트 창을 닫습니다.

HTTP 프로토콜을 사용하는 프록시 서버를 WSUS 구성에 추가하려면 다음 절차를 따릅니다.

HTTP 프로토콜을 사용하는 프록시 서버를 추가하려면

  1. WSUS 관리 콘솔을 엽니다.

  2. 왼쪽 창에서 서버 이름을 확장하고 옵션 을 클릭합니다.

  3. 옵션 창에서 Update Source and Update Server(업데이트 원본 및 업데이트 서버)를 클릭하고 프록시 서버 탭을 클릭합니다.

  4. 기존 프록시 서버 구성을 수정하려면 다음 옵션을 사용합니다.

    프록시 서버를 변경하거나 WSUS 구성에 추가하려면
    1. 동기화할 때 프록시 서버 사용 확인란을 선택합니다.

    2. 프록시 서버 이름 텍스트 상자에 프록시 서버의 이름을 입력합니다.

    3. 프록시 포트 번호 텍스트 상자에 프록시 서버의 포트 번호를 입력합니다. 기본 포트 번호는 80입니다.

    4. 프록시 서버에서 특정 사용자 계정의 사용을 요구하는 경우 사용자 자격 증명을 사용하여 프록시 서버에 연결 확인란을 선택합니다. 해당 텍스트 상자에 필요한 사용자 이름, 도메인 및 암호를 입력합니다.

    5. 프록시 서버에서 기본 인증을 지원하는 경우 기본 인증 허용(일반 텍스트로 암호 보냄) 확인란을 선택합니다.

    6. 확인 을 클릭합니다.

    WSUS 구성에서 프록시 서버를 제거하려면
    1. WSUS 구성에서 프록시 서버를 제거하려면 동기화할 때 프록시 서버 사용 확인란 선택을 취소합니다.

    2. 확인 을 클릭합니다.

2.2. 네트워크 구성 마법사를 사용하여 WSUS 구성

이 절차에서는 WSUS 구성 마법사를 사용하는 것으로 가정하며, 이 마법사는 WSUS 관리 콘솔을 처음 실행할 때 나타납니다. 이 항목의 후반부에서는 옵션 페이지를 사용해 이러한 구성 작업을 수행하는 방법을 알아봅니다.

WSUS를 구성하려면

  1. 서버 관리자의 탐색 창에서 대시보드도구 를 차례로 클릭한 다음 Windows Server Update Services 를 클릭합니다.

    참고

    WSUS 설치 완료 대화 상자가 나타나면 실행 을 클릭합니다. 설치를 완료하면 WSUS 설치 완료 대화 상자에서 닫기 를 클릭합니다.

  2. Windows Server Update Services 마법사가 열립니다. 시작하기 전 페이지에서 정보를 검토하고 다음 을 클릭합니다.

  3. Microsoft 업데이트 개선 프로그램에 참여 페이지의 지침을 읽고 참여할지를 평가합니다. 프로그램에 참여하려는 경우 기본 선택된 상태를 유지하거나 확인란 선택을 취소하고 다음 을 클릭합니다.

  4. 업스트림 서버 선택 페이지에는 두 가지 옵션이 있습니다.

    1. Microsoft 업데이트와 업데이트 동기화

    2. 다른 Windows Server Update Services 서버에서 동기화

      • 다른 WSUS 서버에서 동기화하도록 선택한 경우 서버 이름 및 이 서버가 업스트림 서버와 통신하는 데 사용할 포트를 지정합니다.

      • SSL을 사용하려면 업데이트 정보를 동기화할 때 SSL 사용 확인란을 선택합니다. 동기화 시 서버가 포트 443을 사용합니다. (이 서버와 업스트림 서버가 SSL을 지원해야 합니다.)

      • 이 서버가 복제 서버인 경우에는 업스트림 서버의 복제 서버 확인란을 선택합니다.

  5. 배포에 사용할 옵션을 적절히 선택한 후 다음 을 클릭해 계속 진행합니다.

  6. 프록시 서버 지정 페이지에서 동기화할 때 프록시 서버 사용 확인란을 선택한 다음, 해당 상자에 프록시 서버 이름과 포트 번호(기본적으로 포트 80)를 입력합니다.

    중요

    WSUS를 사용할 때 프록시 서버에서 인터넷에 액세스해야 하는 경우 이 단계를 완료해야 합니다.

  7. 특정 사용자의 자격 증명을 사용해 프록시 서버에 연결할 경우 사용자 자격 증명을 사용하여 프록시 서버에 연결 확인란을 선택한 다음 해당 상자에 사용자 이름, 도메인 및 사용자 암호를 입력합니다. 프록시 서버에 연결하는 사용자에 대한 기본 인증을 활성화하려면 기본 인증 허용(일반 텍스트로 암호 보냄) 확인란을 선택합니다.

  8. 다음 을 클릭합니다. 업스트림 서버에 연결 페이지에서 연결 시작 을 클릭합니다.

  9. 서버에 연결되면 다음 을 클릭해 계속 진행합니다.

  10. 언어 선택 WSUS는 업데이트-모든 언어 또는 언어 하위 집합을 수신 하는 데에서 언어를 선택 하는 옵션이 있는 페이지. 언어 하위 집합을 선택하면 디스크 공간이 절감되지만, 이 WSUS 서버의 모든 클라이언트 컴퓨터에 필요한 언어를 모두 선택하는 것이 중요합니다. 특정 언어로만 업데이트를 가져오도록 선택하는 경우 다음 언어의 업데이트만 다운로드 를 선택한 다음 업데이트에 사용할 언어를 선택하고, 그렇지 않으면 기본 선택 항목을 그대로 적용합니다.

    경고

    이 서버에 연결된 다운스트림 WSUS 서버가 있는 경우 다음 언어의 업데이트만 다운로드 옵션을 선택하면 다운스트림 서버에서도 선택한 언어만 사용하도록 이 옵션이 적용됩니다.

  11. 배포에 사용할 언어 옵션을 적절히 선택한 후 다음 을 클릭해 계속 진행합니다.

  12. 제품 선택 페이지에서는 원하는 업데이트 제품을 지정할 수 있습니다. Windows 등의 제품 범주 또는 Windows Server 2012 등의 특정 제품을 선택합니다. 제품 범주를 선택하면 해당 범주의 모든 제품이 선택됩니다.

  13. 배포에 사용할 제품 옵션을 적절히 선택한 후 다음 을 클릭합니다.

  14. 등급 선택 페이지에서 가져오려는 업데이트 등급을 선택합니다. 모든 분류 또는 분류 하위 집합을 선택한 후 다음 을 클릭합니다.

  15. 동기화 일정 설정 페이지에서 동기화를 수동으로 수행할지, 자동으로 수행할지 선택할 수 있습니다.

    • 수동으로 동기화 를 선택하면 동기화 프로세스를 WSUS 관리 콘솔에서 시작해야 합니다.

    • 자동으로 동기화 를 선택하면 정해진 주기로 WSUS 서버가 동기화됩니다.

    이 서버에서 수행할 첫 번째 동기화 시간을 설정하고 하루 동기화 횟수 를 지정합니다. 예를 들어 하루에 네 번 동기화 작업을 수행하도록 지정하면 오전 3시를 시작으로 오전 3시, 오전 9시, 오후 3시, 오후 9시에 동기화 작업이 수행됩니다.

  16. 배포에 사용할 동기화 옵션을 적절히 선택한 후 다음 을 클릭해 계속 진행합니다.

  17. 마침 페이지에서 초기 동기화 시작 확인란을 선택하면 지금 동기화를 시작할 수 있습니다. 이 옵션을 선택하지 않을 경우 WSUS 관리 콘솔을 사용하여 초기 동기화를 수행해야 합니다. 추가 설정에 대해 자세히 알아보려면 다음 을 클릭하고, 이 마법사를 끝내고 초기 WSUS 설정을 완료하려면 마침 을 클릭합니다.

  18. 마침 을 클릭하면 WSUS 관리 콘솔이 나타납니다.

이제 기본적인 WSUS 구성을 작업을 수행했습니다. WSUS 관리 콘솔을 사용해 설정을 변경하는 방법에 대한 자세한 내용은 다음 섹션을 읽어보세요.

2.3. WSUS 컴퓨터 그룹 구성

컴퓨터 그룹은 WSUS(Windows Server Update Services) 배포의 중요한 부분입니다. 컴퓨터 그룹을 구성해 특정 컴퓨터의 업데이트를 테스트하고 작업 대상으로 삼을 수 있습니다. 기본 컴퓨터 그룹에는 모든 컴퓨터 그룹과 할당되지 않은 컴퓨터 그룹이 있습니다. 기본적으로 각 클라이언트 컴퓨터가 WSUS 서버에 처음 접속하면 서버는 해당 클라이언트 컴퓨터를 이러한 두 그룹에 모두 추가합니다.

조직에서 업데이트를 관리하는 데 필요한 만큼의 사용자 지정 컴퓨터 그룹을 만들 수 있습니다. 모범 사례로, 조직 내 다른 컴퓨터에 업데이트를 배포하기 전에 업데이트를 테스트할 컴퓨터 그룹을 하나 이상 만듭니다.

다음 절차에 따라 새 그룹을 만들고 컴퓨터를 이 그룹에 할당합니다.

컴퓨터 그룹을 만들려면

  1. WSUS 관리 콘솔의 Update Services 에서 WSUS 서버, 컴퓨터 를 확장하고 모든 컴퓨터 를 마우스 오른쪽 단추로 클릭한 다음 컴퓨터 그룹 추가 를 클릭합니다.

  2. 컴퓨터 그룹 추가 대화 상자의 이름 에서 새 그룹의 이름을 지정한 다음 추가 를 클릭합니다.

  3. 컴퓨터 를 클릭한 다음 이 새 그룹에 할당할 컴퓨터를 선택합니다.

  4. 이전 단계에서 선택한 컴퓨터 이름을 마우스 오른쪽 단추로 클릭한 다음 구성원 변경 을 클릭합니다.

  5. 컴퓨터 그룹 구성원 설정 대화 상자에서 사용자가 만든 테스트 그룹을 선택한 다음 확인 을 클릭합니다.

2.4. 클라이언트 업데이트 구성

WSUS 설치 프로그램은 WSUS 서버에 접속하는 각 클라이언트 컴퓨터에 최신 버전의 자동 업데이트를 배포하도록 IIS를 자동으로 구성합니다. 자동 업데이트를 구성하는 최상의 방법은 네트워크 환경에 따라 결정됩니다.

  • Active Directory 디렉터리 서비스를 사용하는 환경에서는 기존 도메인 기반 GPO(그룹 정책 개체)를 사용하거나 새로운 GPO를 만들 수 있습니다.

  • Active Directory가 없는 환경에서는 로컬 그룹 정책 편집기를 사용해 자동 업데이트를 구성한 다음 클라이언트 컴퓨터가 WSUS 서버를 가리키도록 합니다.

중요

다음 절차에서는 네트워크에서 Active Directory가 실행되는 것으로 가정합니다. 또한 그룹 정책에 대해 잘 알고 있으며, 이를 사용해 네트워크를 관리하는 것으로 가정합니다.

다음 절차에 따라 클라이언트 컴퓨터에 대한 자동 업데이트를 구성합니다.

그룹 정책에 자동 업데이트 구성

네트워크에 Active Directory를 구성한 경우 하나 이상의 컴퓨터를 GPO(그룹 정책 개체)에 포함시킨 다음, WSUS 설정을 사용하여 해당 GPO를 구성함으로써 하나 이상의 컴퓨터를 동시에 구성할 수 있습니다. WSUS 설정만 포함하는 새 GPO를 만드는 것이 좋습니다.

이 WSUS GPO를 환경에 맞는 Active Directory 컨테이너에 연결합니다. 단일 환경에서는 단일 WSUS GPO를 도메인에 연결할 수 있습니다. 보다 복잡한 환경에서는 여러 WSUS GPO를 몇몇 OU(조직 구성 단위)에 연결하여 다양한 WSUS 정책 설정을 다른 유형의 컴퓨터에 적용할 수 있습니다.

도메인 GPO를 통해 WSUS를 활성화하려면
  1. GPMC(그룹 정책 관리 콘솔)에서 WSUS를 구성하려는 GPO를 검색한 다음, 편집 을 클릭합니다.

  2. GPMC에서 컴퓨터 구성, 정책, 관리 템플릿, Windows 구성 요소 를 차례로 확장한 다음, Windows 업데이트 를 클릭합니다.

  3. 세부 정보 창에서 자동 업데이트 구성 을 두 번 클릭합니다. 자동 업데이트 구성 정책이 열립니다.

  4. 사용 을 클릭한 다음 자동 업데이트 구성 설정 아래에서 다음 옵션 중 하나를 선택합니다.

    • 다운로드 및 설치할 때 알림. 이 옵션은 업데이트를 다운로드하고 설치하기 전에 로그온되어 있는 관리자에게 알립니다.

    • 자동으로 다운로드하고 설치할 때 알림. 이 옵션은 업데이트를 자동으로 다운로드하기 시작한 다음, 업데이트를 설치하기 전에 로그온되어 있는 관리자에게 알립니다. 이 옵션은 기본적으로 선택됩니다.

    • 자동으로 다운로드하고 설치를 예약. 이 옵션은 업데이트를 자동으로 다운로드하기 시작한 다음, 지정한 날짜와 시간에 업데이트를 설치합니다.

    • 로컬 관리자가 설정을 선택할 수 있음. 이 옵션을 선택하면 로컬 관리자가 제어판의 자동 업데이트를 사용하여 구성 옵션을 선택할 수 있습니다. 예를 들면 로컬 관리자가 예정된 설치 시간을 선택할 수는 있지만, 자동 업데이트를 비활성화할 수는 없습니다.

  5. 클라이언트 대상 그룹 사용 을 선택하고 사용 을 선택한 다음 컴퓨터의 대상 그룹 이름 상자에 이 컴퓨터를 추가할 WSUS 컴퓨터 그룹의 이름을 입력합니다.

    참고

    클라이언트 측 대상 사용 자동 업데이트를 WSUS 서버로 리디렉션될 때 WSUS 서버에서 대상 컴퓨터 그룹에 추가 되도록 클라이언트 컴퓨터 수 있도록 합니다. 상태를 사용으로 설정한 경우 이 컴퓨터는 WSUS 서버로 정보를 보낼 때 자신을 특정 컴퓨터 그룹의 구성원으로 식별하고 이를 사용하여 이 컴퓨터에 배포된 업데이트를 확인합니다. 이 설정은 클라이언트 컴퓨터 그룹이 사용할 WSUS 서버를 나타냅니다. WSUS 서버에서 그룹을 만들고 해당 그룹에 도메인 구성원 컴퓨터를 추가해야 합니다.

  6. 확인 을 클릭하여 클라이언트 대상 그룹 사용 정책을 닫고 Windows 업데이트 세부 정보 창으로 돌아옵니다.

  7. 확인 을 클릭하여 자동 업데이트 구성 정책을 닫고 Windows 업데이트 세부 정보 창으로 돌아옵니다.

  8. Windows 업데이트 세부 정보 창에서 인트라넷 Microsoft 업데이트 서비스 위치 지정 을 두 번 클릭합니다.

  9. 사용 을 클릭한 다음, 인트라넷 업데이트 서비스에서 업데이트를 검색하도록 설정인트라넷 통계 서버 설정 텍스트 상자에 동일한 WSUS 서버의 URL을 입력합니다. 예를 들어 두 상자에 http://servername 을 입력합니다. 여기서 servername 은 WSUS 서버의 이름입니다.

    경고

    WSUS 서버의 인트라넷 주소를 입력할 때는 사용할 포트를 지정해야 합니다. 기본적으로 WSUS는 HTTP용으로 포트 8530을, HTTPS용으로 포트 8531을 사용합니다. 예를 들어 HTTP를 사용할 경우 http://servername:8530 을 입력해야 합니다.

  10. 확인 을 클릭합니다.

클라이언트 컴퓨터를 설정한 후 이 컴퓨터가 WSUS 관리 콘솔의 컴퓨터 페이지에 표시될 때까지는 몇 분 정도 걸릴 수 있습니다. 도메인 기반 그룹 정책 개체로 구성되는 클라이언트 컴퓨터에서는 그룹 정책의 경우 클라이언트 컴퓨터에 새 정책 설정을 적용하는 데 20분 정도 걸릴 수 있습니다. 기본적으로 0-30 분의 임의 오프셋 90 분 마다 백그라운드에서 그룹 정책 업데이트 합니다. 그룹 정책을 더 자주 업데이트하려면 클라이언트 컴퓨터에서 명령 프롬프트 창을 열고 gpupdate /force를 입력합니다.

로컬 그룹 정책 편집기를 사용해 구성된 클라이언트 컴퓨터의 경우 GPO가 즉시 적용되며 업데이트에는 20분 정도 걸립니다. 검색을 수동으로 시작하면 클라이언트 컴퓨터가 WSUS에 접속될 때까지 20분간 기다릴 필요가 없습니다.

검색이 시작되기를 기다리는 동안 시간이 소모되므로 다음 절차를 사용하여 검색을 즉시 시작할 수 있습니다.

WSUS 검색을 시작하려면
  1. 클라이언트 컴퓨터에서 관리자 권한으로 명령 프롬프트 창을 엽니다.

  2. Wuauclt.exe /detectnow를 입력 하 고 ENTER 키를 누릅니다.

2.5. SSL(Secure Sockets Layer) 프로토콜을 사용한 WSUS 보안

WSUS 배포를 보호하기 위해 SSL(Secure Sockets Layer) 프로토콜을 사용할 수 있습니다. WSUS에서는 SSL을 사용하여 클라이언트 컴퓨터 및 다운스트림 WSUS 서버를 WSUS 서버에 대해 인증합니다. WSUS는 SSL을 사용하여 업데이트 메타데이터를 암호화합니다.

중요

또한 TLS(전송 계층 보안) 또는 HTTPS를 사용하도록 구성된 다운스트림 서버와 클라이언트는 업스트림 WSUS 서버에 대해 FQDN(정규화된 도메인 이름)을 사용하도록 구성해야 합니다.

WSUS는 업데이트 파일이 아닌 메타데이터에만 SSL을 사용합니다. Microsoft 업데이트도 이러한 방식으로 업데이트를 배포합니다. Microsoft는 각 업데이트에 서명하여 암호화되지 않은 채널을 통해 업데이트 파일을 보내는 위험을 줄입니다. 또한 해시가 계산되어 각 업데이트의 메타데이터와 함께 전송됩니다. 업데이트를 다운로드할 때 WSUS는 디지털 서명 및 해시를 확인합니다. 업데이트가 변경된 경우 설치되지 않습니다.

WSUS SSL 배포의 제한 사항

SSL을 사용하여 WSUS 배포를 보호하는 경우 다음 제한 사항을 고려해야 합니다.

  1. SSL을 사용하면 서버 워크로드가 증가합니다. 네트워크를 통해 전송되는 모든 메타데이터를 암호화해야 하므로 성능이 10% 정도 떨어집니다.

  2. 원격 SQL Server 데이터베이스와 WSUS를 사용하는 경우 WSUS 서버와 데이터베이스 서버 간의 연결은 SSL로 보호되지 않습니다. 데이터베이스 연결을 보호해야 하는 경우 다음 권장 사항을 따릅니다.

    • WSUS 데이터베이스를 WSUS 서버로 이동합니다.

    • 원격 데이터베이스 서버와 WSUS 서버를 개인 네트워크로 이동합니다.

    • 네트워크 트래픽을 보호할 수 있도록 IPsec(인터넷 프로토콜 보안)을 배포합니다. IPsec에 대한 자세한 내용은 IPsec 정책 만들기 및 사용을 참조하세요.

WSUS 서버에서 SSL 구성

WSUS에는 SSL을 위해 두 개의 포트가 필요합니다. 한 포트는 HTTPS를 사용하여 암호화된 메타데이터를 전송하고 다른 하나는 HTTP를 사용하여 업데이트를 전송합니다. SSL을 사용하도록 WSUS를 구성할 때는 다음 사항을 고려합니다.

  • 전체 WSUS 웹 사이트에서 SSL이 필요하도록 구성하면 WSUS 사이트로의 모든 트래픽이 암호화되므로 이렇게 구성할 수는 없습니다. WSUS는 업데이트 메타데이터만 암호화합니다. 컴퓨터에서 HTTPS 포트의 업데이트 파일을 검색하려고 하면 전송이 실패합니다.

    다음 가상 루트에 대해서만 SSL이 필요합니다.

    • SimpleAuthWebService

    • DSSAuthWebService

    • ServerSyncWebService

    • APIremoting30

    • ClientWebService

    다음 가상 루트의 경우에는 SSL이 필요하지 않습니다.

    • 콘텐츠

    • Inventory

    • ReportingWebService

    • SelfUpdate

  • 로컬 컴퓨터 신뢰할 수 있는 루트 CA 저장소 또는 다운스트림 WSUS 서버의 Windows Server Update Service 신뢰할 수 있는 루트 CA 저장소로 CA(인증 기관)의 인증서를 가져와야 합니다. 인증서를 로컬 사용자 신뢰할 수 있는 루트 CA 저장소로만 가져온 경우 다운스트림 WSUS 서버가 업스트림 서버에서 인증되지 않습니다.

    IIS에서 SSL 인증서를 사용하는 방법에 대한 자세한 내용은 SSL(Secure Sockets Layer) 필요(IIS 7)를 참조하세요.

  • WSUS 서버와 통신하는 모든 컴퓨터에 인증서를 가져와야 합니다. 여기에는 모든 클라이언트 컴퓨터, 다운스트림 서버 및 WSUS 관리 콘솔을 실행하는 컴퓨터가 포함됩니다. 로컬 컴퓨터 신뢰할 수 있는 루트 CA 저장소 또는 Windows Server Update Service 신뢰할 수 있는 루트 CA 저장소로 인증서를 가져와야 합니다.

  • 모든 포트를 SSL에 대해 사용할 수 있습니다. 그러나 SSL을 사용하도록 설정한 포트는 WSUS에서 암호화되지 않은 HTTP 트래픽을 보낼 때 사용할 포트를 결정합니다. 다음과 같은 예를 고려할 수 있습니다.

    • 업계 표준 포트인 443을 HTTPS 트래픽에 사용하는 경우 WSUS는 암호화되지 않은 HTTP 트래픽에 대해 업계 표준 포트인 80을 사용합니다.

    • HTTPS 트래픽에 443 이외의 포트를 사용하는 경우 WSUS는 HTTPS 포트 번호보다 앞에 오는 번호의 포트를 통해 암호화되지 않은 HTTP 트래픽을 보냅니다. 예를 들어 HTTPS에 포트 8531을 사용하는 경우 HTTP에는 포트 8530이 사용됩니다.

  • 서버 이름, SSL 구성 또는 포트 번호가 변경된 경우 ClientServicingProxy 를 다시 초기화해야 합니다.

WSUS 루트 서버에서 SSL을 구성하려면
  1. WSUS 관리자 그룹 또는 로컬 관리자 그룹의 구성원인 계정을 사용하여 WSUS 서버에 로그온합니다.

  2. 시작 으로 이동하여 CMD 를 입력하고 명령 프롬프트 를 마우스 오른쪽 단추로 클릭한 다음, 관리자 권한으로 실행 을 클릭합니다.

  3. %ProgramFiles% \Update Services\Tools\ 폴더로 이동합니다.

  4. 명령 프롬프트 창에서 다음 명령을 입력합니다.

    Wsusutil configuressl certificateName

    여기서

    certificateName 은 WSUS 서버의 DNS 이름입니다.

클라이언트 컴퓨터에서 SSL 구성

클라이언트 컴퓨터에서 SSL을 구성하는 경우 다음 문제를 고려해야 합니다.

  • WSUS 서버의 보안 포트에 대한 URL을 포함해야 합니다. 서버에서 SSL을 요구할 수 없으므로 클라이언트 컴퓨터에서 보안 채널을 사용하려면 HTTPS를 지정하는 URL을 사용해야 합니다. 443 이외의 포트를 SSL에 사용하는 경우 URL에 해당 포트도 포함해야 합니다.

  • 클라이언트 컴퓨터의 인증서를 로컬 컴퓨터 신뢰할 수 있는 루트 CA 저장소 또는 자동 업데이트 서비스 신뢰할 수 있는 루트 CA 저장소로 가져와야 합니다. 인증서를 로컬 사용자의 신뢰할 수 있는 루트 CA 저장소에만 가져올 경우 자동 업데이트에서 서버 인증에 실패합니다.

  • 클라이언트 컴퓨터가 WSUS 서버에 바인딩하는 인증서를 신뢰해야 합니다. 사용되는 인증서의 형식에 따라 클라이언트 컴퓨터에서 WSUS 서버에 바인딩된 인증서를 신뢰하도록 서비스를 설정해야 할 수 있습니다.

다운스트림 WSUS 서버에 대한 SSL 구성

다음 지침에서는 SSL을 사용하는 업스트림 서버와 동기화하도록 다운스트림 서버를 구성합니다.

SSL을 사용하는 업스트림 서버와 다운스트림 서버를 동기화하려면
  1. 로컬 관리자 그룹 또는 WSUS 관리자 그룹의 구성원인 사용자 계정을 사용하여 컴퓨터에 로그온합니다.

  2. 시작, 모든 프로그램, 관리 도구, Windows Server Update Service 를 차례로 클릭합니다.

  3. 오른쪽 창에서 서버 이름을 확장합니다.

  4. 옵션 을 클릭하고 업데이트 원본 및 프록시 서버 를 클릭합니다.

  5. 업데이트 원본 페이지에서 다른 Windows Server Update Services 서버에서 동기화 를 선택합니다.

  6. 서버 이름 텍스트 상자에 업스트림 서버 이름을 입력합니다. 서버에서 SSL 연결을 위해 사용하는 포트 번호를 포트 번호 텍스트 상자에 입력합니다.

  7. 업데이트 정보를 동기화할 때 SSL 사용 확인란을 선택하고 확인 을 클릭합니다.

추가 SSL 리소스

인증 기관을 설정하는 데 필요한 단계, 즉 WSUS 웹 사이트에 인증서를 바인딩하고 클라이언트 컴퓨터와 인증서 간의 신뢰를 설정하는 방법은 이 가이드에서 다루지 않습니다. 인증서 설치 및 이 환경 설정 방법에 대한 지침과 자세한 내용은 다음 항목을 참조하세요.

2.6. IIS 구성 완료

기본적으로 기본 및 모든 새 IIS 웹 사이트에 대해 익명 읽기 권한이 사용됩니다. 일부 애플리케이션, 특히 Windows SharePoint Services에 대한 익명 액세스를 제거할 수 있습니다. 이 문제가 발생하는 경우 WSUS를 성공적으로 설치하고 작동시키려면 익명 읽기 권한을 다시 사용하도록 설정해야 합니다.

익명 읽기 권한을 사용하도록 설정하려면 해당 버전의 IIS에 대한 단계를 수행합니다.

  1. IIS 7 운영 가이드의익명 인증 사용(IIS 7)

  2. IIS 6.0 운영 가이드의익명 인증 사용(IIS 6.0)

2.7. 서명 인증서 구성

WSUS에서는 Microsoft 및 타사 제품을 업데이트하기 위한 사용자 지정 업데이트 패키지를 게시할 수 있습니다. WSUS에서는 Authenticode 인증서를 사용하여 이러한 사용자 지정 업데이트 패키지에 자동으로 서명할 수 있습니다. 사용자 지정 업데이트 서명을 사용하려면 WSUS 서버에서 패키지 서명 인증서를 설치해야 합니다. 사용자 지정 업데이트 서명과 관련된 몇 가지 고려 사항이 있습니다.

  1. 인증서 배포. WSUS 서버에 프라이빗 키를 설치하고, 사용자 지정 서명 업데이트를 수신하는 모든 클라이언트 PC와 서버의 신뢰할 수 있는 인증서 저장소에 퍼블릭 키를 명시적으로 설치해야 합니다.

  2. 만료. 자체 서명된 인증서가 만료되거나 만료일이 가까워지면 WSUS에서 이벤트 로그에 이벤트를 기록합니다.

  3. 인증서 업데이트/해지. 인증서를 업데이트하거나 해지하려는 경우(즉, 만료된 것을 확인한 후) WSUS에서 이 기능을 제공하지 않았습니다. 이 작업을 수행하면 수동 작업으로 전환되어 수동으로 또는 자동으로 수행하기가 매우 어려웠습니다.