한 울타리 안의 친구들~

사내에서 FCS Agent에서 상태 정보를 리포팅 받거나 정책을 배포하기 위해서 설치 옵션에 MOM 컬렉션 서버 이름과 MOM 구성 그룹 이름을 입력해야만 합니다.
그러나, 설치 옵셔 중 /nomom 옵션으로 설치를 할 경우 MOM Agent를 제외한 FCS Client가 설치되게 됩니다.

그럼 업데이트는 어떻게 할 까요? 기업에서는 WSUS에서 Signature나 Agent 업데이트를 진행하지만 /nomom 옵션으로 설치한 홈 사용자는 Microsoft Windows Update에서 업데이트를 하게 됩니다. 이 기능을 이용하기 위해서는 최초 한번은 Windows Update 사이트에 방문하셔서 Windows 와 다른 제품들의 업데이트를 검색할 수 있게 업데이트가 되어 있어야 합니다.

지원하는 OS는 Windows Server 2000 With SP4, Windows XP With SP2 이상이면 X86, X64모두 설치가 가능합니다.

Windows Vista이상에서 설치를 하기 위해서는 명령 프롬프트 창을 관리자 권한으로 실행해 주신다음 clientsetup.exe /nomom 명령어로 실행해 주셔야 합니다.
이렇게 설치한 agent의 상태를 기업내의 서버에서 모니터링 하거나 정책 배포를 할 수 있나요?라고 혹시나 물어보신다면 /nomom 옵션이 의미하는 걸 좀 더 생각해 보시길 바랍니다.
만약 자기 회사에서 FCS 라이선스가 있으신 분들은 크랙 버전의 다른 백신을 설치하시는 것 보다는 당당하게 FCS Agent를 사용해 보시는 건 어떨까요?

아래는 설치시 필요한 파일들입니다.

[참고]
Client Security and the home user
Protecting home computers

시나리오 2
이번 시나리오에서, TS 게이트웨이는 다른 서버에 있는 NPS 중앙 정책을 이용할 것 입니다. 우리는 원격에서 TS 게이트웨이를 통해 연결하는 클라이언트들에 대해 NAP 정책을 적용할것 입니다. 시나리오 1에서 사용했던 구성요소와 같은 구성요소가 사용됩니다. 오직 NPS 서버만 추가되었습니다. 그러나 NAP 적용하기 위해 그림 7에서 보여지는것 과 같이 클라이언트에 추가적인 구성요소가 사용됩니다.
 
그림 7. 시나리오 2 토폴로지의 주요 구성요소들

각각의 개별적인 구성요소에 대해 설명해 드리겠습니다.Windows Vista 클라이언트에서 SHA(System Health Agent)는 모니터링과 클라이언트 건강 상태를 보고하기 위한 클라이언트쪽 구성요소입니다. Windows Vista는 Windows SHA를 가지고 있습니다. 그러나, 그들의 SHAs를 만들어서 동작하게하는 다른 업체들이 있습니다. 클라이언트에 있는 NAP 에이전트는 NAP 서버와 커뮤니케이션 확립을 위해 응답할 수 있습니다. 클라이언트가 네트워크에 연결을 시도할 때 NAP 에이전트는 클라이언트의 SoH(Statement of Health)를 서버로 보냅니다.

TS RAP(Resource Authorization Policy)은 TS 게이트웨이의 구성요소입니다. 그것은 들어오는 RDP 요청에 대해 어떤 컴퓨터가 가능한지를 결정하게 합니다. TS RAP는 또한 어떤 사용자가 특정 서버로 RDP 연결을 맺을 수 있는지에 대해서도 결정합니다.

중앙 NPS는 상태 제어, 구속(constraints), 그리고 내부 컴퓨터에 접근을 통제하는 설정에 대해 응답할 수 있습니다. 중앙 NPS의 SHVs(System Health Validators)는 클라이언트가 제출한 SoH가 관리자가 설정한 정책에 적합한지 아닌지에 대한 평가에 대해 응답할 수 있습니다.

이제 TS 게이트웨이가 NPS 중앙 서버를 가리키게 하겠습니다. TS Gateway Manager 콘솔을 실행합니다. 서버이름에서 마우스 오른쪽 버튼을 클릭합니다. 그리고 속성을 선택합니다. 서버 속성 창에서 TS CAP 저장소를 탭을 클릭한 후 중앙 NPS 서버를 선택합니다. NPS 서버의 IP 주소를 입력합니다. 그리고 추가 버튼을 클릭합니다. 공유 암호 창이 나타납니다. 암호를 입력하고 마침을 클릭합니다. 그리고 마침을 클릭해서 창을 닫습니다. 이 암호는 NPS 서버에서 사용되기 때문에 기억해야합니다.

NPS가 이미 다른 서버에 설치되었다는 가정하에 다음 순서를 진행하십시오.

1. NPS 콘솔을 실행합니다. 왼쪽에 NPS(Loacl)을 클릭합니다.
2. 오른쪽 창에서 NAP 구성을 클릭합니다. "네트워크 연결 방법"이 나타납니다.
3. 네트워크 연결 방법 아래에서 "TS 게이트웨이(터미널 서비스 게이트웨이)"를 선택합니다.
4. "TS 게이트웨이를 실행하는 NAP 적용 서버 지정"에서 "추가"버튼을 클릭합니다.
5. "새 TS 게이트웨이 서버"에서 TS 게이트웨이 서버의 IP나 이름을 입력합니다. 그리고 아래에 공유 암호를 입력합니다. 그리고 "확인"을 클릭합니다.
6. "클라이언트 장치 리디렉션 및 인증 방법 구성"페이지에서 리디렉션할 장치를 지정하고 허용할 인증 방법(암호 허용 또는 스마트 카드 허용)을 선택할 수 있습니다.
7. "사용자 그룹 및 컴퓨터 그룹 구성" 페이지에서 연결을 맺을 사용자 그룹을 추가합니다. 예를들어 "사용자 그룹" 아래의 "사용자 추가"버튼을 클릭합니다. 그리고 "Domain Admins"를 추가합니다. 그리고 "확인"을 누른 후 "다음"을 클릭합니다.
8. "NAP 상태 정책 정의"페이지에서 기본적으로 SHV가 이미 선택되어진 것을 확인할 수 있습니다. 이 페이지 아래에 적합하지 않은 컴퓨터덜은 액세스가 거부된 것도 확인할 수 있습니다. 기본설정대로 놔둔후 "다음"버튼을 클릭합니다.
9. "NAP 적용 정책 및 RADIUS 클라이언트 구성 완료"페이지는 앞에서 선택한 옵션들을 확인 할 수 있습니다. 그리고 "구성 세부 정보" 링크를 클릭하면 선택한 것 들이 요약된 HTML 페이지가 나타날 것 입니다. "마침"을 눌러 구성을 마칩니다.

이 마법사를 통한 작업은 많은 중요한 정책들의 설정을 구성하는데 도움이 됩니다.(연결 요청 정책, 네트워크 정잭 그리고, 성태 정책), 이 시나리오에 대한 NAP을 구성하는데 필요한 작업을 눈에띄게 줄여줍니다.

클라이언트에 대해서
서버가 이제 모두 설치가 되고 설정이 되었습니다. 이제 클라이언트에 대해선 어떤 것을 해야 할까요?

NAP 적용 정책의 이점을 위해 클라이언트는 Windows Server 2008 또는 Windows Vista이어야 합니다. Windows XP는 NAP 클라이언트를 포함하기 위해 SP3가 설치되어야 합니다. 그리고 아래는 몇 개의 관계되는 서비스와 설정입니다.

• 클라이언트에서 신뢰할 수 있는 서버 목록에 TS 게이트웨이 서버의 이름을 추가합니다.
• NAP 에이전트 서비스를 시작합니다. 그리고 서비스 시작 유형을 "자동"으로 설정합니다.
• TS 게이트웨이 격리 적용 클라이언트를 활성화 합니다.

이 솔루션을 쉽게 배포하기 위해서 Microsoft는 터미널 서비스 NAP 클라이언트 설정 명령을 만들었습니다.(Tsgqecclientconfig.cmd) 이것은 여기에서 다운로드 하실 수 있습니다. 명령어를 실행한 후에는 클라이언트는 TS 게이트웨이를 사용하는 NAP 적용 클라이언트로 설정될 것입니다. 명령어는 관리자 권한으로 실행되어야만 합니다.

[원문 Article]
http://technet.microsoft.com/en-us/magazine/cc742827.aspx

그 분의 요청은 현재 Exchange Server 2007 프로젝트를 진행 중인데, 고객이 대량의 계정(약 10000개)과 메일 그룹(약 2000개)을 생성 요청을 받았다고 합니다.

물론 Excel (인사DB) 파일을 받았다고 합니다. 내용을 확인해 보니, 한국어, 중국어, 영어 등 3개국어가 들어있었습니다.

그래도 다행히 계정을 생성하는 방법은 찾았는데, 아무리 찾아도 메일 그룹을 생성하는 방법은 못 찾아서 요청을 하셨다고 합니다.

[시나리오]

Excel 파일을 이용하여 대량의 메일 그룹 계정을 생성해야 함

메일 그룹은 특정 OU로 설정하여 생성해야 함

한글 또는 중국어가 깨지지 않아야 함

아래 그림과 같이 AD 사용자 및 컴퓨터 콘솔을 이용하여 ELDORADO29 라는 OU의 하위의 Group OU 를 생성합니다.

※ 만약 아래 그림과 같이 GUI로 새 메일 그룹을 생성한다면, 2000개를 생성하는 것은 상당히 힘들 수 밖에 없습니다.  (또한 그룹 종류도 선택해야 하고, 조직 단위, 이름, 별칭 등 1개 메일 그룹을 생성하는 것은 상당히 힘든 작업 일 수 밖에 없습니다. )

대량의 작업을 진행하기 위해서는 파워쉘을 이용하는 것을 권장합니다. 소스는 아래와 같습니다.~

CSV  파일로 구성된 그룹 인사 DB 자료를 확인합니다.

파워셸을 이용하여  CSV  파일을 Import 합니다.

아래 그림과 같이 정상적으로 메일 그룹 계정이 생성되는 것을 확인 할 수 있습니다.

위 그림과 같이  AD  및  Exchange Server 관리콘솔에서 Bulk작업 한 것을 확인 해 보시면 됩니다.

Exchange 서버 운영에 도움이 되었으면 좋겠네요. ^^

.

요즘은 포털사이트가 해킹이 되면서 개인정보 유출에 대한 기사가 사회적 이슈가 되었습니다. 이런류의 사건은 사이트가 해킹이 되어서 DB가 뚫린 경우라 할 수 있습니다. 이 부분은 외부적인 공격이라 할 수 있습니다. 그럼, 잠깐 시선을 내부로 돌려보겠습니다. 만약 사내에 악의적인 사용자가 사내 DB나 파일서버에 접근하거나, 바이러스에 걸렸거나, 기본적인 사내 보안 정책을 위반한 사용자 또는 컴퓨터가 내부 네트워크에 접근해서 관리자의 의도와는 상관없이 네트워크에 불필요한 트레픽을 유발하거나, 서버에 백도어가 설치된다라고 한다면 요즘같이 컴퓨터로 대부분의 업무를 보고, 데이터를 디지털화 하는 시대에는 참으로 끔찍한 일이 벌어질 수 있습니다.

통신 보안에 있어서 사용자와 웹서버와의 통신 보안은 SSL을 이용하면 보완을 할 수 있지만 이 것은 지극히 웹전용이라는 한계가 있습니다. 사내 내부에서 사용자에서 서버로의 접근, 서버에서 서버로의 데이터 접근에서는 대부분 보안을 적용하지 못하고 있는게 대부분의 현실일 것 입니다.

IP기반 통신에서 네트워크를 보호하기 위한 방법으로 IP Security(IPSec)라는 방법이 있습니다. 앞으로 보안을 적용하려면 빠질 수 없는 항목이 될거라 생각이 됩니다. IPSec을 적용하면 어떻게 되냐구요? 간단하게는 두 컴퓨터 사이에 IP통신 트레픽의 데이터 내용이 암호화가 되구요, 서버는 접속하는 컴퓨터를 제한할 수 도 있습니다.

이번에 런칭한 Microsoft Server 2008의 NAP(Network Access Protection)도 IPSec 기술을 이용 건강한 PC와 건강하지 않은 PC를 구별해서 컴퓨터를 인증 후에 네트워크 접속을 제한하게 합니다.

이 기능을 NAP은 IPSec의 인증방법을 이용해서 구현합니다. IPSec 인증 방법은 Keberos(동일한 도메인 내에서만 사용 가능), Shared Key, 인증서를 사용할 수 있습니다.

여기에서 인증서를 사용해서 컴퓨터 인증을 할 때 사내 보안정책에 위배되지 않는 건강한 컴퓨터는 인증서를 발급하고, 그렇지 않은 컴퓨터는 인증서를 강제로 뺐는 방법을 이용해서 내부 네트워크에서 격리시킬 수 있습니다.

다음에는 IPSec 구현 방법에 대해 설명해 드리겠습니다.