이전 기사 중 하나에서 Windows Server 2012 R2 / 2016에 WSUS 서버를 설치하는 방법을 자세히 설명했습니다. 업데이트 서버를 구성한 후 WSUS 서버를 사용하여 업데이트를 수신하려면 Windows 클라이언트(서버 및 워크스테이션)를 구성해야 합니다. 따라서 네트워크의 모든 Windows 클라이언트는 인터넷을 통해 Microsoft 업데이트 서버가 아니라 내부 업데이트 서버에서 업데이트를 받아야 합니다. 이 문서에서는 Active Directory 도메인 그룹 정책(GPO)을 사용하여 WSUS 서버를 사용하도록 클라이언트를 구성하는 방법을 살펴보겠습니다.
AD 그룹 정책을 사용하면 관리자가 컴퓨터를 다른 WSUS 그룹에 자동으로 할당할 수 있으므로 WSUS 관리자는 WSUS 콘솔에서 그룹 간에 컴퓨터를 수동으로 이동하고 이러한 그룹을 최신 상태로 유지할 필요가 없습니다. 클라이언트를 다른 대상 WSUS 그룹에 할당하는 것은 클라이언트의 레지스트리에 있는 레이블을 기반으로 합니다(레이블은 GPO 또는 직접 레지스트리 수정에 의해 설정됨). WSUS 그룹에 할당하는 이러한 유형의 클라이언트를 클라이언트 측 타겟팅이라고 합니다. .
우리 네트워크는 두 가지 다른 업데이트 정책을 사용할 것으로 예상됩니다. 서버에 대한 별도의 업데이트 정책 워크스테이션용 . 이 두 그룹은 WSUS 콘솔의 모든 컴퓨터 섹션에서 만들어야 합니다.
팁 . 클라이언트에서 WSUS 서버를 사용하는 정책은 주로 Active Directory OU(조직 구성 단위)의 조직 구조와 회사의 업데이트 설치 규칙에 따라 다릅니다. 이 기사에서는 그룹 정책을 사용하여 Windows 업데이트를 설치하는 기본 원칙을 이해하려고 합니다.먼저 WSUS 콘솔에서 컴퓨터를 그룹화하는 규칙(대상 지정)을 지정해야 합니다. 기본적으로 WSUS 콘솔의 컴퓨터는 서버 관리자가 수동으로 그룹으로 배포합니다(서버 쪽 대상 지정). 그것은 우리에게 적합하지 않으므로 클라이언트 측 대상 지정(그룹 정책 또는 레지스트리 매개변수 사용)을 사용하여 컴퓨터를 그룹으로 배포하도록 지정할 것입니다. 이렇게 하려면 WSUS 콘솔에서 옵션을 클릭합니다. 컴퓨터 열기 . 값을 '컴퓨터에서 그룹 정책 또는 레지스트리 설정 사용'으로 변경합니다. .
이제 GPO를 만들어 WSUS 클라이언트를 구성할 수 있습니다. 그룹 정책 관리(GPMC.msc)를 열고 두 개의 새 그룹 정책을 만듭니다. ServerWSUSPolicy 및 워크스테이션WSUPolicy .
Windows 서버용 WSUS 그룹 정책
서버 정책에 대한 설명부터 시작하겠습니다 – ServerWSUSPolicy .
Windows Update 서비스의 작동을 담당하는 그룹 정책 설정은 다음 GPO 섹션에 있습니다. 컴퓨터 구성 -> 정책 –> 관리 템플릿 -> Windows 구성요소 -> Windows 업데이트
우리 환경에서는 이 정책을 사용하여 Windows 서버에 WSUS의 업데이트를 설치하는 것이 좋습니다. 이 정책에 속하는 모든 컴퓨터는 WSUS 콘솔의 서버 그룹에 할당됩니다. 또한 수신 시 서버에서 자동 업데이트 설치를 비활성화하려고 합니다. 업데이트하는 동안 클라이언트는 사용 가능한 업데이트를 로컬 드라이브에 다운로드하고 시스템 트레이에 해당 알림을 표시하고 관리자가 수동으로 설치를 시작할 때까지 기다려야 합니다(PSWindowsUpdate 모듈을 사용하여 로컬 또는 원격). 즉, 생산적인 서버는 관리자 확인 없이 업데이트를 자동으로 설치하고 다시 시작하지 않습니다(일반적으로 이러한 작업은 월별 예약 유지 관리의 일부로 시스템 관리자가 수행함). 이러한 계획을 구현하기 위해 다음 정책을 설정해 보겠습니다.
- 자동 업데이트 구성: 활성화합니다. 3 – 자동 다운로드 및 설치 알림 – 클라이언트가 자동으로 새 업데이트를 다운로드하고 이에 대해 알려줍니다.
- 인트라넷 Microsoft 업데이트 서비스 위치 지정 :활성화 . 업데이트 감지를 위한 인트라넷 업데이트 서비스 설정: https://hq-wsus.woshub.com:8530 , 인트라넷 통계 서버 설정: https://hq-wsus.woshub.com:8530 – 로컬 WSUS 서버와 통계 서버의 주소를 설정합니다(보통 동일함).
- 예약된 자동 업데이트 설치에 대해 로그온한 사용자와 함께 자동 재시작 없음: 활성화 – 사용자 세션이 열려 있으면 자동 다시 시작을 비활성화합니다.
- 클라이언트 측 타겟팅 사용: 활성화 . 이 컴퓨터의 대상 그룹 이름: 서버 – WSUS 콘솔에서 클라이언트를 서버 그룹에 할당합니다.
참고 . 업데이트 정책을 구성할 때 Windows Update GPO 섹션의 각 옵션에서 사용할 수 있는 모든 설정을 숙지하고 인프라 및 조직에 적합한 매개 변수를 설정하는 것이 좋습니다.
Windows 워크스테이션용 WSUS 그룹 정책
서버 정책과 달리 클라이언트 워크스테이션에 대한 업데이트는 업데이트를 받은 직후 밤에 자동으로 설치된다고 가정합니다. 업데이트 설치 후 컴퓨터가 자동으로 다시 시작되어야 합니다(5분 후에 사용자에게 알림).
이 GPO(WorkstationWUSPolicy)에서 다음을 지정합니다.
- 자동 업데이트 즉시 설치 허용: 비활성화됨 – 업데이트 수신 후 즉시 설치가 비활성화됩니다.
- 비관리자가 업데이트 알림을 받도록 허용: 활성화됨 – 관리자가 아닌 사용자에게 새 업데이트 알림을 표시하고 수동으로 설치할 수 있습니다.
- 자동 업데이트 구성: 활성화됨 . 자동 업데이트 구성: 4 – 자동 다운로드 및 설치 예약 설치 예정일: 0 – 매일 . 예정된 설치 시간 :05:00 – 클라이언트가 새 업데이트를 다운로드하고 오전 5시에 자동으로 설치할 계획입니다.
- 이 컴퓨터의 대상 그룹 이름: 워크스테이션 – WSUS 콘솔에서 클라이언트를 워크스테이션 그룹에 할당합니다.
- 예약된 자동 업데이트 설치에 대해 로그온한 사용자와 함께 자동 재시작 없음: 비활성화됨,
- 인트라넷 Microsoft 업데이트 서비스 위치 지정:사용. 업데이트 감지를 위한 인트라넷 업데이트 서비스 설정: https://hq-wsus.woshub.com:8530 , 인트라넷 통계 서버 설정: https://hq-wsus.woshub.com:8530 – 기업 WSUS 서버의 주소입니다.
Windows 10 1607 이상에서 내부 WSUS에서 업데이트를 받도록 지정했음에도 불구하고 Windows 10은 여전히 인터넷에서 Windows 업데이트 서버에 액세스를 시도할 수 있습니다. 이 "기능"을 이중 스캔이라고 합니다. . 인터넷에서 업데이트 수신을 비활성화하려면 업데이트 연기 정책으로 인해 Windows 업데이트를 검색하지 않도록 허용 정책을 추가로 활성화해야 합니다. .
팁 . 회사의 컴퓨터에 사용 가능한 모든 패치가 설치되도록 하려면 업데이트 서비스(wuauserv)가 클라이언트에서 강제로 시작되도록 두 정책을 모두 구성할 수 있습니다. 이를 수행하려면 컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 시스템 서비스에서 Windows 업데이트를 찾아 자동으로 시작하도록 설정(자동 ).AD OU에 WSUS 그룹 정책 할당
다음 단계는 생성된 정책을 해당 Active Directory 컨테이너(OU)에 할당하는 것입니다. 예제 OU 구조는 매우 간단합니다. 즉, 서버(도메인 컨트롤러를 제외한 회사의 모든 서버 포함)와 WKS(워크스테이션 - 사용자 컴퓨터)의 두 가지 컨테이너가 있습니다.
팁 . WSUS 정책을 클라이언트에 바인딩하는 매우 간단한 방법만 고려합니다. 현실 세계에서는 단일 WSUS 정책을 모든 도메인 컴퓨터에 연결하고(GPO는 도메인 루트에 할당됨) 서로 다른 OU에 서로 다른 유형의 클라이언트를 배포할 수 있습니다(이 예에서와 같이 서버 및 워크스테이션). 대규모 분산 도메인에서는 서로 다른 WSUS 서버를 AD 사이트에 연결하거나 WMI 필터를 기반으로 GPO를 할당하거나 이러한 방법을 결합하는 것이 좋습니다.OU에 정책을 할당하려면 그룹 정책 관리 콘솔에서 올바른 OU를 클릭하고 기존 GPO 연결을 선택합니다. , 적절한 정책을 확인하십시오.
팁 . 별도의 OU – 도메인 컨트롤러를 잊지 마세요. . 대부분의 경우 WSUS 서버 정책은 이 컨테이너에 연결되어야 합니다.
같은 방식으로 WKS(Windows 워크스테이션이 있는 위치)라는 이름의 AD 컨테이너에 WorkstationWSUSPolicy를 할당해야 합니다.
클라이언트를 WSUS 서버에 바인딩하려면 클라이언트의 그룹 정책을 업데이트해야 합니다.
1 | gpupdate /force |
gpupdate /force
그룹 정책을 통해 설정한 모든 Windows 업데이트 설정은 클라이언트의 레지스트리 키 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate에 나타나야 합니다. .
다음 reg 파일은 GPO를 사용하여 업데이트 설정을 구성할 수 없는 다른 컴퓨터(작업 그룹의 컴퓨터, 격리된 세그먼트, DMZ 등)로 WSUS 설정을 전송하는 데 사용할 수 있습니다.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="https://hq-wsus.woshub.com:8530"
"WUStatusServer"="https://hq-wsus.woshub.com:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servers"
"ElevateNonAdmins"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
rsop.msc 스냅인을 사용하여 클라이언트에 적용된 WSUS 설정을 제어하는 것도 편리합니다.
잠시 후(WSUS 서버에 대한 업데이트 수와 대역폭에 따라 다름) 트레이에 새 업데이트에 대한 팝업 알림이 있는지 확인합니다. 클라이언트(클라이언트 이름, IP, OS, 패치 백분율 및 마지막 상태 업데이트 날짜)는 WSUS 콘솔의 해당 그룹에 나타나야 합니다. GPO를 사용하여 다른 WSUS 그룹에 컴퓨터와 서버를 할당했기 때문에 해당 WSUS 그룹에 설치가 승인된 업데이트만 받게 됩니다.
참고 <강하다>. 클라이언트에 업데이트가 표시되지 않으면 Windows 업데이트 서비스 로그(C:\Windows\WindowsUpdate.log)를 주의 깊게 검토하는 것이 좋습니다. Windows 10(Windows Server 2016)은 다른 형식의 WindowsUpdate.log 파일을 사용합니다.
클라이언트는 로컬 폴더 C:\Windows\SoftwareDistribution\Download에 업데이트를 다운로드합니다.
WSUS 서버에서 즉시 새 업데이트 검색을 시작하려면 다음 명령을 실행해야 합니다.
1 | wuauclt /detectnow |
wuauclt /Detectnow
또한 클라이언트가 WSUS 서버에 다시 등록하도록 강제해야 하는 경우도 있습니다.
1 | wuauclt /detectnow /resetAuthorization |
wuauclt /detectnow /resetAuthorization
특히 어려운 경우에는 다음과 같이 wuauserv 서비스를 수정해 볼 수 있습니다. 클라이언트에서 업데이트를 수신할 때 오류 0x80244010이 발생하면 자동 업데이트 감지 빈도를 사용하여 WSUS 서버에서 업데이트 확인 빈도를 변경해 보세요. 정책을 3-4시간으로 설정합니다.
다음 기사에서는 WSUS 서버에서 업데이트 승인의 특성과 PowerShell을 사용하여 그룹 간에 승인된 업데이트를 WSUS 서버로 전송하는 방법에 대해 설명합니다.