CORAISE(코레이즈)

안녕하세요 향기입니다~*

Cisco 장비에서 DHCP Snooping 셋팅법입니다.

DHCP Snooping 기능은 Trust가 된 DHCP 외에는 DHCP를 장비에서 거부를 하게 하는 방법입니다.

사내에 엉뚱한 테스트나 DHCP로 고생한 적이 있으신 분들은 사용하시면 좋습니다.

DHCP Snooping

A DHCP server normally provides all the basic information a client PC needs to operate on a

network. For example, the client might receive an IP address, a subnet mask, a default gateway

address, DNS addresses, and so on.

Suppose that an attacker could bring up a rogue DHCP server on a machine in the same subnet as

that same client PC. Now when the client broadcasts its DHCP request, the rogue server could

send a carefully crafted DHCP reply with its own IP address substituted as the default gateway.

When the client receives the reply, it begins using the spoofed gateway address. Packets destined

for addresses outside the local subnet then go to the attacker’s machine first. The attacker can

forward the packets to the correct destination, but in the meantime, it can examine every packet

that it intercepts. In effect, this becomes a type of man-in-the-middle attack; the attacker is wedged

into the path and the client doesn’t realize it.

Cisco Catalyst switches can use the DHCP snooping feature to help mitigate this type of attack.

When DHCP snooping is enabled, switch ports are categorized as trusted or untrusted. Legitimate

DHCP servers can be found on trusted ports, whereas all other hosts sit behind untrusted ports.

http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.1/13ew/configuration/guide/dhcp.html

안녕하세요 향기입니다~*

자동으로 CD-Key를 배포하는 방법입니다.

Notepad에서

slmgr -ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXXX
slmgr -ato

.cmd 파일로 생성하시고, AD에서 Script로 정책 내리시면

사용자에게 자동으로 CD-Key 배포가 가능합니다.

안녕하세요 향기입니다~*

비스타 관련 KB와 A/S 조치 방법입니다.

참고하세요~*

안녕하세요 향기입니다~*

예전에 DFS로 파일서버를 구축 했을 당시 원인 모를 블루스크린 현상으로 인하여

사용자들이 루트 폴더에 접근할 시 블루스크린이 나타나서 곤욕을 치른 적이 있습니다.

그때, 찾아낸 방법이 특정 파일을 삭제해서 문제를 해결한 적이 있습니다.

제가 경험한 바로는 DFS 뿐 아니라 여러 가지 문제를 발생 시킵니다.

[네트워크 폴더 접근시 다운되는 증상 발생시 확인 방법]

-\\파일서버 폴더 내의 특정 폴더 접근시 다운되거나 재부팅이 발생될 때 확인 한다.

-C\Window\system32\drivers 내의 afpansi.sys 파일을 삭제한뒤 재부팅을 진행하면 된다.

문제 해결 방법

Alfa File Protector (AFPAnsi.sys)은(는) Alfa Corporation에서 만든 제품입니다. Alfa Corporation에서 사용자가 보고한 문제의 해결 방법이 있다고 Microsoft에 연락했습니다. 문제 해결 방법을 확인하려면 Alfa Corporation에서 아래 사이트를 방문하도록 권장합니다.

http://www.alfasp.com/bugcheck.html

==================================================
시스템오류 재부팅 안되게 설정하는 방법

내 컴퓨터 ? 속성 ? 고급 ? 시작 및 복구 ? 설정에서
"시스템오류"항목의 "자동으로 다시 시작"을 체크 해제하면 됨

==================================================
Problem

After installing a new program and rebooting your system you received a blue screen with the following error:
BUG_CHECK 0xC1(0, 0, 0, 0)

and the string "Most probably caused by "AFPAnsi.sys" or "BXShield.sys"". (BXShield.sys is AFPAnsi.sys with custom resources).

The system will not necessarily bug check right after reboot. The bug is related to parsing of file names with exactly 192 characters, so the likelihood of receiving this error is low.

This is a bug in Alfa File Protector driver dated between December 8th 2003 (version 2003.0.1.21) and May 18th 2004 (version 2004.0.2.22). The bug affected both demo and registered version drivers.

Solution

Use the Microsoft Recovery Console to delete AFPAnsi.sys (or BXShield.sys) from \WinNT\System32\Drivers directory. For more information on the Recovery Console, consult the manual that came with your OS or visit (from another computer) Microsoft's website.
After reboot, the program using AFPAnsi.sys will, most probably, notice the driver is missing and notify you that it must be reinstalled. Please contact the manufacturer of the program for an update to fix the problem.

AFP is a product used by 3rd party programs for file security and hiding purposes. Examples of such programs are "file access restriction" programs, Distributed Rights Management (DRM) solutions and others. It is necessary to determine the program which installed the AFP driver, in order to contact the manufacturer for an update. Most programs will disable deleting AFPAnsi.sys/BXShield.sys when the OS is booted.

NOTE: Simply installing the newest AFP driver will fix the bug check, however since data structures have changed between versions, this will affect how the program runs. Unless you update the program directly from the manufacturer, it is probable the software will not run properly. The registered driver is not distributed to end-users by Alfa Corporation.

참고하시기 바랍니다.

안녕하세요 향기입니다~*

MS Office의 강력한 Tool 중에 하나인 VISIO를 써보셨나요?

저는 데이터시트와도 연동이 되기 때문에 많이 사용하고 있습니다.

VISIO의 구성도처럼 이쁘게 만들고 싶지만 VISIO는 OFFICE 제품군 중에서도 별도의 라이센스로 제공 되는 제품이라서

별도로 구매하셔야 합니다.

이런 아쉬운 점이나, 간단하게 VISIO를 이용한 효과를 만들고 싶으실때

http://www.gliffy.com/ 

gliffy 사이트를 이용해 보시는 것도 좋을 것 같습니다.

사용 방법은 어렵지 않습니다.

무료이기 때문에 사용해보시기 바랍니다^^

Diagram Software for the rest of us!

With Gliffy online diagram software, you can easily create professional-quality flowcharts, diagrams, floor plans, technical drawings, and more.

Our online diagram editor makes it easier than ever to create great looking drawings

안녕하세요 향기입니다~*

Virtual PC 나 VM Ware로 동일 이미지로 서버 구성할 때 SID값 충돌로 인하여 매번 재설치 하는 불편함이 있습니다.

New SID Tool로 해결이 가능합니다. 이 Tool이 무료인지는 모르겠습니다만, 문제가 된다면 삭제 하겠습니다.

Readme.txt 에 Liscence에 관한 문항이 없어서…

NewSid.zip

NewSID

            Copyright ?1997-2002  Mark Russinovich and Bryce Cogswell

                               Last updated December 9, 2002 v4.0

                               Introduction
                               Many organizations use disk image cloning to
                              perform mass rollouts of Windows. This technique
                              involves copying the disks of a fully installed
                              and configured Windows computer onto the disk
                              drives of other computers. These other computers
                              effectively appear to have been through the same
                              install process, and are immediately available for
                              use.

                              While this method saves hours of work and hassle
                              over other rollout approaches, it has the major
                              problem that every cloned system has an identical
                              Computer Security Identifier (SID). This fact
                              compromises security in Workgroup environments,
                              and removable media security can also be
                              compromised in networks with multiple identical
                              computer SIDs.

                              Demand from the Windows community has lead
                              PowerQuest, Ghost Software and Altiris to develop
                              programs that can change a computer's SID after a
                              system has been cloned. However, PowerQuest's SID
                              Changer and Ghost Software's Ghost Walker are only
                              sold as part of each company's high-end product.
                              Further, they both run from a DOS command prompt
                              (Altiris' changer is similar to NewSID).

                              NewSID is a program we developed that changes a
                              computer's SID. It is free, comes with full
                              source, and is a Win32 program, meaning that it
                              can easily be run on systems that have been
                              previously cloned. NewSID works Windows NT 4,
                              Windows 2000, Windows XP and Windows .NET Server.
                              Please read this entire article before you use
                              this program.

                              Version Information:
                                Version 4.0 introduces support for Windows XP
                                and .NET Server, a wizard-style interface,
                                allows you to specify the SID that you want
                                applied, and also the option to rename a
                                computer (which results in a change of both
                                NetBIOS and DNS names).
                                Version 3.02 corrects a bug where NewSid would
                                not correctly copy default values with invalid
                                value types when renaming a key with an old SID
                                to a new SID. NT actually makes use of such
                                invalid values at certain times in the SAM. The
                                symptom of this bug was error messages reporting
                                access denied when account information was
                                updated by an authorized user.
                                Version 3.01 adds a work-around for an
                                inaccessible Registry key that is created by
                                Microsoft Transaction Server. Without the
                                work-around NewSID would quit prematurely.
                                Version 3.0 introduces a SID-sync feature that
                                directs NewSID to obtain a SID to apply from
                                another computer.
                                Version 2.0 has an automated-mode option, and
                                let's you change the computer name as well.
                                Version 1.2 fixes a bug in that was introduced
                                in 1.1 where some file system security
                                descriptors were not updated.
                                Version 1.1 corrects a relatively minor bug that
                                affected only certain installations. It also has
                                been updated to change SIDs associated with the
                                permission settings of file and printer shares.

                               Cloning and Alternate Rollout Methods
                               One of the most popular ways of performing mass
                              Windows rollouts (typically hundreds of computers)
                              in corporate environments is based on the
                              technique of disk cloning. A system administrator
                              installs the base operating system and add-on
                              software used in the company on a template
                              computer. After configuring the machine for
                              operation in the company network, automated disk
                              or system duplication tools (such as Ghost
                              Software's Ghost, PowerQuest's Image Drive,
                              Altiris' RapiDeploy, and Innovative Software's
                              ImageCast) are used to copy the template
                              computer's drives onto tens or hundreds of
                              computers. These clones are then given final
                              tweaks, such as the assignment of unique names,
                              and then used by company employees.

                              Another popular way of rolling out is by using the
                              Microsoft sysdiff utility (part of the Windows
                              Resource Kit). This tool requires that the system
                              administrator perform a full install (usually a
                              scripted unattended installation) on each
                              computer, and then sysdiff automates the
                              application of add-on software install images.

                              Because the installation is skipped, and because
                              disk sector copying is more efficient than file
                              copying, a cloned-based rollout can save dozens of
                              hours over a comparable sysdiff install. In
                              addition, the system administrator does not have
                              to learn how to use unattended install or sysdiff,
                              or create and debug install scripts. This alone
                              saves hours of work.
                               The SID Duplication Problem
                               The problem with cloning is that it is only
                              supported by Microsoft in a very limited sense.
                              Microsoft has stated that cloning systems is only
                              supported if it is done before the GUI portion of
                              Windows Setup has been reached. When the install
                              reaches this point the computer is assigned a name
                              and a unique computer SID. If a system is cloned
                              after this step the cloned machines will all have
                              identical computer SIDs. Note that just changing
                              the computer name or adding the computer to a
                              different domain does not change the computer SID.
                              Changing the name or domain only changes the
                              domain SID if the computer was previously
                              associated with a domain.

                              To understand the problem that cloning can cause,
                              it is first necessary to understand how individual
                              local accounts on a computer are assigned SIDs.
                              The SIDs of local accounts consist of the
                              computer's SID and an appended RID (Relative
                              Identifier). The RID starts at a fixed value, and
                              is increased by one for each account created. This
                              means that the second account on one computer, for
                              example, will be given the same RID as the second
                              account on a clone. The result is that both
                              accounts have the same SID.

                              Duplicate SIDs aren't an issue in a Domain-based
                              environment since domain accounts have SID's based
                              on the Domain SID. But, according to Microsoft
                              Knowledge Base article Q162001, "Do Not Disk
                              Duplicate Installed Versions of Windows NT", in a
                              Workgroup environment security is based on local
                              account SIDs. Thus, if two computers have users
                              with the same SID, the Workgroup will not be able
                              to distinguish between the users. All resources,
                              including files and Registry keys, that one user
                              has access to, the other will as well.

                              Another instance where duplicate SIDs can cause
                              problems is where there is removable media
                              formated with NTFS, and local account security
                              attributes are applied to files and directories.
                              If such a media is moved to a different computer
                              that has the same SID, then local accounts that
                              otherwise would not be able to access the files
                              might be able to if their account IDs happened to
                              match those in the security attributes. This is
                              not be possible if computers have different SIDs.

                              An article Mark has written, entitled "NT Rollout
                              Options", was published in the June issue of
                              Windows NT Magazine. It discusses the duplicate
                              SID issue in more detail, and presents Microsoft's
                              official stance on cloning. To see if you have a
                              duplicate SID issue on your network, use PsGetSid
                              to display machine SIDs.
                               NewSID
                               NewSID is a program we developed to change a
                              computer's SID. It first generates a random SID
                              for the computer, and proceeds to update instances
                              of the existing computer SID it finds in the
                              Registry and in file security descriptors,
                              replacing occurrences with the new SID. NewSID
                              requires administrative privileges to run. It has
                              two functions: changing the SID, and changing the
                              computer name.

                              To use NewSID's auto-run option, specify "/a" on
                              the command line. You can also direct it to
                              automatically change the computer's name by
                              including the new name after the "/a" switch. For
                              example:

                                     newsid /a [newname]

                              Would have NewSID run without prompting, change
                              the computer name to "newname" and have it reboot
                              the computer if everything goes okay.

                              NewSID's SID-synchronizing feature that allows you
                              to specify that, instead of randomly generating
                              one, the new SID should be obtained from a
                              different computer. This functionality makes it
                              possible to move a Backup Domain Controller (BDC)
                              to a new Domain, since a BDC's relationship to a
                              Domain is identified by it having the same
                              computer SID as the other Domain Controllers
                              (DCs). Simply choose the "Synchronize SID" button
                              and enter the target computer's name. You must
                              have permissions to change the security settings
                              of the target computer's Registry keys, which
                              typically means that you must be logged in as a
                              domain administrator to use this feature.

                              Note that when you run NewSID that the size of the
                              Registry will grow, so make sure that the maximum
                              Registry size will accomodate growth. We have
                              found that this growth has no perceptible impact
                              on system performace. The reason the Registry
                              grows is that it becomes fragmented as temporary
                              security settings are applied by NewSID. When the
                              settings are removed the Registry is not
compacted.

                              Note that while we have thoroughly tested NewSID,
                              you must use it at your own risk. As with any
                              software that changes file and Registry settings,
                              it is highly recommended that you completely
                              back-up your computer before running NewSID.
                               Moving a BDC
                               Here are the steps you should follow when you
                              want to move a BDC from one domain to another:
                                Boot up the BDC you want to move and log in. Use
                                NewSID to synchronize the SID of the BDC with
                                the PDC of the domain to which you wish to move
                                the BDC.
                                Reboot the system for which you changed the SID
                                (the BDC). Since the domain the BDC is now
                                associated with already has an active PDC, it
                                will boot as a BDC in its new domain.
                                The BDC will show up as a workstation in Server
                                Manager, so use the "Add to Domain" button to
                                add the BDC to its new domain. Be sure to
                                specify the BDC radio button when adding.

                               How it Works
                               NewSID starts by reading the existing computer
                              SID. A computer's SID is stored in the Registry's
                              SECURITY hive under SECURITY\SAM\Domains\Account.
                              This key has a value named F and a value named V.
                              The V value is a binary value that has the
                              computer SID embedded within it at the end of its
                              data. NewSID ensures that this SID is in a
                              standard format (3 32-bit subauthorities preceded
                              by three 32-bit authority fields).

                              Next, NewSID generates a new random SID for the
                              computer. NewSID's generation takes great pains to
                              create a truly random 96-bit value, which replaces
                              the 96-bits of the 3 subauthority values that make
                              up a computer SID.

                              Three phases to the computer SID replacement
                              follow. In the first phase, the SECURITY and SAM
                              Registry hives are scanned for occurrences of the
                              old computer SID in key values, as well as the
                              names of the keys. When the SID is found in a
                              value it is replaced with the new computer SID,
                              and when the SID is found in a name, the key and
                              its subkeys are copied to a new subkey that has
                              the same name except with the new SID replacing
                              the old.

                              The final two phases involve updating security
                              descriptors. Registry keys and NTFS files have
                              security associated with them. Security
                              descriptors consist of an entry that identifies
                              which account owns the resource, which group is
                              the primary group owner, an optional list of
                              entries that specify actions permitted by users or
                              groups (known as the Discretionary Access Control
                              List - DACL), and an optional list of entries that
                              specify which actions performed by certain users
                              or groups will generate entries in the system
                              Event Log (System Access Control List - SACL). A
                              user or a group is identified in these security
                              descriptors with their SIDs, and as I stated
                              earlier, local user accounts (other than the
                              built-in accounts such as Administrator, Guest,
                              and so on) have their SIDs made up of the computer
                              SID plus a RID.

                              The first part of security descriptor updates
                              occurs on all NTFS file system files on the
                              computer. Every security descriptor is scanned for
                              occurrences of the computer SID. When NewSID finds
                              one, it replaces it with the new computer SID.

                              The second part of security descriptor updates is
                              performed on the Registry. First, NewSID must make
                              sure that it scans all hives, not just those that
                              are loaded. Every user account has a Registry hive
                              that is loaded as HKEY_CURRENT_USER when the user
                              is logged in, but remains on disk in the user's
                              profile directory when they are not. NewSID
                              identifies the locations of all user hive
                              locations by enumerating the
                              HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
                              NT\CurrentVersion\ProfileList key, which points at
                              the directories in which they are stored. It then
                              loads them into the Registry using RegLoadKey
                              under HKEY_LOCAL_MACHINE and scans the entire
                              Registry, examining each security descriptor in
                              search of the old computer SID. Updates are
                              performed the same as for files, and when its done
                              NewSID unloads the user hives it loaded. As a
                              final step NewSID scans the HKEY_USERS key, which
                              contains the hive of the currently logged-in user
                              as well as the .Default hive. This is necessary
                              because a hive can't be loaded twice, so the
                              logged-in user hive won't be loaded into
                              HKEY_LOCAL_MACHINE when NewSID is loading other
                              user hives.

                              Finally, NewSID must update the ProfileList
                              subkeys to refer to the new account SIDs. This
                              step is necessary to have Windows NT correctly
                              associate profiles with the user accounts after
                              the account SIDs are changed to reflect the new
                              computer SID.

                              NewSID ensures that it can access and modify every
                              file and Registry key in the system by giving
                              itself the following privileges: System, Backup,
                              Restore and Take Ownership.
                               Using the Source
                               Full source code to NewSID has been provided for
                              educational purposes. You may not use this code in
                              a commercial or freeware SID-changing product, but
                              you may use its techniques in other programs for
                              private or commercial use.

안녕하세요.

Exchange2007 에 대한 아키텍쳐 정보가 한눈에 나와있는 Poster입니다.

PDF파일로 굉장히 잘 나와있어서 한눈에 보기 좋네요..

참고하세요

invalid-file

안녕하세요 향기입니다~*

Tarpit 기능 및 적용방법입니다.

SMTP 타르핏 기능이란?

타르핏 기능은 스팸이나 기타 원하지 않는 트래픽과 관련된 특정 SMTP 통신을 고의적으로 지연하는 방법입니다. 이러한 종류의 통신을 적용하려면 일반적으로 많은 양의 트래픽을 사용하게 됩니다. SMTP 통신 속도를 저하시켜 자동 스팸을 보내거나 사전 공격(dictionary attack)을 수행할 수 있는 속도를 크게 줄일 수 있습니다. 타르핏 기능을 사용하면 합법적인 트래픽 또한 느려질 수 있습니다.

수고하세요~*

Microsoft Windows Server 2003의 SMTP 타르핏 기능

이 문서가 적용되는 제품 보기.

중요 이 문서에서는 레지스트리 수정 방법을 설명합니다. 레지스트리를 수정하기 전에 레지스트리를 백업하는 것이 좋습니다. 문제가 발생하는 경우 레지스트리를 복원하는 방법을 이해하고 있어야 합니다. 레지스트리 백업, 복원 및 수정 방법은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

256986 (http://support.microsoft.com/kb/256986/) Microsoft Windows 레지스트리 설명

이 페이지에서

기술 업데이트: 2005년 5월 10일

소개

추가 정보

SMTP 타르핏 기능이란?

타르핏 기능을 사용해야 하는 경우

받는 사람 필터링 기능이란?

타르핏 기능과 받는 사람 필터링 기능을 함께 사용하는 방법

공격자에게 도움이 될 수 있는 응답을 Exchange에서 보내지 않도록 막지 않는 이유

타르핏 기능을 설정하는 방법

Exchange 2003을 사용하지 않는 경우 Windows Server 2003에서 타르핏 기능을 사용할 수 있습니까?

참조

기술 업데이트: 2005년 5월 10일

Microsoft는 IT 전문가를 위해 이 문제에 대한 Microsoft 보안 권고를 릴리스했습니다. 보안 권고에는 이 문제에 대한 추가 보안 관련 정보가 들어 있습니다. 보안 권고를 보려면 다음 Microsoft 웹 사이트를 방문하십시오.

http://www.microsoft.com/korea/technet/security/advisory/842851.mspx (http://www.microsoft.com/korea/technet/security/advisory/842851.mspx)

위로 가기

소개

이 문서에서는 SMTP(Simple Mail Transfer Protocol) "타르핏(tar pit)"에 대해 설명합니다. 타르핏 기능은 Microsoft Windows Server 2003 서비스 팩 1(SP1)을 실행하는 컴퓨터에서 사용할 수 있는 SMTP 기능입니다. 기본적으로 타르핏 기능은 해제되어 있습니다. 타르핏 기능을 사용하려면 관리자가 TarpitTime 레지스트리 항목을 구성하여 기능을 설정해야 합니다.

위로 가기

추가 정보

SMTP 타르핏 기능이란?

타르핏 기능은 스팸이나 기타 원하지 않는 트래픽과 관련된 특정 SMTP 통신을 고의적으로 지연하는 방법입니다. 이러한 종류의 통신을 적용하려면 일반적으로 많은 양의 트래픽을 사용하게 됩니다. SMTP 통신 속도를 저하시켜 자동 스팸을 보내거나 사전 공격(dictionary attack)을 수행할 수 있는 속도를 크게 줄일 수 있습니다. 타르핏 기능을 사용하면 합법적인 트래픽 또한 느려질 수 있습니다.
타르핏 기능은 Microsoft Windows Server 2003 및 여러 타사 SMTP 서버에서 사용할 수 있습니다. Windows Server 2003의 타르핏 기능은 SMTP 프로토콜 5.x.x 오류 코드를 포함하는 모든 응답 속도를 저하시킵니다. 관리자는 타르핏 기능으로 발생하는 지연을 구성할 수 있습니다. 타르핏 기능으로 발생하는 지연을 구성하는 방법에 대한 자세한 내용은 "타르핏 기능을 설정하는 방법" 절을 참조하십시오.

위로 가기

타르핏 기능을 사용해야 하는 경우

Microsoft Exchange Server 2003 받는 사람 필터링을 설정한 경우 타르핏 기능을 사용해야 합니다. 받는 사람 필터링을 설정하지 않은 경우에는 타르핏 기능이 Exchange Server에 큰 이점이 되지 않습니다.
타르핏 기능을 설정하는 경우 SMTP 서버의 성능을 신중하게 모니터링해야 합니다. 또한 서버의 트래픽 패턴을 분석하여 타르핏으로 인해 일반 트래픽이 방해되거나 지연되지 않도록 해야 합니다.
타르핏 기능은 익명 SMTP 연결에만 영향을 줍니다. 인증된 세션에는 영향을 주지 않습니다. 따라서 다른 조직과 정기적으로 많은 양의 SMTP 메일을 교환하고 타르핏 기능이 이러한 트래픽에 영향을 주는 경우 SMTP 통신을 인증함으로써 해당 조직에 대해서는 타르핏 기능을 적용하지 않을 수 있습니다.

위로 가기

받는 사람 필터링 기능이란?

받는 사람 필터링 기능은 Exchange 2003의 새로운 기능입니다. 이 기능을 사용하면 특별히 정의된 받는 사람과 조직의 Active Directory 디렉터리 서비스에 나열되어 있지 않은 받는 사람이 보내는 메일을 필터링하거나 거부할 수 있습니다.
받는 사람 필터링을 설정하고 구성하는 방법에 대한 자세한 내용은 Microsoft Exchange Server 2003 온라인 도움말을 참조하십시오.
받는 사람 필터링 기능을 설정하면 보낸 사람은 잘못된 받는 사람이나 필터링된 받는 사람을 향하는 메일은 보낼 수 없습니다. 이러한 메일은 메일 본문이 전송되기 전에 SMTP 통신에서 사전에 거부됩니다.
이 동작은 일반적으로 Exchange Server에서 잘못된 메일을 처리해야 할 필요를 줄여 줍니다. 메일을 받거나 저장할 필요도 없으며 메일을 받지 않았으므로 잘못된 메일에 대해 NDR(배달 못함 보고서)을 보내지 않아도 됩니다.
받는 사람 필터링 기능을 사용하지 않을 경우에는 Exchange 조직의 잘못된 전자 메일 주소로 보내진 메일을 Exchange Server에서 받아 처리하게 됩니다. 이러한 메일을 처리한 후 Exchange Server에서는 모든 잘못된 메일에 대해 NDR을 생성하고 보내야 합니다.
참고 Microsoft Exchange 2000 Server 및 Exchange 2003에서는 NDR을 표시하지 않을 수 있습니다. 그러나 RFC 2821은 전자 메일 메시지를 받은 경우 잘못된 받는 사람에 대해 NDR을 반환해야 한다고 명시하고 있습니다. NDR을 표시하지 않도록 구성하는 방법에 대한 자세한 내용은 Exchange Server 2003 온라인 도움말을 참조하십시오.

위로 가기

타르핏 기능과 받는 사람 필터링 기능을 함께 사용하는 방법

받는 사람 필터링 기능의 단점은 전자 메일 주소 수집 공격의 효율성을 증가시킨다는 점입니다. 일반적인 수집 공격에서 사용자 도메인에 보내기 위해 다량의 전자 메일 메시지를 자동으로 생성하는 데 "사전" 또는 가능한 전자 메일 이름 목록이 사용됩니다. 목표는 각 전자 메일 주소의 유효성을 확인하는 것입니다. 그런 다음 공격자는 검색된 전자 메일 주소 목록을 사용하여 스팸이나 다른 비합법적인 용도의 메일을 보냅니다.
받는 사람 필터링 기능을 설정하면 서버는 SMTP 통신 동안 전자 메일 이름이 유효한지 여부를 표시합니다. 받는 사람 필터링 기능을 해제하면 공격자는 추측한 각 이름에 대해 NDR이 반환될 때까지 기다립니다.
받는 사람 필터링 기능과 타르핏 기능을 모두 설정하면 잘못된 전자 메일 이름에 대한 응답을 크게 지연할 수 있습니다. 이러한 동작은 공격을 방해합니다.
참고 대다수의 공격자가 스푸핑된(spoofed) 도메인으로 로그온하기 때문에 스팸 메일을 보내는 사람이나 기타 공격자가 사용자 서버에서 생성된 NDR을 실제로 받을 가능성은 희박합니다. NDR이 공격자를 찾을 수 있다면 여러분도 공격자를 찾을 수 있습니다. 따라서 NDR을 통한 사전 공격 위험은 SMTP 통신 동안 정보가 누출될 위험만큼 크지 않습니다.

위로 가기

공격자에게 도움이 될 수 있는 응답을 Exchange에서 보내지 않도록 막지 않는 이유

응답을 보내지 않도록 Exchange를 구성할 수도 있습니다. 이렇게 하려면 받는 사람 필터링 기능을 해제하고 NDR을 표시하지 않도록 해야 합니다.
앞에서 설명한 것처럼 NDR을 표시하지 않는 것은 RFC를 준수하는 방법이 아닙니다. 따라서 NDR을 표시하지 않는 것은 일반적으로 좋지 않습니다. 또한 NDR을 표시하지 않으면 전자 메일 메시지를 보낼 때 받는 사람 주소를 잘못 입력하는 일반 사용자에게 불편을 주기도 합니다. 전자 메일을 보내는 사람은 일반적으로 NDR이 반환되지 않으면 전자 메일 메시지가 목적지에 도달한 것으로 생각합니다.
받는 사람 필터링 기능을 설정하면 수집 공격을 받을 위험이 커질 수 있습니다. 그러나 NDR 대량 공격을 위한 벡터로 사용될 가능성도 줄어듭니다. NDR 대량 공격은 보낸 사람이 유효한 도메인의 반환 주소를 의도적으로 스푸핑한 다음 잘못된 전자 메일 메시지를 해당 도메인에서 보낸 것처럼 사용자에게 보내는 것입니다. 그러면 사용자의 서버는 이 도메인에 의무적으로 다량의 NDR 보고서를 보냅니다.
전자 메일 수집 공격, NDR 대량 공격 및 스팸 자체의 문제는 합법적인 전자 메일 전송에 유용하거나 필요한 SMTP 프로토콜 기능을 사용합니다. 합법적인 트래픽을 계속 허용하면서 이러한 위협으로부터 방어할 때 고려해야 하는 장단점이 있습니다.
타르핏 기능은 합법적인 사용자가 받는 영향을 최소화하면서 SMTP의 오용을 방지하는 하나의 또 다른 옵션입니다.

위로 가기

타르핏 기능을 설정하는 방법

경고 레지스트리 편집기나 다른 방법을 사용하여 레지스트리를 잘못 수정하는 경우 심각한 문제가 발생할 수 있습니다. 이 문제를 해결하려면 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 문제에 대해 해결을 보증하지 않습니다. 레지스트리의 수정에 따른 모든 책임은 사용자에게 있습니다.
타르핏 기능은 레지스트리 키를 통해 설정하고 구성할 수 있습니다. 다음과 같이 하십시오.
참고 TarpitTime 레지스트리 항목이 없으면 Exchange는 이 레지스트리 항목의 값이 0으로 설정된 것처럼 동작합니다. 레지스트리 항목의 값이 0이면 SMTP 주소 확인 응답을 보낼 때 지연되지 않습니다.

위로 가기

Exchange 2003을 사용하지 않는 경우 Windows Server 2003에서 타르핏 기능을 사용할 수 있습니까?

예. 사용할 수 있습니다. 타르핏 기능은 일반적인 Windows Server 2003 SMTP 서비스 기능입니다. 이 SMTP 서비스는 Exchange에서 사용하며 다른 응용 프로그램에서도 사용할 수 있습니다.
타르핏 기능은 5.x.x 오류 응답에 지연을 삽입합니다. 응용 프로그램이 이러한 지연을 제대로 사용할 수 있는 경우 타르핏 기능을 설정할 수 있습니다.

위로 가기

참조

이 문서의 이전 버전은 다음에서 볼 수 있습니다.

899492 (http://support.microsoft.com/kb/899492/) Exchange Server 2003 전자 메일 주소가 열거되지 않도록 하는 소프트웨어 업데이트를 사용할 수 있다

문서의 최신 버전은 추가 설명 자료와 새 다운로드 정보로 업데이트되었습니다. 받는 사람 필터링 기능에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

823866 (http://support.microsoft.com/kb/823866/) Exchange 2003에서 RBL을 사용하도록 연결 필터링을 구성하고 받는 사람 필터링을 구성하는 방법

Exchange 5.5에서 배달 못함 보고서를 표시하지 않는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

837794 (http://support.microsoft.com/kb/837794/) Exchange Server 5.5에서 인터넷 메일 서비스가 NDR을 표시하지 않거나 배달할지 여부를 제어하는 데 사용할 수 있는 업데이트

SMTP 릴레이, 공격자가 자주 이용하는 또 다른 기능에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

304897 (http://support.microsoft.com/kb/304897/) XIMS: Microsoft SMTP 서버가 타사 테스트에서 전자 메일 메시지를 받고 릴레이할 수 있다

Microsoft 소프트웨어 업데이트에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

824684 (http://support.microsoft.com/kb/824684/) Microsoft 소프트웨어 업데이트를 설명하는 데 사용되는 표준 용어에 대한 설명

10진수사용

IMF 패턴 업데이트 적용 REGEDIT 수정값

안녕하세요 향기입니다~*

Exchange Server 2003에서 IMF 패턴 업데이트 적용 Regedit 수정값 입니다.

KB문서 http://support.microsoft.com/KB/907747

The "Microsoft Exchange Server Intelligent Message Filter v2 Operations Guide" is now available

View products that this article applies to.

INTRODUCTION

The Microsoft Exchange Server Intelligent Message Filter v2 Operations Guide is now available.
By default, the Intelligent Message Filter feature is installed with Microsoft Exchange Server 2003 Service Pack 2 (SP2). You must manually enable Intelligent Message Filter to obtain the benefits of this new message filtering technology. The Microsoft Exchange Server Intelligent Message Filter v2 Operations Guide describes the update process that keeps Intelligent Message Filter up-to-date. This guide includes information about the following topics:

Back to the top

MORE INFORMATION

To obtain the Microsoft Exchange Server Intelligent Message Filter v2 Operations Guide, visit the following Microsoft Web site:

http://www.microsoft.com/downloads/details.aspx?familyid=B1218D8C-E8B3-48FB-9208-6F75707870C2&displaylang=en (http://www.microsoft.com/downloads/details.aspx?familyid=B1218D8C-E8B3-48FB-9208-6F75707870C2&displaylang=en)

Back to the top

REFERENCES

For more information about Intelligent Message Filter, click the following article number to view the article in the Microsoft Knowledge Base:

842763 (http://support.microsoft.com/kb/842763/) The "Exchange Server Intelligent Message Filter Overview" white paper for Microsoft Exchange Server 2003 is available

For more information about how to troubleshoot Intelligent Message Filter v2, visit the following Microsoft Exchange Team Blog Web site:

http://msexchangeteam.com/archive/2006/04/12/425060.aspx (http://msexchangeteam.com/archive/2006/04/12/425060.aspx)

Note The content and the URL of each blog are subject to change without notice.

Back to the top

안녕하세요 향기입니다.

오늘은 AD 관리자를 위한 아주 유용한 Tool을 소개 합니다.

사용자 대량 변경 작업이 있을 경우에 편리하게 작업을 할 수 있습니다.

물론 Beta Ver.이지만 매우 유용합니다^^’

그리고 무료입니다.!! Free!! 대량 작업할 때 CSV나 엑셀 파일만 정리되어 있으면 큰 작업을 쉽게 할 수 있습니다.

꼭 써보시기 바랍니다^^;

Bulk AD Users

http://wisesoft.co.uk/software/bulkadusers/default.aspx

Bulk AD Users - A tool that allows bulk updates to Active Directory User Attributes

Introduction

WiseSoft Bulk AD Users is a tool that makes it easy to perform bulk updates to Active Directory User account attributes.  Previously you might have wrote scripts to perform these types of updates or gone through a very tedious process of performing these updates one at a time via the ADU&C interface.  Bulk AD Users makes this process much simpler and also provides an XML log file that allows you to undo any unwanted updates. The application has powerful query capabilities that allow you to target updates to only the required user accounts and number of methods are available for updating user account data depending on your specific requirements.

The Bulk Modify dialog will seem familiar to anyone that has used Active Directory Users & Computers.  The interface is modeled on the user dialog, but the updates can apply to many user accounts.  The XML Placeholders feature extends the flexibility of the Bulk Modify dialog by allowing you to base updates on existing attributes.  You could update the display name format to "surname, firstname" or change the username format to "firstname.surname" for example.  The Bulk Modify dialog is great for situations where the update can be based on existing attributes or a single value is required for all users.

The CSV update feature allows you to update user account attributes from a CSV file, making it suitable for updates where a different value is required for each user account.  A CSV file could be produced from your HR database and then used to update employee information stored in Active Directory.  It's also possible to export existing account data from Active Directory to CSV file, use a 3rd party application to manipulate the data and then re-import using the CSV Update tool.

Bulk AD Users allows you to edit user account data in Microsoft Excel with the Edit In Excel feature.  Microsoft Excel is a very powerful tool for data manipulation allowing you to update user attributes using a combination of manual updates and formulas.  It's very easy to write a formula in Excel to update the user principal name format to 'firstname.surname@domainname.com' for example.  In this case, you could also choose the Bulk Modify feature to perform the update, but in other situations the formulas will be to complicated to convert into XML Placeholders.

For quick updates to a small number of accounts, the edit in grid feature can be used.  The application also supports moving user accounts to a new container, reseting passwords and has quick options for enabling/disabling user accounts.  Additional account options (logon hours, password never expires, force password change at next logon etc) can be manipulated through the Bulk Modify dialog.  

Advantages of Bulk AD Users

It's possible to manipulate data in Active Directory by writing your own scripts, using command line tools and other 3rd party applications.  I don't want to discourage people from using command line tools and writing scripts - quite the opposite; I actually encourage the use of scripts and provide information to help people write their own scripts on this website.  There are some advantages to using Bulk AD Users over writing your own scripts to consider -

• Bulk AD Users is easier to use and doesn't require knowledge of any scripting language.
• Writing scripts can be time consuming and some attributes require special handling making them difficult to update via script. 
• Updates performed by Bulk AD Users are logged automatically in an XML file.  This file enables the application to rollback updates if required - An additional layer of safety not usually provided by command line tools and scripts.
• Bulk AD Users is freeware.

In most cases Bulk AD Users is the easiest method of performing bulk updates to user account attributes.  You might still choose scripts and command line tools for specific update scenarios where you need additional automation or a great deal of control over the update process.

Is it really FREE?  What's the catch?

Yes! You are free to use the application in any company/organization regardless of size, number of users etc. The application does not expire after a period of time and it's features are not limited in any way.

The application asks for a registration code - this is simply to keep track of the number of people that are using the application.  You can get your registration code after signing up for your FREE WiseSoft.co.uk user account.  The user account allows you to post on the forum and submit content to the website.  Your details are not shared with any third parties and you won't be inundated with spam emails from this website.  Emails are sent occasionally to inform users about updates to the website and applications (Only 3 updates were sent in 2008).

If you find the software useful and would like to make a donation, your support is very much appreciated.

Features

Searching

• Select users from group (with or without nested members)
• Select users from OU (Allows multi-select)
• Select users from query.  A range of pre-defined filters are available and you can write your own custom LDAP filters.
• Ability to extend the list of pre-defined queries to include your own favorite searches.
• Select users from list.  Enter user account names manually or from a file.

Updating

• Simple "Bulk Modify" interface for updates.  A dialog similar to the user dialog in ADU&C, but it can work on a large number of user accounts.
• XML Placeholders feature.  Can be used with Bulk Modify dialog to base updates on existing user account attributes.  e.g. set displayname to "Surname, Firstname"
• Support for multi-valued attributes.
• "Other Tab" provides support  for custom AD Attributes and attributes not normally shown in the user interface. 
• Photo updates
• Member Of updates.
• Logon hours support
• UserName updates (with optional conflict resolution)
• Enable/Disable/Unlock.  (support for other account options also available)
• CSV Update tool.
• Edit In Excel tool.
• Move Users
• Bulk password reset
• Edit In Grid. 
• XML Log file produced for each update batch.
• Result dialog to show the success of the update. 
• Rollback feature.

Note: This is not a full list of supported attributes.  A large number of attributes are supported by the application and the application can even be used to update attributes that have been added by extensions to the schema.

Miscellaneous

• Connection dialog to connect to other domains. 
• Connect to domain from a workgroup computer.
• Export data to Excel, CSV to tab-separated.
• Properties to Load dialog allows you to control which attributes are shown in the grid.
• Password Generation Options - Control the format of generated passwords.
• Extend Bulk AD Users by writing your own scripts.
• Additional customization available in application config file.

Essential Reading

• Planning for Bulk Updates - things to consider before you update your Active Directory database.
• Connecting to Active Directory - how to connect to your Active Directory Database.
• Selecting user accounts - how to select the user accounts you want to modify

Note: Additional documentation will follow.  Most of the documentation for "Bulk Password Control" will also apply to Bulk AD Users - click here to view the documentation for the old version.

안녕하세요 향기입니다.

AD에서 PW 정책 배포시에 복잡성을 만족해야 할 시에 요구 사항입니다.

많은 분들이 헷갈려 하시는 것 같아서 만들어 보았습니다.

저는 패스워드 정책을 사용자가 힘들에 가져가고 있군요..

라이브러리 가보시면 더 자세한 내용이 있습니다.

http://technet.microsoft.com/ko-kr/library/cc783512(WS.10).aspx

암호는 복잡성을 만족해야 함

암호는 복잡성을 만족해야 함

설명

이 보안 설정은 암호의 복잡성 요구 조건이 충족되는지 여부를 결정합니다.

이 정책을 사용하면 암호는 다음과 같은 최소 요구 사항을 충족시켜야 합니다.

• 사용자 계정 이름의 전부 또는 일부를 포함하지 않아야 합니다.
• 최소 여섯 문자여야 합니다.
• 다음 네 범주 중 세 범주의 문자를 포함해야 합니다.
  • 영어 대문자(A-Z)
  • 영어 소문자(a-z)
  • 기본 10진수(0-9)
  • 알파벳이 아닌 문자(예: !, $, #, %)

복잡성 요구 사항은 암호를 변경하거나 작성할 때 적용합니다.

http://technet.microsoft.com/ko-kr/library/cc786468(WS.10).aspx

최근 암호 기억

설명

이 보안 설정은 현재 암호를 다시 사용하기 전에 사용자 계정과 연결되어야 하는 고유한 새 암호의 개수를 결정합니다. 이 값은 0에서 24 사이여야 합니다.

이 정책을 사용하면 현재 암호가 더 이상 사용되지 않으므로 관리자는 보안을 향상시킬 수 있습니다.

기본값:

• 도메인 컨트롤러의 경우 24입니다.
• 독립 실행형 서버의 경우 0입니다.

해독 가능한 암호화를 사용하여 암호 저장

해독 가능한 암호화를 사용하여 암호 저장

설명

이 보안 설정은 운영 체제가 해독 가능한 암호화를 사용하여 암호을 저장할 것인지 여부를 결정합니다.

이 정책은 인증용 사용자 암호에 대한 정보를 요구하는 프로토콜을 사용하는 응용 프로그램을 지원합니다. 해독 가능한 암호화를 사용하여 암호를 저장하는 것은 일반 텍스트 버전의 암호를 저장하는 것과 같습니다. 이러한 이유로 응용 프로그램 요구 사항이 암호 정보를 보호하는 것보다 중요하지 않는 한 이 정책은 사용하지 말아야 합니다.

이 정책은 원격 액세스 또는 IAS(인터넷 인증 서비스)를 통해 CHAP(Challenge-Handshake 인증 프로토콜) 인증을 사용하는 경우에 필요합니다. 또한 IIS(인터넷 정보 서비스)의 다이제스트 인증을 사용하는 경우에도 필요합니다.

최소 암호 사용 기간

최소 암호 사용 기간

설명

이 보안 설정은 사용자가 암호를 변경하기 전에 사용해야 하는 기간(일 수)을 결정합니다. 이 값은 1에서 998일 사이로 설정하거나 즉시 변경할 수 있도록 0으로 설정할 수도 있습니다.

최소 암호 사용 기간은 최대 암호 사용 기간이 암호가 만료되지 않음을 나타내는 0으로 설정되지 않은 한 반드시 최대 암호 사용 기간보다 짧아야 합니다. 최대 암호 사용 기간이 0으로 설정되어 있으면 최소 암호 사용 기간이 0에서 998일 사이의 한 값으로 설정될 수 있습니다.

최근 암호 기억을 유효하게 하려면 최소 암호 사용 기간을 0보다 큰 수로 구성해야 합니다. 최소 암호 사용 기간이 없으면 사용자는 현재 암호에 도달할 때까지 모든 암호를 차례대로 사용할 수 있습니다. 기본 설정은 이 권장 구성과 동일하지 않으므로 관리자는 사용자에게 암호를 지정한 다음 사용자가 로그인할 때 지정된 암호를 변경하도록 요구할 수 있습니다. 현재 암호 기억이 0으로 설정되어 있으면 사용자는 새 암호를 선택할 필요가 없습니다. 이러한 이유로 최근 암호 기억의 기본 설정값은 1입니다.

기본값:

• 도메인 컨트롤러의 경우 1입니다.
• 독립 실행형 서버의 경우 0입니다.

< English >

Technet Site

http://technet.microsoft.com/en-gb/library/cc783512(WS.10).aspx

Passwords must meet complexity requirements

Updated: April 30, 2009

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Password must meet complexity requirements

Description

This security setting determines whether passwords must meet complexity requirements.

If this policy is enabled, passwords must meet the following minimum requirements when they are changed or created:

• Not contain the user's entire Account Name or entire Full Name. The Account Name and Full Name are parsed for delimiters: commas, periods, dashes or hyphens, underscores, spaces, pound signs, and tabs. If any of these delimiters are found, the Account Name or Full Name are split and all sections are verified not to be included in the password. There is no check for any character or any three characters in succession.
• Contain characters from three of the following five categories:
  • English uppercase characters (A through Z)
  • English lowercase characters (a through z)
  • Base 10 digits (0 through 9)
  • Non-alphabetic characters (for example, !, $, #, %)
  • A catch-all category of any Unicode character that does not fall under the previous four categories. This fifth category can be regionally specific.

Minimum password length

Updated: January 21, 2005

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Minimum password length

Description

This security setting determines the least number of characters that a password for a user account may contain. You can set a value of between 1 and 14 characters, or you can establish that no password is required by setting the number of characters to 0.

Default:

• 7 on domain controllers.
• 0 on stand-alone servers.

Enforce password history

Updated: January 21, 2005

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Enforce password history

Description

This security setting determines the number of unique new passwords that have to be associated with a user account before an old password can be reused. The value must be between 0 and 24 passwords.

This policy enables administrators to enhance security by ensuring that old passwords are not reused continually.

Default:

• 24 on domain controllers.
• 0 on stand-alone servers.

Store passwords using reversible encryption

Updated: January 21, 2005

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Store passwords using reversible encryption

Description

This security setting determines whether the operating system stores passwords using reversible encryption.

This policy provides support for applications that use protocols that require knowledge of the user's password for authentication purposes. Storing passwords using reversible encryption is essentially the same as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information.

This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication through remote access or Internet Authentication Services (IAS). It is also required when using Digest Authentication in Internet Information Services (IIS).

Default: Disabled.

Minimum password age

Updated: January 21, 2005

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Minimum password age

Description

This security setting determines the period of time (in days) that a password must be used before the user can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting the number of days to 0.

The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998.

Configure the minimum password age to be more than 0 if you want Enforce password history to be effective. Without a minimum password age, users can cycle through passwords repeatedly until they get to an old favorite. The default setting does not follow this recommendation, so that an administrator can specify a password for a user and then require the user to change the administrator-defined password when the user logs on. If the password history is set to 0, the user does not have to choose a new password. For this reason, Enforce password history is set to 1 by default.

Default:

• 1 on domain controllers.
• 0 on stand-alone servers.

Maximum password age

Updated: January 21, 2005

Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Maximum password age

Description

This security setting determines the period of time (in days) that a password can be used before the system requires the user to change it. You can set passwords to expire after a number of days between 1 and 999, or you can specify that passwords never expire by setting the number of days to 0. If the maximum password age is between 1 and 999 days, the Minimum password age must be less than the maximum password age. If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998 days.

Note

• It is a security best practice to have passwords expire every 30 to 90 days, depending on your environment. This way, an attacker has a limited amount of time in which to crack a user's password and have access to your network resources.

Default: 42.

Direct SIP Connection With Nortel Communication Server 5.0 

Direct_SIP_Connection_with_Nortel_Communication_Server_5.0.doc

Cisco Call Manager 5.1 PBX Configration Note 

Cisco_Call_Manager_5.1_PBX_Configuration_Note.doc

Cisco Unified Communication Manager 6.0 PBX Configuration Note 

Cisco_Unified_Communications_Manager_6.0_PBX_Configuration_.pdf

Cisco_Unified_Communications_Manager_7.0_PBX_Configuration_.pdf

Application_Notes_for_Microsoft_Office_Communicator_Clients.pdf

Dual Forking

일반 전화기와 OC가 동시에 신호가 가서 양쪽으로 전화가 올 수 있게 하는 기능으로, Voice가 활성화 되어 있는 사용자와

그렇지 않은 사용자를 모두 지원하는 기능

Dual Forking With RCC(Remote Call Control)

OCS로 사용자의 PBX 상태 정보를 제공하는 기능

전화기를 사용하고 있으면 PBX에서 OCS로 정보를 보내서 OC상에서 통화중이라는 정보가 표시되도록 한다.

안녕하세요 향기입니다.

International Student Identity Card (ISIC) 국제학생증에 관해 얘기하겠습니다.

ISIC는 국제 학생증으로 대학을 다니는 학생은 2만원 정도의 비용으로 발급 받을 수 있습니다.

그에 따른 많은 혜택이 주어집니다.+

http://www.isic.co.kr <- 사이트에서 발급 가능합니다.

http://www.isic.co.kr/pack2/main1_isicapplyintro.jsp

인슈런스 및 숙박 및 교통 등 외국에 나갔을 때 많은 혜택을 볼 수 있습니다.

제 블로그에서 얘기를 하는 이유는 많은 혜택 중에 MS에서 게이츠 형님이 지원하는 혜택과 잡스 형님이 지원하는 혜택에 대해서 안내해 드립니다.

잡스형은 ISIC가 있으면,.

IPod 사실때 학생의 경우 10% 가 됩니다. ISIC 학생증이 있으면 12%까지 DC가 됩니다.

MAC S/W의 경우에는 80% 이상 할인 됩니다.

http://www.isic.co.kr/newisic/05_LifestyleCard/apple1.jsp

게이츠형은 DreamPark 제도를 지원합니다.

MSDN이 있거나 MS MVP의 경우에는 필요한 프로그램을 받아 편히 테스트를 해볼 수 있겠지만,

많은 MS 를 기반으로 공부하시는 분들에게는 좋은 방법인 것 같습니다.

Visual Studio , Windows Server 2003 / 2008

MS 공식 사이트 입니다

http://www.microsoft.com/korea/msdn/dreamspark/main.aspx

'

많은 도움 되시길 바랍니다.

학생들이여 어둠의 경로를 벗어납시다~~*

감사합니다.

안녕하세요 향기입니다~*

Microsoft에서 Volume Activation 2.0으로 올라가면서 KMS와 MAK이라는 인증방식을 제공합니다.

KMS는 회사 내부에 KMS 서버를 두고 6개월에 한번씩 인증을 받는 방식이며 최소 25대 이상의 컴퓨터에서 사용할 수 있는 방법이고,

MAK은 MS본사 서버에 직접 연결해서 인증 받아야 하며, 한번 인증 받으면 영구적으로 인증된다.

MAK (Multiple Activation Key)

- MAK은 컴퓨터나 컴퓨터 그룹을 MS 서버를 통해 인증한다. 키의 수는 제한되며 Microsoft Activation Center 에 연락하면 늘릴수 있다.

   * 프락시 인증 : 프락시 인증으로 한번만 MS에 연결, 여러 컴퓨터를 동시에 인증할 수 있다.

   * 개인 인증 : 각각의 컴퓨터에서 MS서버에 연결하고 인증

KMS (Key Management Service)

- 회사 내부에 KMS 서버를 두고 자동으로 인증한다. KMS사용 하기 위해서는 최소 25대 컴퓨터가 있어야 하며 6개월에 한번씩 회사 네트웍에 연결해서  재인증을 받아야 합니다.

이제 정품을 꼭 사용하세요~*

Original : https://blogs.pointbridge.com/Blogs/schertz_jeff/Pages/Post.aspx?_ID=19#EntryTabs

OCS Reverse Proxy with ISA 2006

Using ISA Server 2006 we need to create a publish a web site rule to allow external clients access to address book and meeting information which is hosted on the internal Standard or Enterprise server via the IIS Default Web Site. Following the instructions under section 2.1 of the Edge deployment guide can be a little tricky at first, but makes much more sense once a few specifics are more clearly understood.

The paragraph below is very confusing as it's actually referring to two different certificates but reads like they are talking about just one:

Request and Configure a Certificate for Your Reverse HTTP Proxy

The root certification authority (CA) certificate for the CA that issued the server certificate on the Web server (the IIS server running your Office Communications Server Web components) needs to be installed on the server running ISA Server 2006. This certificate should match the published FQDN of the external Web farm where you are hosting meeting content and Address Book files.

The first statement basically says that you need to export the root CA certificate from your internal CA and import it into the Trusted Root Certification Authorities store on the ISA computer; simple enough. But the second sentence is now talking about a second certificate that should be requested from a third-party CA and will be used by external clients to connect to ISA via the published External Web Farm FQDN. What this 'Web Farm" FQDN actually refers to is the external name that clients will use to connect to the IIS web site which is running on the internal OCS front-end server. This is NOT the FQDN used by clients to connect to the Access Edge, A/V service, or Web Conferencing service. In this example I will use abs.domain.com as the external FQDN, which will be configured in the OCS Edge deployment wizard and is part of the in-band configuration information to is passed to the external client once it makes a connection to the Access Edge service.

So to summarize that, the internally issued certificate which is assigned to the Front-End server's default web site will be trusted by the ISA Server, and a second third-party certificate needs to be installed on the ISA Server in order to assign to the web listener for the external client to accept. ISA will terminate the connection from the requesting external client using one certificate and then create a second connection (using the other certificate) to the internal web site, essentially bridging the entire connection.

And if it's not completely clear by looking at the first diagram in this article, then let me restate the obvious: the Reverse Proxy is not configured on the Edge Server itself, it's simply a way to allow external users access to a web site running on the internal OCS server. Installing ISA on the Edge Server for this rule is not advisable (and probably not even possible; I can't imagine even attempting to host both ISA and OCS on the same physical server!)

Once these important points are understood then working through the rest of the deployment guide should be pretty straight-forward. The resulting ISA publishing rule and web listener configuration would look something like this:

안녕하세요 향기입니다~*

OCS 장애 발생시에 로그 확인 및 장애 처리를 어려워 하시는 것 같아 몇 가지 방법을 올려 봅니다.

OC 클라이언트에서 구성정보를 확인 할 때 사용 하는 방법입니다.

< Ctrl + 마우스 우 클릭 > 을 사용하시면 OC 구성 정보를 확인하실 수 있습니다.

OC Ver. R2 이상 가능합니다. (이전 Ver. 은 구성정보 창이 안 나옵니다)

구성정보가 확인 됩니다. 여기서 로컬 로그 폴더라는 것은 OC에서 로깅 설정을 했을 시에 로그 파일이 생성되는 경로 입니다.

아래 로깅 부분을 체크해 주시면 해당 경로에 Log 파일이 생성 됩니다.

장애 확인을 위해서라면 Windows 이벤트 로깅과 OC 로깅을 같이 보시는 것을 추천 드립니다.

기본적인 OC 장애 사항을 확인하실 수 있습니다.

보다 자세한 서버로그를 확인 하시려면 OCS의 디버그 세션을 이용하셔야 합니다.

안녕하세요 향기입니다~*

Office Communication Server Best Practices Analyzer Tool 이 있었네요..

OCS 종합점검 툴이라고 보시면 됩니다. ( 초기 설치 후에 필수로 실행해봐야 하는 툴이라고 생각할 정도로 많은 정보를 보여줍니다)

Exchange Server 를 운영하시는 분이라면 알고 계실 만한 툴입니다.

OCS 와 AD 간의 정보를 취합해서 종합적인 데이터로 리포팅을 해주는 툴입니다.

필요한 HotFix 및 기본 값이 변경 된 사항들, 잘못된 부분을 찾아 낼 수 있고, 서버 정보도 함께 표시됩니다.

<다운로드>

http://www.microsoft.com/downloadS/details.aspx?familyid=1B90993C-072A-4C84-B385-B76D23B2F27C&displaylang=en

Overview

The Microsoft Office Communications Server 2007 Best Practices Analyzer Tool is a diagnostic tool that gathers configuration information from a Microsoft Office Communications Server 2007 and 2007 R2 environments and determines whether the configuration is set according to Microsoft best practices. You can install the tool on a client computer that runs Microsoft .NET Framework 2.0, or on a server that runs Office Communications Server.
Note: Although you can install the Office Communications Server 2007 Best Practices Analyzer directly on the computer that runs Office Communications Server 2007 or 2007 R2 Server, we recommend that you install and run this tool on a client computer.
The tool uses a set of configuration files to gather information from the Office Communications Server 2007 or 2007 R2 environment. It compares this data against a set of pre-defined rules for Office Communications Server, and reports potential issues. For every issue reported, the tool provides the current configuration in the Office Communications Server environment, and the recommended configuration.
With the proper network access, the tool can examine your Active Directory and Office Communications Server 2007 or 2007 R2 servers to do the following:

• Proactively perform health checks, verifying that the configuration is set according to recommended best practices
• Generate a list of issues, such as suboptimal configuration settings or unsupported or not recommended options
• Judge the general health of a system
• Help troubleshoot specific problems
• Prompt you to download updates if they are available
• Provide online and local documentation about reported issues, including troubleshooting tips
• Generate configuration information that can be captured for later review

AD 서버의 FQDN을 입력하시면 됩니다.

Scan 할 영역을 선택하시고 Start Scanning 하시면 됩니다.

핫픽스가 설치 안되어 있다고 표시가 나오네요.. Exchange Server용 Exbpa는 바로 가기 링크가 있었지만,

OCSbpa는 해당 기능이 없는 듯 합니다. 아직 한글판은 없습니다.

여러 가지 형태로 볼 수 있고, 데이터를 저장할 수 있어 정기 점검이 가능합니다.

Exchange 의 경우 초기 설치 후에 권장사항으로 BPA를 사용하도록 합니다.

OCS도 설치 후에 BPA툴을 사용하도록 하는 것이 좋습니다.^^

감사합니다.

Overview

The Edge Planning Tool asks questions about your proposed or current edge server deployment. The tool uses your answers and Microsoft Office Communications Server 2007 R2 best practices to generate the following reports:

• Settings that you can use to configure your certificates, DNS services, and firewalls
• Custom documentation for configuring your edge servers, reverse proxy, and next hop server
• A comparison of your answers to Microsoft Office Communications Server 2007 R2 best practices

http://www.microsoft.com/downloads/details.aspx?FamilyID=EC4B960C-3FE2-41BD-ABDF-AE89CFCB8C6C&displaylang=en

안녕하세요.. 오늘은 OCS Edge Planing Tool을 소개해 드립니다. Edge 서버를 구성하는데 필요한 구성을 돕는 툴입니다.

방화벽 설정과 인증서 부분에서 안정적으로 Edge서버를 구축 할 수 있도록 도와줍니다.

크게 External 과 Internal 부분의 Firewall 과  인증서 부분을 입력하고 서버의 정보를 입력하시면 Report를 확인하실 수 있습니다.

안녕하세요 향기입니다~*

Port Query할 때 사용하는 Tool입니다.

PortQryUI - User Interface for the PortQry Command Line Port Scanner

UI가 붙은 것은 GUI 툴입니다.

http://www.microsoft.com/downloads/details.aspx?familyid=8355e537-1ea6-4569-aabb-f248f4bd91d0&displaylang=en

압축을 풀고 실행을 하면 아래와 같은 창이 표시 됩니다.

사용방법은 그리 어렵지 않습니다.

Query Result가 끝나면 값이 표시 됩니다.

로그를 따로 저장 할 수 있습니다.

해당 포트가 막혔는지 확인 할 때 사용합니다.


   1. Following "Enter destination IP or FQDN to query:”, an edit box needs the user to specify the IP address or FDQN name of the destination to query port status.

   2. The end user is able to choose Query type:

        - Predefined services type. It groups ports into service, so that you can query multiple ports for a service by a single click. Service includes "Domains and Trusts", "DNS Queries", "NetBIOS     communication", "IPSEC", "Networking", "SQL Service", "WEB Service", "Exchange Server",          "Netmeeting", and other services.

You can check detail port and protocol info for each service category by opening Help -> Predefined Services...

The XML file config.xml has format

              <!--

               Format

                <Services>

                   <Service Name="Service Name">

                      <Port Name="service bound to the port" Value="Port number and/or port ranges separated

                         by commas" Protocol="TCP|UDP|Both"/>

                   </Service>

                </Services>

              -->

            * The user can also add port info to config.xml as long as it follows the format.

            * Service name will be shown in the box following "Service to query:"

            *

        - Manually input query port.  The end user can manually enter port number and/or port ranges separated by commas to query. For port range, the end port should be equal or greater than the start port. Valid port should be in range 1-65535. For example: 80,53,1024-1350.

        - The end user needs to choose protocol (TCP or UDP or Both) to query.

   3. It allows the end user to customize config.xml or provide a config file that defines their own services. The config file should follow the same format as config.xml  (File->Open Config …)

   4. After inputting the destination info and choosing query type with proper port info, click "Query" button        to start query. Query output will be displayed in the "Query Result" box.

   5. During query, there is a progress bar accurately shows the query progress.

   6. During query, if the end user wants to cancel query process, click "Cancel" button to cancel query.

   7. The user has the option to save the query result to a log file (File -> Save Result …)

   8. Please refer to Portqry.doc for detail info about command line tool portqry.exe.

안녕하세요 향기입니다~*

마이크로소프트 윈도우 유틸리티 다운로드 사이트인 Windows Sysinternals Utility를 앞으로 소개하려고 합니다.

오늘은 Virtual PC 또는 Hyper-V에서 사용 가능한 VHD 가상하드 파일을 생성해주는 프로그램을 소개합니다.

http://technet.microsoft.com/en-nz/sysinternals/ee656415(en-us).aspx

Introduction

Disk2vhd is a utility that creates VHD (Virtual Hard Disk - Microsoft’s Virtual Machine disk format) versions of physical disks for use in Microsoft Virtual PC or Microsoft Hyper-V virtual machines (VMs). The difference between Disk2vhd and other physical-to-virtual tools is that you can run Disk2vhd on a system that’s online. Disk2vhd uses Windows’ Volume Snapshot capability, introduced in Windows XP, to create consistent point-in-time snapshots of the volumes you want to include in a conversion. You can even have Disk2vhd create the VHDs on local volumes, even ones being converted (though performance is better when the VHD is on a disk different than ones being converted).

The Disk2vhd user interface lists the volumes present on the system:

Disk2vhd runs Windows XP SP2, Windows Server 2003 SP1, and higher, including x64 systems.

1.3 Ver에서는 OS 운영중인 상태에서 직접 VHD를 생성할 수 있습니다. 실행중인 C 드라이브를 VHD변환하면서 C 자체에 저장도 가능합니다.

Volume Snapshot 기능을 사용하기 때문에, 윈도우 XP 및 Server 2003 & 64Bit까지 지원합니다.

실제 용량만 VHD 변환하기 때문에 용량도 절약 됩니다.

안녕하세요 향기입니다.

OCS 서버가 잘못 설치 되었거나, 사용자의 실수로 잘못 삭제 되었을 경우, 또한 정상적이지 않은 상태에서 서버가 죽은경우

정상적으로 삭제가 되지 않았을 경우 ADSI Edit Tool로 강제 제거 해줘야 합니다.

[0xC3EC78C7]

Domain –> System –> Microsoft –> RTC Service –> Pools

확인해 보시면 서버가 GUID값으로 되어 있는데 마우스 우클릭 속성 탭에서 해당 서버의 FQDN이나 Role을 제거해 주시면 됩니다.

RTC Service의 Container를 제거하면 OCS Server가 죽게 됩니다.

OCS R2의 경우 Container 위치가 다를 수 있습니다.

FQDN (fully qualified domain name)

FQDN 은 시스템을 지칭하는 완전한 이름으로서, 호스트 이름과 그것의 도메인 이름으로 구성된다.
예를 들어, "www"가 호스트 이름이고, "terms.co.kr"이 도메인 이름이라면, FQDN은 "www.terms.co.kr"가 된다.
FQDN은 인터넷상의 특정 호스트를 지칭하기 위한 고유한 인터넷 주소를 가져야 한다. 인터넷상에 있지 않지만,
전자우편 주소를 위한 이름공간을 공유하는 일부 호스트를 위해서도, 동일한 이름 구조가 사용된다.
FQDN을 가지고 있지 않은 호스트는 뱅 경로를 사용하여 지칭 되어야 한다.

모든 인터넷 컴퓨터들과 대부분의 UUCP 사이트들은 1980년부터 작성된 막후의 많은 량의 소프트웨어 덕분에 이제
FQDN을 해석할 수 있다.

Exchange Server 버전 비교

게시 날짜: 2006년 11월 1일 | 업데이트 날짜: 2006년 11월 30일

Exchange Server 2007에서 사용할 수 있는 기능을 이전 버전인 Exchange Server 2003 및 Exchange Server 2000의 기능과 비교합니다.

A) SP1 이상 사용

B) SP2 사용 시 2주에 한 번씩 업데이트 가능

C) Standard CAL 사용 시 2주에 한 번씩 업데이트 가능, Enterprise CAL 또는 Forefront Security for Exchange Server 사용 시 매일 한 번 이상 업데이트 가능

D) SP2 사용

E) Enterprise CAL 또는 Forefront Security for Exchange Server 사용 시 매일 한 번 이상 업데이트 가능

F) Microsoft Exchange 사서함 병합 사용

G) Enterprise CAL 사용

A) Windows Server 2003 이상 필요

B) 일부 기능에는 자동 수락 에이전트 필요

C) 통합 메시징에는 Enterprise CAL 필요

D) RTM(Release to Manufacturing)에서는 사용할 수 없음

E) SP2 사용

A) 조직 간 복제 도구 사용

B) Exchange 관리 콘솔 사용

C) Exchange 관리 셸 사용

D) CDOEXM(Collaboration Data Objects for Exchange Management) 및 워크플로에 대한 CDO(Collaboration Data Object) 삭제. 자세한 내용과 기타 정보는 Exchange Server TechCenter에서 더 이상 사용되지 않는 기능 및 더 이상 중요하지 않은 기능을 참조하십시오.

자세한 정보

Exchange Server 2007에서 사용할 수 있는 기능의 더 자세한 목록은 Exchange Server 2007 베타 2 기능을 참조하십시오.

Exchange Server 2007에서 더 이상 사용되지 않거나 더 이상 중요하지 않게 된 기능의 목록은 더 이상 사용되지 않는 기능 및 더 이상 중요하지 않은 기능을 참조하십시오.

원본 http://www.microsoft.com/korea/exchange/2007/evaluation/features/ex_compare.mspx

안녕하세요 향기입니다~*

사내에 Domain Controller가 여러 대 있을 경우, Domain Controller를 제거하려고 하면,

서버가 정상적인 경우에는 Dcpromo로 정상적으로 삭제가 가능하지만, 현실에서는 하드웨어 장애로 강제로 DC가

죽는 경우가 발생합니다. 이럴 경우 DC의 Metadta(찌꺼기)가 남게 되는데, 이 경우 Client 및 멤버 서버들은

죽은 DC를 찾게 됩니다. 이 상황에서 조치방법은 Metadata Clenup을 사용해야 합니다.

Metadata Cleanup을 사용해야 하는 경우

1. Active Directory 환경에서 DC를 삭제하고자 할 경우

2. DC 수준 내리기 실패 후 AD에서 데이터를 제거하는 경우

준비

1. ADSIEdit.msc 설치

* DC가 Windows Server 2000 경우

   -> Windows Server 2000 CD에서 Support/Tools 에 Setup 설치

* DC가 Windows Server 2003 경우

    -> Windows Server 2003 CD에서 Support/Tools 에 Suptools.msi 설치

2. 문제가 있는 DC가 아닌 정상적인 DC가 Global Catalog 역할을 해야 합니다.

3. FSMO Role 소유 DC확인

AD 사용자 및 컴퓨터 – 마우스 우 Click – 작업 마스터

AD 도메인 및 트러스트 – 마우스 우 Click – 작업 마스터

AD 스키마 – 마우스 우 Click – 작업 마스터

AD Schema 는 기본적으로 보이지 않게 되어있습니다.(그만큼 중요하기 때문에 MS에서 막아 둔 걸 겁니다..ㅎㅎ)

Schema 항목을 확인하시려면 http://neowizard.tistory.com/entry/DC-Active-Directory-Schema-보기-및-편집 게시물을 확인하세요.

netdom 으로도 확인 가능합니다.

netdom query fsmo

Schema owner

Domain role owner

PDC role

RID pool manager

Infrastructure owner

위 5가지  모든 사항이 제거대상이 아닌 DC여야만 합니다.

Metadata Cleanup을 사용하여 DC를 삭제하는 방법

1. 제거 대상이 아닌 DC에 관리자 계정으로 Login

2. 시작 – 실행 - CMD

3. CMD(명령 프롬프트)에서 ntdsutil 을 입력

3. Metadata Cleanup 을 입력

4. Connections 입력

5. Connect to server servername 을 입력

    Ex) connect to server adserver"

6. quit 입력

7. Metadata Cleanup 메뉴 나타납니다.

8. Select operation target 입력

9. List domains 입력 ( 포리스트 도메인 목록 표시 )

10. select domain number 를 입력 (여기서는 9번에 나온 제거할 DC를 선택)

11. list siters ( 사이트 목록 표시 )

12. select site number  입력 ( 여기서는 11번에 나온 제거할 DC 선택 )

13. list servers in site 입력

14. select server number  ( 여기서 number는 제거할 DC 번호 )

15. quit 입력

16. remove selected server 입력 (제거 완료 메세지 출력 )

     -> 다른 관리자가 NTDS 설정 개체를 제거하였거나 DCPROMO Utility 실행 후 개체의 성공적인 제거를 복제하였기

         때문에 Active Directory에서 NTDS 설정 개체가 이미 제거된 것일 수도 있습니다.

17. 각 메뉴에 quit를 입력 Ntdsutil 종료

18. DNS의 _msdcs.root domain of forest  영역에 있는 Cname Record를 제거 합니다.

       DC를 재설치 하고 수준을 다시 올리면 DNS의 새로운 GUID와 해당 Cname Record를 사용하여 새 NTDS 설정

       개체가 만들어 집니다. 존재하는 DC가 이전 Cname Record를 사용하지 않게 할 수 있습니다.

-> NTDS 설정 개체가 삭제되었으므로 컴퓨터 계정, FRS 구성원 개체, _msdcs 컨테이너의 Cname Record, DNS의 A Record

      삭제된 자식 도메인의 TrustDomain 개체 및 도메인 컨트롤러를 삭제할 수 있습니다.

ADSIEdit를 사용하여 DC와 관련된 개체를 삭제하는 방법

1. ADSIEdit를 사용하여 컴퓨터 계정 삭제

2. ADSIEdit를 사용하여 FSR 구성원 개체 삭제

3. DNS Console에서 DNS A Record삭제

4. AD사이트 및서비스를 사용하여 해당도메인 컨트롤러를 제거합니다.

안녕하세요 향기입니다~*

Exchange Server 2007 인증서에 관한 자세한 부분은 http://neowizard.tistory.com/entry/Exchange-Server-2007-ndash-CA-인증서

Windows Server 2008 CA 설치는 http://neowizard.tistory.com/entry/Windows-Server-2008-Root-CA-Server-Install

참고하시기 바랍니다.

 

다시 말씀드리지만, 1개의 물리적인 서버 즉, Edge 없이 사용 하는 Exchange Server 2007기준입니다.
Edge Server 설정도 방법이 거의 동일합니다.

Windows CA 인증서버를 설치 하신 후에, 인증서를 요청합니다.

New-ExchangeCertificate -GenerateRequest -Path C:\hubcert.req –FriendlyName “HUB Certificate” –SubjectName “DC=COM,DC=micro,CN=mail.micro.com” -DomainName mail.micro.com -PrivateKeyExportable $true

-DomainName 도메인 명에는 발급 받을 호스트를 지정합니다.

위에 권한이 충분하다고 하지 않을 경우에 C:\에 해당 Directory를 생성하시면 됩니다.

IE에서 새로 인증서 서버에 로그인 합니다.

기본 주소는 http://인증서버/CertSrv/ 를 입력하시면 됩니다. Ex) Http://AD.Micro.com/Certsrv/

 아래에 Path를 C:\ 으로 지정할 것이기 때문에 인증서도 C:\ 에 저장해 줍니다.

인증서를 Import 시켜주면서 동시에 SMTP,IIS,POP,IMAP서비스를 활성화 시켜줍니다.

Import-ExchangeCertificate –Path C:\Certnew.cer | Enable-ExchangeCertificate –Services SMTP, IIS, POP, IMAP

정상적으로 서비스가 되었는지 확인합니다.

안녕하세요 향기입니다~*

Exchange Server 2007 인증서에 관한 자세한 부분은

http://neowizard.tistory.com/entry/Exchange-Server-2007-ndash-CA-인증서

꼭, 한번 읽어 보시기 바랍니다.

Exchange Server 2007을 설치하면 기본으로 자체 서명 인증서가 설치 되므로 별도 작업을 하실 필요가 없습니다.

기본 사용 기간이 1년이기 때문에 1년이 지난 후 인증서 갱신 작업이 필요합니다.

Get-ExchangeCertifcate -DomainName "ad.micro.com" | fl

인증서 정보를 확인 합니다. 서비스 IMAP, POP, IIS, SMTP가 사용되고 있습니다.

유효기간이 표시되고, Thumbprint 값이 있습니다.

Thumbprint 값을 복사하여 갱신합니다.

Get-ExchangeCertificate -Thumbprint "EC9F756DE23D0B70ED2EB929CF437AEC680C36B2" | New-ExchangeCertificate

새로운 Thumbprint 값으로 발급되었습니다.

Get-ExchangeCertificate -Thumbprint "EC9F756DE23D0B70ED2EB929CF437AEC680C36B2" | New-ExchangeCertificate

다시 확인해 보면 새로 발급된 9B~~~로 시작되는 Thumbprint 인증서가 보이실 겁니다.

기존 인증서에는 IIS 서비스가 실행되고 있지만, 새로 발급된 인증서에는 IIS 서비스가 실행 되지 않고 있습니다.

IIS 서비스를 설치 하시려면

Enable-ExchangeCertificate -Thumbprint "9B785B1CA7A3447B1F5607114150EA540BEFCBC1" -Services IIS

다시 확인해 보겠습니다.

해당 Thumbprint 인증서에 IIS 가 활성화 되었습니다.

그러면, 기존 인증서를 삭제해 보겠습니다.

삭제가 완료 되었고, 새로운 인증서가 잘 설치 되었습니다.

안녕하세요 향기입니다~*

어려워 하시는 인증서 부분에 대하여 이야기 해보겠습니다.

MSDN 내용을 천천히 읽어 보면 이해가 가실 부분이지만,
많은 분들이 놓치고 있는 것 같아서 이해하기 쉽게 풀어서 적어 봅니다.

꼭, 읽어 보세요..

* 인증서를 사용하여 세션을 암호화하거나 인증하는 Exchange 2007 구성 요소

Exchange 2007에서는 X.509 인증서를 사용하여 HTTPS, SMTP, POP, IMAP와 같은 프로토콜을 위한 통신 보안 TLS(전송 계층 보안) 및 SSL(Secure Sockets Layer) 전송 채널을 협상합니다.

TLS는 네트워크 상에서 통신하는 두 응용 프로그램 간에 통신 개인 정보 및 보안을 제공하도록 지원하는 IETF(Internet Engineering Task Force) 표준 프로토콜입니다. TLS는 통신을 암호화하며, 클라이언트가 서버를 인증하거나 선택적으로 서버가 클라이언트를 인증하도록 할 수 있습니다. TLS는 TLS가 기반으로 하고 있는 SSL 프로토콜을 보다 안전하게 바꾼 것이라 할 수 있습니다. SSL은 더 이른 시기에 Netscape에서 개발되었습니다. 두 프로토콜의 기능은 동일하며 대부분의 구현에서는 이전 버전의 SSL만 사용하는 클라이언트에게 이전 버전과의 호환성을 제공하기 위해 두 프로토콜을 모두 지원합니다.

TLS 보안 통신은 기밀(암호화) 목적만을 위해 사용하거나 기밀과 인증 목적을 위해 사용할 수 있습니다. 자체 발급되거나 X.509 CA에서 발급되는 것으로 알려진 X.509 인증서는 자체 서명이 가능합니다. X.509 CA는 조직 내에 배포되는 PKI(공개 키 인프라) 또는 인증서를 발급하는 타사 공용 인증 기관입니다. 구체적으로 언급하지 않는 경우 이 항목에서는 두 솔루션을 모두 CA(인증 기관)라고 부르고, 타사 공용 CA는 공용 CA라고 부릅니다.

-> Exchange Server 와 Client 간의 암호화 통신을 위하여 TLS 및 SSL를 사용한 보안통신이 필요합니다. TLS 및 SSL 통신을 하려면 인증서를 기반으로 합니다.

* 공용 CA에서 발급한 인증서를 사용하는 경우와 자체 서명 인증서를 사용하는 경우를 결정하는 방법

이 섹션에서는 Exchange 2007의 인증서 사용 방법에 대해 간단히 설명하고자 합니다. 이 섹션을 읽은 후에는 사용하도록 설정한 Exchange 구성 요소 및 지원할 클라이언트에 따라 공용 CA로부터 어떠한 종류의 인증서를 구매해야 하는지 파악할 수 있을 것입니다. 또한 이 섹션에서는 인증서 결정에 따른 보다 기술적인 내용에 대해 일반적으로 설명합니다.

이 섹션은 공용 CA에 관한 전반적인 인증서 요구 사항을 신속히 결정할 수 있도록 하기 위한 것이므로 불가피하게 섹션을 간단하게 작성했음을 이해해 주시기 바랍니다. 이를 위해 Exchange 2007에서의 인증서 사용을 설명하는 데 인증서 및 관련 기술에 대한 내용을 일반화였습니다. 이 섹션에 설명된 개념을 이해할 수 없을 경우 이 항목의 나머지 부분 및 참조된 설명서를 읽어 보십시오.

일반적으로 Kerberos, Direct Trust 또는 NTLM 인증을 사용하는 Exchange 2007 구성 요소의 경우 암호화에 자체 서명 인증서를 사용할 수 있습니다. 이 항목에서는 이러한 구성 요소를 내부 Exchange 2007 구성 요소라고 부릅니다. 내부란 데이터 경로가 Exchange 2007 서버 사이와 Active Directory에서 정의한 회사 네트워크 내에 존재한다는 의미입니다.

사용자가 회사 방화벽 밖에서 인증 및 암호화를 필요로 하는 Exchange 구성 요소에 액세스할 때마다 공용 CA에서 발급한 인증서를 배포하는 것이 좋습니다. 예를 들어, Exchange ActiveSync, POP3, IMAP4, 외부에서 Outlook 사용 등 클라이언트 액세스 서버 역할에서 지원하는 다양한 클라이언트는 모두 공용 CA에서 발급하는 인증서를 통해 보호해야 합니다. 이 항목에서는 이러한 구성 요소를 외부 Exchange 2007 구성 요소라고 부릅니다. 외부란 클라이언트와 Exchange 2007 서버 간의 데이터 경로가 회사 방화벽을 통과하여 인터넷까지 확장된다는 의미입니다

-> 공용 CA 인증서 & 자체 서명 인증서

     두 가지 모두 인증서지만 용도에 따라 발급해야 될 사항이 결정 됩니다.

     일반적인 Exchange Server 2007 과 AD 간 회사 네트워크 안에서는 자체 서명 인증서를 사용해도 무방합니다.

     But, 회사 외부에서 암호화를 필요로 하는 Exchange 접근 요소가 있을 경우 공용 CA 인증서를 배포하는 것이 좋습니다.

* 자체 서명 인증서를 사용하는 내부 시나리오

• 허브 전송 서버 간 SMTP 세션: SMTP 세션 암호화에만 인증서가 사용됩니다. 인증은 Kerberos 프로토콜에서 제공됩니다.
• 허브 전송 서버와 Edge 전송 서버 간 SMTP 세션: SMTP 세션 암호화 및 직접 신뢰 인증에 인증서가 사용됩니다.
• Edge 전송 서버와 Active Directory 간 EdgeSync 동기화: Microsoft Exchange EdgeSync 서비스가 Active Directory의 데이터를 Edge 전송 서버의 ADAM 인스턴스로 복제한 후, Edge 전송 서버의 ADAM 인스턴스와 내부 Active Directory 서버 간의 LDAP 통신 세션을 암호화하는 데 인증서가 사용됩니다.
• 통합 메시징 통신: UM 서버와 UM IP 게이트웨이, IP PBX(Private Branch eXchange) 및 Office Communications Server 2007을 실행하고 있는 컴퓨터 간의 SIP(Session Initiation Protocol)와 RTP(Realtime Transport Protocol) 트래픽을 암호화하는 데 인증서가 사용됩니다. 또한 음성 메일이나 팩스 메시지를 UM 서버에서 허브 전송 서버로 전송하는 경우 SMTP 트래픽을 암호화하는 데에도 인증서가 사용됩니다.
• 내부 클라이언트만 액세스하는 클라이언트 액세스 서버

* 외부 클라이언트가 Exchange에 액세스하려면 공용 CA에서 발급한 인증서 필요

자체 서명 인증서는 인증에 사용되지 않으므로 내부 Exchange 구성 요소에서는 이 인증서를 사용할 수 있습니다. 하지만 대부분의 Exchange 구성 요소에 대한 인증은 Kerberos나 NTLM에서 제공됩니다. Edge 전송 서버와 허브 전송 서버 간의 통신에는 직접 신뢰 인증이 사용되고, 이 직접 신뢰 인증은 인증서를 통해 제공되며 Edge 전송 서버의 공개 키가 신뢰할 수 있는 저장소인 Active Directory에 저장된다는 사실을 바탕으로 합니다. 그렇지 않을 경우, 자체 서명 인증서를 통해 사용 후 삭제되는 키를 제공함으로써 Exchange 구성 요소 간의 데이터 경로를 암호화합니다.

단, 외부 클라이언트가 인터넷을 통해 Exchange가 호스팅되어 있는 네트워크에 액세스하려면 기존 인증서 신뢰에 대한 확인이 필요합니다. 신뢰 확인을 위해서는 공용 CA에서 발급하는 인증서를 사용하는 것이 가장 좋습니다. 사실 인증서 인증이 필요한 경우에 자체 서명 인증서를 사용하는 것은 바람직하지 않으며, 가능한 한 사용하지 않는 것이 좋습니다. 다음의 경우 공용 CA의 인증서를 사용하는 것이 좋습니다.

• POP3 및 IMAP4 클라이언트의 Exchange 액세스
• Outlook Web Access
• 외부에서 Outlook 사용
• Exchange ActiveSync
• 자동 검색
• 도메인 보안

-> 외부에서 Exchange에 접근하려면 공용 CA에서 발급한 인증서가 필요합니다.

     공용 CA를 써야 되는 경우는 MS 권장사항입니다.

종합적으로,

-> Exchange Server 와 Client 간의 암호화 통신을 위하여 TLS 및 SSL를 사용한 보안통신이
    필요합니다. TLS 및 SSL 통신을 하려면 인증서를 기반으로 합니다.

-> 공용 CA 인증서 & 자체 서명 인증서 나누어 집니다. (용도 별로 사용할 때가 다릅니다)

-> 외부에서 Exchange에 접근하려면 공용 CA에서 발급한 인증서가 필요합니다. 
    공용 CA를 써야 되는 경우는 MS 권장사항입니다..

Exchange Server을 설치하시면 기본적으로 자체 인증서가 있습니다. 기본적으로 인증서 사용기간이 1년 이므로, 인증서를 갱신해 주어야 하는 관리상의 불편함이 있습니다.

MAPI 및 OWA는 자체 인증서로 사용 가능하지만 Excahnge ActiveSync 와 Outlook Anywhere에는 사용할 수 없습니다

그래서 Windows CA 인증기관을 통해서 PKI를 사용합니다. (기본 인증서를 CA에서 발급받은 PKI로 변경해 주는 작업을 추가로 합니다.)

VeriSign에서 인증 해주는 타사 공인인증서를 사용하는 방법도 있습니다.

참고, MSDN Site

http://technet.microsoft.com/ko-kr/library/bb851505.aspx

안녕하세요 향기입니다~*

Windows Server 2008 에서 Root CA 서버를 설치하는 방법입니다.

서버관리자에서 – 역할 추가를 Click

Active Directory 인증서 서비스

루트 CA는 보안상 보통 하위 CA에 인증서 발급을 하고 사용하지 않지만, Test 기 때문에 루트 CA로 설치 합니다.

Default 값이 5년입니다.

접근 확인..

감사합니다.

안녕하세요 향기입니다~*

Outlook 2007 에서 자주 발생하는 오류입니다

(폴더를 표시할 수 없습니다. 서버 관리자가 동시에 열 수 있는 항목 수를 제한했습니다. 열어 놓은 메세지를 닫거나 작성 중인 미전송 메세지에서 첨부 파일 및 이미지를 제거하십시오.)

아래 오류를 발생시키면서 폴더내에 메세지가 표시 되지 않습니다.

참고 http://support.microsoft.com/kb/970944/ko

위와 같은 경우에 MS Hotfix로 해결이 가능했습니다.

해당 방법이 정답은 아닙니다. 참고 용으로 보시기 바랍니다.

    대화 상자에 오류를 메시지가 있습니다. 그 후에는 폴더 또는 일부 하위 열려고 경우 다음 오류 메시지가 나타날:

폴더를 표시할 수 없습니다. 서버 관리자에게 동시에 열 수 있는 항목 수가 제한되어 있습니다.

닫고 다시 연 메시지 또는 제거 첨부 파일을 보내지 않은 메시지 작성할 이미지를 제거하십시오.

핫픽스는 MS에 요청해서 다운로드 받으시면 됩니다.(URL 사이트)

http://support.microsoft.com/contactus/?ws=support

핫픽스를 공유 하지 않은 이유는 학픽스 자체로 문제가 해결 될 수 있지 않다는 점입니다.

( 문제가 있다면 MS에서 Office Update를 이용해 추가 Update를 할 것입니다)

감사합니다.