CORAISE(코레이즈)

안녕하세요 향기입니다~*

DC의 IP가 변경 될 경우의 절차입니다.

1. DC의 IP 변경

    - NIC IP 변경한 뒤 NIC 사용안함/사용함 선택하여 변경사항을 적용합니다.

2. DNS 서비스에 변경한 IP 레코드가 추가되었는지 확인

3. CMD에서

    - 시스템 재시작시 자동 적용 / DNS가 정상적으로 업데이트 되지 않을시 시도

C:\>IPCONFIG /FLUSHDNS C:\>IPCONFIG /REGISTERDNS C:\>NET STOP NETLOGON C:\>DCDIAG /FIX (Make Safe Repairs)

4. DC Member Server 에서 DNS 설정을 위에서 설정한 IP로 변경

참고, KB

SRV Records Missing After Implementing Active Directory and Domain Name System

http://support.microsoft.com/kb/241505/en-us

Netlogon 이벤트 5774, 5775 및 5781 문제 해결

http://support.microsoft.com/?id=259277

[Source] Microsoft Help and Support

Active Directory를Directory를 실행 중인 Windows 2000 기반 Server 또는 Windows Server 20032003 기반 Server에서

가장 일반적으로 열리는 Port/Protocol -- ServiceService

21/TCP(Transmission Control Protocol) -- FTP

이 FTP(File Transfer Protocol) Server는 Internet Information Service(IIS)의 일부로 IIS Management Console에서 관리.

25/TCP -- SMTP

이 SMTP(Simple Mail Transfer Protocol) Service는 IIS Management Console에서 관리.

53/UDP(User Datagram Protocol) -- DNS

DNS(Domain Name System)를 사용하면 계층적이고 친숙한 이름을 통해 IP Network에서 Computer와 다른 Resource를 쉽게 찾을 수 있다.

DNS를 사용하여 이름을 확인하는 것은 Windows Server에서는 중요한 작업. 이름이 제대로 확인되지 않으면 User가 Network에 있는 Resource를

찾을 수 없다.

80/TCP -- HTTP

HTTP(Hypertext Transfer Protocol)는 WWW(World Wide Web)에서 Text, Graphic Image, Sound, Video 및 기타 Multimedia File을 교환할 때

적용되는 Ruleset. Internet에서의 정보 교환에 기본이 되는 TCP/IP Protocol Suite와 비교해보면 HTTP는 Program Protocol.

88/UDP -- Kerberos

Kerberos Protocol은 Key Distribution Model에 기반을 둔 Network Authentication Method. 이 Protocol을 사용하면 Network를 통해 통신하는

Entity들이 서로에게 자신의 신분을 증명하면서 동시에 도청이나 재연 공격을 방지할 수 있다. Kerberos KDC(Key Distribution Center)는

Ticket Request에 대해 이 Port에서 수신 대기. Kerberos Protocol의 Port 88도 TCP/UDP가 될 수 있다.
Kerberos : The Network Authentication Protocol

119/TCP -- NNTP

NNTP(Network News Transfer Protocol)는 Computer에서 Usenet News Group에 게시된 참고 사항을 관리하는 데 사용되는 주요

Protocol. NNTP Server는 수집된 Usenet News Group의 global Network를 관리.

135/TCP -- RPC

RPC(Remote Procedure Call)는 Distributed Network에서 Windows-based Computer(Client)의 Program이 별도의 Windows-based Computer(Server)

에서 실행 중인 다른 Program의 Service를 호출할 수 있게 해주는 기능. RPC는 TCP/IP를 포함하여 Windows Networking Protocol 중 하나의 통신

Service를 사용할 수 있는 Program Level Protocol.

137/UDP -- NetBIOS Name Server

NetBIOS Name Server(NBNS) Protocol은 NetBT(NetBIOS over TCP/IP) Protocol 제품군의 일부로 NetBIOS 인식 Network에서 Host name과

Address를 mapping할 수 있게 해준다.
* Enable NetBIOS Over TCP/IP (NetBT)

138/UDP -- NetBIOS Datagram

NetBIOS(Network Basic Input Output System) Datagram은 NetBT(NetBIOS over TCP/IP) Protocol 제품군의 일부로 Network Logon과

Search에 사용.

139/TCP -- NetBIOS Session Service

NetBIOS Session Service는 NetBT(NetBIOS over TCP/IP) Protocol 제품군의 일부로 SMB(Server Message Block), File Sharing 및 Print에 사용.

389/UDP -- LDAP

LDAP는 Lightweight Directory Access Protocol. LDAP는 Directory Service에 대한 Access를 제공하기 위한 표준 방법으로 설계되었다.

Windows Server에서 LDAP는 Operating System이 Active Directory Database에 Access할 때 사용하는 기본 방법.

443/TCP -- HTTPS

HTTPS(Secure Hypertext Transfer Protocol)는 HTTP의 변형으로 Security Transaction을 처리하는 데 사용된다. HTTPS는 고유한 Protocol로

HTTP에서의 SSL(Secure Sockets Layer).

445/TCP -- SMB

SMB Protocol은 Microsoft Windows NT와 Windows Server에서의 File Sharing에 사용된다. Windows Server에서는 NetBT라는 추가 계층 없이

TCP/IP를 통해 직접 SMB를 실행할 수 있다.

464/TCP -- Kerberos Password V5

Kerberos Change Password Protocol은 Administrator가 새 User의 Password 설정을 거부하는 데 사용된다. 일부 환경에서는 이 기능이 유용하며

Password 설정을 사용 가능하게 설정하는 데 이 제안이 사용될 수 있다. 이 Protocol은 User가 자신의 Password를 변경할 때 사용된다.

500/UDP-- ISAKMP

ISAKMP(Internet Security Association and Key Management Protocol)나 IKE(Internet Key Exchange;Windows Server의 경우)는

VPN(Virtual Private Network)의 Key Exchange Mechanism. ISAKMP는 암호화 Key의 교환을 관리하고 2단계 Process를 사용하여 두 Gateway

사이에서 IPSec(Internet Protocol Security) 연결을 설정.

563/TCP -- SNEWS

SNEWS는 보안 NNTP(NNTP over SSL).

593/TCP -- RPC over HTTP

RPC over HTTP는 COM+ Internet Service에 사용되며 IIS가 작동하고 있어야 한다.

636/TCP -- LDAP over SSL

SSL이 설정되어 있으면 전송 및 수신되는 LDAP Data가 암호화된다.

1067/TCP -- Installation Bootstrap Service

Installation Bootstrap Protocol Server.

1068/TCP -- Installation Bootstrap Service

Installation Bootstrap Protocol Client.

1645/UDP -- IAS: Internet Authentication Service

이 Service는 RADIUS(Remote Authentication Dial-in User Service) Authentication Message를 처리하는 데 사용, IAS에서 이전 버전의

RADIUS Server와의 호환성을 제공하기 위해 지원.

1646/UDP -- IAS: 인터넷 인증 서비스

이 Service는 RADIUS Account Message를 처리하는 데 사용, IAS에서 이전 버전의 RADIUS Server와의 호환성을 제공하기 위해 지원.

1701/UDP -- L2TP

L2TP(Layer 2 Tunneling Protocol)은 다양한 미디어를 통해 Standard PPP(Point-to-Point Protocol)를 캡슐화하기 위한 방법.

또한 UDP Packet을 사용하여 PPP를 캡슐화할 수도 있다.

1723/TCP -- PPTP

PPTP는 지점간 터널링 프로토콜(Point-to-Point Tunneling Protocol)의 약어이다. VPN 제품에서는 IP가 자주 사용된다. Windows NT가

PPTP Server를 지원하고 Windows NT와 Windows 95 둘 다 PPTP Client를 지원한다.
(PPTP enables the secure transfer of data from a remote client to a private enterprise server by creating a virtual private network (VPN) across

TCP/IP-based data networks.)

1812/UDP -- IAS: Internet Authentication Service

이 Service는 RADIUS Account Message를 처리하는 데 사용.

1813/UDP -- IAS: Internet Authentication Service

이 Service는 RADIUS Account Message를 처리하는 데 사용.

3268/TCP -- Microsoft Global Catalog

Active Directory Global Catalog가 이 Port에서 수신 대기한다.

3269/TCP -- LDAP/SSL 포함 Microsoft Global Catalog

Microsoft Global Catalog SSL 연결이 이 Port에서 수신 대기한다.

3389/TCP -- Remote Desktop Protocol

RDP는 Thin Client가 Network를 통해 Terminal Server와 통신할 수 있게 해주는 Protocol. 이 Protocol은 현재 Microsoft NetMeeting 에서

사용되고 있는 다중 채널 회의 프로토콜의 국제 표준인 ITU(International Telecommunication Union) T.120 Protocol에 기반을 두고 있다.

안녕하세요 향기입니다~*

Microsoft Technet Forums
http://forums.microsoft.com/TechNet-KO/ShowPost.aspx?PostID=987371&SiteID=31
아래 스크립트는 testlab.com 의 test OU에 속한 컴퓨터의 로컬Administrator의 암호를 모두 P@ssword 로 변경하는 스크립트입니다.
----------------------------------------------------------------------
Option Explicit
On Error Resume Next
Dim objou,objitem,strcomputer,objuser
Set objOU = GetObject("LDAP://OU=test, DC=testlab, DC=com")
objOU.Filter = Array("Computer")
For Each objItem in objOU
strComputer = objItem.CN
Set objUser = GetObject("WinNT://" & strComputer & "/Administrator")
objUser.SetPassword(P@ssword)
objUser.SetInfo
Next
----------------------------------------------------------------------
LDAP프로바이더로 소속된OU안의 컴퓨터목록을 가져오지만 Local Administrator는 로컬 SAM에 저장되기 때문에 WinNT프로 바이더를 이용해서 정보를 변경해야하고 따라서 모든 서버의 로컬Administrator정보를 갱신권한을 가진 계정으로 작업해야 합니다.
일반적으로 특수문자가 디폴트로 지원되는 편집기로 스크립트 저장시 Invalid Character 오류 메세지가 생성될 수 있다.

Notepad로 복사하신 후 .vbs로 저장하시면 됩니다.

Virus는 없습니다..ㅎㅎ

필요하신 분 사용하세요

안녕하세요 향기입니다.

Windows Server군에는 Default 로 제공되는 Templates이 있습니다. 로컬 정책을 어떻게 설정할 지 모를 때나, 기본 보안 설정을 안하셨다면

아래 템플을 이용해 보시기 바랍니다.

Windows 2000/2003/2008 모두 제공합니다.

Windows 2003 서버를 보면, 수많은 보안 템플릿을 볼 수 있습니다.

• Setup Security.inf

• DC Security.inf

• Compatws.inf

• Secure*.inf

• Hisec*.inf

• Rootsec.inf

• …and so on

Windows Server 2003에서 이 파일들은 다음 위치에서 찾을 수 있습니다. %systemroot%\security\templates.

해당 KB문서입니다. http://support.microsoft.com/default.aspx?scid=kb;EN-US;816585

Windows Server 2008 은 Templates이 기본 3개가 제공되고, 2개만이 사용 됩니다.

• Defltbase.inf (not really used)

• Defltsv.inf (for servers)

• Defltdc.inf (for DCs)

Windows Server 2008에서는 이 파일은 다음 위치에 있습니다. %systemroot%\inf.

dcfirst.inf는 포레스트의 첫번째 도메인 컨트롤러를 만들때 적용합니다. 주요 차이점은 계정 정책 또한 설정한다는 것입니다.

참고 : 기본 보안 템플릿을 시스템에 다시 적용하는 것은 수행되는 사용자정의 설정을 제거할 수 있는 위험이 있습니다. 이것은 잘못된 보안 설정으로부터 야기된 문제를 해결하는데 사용되지만, 기능상의 이유로 사용자정의 설정에 의존하는 응용프로그램을 망가트리게 됩니다. 또한 이것은 만병통치약이 아닌것을 주의하세요. 보안 템플릿이 담당하지 않는 영역의 사용자정의 보안 설정은(설치 이후 생성한 데이터 볼륨) 이것으로 롤백되지 않습니다. 주의하면서 진행해야 합니다

1. 시작 – 실행 – MMC

콘솔의 중간창에서 새로운 데이터베이스 권한을 만드는 방법을 알려줄 것입니다.

이 작업을 할때, 초기에 사용하기를 원하는 템플릿을 가져오는 것을 묻게 됩니다.

defltsv.inf(멤버 서버) 또는 defltdc.inf(DC)로 하시면 됩니다.

한번 템플릿을 가져오면, 오른쪽 클릭을 하고, 지금 컴퓨터 분석 Analyze Computer Now…를 선택하시면 됩니다.

이후, 지금 컴퓨터 구성 Configure Computer Now를 선택하면 구성됩니다.

안녕하세요 빛향기고운데입니다~*

Windows Server 2003 으로 Root CA 를 구성해서 사용 중이었습니다.

Windows Vista / Windows 7 / Windows Server 2008 에서 CA 인증 웹 페이지 접속시에 Active X 가 설치가 되지 않는

문제점이 발생 하였습니다. 이걸로 좀 찾아보니..

[원인]

Windows Server 2003 인증서 서비스 웹 등록 기능을 Xenroll 라는 ActiveX 컨트롤을 의존합니다. Microsoft Windows 2000 및 이후 버전의 Windows이 ActiveX 컨트롤을 사용할 수 있습니다. 그러나 Windows Vista 및 Windows Server 2008 Xenroll 사용되지. 예제 인증서 등록 원래 포함된 웹 페이지를 릴리스 버전의 Microsoft Windows Server 2003 Windows Server 2003 서비스 팩 1 (SP1) 및 Windows Server 2003 서비스 팩 2 (SP2) 설계되지 않은 Windows Vista 및 Windows Server 2008 웹 기반 인증서 등록 작업을 수행하는 방법을 변경을 처리할 수 있습니다.

해당 KB입니다.

http://support.microsoft.com/kb/922706

위 URL로 이동하여 CA 서버의 Hotfix를 적용 하시면 됩니다.

Windows Server 2008로 CA인증 웹서버를 구성하시면 문제는 없습니다.

감사합니다.