CORAISE(코레이즈)

안녕하세요 향기입니다~*

사내에 Domain Controller가 여러 대 있을 경우, Domain Controller를 제거하려고 하면,

서버가 정상적인 경우에는 Dcpromo로 정상적으로 삭제가 가능하지만, 현실에서는 하드웨어 장애로 강제로 DC가

죽는 경우가 발생합니다. 이럴 경우 DC의 Metadta(찌꺼기)가 남게 되는데, 이 경우 Client 및 멤버 서버들은

죽은 DC를 찾게 됩니다. 이 상황에서 조치방법은 Metadata Clenup을 사용해야 합니다.

Metadata Cleanup을 사용해야 하는 경우

1. Active Directory 환경에서 DC를 삭제하고자 할 경우

2. DC 수준 내리기 실패 후 AD에서 데이터를 제거하는 경우

준비

1. ADSIEdit.msc 설치

* DC가 Windows Server 2000 경우

-> Windows Server 2000 CD에서 Support/Tools 에 Setup 설치

* DC가 Windows Server 2003 경우

-> Windows Server 2003 CD에서 Support/Tools 에 Suptools.msi 설치

2. 문제가 있는 DC가 아닌 정상적인 DC가 Global Catalog 역할을 해야 합니다.

3. FSMO Role 소유 DC확인

AD 사용자 및 컴퓨터 – 마우스 우 Click – 작업 마스터

AD 도메인 및 트러스트 – 마우스 우 Click – 작업 마스터

AD 스키마 – 마우스 우 Click – 작업 마스터

AD Schema 는 기본적으로 보이지 않게 되어있습니다.(그만큼 중요하기 때문에 MS에서 막아 둔 걸 겁니다..ㅎㅎ)

Schema 항목을 확인하시려면 http://neowizard.tistory.com/entry/DC-Active-Directory-Schema-보기-및-편집 게시물을 확인하세요.

netdom 으로도 확인 가능합니다.

netdom query fsmo

Schema owner

Domain role owner

PDC role

RID pool manager

Infrastructure owner

위 5가지 모든 사항이 제거대상이 아닌 DC여야만 합니다.

Metadata Cleanup을 사용하여 DC를 삭제하는 방법

1. 제거 대상이 아닌 DC에 관리자 계정으로 Login

2. 시작 – 실행 - CMD

3. CMD(명령 프롬프트)에서 ntdsutil 을 입력

3. Metadata Cleanup 을 입력

4. Connections 입력

5. Connect to server servername 을 입력

Ex) connect to server adserver"

6. quit 입력

7. Metadata Cleanup 메뉴 나타납니다.

8. Select operation target 입력

9. List domains 입력 ( 포리스트 도메인 목록 표시 )

10. select domain number 를 입력 (여기서는 9번에 나온 제거할 DC를 선택)

11. list siters ( 사이트 목록 표시 )

12. select site number 입력 ( 여기서는 11번에 나온 제거할 DC 선택 )

13. list servers in site 입력

14. select server number ( 여기서 number는 제거할 DC 번호 )

15. quit 입력

16. remove selected server 입력 (제거 완료 메세지 출력 )

-> 다른 관리자가 NTDS 설정 개체를 제거하였거나 DCPROMO Utility 실행 후 개체의 성공적인 제거를 복제하였기

때문에 Active Directory에서 NTDS 설정 개체가 이미 제거된 것일 수도 있습니다.

17. 각 메뉴에 quit를 입력 Ntdsutil 종료

18. DNS의 _msdcs.root domain of forest 영역에 있는 Cname Record를 제거 합니다.

DC를 재설치 하고 수준을 다시 올리면 DNS의 새로운 GUID와 해당 Cname Record를 사용하여 새 NTDS 설정

개체가 만들어 집니다. 존재하는 DC가 이전 Cname Record를 사용하지 않게 할 수 있습니다.

-> NTDS 설정 개체가 삭제되었으므로 컴퓨터 계정, FRS 구성원 개체, _msdcs 컨테이너의 Cname Record, DNS의 A Record

삭제된 자식 도메인의 TrustDomain 개체 및 도메인 컨트롤러를 삭제할 수 있습니다.

ADSIEdit를 사용하여 DC와 관련된 개체를 삭제하는 방법

1. ADSIEdit를 사용하여 컴퓨터 계정 삭제

2. ADSIEdit를 사용하여 FSR 구성원 개체 삭제

3. DNS Console에서 DNS A Record삭제

4. AD사이트 및서비스를 사용하여 해당도메인 컨트롤러를 제거합니다.

사업자 정보 표시

안녕하세요 향기입니다~*

Exchange Server 2007 인증서에 관한 자세한 부분은 http://neowizard.tistory.com/entry/Exchange-Server-2007-ndash-CA-인증서

Windows Server 2008 CA 설치는 http://neowizard.tistory.com/entry/Windows-Server-2008-Root-CA-Server-Install

참고하시기 바랍니다.

다시 말씀드리지만, 1개의 물리적인 서버 즉, Edge 없이 사용 하는 Exchange Server 2007기준입니다.
Edge Server 설정도 방법이 거의 동일합니다.

Windows CA 인증서버를 설치 하신 후에, 인증서를 요청합니다.

New-ExchangeCertificate -GenerateRequest -Path C:\hubcert.req –FriendlyName “HUB Certificate” –SubjectName “DC=COM,DC=micro,CN=mail.micro.com” -DomainName mail.micro.com -PrivateKeyExportable $true

-DomainName 도메인 명에는 발급 받을 호스트를 지정합니다.

위에 권한이 충분하다고 하지 않을 경우에 C:\에 해당 Directory를 생성하시면 됩니다.

IE에서 새로 인증서 서버에 로그인 합니다.

기본 주소는 http://인증서버/CertSrv/ 를 입력하시면 됩니다. Ex) Http://AD.Micro.com/Certsrv/

아래에 Path를 C:\ 으로 지정할 것이기 때문에 인증서도 C:\ 에 저장해 줍니다.

인증서를 Import 시켜주면서 동시에 SMTP,IIS,POP,IMAP서비스를 활성화 시켜줍니다.

Import-ExchangeCertificate –Path C:\Certnew.cer | Enable-ExchangeCertificate –Services SMTP, IIS, POP, IMAP

정상적으로 서비스가 되었는지 확인합니다.

저작자표시 비영리 변경금지

사업자 정보 표시

안녕하세요 향기입니다~*

Exchange Server 2007 인증서에 관한 자세한 부분은

http://neowizard.tistory.com/entry/Exchange-Server-2007-ndash-CA-인증서

꼭, 한번 읽어 보시기 바랍니다.

Exchange Server 2007을 설치하면 기본으로 자체 서명 인증서가 설치 되므로 별도 작업을 하실 필요가 없습니다.

기본 사용 기간이 1년이기 때문에 1년이 지난 후 인증서 갱신 작업이 필요합니다.

Get-ExchangeCertifcate -DomainName "ad.micro.com" | fl

인증서 정보를 확인 합니다. 서비스 IMAP, POP, IIS, SMTP가 사용되고 있습니다.

유효기간이 표시되고, Thumbprint 값이 있습니다.

Thumbprint 값을 복사하여 갱신합니다.

Get-ExchangeCertificate -Thumbprint "EC9F756DE23D0B70ED2EB929CF437AEC680C36B2" | New-ExchangeCertificate

새로운 Thumbprint 값으로 발급되었습니다.

Get-ExchangeCertificate -Thumbprint "EC9F756DE23D0B70ED2EB929CF437AEC680C36B2" | New-ExchangeCertificate

다시 확인해 보면 새로 발급된 9B~~~로 시작되는 Thumbprint 인증서가 보이실 겁니다.

기존 인증서에는 IIS 서비스가 실행되고 있지만, 새로 발급된 인증서에는 IIS 서비스가 실행 되지 않고 있습니다.

IIS 서비스를 설치 하시려면

Enable-ExchangeCertificate -Thumbprint "9B785B1CA7A3447B1F5607114150EA540BEFCBC1" -Services IIS

다시 확인해 보겠습니다.

해당 Thumbprint 인증서에 IIS 가 활성화 되었습니다.

그러면, 기존 인증서를 삭제해 보겠습니다.

삭제가 완료 되었고, 새로운 인증서가 잘 설치 되었습니다.

저작자표시 비영리 변경금지

사업자 정보 표시

안녕하세요 향기입니다~*

어려워 하시는 인증서 부분에 대하여 이야기 해보겠습니다.

MSDN 내용을 천천히 읽어 보면 이해가 가실 부분이지만,
많은 분들이 놓치고 있는 것 같아서 이해하기 쉽게 풀어서 적어 봅니다.

꼭, 읽어 보세요..

* 인증서를 사용하여 세션을 암호화하거나 인증하는 Exchange 2007 구성 요소

Exchange 2007에서는 X.509 인증서를 사용하여 HTTPS, SMTP, POP, IMAP와 같은 프로토콜을 위한 통신 보안 TLS(전송 계층 보안) 및 SSL(Secure Sockets Layer) 전송 채널을 협상합니다.

TLS는 네트워크 상에서 통신하는 두 응용 프로그램 간에 통신 개인 정보 및 보안을 제공하도록 지원하는 IETF(Internet Engineering Task Force) 표준 프로토콜입니다. TLS는 통신을 암호화하며, 클라이언트가 서버를 인증하거나 선택적으로 서버가 클라이언트를 인증하도록 할 수 있습니다. TLS는 TLS가 기반으로 하고 있는 SSL 프로토콜을 보다 안전하게 바꾼 것이라 할 수 있습니다. SSL은 더 이른 시기에 Netscape에서 개발되었습니다. 두 프로토콜의 기능은 동일하며 대부분의 구현에서는 이전 버전의 SSL만 사용하는 클라이언트에게 이전 버전과의 호환성을 제공하기 위해 두 프로토콜을 모두 지원합니다.

TLS 보안 통신은 기밀(암호화) 목적만을 위해 사용하거나 기밀과 인증 목적을 위해 사용할 수 있습니다. 자체 발급되거나 X.509 CA에서 발급되는 것으로 알려진 X.509 인증서는 자체 서명이 가능합니다. X.509 CA는 조직 내에 배포되는 PKI(공개 키 인프라) 또는 인증서를 발급하는 타사 공용 인증 기관입니다. 구체적으로 언급하지 않는 경우 이 항목에서는 두 솔루션을 모두 CA(인증 기관)라고 부르고, 타사 공용 CA는 공용 CA라고 부릅니다.

-> Exchange Server 와 Client 간의 암호화 통신을 위하여 TLS 및 SSL를 사용한 보안통신이 필요합니다. TLS 및 SSL 통신을 하려면 인증서를 기반으로 합니다.

* 공용 CA에서 발급한 인증서를 사용하는 경우와 자체 서명 인증서를 사용하는 경우를 결정하는 방법

이 섹션에서는 Exchange 2007의 인증서 사용 방법에 대해 간단히 설명하고자 합니다. 이 섹션을 읽은 후에는 사용하도록 설정한 Exchange 구성 요소 및 지원할 클라이언트에 따라 공용 CA로부터 어떠한 종류의 인증서를 구매해야 하는지 파악할 수 있을 것입니다. 또한 이 섹션에서는 인증서 결정에 따른 보다 기술적인 내용에 대해 일반적으로 설명합니다.

이 섹션은 공용 CA에 관한 전반적인 인증서 요구 사항을 신속히 결정할 수 있도록 하기 위한 것이므로 불가피하게 섹션을 간단하게 작성했음을 이해해 주시기 바랍니다. 이를 위해 Exchange 2007에서의 인증서 사용을 설명하는 데 인증서 및 관련 기술에 대한 내용을 일반화였습니다. 이 섹션에 설명된 개념을 이해할 수 없을 경우 이 항목의 나머지 부분 및 참조된 설명서를 읽어 보십시오.

일반적으로 Kerberos, Direct Trust 또는 NTLM 인증을 사용하는 Exchange 2007 구성 요소의 경우 암호화에 자체 서명 인증서를 사용할 수 있습니다. 이 항목에서는 이러한 구성 요소를 내부 Exchange 2007 구성 요소라고 부릅니다. 내부란 데이터 경로가 Exchange 2007 서버 사이와 Active Directory에서 정의한 회사 네트워크 내에 존재한다는 의미입니다.

사용자가 회사 방화벽 밖에서 인증 및 암호화를 필요로 하는 Exchange 구성 요소에 액세스할 때마다 공용 CA에서 발급한 인증서를 배포하는 것이 좋습니다. 예를 들어, Exchange ActiveSync, POP3, IMAP4, 외부에서 Outlook 사용 등 클라이언트 액세스 서버 역할에서 지원하는 다양한 클라이언트는 모두 공용 CA에서 발급하는 인증서를 통해 보호해야 합니다. 이 항목에서는 이러한 구성 요소를 외부 Exchange 2007 구성 요소라고 부릅니다. 외부란 클라이언트와 Exchange 2007 서버 간의 데이터 경로가 회사 방화벽을 통과하여 인터넷까지 확장된다는 의미입니다

-> 공용 CA 인증서 & 자체 서명 인증서

두 가지 모두 인증서지만 용도에 따라 발급해야 될 사항이 결정 됩니다.

일반적인 Exchange Server 2007 과 AD 간 회사 네트워크 안에서는 자체 서명 인증서를 사용해도 무방합니다.

But, 회사 외부에서 암호화를 필요로 하는 Exchange 접근 요소가 있을 경우 공용 CA 인증서를 배포하는 것이 좋습니다.

* 자체 서명 인증서를 사용하는 내부 시나리오

허브 전송 서버 간 SMTP 세션: SMTP 세션 암호화에만 인증서가 사용됩니다. 인증은 Kerberos 프로토콜에서 제공됩니다.
허브 전송 서버와 Edge 전송 서버 간 SMTP 세션: SMTP 세션 암호화 및 직접 신뢰 인증에 인증서가 사용됩니다.
Edge 전송 서버와 Active Directory 간 EdgeSync 동기화: Microsoft Exchange EdgeSync 서비스가 Active Directory의 데이터를 Edge 전송 서버의 ADAM 인스턴스로 복제한 후, Edge 전송 서버의 ADAM 인스턴스와 내부 Active Directory 서버 간의 LDAP 통신 세션을 암호화하는 데 인증서가 사용됩니다.
통합 메시징 통신: UM 서버와 UM IP 게이트웨이, IP PBX(Private Branch eXchange) 및 Office Communications Server 2007을 실행하고 있는 컴퓨터 간의 SIP(Session Initiation Protocol)와 RTP(Realtime Transport Protocol) 트래픽을 암호화하는 데 인증서가 사용됩니다. 또한 음성 메일이나 팩스 메시지를 UM 서버에서 허브 전송 서버로 전송하는 경우 SMTP 트래픽을 암호화하는 데에도 인증서가 사용됩니다.
내부 클라이언트만 액세스하는 클라이언트 액세스 서버

* 외부 클라이언트가 Exchange에 액세스하려면 공용 CA에서 발급한 인증서 필요

자체 서명 인증서는 인증에 사용되지 않으므로 내부 Exchange 구성 요소에서는 이 인증서를 사용할 수 있습니다. 하지만 대부분의 Exchange 구성 요소에 대한 인증은 Kerberos나 NTLM에서 제공됩니다. Edge 전송 서버와 허브 전송 서버 간의 통신에는 직접 신뢰 인증이 사용되고, 이 직접 신뢰 인증은 인증서를 통해 제공되며 Edge 전송 서버의 공개 키가 신뢰할 수 있는 저장소인 Active Directory에 저장된다는 사실을 바탕으로 합니다. 그렇지 않을 경우, 자체 서명 인증서를 통해 사용 후 삭제되는 키를 제공함으로써 Exchange 구성 요소 간의 데이터 경로를 암호화합니다.

단, 외부 클라이언트가 인터넷을 통해 Exchange가 호스팅되어 있는 네트워크에 액세스하려면 기존 인증서 신뢰에 대한 확인이 필요합니다. 신뢰 확인을 위해서는 공용 CA에서 발급하는 인증서를 사용하는 것이 가장 좋습니다. 사실 인증서 인증이 필요한 경우에 자체 서명 인증서를 사용하는 것은 바람직하지 않으며, 가능한 한 사용하지 않는 것이 좋습니다. 다음의 경우 공용 CA의 인증서를 사용하는 것이 좋습니다.