Windows Server Update Services(WSUS) 구축 가이드

728x90

이 문서는 Windows Server Update Services(WSUS)를 사용하여 윈도우 패치 배포 서버를 구축하는 방법을 단계별로 설명합니다. WSUS는 조직 내 Windows 디바이스에 Microsoft 업데이트를 효율적으로 배포하고 관리하는 데 사용됩니다.

1. 사전 준비

WSUS 서버를 구축하기 전에 다음 요구 사항을 확인하세요:

운영 체제: Windows Server 2016, 2019, 또는 2022.
디스크 용량:
- 최소 20~30GB (소규모 환경).
- 권장 100GB 이상 (중규모 이상, 업데이트 파일 및 데이터베이스 저장용).
- 대규모 환경: 200~500GB.
RAM: 최소 8GB, 권장 16GB 이상.
CPU: 최소 2코어(2.0GHz 이상), 권장 4코어 이상.
네트워크: 안정적인 인터넷 연결(10Mbps 이상) 및 내부 네트워크(1Gbps LAN 권장).
데이터베이스: Windows Internal Database(WID) 또는 Microsoft SQL Server.

WSUS를 설치하려면 Windows Server에서 서버 관리자를 사용합니다.

서버 관리자 실행:
- 서버 관리자(Server Manager)를 열고, 관리(Manage) → 역할 및 기능 추가(Add Roles and Features)를 선택합니다.
설치 유형 선택:
- 역할 기반 또는 기능 기반 설치(Role-based or feature-based installation)를 선택합니다.
- 설치 대상 서버를 선택합니다.
서버 역할 선택:
- Windows Server Update Services를 체크합니다.
- 필요한 추가 기능(예: IIS, .NET Framework)이 자동으로 선택됩니다.
WSUS 구성 요소 선택:
- WSUS 서비스와 데이터베이스를 선택합니다.
  - 소규모 환경: Windows Internal Database(WID) 사용.
  - 대규모 환경: 별도의 SQL Server 사용 권장.
- 업데이트 파일 저장 경로를 지정합니다(예: D:\WSUS, 최소 100GB 권장).
설치 진행:
- 설치 마법사를 따라 진행하고 설치가 완료될 때까지 기다립니다.

WSUS 설치 후 초기 설정을 통해 서버를 구성합니다.

WSUS 관리 콘솔 실행:
- 서버 관리자 → 도구(Tools) → Windows Server Update Services를 실행합니다.
초기 구성 마법사:
- Microsoft Update와 동기화를 선택하여 최신 업데이트를 가져옵니다.
- 프록시 서버 설정(필요 시) 구성.
- 제품 선택:
  - 예: Windows 10, Windows 11, Microsoft Office, Windows Server.
- 업데이트 분류:
  - 보안 업데이트, 중요 업데이트, 서비스 팩 등 필요한 유형 선택.
- 동기화 일정:
  - 자동 동기화를 활성화하고 주기 설정(예: 매일 03:00).
컴퓨터 그룹 생성:
- WSUS 콘솔에서 컴퓨터(Computers) → 모든 컴퓨터(All Computers)로 이동.
- 컴퓨터 그룹 추가(Add Computer Group)를 선택하여 배포 링 생성(예: 테스트 그룹, 프로덕션 그룹).

클라이언트가 WSUS 서버에서 업데이트를 받도록 그룹 정책(GPO)을 설정합니다.

그룹 정책 관리 콘솔 실행:
- gpmc.msc를 실행하여 그룹 정책 관리 콘솔을 엽니다.
- 대상 OU(조직 단위) 또는 도메인에 새로운 GPO를 생성합니다(예: WSUS_Policy).
WSUS 설정 구성:
- GPO 편집기에서 다음 경로로 이동:
```
컴퓨터 구성 → 정책 → 관리 템플릿 → Windows 구성 요소 → Windows Update
```
- 자동 업데이트 구성(Configure Automatic Updates):
  - 활성화하고, 옵션 설정(예: 4 - 자동 다운로드 및 설치 예약).
  - 설치 일정(예: 매일 04:00) 설정.
- 인트라넷 Microsoft 업데이트 서비스 위치 지정(Specify intranet Microsoft update service location):
  - WSUS 서버 URL 입력(예: http://<WSUS서버이름>:8530).
- 클라이언트 쪽 대상 지정 활성화(Enable client-side targeting):
  - 활성화하고, 클라이언트가 속할 WSUS 컴퓨터 그룹 이름 입력(예: Test_Group).
GPO 적용:
- 클라이언트에서 gpupdate /force 명령을 실행하거나 컴퓨터를 재부팅하여 정책 적용.
클라이언트 연결 확인:
- 클라이언트에서 wuauclt.exe /detectnow를 실행하여 WSUS 서버에 즉시 연결.
- WSUS 콘솔의 컴퓨터(Computers) 탭에서 클라이언트 등록 확인.

업데이트를 클라이언트에 배포하려면 WSUS에서 업데이트를 동기화하고 승인해야 합니다.

업데이트 동기화:
- WSUS 콘솔에서 동기화(Synchronizations)를 실행하여 Microsoft Update에서 최신 패치를 가져옵니다.
업데이트 승인:
- 업데이트(Updates) 메뉴에서 필요한 업데이트를 선택합니다.
- 승인(Approve)을 클릭하고, 대상 컴퓨터 그룹(예: 테스트 그룹)에 배포하도록 설정.
- 테스트 그룹에서 안정성을 확인한 후 전체 그룹에 배포.
배포 상태 확인:
- WSUS 콘솔의 보고서(Reports)를 통해 클라이언트의 업데이트 설치 상태를 모니터링합니다.

WSUS 서버를 안정적으로 운영하려면 정기적인 유지 관리가 필요합니다.

서버 정리 마법사:
- WSUS 콘솔에서 옵션(Options) → 서버 정리 마법사(Server Cleanup Wizard)를 실행.
- 만료된 업데이트, 사용되지 않는 파일, 불필요한 컴퓨터 항목 제거.
- 디스크 공간 절약 및 성능 최적화.
모니터링:
- 보고서(Reports)를 통해 업데이트 설치 성공/실패 여부 확인.
- 클라이언트 연결 상태 및 동기화 오류 모니터링.
백업:
- WSUS 데이터베이스와 콘텐츠 폴더를 정기적으로 백업(예: Windows Server Backup 사용).
- 백업 저장소로 WSUS 콘텐츠 크기의 50% 이상 여유 공간 확보.

방화벽 설정:
- WSUS 서버와 클라이언트 간 통신을 위해 포트 8530(HTTP) 또는 8531(HTTPS)을 열어야 합니다.
스케일링:
- 대규모 환경에서는 업스트림/다운스트림 WSUS 서버를 구성하여 부하 분산.
- 예: 중앙 WSUS 서버(업스트림)에서 업데이트를 가져오고, 지역 서버(다운스트림)에서 클라이언트에 배포.
대안 도구:
- WSUS 외에 Microsoft Endpoint Configuration Manager(SCCM)를 사용하면 더 세밀한 업데이트 관리 가능.
성능 최적화:
- SSD 사용으로 I/O 성능 향상.
- 데이터베이스 인덱스 재구성 및 통계 업데이트로 SQL Server 성능 최적화.

클라이언트가 WSUS에 등록되지 않음:
- 그룹 정책이 올바르게 적용되었는지 확인(gpresult /r).
- 클라이언트에서 wuauclt.exe /detectnow 실행.
- 레지스트리 확인: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.
동기화 실패:
- 인터넷 연결 및 프록시 설정 확인.
- WSUS 콘솔에서 동기화 로그 검토.
디스크 공간 부족:
- 서버 정리 마법사를 실행하거나, 저장소 경로를 확장.