Table of contents
TOC
콘텐츠의 테이블 축소
콘텐츠의 테이블 확장

2 단계: WSUS 구성

Corey Plett|마지막 업데이트: 2016-12-06
|
1 기고자

적용 대상: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

WSUS 서버 역할을 서버에 설치한 후에는 이를 올바르게 구성해야 합니다. 다음 검사 목록을 summarises WSUS 서버에 대 한 초기 구성 작업을 수행 하는 단계입니다.

작업설명
2.1. 네트워크 연결 구성네트워크 구성 마법사를 사용하여 클러스터 네트워크를 구성합니다.
2.2. 네트워크 구성 마법사를 사용하여 WSUS 구성WSUS 구성 마법사를 사용하여 기본 WSUS 구성 작업을 수행합니다.
2.3. WSUS 컴퓨터 그룹 구성WSUS 관리 콘솔에서 컴퓨터 그룹을 만들어 조직에서 업데이트를 관리합니다.
2.4. 클라이언트 업데이트 구성클라이언트 컴퓨터에 자동 업데이트를 적용하는 방법과 시기를 지정합니다.
2.5. SSL(Secure Sockets Layer) 프로토콜을 사용한 WSUS 보안WSUS(Windows Server Update Services)를 보호하기 위한 SSL(Secure Sockets Layer) 프로토콜을 구성합니다.

2.1. 네트워크 연결 구성

구성 과정을 시작하기 전에 다음 질문에 대한 답변을 알고 있어야 합니다.

  1. 클라이언트가 서버에 액세스할 수 있도록 서버의 방화벽이 구성되어 있습니까?

  2. 이 컴퓨터는 업스트림 서버(Microsoft 업데이트에서 업데이트를 다운로드하도록 지정된 서버 등)에 연결할 수 있습니까?

  3. 프록시 서버의 이름과 프록시 서버의 사용자 자격 증명(필요한 경우)을 갖고 있습니까?

기본적으로 WSUS는 업데이트를 가져올 위치로 Microsoft 업데이트를 사용하도록 구성되어 있습니다. 네트워크 프록시 서버를 사용 하는 경우 WSUS 프록시 서버를 사용 하 여 구성할 수 있습니다. WSUS와 인터넷 사이 기업 방화벽이 경우 WSUS 업데이트를 가져올 수 있도록 되도록 방화벽을 구성 해야 할 수 있습니다.

업데이트를 Microsoft 업데이트에서 다운로드하려면 인터넷 연결이 필요하지만, WSUS에는 인터넷에 연결되어 있지 않은 네트워크로 업데이트를 가져올 수 있는 기능이 있습니다.

이러한 질문에 대한 답변이 마련되어 있으면 다음과 같은 WSUS 네트워크 설정의 구성 작업을 시작할 수 있습니다.

  • 업데이트 (Microsoft Update에서 또는 다른 WSUS 서버에서)이이 서버에서 업데이트를 받습니다 하는 방법을 지정 합니다.

  • 프록시 WSUS 프록시 서버를 사용 하는 인터넷에 연결 해야 한다는 식별 하는 경우 WSUS 서버에서 프록시 설정 구성 해야 합니다.

  • 방화벽 WSUS 회사 방화벽 중임을 식별 하는 경우 WSUS 트래픽을 적절 하 게 사용할 수 있도록 지 장치에서 수행 해야 하는 몇 가지 추가 단계 있습니다.

2.1.1. WSUS 서버에서 인터넷 연결

WSUS와 인터넷 사이 기업 방화벽이 없을 경우 WSUS 업데이트를 가져올 수 있도록 해당 방화벽을 구성 해야 할 수 있습니다. Microsoft 업데이트에서 업데이트를 가져오기 위해 WSUS 서버는 HTTPS 프로토콜에 포트 443을 사용합니다. 이 유형의 트래픽 허용 하는 대다수 회사 방화벽, 있지만 회사 보안 정책 때문에 서버에서 인터넷 액세스를 제한 하는 일부 회사에서는 있습니다. 액세스를 제한 하는 회사를 가져오는 Url 다음 목록에 WSUS에서 인터넷에 액세스할 수 있도록 권한 부여 해야:

중요

WSUS 실패 방화벽 구성 인해 업데이트를 얻을 수 있는 시나리오는 참조 885819 문서 Microsoft 기술 자료입니다.

다음 섹션에서는 WSUS와 인터넷 사이에 있는 회사 방화벽을 구성하는 방법에 대해 설명합니다. WSUS에서 모든 네트워크 트래픽이 시작되므로 WSUS 서버에서 Windows 방화벽을 구성할 필요가 없습니다. Microsoft 업데이트와 WSUS 사이 연결에는 포트 80과 443이 열려 있어야 하지만, 여러 WSUS 서버를 사용자 지정 포트에서 동기화하도록 구성할 수 있습니다.

2.1.2. WSUS 서버 간 연결

WSUS 업스트림 및 다운스트림 서버는 WSUS 관리자가 구성된 포트에서 동기화됩니다. 기본적으로 이러한 포트는 다음과 같이 구성됩니다.

  • WSUS 3.2 및 이전 버전에서는 HTTP에 포트 80, HTTPS에 포트 443 사용

  • WSUS 6.2 이상 (최소한 Windows Server 2012), HTTPS가 사용에 대 한 8530 HTTP 및 8531 포트

이러한 포트에서 인바운드 트래픽을 허용하도록 WSUS 서버의 방화벽을 구성해야 합니다.

2.1.3. 클라이언트(Windows 업데이트 에이전트)와 WSUS 서버 간 연결

수신 인터페이스 및 포트는 WSUS용 IIS 사이트와 클라이언트 PC를 구성하는 데 사용되는 그룹 정책 설정에서 구성됩니다. 기본 포트는 이전 섹션 WSUS 서버 간 연결에서 지정한 것과 동일하며, WSUS 서버의 방화벽도 이러한 포트에서 인바운드 트래픽을 허용하도록 구성되어야 합니다.

프록시 서버 구성

회사 네트워크에서 프록시 서버를 사용하는 경우 프록시 서버는 HTTP 및 SSL 프로토콜을 지원하고 기본 인증 또는 Windows 인증을 사용해야 합니다. 다음 구성 중 하나를 사용하여 이러한 요구 사항을 충족할 수 있습니다.

  1. 두 프로토콜 채널을 지원하는 단일 프록시 서버. 이 경우 한 채널은 HTTP를 사용하도록 설정하고 다른 하나는 HTTPS를 사용하도록 설정합니다.

    참고

    WSUS 서버 소프트웨어 설치 중 하나의 프록시 서버에서 WSUS에 대한 두 프로토콜을 모두 처리하도록 설정할 수 있습니다.

  2. 각각 하나의 프로토콜을 지원하는 두 프록시 서버. 이 경우 한 프록시 서버는 HTTP를 사용하도록 구성하고 다른 프록시 서버는 HTTPS를 사용하도록 구성합니다.

각각 하나의 WSUS용 프로토콜을 처리하는 두 개의 프록시 서버를 설정하려면 다음 절차를 사용합니다.

두 프록시 서버를 사용하도록 WSUS를 설정하려면

  1. 로컬 관리자 그룹의 구성원인 계정을 사용하여 WSUS 서버가 될 컴퓨터에 로그온합니다.

  2. WSUS 서버 역할을 설치합니다. WSUS 구성 마법사(다음 섹션에서 설명)를 실행하는 동안 프록시 서버를 지정하지 마세요.

  3. 관리자 권한으로 명령 프롬프트(Cmd.exe)를 엽니다. 관리자 권한으로 명령 프롬프트를 열려면 시작으로 이동합니다. 검색 시작, 형식 명령 프롬프트. 시작 메뉴의 맨 위에 마우스 오른쪽 단추로 클릭 명령 프롬프트, 를 차례로 클릭 하 고 관리자 권한으로 실행. 하는 경우는 사용자 계정 컨트롤 (요청) 된 경우 적절 한 자격 증명을 입력, 무엇을 누르고 원하는 다음 작업이 표시 되는지 확인 대화 상자가 나타나면 계속.

  4. 명령 프롬프트 창에서 C:\Program Files\Update Services\Tools 폴더로 이동 합니다. 다음 명령을 입력 합니다.

    wsusutil ConfigureSSlproxy [< proxy_server proxy_port >]-사용, 여기서:

    1. proxy_server는 HTTPS를 지원하는 프록시 서버의 이름입니다.

    2. proxy_port는 프록시 서버 포트 번호입니다.

  5. 명령 프롬프트 창을 닫습니다.

HTTP 프로토콜을 사용하는 프록시 서버를 WSUS 구성에 추가하려면 다음 절차를 따릅니다.

HTTP 프로토콜을 사용하는 프록시 서버를 추가하려면

  1. WSUS 관리 콘솔을 엽니다.

  2. 왼쪽 창에서 서버 이름을 확장하고 옵션을 클릭합니다.

  3. 옵션 창에서 Update Source and Update Server(업데이트 원본 및 업데이트 서버)를 클릭하고 프록시 서버 탭을 클릭합니다.

  4. 기존 프록시 서버 구성을 수정하려면 다음 옵션을 사용합니다.

    프록시 서버를 변경하거나 WSUS 구성에 추가하려면
    1. 동기화할 때 프록시 서버 사용 확인란을 선택합니다.

    2. 프록시 서버 이름 텍스트 상자에 프록시 서버의 이름을 입력합니다.

    3. 프록시 포트 번호 텍스트 상자에 프록시 서버의 포트 번호를 입력합니다. 기본 포트 번호는 80입니다.

    4. 선택, 특정 사용자 계정을 사용 하는 프록시 서버 ff 필요는 사용자 자격 증명을 사용 하 여 프록시 서버에 연결할 확인란. 해당 텍스트 상자에 필요한 사용자 이름, 도메인 및 암호를 입력 합니다.

    5. 프록시 서버에서 기본 인증을 지원하는 경우 기본 인증 허용(일반 텍스트로 암호 보냄) 확인란을 선택합니다.

    6. 확인을 클릭합니다.

    WSUS 구성에서 프록시 서버를 제거하려면
    1. WSUS 구성에서 프록시 서버를 제거하려면 동기화할 때 프록시 서버 사용 확인란 선택을 취소합니다.

    2. 확인을 클릭합니다.

2.2. 네트워크 구성 마법사를 사용하여 WSUS 구성

이 절차에서는 WSUS 구성 마법사를 사용하는 것으로 가정하며, 이 마법사는 WSUS 관리 콘솔을 처음 실행할 때 나타납니다. 이 항목의 후반부에서는 옵션 페이지를 사용해 이러한 구성 작업을 수행하는 방법을 알아봅니다.

WSUS를 구성하려면

  1. 서버 관리자의 탐색 창에서 대시보드도구를 차례로 클릭한 다음 Windows Server Update Services를 클릭합니다.

    참고

    하는 경우는 WSUS 설치를 완료 대화 상자가 나타나면 클릭 실행. 에 WSUS 설치를 완료 대화 상자를 클릭 닫기 설치를 성공적으로 완료 합니다.

  2. Windows Server Update Services 마법사가 열립니다. 시작하기 전 페이지에서 정보를 검토하고 다음을 클릭합니다.

  3. Microsoft 업데이트 개선 프로그램에 참여 페이지의 지침을 읽고 참여할지를 평가합니다. 프로그램에 참여하려는 경우 기본적으로 선택, 유지 또는 확인란의 선택을 취소 누른 다음.

  4. 업스트림 서버 선택 페이지에는 두 가지 옵션이 있습니다.

    1. Microsoft 업데이트와 업데이트 동기화

    2. 다른 Windows Server Update Services 서버에서 동기화

      • 다른 WSUS 서버에서 동기화 하려는 경우 업스트림 서버와 서버 이름 및이 서버는 통신 포트를 지정 합니다.

      • SSL을 사용하려면 업데이트 정보를 동기화할 때 SSL 사용 확인란을 선택합니다. 동기화 시 서버가 포트 443을 사용합니다. 이 서버와 업스트림 서버가 SSL을 지원해야 합니다.

      • 복제 서버 이면 선택은 업스트림 서버의 복제본이 확인란.

  5. 배포에 사용할 옵션을 적절히 선택한 후 다음을 클릭해 계속 진행합니다.

  6. 프록시 서버 지정 페이지에서 동기화할 때 프록시 서버 사용 확인란을 선택한 다음, 해당 상자에 프록시 서버 이름과 포트 번호(기본적으로 포트 80)를 입력합니다.

    중요

    WSUS를 사용할 때 프록시 서버에서 인터넷에 액세스해야 하는 경우 이 단계를 완료해야 합니다.

  7. 선택 특정 사용자 자격 증명을 사용 하 여 프록시 서버에 연결 하려면는 사용자 자격 증명을 사용 하 여 프록시 서버에 연결할 확인란을 선택한 다음 해당 상자에 사용자 이름, 도메인 및 사용자의 암호를 입력 합니다. 사용자에 게 프록시 서버에 연결 하는 기본 인증을 사용 하려는 경우는 기본 인증 허용 (암호는 일반 텍스트로 전송 됩니다.) 확인란.

  8. 다음을 클릭합니다. 에 업스트림 서버에 연결 페이지를 클릭 연결을 시작.

  9. 서버에 연결되면 다음을 클릭해 계속 진행합니다.

  10. 언어 선택 는 WSUS는 업데이트를 받게-모든 언어 또는 언어의 일부 언어를 선택할 수 있는 페이지. 디스크 공간을 절약 됩니다 언어의 하위 집합을 선택 하지만 모든이 WSUS 서버의 모든 클라이언트에 필요한 언어를 선택 하는 중요 합니다. 특정 언어에 대해서만 업데이트를 받을 하려는 경우 선택 이러한 언어에만 업데이트 다운로드, 업데이트를 원하세요; 그렇지 않으면 기본 선택을 그대로 유지 하는 언어를 선택 합니다.

    경고

    옵션을 선택 하는 경우 이러한 언어에만 업데이트 다운로드, 이 서버에 연결 된 다운스트림 WSUS 서버 하 고,이 옵션은 또한만 선택한 언어를 사용 하 여 다운스트림 서버를 강제로.

  11. 배포에 사용할 언어 옵션을 적절히 선택한 후 다음을 클릭해 계속 진행합니다.

  12. 제품 선택 페이지에서는 원하는 업데이트 제품을 지정할 수 있습니다. Windows 또는 Windows Server 2008 같은 특정 제품을 같은 제품 범주를 선택 합니다. 제품 범주를 선택 하면 해당 범주의 모든 제품을 선택 합니다.

  13. 배포에 대 한 적절 한 제품 옵션을 선택한 다음 클릭 다음.

  14. 등급 선택 페이지에서 가져오려는 업데이트 등급을 선택합니다. 모든 분류 또는 분류 하위 집합을 선택한 후 다음을 클릭합니다.

  15. 동기화 일정 설정 페이지에서 동기화를 수동으로 수행할지, 자동으로 수행할지 선택할 수 있습니다.

    • 선택 하면 수동으로 동기화, WSUS 관리 콘솔에서 동기화 프로세스를 시작 해야 합니다.

    • 선택 하면 자동으로 동기화, WSUS 서버 설정 된 간격 동기화 됩니다.

    이 서버에서 수행할 첫 번째 동기화 시간을 설정하고 하루 동기화 횟수를 지정합니다. 예를 들어 하루에 네 번 동기화 작업을 수행하도록 지정하면 오전 3시를 시작으로 오전 3시, 오전 9시, 오후 3시, 오후 9시에 동기화 작업이 수행됩니다.

  16. 배포에 사용할 동기화 옵션을 적절히 선택한 후 다음을 클릭해 계속 진행합니다.

  17. 마침 페이지에서 초기 동기화 시작 확인란을 선택하면 지금 동기화를 시작할 수 있습니다. 이 옵션을 선택 하지 않으면 WSUS 관리 콘솔을 사용 하 여 초기 동기화를 수행 해야 합니다. 추가 설정에 대해 자세히 알아보려면 다음을 클릭하고, 이 마법사를 끝내고 초기 WSUS 설정을 완료하려면 마침을 클릭합니다.

  18. 마침을 클릭하면 WSUS 관리 콘솔이 나타납니다.

이제 기본적인 WSUS 구성을 작업을 수행했습니다. WSUS 관리 콘솔을 사용해 설정을 변경하는 방법에 대한 자세한 내용은 다음 섹션을 읽어보세요.

2.3. WSUS 컴퓨터 그룹 구성

컴퓨터 그룹은 Windows Server Update Services (WSUS) 배포의 중요 한 부분입니다. 컴퓨터 그룹을 구성해 특정 컴퓨터의 업데이트를 테스트하고 작업 대상으로 삼을 수 있습니다. 두 개의 기본 컴퓨터 그룹: 모든 컴퓨터와 할당 되지 않은 컴퓨터입니다. 기본적으로 각 클라이언트 컴퓨터가 WSUS 서버에 처음 접속하면 서버는 해당 클라이언트 컴퓨터를 이러한 두 그룹에 모두 추가합니다.

조직에서 업데이트를 관리하는 데 필요한 만큼의 사용자 지정 컴퓨터 그룹을 만들 수 있습니다. 모범 사례로, 조직 내 다른 컴퓨터에 업데이트를 배포하기 전에 업데이트를 테스트할 컴퓨터 그룹을 하나 이상 만듭니다.

다음 절차에 따라 새 그룹을 만들고 컴퓨터를 이 그룹에 할당합니다.

컴퓨터 그룹을 만들려면

  1. WSUS 관리 콘솔에서 아래 업데이트 서비스, WSUS 서버, 컴퓨터, 를 마우스 오른쪽 단추로 클릭 모든 컴퓨터, 클릭 한 다음 컴퓨터 그룹 추가.

  2. 컴퓨터 그룹 추가 대화 상자의 이름, 새 그룹의 이름을 지정 하 고 클릭 하 고 추가.

  3. 클릭 컴퓨터, 한 다음이 새 그룹에 할당 하고자 하는 컴퓨터를 선택 합니다.

  4. 이전 단계에서 선택한 컴퓨터 이름을 마우스 오른쪽 단추로 누른 구성원 변경.

  5. 컴퓨터 그룹 구성원 설정 대화 상자, 선택한 테스트 그룹 수를 만든 누른 확인.

2.4. 클라이언트 업데이트 구성

WSUS 설치 프로그램은 WSUS 서버에 접속하는 각 클라이언트 컴퓨터에 최신 버전의 자동 업데이트를 배포하도록 IIS를 자동으로 구성합니다. 자동 업데이트를 구성하는 최상의 방법은 네트워크 환경에 따라 결정됩니다.

  • Active directory 디렉터리 서비스를 사용 하는 환경에서는 기존 도메인 기반 개체 GPO (그룹 정책)를 사용할 수도 있고 새 GPO를 만들 수 있습니다.

  • Active directory 없이 환경에서 로컬 그룹 정책 편집기를 사용 하 여 자동 업데이트를 구성 하 고 WSUS 서버에 클라이언트 컴퓨터를 가리킵니다.

중요

다음 절차에서는 네트워크 active directory 실행 되도록 가정 합니다. 또한 그룹 정책에 대해 잘 알고 있으며, 이를 사용해 네트워크를 관리하는 것으로 가정합니다.

다음 절차에 따라 클라이언트 컴퓨터에 대한 자동 업데이트를 구성합니다.

그룹 정책에 자동 업데이트 구성

active directory에서 네트워크에 설정한 경우에 개체 GPO (그룹 정책)를 포함 하 고 다음 WSUS 설정을 사용 하 여 해당 GPO를 구성 하 여 동시에 하나 또는 여러 컴퓨터를 구성할 수 있습니다. WSUS 설정만 포함하는 새 GPO를 만드는 것이 좋습니다.

사용자 환경에 적합 한 active directory 컨테이너에이 WSUS GPO를 연결 합니다. 단일 환경에서는 단일 WSUS GPO를 도메인에 연결할 수 있습니다. 보다 복잡한 환경에서는 여러 WSUS GPO를 몇몇 OU(조직 구성 단위)에 연결하여 다양한 WSUS 정책 설정을 다른 유형의 컴퓨터에 적용할 수 있습니다.

도메인 GPO를 통해 WSUS를 활성화하려면
  1. 그룹 정책 관리 콘솔 (GPMC), WSUS를 구성 하려는 GPO를 찾은 후 클릭 편집.

  2. GPMC에서 확장 컴퓨터 구성, 확장 정책, 확장 관리 템플릿, 확장 Windows 구성 요소, 를 차례로 클릭 하 고 Windows Update.

  3. 세부 정보 창에서 자동 업데이트 구성을 두 번 클릭합니다. 자동 업데이트 구성 정책이 열립니다.

  4. 사용을 클릭한 다음 자동 업데이트 구성 설정 아래에서 다음 옵션 중 하나를 선택합니다.

    • 다운로드 및 설치할 때 알림. 이 옵션은 업데이트를 다운로드하고 설치하기 전에 로그온되어 있는 관리자에게 알립니다.

    • 자동으로 다운로드하고 설치할 때 알림. 이 옵션은 업데이트를 자동으로 다운로드하기 시작한 다음, 업데이트를 설치하기 전에 로그온되어 있는 관리자에게 알립니다. 이 옵션은 기본적으로 선택됩니다.

    • 자동으로 다운로드하고 설치를 예약. 이 옵션은 업데이트를 자동으로 다운로드하기 시작한 다음, 지정한 날짜와 시간에 업데이트를 설치합니다.

    • 로컬 관리자가 설정을 선택할 수 있음. 이 옵션을 선택하면 로컬 관리자가 제어판의 자동 업데이트를 사용하여 구성 옵션을 선택할 수 있습니다. 예를 들면 로컬 관리자가 예정된 설치 시간을 선택할 수는 있지만, 자동 업데이트를 비활성화할 수는 없습니다.

  5. 선택 클라이언트 쪽을 대상으로 사용, 선택 사용, 다음에이 컴퓨터를 추가 하려면 WSUS 컴퓨터 그룹의 이름을 입력 하 고는 이 컴퓨터의 대상 그룹 이름을 상자입니다.

    참고

    클라이언트 대상 그룹 사용을 선택하면 자동 업데이트가 WSUS 서버로 리디렉션될 때 클라이언트 컴퓨터가 자신을 WSUS 서버의 대상 컴퓨터 그룹에 추가할 수 있습니다. 상태를 사용으로 설정이 컴퓨터는 자신을 식별 특정 컴퓨터 그룹의 구성원으로 정보를 사용 하 여 업데이트에이 컴퓨터에 배포 결정 WSUS 서버 보낼 때. 이 설정은 클라이언트 컴퓨터 그룹이 사용할 WSUS 서버를 나타냅니다. WSUS 서버에서 그룹을 만들고 해당 그룹에 도메인 구성원 컴퓨터를 추가해야 합니다.

  6. 확인을 클릭하여 클라이언트 대상 그룹 사용 정책을 닫고 Windows 업데이트 세부 정보 창으로 돌아옵니다.

  7. 확인을 클릭하여 자동 업데이트 구성 정책을 닫고 Windows 업데이트 세부 정보 창으로 돌아옵니다.

  8. Windows 업데이트 세부 정보 창에서 인트라넷 Microsoft 업데이트 서비스 위치 지정을 두 번 클릭합니다.

  9. 사용을 클릭한 다음, 인트라넷 업데이트 서비스에서 업데이트를 검색하도록 설정인트라넷 통계 서버 설정 텍스트 상자에 동일한 WSUS 서버의 URL을 입력합니다. 예를 들어 두 상자에 http://servername을 입력합니다. 여기서 servername은 WSUS 서버의 이름입니다.

    경고

    WSUS 서버의 인트라넷 주소를 입력할 때는 사용할 포트를 지정해야 합니다. 기본적으로 WSUS는 HTTP용으로 포트 8530을, HTTPS용으로 포트 8531을 사용합니다. 예를 들어 HTTP를 사용할 경우 http://servername:8530을 입력해야 합니다.

  10. 확인을 클릭합니다.

클라이언트 컴퓨터를 설정한 후에 컴퓨터를 표시 하기 전에 몇 분 정도 걸립니다는 컴퓨터 WSUS 관리 콘솔에서 페이지. 도메인 기반 그룹 정책 개체로 구성되는 클라이언트 컴퓨터에서는 그룹 정책의 경우 클라이언트 컴퓨터에 새 정책 설정을 적용하는 데 20분 정도 걸릴 수 있습니다. 기본적으로 0-30 분의 임의 오프셋 90 분 마다 백그라운드에서 그룹 정책 업데이트 합니다. 그룹 정책을 더 빨리 업데이트 하려는 경우 클라이언트 컴퓨터와 형식 gpupdate /force에서 명령 프롬프트 창을 열 수 있습니다.

로컬 그룹 정책 편집기를 사용 하 여 구성 된 클라이언트 컴퓨터에 GPO를 즉시 적용 하 고 업데이트 20 분 정도 걸립니다. 수동으로 검색을 시작 하는 경우 WSUS 연락 하 여 클라이언트 컴퓨터 20 분까지 기다려야 필요가 없습니다.

검색이 시작되기를 기다리는 동안 시간이 소모되므로 다음 절차를 사용하여 검색을 즉시 시작할 수 있습니다.

WSUS 검색을 시작하려면
  1. 클라이언트 컴퓨터에서 관리자 권한으로 명령 프롬프트 창을 엽니다.

  2. wuauclt.exe /detectnow를 입력 하 고 ENTER 키를 누릅니다.

2.5. SSL(Secure Sockets Layer) 프로토콜을 사용한 WSUS 보안

WSUS 배포를 보호하기 위해 SSL(Secure Sockets Layer) 프로토콜을 사용할 수 있습니다. WSUS에서는 SSL을 사용하여 클라이언트 컴퓨터 및 다운스트림 WSUS 서버를 WSUS 서버에 대해 인증합니다. WSUS는 SSL을 사용하여 업데이트 메타데이터를 암호화합니다.

중요

또한 TLS(전송 계층 보안) 또는 HTTPS를 사용하도록 구성된 다운스트림 서버와 클라이언트는 업스트림 WSUS 서버에 대해 FQDN(정규화된 도메인 이름)을 사용하도록 구성해야 합니다.

WSUS는 업데이트 파일이 아닌 메타데이터에만 SSL을 사용합니다. Microsoft 업데이트도 이러한 방식으로 업데이트를 배포합니다. Microsoft는 각 업데이트에 서명하여 암호화되지 않은 채널을 통해 업데이트 파일을 보내는 위험을 줄입니다. 또한 해시가 계산되어 각 업데이트의 메타데이터와 함께 전송됩니다. 업데이트를 다운로드할 때 WSUS는 디지털 서명 및 해시를 확인합니다. 업데이트 변경 된 경우, 설치 되지 않습니다.

WSUS SSL 배포의 제한 사항

SSL을 사용하여 WSUS 배포를 보호하는 경우 다음 제한 사항을 고려해야 합니다.

  1. SSL을 사용하면 서버 워크로드가 증가합니다. 네트워크를 통해 전송되는 모든 메타데이터를 암호화해야 하므로 성능이 10% 정도 떨어집니다.

  2. 원격 SQL Server 데이터베이스 WSUS를 사용 하는 경우 WSUS 서버와 데이터베이스 서버 간의 연결은 SSL로 보호 되지 않습니다. 데이터베이스 연결 보안 유지 해야 하는 경우 다음 권장 사항을 고려 하세요.

  • WSUS 데이터베이스 WSUS 서버를 이동 합니다.

  • 개인 네트워크에 원격 데이터베이스 서버와 WSUS 서버를 이동 합니다.

  • 네트워크 트래픽을 보호할 수 있도록 IPsec(인터넷 프로토콜 보안)을 배포합니다. IPsec에 대 한 자세한 내용은 참조 페이지 만들기 및 IPsec 정책을 사용 하 여.

WSUS 서버에서 SSL 구성

WSUS에는 SSL을 위해 두 개의 포트가 필요합니다. 한 포트는 HTTPS를 사용하여 암호화된 메타데이터를 전송하고 다른 하나는 HTTP를 사용하여 업데이트를 전송합니다. SSL을 사용하도록 WSUS를 구성할 때는 다음 사항을 고려합니다.

  • 전체 WSUS 웹 사이트에서 SSL이 필요하도록 구성하면 WSUS 사이트로의 모든 트래픽이 암호화되므로 이렇게 구성할 수는 없습니다. WSUS는 업데이트 메타데이터만 암호화합니다. 컴퓨터를 HTTPS 포트에서 업데이트 파일을 검색 하려고 하는 경우 전송이 실패 합니다.

    다음 가상 루트에 대해서만 SSL이 필요합니다.

    • SimpleAuthWebService

    • DSSAuthWebService

    • ServerSyncWebService

    • APIremoting30

    • ClientWebService

    다음 가상 루트의 경우에는 SSL이 필요하지 않습니다.

    • 콘텐츠

    • 인벤토리

    • ReportingWebService

    • 자동 업데이트

  • 로컬 컴퓨터 신뢰할 수 있는 루트 CA 저장소 또는 다운스트림 WSUS 서버의 Windows Server Update Service 신뢰할 수 있는 루트 CA 저장소로 CA(인증 기관)의 인증서를 가져와야 합니다. 인증서를 가져올만 신뢰할 수 있는 루트 CA 로컬 사용자에 게 저장 경우 다운스트림 WSUS 서버 업스트림 서버에서 인증 되지 않습니다.

    IIS에서 SSL 인증서를 사용 하는 방법에 대 한 자세한 내용은 참조 Secure Sockets Layer 필요 (IIS 7).

  • WSUS 서버와 통신하는 모든 컴퓨터에 인증서를 가져와야 합니다. 여기에는 모든 클라이언트 컴퓨터, 다운스트림 서버 및 WSUS 관리 콘솔을 실행하는 컴퓨터가 포함됩니다. 로컬 컴퓨터 신뢰할 수 있는 루트 CA 저장소 또는 Windows Server Update Service 신뢰할 수 있는 루트 CA 저장소로 인증서를 가져와야 합니다.

  • 모든 포트를 SSL에 대해 사용할 수 있습니다. 그러나 SSL을 사용하도록 설정한 포트는 WSUS에서 암호화되지 않은 HTTP 트래픽을 보낼 때 사용할 포트를 결정합니다. 다음 예를 참조하세요.

    • HTTPS 트래픽을 443 업계 표준 포트를 사용 하는 경우 WSUS 지우기 HTTP 트래픽에 대 한 산업 표준 포트 80을 사용 합니다.

    • HTTPS 트래픽을 443 이외의 모든 포트를 사용 하는 경우 WSUS 지우기 HTTP 트래픽은 https 포트 앞에 오는 숫자는 포트를 통해 보냅니다. 예를 들어 HTTPS에 포트 8531을 사용하는 경우 HTTP에는 포트 8530이 사용됩니다.

  • 다시 초기화 해야 ClientServicingProxy 경우 서버 이름, SSL 구성 또는 포트 번호가 변경 됩니다.

WSUS 루트 서버에서 SSL을 구성하려면
  1. WSUS 관리자 그룹 또는 로컬 관리자 그룹의 구성원인 계정을 사용하여 WSUS 서버에 로그온합니다.

  2. 이동 시작, 형식 CMD, 를 마우스 오른쪽 단추로 클릭 명령 프롬프트, 를 클릭 한 다음 관리자 권한으로 실행.

  3. 이동은 % ProgramFiles %\Update Services\Tools\ 폴더.

  4. 명령 프롬프트 창에서 다음 명령을 입력 합니다.

    Wsusutil configuresslcertificateName

    각 항목은 다음을 의미합니다.

    certificateName은 WSUS 서버의 DNS 이름입니다.

클라이언트 컴퓨터에서 SSL 구성

클라이언트 컴퓨터에서 SSL을 구성하는 경우 다음 문제를 고려해야 합니다.

  • WSUS 서버의 보안 포트에 대한 URL을 포함해야 합니다. 서버에서 SSL을 요구할 수 없으므로 클라이언트 컴퓨터에서 보안 채널을 사용하려면 HTTPS를 지정하는 URL을 사용해야 합니다. ssl 443 이외의 모든 포트를 사용 하는 경우 URL에 해당 포트도 포함 해야 합니다.

  • 클라이언트 컴퓨터에 인증서를 신뢰할 수 있는 루트 CA 컴퓨터를 로컬 저장소 또는 자동 업데이트 서비스 신뢰할 수 있는 루트 CA 저장소 포팅된 이어야 합니다. 인증서만 로컬 사용자의 신뢰할 수 있는 루트 CA 저장소로 가져올 수 없는 경우 자동 업데이트 서버 인증에 실패 합니다.

  • 클라이언트 컴퓨터가 WSUS 서버에 바인딩하는 인증서를 신뢰해야 합니다. 사용되는 인증서의 형식에 따라 클라이언트 컴퓨터에서 WSUS 서버에 바인딩된 인증서를 신뢰하도록 서비스를 설정해야 할 수 있습니다.

다운스트림 WSUS 서버에 대한 SSL 구성

다음 지침에서는 SSL을 사용하는 업스트림 서버와 동기화하도록 다운스트림 서버를 구성합니다.

SSL을 사용하는 업스트림 서버와 다운스트림 서버를 동기화하려면
  1. 로컬 관리자 그룹 또는 WSUS 관리자 그룹의 구성원인 사용자 계정을 사용하여 컴퓨터에 로그온합니다.

  2. 클릭 시작, 클릭 모든 프로그램, 클릭 관리 도구, 를 차례로 클릭 하 고 업데이트 서비스.

  3. 오른쪽 창에서 서버 이름을 확장합니다.

  4. 옵션을 클릭하고 업데이트 원본 및 프록시 서버를 클릭합니다.

  5. 업데이트 원본 페이지에서 다른 Windows Server Update Services 서버에서 동기화를 선택합니다.

  6. 에 업스트림 서버 이름을 입력 하는 서버 이름 텍스트 상자입니다. 서버에 SSL 연결을 사용 하는 포트 번호 입력은 포트 번호 텍스트 상자입니다.

  7. 선택은 업데이트 정보를 동기화 할 때에 SSL을 사용 하 여 확인란을 선택한 다음 클릭 확인.

추가 SSL 리소스

인증 기관을 설정하는 데 필요한 단계, 즉 WSUS 웹 사이트에 인증서를 바인딩하고 클라이언트 컴퓨터와 인증서 간의 신뢰를 설정하는 방법은 이 가이드에서 다루지 않습니다. 인증서 설치 및 이 환경 설정 방법에 대한 지침과 자세한 내용은 다음 항목을 참조하세요.

2.6. IIS 구성 완료

기본적으로 기본 및 모든 새 IIS 웹 사이트에 대해 익명 읽기 권한이 사용됩니다. 일부 응용 프로그램, 특히 Windows SharePoint Services에 대한 익명 액세스를 제거할 수 있습니다. 이 작업이 발생 하는 경우 성공적으로 설치 하 고 WSUS 작동할 수 전에 익명 읽기 권한을 다시 활성화 해야 합니다.

익명 읽기 권한을 사용하도록 설정하려면 해당 버전의 IIS에 대한 단계를 수행합니다.

  1. 익명 인증 사용 (IIS 7), IIS 7 운영 설명서의 설명 대로 합니다.

  2. 익명 인증 사용 (IIS 6.0), IIS 6.0 운영 설명서의 설명 대로 합니다.

2.7. 서명 인증서 구성

WSUS에서는 Microsoft 및 타사 제품을 업데이트하기 위한 사용자 지정 업데이트 패키지를 게시할 수 있습니다. WSUS에서는 Authenticode 인증서를 사용하여 이러한 사용자 지정 업데이트 패키지에 자동으로 서명할 수 있습니다. 사용자 지정 업데이트 서명을 사용하려면 WSUS 서버에서 패키지 서명 인증서를 설치해야 합니다. 사용자 지정 업데이트 서명과 관련된 몇 가지 고려 사항이 있습니다.

  1. 인증서 배포. WSUS 서버에 개인 키를 설치하고, 사용자 지정 서명 업데이트를 수신하는 모든 클라이언트 PC와 서버의 신뢰할 수 있는 인증서 저장소에 공개 키를 명시적으로 설치해야 합니다.

  2. 만료. 자체 서명된 인증서가 만료되거나 만료일이 가까워지면 WSUS에서 이벤트 로그에 이벤트를 기록합니다.

  3. 인증서 업데이트/해지. 업데이트 하거나 (예:도 만료 된 검색) 후 인증서 해지 하려고 하는 경우 WSUS 제공이 기능은 없습니다. 이 작업을 수행하면 수동 작업으로 전환되어 수동으로 또는 자동으로 수행하기가 매우 어려웠습니다.

© 2017 Microsoft