대략적인 Windows Server Update Services 서버 배포 옵션
WSUS(Windows Server Update Services) 서버를 설치하고 구성하기 전에 사용자 환경에서 WSUS를 배포하는 방법을 고려해야 합니다. WSUS 구현은 네트워크 환경 및 업데이트를 관리하는 방법에 따라 크기와 구성이 달라집니다. 전체 조직에 대한 단일 WSUS 서버, 독립적으로 작동하는 여러 WSUS 서버 또는 계층 구조로 서로 연결된 여러 WSUS 서버가 있을 수 있습니다.
단일 WSUS 서버
WSUS의 가장 기본적인 구현은 네트워크 내에서 단일 WSUS 서버를 사용합니다. 이 서버는 Microsoft 업데이트에 연결하고 방화벽을 통해 업데이트를 다운로드합니다. WSUS 서버는 기본 포트인 80 및 443 대신, HTTP 통신에는 포트 8530을 사용하고, HTTPS 통신에는 포트 8531을 사용합니다. 서버에서 Microsoft 업데이트에 연결하도록 허용하는 데 필요한 규칙이 방화벽에 있는지 확인해야 합니다. 이 기본 시나리오는 일반적으로 단일 물리적 위치를 사용하는 소규모 네트워크에 사용됩니다.
여러 WSUS 서버
환경이 여러 개의 격리된 물리적 위치로 구성된 경우 각 위치에서 WSUS 서버를 구현해야 할 수 있습니다. 이 시나리오에서 각 WSUS 서버는 Microsoft 업데이트에서 업데이트를 다운로드하기 위해 인터넷에 대한 자체 연결을 유지합니다.
이 옵션은 유효한 옵션이지만, 각각의 개별 WSUS 서버를 독립적으로 관리해야 하기 때문에 실제 위치 수가 증가하는 경우에는 상당한 관리 노력이 필요합니다. 각 서버가 올바른 WSUS 서버에서 업데이트를 받도록 각 서버에 개별적으로 업데이트를 다운로드하고, 각 서버에서 개별적으로 업데이트를 승인하고, WSUS 클라이언트를 관리해야 합니다.
개별 WSUS 서버는 적은 수의 물리적 위치를 보유하는 조직에서 잘 작동합니다. 이러한 각 물리적 위치에는 자체 IT 관리 팀을 유지합니다. 또한 NLB(네트워크 부하 분산) 클러스터에 여러 WSUS 서버를 배치하여, 단일 WSUS 서버에서 관리하기에 너무 많은 수의 클라이언트가 있는 단일 물리적 위치에 이 시나리오를 사용할 수 있습니다.
연결이 끊어진 WSUS 서버
연결이 끊어진 WSUS 서버는 인터넷을 통해 Microsoft 업데이트에 연결되지 않거나 네트워크의 다른 서버에서 업데이트를 수신하지 않는 서버입니다. 대신, 이 서버는 다른 WSUS 서버에 생성된 이동식 미디어에서 업데이트를 받습니다.
연결이 끊어진 WSUS 서버는 보안 수준이 높은 환경에서와 같이 인터넷에 액세스할 수 없는 격리된 네트워크 환경에서 가장 일반적입니다. 다른 위치에 있는 WSUS 서버를 사용하여 Microsoft 업데이트와 동기화하고, 업데이트를 이동식 미디어로 내보낸 다음, 이동식 미디어를 원격 위치로 전송하여 연결이 끊어진 WSUS 서버로 가져올 수 있습니다.
WSUS 서버 계층
지금까지 설명한 모든 시나리오는 Microsoft 업데이트에 직접 연결되거나 연결되지 않은 방식으로 업데이트를 수신하는 독립적으로 관리되는 WSUS 서버를 다룹니다. 그러나 여러 물리적 위치가 있는 대규모 조직에서는 한 서버에서 Microsoft 업데이트와 동기화하는 기능을 사용하려고 할 수 있습니다. 또한 네트워크를 통해 다양한 위치에 있는 서버에 업데이트를 푸시하여 단일 위치에서 업데이트를 승인할 수 있습니다.
- WSUS 서버 계층 구조를 통해 다음 작업을 수행할 수 있습니다.
- 지점의 서버와 같이 클라이언트에 더 가까운 서버로 업데이트를 다운로드합니다.
- 단일 서버에 업데이트를 한 번 다운로드한 다음, 네트워크를 통해 업데이트를 다른 서버에 복제합니다.
- 클라이언트에서 사용하는 언어에 따라 WSUS 서버를 분리합니다.
- 단일 WSUS 서버에서 관리할 수 있는 것보다 많은 클라이언트 컴퓨터가 있는 대규모 조직의 경우 WSUS 서버를 스케일링합니다.
WSUS 서버 계층 구조에는 다음과 같은 두 가지 유형의 서버가 있습니다.
- 업스트림 서버. 업스트림 서버는 Microsoft 업데이트에 직접 연결하여 업데이트를 검색하거나, 연결이 끊어진 상태에서 이동식 미디어를 사용하여 업데이트를 받습니다.
- 다운스트림 서버. 다운스트림 서버는 WSUS 업스트림 서버에서 업데이트를 수신합니다.
다음 두 가지 모드 중 하나로 다운스트림 서버를 구성할 수 있습니다.
- 자치 모드. 자치 모드 또는 분산 관리를 통해 다운스트림 서버는 업스트림 서버에서 업데이트를 받을 수 있지만 관리자는 업데이트를 로컬로 관리할 수 있습니다. 이 시나리오에서 다운스트림 서버는 자체 컴퓨터 그룹 집합을 유지 관리하며 업스트림 서버의 승인 설정과는 별도로 업데이트를 승인할 수 있습니다. 이렇게 하면 다른 관리자 그룹이 자신의 위치에서 업데이트를 관리할 수 있으며 업스트림 서버만 다운로드 가능한 업데이트의 원본으로 사용할 수 있습니다.
- 복제본 모드. 복제본 모드 또는 중앙 집중식 관리를 사용하면 다운스트림 서버가 업스트림 서버에서 업데이트, 컴퓨터 그룹 구성원 자격 정보 및 승인을 받을 수 있습니다. 이 시나리오에서는 단일 관리자 그룹이 전체 조직에 대한 업데이트를 관리할 수 있습니다. 또한 다운스트림 서버를 여러 다른 물리적 사무실에 배치하고 업스트림 서버에서 모든 업데이트 및 관리 데이터를 받을 수 있습니다.
WSUS 계층 구조에 여러 계층을 유지할 수 있습니다. 일부 다운스트림 서버에서 자치 모드를 사용하도록 구성할 수 있지만 복제본 모드를 사용하여 다른 서버를 구성할 수 있습니다. 예를 들어, 단일 업스트림 서버를 Microsoft 업데이트 연결하여 전체 조직에 대한 업데이트를 다운로드할 수 있습니다. 다른 두 다운스트림 서버를 자치 모드로 유지하여 한 대의 서버로는 영어 소프트웨어를 실행하는 모든 컴퓨터에 대한 업데이트를 관리하고, 다른 서버로는 스페인어로 소프트웨어를 실행하는 모든 컴퓨터에 대한 업데이트를 관리할 수 있습니다. 마지막으로 복제본 모드로 구성된 중간 계층 WSUS 서버에서 업데이트를 수신하는 다른 다운스트림 서버 집합을 유지할 수 있습니다. 이러한 서버는 클라이언트가 업데이트를 수신하는 실제 서버이지만 모든 관리는 중간 계층에서 수행됩니다.
[참고] 업스트림 서버에서 업데이트 정보 메타데이터를 다운로드하지만 Microsoft 업데이트에서 실제 업데이트 자체를 다운로드하도록 다운스트림 서버를 구성할 수 있습니다. 다운스트림 서버가 인터넷에 안정적으로 연결되어 있으며 WAN 트래픽을 줄이려고 하는 경우에 일반적인 구성입니다.