WSUS 관리자(Windows Server Update Services)의 주요 작업 중 하나는 Windows 컴퓨터 및 서버에 설치할 업데이트의 승인을 관리하는 것입니다. 설치 및 구성 후 WSUS 서버는 Microsoft Update 서버에서 선택한 제품에 대한 새 업데이트를 정기적으로 다운로드하기 시작합니다.
대상 WSUS 그룹 관리
업데이트가 WSUS 서버에 다운로드되면 컴퓨터에 배포할 수 있습니다. 컴퓨터에서 새 업데이트를 다운로드하고 설치하기 전에 WSUS 관리자의 승인(또는 거부)을 받아야 합니다. 대부분의 경우 생산적인 컴퓨터에 설치하기 전에 일부 워크스테이션 및 서버에서 모든 새 Microsoft 업데이트를 테스트하는 것이 좋습니다.
도메인 컴퓨터 및 서버에서 업데이트의 테스트 및 설치를 구성하려면 WSUS 관리자가 컴퓨터 그룹을 만들어야 합니다. 비즈니스 작업, 사용자 워크스테이션 유형 및 서버 범주에 따라 다양한 컴퓨터 그룹을 생성할 수 있습니다. 일반적으로 컴퓨터에서 다음 WSUS 대상 그룹을 만드는 것이 합리적입니다. -> 모든 컴퓨터 WSUS 콘솔 섹션:
- 테스트_Srv_WSUS — 테스트 서버 그룹(비즈니스에 중요하지 않은 서버 또는 테스트 환경이 생산적인 서버와 동일한 전용 서버),
- 테스트_Wks_WSUS — 테스트 워크스테이션,
- Prod_Srv_WSUS — 생산적인 Windows 서버
- 제품_Wks_WSUS — 모든 사용자 워크스테이션.
이러한 컴퓨터 그룹은 수동으로 컴퓨터 개체로 채워지거나(일반적으로 테스트 그룹에 적합) 그룹 정책 설정 - 클라이언트 측 대상 지정 사용을 사용하여 컴퓨터와 서버를 WSUS 그룹에 연결할 수 있습니다.
WSUS 그룹을 만든 후 해당 그룹에 대한 업데이트를 승인할 수 있습니다. 업데이트를 컴퓨터에 설치하도록 승인하는 방법에는 수동 또는 자동의 두 가지가 있습니다.
WSUS를 사용한 수동 승인 및 업데이트 설치
WSUS(업데이트 서비스) 콘솔을 열고 업데이트 섹션을 선택합니다. 사용 가능한 모든 업데이트의 요약 보고서를 표시합니다. 기본적으로 4개의 하위 섹션이 있습니다. 모든 업데이트 , 중요 업데이트 , 보안 업데이트 및 WSUS 업데이트 . 이 섹션 중 하나에서 특정 업데이트의 설치를 승인하거나(업데이트 검색 콘솔에서 KB 이름으로 검색하거나 Microsoft 보안 게시판 번호로 검색할 수 있음) 릴리스 날짜별로 업데이트를 필터링할 수 있습니다.
승인되지 않은 업데이트 목록을 표시합니다(승인 사용 =승인되지 않음 필터). 필요한 업데이트를 찾아 마우스 오른쪽 버튼으로 클릭한 다음 승인을 선택합니다. 메뉴에서.
다음 창에서 이 업데이트 설치를 승인할 컴퓨터의 WSUS 그룹을 선택합니다(예:Test_Srv_WSUS). 설치 승인 선택 . 모든 컴퓨터를 선택하여 모든 컴퓨터 그룹에 대한 업데이트를 한 번에 승인할 수 있습니다. , 또는 각 그룹에 대해 개별적으로. 예를 들어 테스트 그룹에서 업데이트 설치를 승인하고 문제가 발생하지 않으면 4-7일 안에 모든 컴퓨터에 대해 승인할 수 있습니다.
업데이트 승인 결과 창이 나타납니다. 업데이트가 성공적으로 승인되면 결과:성공 메시지 표시됩니다. 이 창을 닫습니다.
보시다시피 특정 업데이트가 수동으로 승인되는 방식입니다. 각 업데이트를 개별적으로 승인해야 하므로 시간이 많이 걸립니다. 업데이트를 수동으로 승인하고 싶지 않다면 자동 업데이트 승인 규칙(자동 승인)을 생성할 수 있습니다.
WSUS에서 자동 승인 규칙을 구성하는 방법
자동 승인을 사용하면 관리자 개입 없이 자동으로 WSUS 서버에 나타난 새 업데이트를 승인하고 대상 컴퓨터에 설치를 할당할 수 있습니다. WSUS 업데이트의 자동 승인은 승인 규칙을 기반으로 합니다.
WSUS 관리 콘솔에서 옵션을 엽니다. 자동 승인을 선택합니다. .
다음 창에는 기본 자동 승인 규칙 이라는 이름의 규칙이 하나만 있습니다. (기본적으로 비활성화되어 있음) 업데이트 규칙 탭.
새 규칙을 만들려면 새 규칙을 클릭하세요. .
승인 규칙 구성은 3단계로 구성됩니다. 업데이트 속성, 업데이트를 설치하려는 WSUS 컴퓨터 대상 그룹 및 규칙 이름을 선택해야 합니다.
파란색 링크를 클릭하면 해당 속성 창이 나타납니다.
예를 들어 테스트 서버에 대한 보안 업데이트의 자동 승인을 활성화할 수 있습니다. 이를 수행하려면 업데이트 분류 선택에서 섹션 선택 중요 업데이트 , 보안 업데이트 , 정의 업데이트 (다른 모든 옵션의 선택을 취소하십시오). 그런 다음 업데이트 승인에서 대화 상자에서 이름이 Test_Srv_WSUS인 WSUS 그룹을 선택합니다.
고급 탭에서 해당 옵션을 확인할 수 있습니다. WSUS 제품 자체에 대한 업데이트를 자동으로 승인하거나 Microsoft에서 변경한 업데이트를 자동으로 승인하려는 경우. 일반적으로 이 탭의 모든 옵션이 선택되어 있습니다.
이제 WSUS 서버가 다음 달 두 번째 화요일에 새 업데이트를 다운로드하면(또는 수동으로 가져오는 경우) 업데이트가 승인되어 테스트 서버 그룹에 자동으로 설치됩니다. 기본적으로 Window는 22시간마다 WSUS 서버에서 새 업데이트를 검색합니다. 중요한 컴퓨터가 새 업데이트를 최대한 빨리 받을 수 있도록 자동 업데이트 감지 빈도 를 사용하여 동기화 빈도를 변경할 수 있습니다. 정책(WSUS 오류:최대 서버 왕복을 초과한 경우 참조)으로 설정하고 몇 시간에 한 번으로 설정합니다(PSWindowsUpdate 모듈을 사용하여 수동으로 업데이트를 검색할 수도 있음).
WSUS 서버에 클라이언트가 많은 경우(컴퓨터 2,000대 이상) 표준 구성으로 업데이트 서버의 성능이 저하될 수 있으며 windowsupdate.log에 일정한 오류 0x80244022가 표시될 수 있으므로 최적화해야 합니다(여기 참조 기사).WSUS에서 설치된 업데이트를 거부하는 방법
승인된 업데이트 중 하나가 컴퓨터나 서버에 문제를 일으킨 경우 WSUS 관리자는 이를 거부할 수 있습니다. 그렇게 하려면 WSUS 콘솔에서 업데이트를 찾아 마우스 오른쪽 버튼으로 클릭한 다음 거부를 선택합니다. .
그런 다음 설치를 취소할 WSUS 그룹을 선택하고 제거 승인됨을 선택합니다. 얼마 후 WSUS 클라이언트에서 업데이트가 제거됩니다(프로세스는 Windows 업데이트를 제거하는 방법 문서에 자세히 설명되어 있음).
생산적인 환경을 위한 WSUS 업데이트를 승인하는 방법
테스트 그룹에 업데이트를 설치 및 테스트하고 문제가 없는지 확인한 후(일반적으로 테스트에 3-6일이 소요됨) 생산 시스템에서 새 업데이트를 승인할 수 있습니다. 그러나 일부 지연(예:7일)이 있는 생산 시스템의 업데이트 설치를 자동으로 승인할 수는 없습니다.
불행히도 WSUS 콘솔은 한 WSUS 컴퓨터 그룹에서 다른 컴퓨터 그룹으로 승인된 모든 업데이트를 복사할 수 있는 기회를 제공하지 않습니다. 새 업데이트를 수동으로 검색하고 생산적인 서버 및 컴퓨터 그룹에 설치하도록 승인할 수 있습니다. 시간이 꽤 걸립니다.
테스트 그룹에 대해 승인된 업데이트 목록을 수집하고 생산 그룹에 대해 발견된 모든 업데이트를 자동으로 승인하는 간단한 PowerShell 스크립트를 작성했습니다(WSUS 대상 그룹 간 승인 복사 문서 참조). 업데이트를 설치하고 테스트 컴퓨터 그룹에서 테스트한 후 7일 후에 스크립트를 실행합니다. 문제 패치가 있는 경우 테스트 그룹에 대해 거부해야 합니다.