요 몇일전에 Hyper-V상에서 윈도우 2008 데모를 보여드린 적이 있습니다. 어떤분들은 언제 그 이미지들에 각각 OS를 설치하려면 시간 많이 걸리셨겠네요라고 안쓰러워하시는 분들과 이 차이점 보관용으로 만들었는데 한개만 실행이 된다고 문의를 주신 분도 계십니다. 과연 제가 모든 이미지를 CD를 넣고 설치를 했을까요? 답은 아닙니다 입니다. 혹시 차이점 보관용 디스크라고 들어보신 적 있으신가요? 이 기능은 Hyper-V에만 있는 기능이 아니기 때문에 많이들 들어보시고 사용중이신 분들도 계실 겁니다. Virtual Server와 Virtual PC에서도 이미 지원하고 있는 기능입니다.
차이점 보관용 디스크란 원본디스를 기준으로 원본 디스크와 차이점만을 저장하는 디스크를 생성해서 사용하는 방법입니다.원본이미지는 일반적으로 sysprep를 이용하거나 NewSID를 추가해놓고 사용하는 방법이 있습니다. 어떤것이 되든지간에 상관은 없습니다.
이제 이 부모이미지를 가지고 여러 개의 가상 이미지를 생성을 해야합니다. 이 때 차이점 보관용 디스크를 만들어서 사용하시면 원본 이미지를 기준으로 항상 시작을 하실 수 있습니다.
아래의 순서대로 진행하실 수 있습니다. 1. 원본이미지 생성 2. 차이점보관용 디스크 생성 3. 가상 컴퓨터 만들기
차이점 보관용 디스크를 생성하기 위해서는 Hyper-V 관리콘솔에서 [새로만들기]-[하드디스크]를 클릭합니다.
차이점 보관용을 선택합니다. 만약 동적확장일 경우는 하드 디스크의 용량을 16기가로 설정해 놨을 때 vhd파일의 크기가 사용량에 따라 크기가 점점 증가하다가 최대 16기가까지 증가를 할 수 있는거구요, 고정크기일 경우는 vhd파일의 내용이 어느 정도냐에 상관없이 16기가의 VHD를 생성해서 고정으로 사용하는 방법입니다.
차이점 보관용 VHD를 저장할 위치와 이름을 입력합니다.
원본 이미지 VHD이미지를 선택합니다.
[마침]을 눌러서 생성을 확인합니다.
저장위치를 찾아가보시면 VHD이미지만 덩그러니 생성이 되었음을 확인하실 수 있습니다. 이제 실제 가상이미지로 사용하기 위해서는 설정파일과 스냅샷 저장위치를 생성해야하는데 이 때는 컴퓨터 만들기를 하시면 자동으로 설정파일과 스냅샷 저장위치가 생성되게 됩니다. [새로만들기] – [가상컴퓨터]를 클릭합니다.
가상컴퓨터 설정파일 이름을 입력하고 아래 [가상 컴퓨터를 다른 위치에 저장]을 선택합니다. 지금 보여지는 경로는 "F:\Virtualization\Hyper-V\Differential\"로 되어있는데 위에서 지정한 이름과 동일한 이름의 폴더가 생성이 되어있어야 같은 이름의 폴더 내에 설정파일이 생성이 됩니다. 위와 같이 입력을 하면 차이점보관용-1의 설정 파일이 "F:\Virtualization\Hyper-V\Differential\차이점보관용-1\Virtual Machines"폴더에 생성이 되게 됩니다. [메모리 입력] --> [네트워킹 구성] --> [가상 하드 디스크 연결]을 진행합니다. 기존 가상 하드 디스크는 이전에 차이점 보관용으로 만들어 놓은 VHD를 선택합니다.
마침을 누르면 실제 사용할 수 있는 이미지가 생성되게 됩니다.
위와 같이 실제 원본 이미지를 1개 생성해 놓고 그 이미지를 기반으로 차이점 보관용 디스크들을 생성해서 사용하시면 하드 공간 낭비를 많이 줄이고 빠르게 새로운 컴퓨터를 생성해서 운영하실 수 있습니다.
7월 10일 섬유센터에서 KIDC & Microsoft Hosting Seminar에서 Windows Server 2008 Overview 발표를 했습니다.
처음으로 70여명 앞에서 발표를 하다보니 많이 떨려서 내용을 제대로 전달하지 못하고 데모위주로 진행을 해버렸는데요. ㅡ,.ㅡ; 참석해주셨던 분들에게 경청해주셔서 감사하기도 하고, 기대하신만큼 많은 정보를 전달해주지 못해서 죄송하기도 합니다.
발표 후 문의하셨던 내용에 대해 정리해 보았습니다.
Q. 서버 코어를 클라이언트에서 원격관리를 할 수 있나요?
A: 예 가능합니다. 단 클라이언트에서 MMC 3.0이 가능해야하므로 Vista이상이면 관리가 가능합니다.
Q. servermanagercmd 명령어를 사용할 때 아래와 같은 에러가 발생합니다. 이유가 무엇인가요? 그리고 계정을 administrator로 로그인했을때는 저런 메시지가 나타나지 않는 이유는 무엇인가요?
A. servermanagercmd명령어는 서버에 역할 서비스 및 기능을 추가하기 위해 사용하는 명령어입니다. 역할 기능을 추가하기 위해서는 %systemroot%나 Program files등에 파일을 설치해야하기 때문에 명령 프롬프트 창 자체를 관리자 권한으로 실행을 해 주셔야합니다. 그리고 administrator계정으로 로그인했을 경우는 UAC(User Access Control)기능이 꺼지기 때문에 관리자 권한으로 실행을 하지 않으셔도 됩니다.
Q. 프리젠테이션 가상화에서 오피스 프로그램을 사용하고 싶습니다. 따로 라이센스가 필요한가요?
A. 볼륨라이센스를 사용하시면 따로 라이센스가 필요없습니다. 이때는 터미널서비스 라이센스 서버만 구성하시면 됩니다. http://blogs.msdn.com/mssmallbiz/archive/2007/08/08/4298215.aspx If you want the rights to be able to access and run Office from a network device, be sure to purchase an Office license with Network Storage and Use Rights. Don't purchase an OEM Office license since it does not provide Network Storage and Use rights.Purchase a Volume License of Office so that you have Network Storage and Use Rights.
안녕하세요 Urikiri입니다. 이전 포스팅에서 SSTP VPN 서버 구성하는 방법에 대해 설명해드렸습니다. 이제 이 SSTP VPN에서 마지막 포스팅인 클라이언트 설정 부분에 대해 설명해 드리겠습니다. 우선 접속하기 위한 클라이언트는 Windows Vista with SP1 이상이 준비되어있어야 합니다. 실제 저희가 구성하는 네트워크는 가상이기 때문에 몇가지 설정을 더 해줘야 합니다. 클라이언트가 서버에 FQDN으로 접속할 수 있게 하기 위해 host파일을 수정하겠습니다.
Windows Vista에서는 host파일을 수정하실 때 관리자 권한으로 실행된 메모장으로 편집을 하셔야 저장을 하실 수 있습니다. 메모장을 관리자 권한으로 실행하신다음 다음 C:\windows\system32\drivers\etc\hots 파일을 열기합니다.
아래와 같이 "[외부 IP][FQDN]" 형식으로 주소를 추가해 줍니다.
그리고 신뢰된 루트 인증기관에 SSTP VPN서버의 루트 인증서를 설치를 해야합니다. 인터넷 익스프로러를 실행시킨 후 http://buster.zero.demo/certsrv 에 접속을 해서 아래와같이 CA 인증서를 다운로드 한 후 설치합니다. 이제 VPN 연결 설정을 합니다. [네트워크 속성] – [연결 또는 네트워크 설정] [내 인터넷 연결 사용(VPN)]
여기에서 [취소]를 누르시고 아래 연결 항목에서 [속성]을 선택합니다. [SSTP(Secure Socket Tunneling Protocol)]를 선택하신 후 확인을 누르시고 연결을 클릭합니다. 이제 VPN 서버에 연결합니다.
IP를 잘 받아왔는지 확인해 보겠습니다. 그리고 DC에서 공유한 CorpData폴더에 접근해 보겠습니다. 시작 – 실행 - \\20.20.20.201 근데 정말로 SSTP VPN이 443포트로 통신을 하는 걸까요? ^^ 아래를 보시면 확인하실 수 있습니다. 이제 외부에서 443연결만 할 수 있다면 사내에 SSTP VPN을 이용해서 언제든지 연결을 하실 수 있습니다. 거기에 인증서를 이용한 암호화된 통신까지 추가가 되었기 때문에 보다 안전하게 사내에 접근을 하실 수 있으리라 생각합니다.
안녕하세요 Urikiri입니다. 일반적으로 외부에서 사내 서버에 접근할 일반적으로 VPN(PPTP(1723), L2TP/Ipsec(1701))을 사용하시거나 원격데스크탑 연결(3389)을 사용하실거라 생각이 됩니다. 오늘은 Windows Server 2008의 새로운 기능인 SSTP VPN에 대해 설명해 드리겠습니다. 보통 VPN을 이용해서 사내 서버에 접근하실 텐데요 그런데 가~끔 보안이 심하게 적용된 사이트에 나가시게 되면 이 또한 사이트 방화벽에서 포트들이 막혀있어서 접속할 수 없는 상황이 발생하게 됩니다. 이럴 때 유용한 방법은 IAG2007에서 제공하고 있는 SSL VPN일 것 입니다. 이 SSL VPN이 사용하거나 회사에 적용하는데 많은 장점(대표적으로 웹을 이용해서 연결할 수 있는 점)이 있지만 비싼 장비를 들여놔야 한다는 단점이 있습니다.
그래서, 만약 접속하는 클라이언트가 Windows Vista SP1이나 Windows Server 2008이고 서버가 Windows Server 2008일 경우 Windows Server 2008의 새로운 기능인 SSTP VPN을 이용하실 수 있습니다. SSTP는 Secure Socket Tunneling Protocol의 약자입니다. 이 프로토콜 역시 SSL VPN과 마찬가지로 SSL 포트 443을 사용합니다. 어찌보면 RPC Over HTTP와 비슷하게 PPTP Over HTTPS로 생각하시면 쉬울거 같네요. 즉 SSTP를 좀 더 자세하게 정리하자면 SSTP(Secure Socket Tunneling Protocol)는 PPTP 및 L2TP/IPsec 트래픽을 차단하는 방화벽을 통해 트래픽을 전달할 수 있는 새로운 형태의 VPN 터널입니다. SSTP는 HTTPS 프로토콜의 SSL 채널을 통해 PPP 트래픽을 캡슐화하는 메커니즘을 제공합니다. PPP를 사용할 수 있으므로 EAP-TLS와 같은 강력한 인증 방법을 사용할 수 있습니다. HTTPS를 사용한다는 것은 웹 액세스에 공통적으로 사용되는 포트인 TCP 포트 443을 통해 트래픽이 전달된다는 의미입니다. SSL(Secure Sockets Layer)은 향상된 키 협상, 암호화 및 무결성 확인을 통해 전송 수준 보안을 제공합니다.
그리고 SSTP는 아래와 같은 순서로 연결이 이루어집니다. 1. SSTP 클라이언트는 SSTP 클라이언트에서 동적으로 할당된 TCP 포트와 SSTP 서버의 TCP 포트 443 사이에서 SSTP 서버와 관련한 TCP 연결을 구축합니다. 2. SSTP 클라이언트는 SSL Client-Hello 메시지를 전송하며, SSTP 클라이언트가 SSTP 서버와 함께 SSL 세션을 만들고자 함을 알립니다. 3. SSTP 서버는 자체 컴퓨터 인증서를 SSTP 클라이언트에 전송합니다. 4. SSTP 클라이언트는 컴퓨터 인증서 검사, SSL 세션에 대한 암호화 방식 결정, SSTP 세션 키 생성 및 SSTP 서버 인증서의 공개 키로 암호화, SSL 세션 키의 암호화 형식을 SSTP 서버로 보내기 과정을 거칩니다.
5. SSTP 서버는 컴퓨터 인증서의 개인 키로 암호화된 SSL 세션 키를 해독합니다. SSTP 클라이언트와 SSTP 서버 간에 이루어지는 모든 통신은 협상된 암호화 방식 및 SSL 세션 키로 암호화됩니다. 6. SSTP 클라이언트는 HTTP over SSL 요청 메시지를 SSTP 서버로 보냅니다. 7. SSTP 클라이언트는 SSTP 서버와의 SSTP 터널을 조정합니다. 8. SSTP 클라이언트는 SSTP 서버와의 PPP 연결을 조정합니다. 이 조정 과정에는 PPP 인증 방식으로 사용자 자격 증명을 인증하고 Internet Protocol 버전 4(IPv4) 또는 Internet Protocol 버전 6(IPv6) 트래픽을 위해 설정하는 것이 포함됩니다. 9. SSTP 클라이언트는 PPP 링크를 통해 IPv4 또는 IPv6 트래픽 전송을 시작합니다. 현재 서버는 Windows Server 2008, 클라이언트는 Windows Server 2008, Vista with SP1환경에서만 된다는 아주 큰 단점이 있지만 시간이 지나보면 XP에서도 되는 날이 있겠죠… 한때 XP SP3에 포함된다는 루머가 있긴 했지만 역시 루머에 그쳤네요. 아무튼 앞으로 XP에서도 지원된다라고 하면 기업에 Windows Server 2008을 도입하게 될 때, 가장 유용하게 사용할 수 있는 기능 중 하나가 되지 않을까라는 생각이 드는군요.. SSL VPN과 비슷하게 HTTPS가 되는 환경이라면 모두 접근할 수 있는 장점, 일반 VPN보다 강화된 인증 기능과 암호화된 통신 방법등. 오늘 데모가 성공하면 좀 더 자세한 설명을 해 드리려고 했는데 아직 구성이 다 되지 않아서 실제 설치하고 구성하는 방법은 다음주로 미뤄야 할 거 같네요 ^^
오늘은 WSUS를 통해 알기도 힘들고, 이름도 복잡한 업데이트를 좀 더 편리하게 관리할 수 있는 팁을 하나 알려드릴까 합니다. ^^
기업에서는 불필요한 네트워크 트레픽 제한과 사내의 윈도우 업데이트를 관리하기 위해서 WSUS를 종종 도입해서 사용하고 있습니다. 물론 FCS의 구성요소이기도 합니다.
기본적으로 WSUS를 설치 하면, 관리 콘솔에는 "모든 업데이트", "중요 업데이트", "보안 업데이트", "WSUS 업데이트"의 4개의 카테고리가 존재합니다. 이 카테고리에는 윈도우 버전에 상관없이 나열이 되게 되어있습니다. 처음 업데이트를 동기화 한 다음 모든 업데이트를 보면 뭘 승인해야 할 까 고민이 됩니다. 이 때 최소한 제품별로 업데이트를 분류해 놓으면 그나마 업데이트 관리하는데 조금은 편리합니다. WSUS 콘솔에서 [업데이트] – 마우스 우 클릭 – [업데이트 보기 추가] 이 부분에서 적당한 속성을 주시고 카테고리를 추가해 주시면 아래와 같이 업데이트를 관리하실 수 있습니다. 그리고 각각의 카테고리에서 [동작] – [묶는 방법]을 이용하시면 좀 더 다양게 업데이트를 정렬 시킬 수 있습니다. 일반 관리자들이 관심이 없어서 안쓰는 기능 중 한가지 이지 않을까 하네요. 이제부터는 좀 더 편리하게 업데이트 관리를 할 수 있겠죠?
오늘은 정책을 어떻게 배포하고, 제어할 수 있는 부분이 어떤 부분인가에 대해 설명해드리겠습니다.
FCS에서의 정책 배포는 생성은 FCS Management Console에서 하지만 실제 배포는 그룹 정책을 통해 배포되게 됩니다. 물론 AD 환경에서의 이야기 입니다. 만약 Non-AD 환경의 워크 그룹의 클라이언트에게 정책을 배포하기 위해서는 정책을 레지스트리 파일로 내보내기 후 클라이언트들에게 배포를 해주셔야 합니다.
우선 정책을 생성해 보겠습니다.
[FCS 관리 콘솔] – [정책 관리] – [새로 만들기]를 클릭합니다.
이름과 설명을 입력합니다.
멜웨어를 어느 수준까지 예방 할 것 인지의 설정과 실시간 보호 유/무 그리고, 자동검사 시간등을 지정합니다.
엔진 업데이트 정책과 사용자가 Agent의 옵션을 설정 하게 할 것 인지의 권한을 설정합니다.
만약, 사내에 WSUS가 중지가 되었거나 없을 때 Microsoft Update 사이트에서 다운 받을 수 있게 하는 옵션도 있습니다. 그럼 FCS설치시 WSUS가 없어도 운영이 가능하다는 말일까요? 테스트는 안해봤지만 필수 구성요소는 아닌거 같네요. 나중에 테스트 해서 결과 알려드리겠습니다. ^^
만약 사내 중요한 프로그램이 FCS에서 바이러스로 인지가 된다면 재정의를 통해서 실행하게 하거나 심각도에 따라 FCS에서의 자동 조치 기능을 재 정의 할 수 있습니다. 예를 들어 FCS에서 심각도가 심각한 멜웨어에 대해 제거를 하게되는데 이 동작을 격리나 무시로 재 정의 할 수 있다는 말입니다. 활용도는 관리자에게 달렸습니다. ^^
클라이언트에서의 경고 발생 수준을 지정할 수 있습니다.
위와 같이 하면 기본적인 정책 배포 설정은 다했습니다.
이제 [정책 관리] – [배포]를 클릭합니다. 도메인의 특정 OU, 그룹에 배포를 할 수 있습니다. 배포 옵션 중 "파일 추가"가 있는데 이것은 FCS 정책을 파일로 내보내기 할 때 사용합니다. 이를 가능하게 하는 이유는 FCS의 모든 정책은 레지스트리값 변경을 통해 이루어 지기 때문입니다. 적당한 배포 대상을 선택했으면 "배포" 버튼을 클릭합니다.
"배포" 버튼을 클릭하면 AD의 구룹정책에 등록이 됩니다. GPMC에서 정책을 확인해 보시면 아래와 같이 등록되있는 것을 확인 하실 수 있습니다
이제 클라이언트에서 정책을 받아가기를 기다리시면 됩니다. AD에서 정책을 원하는 시간에 강제 배포할 수 가 없어서 아쉽기는 아지만 위와 같이 하면 기본적인 정책 배포는 준비가 완료 된 것 입니다.
테크넷에는 정책 배포 방법이 이렇게 나와있네요.
! 즉시 적용하려면 각 클라이언트 컴퓨터를 다시 시작하라니...ㅜㅜ 한두대가 아니라면... 혹시, 이 글을 읽으시는 분들 중 Third-Party를 이용하지 않고, 중앙에서 그룹정책을 강제로 배포하는 방법을 알고 계시는 분은 좀 알려주세요 ^^
오늘은 그림이 많아서 지면이 길어졌네요. 내용은 많아 보이지만 정책 배포가 그렇게 어렵지 않음을 아실 수 있을겁니다. 모두들 기회가 되시면 사내에 조금씩 적용해 보시고 FCS의 기능을 느껴 보시는 것도 그리 나쁘진 않을거라 생각이 되네요. 그럼 전 다음주에 뵙겠습니다.
FCS를 운영하는데 있어서 가장 큰 이슈가 손쉬운 클라이언트 배포가 아닐까 합니다. 서버는 설치했는데 막상 클라이언트에 배포하려고 하니 PMS같은 솔루션이 없는 관리자 입장에서는 머릿속이 복잡해 지기 시작합니다. FCS설치 CD에서 제공하는 파일이 MSI나 ZAP파일도 아니어서 AD가 구축된 환경에서도 배포를 할 수 가 없기 때문이죠. 그럼 다른 대안을 생각해 봐야 하는데요. 사내 인프라가 AD건 Non-AD건 배포할 수 있는 방법은 아래와 같은 방법을 생각할 수 있습니다.
1. PMS를 이용한 배포 2. IE에서 Active X를 이용한 설치 3. 공유 폴더 4. FTP
AD와 Non-AD에서 가장 쉽게 공통적으로 사용할 수 있는 방법으로 [공유 폴더+E-mail]을 이용하는 방법이 무난해 보입니다.
공유 폴더를 제외한 나머지 방법은 개발이나 인프라가 구성되어있어야 하기 때문에 추가적으로 돈이 든다는 단점이 있습니다만 [공유 폴더+E-mail]은 관리자와 사용자가 조금만 수고해 주시면 배포하는데 크게 어려움이 없을거라 생각이 됩니다.
그러나, 회사내의 사용자가 전~혀 컴퓨터에 무지하거나, 배포할 클라이언트가 너~무 많으면 파일서버의 네트워크 부하도 생각해야하니 PMS를 이용하는 방법이 가장 좋을 것 같네요. ^^
우선 배포를 위해 관리자는 적당한 위치에 Agent 설치 파일을 복사합니다.(FCS 설치 CD 안에 보시면 [Client]라는 폴더가 있습니다. 전체 복사를 합니다.
그리고, 클라이언트는 Agent를 설치하기 전에 현재 설치된 백신 프로그램을 제거를 합니다. (이 부분이 어렵네요. 이 부분 때문에 계획적으로 부분 배포를 하면서 관리자가 확인 해 야 할 사항 중 하나입니다. 또는, 배포 솔루션 중 Active X를 이용하는 방법을 이용하시면 이건 좀 쉬울 수 있습니다. 대표적으로 MS 파트너사인 비전파워에 관련 솔루션이 있습니다.)
클라이언트는 관리자가 지정한 공유 폴더에 접근을 해서 아래의 명령어를 이용해서 설치를 진행합니다.
ClientSetup.exe /CG ForefrontClientSecurity /MS fcs.gundam.com /CG : MOM 관리 그룹의 이름 지정 디폴트는 "ForefrontClientSecurity" /MS : Collection 서버의 FQDN
좀 더 쉽게 설치를 하시려면 관리자가 같은 폴더에 아래와 같이 배치파일로 생성해 놓으시고, 이 배치 파일의 링크를 메일로 사원들에게 보내면 좀 더 쉽게 배포를 하실 수 있겠죠?
이제 클라이언트를 승인해 주는 일만 남았습니다. MOM 서버에서 관리자 콘솔을 실행하면 보류 중인 작업으로 클라이언트 컴퓨터가 보이실 겁니다. 안보이시면 조금 기다리시면 됩니다. 나타난 클라이언트는 약 1시간 후에 기본적으로 자동 승인이 되지만 바로 적용하시기 위해선 직접 승인 해 주셔야 합니다.
제가 앞서 설명을 안해 드렸는데 클라이언트를 배포하시기 전에 FCS정책을 생성하신 다음 배포하시기를 권장합니다. 이유는 클라이언트 설치 하신 후 정책을 배포하시면 사내에 정책 적용되는 시간을 또 기다려야하기때문입니다. 그러나 이미 정책을 배포해 놓으신 상태에서 클라이언트를 배포하면 바로 적용 되겠죠? ^^
오늘은 지금까지 설명드렸던 Forefront 제품의 이야기를 잠시 접고 앞으로 게시할 글을 위해 다른 이야기를 해볼까 합니다.
요즘은 포털사이트가 해킹이 되면서 개인정보 유출에 대한 기사가 사회적 이슈가 되었습니다. 이런류의 사건은 사이트가 해킹이 되어서 DB가 뚫린 경우라 할 수 있습니다. 이 부분은 외부적인 공격이라 할 수 있습니다. 그럼, 잠깐 시선을 내부로 돌려보겠습니다. 만약 사내에 악의적인 사용자가 사내 DB나 파일서버에 접근하거나, 바이러스에 걸렸거나, 기본적인 사내 보안 정책을 위반한 사용자 또는 컴퓨터가 내부 네트워크에 접근해서 관리자의 의도와는 상관없이 네트워크에 불필요한 트레픽을 유발하거나, 서버에 백도어가 설치된다라고 한다면 요즘같이 컴퓨터로 대부분의 업무를 보고, 데이터를 디지털화 하는 시대에는 참으로 끔찍한 일이 벌어질 수 있습니다.
통신 보안에 있어서 사용자와 웹서버와의 통신 보안은 SSL을 이용하면 보완을 할 수 있지만 이 것은 지극히 웹전용이라는 한계가 있습니다. 사내 내부에서 사용자에서 서버로의 접근, 서버에서 서버로의 데이터 접근에서는 대부분 보안을 적용하지 못하고 있는게 대부분의 현실일 것 입니다.
IP기반 통신에서 네트워크를 보호하기 위한 방법으로 IP Security(IPSec)라는 방법이 있습니다. 앞으로 보안을 적용하려면 빠질 수 없는 항목이 될거라 생각이 됩니다. IPSec을 적용하면 어떻게 되냐구요? 간단하게는 두 컴퓨터 사이에 IP통신 트레픽의 데이터 내용이 암호화가 되구요, 서버는 접속하는 컴퓨터를 제한할 수 도 있습니다.
이번에 런칭한 Microsoft Server 2008의 NAP(Network Access Protection)도 IPSec 기술을 이용 건강한 PC와 건강하지 않은 PC를 구별해서 컴퓨터를 인증 후에 네트워크 접속을 제한하게 합니다.
이 기능을 NAP은 IPSec의 인증방법을 이용해서 구현합니다. IPSec 인증 방법은 Keberos(동일한 도메인 내에서만 사용 가능), Shared Key, 인증서를 사용할 수 있습니다.
여기에서 인증서를 사용해서 컴퓨터 인증을 할 때 사내 보안정책에 위배되지 않는 건강한 컴퓨터는 인증서를 발급하고, 그렇지 않은 컴퓨터는 인증서를 강제로 뺐는 방법을 이용해서 내부 네트워크에서 격리시킬 수 있습니다.
invalid-file
