SharedIT | 묻고 답하기(AMP)

외부망차단 PC 윈도우패치 관련 문의

안녕하세요.

현재 대기업 전산실에서 근무중인 OA담당자 입니다.


약 3개월전부터 윈도우보안패치 관려해서 이슈사항이 발생하여 이런저런 해결방법을 적용해보다가 

해결점을 못찾아서 혹시나해서 쉐어아이티에 문의글을 작성해봅니다.


기본적으로 현재 상황은 대략적으로 적어보면 아래와같습니다.

1) 전체운영대수: 약 480대

2) 해당 장애발생하는 기기: 외부망차단정책을 적용한 PC(IP경우는 사내망10.207.xx)

3) 사용중인 운영체제: Windows 10 Enterpise 1809(17763.1577) 64bit 

4) 컴퓨터 사양(공통): Interl i5-6400 2.70GHz, 8GB, 250GB(SSD)+1TB

5) 적용중인 보안프로그램: Nac(Genain), NetClient, DRM(SoftCamp), V3(AhnLab Internet SC 9.0)

                                           APC Agent(V3정책), 자체 PC 클리닝 프로그램 

6) 해당 윈도우패치관련 구성정보: 

- Netclient 5.0 Agent(5.6.1.84) + WSUS Server 구성을 통한 윈도우패치 정책구성후 각 그룹별 정책하달

- 외부망차단 PC경우는 Nac 차단정책을 통한 외부망차단(일부 페이지,통신포트만 오픈)

-해당 증상이 발생한 시점은 Windows7 -> Windows 10변경작업을 한 이후 상황이 발생하였으며 외부망이   오픈된 PC경우는 증상이 미발생

7) 관련증상 발생이후 조치내역

  • 최초 증상 발생이후 넷클라이언트 업체통한 점검진행(정책변경,디폴트설정,넷클라이언트삭제등)

         하였으나 동일한 증상 반복됨

  • AD정책관련해서 재확인하고 넷클라이언트 패치기능에서 특정오류(80072f8f) 발생하였고 관련 

         해결책(시스템 날짜,시간,동기화) 확인결과 정상

  • 추가 자체적인 테스트를 통해서 해당 증상 PC에서 외부망을 허용하고(Node Type:서버로변경) 윈도우 패치 진행시 정상적으로 진행되고 방화벽로그확인결과 WSUS 정책이아니니 MS업데이트 

         서버로 통신시도 확인

  • 업체측하고 재원격 확인 및 테스트PC구성(AD가입PC,미가입PC,고스트로 이미지를 넣은PC,Windows 10 DVD 통한 순정PC) 후 테스트 진행결과 순정 PC에서만 정상적으로 

        패치가능(순정 Windows 10설치한 상태)

  • 최종 고스트 이미지 작업시 PC설정 또는 소프트웨어 충돌로 의심이 되긴하나 어떤 설정을 변경하고

        소프트웨어를 하나씩 다 지워서 테스트하자니 다소 노가다일듯하여 현타가 오는상황입니다.


관련해서 비슷한 증상이 발생했거나 해결방법을 알고계시면 정보 공유부탁드립니다.

추가로 원격확인 필요하시면 RSUP 통해서 원격도 가능하긴하며 대수가 소량이 아닌 만큼 다시 다  밀고

세팅을 다시 하자니 다소 막막한 상황입니다...

쉐어드아이티 회원님들 도와주세요!



9개의 답변이 있습니다.

ahj5415
  0 추천 | 약 3년 전

흠...... 순정PC에서는 정상작동한다는거보니 sid 충돌이 아닐까 의심됩니다.

자세한 내용은

http://www.reboot.co.kr/entry/WSUS-%ED%81%B4%EB%9D%BC%EC%9D%B4%EC%96%B8%ED%8A%B8-%EC%97%B0%EA%B2%B0-%EB%AC%B8%EC%A0%9C


이거 참고해보세요


klio34
  0 추천 | 약 3년 전

usb포트 차단 해제하고 진행해보세요

20H2 안올라가는 이슈라면요

양성환
  0 추천 | 3년 이상 전

CM 이 필요할때네요 

테스트 후 정책적으로 적용을 하기엔 CM 구축이 필요해보이네요 

잡부탈출넘버원
  0 추천 | 3년 이상 전

현재상황으로는 순정에서 잘 되니.. 프로그램 하나씩 깔아보고 해보시는게 좋을거 같아요

Genghis Khan
  0 추천 | 3년 이상 전

질문자님 짧게 요약해서 다시 알려주세요?

전체 내용에 대해 어떤 문제인지 잘 모르겠어요

hoollachan
  0 추천 | 3년 이상 전

Genian NAC에도 윈도우 업데이트 관련 설정이 있는것으로 알고 있습니다. 

그 부분도 한번 확인해보시는게 좋을거 같아요~

yamyo
  0 추천 | 3년 이상 전

뭐가 어떻게 않된다는 얘기는 없네요.

songsh
  0 추천 | 3년 이상 전

의심되는 상황이 있긴 한데 WSUS 에서 내리는 윈도 업데이트를 전체를 진행하시나요? 아니면 위험도별 아니면 그밖에 필터링을 해서 패치를 하시나요?

wansoo
  0 추천 | 3년 이상 전

내부에 WSUS 서버를 이용하고 있는 상황에서 윈도 업그레이드가 안된다는 게 골자인거 같고...

순정 Window 10 컴퓨터는 문제가 없다는 것 같고...

NAC을 포함한 보안 프로그램이 설치되어 있는 상태인것 같고...

윈도 7일때는 잘되었는데, 윈도 10에서부터 문제가 생기고...

순정이 아닌 OS는 인터넷이 가능한 상태에서는 업그레이드에 문제가 없는데, 인터넷이 차단되어 있을 경우에는 업그레이드가 안된다는 내용인걸로 보여지는데요.


한가지 궁금한건...

여기서 말하는 순정과 순정이 아닌 윈도의 차이가 무엇인지 알고 싶고요.


업데이트가 안되는 OS에서 특정 인터넷 사이트와 먼저 통신을 해 본 후에 그 결과에 따라 윈도 업데이트를 시도하는 걸로 보여지는데요.

우선 확인해 봐야 할 점은 통신하는 인터넷 상의 주소가 어디인지, 통신을 시도하는 프로그램이 무엇인지를 확인해 보아야 할 걸로 보여지고요.


Wireshark 같은 툴을 이용해서 외부로 통신하는 인터넷 주소가 무엇인지를 먼저 찾아 보시고요.

그리고, netstat 등을 이용해서 어떤 프로세서가 통신을 시도하는지도 확인해 보시고요.


그 결과를 가지고 원인을 찾아 간다면 원인을 찾는데 도움이 되지 않을까 싶어 보이네요.


NAC 등의 보안 프로그램들은 패치 등을 컨트롤하고 영향을 미칠 수 있기 때문에 특정 보안 프로그램의 영향이 아닐까 하는 추정도 느껴지네요.