WSUS(Windows Server Update Services)를 사용하여 Windows 클라이언트 업데이트 배포
소비자 정보를 찾으시나요? Windows 업데이트: FAQ를 참조하세요.
WSUS는 Windows Server 운영 체제에서 사용 가능한 Windows Server 역할입니다. 조직 내에 Windows 업데이트를 위한 단일 허브를 제공합니다. WSUS를 사용하면 회사에서 업데이트를 연기할 뿐만 아니라 선택적으로 승인하고, 배달 시기를 선택하고, 수신하는 개별 디바이스 또는 디바이스 그룹을 결정할 수 있습니다. WSUS는 비즈니스용 Windows 업데이트 대한 추가 제어를 제공하지만 Microsoft Configuration Manager 제공하는 모든 일정 옵션 및 배포 유연성을 제공하지는 않습니다.
Windows 업데이트의 원본으로 WSUS를 선택하면 그룹 정책 사용하여 Windows 클라이언트 디바이스를 WSUS 서버로 지정하여 업데이트합니다. 여기에서 주기적으로 업데이트가 WSUS 서버에 다운로드되며 WSUS 관리 콘솔 또는 그룹 정책을 통해 관리, 승인 및 배포되므로 엔터프라이즈 업데이트 관리가 간소화됩니다. 현재 WSUS를 사용하여 사용자 환경에서 Windows 업데이트를 관리하는 경우 Windows 11 계속 관리할 수 있습니다.
WSUS를 사용하는 Windows 클라이언트 서비스에 대한 요구 사항
WSUS를 사용하여 Windows 기능 업데이트를 관리하고 배포하려면 지원되는 WSUS 버전을 사용해야 합니다.
- WSUS 10.0.14393(Windows Server 2016 역할)
- WSUS 10.0.17763(Windows Server 2019의 역할)
- WSUS 6.2 및 6.3(Windows Server 2012 및 Windows Server 2012 R2의 역할)
- KB 3095113 및 KB 3159706(또는 해당 업데이트)는 WSUS 6.2 및 6.3에 설치해야 합니다.
중요
KB 3095113 및 KB 3159706 모두 2017년 7월부터 보안 월별 품질 롤업에 포함됩니다. 즉, 롤업과 함께 설치되었을 수 있으므로 KB 3095113 및 KB 3159706 설치된 업데이트로 표시되지 않을 수 있습니다. 그러나 이러한 업데이트 중 하나가 필요한 경우 WSUS의 clientwebservice에서 메모리 사용률을 줄이기 위해 추가 WSUS 업데이트가 포함되어 있으므로 2017년 10월 이후에 릴리스된 보안 월별 품질 롤업을 설치하는 것이 좋습니다. 보안 월별 품질 롤업 전에 이러한 업데이트 중 하나를 동기화한 경우 문제가 발생할 수 있습니다. 이를 복구하려면 WSUS에서 업그레이드를 삭제하는 방법을 참조하세요.
WSUS 확장성
WSUS를 사용하여 모든 Windows 업데이트를 관리하기 위해 일부 조직에서는 경계 네트워크에서 WSUS에 액세스해야 하거나 다른 복잡한 시나리오가 있을 수 있습니다. WSUS는 조직의 규모 또는 사이트 레이아웃에 상관없이 구성 가능하며 확장성이 매우 높습니다. 업스트림 및 다운스트림 서버 구성, 지점, WSUS 부하 분산 및 기타 복잡한 시나리오를 포함하여 WSUS 크기 조정에 대한 자세한 내용은 Windows Server Update Services 배포를 참조하세요.
자동 업데이트 및 업데이트 서비스 위치 구성
WSUS를 사용하여 Windows 클라이언트 장치에서 업데이트를 관리할 때 사용자 환경에 맞게 자동 업데이트 구성 및 인트라넷 Microsoft 업데이트 서비스 위치 그룹 정책 설정을 구성하여 시작합니다. 그러면 WSUS 서버가 관리할 수 있도록 영향받는 클라이언트가 WSUS 서버에 연결하게 됩니다. 다음 프로세스는 이러한 설정을 지정하고 도메인의 모든 장치에 배포하는 방법을 설명합니다.
사용자 환경에 맞게 자동 업데이트 구성 및 인트라넷 Microsoft 업데이트 서비스 위치 그룹 정책 설정 구성
그룹 정책 관리 콘솔(gpmc.msc)을 엽니다.
Forest\Domains\Your_Domain 확장합니다.
Your_Domain 마우스 오른쪽 단추로 클릭한 다음, 이 도메인에서 GPO 만들기를 선택하고 여기에 연결을 선택합니다.
참고
이 예제에서 자동 업데이트 구성 및 인트라넷 Microsoft 업데이트 서비스 위치 그룹 정책 설정은 전체 도메인에 대해 지정됩니다. 이와 같은 설정은 요구 사항이 아닙니다. 보안 필터링 또는 특정 OU를 사용하여 이러한 설정의 대상을 보안 그룹으로 지정할 수 있습니다.
새 GPO 대화 상자에서 새 GPO WSUS - 자동 업데이트 및 인트라넷 업데이트 서비스 위치의 이름을 지정합니다.
WSUS - 자동 업데이트 및 인트라넷 업데이트 서비스 위치 GPO를 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.
그룹 정책 관리 편집기에서 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Windows 업데이트로 이동합니다.
자동 업데이트 구성 설정을 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.
자동 업데이트 구성 대화 상자에서 Enable(사용)을 선택합니다.
옵션 아래의 자동 업데이트 구성 목록에서 3 - 자동 다운로드 및 설치 알림을 선택한 다음 확인을 선택합니다.
중요
Regedit.exe 사용하여 Windows 스토어 연결을 끊을 수 있으므로 다음 키가 사용하도록 설정되지 않은지 검사 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotConnectToWindowsUpdateInternetLocations
참고
자동 업데이트 다운로드 및 설치 날짜 및 시간에 대한 세 가지 다른 설정이 있습니다. 이 설정은 이 예제에서 사용하는 옵션일 뿐입니다. 자동 업데이트 및 기타 관련 정책을 제어하는 방법에 대한 추가 예제는 그룹 정책을 사용하여 자동 업데이트 구성을 참조하세요.
인트라넷 Microsoft 업데이트 서비스 위치 지정 설정을 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.
인트라넷 Microsoft 업데이트 서비스 위치 지정 대화 상자에서 Enable(사용)을 선택합니다.
옵션 아래의 업데이트를 검색하기 위한 인트라넷 업데이트 서비스 설정 및 인트라넷 통계 서버 옵션 설정에서 를 입력
http://Your_WSUS_Server_FQDN:PortNumber
한 다음 확인을 선택합니다.참고
다음 이미지의
http://CONTOSO-WSUS1.contoso.com:8530
URL은 예제일 뿐입니다. 사용자 환경에서 WSUS 인스턴스의 서버 이름과 포트 번호를 사용해야 합니다.참고
WSUS의 기본 HTTP 포트는 8530이고 기본 HTTPS(HTTP over Secure Sockets Layer) 포트는 8531입니다. (다른 옵션은 80 및 443이며 다른 포트는 지원되지 않습니다.)
Windows 클라이언트에서 컴퓨터 정책을 새로 고칠 때(기본 그룹 정책 새로 고치기 설정은 90분이고 컴퓨터가 다시 시작할 때) 컴퓨터가 WSUS에 표시되기 시작합니다. 이제 클라이언트가 WSUS 서버와 통신 중이므로 배포 링에 맞는 컴퓨터 그룹을 만듭니다.
WSUS 관리 콘솔에 컴퓨터 그룹 만들기
참고
다음 절차에서는 Windows 클라이언트 업데이트에 대한 배포 링 빌드 에서 표 1의 그룹을 예로 사용합니다.
특정 품질 및 기능 업데이트가 있는 장치의 부분 집합을 대상으로 지정하는 데 컴퓨터 그룹을 사용할 수 있습니다. 이러한 그룹은 WSUS에서 제어되므로 배포 링을 나타냅니다. WSUS 관리 콘솔을 사용하여 수동으로 그룹을 채우거나 그룹 정책을 통해 자동으로 채울 수 있습니다. 선택한 방법과 상관없이 WSUS 관리 콘솔에 먼저 그룹을 만들어야 합니다.
WSUS 관리 콘솔에 컴퓨터 그룹 만들기
WSUS 관리 콘솔을 엽니다.
Server_Name\Computers\All Computers로 이동한 다음 컴퓨터 그룹 추가를 선택합니다.
이름에 링 2 파일럿 비즈니스 사용자를 입력한 다음 , 추가를 선택합니다.
링 3 광범위 IT 및 링 4 광범위 비즈니스 사용자 그룹에 대해 이러한 단계를 반복합니다. 완료되면 세 개의 배포 링 그룹이 있어야 합니다.
이제 그룹을 만들었으므로 원하는 배포 링에 맞게 컴퓨터 그룹에 컴퓨터를 추가합니다. 그룹 정책을 통해 이 작업을 수행하거나 WSUS 관리 콘솔을 통해 수동으로 수행할 수 있습니다.
WSUS 관리 콘솔을 사용하여 배포 링 채우기
WSUS 관리 콘솔에서 간단하게 컴퓨터 그룹에 컴퓨터를 추가할 수 있지만, 추가할 컴퓨터가 많은 경우에 특히 그룹 정책을 통해 구성원을 관리하는 것보다 시간이 훨씬 오래 걸릴 수 있습니다. WSUS 관리 콘솔에서 컴퓨터 그룹에 컴퓨터를 추가하는 작업은 서버 쪽 대상 지정이라고 합니다.
이 예제에서는 할당되지 않은 컴퓨터를 수동으로 할당하거나 여러 컴퓨터를 검색하는 식의 두 가지 서로 다른 방법을 사용하여 컴퓨터 그룹에 컴퓨터를 추가합니다.
할당되지 않은 컴퓨터를 수동으로 그룹에 할당
새 컴퓨터가 WSUS와 통신하면 할당되지 않은 컴퓨터 그룹에 표시됩니다. 여기에서 다음 절차를 사용하여 컴퓨터를 올바른 그룹에 추가할 수 있습니다. 이 예제에서는 컴퓨터 그룹에 추가하기 위해 두 개의 Windows 10 PC(WIN10-PC1 및 WIN10-PC2)를 사용합니다.
수동으로 컴퓨터 할당
WSUS 관리 콘솔에서 Server_Name\컴퓨터\모든 컴퓨터\할당되지 않은 컴퓨터로 이동합니다.
이전 섹션에서 만든 GPO를 받아 WSUS와 통신을 시작한 새 컴퓨터가 여기에 표시됩니다. 이 예제에는 컴퓨터가 두 대뿐입니다. 정책을 얼마나 광범위하게 배포했는지에 따라 여기에 많은 컴퓨터가 있을 수 있습니다.
두 컴퓨터를 모두 선택하고 선택 영역을 마우스 오른쪽 단추로 클릭한 다음 멤버 자격 변경을 선택합니다.
컴퓨터 그룹 멤버 자격 설정 대화 상자에서 링 2 파일럿 비즈니스 사용자 배포 링을 선택한 다음 확인을 선택합니다.
컴퓨터가 그룹에 할당되었으므로 더 이상 할당되지 않은 컴퓨터 그룹에 포함되지 않습니다. 링 2 파일럿 비즈니스 사용자 컴퓨터 그룹을 선택하면 두 컴퓨터가 모두 표시됩니다.
그룹에 추가할 여러 컴퓨터 검색
WSUS 관리 콘솔의 배포 링에 여러 컴퓨터를 추가하는 또 다른 방법은 검색 기능을 사용하는 것입니다.
여러 컴퓨터 검색
WSUS 관리 콘솔에서 Server_Name\Computers\All Computers로 이동하여 모든 컴퓨터를 마우스 오른쪽 단추로 클릭한 다음 검색을 선택합니다.
검색 상자에 WIN10을 입력합니다.
검색 결과에서 컴퓨터를 선택하고 선택 영역을 마우스 오른쪽 단추로 클릭한 다음 멤버 자격 변경을 선택합니다.
링 3 광범위 IT 배포 링을 선택한 다음 확인을 선택합니다.
이제 링 3 광범위 IT 컴퓨터 그룹에 이러한 컴퓨터가 표시됩니다.
그룹 정책을 사용하여 배포 링 채우기
WSUS 관리 콘솔에서는 Windows 10 품질 및 기능 업데이트를 관리할 수 있는 친숙한 인터페이스를 제공합니다. 그러나 올바른 WSUS 배포 링에 여러 컴퓨터를 추가해야 하는 경우 WSUS 관리 콘솔에서 수동으로 수행하려면 시간이 많이 걸릴 수 있습니다. 이 경우 그룹 정책을 사용하여 올바른 컴퓨터를 대상으로 지정하고 Active Directory 보안 그룹을 기반으로 올바른 WSUS 배포 링에 자동으로 컴퓨터를 추가합니다. 이 프로세스는 클라이언트 쪽 대상 지정이라고 합니다. 그룹 정책에서 클라이언트 쪽 대상 지정을 사용하기 전에 그룹 정책 컴퓨터 할당을 수락하도록 WSUS를 구성해야 합니다.
그룹 정책에서 클라이언트 쪽 대상 지정을 허용하도록 WSUS 구성
WSUS 관리 콘솔을 열고 Server_Name\옵션으로 이동한 다음 컴퓨터를 선택합니다.
컴퓨터 대화 상자에서 컴퓨터에서 그룹 정책 또는 레지스트리 설정 사용을 선택한 다음 확인을 선택합니다.
참고
이 옵션은 전적으로 양자택일입니다. WSUS에서 그룹을 할당하는 데 그룹 정책을 사용하도록 설정하면 옵션을 다시 변경할 때까지 더 이상 WSUS 관리 콘솔을 통해 수동으로 컴퓨터를 추가할 수 없습니다.
이제 WSUS에서 클라이언트 쪽 대상 지정을 수행할 준비가 되었으므로 그룹 정책을 사용하여 클라이언트 쪽 대상 지정을 구성하도록 다음 단계를 완료합니다.
클라이언트 쪽 대상 지정 구성
팁
클라이언트 쪽 대상 지정을 사용할 때 보안 그룹의 이름을 배포 링과 동일하게 지정합니다. 이렇게 하면 정책 만들기 프로세스가 간소화되고 잘못된 링에 컴퓨터를 추가하지 않도록 할 수 있습니다.
그룹 정책 관리 콘솔(gpmc.msc)을 엽니다.
Forest\Domains\Your_Domain 확장합니다.
Your_Domain 마우스 오른쪽 단추로 클릭한 다음, 이 도메인에서 GPO 만들기를 선택하고 여기에 연결을 선택합니다.
새 GPO 대화 상자에서 새 GPO의 이름으로 WSUS - 클라이언트 대상 지정 - 링 4 광범위 비즈니스 사용자를 입력합니다.
WSUS - 클라이언트 대상 지정 - 링 4 광범위 비즈니스 사용자 GPO를 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.
그룹 정책 관리 편집기에서 컴퓨터 구성\정책\관리 템플릿\Windows 구성 요소\Windows 업데이트로 이동합니다.
클라이언트 쪽 대상 지정 사용을 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.
클라이언트 쪽 대상 지정 사용 대화 상자에서 Enable(사용)을 선택합니다.
이 컴퓨터의 대상 그룹 이름 상자에 링 4 광범위 비즈니스 사용자를 입력합니다. 이 이름은 WSUS에서 해당 컴퓨터가 추가될 배포 링의 이름입니다.
Warning
대상 그룹 이름은 컴퓨터 그룹 이름과 일치해야 합니다.
- 그룹 정책 관리 편집기를 닫습니다.
이제 링 4 광범위 비즈니스 사용자 배포 링에 대한 올바른 컴퓨터 보안 그룹에 이 GPO를 배포할 준비가 되었습니다.
GPO 범위를 그룹으로 지정
GPMC에서 WSUS - 클라이언트 대상 지정 - 링 4 광범위 비즈니스 사용자 정책을 선택합니다.
범위 탭을 선택합니다.
Security Filtering(보안 필터링)에서 기본 인증된 사용자 보안 그룹을 제거한 다음링 4 광범위 비즈니스 사용자 그룹을 추가합니다.
다음에 링 4 광범위 비즈니스 사용자 보안 그룹의 클라이언트가 컴퓨터 정책을 받고 WSUS에 문의하면 링 4 광범위 비즈니스 사용자 배포 링에 추가됩니다.
기능 업데이트를 자동으로 승인하고 배포
사용 가능한 즉시 기능 업데이트를 승인해야 하는 클라이언트의 경우 WSUS에서 자동 승인 규칙을 구성할 수 있습니다.
참고
WSUS는 클라이언트 디바이스의 서비스 분기를 준수합니다. 참가자 미리 보기와 같은 한 분기에 있는 동안 기능 업데이트를 승인하는 경우 WSUS는 해당 서비스 분기에 있는 디바이스에만 업데이트를 설치합니다. Microsoft가 일반 공급 채널에 대한 빌드를 릴리스하면 의 디바이스가 설치됩니다. 비즈니스용 Windows 업데이트 분기 설정은 WSUS를 통한 기능 업데이트에는 적용되지 않습니다.
Windows 클라이언트 기능 업데이트에 대한 자동 승인 규칙을 구성하고 링 3 광범위한 IT 배포 링에 대해 승인하려면 이 예제에서는 Windows 10 사용하지만 프로세스는 Windows 11 동일합니다.
WSUS 관리 콘솔에서 서비스 업데이트\Server_Name\옵션으로 이동한 다음 자동 승인을 선택합니다.
업데이트 규칙 탭에서 새 규칙을 선택합니다.
Add Rule(규칙 추가) 대화 상자에서 When an update is in a specific classification(업데이트가 특정 분류에 포함된 경우), When an update is in a specific product(업데이트가 특정 제품에 포함된 경우) 및 Set a deadline for the approval(승인 마감일 설정) 확인란을 선택합니다.
Edit the properties(속성 편집) 영역에서 any classification(임의 분류)을 선택합니다. 업그레이드를 제외한 모든 항목을 지우고 확인을 선택합니다.
속성 편집 영역에서제품 링크를 선택합니다. Windows 10 제외한 모든 검사 상자를 지우고 확인을 선택합니다.
Windows 10은 All Products\Microsoft\Windows에 있습니다.
속성 편집 영역에서 모든 컴퓨터 링크를 선택합니다. 링 3 광범위 IT를 제외한 모든 컴퓨터 그룹 검사 상자를 지우고 확인을 선택합니다.
승인 후 7일 오전 3:00로 설정된 최종 기한을 그대로 둡니다.
3단계: 이름 지정 상자에 링 3 광범위 IT에 대한 자동 승인 업그레이드 Windows 10 입력한 다음 확인을 선택합니다.
자동 승인 대화 상자에서 확인을 선택합니다.
참고
WSUS는 기존 월/주/일 지연 설정을 적용하지 않습니다. 즉, WSUS가 업데이트를 관리하는 컴퓨터에 비즈니스용 Windows 업데이트 사용하는 경우 WSUS가 업데이트를 승인하면 대기하도록 그룹 정책 구성했는지 여부에 관계없이 컴퓨터에 설치됩니다.
이제 Windows 클라이언트 기능 업데이트가 WSUS에 게시될 때마다 설치 마감일이 1주인 링 3 광범위 IT 배포 링에 대해 자동으로 승인됩니다.
Warning
자동 승인 규칙은 동기화가 발생한 후 실행됩니다. 즉, 각 Windows 클라이언트 버전에 대한 다음 업그레이드가 승인됩니다. 규칙 실행을 선택하면 조건을 충족하는 모든 가능한 업데이트가 승인되며, 다운로드 크기가 매우 클 때 문제가 될 수 있는 이전 업데이트를 포함할 수 있습니다.
기능 업데이트를 수동으로 승인하고 배포
수동으로 업데이트를 승인하고 WSUS 관리 콘솔에서 설치의 최종 기한도 설정할 수 있습니다. 파일럿 배포가 업데이트된 후 수동으로 업데이트 규칙을 승인하는 것이 가장 좋습니다.
수동 승인 프로세스를 간소화하려면 먼저 Windows 10(이 예제에서는) 업데이트만 포함하는 소프트웨어 업데이트 보기를 만듭니다. 프로세스는 Windows 11 업데이트에 대해 동일합니다.
참고
컴퓨터에 대해 둘 이상의 기능 업데이트를 승인하면 클라이언트에 오류가 발생할 수 있습니다. 컴퓨터당 하나의 기능 업데이트만 승인합니다.
기능 업데이트를 수동으로 승인하고 배포
WSUS 관리 콘솔에서 Update Services\Server_Name\업데이트. 작업 창에서 새 업데이트 보기를 선택합니다.
Add Update View(업데이트 보기 추가) 대화 상자에서 Updates are in a specific classification(업데이트가 특정 분류에 포함됨) 및 Updates are for a specific product(업데이트가 특정 제품용임)를 선택합니다.
2단계: 속성 편집에서분류를 선택합니다. 업그레이드를 제외한 모든 검사 상자를 지우고 확인을 선택합니다.
2단계: 속성 편집에서제품을 선택합니다. Windows 10 제외한 모든 검사 상자를 지우고 확인을 선택합니다.
Windows 10은 All Products\Microsoft\Windows에 있습니다.
3단계: 이름 지정 상자에 모든 Windows 10 업그레이드를 입력한 다음 확인을 선택합니다.
이제 모든 Windows 10 업그레이드 보기가 표시되었으므로 다음 단계를 완료하여 링 4 광범위 비즈니스 사용자 배포 링에 대한 업데이트를 수동으로 승인합니다.
WSUS 관리 콘솔에서 업데이트 서비스\Server_Name\업데이트\모든 Windows 10 업그레이드로 이동합니다.
배포하려는 기능 업데이트를 마우스 오른쪽 단추로 클릭한 다음 승인을 선택합니다.
업데이트 승인 대화 상자의 링 4 광범위 비즈니스 사용자 목록에서 설치 승인을 선택합니다.
업데이트 승인 대화 상자의 링 4 광범위 비즈니스 사용자 목록에서 최종 기한을 선택하고 1주일을 선택한 다음 확인을 선택합니다.
Microsoft 소프트웨어 사용 조건 대화 상자가 열리면 동의를 선택합니다.
배포에 성공하면 성공적인 진행 보고서를 받아야 합니다.
승인 진행률 대화 상자에서 닫기를 선택합니다.