System Center

새로운 소프트웨어 업데이트 관리 도구

Steve Rachui

 

한 눈에 보기:

  • 이전 방식으로 업데이트 관리
  • SCMM 2007의 새로운 프로세스
  • 사용자 지정 구성 및 유연성
  • 세밀하게 조정된 업데이트 일정

소프트웨어 업데이트 관리라는 개념은 Systems Management Server(SMS) 2.0에서 보안 및 Office 업데이트 검색 도구를 통해 처음 소개되었습니다. 이후 이러한 도구는 여러 차례 수정되었습니다. 그 중 확장

보안 업데이트 인벤토리 도구는 추가 제품 검색 기능을 지원하도록 수정되었고, Inventory Tool for Microsoft® Updates의 경우 보안 도구와 Office 도구가 하나의 제품으로 결합되었으며, Inventory Tool for Dell Updates라는 도구도 추가되었습니다. 또한 타사 제품 패치 기능을 지원하는 사용자 지정 업데이트 게시 도구도 추가되었습니다. ITMU(Inventory Tool for Microsoft Updates) 자체는 세 번 수정되었습니다. 이러한 각각의 수정 버전은 자체 카탈로그, 검색 인프라 및 고유한 요구 사항과 특징을 가지고 있습니다. 시간이 지나 각 시스템의 카탈로그가 너무 커지면서 용량의 한계로 인해 새 업데이트를 게시하기 위해 이전 업데이트는 제거되었습니다.

다양한 옵션이 제공됨에 따라 이러한 도구를 사용하여 업데이트를 배포하기가 쉽지 않은 경우도 생겨나게 되고, 프로세스의 단순화가 절실히 요구되기에 이르렀습니다. SMS의 다음 버전으로 발표될 System Center Configuration Manager 2007(SCCM)은 이러한 측면에서 크게 발전되었습니다. SCCM의 소프트웨어 업데이트 메커니즘은 더 나은 결과를 보장하도록 작성되었습니다. 전혀 다른 업데이트 관리 방식을 사용하기 때문에 이전 카탈로그와 검색 엔진은 옛이야기가 되었습니다. 이전에는 하드웨어 인벤토리를 통해 보고되었던 업데이트 상태는 이제 각 클라이언트의 규정 준수 및 정책 적용 상태를 보다 효과적으로 확인할 수 있는 새로운 메커니즘(상태 메시지)을 사용합니다. 개인적으로 이러한 SCCM 2007의 새로운 업데이트 관리 방식은 중대한 개선 사항이라고 생각합니다.

SCCM 2007에는 두 가지 새로운 구성 요소가 추가되었습니다. 업데이트 관리 기능에 대해 설명하기 전에 이 두 구성 요소를 살펴보도록 하겠습니다.

SUP(소프트웨어 업데이트 지점) 앞서 말했듯이 SCCM에는 카탈로그가 없습니다. 대신 메타데이터 다운로드와 클라이언트 검색 기능을 제공하면서 SUP(소프트웨어 업데이트 지점) 역할을 하는 Windows Server® Update Services(WSUS) 전용 서버를 통해 직접 작업을 수행합니다. SCCM에서는 검색 프로세스에 중점을 두기 위해 WSUS의 업데이트 이진 데이터 전달 기능이 사용되지 않습니다. 이러한 조정의 결과로 WSUS가 전용 서버의 SUP별로 최대 25,000개까지 클라이언트 검색을 처리할 수 있도록 처리 범위가 확장되었습니다. 또한 SCCM에서는 NLB(네트워크 부하 분산) 클러스터를 통해 SUP를 구성하여 가용성과 확장성을 높이고 최대 4개까지 SUP를 사용함으로써 기본 사이트마다 100,000개의 클라이언트를 지원하도록 할 수 있습니다.

CI(구성 항목) 구성 항목은 SCCM에서 대상 시스템에 필요한 특정 구성을 정의하는 데 사용되는 새로운 방법입니다. SCCM 업데이트 관리에는 이제 이 인프라가 사용됩니다. 여전히 유사한 부분이 있기는 하지만 더 이상 업데이트를 일반 소프트웨어 배포와 동일한 것으로 생각해서는 안 됩니다. 업데이트는 관리 콘솔에서 고유한 노드에 위치하며 전혀 다른 CI 메커니즘을 사용합니다. 클라이언트 쪽에서는 업데이트가 선택적으로 다운로드되고 로컬에 저장됩니다.

업데이트 관리 구성

업데이트 관리를 구성하는 과정은 클라이언트 에이전트를 사용하도록 설정하고 SUP를 구성하고 업데이트 배포를 구성하는 세 가지 부분으로 이루어집니다.

그림 1에 나와 있는 SCCM 클라이언트 에이전트는 다른 에이전트와 유사하며 관리 콘솔의 동일한 노드에 구성되어 있습니다. 관리자는 소프트웨어 업데이트 클라이언트 에이전트 노드의 속성 페이지에서 이 에이전트를 사용하도록 설정하고 업데이트 설치 및 배포 다시 평가 설정을 구성합니다. 소프트웨어 업데이트 클라이언트 에이전트를 사용하는 설정은 사이트 수준에 적용되므로 이 기능을 설정한 사이트에 할당된 모든 SCCM 클라이언트에 이 역할이 사용됩니다. 환경에 이 기능을 사용해서는 안 되는 시스템이 있으면 로컬 정책을 다시 정의하는 설정을 사용하여 시스템별로 설정함으로써 사이트 수준 설정을 다시 정의할 수 있습니다.

그림 1 클라이언트 에이전트 속성

그림 1** 클라이언트 에이전트 속성 **

관리자는 여기서 제공되는 설정을 사용하여 업데이트 기한 처리 방법을 지정할 수 있습니다. 예를 들어 설치가 보류된 업데이트가 4개 있고 그 중 하나(업데이트 A)의 기한이 다른 3개보다 하루 빠르다고 가정해 보십시오. 그러나 일부 업데이트가 기한에 도달하지 않더라도 4개의 업데이트를 모두 동시에 설치해야 합니다. 이 경우 이 탭에서 모든 필수 배포를 강제로 실행하는 옵션을 사용하면 원하는 방식으로 업데이트를 구성할 수 있습니다. 또한 이 탭의 설정을 사용하면 관리자가 업데이트 프로세스의 모든 알림 및 시각적 표시를 표시하지 않도록 지정할 수 있습니다. 이러한 옵션은 그림 1에 나와 있습니다.

Deployment Re-evaluation(배포 다시 평가) 탭의 설정을 통해 관리자는 배포를 다시 평가하는 일정을 설정할 수 있습니다. 이 일정에 따라 SCCM 클라이언트를 다시 평가하여 이전에 설치된 업데이트가 아직 필요한지 확인하고 해당 업데이트가 없으면 다시 설치합니다.

SUP 구성

앞서 설명했듯이 SUP는 일정에 따라 사용 가능한 업데이트 정보를 모두 다운로드하고 SCCM 클라이언트와 직접 상호 작용하여 업데이트의 데이터베이스를 기준으로 규정 준수 검색을 수행하는 역할을 담당합니다. SUP 프로세스는 SCCM에서 사용할 WSUS를 구성하기만 하고 WSUS를 실제로 설치하지는 않으므로 SUP를 구성하기 전에 WSUS 3.0 이상의 서버를 설치해야 합니다. 또한 사이트 서버에 WSUS 관리자 콘솔을 설치하여 WSUS 서버와 연결할 수 있도록 해야 합니다. SCCM이 SUP 역할에 WSUS 서버를 사용하기 시작하면 WSUS 서버가 SCCM에 전용으로 사용되고 SCCM 클라이언트에서만 사용할 수 있게 됩니다.

SUP는 SCCM의 새로운 사이트 시스템 역할입니다. 구성을 시작하려면 관리자 콘솔의 Site Systems(사이트 시스템) 노드로 이동하여 새 사이트 시스템을 추가합니다. 그리고 다음 단계로 소프트웨어 업데이트 지점을 선택하고 마법사를 진행하여 다음 정보를 수집합니다.

  • 프록시 구성
  • 포트 및 SSL 정보
  • 해당 SUP가 업데이트를 동기화하는 방법(Microsoft Update 사용, 업스트림 SUP 사용 또는 수동)
  • 동기화 일정
  • 중요 업데이트, 드라이버, 보안 업데이트, 업데이트 롤업 등의 업데이트 분류
  • Windows®, Exchange, SQL Server™ 등 사용 가능한 업데이트 제품(그림 2 참조)
  • 언어

그림 2 사이트 역할 마법사의 제품 설정

그림 2** 사이트 역할 마법사의 제품 설정 **(더 크게 보려면 이미지를 클릭하십시오.)

마법사를 완료하면 SUP가 설치되고 SCCM 요구 사항을 지원하도록 내부 구성이 조정됩니다. 이때 SCCM이 설치된 로그 폴더에 있는 SUPSetup.log를 검토하여 성공적으로 설치되었는지 확인하는 것이 좋습니다.

SUP가 설치된 후에는 SUP가 업데이트를 검색하여 SUP 및 SCCM 데이터베이스에 저장하도록 동기화를 수행해야 합니다. 동기화는 수동으로 실행하거나 SUP 설치 마법사 실행 시에 구성한 일정에 따라 자동으로 실행할 수 있습니다. 수동 업데이트 동기화는 언제든지 초기화할 수 있으므로 SUP를 처음으로 설치한 후에는 항상 동기화를 실행하는 것이 좋습니다. 그림 3은 이 작업을 수행하는 방법을 보여 줍니다.

그림 3 수동 동기화 실행

그림 3** 수동 동기화 실행 **(더 크게 보려면 이미지를 클릭하십시오.)

동기화 프로세스는 두 단계로 진행됩니다. 먼저 SCCM 설정과 일치하도록 SUP(WSUS) 서버가 구성되고 구성된 업데이트가 SUP(WSUS) 서버 자체와 동기화됩니다. 이 프로세스가 완료되면 SUP(WSUS)의 업데이트 정보가 SCCM 데이터베이스에 동기화되고 업데이트 배포에 사용할 수 있게 됩니다. 이 두 번째 단계에서 필수 CI가 SCCM 데이터베이스에 소프트웨어 업데이트마다 하나씩 생성되기 때문에 다소 시간이 걸릴 수 있습니다. 초기 동기화의 경우 보통 몇 시간 정도 걸립니다. 동기화 프로세스는 WSyncMgr 로그에서 검토할 수 있습니다. 이 로그의 일부가 그림 45에 나와 있습니다. 특히 그림 4는 SUP(WSUS) 서버가 Microsoft Update로부터 해당 업데이트 목록을 업데이트하도록 요청하는 동기화 프로세스를 보여 줍니다. 그림 5의 경우 SUP 인벤토리를 SCCM 데이터베이스에 동기화하는 프로세스의 시작 부분을 보여 줍니다.

그림 4 업데이트 목록 동기화

그림 4** 업데이트 목록 동기화 **(더 크게 보려면 이미지를 클릭하십시오.)

그림 5 업데이트를 SCCM 데이터베이스의 CI로 동기화

그림 5** 업데이트를 SCCM 데이터베이스의 CI로 동기화 **(더 크게 보려면 이미지를 클릭하십시오.)

WSUS 서버를 SUP로 구성한 후에는 SCCM 관리 콘솔을 통해 필요한 모든 관리 작업을 수행할 수 있습니다. WSUS 서버에서 직접 구성을 변경하면 SCCM에 악영향을 미칠 수 있습니다. 게다가 이러한 구성은 1시간마다 SCCM이 SUP의 구성이 올바른지 확인할 때 다시 설정됩니다.

다계층 구조에서는 소프트웨어 업데이트를 배포할 각 기본 사이트마다 SUP가 하나 이상 필요합니다. 이러한 SUP는 계층 구조에서 모두 함께 작동하며 하나의 SUP(일반적으로 계층 구조의 최상위 SUP)만 Microsoft Updates와 동기화됩니다. 그리고 나머지 SUP는 구성된 업스트림 SUP 복제 파트너와 동기화됩니다.

업데이트 배포 구성

클라이언트 에이전트를 구성하고 SUP를 구성 및 동기화하고 나면 실질적인 배포를 수행할 수 있습니다. 먼저 SCCM 관리 UI의 다양한 노드를 살펴보도록 하겠습니다. 기본적으로 중요하게 살펴보아야 할 주요 노드는 Update Repository(업데이트 리포지토리), Update Lists(업데이트 목록), Deployment Templates(배포 템플릿), Deployment Management(배포 관리) 및 Deployment Packages(배포 패키지)의 다섯 가지입니다.

Update Repository(업데이트 리포지토리)는 모든 동기화된 업데이트가 저장되고 배포에 사용하도록 제공되는 노드입니다. 업데이트는 하나 이상의 업데이트를 선택하고 Deploy Software Updates(소프트웨어 업데이트 배포) 마법사를 실행하여 배포할 수 있습니다. 이 마법사는 배포 템플릿을 구성하거나 기존 템플릿을 선택하고 배포 자체를 구성하는 데 사용됩니다. 이 프로세스는 잠시 후에 설명하도록 하겠습니다. 업데이트 목록에 항목이 많은 경우에 SCCM 2007의 새 기능인 검색 폴더를 사용하면 심각도, 분류, 제품, 릴리스 날짜, 유효성 등의 28가지 업데이트 관련 조건에 따라 원하는 업데이트를 쉽게 찾을 수 있습니다.

관리자는 업데이트 목록을 통해 관리할 고정 업데이트 집합을 만들 수 있습니다. 그리고 이러한 업데이트 집합은 규정 준수 보고, 배포 생성 및 관리 위임에 사용할 수 있습니다. 작성된 업데이트 목록은 패키지나 알림처럼 하위 사이트에서 다시 사용할 수 있도록 계층 구조에서 하위 계층으로 복제됩니다. 그러나 업데이트 목록은 단순히 업데이트의 목록에 불과하며 복제될 때 특정 배포에 연결되지는 않습니다. 목록이 작성 및 복제된 후에는 목록을 선택하고 업데이트 배포 옵션을 선택하여 목록에 포함된 모든 업데이트를 하나의 단위로 배포할 수 있습니다.

배포 템플릿

배포 템플릿에는 소프트웨어 업데이트를 배포하는 동안 사용되는 일반 설정(예: 일정 및 대상 컬렉션 정보)이 포함되어 있으며 업데이트 배포와 관련한 관리 시간을 단축하기 위해 개발되었습니다. 동일 환경의 다양한 배포 사항에 맞게 여러 템플릿을 만든 후 배포 마법사에서 적절한 템플릿을 선택하여 손쉽게 사용할 수 있습니다. 이 경우 대상 컬렉션, 업데이트 기한(그림 6 참조), 다시 시작 설정, 유지 관리 시간대 등의 설정이 미리 입력됩니다. 배포할 업데이트 수가 많으면 각 업데이트의 기한이 동시에 도래할 경우 대상 시스템 성능에 영향을 미칠 수 있습니다. 게다가 템플릿의 설정은 배포가 생성될 때 배포에 적용됩니다. 그리고 배포에서 수동으로 설정을 수정하지 않는 한 배포에 계속 적용됩니다. 따라서 나중에 템플릿 설정 자체를 수정하더라도 수정된 템플릿을 사용하는 기존 배포에 변경된 설정이 적용되지는 않습니다.

그림 6 마법사의 설정 배포 일정

그림 6** 마법사의 설정 배포 일정 **(더 크게 보려면 이미지를 클릭하십시오.)

그림 6의 옵션은 배포 템플릿 마법사나 소프트웨어 업데이트 배포 마법사(새 템플릿을 만드는 경우)를 실행할 때 구성할 수 있습니다. 이 화면의 기간은 0으로 설정되어 있지만 이 설정의 기본값은 2주입니다. 이 설정을 0 이외의 값으로 설정하면 클라이언트에서 해당 기간 동안 지연된 후 업데이트가 배포됩니다. 배포가 사용 가능하도록 준비되는 시점과 구성된 기한이 강제 적용되는 시점 사이에 최종 사용자는 예정된 기한 전의 사전 수동 설치를 수행할 수 있습니다. 기한 시간이 되면 업데이트가 강제로 적용 및 설치됩니다. 업데이트 배포가 지연되는 경우 이 설정이 필요에 맞게 올바르게 구성되어 있는지 확인하십시오.

배포 관리

소프트웨어 업데이트 배포를 구성한 후에는 Deployment Management(배포 관리) 노드를 통해 액세스할 수 있습니다. 구성된 소프트웨어 배포는 배포 패키지와는 다릅니다. 이 노드에서 배포에 포함된 업데이트와 배포 관련 설정은 확인하고 조작할 수 있지만 패키지 자체는 표시되지 않습니다. 여기에 표시되는 배포 설정은 소프트웨어 업데이트 마법사에서 구성하는 설정, 그리고 선택한 템플릿에서 상속되는 설정을 반영합니다.

배포 패키지

배포 패키지는 소스 디렉터리, 배포 지점 등의 업데이트 세부 사항을 정의한다는 점에서 표준 SMS 패키지와 유사합니다. 배포 패키지는 업데이트를 배포하는 데 사용되는 실제 배포와는 별개이며 업데이트의 기본 저장 위치가 됩니다. 배포에 필요한 업데이트가 둘 이상의 배포 패키지에 들어 있으면 SCCM 에이전트는 업데이트를 검색할 가장 적합한 위치를 결정하며, 이 경우 업데이트가 포함된 배포 패키지 중 아무 패키지라도 사용될 수 있습니다.

Deploy Software Updates(소프트웨어 업데이트 배포) 마법사는 SCCM에 업데이트를 배포하는 데 사용됩니다. 이 마법사는 개별 업데이트 또는 업데이트 목록과 함께 사용될 수 있습니다. 그림 7은 이 마법사를 시작하는 방법을 보여 줍니다.

그림 7 Deploy Software Updates(소프트웨어 업데이트 배포) 마법사 시작

그림 7** Deploy Software Updates(소프트웨어 업데이트 배포) 마법사 시작 **(더 크게 보려면 이미지를 클릭하십시오.)

이 마법사는 배포에 사용할 이름, 기존 템플릿 설정 또는 새 템플릿 설정 중 사용할 설정(새 템플릿을 선택한 경우 마법사가 앞서 설명한 템플릿 설정을 물음), 배포 패키지 설정(기존 설정 또는 새 설정), 배포 지점 설정, 다운로드 위치 옵션, 다운로드할 업데이트 언어, 배포 일정 정보 등을 묻는 단계로 진행됩니다.

구성이 완료되면 클라이언트에 대상 업데이트에 대해 알리기 위해 정책이 업데이트되고 업데이트가 클라이언트 시스템에 설치됩니다. 이러한 클라이언트 프로세스는 이전 릴리스와 크게 다르며 이 기사의 범위를 벗어나는 내용입니다. 주요한 차이점 중 하나를 간단히 소개하자면, 업데이트 검색이 더 이상 로컬로 수행되지 않고 SUP가 모든 검색 작업을 처리합니다. 하지만 업데이트 규정 준수에 대한 세부 정보는 이전 버전과 마찬가지로 로컬 WMI(Windows Management Instrumentation) 리포지토리에 저장됩니다.

그러나 이전 버전과는 달리 업데이트 상태를 사이트 서버로 보내는 데 하드웨어 인벤토리가 사용되지 않습니다. 대신 관리 지점을 통해 새로운 유형의 스트리밍된 상태 메시지가 사이트 서버로 전송됩니다. 상태 메시지는 규정 준수 검색과 배포 진행 상태 추적에 사용할 각각의 모든 관리 클라이언트에 대한 데이터를 제공합니다. SCCM에는 각 클라이언트에 배포된 모든 업데이트의 전반적인 컴퓨터별 규정 준수 상태, 클라이언트별 배포 강제 적용 상태, 검색 및 배포를 위해 해결해야 할 가장 큰 문제에 대한 등급이 매겨진 목록을 제공하는 클라이언트 오류 보고서 등 새로운 소프트웨어 업데이트 관리용 보고서가 많이 추가되었습니다.

SCCM에서는 추가 예약/필수 업데이트 배포 정의 기능뿐만 아니라 일정에 구성된 설치 기한 전에 승인된 업데이트를 설치할 수 있는 기능도 제공됩니다. 이 기능은 최신 자동 업데이트 도구와 매우 유사합니다. 이 유용한 추가 기능은 배포 기한 전에 호환 시스템 수를 늘릴 수 있는 다른 기능도 제공합니다.

SCCM에서는 사용자 지정 업데이트도 수행할 수 있습니다. SMS 2003 R2의 사용자 지정 업데이트 게시 도구는 System Center Updates Publisher로 SCCM 2007과 함께 사용하도록 수정되었습니다. 따라서 사용자 지정 업데이트도 여기서 설명하는 것과 같은 방법으로 배포할 수 있습니다.

SCCM에서는 업데이트 관리 방식이 크게 변경되었지만 관리 측면에서는 사용에 어려움이 없고 이전 버전에 비해 크게 향상되었다고 할 수 있습니다. SMS 2003에 익숙한 사용자의 경우 처음에는 일부 개념상의 변화가 다소 생소할 수 있지만 새로운 방식은 시간을 투자할 가치가 충분합니다. 자, 지금부터 배워보시기 바랍니다.

Steve Rachui는 Microsoft 기술 지원 서비스 그룹의 관리 효율성 지원 향상 엔지니어로, SMS 버전 1.2부터 SMS를 지원해 왔습니다. 문의 사항이 있으면 steverac@microsoft.com으로 연락하시면 됩니다.

© 2008 Microsoft Corporation 및 CMP Media, LLC. All rights reserved. 이 문서의 전부 또는 일부를 무단으로 복제하는 행위는 금지됩니다..