2018.12.06

WUDO를 이용해 윈도우 업데이트를 배포하는 방법

Susan Bradley | CSO
윈도우 10은 기존의 WSUS(Windows Software Update Services)를 사용하지 않고도 네트워크에 연결된 기기에 신기능과 보안 업데이트를 공유하고 배포할 수 있도록 지원한다. 바로 WUDO(Windows Update Delivery Optimization)이다.

WUDO는 피어 자원을 이용해 패치를 공유한다. 또한 윈도우 업데이트, WSUS, WUB(Windows Update for Business), SCCM(System Center Configuration Manager, EU(Express Updates) 설치가 활성화된 경우) 등과 함께 사용할 수도 있다.



WUDO를 이용할 수 있는 대상은 윈도우 10 버전 1511 이상이 설치된 기기, 윈도우 서버 1709가 설치된 기기, 윈도우 10 1803으로 구동하는 사물 인터넷 기기, 마지막으로 윈도우 10 1803으로 구동하는 홀로렌즈 기기 등이다. 설정은 Computer Configuration\Policies\Administrative Templates\Windows Components\Delivery Optimization의 그룹 정책 아래에 위치한다. MDM(Mobile Device Management)에서는 Vendor/MSFT/Policy/Config/DeliveryOptimization/에 같은 설정이 있다.

윈도우 업데이트는 디지털 서명이 돼 있다. 따라서 업데이트 파일을 다운로드해 재컴파일한 후 해시값으로 검증, 보호한 후 시스템에 설치하는 과정을 거친다. 마찬가지 방식으로 기업 네트워크 자원을 이용해 업데이트를 배포할 수 있다. 

기본 과정은 클라이언트가 업데이트를 확인하는 것이다. 그러면 클라이언트가 마이크로소프트 업데이트뿐만 아니라 이전에 파일을 다운로드한 피어 워크스테이션에서 소스를 획득한다. 그리고 클라이언트(워크스테이션)는 다운로드 덩어리의 해시를 검증해 패치 파일을 재구성한다. 패치 파일은 패치를 확인하기 위해 예상되는 완료 해시값으로 검증된다. 그리고 최종적으로 클라이언트 시스템에 설치된다. 이번 설명에서는 윈도우 10 1803 버전을 기준으로 진행한다.

WUDO 설정
우선은 최적화를 위해 그룹화할 컴퓨터를 결정한다. 사용자 지정 그룹 ID를 이용해 그룹화된 컴퓨터가 피어로부터 패치를 다운로드하도록 할 수 있다. 자체 로컬 네트워크에서 최적화를 사용하도록 선택하거나 웹에서 최적화를 수행할 수 있다. 먼저 그룹을 식별하기 위해 사용하는 무작위 GUID를 생성한다. PowerShell [guid]::NewGuid() 또는 온라인 GUID 생성기 등의 사이트를 이용해 그룹에 할당할 무작위 GUID를 생성할 수 있다.
 
각 그룹을 구분하기 위해 무작위 GUID 생성하기

다음에 설정해야 하는 것은 MDB(Maximum Download Bandwidth)다. KiloBytes/Sec 단위로 정한다. 또는 기기 대역폭의 일정 비율로 제한하는 MDB(백분율)(Maximum Download Bandwidth(Percentage))를 설정할 수도 있다. 또한 여기에는 AMCS(Absolute Max Cache Size, GB 단위)가 포함된다. 이 정책은 DOMaxCacheSize 정책보다 우선한다. 값이 0이면 캐시가 '무제한'이라는 의미다. 단, 장치의 디스크 공간이 부족해지면 캐시를 삭제한다.  

다운로드 모드에서는 WUDO가 사용하는 방법론을 설정한다. 설정 1은 윈도우 업데이트와 해당 네트워크의 피어링을 조합해 사용한다. 설정 2는 같은 도메인 또는 같은 액티브 디렉터리 사이트의 것과 피어링을 설정한다. 설정 3은 LAN뿐만 아니라 인터넷에서의 피어링을 허용한다. 웹의 위험에 대해 걱정하는 많은 기업이 이 설정을 사용하지 않지만, 모든 패치는 완전하고 마이크로소프트가 의도한 원본 파일인지 확인하기 위해 항상 해시값을 갖고 있다는 점을 기억하자.
 
WUDO가 사용할 다운로드 모드를 선택한다.

MB QoS(Minimum Background QoS, KB/s)는 백그라운드 다운로드의 최소 다운로드 QoS(Quality of Service)를 KB/s 단위로 지정한다. MCD(Modify Cache Drive)는 최적화가 캐시를 위해 사용할 드라이브를 지정한다. 기본적으로 %SystemDrive%에 캐시를 저장한다. 드라이브 위치는 환경 변수, 드라이브 문자, 전체 경로 등을 이용해 지정할 수 있다. MUC(Monthly Upload Cap)는 매월 WUDO가 인터넷 피어로 업로드할 수 있는 최대 데이터를 기가바이트 단위로 지정한다. 값이 0이면 '무제한'이라는 의미이므로, 월간 업로드 제한이 적용되지 않는다.

SBHLBDB(Set Business Hours to Limit Background Download Bandwidth)는 모든 현재 다운로드 활동에서 근무시간 내외에 사용하는 최대 백그라운드 다운로드 대역폭을 사용 가능한 다운로드 대역폭의 비율로 지정한다. 윈도우 10의 활성화 시간 설정과 마찬가지로 비 활성화 시간 중 다운로드를 제한할 수 있다.

SBHLFDB(Set Business Hours to Limit Foreground Download Bandwidth)는 모든 현재 다운로드 활동에서 근무시간 내외에 사용하는 최대 포어그라운드 다운로드 대역폭을 사용 가능한 다운로드 대역폭의 비율로 지정한다. 또한 그룹 정책 설정 대신에 인튠(Intune)으로 WUDO를 사용할 수도 있으며, 이를 통해 사내 네트워크로 컴퓨터에 패치를 배포할 수 있다. ciokr@idg.co.kr

2018.12.06

WUDO를 이용해 윈도우 업데이트를 배포하는 방법

Susan Bradley | CSO
윈도우 10은 기존의 WSUS(Windows Software Update Services)를 사용하지 않고도 네트워크에 연결된 기기에 신기능과 보안 업데이트를 공유하고 배포할 수 있도록 지원한다. 바로 WUDO(Windows Update Delivery Optimization)이다.

WUDO는 피어 자원을 이용해 패치를 공유한다. 또한 윈도우 업데이트, WSUS, WUB(Windows Update for Business), SCCM(System Center Configuration Manager, EU(Express Updates) 설치가 활성화된 경우) 등과 함께 사용할 수도 있다.



WUDO를 이용할 수 있는 대상은 윈도우 10 버전 1511 이상이 설치된 기기, 윈도우 서버 1709가 설치된 기기, 윈도우 10 1803으로 구동하는 사물 인터넷 기기, 마지막으로 윈도우 10 1803으로 구동하는 홀로렌즈 기기 등이다. 설정은 Computer Configuration\Policies\Administrative Templates\Windows Components\Delivery Optimization의 그룹 정책 아래에 위치한다. MDM(Mobile Device Management)에서는 Vendor/MSFT/Policy/Config/DeliveryOptimization/에 같은 설정이 있다.

윈도우 업데이트는 디지털 서명이 돼 있다. 따라서 업데이트 파일을 다운로드해 재컴파일한 후 해시값으로 검증, 보호한 후 시스템에 설치하는 과정을 거친다. 마찬가지 방식으로 기업 네트워크 자원을 이용해 업데이트를 배포할 수 있다. 

기본 과정은 클라이언트가 업데이트를 확인하는 것이다. 그러면 클라이언트가 마이크로소프트 업데이트뿐만 아니라 이전에 파일을 다운로드한 피어 워크스테이션에서 소스를 획득한다. 그리고 클라이언트(워크스테이션)는 다운로드 덩어리의 해시를 검증해 패치 파일을 재구성한다. 패치 파일은 패치를 확인하기 위해 예상되는 완료 해시값으로 검증된다. 그리고 최종적으로 클라이언트 시스템에 설치된다. 이번 설명에서는 윈도우 10 1803 버전을 기준으로 진행한다.

WUDO 설정
우선은 최적화를 위해 그룹화할 컴퓨터를 결정한다. 사용자 지정 그룹 ID를 이용해 그룹화된 컴퓨터가 피어로부터 패치를 다운로드하도록 할 수 있다. 자체 로컬 네트워크에서 최적화를 사용하도록 선택하거나 웹에서 최적화를 수행할 수 있다. 먼저 그룹을 식별하기 위해 사용하는 무작위 GUID를 생성한다. PowerShell [guid]::NewGuid() 또는 온라인 GUID 생성기 등의 사이트를 이용해 그룹에 할당할 무작위 GUID를 생성할 수 있다.
 
각 그룹을 구분하기 위해 무작위 GUID 생성하기

다음에 설정해야 하는 것은 MDB(Maximum Download Bandwidth)다. KiloBytes/Sec 단위로 정한다. 또는 기기 대역폭의 일정 비율로 제한하는 MDB(백분율)(Maximum Download Bandwidth(Percentage))를 설정할 수도 있다. 또한 여기에는 AMCS(Absolute Max Cache Size, GB 단위)가 포함된다. 이 정책은 DOMaxCacheSize 정책보다 우선한다. 값이 0이면 캐시가 '무제한'이라는 의미다. 단, 장치의 디스크 공간이 부족해지면 캐시를 삭제한다.  

다운로드 모드에서는 WUDO가 사용하는 방법론을 설정한다. 설정 1은 윈도우 업데이트와 해당 네트워크의 피어링을 조합해 사용한다. 설정 2는 같은 도메인 또는 같은 액티브 디렉터리 사이트의 것과 피어링을 설정한다. 설정 3은 LAN뿐만 아니라 인터넷에서의 피어링을 허용한다. 웹의 위험에 대해 걱정하는 많은 기업이 이 설정을 사용하지 않지만, 모든 패치는 완전하고 마이크로소프트가 의도한 원본 파일인지 확인하기 위해 항상 해시값을 갖고 있다는 점을 기억하자.
 
WUDO가 사용할 다운로드 모드를 선택한다.

MB QoS(Minimum Background QoS, KB/s)는 백그라운드 다운로드의 최소 다운로드 QoS(Quality of Service)를 KB/s 단위로 지정한다. MCD(Modify Cache Drive)는 최적화가 캐시를 위해 사용할 드라이브를 지정한다. 기본적으로 %SystemDrive%에 캐시를 저장한다. 드라이브 위치는 환경 변수, 드라이브 문자, 전체 경로 등을 이용해 지정할 수 있다. MUC(Monthly Upload Cap)는 매월 WUDO가 인터넷 피어로 업로드할 수 있는 최대 데이터를 기가바이트 단위로 지정한다. 값이 0이면 '무제한'이라는 의미이므로, 월간 업로드 제한이 적용되지 않는다.

SBHLBDB(Set Business Hours to Limit Background Download Bandwidth)는 모든 현재 다운로드 활동에서 근무시간 내외에 사용하는 최대 백그라운드 다운로드 대역폭을 사용 가능한 다운로드 대역폭의 비율로 지정한다. 윈도우 10의 활성화 시간 설정과 마찬가지로 비 활성화 시간 중 다운로드를 제한할 수 있다.

SBHLFDB(Set Business Hours to Limit Foreground Download Bandwidth)는 모든 현재 다운로드 활동에서 근무시간 내외에 사용하는 최대 포어그라운드 다운로드 대역폭을 사용 가능한 다운로드 대역폭의 비율로 지정한다. 또한 그룹 정책 설정 대신에 인튠(Intune)으로 WUDO를 사용할 수도 있으며, 이를 통해 사내 네트워크로 컴퓨터에 패치를 배포할 수 있다. ciokr@idg.co.kr

X