none
서버의 WSUS서비스 옵션 변경과 SCCM의 관계에 대한 문의 RRS feed

  • 질문

  • 안녕하세요.

    현재 질문하려는 해당 서버에는 SCCM과 WSUS가 함께 설치되어 사용되고 있습니다.

    우선, 서버에서 wsus를 사용하여 client PC로 업데이트파일을 승인하여 다수의 client PC를 업데이트하려고 합니다.

    *중요업데이트 및 보안업데이트만 배포하려고 합니다.

    문제는, 현재 서버의 용량이 많이 부족한 상태라 업데이트파일을 client PC에서 직접 받아 승인된 파일만 업데이트하게 하고 싶은데요.

    대략 검색해본 정보로는 wsus가 MS서버로부터 metadata와 업데이트파일을 받는다고 알고 있고, wsus옵션을 이용하면

    서버에는 metadata만 받고 업데이트파일은 clientPC에서 직접 받아서 업데이트할 수 있다는 내용을 보았는데요. 

    wsus의 업데이트파일및언어 옵션에서

    업데이트파일을

    '서버에 로컬로 업데이트파일을 저장'으로 사용하지 않고, 

    'MS Update에서 컴퓨터 설치'를 선택하고 확인을 누르면

    서버에서 이전 구성 변경 내용을 처리하고 있어 구성을 저장할 수 없습니다. 라고 나옵니다.

    이렇게 나오면서 radio button선택을 하여도 몇 분후에 다시 원상복귀되네요.

    그리고 저게 정확히 client PC에서 업데이트파일 받아 설치할 수 있는 옵션이 맞는지 확인부탁드리겠습니다.

    또, SC ConfigureManager console에서 wsus를 컨트롤하지 않고 당분간 wsus로만 사용하고싶습니만..

    위에서 설명한대로 운영하려면 sccm console에서 변경할 옵션같은 것이 있는지 문의드리고 싶습니다.

    감사합니다.


    • 편집됨 thpark 2017년 9월 13일 수요일 오전 1:05
    2017년 9월 12일 화요일 오전 8:31

답변

  • 1. 업데이트파일을 승인할 때 업데이트파일을 download하는건가요?
    >>네. 그렇습니다. 승인 전에는 WSUS에서 패치에 대한 binary file만 다운로드 받고 실제 승인을 할 때 해당 패치의 전체 파일을 다운로드 받습니다.

    2-1) 해당 그룹 말고 남은 그룹들의 업데이트를 순차적으로 승인하여 진행하려고 합니다.
    >> 남은 그룹들에 대해 정책을 별도로 생성하여 설치 시점을 달리 설정하시고 일괄 배포하셔도 가능합니다. 

    서버의 Wsus서비스->Server Cleanup Wizard 를 사용해서
    WsusContents  폴더가 포함된 D:\의 용량을 다시 충분히 확보할 수 있나요?(다운로드됐던 파일들을 지울 수 있는건가요?)
    >>상기말해드린 것처럼 declined 처리한 패치한 만큼만 용량을 확보할 수 있습니다. 

    2-2)이미 각 PC에 [승인.다운로드.설치]된 파일이니 당시 서버의 남은 업데이트다운로드 파일과는 상관이 없을거고
    만약 PC에 업데이트파일이 모두 설치가 된 후 그 업데이트파일을 지워도 영향이 없을까요?
    >> 음.. 이건 운영 정책과 관련된 부분인 듯합니다. 기 배포한 패치에 대해 패치 설치율 관리를 하실 것이 아니시면 상관이 없으시겠지만...원하시는대로 하시려면 방법은 WSUS 상에서 approved된 것들을 단순히 declined만 설정하고 cleanup하시면 됩니다.

    하.지.만.  앞서 말해드린 것처럼 패치 설치율 관리 외에도 패치간의 대체 혹은 사전 패치라는 개념이 있어서 기 패포한 패치에 대해 추후 확인이 필요한 경우가 있을 수 있고 신규로 AD전환된 PC나 WSUS의 정책을 받은 PC경우에는 동일 그룹내  기 배포한 패치에 대해 적용이 안될 수 있으므로 권고하지 않습니다. 
    • 답변으로 표시됨 thpark 2017년 9월 29일 금요일 오전 9:41
    2017년 9월 21일 목요일 오전 7:24
  • 1. 제가 말해드렸던 부분은 WSUS 콘솔에 대체되지 않은 기 배포된 패치에 대해 declined 후 마법사 실행의 경우입니다. 아직 대체 되지 않았기 때문에 유효한 패치이고 추후 GPO정책 적용을 통해서 신규 PC들이 그 패치들이 적용될 수 있기 때문입니다. 그외 말씀하신 WsusContents폴더 내 패치 파일 삭제에 대해서는 생각하지 마시고.. Declined 후 마법사를 통해 용량확보 가능하다고만 알고 계시면 됩니다. (SUSDB Cleanup & Index rebuild은 나중에 엔지니어 지원을 받으시기 바랍니다)

    2. 마지막에 말씀하신대로 완전한 삭제는 declined 후 마법사로 하셔야 합니다. 

    3. 기 승인한 패치에 대해서는 중복 다운로드하지 않고 기존에 다운로드한 파일을 Client에 배포합니다. 




    • 편집됨 100Panda 2017년 9월 25일 월요일 오전 1:58
    • 답변으로 표시됨 thpark 2017년 9월 26일 화요일 오전 6:56
    2017년 9월 22일 금요일 오전 1:39

모든 응답

  • 안녕하세요. 문의하신 내용이 많기 때문에 항목별로 공유드립니다. 

    1. WSUS 서버 용량 최적화로 용량 확보
     1) 불필요한 패치 decline 처리(Updates 항목에서 supersedence에서 모양이 파란색이 '중간', '하위트리모양3개 중 한개(정정)'로 분류된 Patch를 decline 수행. ) 
     2) WSUS > Options > Server Cleanup Wizard 수행

    2. 패치에 대해 서버 저장X, 인터넷을 통한 패치 다운&설치
    말씀하신대로 해당 설정은 서버에 저장하지 않고 Client에서 WSUS에서 승인한 패치를 인터넷으로 다운로드 받아 설치하는 WSUS 설정이 맞습니다.하지만... 현재 관리하고 계신  Client 수가 어느 정도일지 모르지만 해당 설정을 할 경우 N/W bandwidth에 큰 문제가 발생할 수 있습니다...하지만 CM과 WSUS를 한 서버에 운영하고 있는 상태에서 WSUS 설정만 변경한다고 해서 적용되지 않습니다. 말씀하신 부분대로 하시려면 SCCM에서 Software update point role 삭제와 별도의 WSUS서버를 구축하시면 가능합니다. (참고)

    3. SCCM 그리고 WSUS
    우선 SCCM과 WSUS은 동전의 양면과 같습니다. 하지만 두 서비스 간의 배포 or 승인한 정책이 연동이 되지 않습니다. 한곳에서 승인된 정보가 다른 곳에 반영은 안되더라도 패치 현황 정보에서 필요/불필요는 확인가능합니다. 말씀하신대로 하시리면 CM Console에서 Software Update point role를 삭제하시고 GPO정책을 통해 관리할 PC를 WSUS 그룹으로 지정해서 WSUS에서 배포하시면 됩니다. 




    • 편집됨 100Panda 2017년 9월 13일 수요일 오전 6:11
    2017년 9월 13일 수요일 오전 1:02
  • (제가 답변의 내용 안에 OS를 포함하지 않았었네요. OS로 window 7 및 win2k8 server 및 일부 win2012입니다.

    window 7과 window2k8의 pc와 서버가 많은 상태입니다.)

    답변해주신

    1. 1) supersedence의 파란색모양이 중간, 맨위에 있고 하위트리모양3개로 분류된 모양의 것은  다른 이전의 설치되었던 업데이트를 대체하는 최신의 업데이트파일이 아닌건가요? 아니면, 이미 설치되어있는 업데이트파일 정보와 wsus의 대체업데이트파일을 비교하여 wsus의 파일이 대체가능한 것이기에 wsus에 있는 업데이트파일을 굳이 설치하지 않아도 되어 제외해도 된다는 얘기신가요?
    2. 음 제가 이해가 잘 안되서 다시 한 번 질문을 드립니다.  client수는 사내 pc&notebook으로 약 160~200대 사이입니다. 이 pc들이 각각 MS 서버에 접속하여 내려 받는 시간대에 사내에서 외부인터넷망으로(MS서버) 통신하는 망(현 프록시사용중)이 보통 동일한 망을 공유할 경우이므로 N/W에 부하가 걸릴 수 있다는 말씀이신건가요? 결과적으로 bandwidth에 문제가 발생할 소지가 있어 추천하는 방법은 아니라는것인지요??
    3. SCCM에서 WSUS에 대한 software update 컨트롤이 가능한 것으로 알고 있습니다. SCCM의 console에서 site settings에 하위트리 Component Configuration의 software update point component의 속성을 봤을 때 이 속성부분은 wsus를 통해 할 수 있는 client PC의 update 승인에 대해 컨트롤 하는 부분이 아닌지요? 정책이 연동이 안된다는 말이 정확히 이해가 가질 않습니다.

    추가질문> 그리고 AD서버의 GPO 설정 중 WSUS의 업데이트파일 저장에 관한 옵션을 변경가능케 하는 GPO설정 부분이 있다면 무엇인지 알 수 있을까요?



    • 편집됨 thpark 2017년 9월 13일 수요일 오전 5:33
    2017년 9월 13일 수요일 오전 5:29
  • 1-1) supersedence의 파란색모양이 '중간', '하위트리모양3개 중 한개(정정)'로 분류된 모양은 이미 이후 패치로 대체된 것들입니다. 따라서 decline처리하시면 됩니다. 

    1-2) Server-Client 간 패치를 배포하는 방식에 있어서 WSUS 경우는 기본적으로  BITS 방식으로, SCCM 경우는 (Branchcache가 적용되어 있다면) Branchcache 등처럼 부하부산을 통해서 배포가 되어 내부망에서는 부하이슈가 없습니다. 하지만 말씀하신 정책('MS Update에서 컴퓨터 설치' )'이 적용된다면, 말씀하신 200대의 Client가 동시에 외부망에서 부하분산없이 패치를 다운로드 받게 됩니다.  그때 Bandwidth이슈가 발생할 수 있다고 말해드린 것입니다. 

    1-3) Client입장에서 볼 때 동일한 패치를 배포할 때 SCCM(pkg를 통해서 배포)에서 배포 되든, WSUS(Console 상에서 apply) 하든 상관없습니다. CM이 구성된 상태라도 WSUS를 통해서 배포를 하셔도 됩니다. 


    추가 문의는 아래 링크를 참고하시기 바랍니다. 
    https://technet.microsoft.com/ko-kr/library/cc720539%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

     



    • 편집됨 100Panda 2017년 9월 13일 수요일 오전 6:30
    2017년 9월 13일 수요일 오전 6:10
  • 안녕하세요.

    한가지 추가질문드립니다.

    지금까지 업데이트 못한 게 있어서 필요함으로 분류된 보안업데이트파일 약 450개정도를 해당 그룹에 승인한 후의 상황입니다.

    1. 업데이트파일을 승인할 때 업데이트파일을 download하는건가요?

    wsus에 MS서버로부터 동기화 진행 할 때 업데이트파일을 download하는게 아닌가요?

    업데이트파일을 승인내린 후에 보니 WsusContents폴더가 속한 D드라이브 잔여용량이 실시간으로 감소하는 걸 확인했습니다.(wsus가 설치된 서버의 D드라이브의 경로에 WsusContents폴더가 존재합니다.)

    2. 위에서comment해주신 WSUS > Options > Server Cleanup Wizard 부분 질문입니다.

    이미 각 PC에 업데이트가 설치 된 후

    2-1) 해당 그룹 말고 남은 그룹들의 업데이트를 순차적으로 승인하여 진행하려고 합니다.

    서버의 Wsus서비스->Server Cleanup Wizard 를 사용해서

    WsusContents  폴더가 포함된 D:\의 용량을 다시 충분히 확보할 수 있나요?(다운로드됐던 파일들을 지울 수 있는건가요?)

    2-2)이미 각 PC에 [승인.다운로드.설치]된 파일이니 당시 서버의 남은 업데이트다운로드 파일과는 상관이 없을거고

    만약 PC에 업데이트파일이 모두 설치가 된 후 그 업데이트파일을 지워도 영향이 없을까요?

    2-3)그리고 Server Cleanup Wizard  정리할 항목선택 부분에 "승인되지 않은 업데이트를 삭제하고"

    라는 말이 있는데 위 질문 드렸던 것과 같은 질문인 것 같습니다만, 동기화 시 업데이트를 받기 때문에 이 내용이 쓰여있는걸까요?

    확인 부탁드려요

    감사합니다.





    • 편집됨 thpark 2017년 9월 21일 목요일 오전 7:09
    2017년 9월 21일 목요일 오전 6:11
  • 1. 업데이트파일을 승인할 때 업데이트파일을 download하는건가요?
    >>네. 그렇습니다. 승인 전에는 WSUS에서 패치에 대한 binary file만 다운로드 받고 실제 승인을 할 때 해당 패치의 전체 파일을 다운로드 받습니다.

    2-1) 해당 그룹 말고 남은 그룹들의 업데이트를 순차적으로 승인하여 진행하려고 합니다.
    >> 남은 그룹들에 대해 정책을 별도로 생성하여 설치 시점을 달리 설정하시고 일괄 배포하셔도 가능합니다. 

    서버의 Wsus서비스->Server Cleanup Wizard 를 사용해서
    WsusContents  폴더가 포함된 D:\의 용량을 다시 충분히 확보할 수 있나요?(다운로드됐던 파일들을 지울 수 있는건가요?)
    >>상기말해드린 것처럼 declined 처리한 패치한 만큼만 용량을 확보할 수 있습니다. 

    2-2)이미 각 PC에 [승인.다운로드.설치]된 파일이니 당시 서버의 남은 업데이트다운로드 파일과는 상관이 없을거고
    만약 PC에 업데이트파일이 모두 설치가 된 후 그 업데이트파일을 지워도 영향이 없을까요?
    >> 음.. 이건 운영 정책과 관련된 부분인 듯합니다. 기 배포한 패치에 대해 패치 설치율 관리를 하실 것이 아니시면 상관이 없으시겠지만...원하시는대로 하시려면 방법은 WSUS 상에서 approved된 것들을 단순히 declined만 설정하고 cleanup하시면 됩니다.

    하.지.만.  앞서 말해드린 것처럼 패치 설치율 관리 외에도 패치간의 대체 혹은 사전 패치라는 개념이 있어서 기 패포한 패치에 대해 추후 확인이 필요한 경우가 있을 수 있고 신규로 AD전환된 PC나 WSUS의 정책을 받은 PC경우에는 동일 그룹내  기 배포한 패치에 대해 적용이 안될 수 있으므로 권고하지 않습니다. 
    • 답변으로 표시됨 thpark 2017년 9월 29일 금요일 오전 9:41
    2017년 9월 21일 목요일 오전 7:24
  • 수고많으십니다.ㅠ 질문이 많네요 ㅠ 감사합니다.

    -----------------------------------------------------------------------------------

    질문을 쓰고 방금 확인한게 있습니다

    ps.  wsuscontents 폴더에 이전날짜의 폴더들은 따로 없네요. 아까까진 이전 날짜들로 폴더가 몇개 있었습니다. (아 혹시 파일명 끝자리로 한 폴더에 통합되나요?)

    이 것들이 declined를 통해 폴더 안의 각 업데이트파일들이 지워지는걸까요?

    -------------------------------------------------------------------------------------

    제가 이해한 바로는

    1. declined했다고해서 아예 용량을 차지하는 관련파일,데이터자체가 삭제된게 아니다->그래서 마법사 정리를 이용?

    2. declined으로 한 패치파일을 삭제하여 'D:\' 용량관리가 가능하다.

    3. wsuscontents폴더의 파일들로 대체파일분류+종속적패치파일분류+패치설치율 등의 '관리'가 된다.

    4. wsus에서 [declined --> 마법사는 : declined파일 정리완료]는 다운로드된 wsuscontents 폴더의 업데이트파일삭제와 같은 개념이며, 결국 1번의 '관리'라는게 안될 수 있기 때문에 '업데이트폴더 삭제도 + declined통한 마법사 정리도' 권고하지 않는다...

    5. wsus가 pc에 설치된 업데이트 상태를 통해(wsus서버에는 업데이트파일 지운 상태일 때) 보고 받아  통칭 '관리'라는 것을 하진 못한다.?

    6. 대체표시줄에서 중간, 하위트리 중 하나로 표시된 업데이트파일을 declined한 것은 이미 최신업데이트로 대체된 파일이 나왔기 때문에 삭제되어도 상관없으며, 언젠가 지금 최신업데이트파일을 대체할 파일이 나오기전까지 declined를 하지 못하고 기다렸다가 나오면 declined를 통해 용량확보를 할 수 있다....ㅠ

    제가 이해한 것이 맞나요?

    용량 확보가 시급한데요....ㅠ





    • 편집됨 thpark 2017년 9월 21일 목요일 오전 9:09
    2017년 9월 21일 목요일 오전 8:34
  • 1. declined했다고해서 아예 용량을 차지하는 관련파일,데이터자체가 삭제된게 아니다->그래서 마법사 정리를 이용?
    >>맞습니다. "declined+마법사"를 하셔야 용량 확보 됩니다. 

    2. declined으로 한 패치파일을 삭제하여 'D:\' 용량관리가 가능하다.
    >> 삭제의 의미가 1의 경우라면 그렇습니다.  

    3. wsuscontents폴더의 파일들로 대체파일분류+종속적패치파일분류+패치설치율 등의 '관리'가 된다.
    >>무슨 의미이신지.... 폴더는 말그래도 패치가 다운로드 된 폴더입니다. 패치의 분류 및 설치율은 WSUS 콘솔에서 확인가능합니다.

    4. wsus에서 [declined --> 마법사는 : declined파일 정리완료]는 다운로드된 wsuscontents 폴더의 업데이트파일삭제와 같은 개념이며, 결국 1번의 '관리'라는게 안될 수 있기 때문에 '업데이트폴더 삭제도 + declined통한 마법사 정리도' 권고하지 않는다...
    >> 패치에 대한 정리는 declined+마법사로 하실 수 있으며(마법사 완료후 용량 줄어듦), wsuscontents 폴더에서 declined 되지 않은 패치는 아무런 도움이 되지 않습니다. 다시 다운로드를 받습니다. 

    5. wsus가 pc에 설치된 업데이트 상태를 통해(wsus서버에는 업데이트파일 지운 상태일 때) 보고 받아  통칭 '관리'라는 것을 하진 못한다.?
    >>업데이트 파일을 지운다는 표현이 1의 경우를 말씀하신건가요? 1의 경우라면 그렇습니다. 

    6. 대체표시줄에서 중간, 하위트리 중 하나로 표시된 업데이트파일을 declined한 것은 이미 최신업데이트로 대체된 파일이 나왔기 때문에 삭제되어도 상관없으며, 
    >> 맞습니다. 
    언젠가 지금 최신업데이트파일을 대체할 파일이 나오기전까지 declined를 하지 못하고 기다렸다가 나오면 declined를 통해 용량확보를 할 수 있다....ㅠ
    >> 현재 중간/하위 트리가 아닌 패치의 경우를 말씀하신다면 그렇습니다. 

    보다 확실한 방법은 SUS DB cleanup를 하는 방법입니다. 
    하지만 SQL에 대해 익숙하지 않으시다면 엔지니어의 지원을 받아 작업하시기 바랍니다. 
    https://www.3ait.co.uk/blog/solved-shrink-a-wsus-database-susdb-mdb-to-almost-nothing-2/
    • 편집됨 100Panda 2017년 9월 21일 목요일 오후 1:48
    2017년 9월 21일 목요일 오후 1:48
  • 매번 답변 감사드립니다.

    3. 의 질문내용은 이 전 질문지의 2-2)답변내용을 보고 질문 드린 것이었습니다. wsus console에서 패치에 대한 설치율 관리 등등이.... WsusContens폴더에서 관리자가 업데이트파일을 수동으로 삭제할 때 '패치율 관리, 패치간 대체, 사전패치에 대해 관리'가 안된다는 말씀이신지 확인하고 싶었습니다. 이 관리라는 것을 하려면 기존패치파일을 확인하여야 한다는 답변을 참고하여 질문드린 것이었습니다. (wsus console에서 각 그룹 및 PC에 대한 패치설치율관리가 동작하는 방식에 대한 질문입니다. 그렇다면 WsusContents폴더의 파일과 client PC의 보고내용을 토대로 wsus console이 패치설치율이나 사전패치, 대체패치에 대해 관리를 한다. 라는 부분이 제가 이해한게 맞는지 확인차 질문드렸습니다.)

    또한,

    위의 답변내용을 참고하여 이해한바로는 wsus console에서 'declined한 파일에 대한 마법사 clean up 진행시'에만 해당 파일이 완전 삭제 된다는 것이고, 서버-관리자가 wsuscontents폴더(wsus서버의 로컬'D:\'에 존재)에서 업데이트파일들을 직접 수동으로 폴더삭제해봤자, wsus는 다시 그파일들을 다운로드하게 되어있다. 그러니 완전삭제방법은 declined하는 작업뿐이다. 제가 이해한게 맞을까요?

    한가지 더 확인하고 싶은 것은, (승인시에 업데이트파일을 다운로드한다는 답변에 대한 질문입니다.)

    위에서 말씀하신 답변중에 wsus console에서 업데이트파일을 해당그룹에 '승인'이라는 걸 해야 업데이트파일을 wsus서버-'D:\WsusContents\'폴더에 다운로드 한다.??? 라는 부분입니다. 이게 맞다면, 혹시 업데이트배포할 그룹이 1~6번까지 있다고 할 때 해당그룹 1,2번 그룹을 먼저 보안업데이트파일 전부를 승인해주고 난 후, 또다시 다른 그룹 3,4번을 1,2번에 승인내렸던 보안업데이트를 똑같이 배포해야할 때, 이 때 또 3,4번그룹에 승인하면 업데이트파일을 다시 그 폴더에 다운로드하는건지 궁금합니다. 그렇게 되면 다운로드 파일이 중복되고 서버의 D:\등의 용량관리도 비효율적이라는 생각이 들어서입니다.

    2017년 9월 22일 금요일 오전 12:55
  • 1. 제가 말해드렸던 부분은 WSUS 콘솔에 대체되지 않은 기 배포된 패치에 대해 declined 후 마법사 실행의 경우입니다. 아직 대체 되지 않았기 때문에 유효한 패치이고 추후 GPO정책 적용을 통해서 신규 PC들이 그 패치들이 적용될 수 있기 때문입니다. 그외 말씀하신 WsusContents폴더 내 패치 파일 삭제에 대해서는 생각하지 마시고.. Declined 후 마법사를 통해 용량확보 가능하다고만 알고 계시면 됩니다. (SUSDB Cleanup & Index rebuild은 나중에 엔지니어 지원을 받으시기 바랍니다)

    2. 마지막에 말씀하신대로 완전한 삭제는 declined 후 마법사로 하셔야 합니다. 

    3. 기 승인한 패치에 대해서는 중복 다운로드하지 않고 기존에 다운로드한 파일을 Client에 배포합니다. 




    • 편집됨 100Panda 2017년 9월 25일 월요일 오전 1:58
    • 답변으로 표시됨 thpark 2017년 9월 26일 화요일 오전 6:56
    2017년 9월 22일 금요일 오전 1:39
  • 안녕하세요. 추가 질문드립니다.

    declined는 했습니다만,

    마법사로 정리 후 업데이트란에서 상태조건을 거부함으로 변경하고 조회시 거부한 업데이트파일들이 확인되는데요

    서버정리마법사로-> declined로 처리된 것들도 함께 삭제되는 것이 아닌건가요?

    declined의 개수가 2000개가 다되가는데 이 것들은 용량을 차지하지 않나요?

    2017년 9월 26일 화요일 오전 7:01
  • Declined 패치의 다운로드된 파일이 삭제된 것이지, 해당 패치의 meta data는 유지가 되서 보이는 것입니다. Meta dats는 용량을 별로 차지 하지 않으며, 아래 목적으로 인해 패치에 대한 기본정보(배포 이력 포함)를 갖고 있습니다. 

    • Configuration information for the WSUS server.
    • Update metadata, including Microsoft Software License Terms.
    • Client computer information, including updates and client interaction with updates.




    • 편집됨 100Panda 2017년 9월 26일 화요일 오전 7:56
    2017년 9월 26일 화요일 오전 7:44