안녕하세요 Urikiri입니다. 이제 아침 저녁으로는 더위가 한풀 꺾인걸로 보아 그 고통스럽던 여름이 막바지에 접어든 거 같네요.
이제 조금 지나면 추석에 겨울에.. 올해도 금방 끝날 것 같은 느낌이 들고 있습니다. 실제로 달력을 보내 곧 9월이군요. 올해 초에 생각했던 모든것들을 다 이룰 수 있도록 좀 더 분발해야겠습니다. ^^ 지난시간에는 TS 게이트웨이에 NPS서버가 같이 있을 경우 ISA Server 2006을 통한해서 TS 게이트웨이의 보안을 강화하는 방법을 설명해드렸습니다. 오늘은 TS 게이트웨이와 NPS 서버가 각각 다른 서버에 있을 경우에 대해서 설명을 해 드리겠습니다. 이번 시나리오에서 ISA 서버를 구성하는 방법이 지난번 시나리오 1과 같아서 TS 게이트웨이에서 중앙 NPS서버를 지정하는 방법에 대해서만 설명해 드립니다. 만약 ISA 서버 구성방법이 궁금하시면 시나리오 1을 참고해 주세요.
시나리오 2 이번 시나리오에서, TS 게이트웨이는 다른 서버에 있는 NPS 중앙 정책을 이용할 것 입니다. 우리는 원격에서 TS 게이트웨이를 통해 연결하는 클라이언트들에 대해 NAP 정책을 적용할것 입니다. 시나리오 1에서 사용했던 구성요소와 같은 구성요소가 사용됩니다. 오직 NPS 서버만 추가되었습니다. 그러나 NAP 적용하기 위해 그림 7에서 보여지는것 과 같이 클라이언트에 추가적인 구성요소가 사용됩니다. 그림 7. 시나리오 2 토폴로지의 주요 구성요소들 각각의 개별적인 구성요소에 대해 설명해 드리겠습니다.Windows Vista 클라이언트에서 SHA(System Health Agent)는 모니터링과 클라이언트 건강 상태를 보고하기 위한 클라이언트쪽 구성요소입니다. Windows Vista는 Windows SHA를 가지고 있습니다. 그러나, 그들의 SHAs를 만들어서 동작하게하는 다른 업체들이 있습니다. 클라이언트에 있는 NAP 에이전트는 NAP 서버와 커뮤니케이션 확립을 위해 응답할 수 있습니다. 클라이언트가 네트워크에 연결을 시도할 때 NAP 에이전트는 클라이언트의 SoH(Statement of Health)를 서버로 보냅니다. TS RAP(Resource Authorization Policy)은 TS 게이트웨이의 구성요소입니다. 그것은 들어오는 RDP 요청에 대해 어떤 컴퓨터가 가능한지를 결정하게 합니다. TS RAP는 또한 어떤 사용자가 특정 서버로 RDP 연결을 맺을 수 있는지에 대해서도 결정합니다. 중앙 NPS는 상태 제어, 구속(constraints), 그리고 내부 컴퓨터에 접근을 통제하는 설정에 대해 응답할 수 있습니다. 중앙 NPS의 SHVs(System Health Validators)는 클라이언트가 제출한 SoH가 관리자가 설정한 정책에 적합한지 아닌지에 대한 평가에 대해 응답할 수 있습니다. 이제 TS 게이트웨이가 NPS 중앙 서버를 가리키게 하겠습니다. TS Gateway Manager 콘솔을 실행합니다. 서버이름에서 마우스 오른쪽 버튼을 클릭합니다. 그리고 속성을 선택합니다. 서버 속성 창에서 TS CAP 저장소를 탭을 클릭한 후 중앙 NPS 서버를 선택합니다. NPS 서버의 IP 주소를 입력합니다. 그리고 추가 버튼을 클릭합니다. 공유 암호 창이 나타납니다. 암호를 입력하고 마침을 클릭합니다. 그리고 마침을 클릭해서 창을 닫습니다. 이 암호는 NPS 서버에서 사용되기 때문에 기억해야합니다. NPS가 이미 다른 서버에 설치되었다는 가정하에 다음 순서를 진행하십시오.
NPS 콘솔을 실행합니다. 왼쪽에 NPS(Loacl)을 클릭합니다.
오른쪽 창에서 NAP 구성을 클릭합니다. "네트워크 연결 방법"이 나타납니다.
네트워크 연결 방법 아래에서 "TS 게이트웨이(터미널 서비스 게이트웨이)"를 선택합니다.
"TS 게이트웨이를 실행하는 NAP 적용 서버 지정"에서 "추가"버튼을 클릭합니다.
"새 TS 게이트웨이 서버"에서 TS 게이트웨이 서버의 IP나 이름을 입력합니다. 그리고 아래에 공유 암호를 입력합니다. 그리고 "확인"을 클릭합니다.
"클라이언트 장치 리디렉션 및 인증 방법 구성"페이지에서 리디렉션할 장치를 지정하고 허용할 인증 방법(암호 허용 또는 스마트 카드 허용)을 선택할 수 있습니다.
"사용자 그룹 및 컴퓨터 그룹 구성" 페이지에서 연결을 맺을 사용자 그룹을 추가합니다. 예를들어 "사용자 그룹" 아래의 "사용자 추가"버튼을 클릭합니다. 그리고 "Domain Admins"를 추가합니다. 그리고 "확인"을 누른 후 "다음"을 클릭합니다.
"NAP 상태 정책 정의"페이지에서 기본적으로 SHV가 이미 선택되어진 것을 확인할 수 있습니다. 이 페이지 아래에 적합하지 않은 컴퓨터덜은 액세스가 거부된 것도 확인할 수 있습니다. 기본설정대로 놔둔후 "다음"버튼을 클릭합니다.
"NAP 적용 정책 및 RADIUS 클라이언트 구성 완료"페이지는 앞에서 선택한 옵션들을 확인 할 수 있습니다. 그리고 "구성 세부 정보" 링크를 클릭하면 선택한 것 들이 요약된 HTML 페이지가 나타날 것 입니다. "마침"을 눌러 구성을 마칩니다.
이 마법사를 통한 작업은 많은 중요한 정책들의 설정을 구성하는데 도움이 됩니다.(연결 요청 정책, 네트워크 정잭 그리고, 성태 정책), 이 시나리오에 대한 NAP을 구성하는데 필요한 작업을 눈에띄게 줄여줍니다. 클라이언트에 대해서 서버가 이제 모두 설치가 되고 설정이 되었습니다. 이제 클라이언트에 대해선 어떤 것을 해야 할까요?
NAP 적용 정책의 이점을 위해 클라이언트는 Windows Server 2008 또는 Windows Vista이어야 합니다. Windows XP는 NAP 클라이언트를 포함하기 위해 SP3가 설치되어야 합니다. 그리고 아래는 몇 개의 관계되는 서비스와 설정입니다.
클라이언트에서 신뢰할 수 있는 서버 목록에 TS 게이트웨이 서버의 이름을 추가합니다.
NAP 에이전트 서비스를 시작합니다. 그리고 서비스 시작 유형을 "자동"으로 설정합니다.
TS 게이트웨이 격리 적용 클라이언트를 활성화 합니다.
이 솔루션을 쉽게 배포하기 위해서 Microsoft는 터미널 서비스 NAP 클라이언트 설정 명령을 만들었습니다.(Tsgqecclientconfig.cmd) 이것은 여기에서 다운로드 하실 수 있습니다. 명령어를 실행한 후에는 클라이언트는 TS 게이트웨이를 사용하는 NAP 적용 클라이언트로 설정될 것입니다. 명령어는 관리자 권한으로 실행되어야만 합니다.
안녕하세요. 오랜만에 뵙습니다. ㅠ.ㅠ;; Windows Server 2008과 관련된 동영상을 제작하다가, 블로그에도 동영상 포스팅을 올려 보면 어떨까 하는 생각에 Windows Server 2008 Active Directory 그룹정책 중 그룹정책 기본설정에 대해서 간단하게 보여드리는 동영상을 만들어 보았습니다.. ^^ 스샷을 찍는다던가 하는 것 보다 훨씬 편해서 자주 애용해야지 하고 있습니다. ^^;;
Windows Server 2008부터 그룹정책을 적용 할 때, 기존의 텍스트 기반의 정책과 더불어 GUI를 사용하여 그룹정책을 생성 할 수 있는 그룹정책 기본설정을 지원합니다. ^^ GUI.. 기존의 텍스트 기반 그룹정책들이 목록도 너무 많기도 했고, 또 말도 어려워서 대체 어디다가 어떻게 써야 하는지 잘 몰랐던 경우가 많았는데요. GUI기반의 그룹정책 기본설정 덕분에 그룹정책 적용이 조금은 쉬워지지 않았나 하는 생각을 해봅니다.
하지만, 그룹정책 기본설정은 기존의 그룹정책과 몇 가지 다른 제약 사항들을 가지고 있는데요.
안녕하세요 Urikiri입니다. Windows Server 2008은 응용프로그램 가상화의 보다 나은 가치를 제공하기 위해 터미널 서비스 게이트웨이를 제공하고 있습니다. 터미널 서비스 게이트웨이는 Cygni님이 게시한 터미널 서비스 게이트웨이 역할이란? 글에 잘 설명이 되어 있습니다. 간단하게 설명을 드리자면 외부에서 내부의 원격 데스크탑 연결을 할 때 3389 포트 대신에 보안이 강화된 SSL 즉 443포트를 이용해서 연결을 할 수 있는 방법입니다. 이 기능을 이용해서 외부에 웹을 통해 응용프로그램을 게시하는 터미널 서비스 웹 엑세스도 443을 통해 게시할 수 있습니다. 이번 글에서는 ISA Server 2006을 통해 TS 게이트웨이를 게시하는 방법을 설명합니다. 그림 1은 연결 중 일어나는 컴퓨터들과 데이터의 흐름을 요약해서 보여줍니다. 여기에서는 NPS(Network Policy Server)를 TS 게이트웨이에 설치를 합니다. 다음에는 NPS가 TS 게이트웨이와 분리되어 중앙에서 운영되는 시나리오를 설명해 드리겠습니다. 그림 1 ISA Server 2006을 통한 TS 게이트웨이 게시
외부 RDP 사용자는 연결을 초기화 합니다. 첫 번째로 클라이언트는 TS 게이트웨이의 외부 이름을 풀이할 수 있어야 합니다(여기에서는 tsg.contoso.com). 외부 DNS는 이 이름을 ISA Server의 외부 IP로 이름풀이를 합니다. SSL 터널은 RDP 클라이언트와 ISA 서버의 외부 인터페이스와의 협상입니다. ISA 서버는 포트 443에 대한 웹 게시 규칙을 가지고 있습니다. 이 포트는 tsg.contoso.com에 발급된 인증서를 사용합니다. 규칙을 평가하고 허용된 트래픽인지 체크한 후 ISA 서버는 웹 게시 규칙에서 지정한 서버의 이름을 풀기 위해 DNS 쿼리를 내부 DNS 서버로 전송합니다.(여기에서는 DC에 설치된 DNS). TS 게이트웨이로 SSL 터널이 열린 다음 ISA 서버는 인증 요청을 TS 게이트웨이로 전달합니다.
TS 게이트웨이 서버는 사용자의 자격 증명을 검증하고 증명합니다. 사용자는 연결할 수 있는 권한을 부여 받습니다. 사용자가 연결 협상에 대한 권한을 부여 받은 후에 TS 게이트웨이 서비스는 TCP 443 포트의 요청들을 받습니다. 그리고 TCP 3389포트를 통해 RDP 패킷을 응용프로그램(CRM 프로그램등) 을 가지고 있는 내부 터미널 서버로 전달합니다.(기본설정) 이 시점에서부터 RDP 클라이언트는 패킷들을 ISA 서버를 통해서 TS 게이트웨이 서비스로 보냅니다. RDP 클라이언트는 이 패킷들을 내부 터미널 서버로 보내고, 내부 터미널 서버는 RDP 클라이언트로 보냅니다.
이 상황이 일어나기 전에 RDP Over HTTPS는 RDP/RPC/HTTPS 그 이상의 무엇도 아니라는 게 중요합니다. RDP 클라이언트는 RPC 헤더안에 RDP 통신을 캡슐화합니다. RPC 헤더는 바로 SSL을 사용해 보안이 적용된(또는 TLS – Transport Level Security) HTTP 헤더로 캡슐화 됩니다. 모든 컴포넌트는 RPC Over HTTPS 솔루션을 위해 필요합니다. 이것은 TS 게이트웨이 역할 서비스를 설치할 때 RCP Over HTTP 프록시가 자동으로 설치되는 이유입니다. 보다 자세하게 프로토콜이 어떻게 동작하는지에 대해 이해하고 싶으시면 "Testing RPC over HTTP Through ISA Server 2006 Part1 : Protocols, Authentication and Processing"을 읽어보십시오. ISA Server Team Blog에서 찾아보실 수 있습니다. 이 방법은 TS 게이트웨이가 설치된 Windows Server 2008이 필요합니다. TS 게이트웨이는 RPC Over HTTP 프록시에 종속됩니다. RDP Over RPC over HTTP 프록시 기능은 꼭 IIS 7.0이 설치되고 실행 되고 있어야 합니다.
그리고 NPA(Network Policy and Access)서비스도 필요합니다. 그리고 만약 원한다면 TS 게이트웨이에 저장소, 관리 그리고 TS-CAPs(Terminal Services Connection Authorization Policies) 검증을 중앙에서 하기 위해 NPS서버를 IAS(Internet Authentication Services)로 사용할 수 있습니다. 마지막으로 TS 게이트웨이 서버용 SSL 인증서가 없다면 발급받아야 합니다. 꼭, ISA Server 2006이 인증서를 발급하는 CA(Certificate Authority)를 신뢰하고 있어야 합니다. 신뢰하기 위해서는 인증서 가져오기를 이용해서 신뢰된 인증 기관 저장소에 인증서를 저장합니다. TS 게이트웨이 인증 정책이 설정한다면 TS 게이트웨이 인증액티브 디렉터리 도메인 서비스는 필수입니다. TS 게이트웨이 서버에 연결하기 위해서 이 인증 정책은 액티브 디렉터리 보안 그룹의 멤버의 사용자를 필요로합니다.이 특별한 설치는 Windows Server 2003 SP2가 실행되는 액티브 디렉터리를 사용할 수 있습니다. TS 게이트웨이 서비스 설치가 끝나면 설치된 컴포넌트들을 볼 수 있는 그림 2와 같은 화면이 나타납니다. TS 게이트웨이에 연결하기 위해 클라이언트는 Windows Vista, Windows XP with SP2 와 RDP 6.0 또는 그 이상, Windows Server 2008, Windows Server 2003 with SP1 또는 그 이상, RDP 6.0 이상의 환경이어야만 합니다. TS 게이트웨이 설정의 보다 자세한 정보는 Windows Server 2008 TS 게이트웨이 Server Step-by-Step 가이드를 확인해주시기 바랍니다. 자 이제 ISA Server 2006 설정 방법을 확인해 보겠습니다. 그림 2 TS 게이트웨이 설치 결과
ISA Server 2006 설정 첫번째 순서는 웹 수신기를 만드는 것 입니다. 웹 수신기는 외부 RDP 클라이언트로부터의 요청을 처리할 것 입니다. 웹 수신기를 다음 사항에 맞게 만들어 주십시오. Authentication: Basic Authentication Validation: Windows (Active Directory) Connections: Enable SSL (HTTPS) connections on port 443 Certificates: certificate issued to tsg.contoso.com Networks: External
다음으로, 웹 게시 규칙을 만듭니다. RDP 클라이언트는 Outlook Anywhere가 사용하는 프로토콜과 같은 프로토콜을 사용할 것 입니다. 따라서 Exchange Server 2007 마법사를 이용해서 다음 순서대로 진행해 주시기 바랍니다. 1. 방화벽 정책에서 마우스 오른쪽 버튼을 클릭합니다. 새로 만들기를 선택합니다. 그리고 Exchange 웹 클라이언트 액세스 게시 규칙을 클릭합니다. 2. 웹 게시 규칙 생성 마법사 첫 페이지에 규칙 이름을 입력하고 다음을 누릅니다. 3. 서비스 선택 페이지에서 Exchange 버전을 선택합니다. 여기에서는 Exchange Server 2007을 선택합니다. 그리고 "외부에서 Outlook 사용(RPC/HTTP(s))"를 선택한 후 다음을 클릭합니다.(참고: Exchange Server for Outlook 2007 클라이언트에 추가 폴더 게시 옵션은 선택하지 않습니다.) 4. 게시 유형 페이지에서 "단일 웹 사이트 또는 부하 분산 장치 게시"를 선택한 후 "다음"을 클릭합니다. 5. 서버 연결 보안 페이지에서 "SSL을 사용하여 게시된 웹 서버 또는 서버 팜에 연결"을 선택 후 다음을 클릭합니다. 6. 내부 게시 정보 페이지에서 내부 사이트 이름 입력 박스에 TS 게이트웨이 서버의 이름을 입력합니다. 그리고 "컴퓨터 이름 또는 IP 주소를 사용하여 게시된 서버에 연결" 옵션의 체크 박스에 체크한 다음서버 이름을 입력합니다. 만약 TS 게이트웨이 서버 이름을 모를 경우 찾아보기 버튼을 이용해서 위치를 탐색합니다. 참고. 이 페이지에서 사용하는 이름은 TS 게이트웨이 웹사이트로 연결되는 웹사이트 인증서의 제목과 꼭 일치해야 합니다. 7. 공개 이름 정보 페이지에서 "이 도메인 이름(아래에 입력)"을 선택 한 다음 공개 이름 박스에 이 URL에 발급된 인증서 이름과 같은 이름을 입력합니다. 여기에서는 tsg.contoso.com 을 입력한 후 다음을 클릭합니다. 8. 웹 수신기 선택 페이지에서 이전에 만들어 놓은 웹 수신기를 선택합니다. 그리고 다음을 클릭합니다. 9. 인증 위임 페이지에서 "위임 안함 – 클라이언트에서 직접 인증"을 선택 후 다음을 클릭합니다. 10. 사용자 집합 페이지에서 "모든 사용자"가 선택되어 있는지 확인 후 다음을 클릭합니다. 그리고 마침을 클릭해서 적용합니다. 규칙을 더블 클릭한 후 "경로"텝에서 오직 패스가 "/rpc/*"만 가지고 있는 것을 확인할 수 있습니다. 이것은 외부에서 Exchange Server 2007 사용 마법사를 사용했기 때문입니다.
클라이언트 액세스 테스트와 모니터링 테스트 하기 전에 클라이언트는 RDP 6.0 또는 그 이상이 설치되어있어야 합니다. RDP 클라이언트 응용프로그램을 설정하기 위해서 프로그램을 실행시키고 접속하고 싶은 터미널 서버의 이름을 입력합니다. 옵션 버튼을 클릭합니다. 고급 탭에서 설정버튼을 클릭한 후 외부 TS 게이트웨이 서버의 이름을 입력합니다. 그림 3에서 이 이름은 웹 수신기에 등록된 인증서 이름입니다. Windows NTLM을 사용합니다. 입력이 완료 됐으면 확인을 누르고 연결 버튼을 클립합니다. 그림 3 RDP 클라이언트 설정
참고. RDP 6.0 클라이언트(Windows XP와 Windows Server 2003)은 그림 3과 같은 화면으로 나타납니다. 인증 프롬프트가 두번 실행이 될 것 입니다. 첫번째 인증은 TS Gatewary 컴퓨터에서 인증을 합니다. 그리고 두번째는 접근하려고 하는 터미널 서버에서 인증을 합니다. 이것은 ISA 서버의 설정 때문에 발생하는 것이라고 생각할 수 있기 때문에 중요합니다. 사실 ISA 서버는 ISA 서버를 통한 익명 연결을 허용하는 "모든 사용자"에 대해 웹 게시 규칙은 어떠한 인증도 처리하지 않습니다.
Windows Server 2008의 RDP 클라이언트는 그림 4에서 보시는 것과 같이 원격 컴퓨터에 TS 게이트웨이 자격증명을 사용합니다. 이 옵션이 선택되어있으면 자격 증명을 두번 입력할 필요가 없습니다. 결과적으로 사용자 경험이 낳습니다. 이 SSO(Single Sign-on)옵션은 Windows Vista SP1에서도 사용 가능합니다. 그림 4 Windows Server 2008 RDP 클라이언트
TS 게이트웨이 관리자의 모니터링 옵션을 통해 연결을 모니터링 할 수 있습니다. TS 게이트웨이 서비스는 서버에 연결을 시도한 인증되지 않은 사용자의 자세한 정보도 제공합니다. 그림 5에서 이벤트 뷰어는 TS 게이트웨이를 통해 권한이 없는 사용자로부터 시도된 연결을 볼 수 있습니다. 그림 5 TS 게이트웨이 서비에 기록된 이벤트
이 이벤트에는 ISA Server 2006의 IP 주소가 기록되어있습니다. 그 이유는 ISA 서버의 웹 게시 규칙 옵션 중 "요청이 ISA Server 컴퓨터에서 시작된 것으로 표시"가 설정되어있기 때문입니다. 만약 원래 클라이언트 IP 주소가 등록되기를 원한다면 ISA Server 2006의 웹 게시 규칙에서 "요청이 원래 클라이언트에서 시작된 것으로 표시" 옵션을 선택하면 됩니다.
ISA Server에서 모니터링 ISA Server 2006 지원팩의 새로운 기능을 사용합니다. 이것은 보다 자세하게 볼 수 있고 각각에 대한 내부 네트워크로의 연결을 이해할 수 있습니다. 그림 6은 강조된 한 개의 연결을 보여줍니다. 요청 : the RPC_IN_DATA verb indicating the URL for the RPC over HTTP Proxy. 그림 6 지원팩을 사용한 ISA Server 2006 로깅
만약 로깅을 계속 지켜본다면 다른 "RPC Over HTTP 동사, RPC_OUT_DATA"를 볼 수 있습니다. 이것은 HTTP 방식이 사용되고 있다는 것을 알아내는데 중요합니다. RDP/HTTP는 "RPC_IN_DATA" 와 "RPC_OUT_DATA"가 나타납니다. 만약 이 방식을 거부하는 HTTP 필터링을 사용한다면 트레픽은 ISA 서버에서 거부될 것 입니다. 만약 당신의 환경을 잠그고 싶다면 RDP/HTTP 웹 게시 규칙을 오직 두 방식만 허용하게 설정할 수 있습니다. 일반적으로 게시할 때 사용되는 HTTP 방식에 대한 보다 자세한 정보는 다음 글을 읽어 보십시오. "HTTP Filtering in ISA Server 2004"
Cscript slmgr.vbs -ipk xxxxx-xxxxx-xxxxx-xxxx-xxxx 입력 후 확인
(windows 2008 KMS key 입력)
다음과 같은 스크립트를 사용하여 Windows 2008 KMS를 정품 인증을 활성화 시킵니다. (Cscript slmgr.vbs –ato )
완료.
Windows vista client 인증
도메인 환경
Windows Vista Business, Enterprise를 설치 합니다.
내 컴퓨터 – 속성 – 네트워크 설정 변경- 도메인 이름에 KMS.com 도메인설정 후 재 부팅
로그온과 동시에 Windows 2008 KMS를 자동적으로 찾아 인증을 받으려고 합니다. 하지만, 현재 Vista KMS Host가 25대가 이상이 되지 않는다면, Windows Vista KMS를 사용할 수 없기 때문에 KMS 인증을 받으려는 시도하는 Vista Client는 오류가 메시지가 발생하면서 이벤트 로그를 남기게 됩니다.
여기서 이벤트 로그는 Windows Vista Host에서 확인을 하면, Event ID 12288,12289이 올라오면 정상적인 Windows Vista KMS Host에 연결 되어진 것은 볼 수 있습니다.
다만, Windows 2008 server 에서는 카운트가 하나 증가되는 것을 볼 수 가 있습니다. (cscript slmgr.vbs –dli)
Windows Vista Client에서 정상적으로 Windows 2008 KMS에 연결 상태를 볼 수도 있습니다.(Cscript slmgr.vbs –dli)
Windows 2008 KMS가 25대 이상의 Vista Client 부터 요청을 받게 되면, 홗성화 되어, 다음과 같이 Client는 정품인증을 받을 수 있습니다.
(중요) Vista KMS 인증 Client는 최소 25대가 되어야 사용 가능하며, 만약, 테스트등으로 Vista KMS 를 구성하고자 한다면, 실재 PC를 사용하고, Vista를 설치하여 인증을 시도하여 카운트를 높여야 합니다. Sysprep.exe 이나, Virtual 이미지, NewSID Tool로 불가) 내 컴퓨터 – 속성을 확인하면, 아래와 같이 "ask for Genuine Microsoft software" 인증 마크를 볼 수가 있습니다.
Workgroup 환경
Windows Vista Business, Enterprise를 설치 합니다.
WORKGROUP 환경의 Vista Client 들은 자동으로 인증이 불가 하기 때문에 직접 적으로 명령 프롬프트에서 스크립트를 실행 해주어야 합니다.
Windows 2008 KMS 등록
(cscript slmgr.vbs –skm <KMS 이름>: 1688)
Windows 2008 KMS로 부터 정품 인증 요청 (cscript slmgr.vbs –ato)
보이세요?? 나는 지금도 여전히 도전하고 있습니다!! Always Smile ^___________^
안녕하세요~ Urikiri입니다. 오랜만에 포스팅을 하네요 ^0^ 여름에 잠~깐 휴가도 다녀오고 개인적인 사정으로 잠깐 뜸했는데 벌써 절 잊어버리신 건 아니시겠죠? 이제 휴가 기간도 슬슬 끝나가고 업무에 복귀하시는 독자(?)분들도 계실 것 같아서 오늘부터 계속 좋은 글들을 포스팅 해볼까 합니다. 오늘은 MS Forefront Client Security Team 블로그에 올라온 글 중 NAP에서 FCS가 동작하는 방법에 대한 좋은 글이 있어서 번역을 했습니다. 한번쯤 읽어보시고 SOH(Statement Of Health), SHA(System Health Agent), SHV(System Health Validator)가 무엇이고 어떤 기능을 하는지 이해해 보시길 바랍니다. 그리고 FCS만이 아닌, 타사 백신 프로그램들도 위 SOH, SHA, SHV를 제공할 경우 NAP에 적용할 수 있습니다.
Solution Accelerators Forefront Integration Kit for NAP의 기술적 깊이를 위해 Dan Griffin이 작성한 글을 소개하려합니다.
이 블로그는 두가지의 목적이 있습니다. 첫번째는 간단하게 다음 질문에 대한 답입니다. : NAP이 적합하지 않은(Non-Compliance) 클라이언트들에 대해 어떻게 작동하는가? 다른 말로, 건강한 컴퓨터들과 건강하지 않은 컴퓨터들이 어떻게 구분이 되는가? 두번째는 Solution Accelerators의 새로운 Forefront/NAP 통합 킷을 가지고 무엇을 할 수 있는가? 에 대한 답입니다.
위 두가지를 설명함에 앞서 NAP에 대해 약간 설명을 해드리겠습니다. NAP에는 5가지 시나리오(802.1X, DHCP, Ipsec, Terminal Server Gateway, VPN)가 있습니다. 이 글에서는 DHCP에 대해서 설명합니다. 그러나 DHCP는 몇가지 보안상 문제가 있습니다. 첫번째로, DHCP 구성에서 적합하지 않은 클라이언트는 제한된 네트워크에 놓여집니다. 그러나 네트워크가 기본 라우터가 있는 정말 간단한 구성으로 되어있을 경우 그리고, 기본 게이트웨이가 몇 개 안될 경우, 컴퓨터를 조금 알고있는 사용자는 제한되지 않는 네트워크로 우회할 수 있습니다. 두번째로, DHCP 표준의 제한된 속성 때문에 서버인증이나 메시지 무결성을 제공하지 않습니다. 이 것은 같은 LAN환경에 있는 누군가가 악의적으로 클라이언트나 서버가 알 수 없게 DHCP 트레픽을 수정할 수 있다는 말입니다. 그러나, 인증서 기반의 Ipsec을 이용해서 NAP을 배포할 때에는 위 두가지에 대한 문제를 해결할 수 있습니다. 예를들어 Ipsec 클라이언트와 서버는 상호간에 인증되고 네트워크 트레픽의 암호화와 암호화된 체크섬에 의해 보호됩니다.
그러나 NAP을 배우기 위한 목적이고, 테스트환경에서 POC(Proof of Concept)를 진행하기 위해서는 DHCP로 구성하는게 덜 복잡하고 보다 빠르게 다른 시나리오들을 진행할 수 있습니다. 방법은 다음 Step-by-Step 가이드를 참고해 주시기 바랍니다.
FCS/NAP 아키텍쳐 자세한 설치 절차는 제외하고 NAP이 DHCP로 구성되어있다고 가정하겠습니다. 클라이언트 컴퓨터는 NAP에 의해 적합하지 않을 경우 사내 네트워크 접근 권한을 박탈당하게 됩니다. 첫번째 단계로, NAP 에이전트가 실행되고있는 클라이언트는 SOH(Statement of Health)신호를 DHCP서버에 전송합니다. 아래 그림에서 클라이언트는 왼쪽 아래의 노트북 그림 둘 중 한 개 일 수 있습니다. 아래 큰 동그라미 그림에서 서버는 DHCP와 NPS 역할을 합니다.
DHCP서버는 클라이언트로부터 DHCP 요청을 받습니다. 그리고 SOH신호를 추출해서 NPS서버로 보냅니다. NPS는 이 신호를 분석합니다. 그런데요 한가지 궁금증이 생기네요. 한 서버에서 서비스끼리 통신이 가능할까요? ^^ 만약 SOH가 적합하다고 판단되면 DHCP서버는 사용할 수 있는 IP 정보를 보냅니다. 만약 SOH가 적합하지 않다면 DHCP서버는 제한된 네트워크의 IP정보를 보내줍니다. 그러면 FCS/NAP 솔루션은 어떻게 동작할까요? SOH에 어떤 정보가 포함이 될까요? 그리고 NPS에서 어떻게 평가가 되어질까요? FCS/NAP은 두개의 플러그인으로 구성되어있습니다. 그건 SHA(System Health Agent)와 SHV(System Health Validator) 입니다.
데이터 흐름 클라이언트 SHA는 Forefront관련 정보를 SOH에 추가하고 SHV에 의해 평가가 됩니다. SOH에는 미리 정의된 질문들에 대한 답을 가지고 있습니다. 예를들어 "Forefront Client가 현재 실행 중인가"(아래 그림에서 화살표 2번입니다.) 다른 질문은 "백신 업데이트 버전이 최신인가?"(화살표 1, 3) FCS/NAP의 SHV가 SOH(그림 5)를 받을 때 설정된 Health 정책과 맞는지 검사합니다. 예를 들어 만약 "Forefront가 실행중인가"에 대한 대답이 "아니오"일 경우 SHV는 현재의 정책이 Forefront가 항상 실행 되어야만 하는지 아닌지를 검사합니다.
SOH의 모든 대답에 대해 평가가 끝나면 SHV는 다음 둘 중 한가지 상태를 NPS서버로 보고합니다. 1. 클라이언트가 건강/적합 하다 2. 클라이언트가 건강하지 않음/부적합 하다 후자의 경우 SHV는 사용자에게 부적합한 이유를 설명해줍니다. 예를들어 "Forefront 클라이언트가 실행중이 아닙니다." 또는 "백신 업데이트 버전이 최신이 아닙니다.". 등등. 이런 메시지는 내장된 napstat.exe나 netsh.exe프로그램을 통해서 보여지게 됩니다.
설정시 주의할 점 위 그림에는 나타나있지 않지만, 추가적인 몇가지 NAP 설정 시나리오들이 있습니다.
첫번째는 "보고(Reporting)" 모드 입니다. "보고" 모드에서 NAP은 적합하지 않은 클라이언트들을 격리하진 않습니다. 간단하게 건강상태만 보고하기 때문입니다. 이것은 NAP을 운영하거나 평가중인 고객에게 아주 좋은 설정입니다. "보고"모드는 SHV의 효과가 동작하지 않습니다. 그러나 이것은 위에서 설명한것과 같이 동작합니다. 두번째 시나리오는 NAP "적용(enforcement)" 모드입니다. 부적합한 클라이언트들은 격리됩니다. 그리고 자동 치료(auto-remediation) 옵션이 있습니다. 이것은 어떤 효과가 있고 SHV는 어떻게 동작할까요? 자동치료 옵션이 활성화 되어있지 않다면 SHV는 위에서 설명한 것과 무엇이 잘못 되었는지 알려주기만 합니다. 그러나 자동치료 옵션이 활성화 되어있고 클라이언트가 적합하지 않을 때 SHV는 SOH 응답에 다른 정보를 넣어야만 합니다. 자동치료는 두 가지로 구성된 정보로 응답합니다. 1. 사용자가 수동(Instructive)으로 올바른 행동을 할 수 있는지와 SHA(informative)에 의해 자동으로 올바른 상태로 돌아가게 할 것인지에 대한 시나리오들의 차이를 두기 위해 다른 문자열이 사용됩니다. 후자가 자동치료입니다. 2. SOH응답은 SHV에서 SHA로, 지정된 자동 치료 행동에 관한 프로그램에 의한 명령들이 포함되어야 합니다. 예를들어 정책상 Forefront 서비스가 실행되어있어야 하는데 실행되어있지 않다면, SHV는 SOH에 SHA가 자동으로 서비스를 시작해야한다는 비트마스크를 설정할 것입니다.
지난 주, Windows Server 2008과 Exchange 2007 sp1 기반의 메시징 호스팅 환경을 테스트하다가 재미있는 구성을 해보게 되었습니다. Windows Server 2008 Failover Cluster와 Exchange 2007의 고가용성 시나리오인 CCR의 만남이었는데요.. ^^
가장 인상 깊게 다가왔던 것은 바로~!! Shared Storage가 필요 없는 고가용성의 구성이라는데 있었습니다.
기존의 Exchange 서버를 이용한 고가용성 구축 시에 가장 큰 문제는 Storage를 별도로 구매해야 한다는 비용 부담 측면이 강했었는데요. 이 시나리오를 사용하다면 공유 스토리지가 없이도 구축이 가능하여 스토리지를 구매하는 비용을 절감 할 수 있다는 장점이 있습니다.
이 시나리오를 구성하기 위해서는 Windows Server 2008과 Exchange 2007 sp1이 필요합니다.
엘도라도님께서 앞으로 Exchange 고가용성 포스팅을 통해서 좀 더 자세하게 설명을 해주실 거라 여기서는 Exchange Server 2007의 CCR 시나리오에 대한 설명은 피하기로 하고요. ^^;
구성의 기반이 되는 플랫폼 수준의 클러스터링을 위해서는 Windows Servrer Failover Cluster의 쿼럼 리소스 할당 방식을 Node and File Share Majority 방식이 사용 됩니다. Node and File Share Majority란 Windows Server 2008의 클러스터 시나리오 중의 하나로 기존의 공유 스토리지에 쿼럼 리소스를 할당하는 방식이 아닌 각각의 노드의 로컬과 또 노드들이 공유하고 있는 파일 서버에 클러스터 정보를 저장하는 방식을 이야기 합니다. 이 클러스터 시나리오의 경우 클러스터 정보를 하나의 공유된 스토리지에 저장하는 것이 아니므로, 클러스터를 구성 할 때 각각의 노드들의 위치나 장소에 대한 제한을 받지 않습니다.
위의 그림은 Windows Server 2008의 Failover Cluster의 쿼럼을 구성하는 화면입니다. 마법사를 통해 원하는 클러스터시나리오에 따라 쉽게 쿼럼을 구성하여 다양한 시나리오를 구축 할 수 있습니다. Windows Server 2003까지 클러스터가 까다롭고 조금 어려운 작업에 속했다면, Windows Server 2008의 클러스터는 다양한 시나리오 제공 뿐만 아니라 쉽고 간단하게 구축이 가능하며, 관리 역시도 직관적인 관리 인터페이스를 통해 이전 버전에 비해 크게 향상되었습니다.
Windows Server 2003에서 Windows Server 2008로 넘어 오며 많은 부분이 바뀌고 향상이 되었으며, 클러스터 역시도 이전 버전에 비해 큰 기능 향상과 다양한 시나리오를 통해 기존의 MSCS가 가지고 있던 한계를 뛰어 넘어 발전해가고 있다는 느낌 입니다.
혹시 엑셀을 사용하시나요?? 엑셀은 누구나 사용하는 프로그램인데 그중 피벗 기능을 사용해 보셨는지..?? 실제 강의를 진행해보면 아직 업무상 사용하지 않으신 분들이 의외로 많더라구요. 엑셀에서 피벗기능이 없었다면 자료를 좀 더 보기쉽게 하기 위해 꾸미다가 수많은 함수에 난관을 부딪혀 머리가 아플 정도로 어려웠을텐데, Pivot을 사용하면 데이터 정보를 보고싶은데로 쉽게 요약하여 보기 편하고,, 정말 생각대로 하면 되고~♬(모 CF) 그렇드라구요. 혹시 아직 엑셀도 확인해보지 못하신 분이 있다면 바로 띄워서 엑셀기능부터 활용해 보세요.. *^^*
이번 주제를 진행하면서 기능을 배우실 수 있습니다.
Visio 피벗기능을 활용한 데이터 쉽게 확인하기
누구나 데이터는 다양하게 많이 가지고 있습니다. 요즘같은 시기에서는 자료양이 문제가 아니라 동일한 데이터라 하더라도 얼마나 의사결정에 도움이 되는 부분으로 보여주느냐에 따라 문서의 가치가 올라가죠. 자 그럼 피벗기능을 알아보도록 할까요?
우선 엑셀파일을 열어 피벗기능을 보여드리겠습니다. 엑셀 데이터를 기준으로 피벗을 그린 겁니다. 피벗테이블을 보니 바로 한 눈에 들어오나요? 흠.. 삼선 무역이 2사분기에는 9,980,000원을 했네요. 이 내용을 비지오로 그려볼께요.. (내용만 확인하고자 예쁘게 꾸미진 않았습니다. 너그럽게 봐주시길.^^;) 아래 "피벗샘플.xls" 파일을 받아 확인하시기 바랍니다.
이제 Visio 2007을 통해 피벗 다이어그램을 그려보도록 하겠습니다. 역시 템플릿으로 시작하는게 편하겠죠? [시작] - [사무]에서 [피벗 다이어그램] 템플릿을 실행합니다.
참고로 피벗 다이어그램 셰이프는 달랑 1개밖에 없습니다. 너무 없어서 실망하셨나요?? 이 셰이프는 자동으로 마법사 형식으로 진행이 되므로 드래그&드롭을 이용하여 기존문서에 추가하셔도 됩니다.
아래와 같이 Step by Step으로 진행하시면 됩니다. 가져올 파일이 Excel이므로 Excel 통합문서를 선택합니다. 가져올 파일을 선택합니다. 데이터 값이 있는 시트를 선택 후 모든 행/열을 가져오면 됩니다. 완료하면 아래와 같이 피벗 다이어그램이 생성됩니다.
이제 엑셀값과 동일한지 피벗테이블을 꾸며볼까요?? 일자로 합계가 기본으로 되어있으니 일자체크를 해제하고, 금액을 체크함으로써 전체에 대한 판매금액이 나왔습니다. 이제 [범주 추가] 부분에 거래처 추가를 통해 아래와 같이 각 업체별 판매금액이 집계되었음을 알 수 있습니다.
뭐가 빠졌죠?? 2사분기 판단을 하기 위해 범주에 일자를 선택하여 열 구성을 누릅니다. 2사분기는 데이터에서 2007년 4월 1일 부터 2007년 6월 30일 까지므로 아래와 같이 조건을 주고 확인하시면 됩니다. 삼선 무역 2사분기 판매금액이 9,980,000원으로 엑셀 데이터와 일치하네요. ^^V
이와 같이 피벗 다이어그램을 이용하여 엑셀과 다른 계층형식으로 피벗 다이어그램을 활용할 수 있습니다. 다음에 이 문서를 피벗다이어그램 기능과 함께 다양하게 꾸며보도록 할께요.
안녕하세요 ^^ 오늘은 SQL 클러스터링에 대해서 배워보도록 할께요… 클러스터링이 무엇인가 하면…. Fail-over와 같은 개념입니다. 즉!, 컴퓨터 한대가 죽으면… 다른 한대가 그 리소스를 받아와서 동작한다는 것입니다.
따라서 준비물은…. SQL서버 2Ea, AD서버, 스토리지(3개의 SCSI HDD), 스카시카드 6개 등 입니다
자 그럼 한번 시작해 볼까요??
[서버 클러스터 구성정보]
구분
네트워크
디스크
외부
내부
SQL_A서버
192.168.100.110
20.10.10.110
5G
SQL_B서버
192.168.100.111
20.10.10.111
5G
SQL_DATA
192.168.100.112
1G
Qurum
192.168.100.113
512M
MS_DTC
192.168.100.114
512M
1. 컴퓨터 및 네트워크 구성설정
우선 SQL_A서버부터 설정합니다.(이때 SQL_B서버를 같이 켜시면 안됩니다.) 클러스터 구성 정보와 같이 IP를 입력합니다. 로컬영역연결2 부분에는 20.10.10.110의 fail-over IP를 입력합니다.
2. 도메인 가입
도메인에 가입합니다 참고로 joong-go.com 이라고 ad를 올렸습니다 ^^(앞으로의 사업?)
3. 디스크 할당 및 포멧
디스크를 기본 디스크로 만듦니다.(동적 디스크 안돼요) 확인한 다음 포멧을 진행합니다 각각의 볼륨은 사용자가 잘 알아볼 수 있는 SQL = S: , Qurum = Q: , MS_DTC = M: 로 지정합니다 위 구성과 마찬가지로 SQL_A서버 종료 후 SQL_B 서버를 동일하게 구성합니다.
4. DTC 구성요소 설치 진행
DTC와 COM+를 설치합니다(A, B 둘 다 설치 합니다)
5. 새 클러스터를 만들어요
만들 때는 시작 – 실행 – cluadmin(클러스터 관리자) 이라고 입력합니다
6. 클러스터를 만들려면 관리 할 수 있는 클러스터 이름을 넣어주세요
7. 첫 번째 노드의 클러스터는 아래와 같습니다
8. 구성요소들의 설치가 완료 되었습니다
9. 클러스터 IP를 넣습니다 (192.168.100.112)
10. 클러스터 관리할 관리자의 계정과 ID를 입력합니다
11. 쿼럼 디스크를 선택합니다
12. 클러스터 설치 완료
클러스터 마법사가 완료되면 SQL_B서버의 전원을 ON합니다
13. SQL_A에서 SQL_B로 노트 추가하기
파일 – 새로만들기 – 노드를 클릭하여 A->B 노드를 추가 합니다.
구성이 완료되었습니다 ^^ 처음 구성하는 것이라 많이 어려운 점도 있었는데요.;.. 시행착오를 겪고나니 이정도 쯤이야 하더군요… ^^
다음시간에는 나머지 부분,.. DTC 리소스 구성방법과 SQL server설치 하는 방법을 간략하게 보여드릴께요….
보이세요?? 나는 지금도 여전히 도전하고 있습니다!! Always Smile ^___________^
invalid-file
