CORAISE(코레이즈)

안녕하세요. 쿠키입니다.
Windows VPN으로 Client 지원을 하게 될 줄은 몰랐지만, 인원 수는 참고하시고 구성하면 좋으실 듯 합니다.

(*Server 2012 에선 몇 명까지 허용하나요?? ^^;;)
http://technet.microsoft.com/ko-kr/library/ee344833(v=ws.10).aspx

Volume Activation 2.0 배포 (KMS - 키 관리 서비스)

MS는 정품 인증 방식이 Vista 이후로 VL에서 MAK, KMS 방식으로 변경 되었습니다.

MAK(Multiple Activation Key)

개별 컴퓨터나 그룹을 MS서버를 통해 인증하는 방식입니다. (인터넷, 전화) 사용할 수 있는 키의 개수는 제한됩니다.

KMS (Key Management Service)

회사 내부에 KMS Host 서버를 두고 컴퓨터를 자동으로 인증한다. KMS를 사용하기 위해 최소 25대의 컴퓨터에서 Windows Vista 이상을

실행하고 있어야 한다. KMS를 통해 인증되는 컴퓨터는 적어도 6개월에 한번씩 회사 네트웍에 연결해서 다시 인증을 받아야 합니다.

KMS 역할을 할 수 있는 서버는 VISTA, Windows 7, Windows Server 2003, Windows Server 2008 이 가능합니다.

X64 에도 설치가 가능합니다.

우선 자신의 Corporation 의 라이선스 정보를 확인하십시요..

키는 KMS와 MAK 로 구분되는데, KMS(키 관리 서비스), MAK(복수 정품 인증 키) 로 나뉘는데, 이 두 가지의 결합된 형태로도 배포 가능합니다.

[ 설치준비 ]

기본적으로 Active Directory 환경에서의 구성을 기본 인프라로 하고 있어야 합니다.

Windows Server 2003 SP KMS Services 1.1 (x64)

http://www.microsoft.com/downloads/details.aspx?familyid=03FE69B2-6244-471C-80D2-B4171FB1D7A5&displaylang=ko

Windows Server 2003 SP KMS Services 1.1 (x86)

http://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=81d1cb89-13bd-4250-b624-2f8c57a1ae7b

Windows Server 2003 에서 설치 된 것을 이벤트 뷰어를 통해 확인 할 수 있습니다.

• Windows Server 2008 은 KMS Services 가 기본적으로 구성되어 있습니다.

Windows Server 2003/2008 은 KMS 서비스를 설치한 이후에, Windows 7 및 Windows Server 2008 R2 에 대한 정품 인증을

활성화 하려면 KB968915/KB968912 업데이트 해 줘야 한다.

Windows Server 2003용 업데이트(KB968915)

http://www.microsoft.com/downloads/details.aspx?FamilyID=f3a0d90c-b7fd-44cf-bf81-11587adc599f&DisplayLang=ko (WindowsServer2003-KB968915-x86-KOR.exe)

Windows Server 2008용 업데이트(KB968912)

http://www.microsoft.com/downloads/details.aspx?FamilyID=8a9ba611-d138-4526-b3fd-873c9c28b60c&DisplayLang=ko

Vista 및 x64 를 다운로드를 찾으려면,

http://www.microsoft.com/downloads/results.aspx?pocId=&freetext=%ud0a4%20%uad00%ub9ac&DisplayLang=ko 또는 MS 다운로드 에서 KMS 또는 "키 관리 서비스"로 검색 해야 한다.

Microsoft Office 2010 KMS 호스트 라이선스 팩

OFFICE 2010을 인증해 주기 위해서는 KeyManagementServiceHost.exe 를 설치 해야 한다.

http://www.microsoft.com/downloads/details.aspx?FamilyID=97b7b710-6831-4ce5-9ff5-fdc21fe8d965&DisplayLang=ko

Volume Activation Management Tool (VAMT) 2.0 - 한국어

.Net Framework 2.0 이상 설치 되어 있어야 한다.

http://www.microsoft.com/downloads/details.aspx?FamilyID=ec7156d2-2864-49ee-bfcb-777b898ad582&DisplayLang=ko

해당 툴은 GUI 로 KEY 관리 서비스를 운영하는 툴이다.

Windows 7; Windows Server 2003 Service Pack 2; Windows Server 2008 R2; Windows Server 2008 Service Pack 2; Windows Vista; Windows XP Service Pack 3

위에 모든 것들이 설치 되면 기본적인 설치 준비는 끝났다.

볼륨 정품 인증 참조 가이드(PDF)

http://download.microsoft.com/download/2/D/F/2DF30F9F-829C-4F14-AF1B-DC20AB8CA84C/Windows_Volume_Activation_Reference_Guide_October_2009.pdf

[상세설정]

KMS를 사용하기 위해서는 방화벽을 Open 해 줘야 합니다. 기본적으로 KMS 서비스는 1688 Port를 사용하며, 변경도 가능합니다.

Slmgr.vbs 를 통해 수정이 가능합니다.

“ cscript Slmgr.vbs /sprt <PortNumber> “

KMS 호스트에서 TCP 통신 포트를 설정합니다. <PortNumber>에 사용할 TCP 포트 번호를 넣습니다. 기본 설정은 1688입니다.

이후에 다음과 같은 순서로 설정을 합니다.

1. 자동 등록을 사용할 경우 DNS에 SRV Record 등록

1. Cscript Slmgr.vbs -ipk xxxxx-xxxx-xxxxx-xxxxx-xxxx (KMS 키) <- 이때, 키는 활성화할 KMS 키를 모두 입력합니다.

Windows Server 2008 은 c:\windows\system32\ 하위 폴더에 slmgr.vbs가 있습니다.

1. Cscript Slmgr.vbs -ato 명령어를 입력하여 서비스 활성화
2. Cscript Slmgr.vbs -dli 서버 상태 확인

• Windows Server 2008 에서는 CMD 모드를 관리자 모드로 진행하셔야 합니다.

1. OFFICE 2010은 slmgr.vbs -ipk 로 키를 등록하는 것이 아니라,

Microsoft Office 2010 KMS 호스트 라이선스 팩을 통해 직접 입력 하셔야 합니다.

OFFICE 2010을 인증해 주기 위해서는 KeyManagementServiceHost.exe 를 설치 해야 한다.

http://www.microsoft.com/downloads/details.aspx?FamilyID=97b7b710-6831-4ce5-9ff5-fdc21fe8d965&DisplayLang=ko

** 구성이 어려우신 분들은 MS 사이트의 동영상 tutorial 을 통해서 배워 보시기 바랍니다.

Windows Server 2008 R2 에서 KMS Host 설치하기

http://technet.microsoft.com/en-gb/windows/ff716620.aspx?ITPID=flpbook

Office 2010 설치하기

http://technet.microsoft.com/en-gb/windows/ff716616.aspx

KMS Windows 7 & 2008 설치하기

http://technet.microsoft.com/en-gb/windows/dd936199.aspx

VAMT 2.0 Tool 사용방법

http://technet.microsoft.com/en-gb/windows/ff716619.aspx

두 개의 NIC IP를 사용하고 있을 경우 나타나는 윈도우 Update 관련 오류 해결 방법(0x80072efd Error)

# A firewall on your computer or local network is interfering with your connection to the Windows Update site.

# The Windows Update Web site is mapped to a specific IP address in the HOSTS file on your computer. Microsoft does not recommend the use of entries for the Windows Update Web site in the HOSTS file because the IP addresses for the site can change. NB: This issue has been reported with Internet enhancement programs (such as TweakMASTER DNS) that can add entries to your HOSTS file without your knowledge.

# The MTU setting on your router is too high/low.

# Proxy server settings are interfering with your connection to the Windows Update site.

# Norton Internet Security may be blocking access.

To try and resolve the error 0x80072EFD, use the following tips... After each tip test to determine whether the issue is resolved..

Resolution One

Test your Internet connection to Windows Update.

A simple solution but one that works in many circumstances!

Test to determine if your Internet connection is preventing you from reaching the Windows Update Web site. To do this, visit the following Microsoft Windows Update Web site to determine if you can download

the Iuident.cab file:

http://windowsupdate.microsoft.com/v4/iuident.cab

If a file download dialog box appears, the problem is not with your Internet connection. Click Cancel. If you cannot connect to this link, and you receive a "Page Cannot Be Displayed" error message, your Internet connection is preventing you from reaching the Windows Update site..

ResolutionTwo

Reconfigure or update your firewall program.

Reconfigure or update your firewall program so that Windows Update is not blocked, and then try to update your computer again by using Windows Update. For information about how to reconfigure or update your firewall program, see the documentation that was included with the program, view the Help files for your program, or contact the manufacturer's technical support department.

e.g It my mean Opening TCP/IP 443 in both directions for this process: %windir%\system32\svchost.exe

Resolution Three

Remove Windows Update entries from the HOSTS file.

To remove Windows Update entries from the HOSTS file, follow these steps:

-Click Start, point to All Programs, point to Accessories, and then click Notepad

-On the File menu, click Open.

-In the Files of type box, click All Files.

-In the Look in box, locate the following folder:

C:\Winnt\system32\drivers\etc\

-Double-click to open the hosts file.

-Remove any lines that contain entries for Windows Update (http://v4.windowsupdate.microsoft.com).

-On the File menu, click Save.

-Close Notepad.

I have seen the 0x80072EFD error resolved by this tip many times...

Resolution Four

Run the IPCONFIG /FLUSHDNS command.

To run the ipconfig /flushdns command, follow these steps:

-Click Start, and then click Run.

-In the Open box, type cmd, and the click OK.

-At the command prompt, type the following command, and then press ENTER:

ipconfig /flushdns

Close the command window.

Resolution Five

Add Windows Update addresses to the trusted sites list.

To add Windows Update addresses to the trusted sites list, follow these steps:

-Open Microsoft Internet Explorer.

-Click Tools, and then click Internet Options.

-Click the Security tab, and then click Trusted Sites.

-Click Sites, and then click to clear the Require server verification (https:) for all sites in this zone check box.

-In the Add this Web site to the zone box, type each of the following addresses, and click Add after each address:

http://Windowsupdate.microsoft.com

http://V4.Windowsupdate.microsoft.com

https://v4.Windowsupdate.microsoft.com

http://Download.Windowsupdate.com

http://V5.Windowsupdate.microsoft.com https://v5.Windowsupdate.microsoft.com

-Click OK to close all Internet Options windows.

Resolution Six

Add Windows Update addresses to the proxy settings exceptions list.

If your Internet connection uses a proxy server, add the Windows Update sites to the proxy settings exceptions in Internet Settings. To do this, follow these steps:

-Open Internet Explorer.

-Click Tools, and then click Internet Options.

-Click the Connections tab, and then click LAN Settings.

-Click Advanced, and then type the following text in the Exceptions text box (all in one line):

windowsupdate.microsoft.com;v4.windowsupdate.microsoft.com;

download.windowsupdate.com

Note If you are running third-party proxy or firewall software, see your product documentation for information about how to add these sites to the exception list for those applications.

Click OK to close all Internet Options windows.

Resolution Seven

Change the MTU setting on your router. Yours ISP's MTU for their connection may not be correctly setup on your Broadband router and/or your computer.

Please contact your ISP's support for more assistance on this.

However the following articles may be of help:

http://www.microsoft.com/windowsxp/using/networking/learnmore/ppoe.mspx

http://support.microsoft.com/default.aspx?scid=kb;en-us;283165

원본 위치 <http://www.updatexp.com/0x80072efd.html>

CA 인증기관 제거 및 변경

<백업절차>

1. 변경되거나 마이그레이션할 경우 모드 FQDN이 같이야 한다!!

2. CA 인증기관에서 백업 먼저 실행

     -> 저장 경로를 복구할 디렉터리 name과 같게 해야 한다.(중요!)

3. 레지스트리 경로 백업

      -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration

           (내보내기로 백업)

4. 인증서 템플릿 유형 확인( 자동으로 복구가 되지 않기 때문에 템플릿이 어떤 것들이 있었는지 스샷)

<복원절차>

1. FQDN 같게 설정

2. CA설치

3. 레지스트리 복원

4. CA 복원으로 복구

5. 템플릿 유형 추가

* Window Server 2003에서 2008로 옮길 경우 2008로 먼저 마이그레이션 진행을 해야 합니다!!

===============================================================================================

CA를 다른 컴퓨터로 이동

적용 대상: Windows Server 2008

CA(인증 기관)는 수년 또는 수십년간 사용되도록 구성되며 이 기간 동안 CA를 지원하는 운영 체제 및 하드웨어를 업그레이드해야 할 수 있습니다.

CA를 한 컴퓨터에서 다른 컴퓨터로 이동할 때는 다음 절차를 수행합니다.

• 첫 번째 컴퓨터에서 CA 백업
• 두 번째 컴퓨터에서 CA 복원

또한 CA를 복원하는 컴퓨터의 이름과 CA를 백업한 컴퓨터의 이름이 같아야 합니다. 이름이 다른 경우에는 Microsoft 기술 자료 문서 298138(http://go.microsoft.com/fwlink/?LinkId=94223)(페이지는 영문일 수 있음)을 참조하십시오.

CA를 Windows Server 2003을 실행하는 서버에서 Windows Server® 2008을 실행하는 서버로 이동하려면 Windows 업그레이드를 먼저 완료한 다음 CA를

이동하거나, CA를 먼저 이동한 다음 Windows를 업그레이드할 수 있습니다.

• 먼저 Windows를 업그레이드하려면: 첫 번째 서버를 Windows Server 2003에서 Windows Server 2008으로 업그레이드하고, 이 서버에서 CA를 백업한 다음, Windows Server 2008을 실행하는 두 번째 서버에서 CA를 복원합니다.
• 먼저 CA를 이동하려면: Windows Server 2003을 실행하는 컴퓨터에서 CA를 백업하고, Windows Server 2003을 실행하는 두 번째 컴퓨터에서 CA를 복원한 다음 두 번째 서버를 Windows Server 2008으로 업그레이드합니다.

이 절차를 완료하려면 CA 관리자 권한이 있어야 합니다. 자세한 내용은 역할 기반 관리 구현을 참조하십시오.

CA를 백업하려면

1. 인증 기관 스냅인을 엽니다.

2. 엔터프라이즈 CA를 백업할 때는 CA의 인증서 템플릿을 클릭하여 나열되는 인증서 템플릿의 이름을 기록합니다.

   참고

   인증서 템플릿 설정은 AD DS(Active Directory 도메인 서비스)에 저장되며 자동으로 백업되지 않습니다. 필요한 인증서 템플릿을 새 CA에 수동으로 추가해야 합니다.

3. 인증 기관 스냅인에서 CA 이름을 마우스 오른쪽 단추로 클릭하고 모든 작업을 클릭한 다음 CA 백업을 클릭하여 인증 기관 백업 마법사를 시작합니다.

4. 다음을 클릭하고 개인 키 및 CA 인증서 및 인증서 데이터베이스 및 인증서 데이터베이스 로그 확인란을 선택합니다.

5. 빈 폴더나 저장소 미디어를 백업 위치로 지정하고 다음을 클릭합니다.

6. CA 개인 키 백업 파일에 대한 암호를 입력하고 한 번 더 입력하여 암호를 확인합니다.

7. 다음을 클릭하고 개인 키 및 CA 인증서 및 발급된 로그 및 보류 중인 요청 백업 설정이 표시되는지 확인한 다음 마침을 클릭합니다.

8. 시작, 실행을 차례로 클릭하고 regedit를 입력한 다음 확인을 클릭합니다.

   주의

   레지스트리를 잘못 편집하면 시스템에 심각한 손상을 줄 수 있습니다. 레지스트리를 변경하기 전에 컴퓨터의 중요한 데이터를 백업해야 합니다.

9. 다음 레지스트리 하위 키를 찾아서 마우스 오른쪽 단추로 클릭합니다.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration

10. 내보내기를 클릭합니다.

11. 인증 기관 백업 마법사에서 사용한 CA 백업 폴더에 레지스트리 파일을 저장합니다.

12. 이전 서버에서 CA를 제거한 다음 이전 서버의 이름을 변경하거나 네트워크에서 영구적으로 분리합니다.

복원 절차를 시작하기 전에 Windows Server 2008을 실행하는 대상 서버의 %Systemroot% 폴더가 백업을 수행한 서버의 %Systemroot% 폴더와 일치하는지 확인합니다.

또한 CA 복원 위치는 CA 백업 위치와 동일해야 합니다. 예를 들어 D:\Winnt\System32\Certlog 폴더에서 CA를 백업한 경우 해당 백업을 D:\Winnt\System32\Certlog 폴더로 복원해야 합니다. 백업을 복원한 뒤에는 CA 데이터베이스 파일을 다른 위치로 이동할 수 있습니다.

이 절차를 완료하려면 최소한 로컬 Administrators 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. 엔터프라이즈 CA인 경우 이 절차를 완료하려면 최소한 DomainAdmins 그룹의 구성원이거나 이와 동등한 자격이 필요합니다. 자세한 내용은 역할 기반 관리 구현을 참조하십시오.

새 서버에서 백업 복사본을 사용하여 CA를 복원하려면

1. 서버 관리자를 열고 Active Directory 인증서 서비스를 클릭합니다. 다음을 두 번 클릭합니다.

2. 역할 서비스 선택 페이지에서 인증 기관 확인란을 선택한 후 다음을 클릭합니다.

3. 설치 유형 지정 페이지에서 독립 실행형 또는 엔터프라이즈를 클릭하고 다음을 클릭합니다.

   자세한 내용은 인증 기관의 유형을 참조하십시오.

   참고

   엔터프라이즈 CA를 설치하려면 도메인 컨트롤러에 네트워크로 연결되어 있어야 합니다.

4. CA 유형 지정 페이지에서 적절한 CA 유형을 클릭하고 다음을 클릭합니다.

5. 개인 키 설정 페이지에서 기존 개인 키 사용을 클릭하고 인증서를 선택하고 연관된 개인 키를 사용을 클릭한 후 다음을 클릭합니다.

6. 기존 인증서 선택 페이지에서 가져오기를 클릭하고, 백업 폴더의 .P12 파일 경로를 입력하고, 이전 절차에서 백업 파일 보호를 위해 선택한 암호를 입력한 다음 확인을 클릭합니다.

7. 공개 및 개인 키 쌍 대화 상자에서 기존 키 사용이 선택되었는지 확인합니다.

8. 다음을 두 번 클릭합니다.

9. 인증서 데이터베이스 구성 페이지에서 인증서 데이터베이스 및 인증서 데이터베이스 로그의 위치를 이전 CA 컴퓨터에서와 동일한 위치로 지정합니다. 다음을 클릭합니다.

   자세한 내용은 인증서 데이터베이스를 참조하십시오.

10. 설치 옵션 확인 페이지에서 선택한 모든 구성 설정을 검토합니다. 모든 옵션을 승인하려면 설치를 클릭하고 설치 프로세스가 종료될 때까지 기다립니다.

11. 서비스 스냅인을 열고 AD CS(Active Directory 인증서 서비스) 서비스를 중지합니다.

12. 백업 절차에서 저장한 레지스트리 파일을 찾은 다음 두 번 클릭하여 레지스트리 설정을 가져옵니다. 이전 CA의 레지스트리 내보내기에 표시된 경로가 새 경로와 다른 경우에는 그에 맞게 레지스트리 내보내기를 조정해야 합니다.

    주의

    레지스트리를 잘못 편집하면 시스템에 심각한 손상을 줄 수 있습니다. 레지스트리를 변경하기 전에 컴퓨터의 중요한 데이터를 백업해야 합니다.

13. 인증 기관 스냅인을 열고 CA 이름을 마우스 오른쪽 단추로 클릭하고 모든 작업을 클릭한 다음 CA 복원을 클릭하여인증 기관 복원 마법사를 시작합니다.

14. 다음을 클릭하고 개인 키 및 CA 인증서 및 인증서 데이터베이스 및 인증서 데이터베이스 로그 확인란을 선택합니다.

15. 백업 폴더 위치를 입력하고 다음을 클릭합니다.

16. 백업 설정을 확인합니다. 발급된 로그 및 보류 중인 요청 설정이 표시됩니다.

17. CA 데이터베이스가 복원되면 마침을 클릭하고 예를 클릭하여 AD CS를 다시 시작합니다.

18. 엔터프라이즈 CA인 경우에는 이전 절차에서 기록해 두었던 인증서 템플릿을 AD DS에서 복원합니다. 자세한 내용은 인증 기관에 인증서 템플릿 추가를 참조하십시오.

안녕하세요 향기입니다~*

DC의 IP가 변경 될 경우의 절차입니다.

1. DC의 IP 변경

    - NIC IP 변경한 뒤 NIC 사용안함/사용함 선택하여 변경사항을 적용합니다.

2. DNS 서비스에 변경한 IP 레코드가 추가되었는지 확인

3. CMD에서

    - 시스템 재시작시 자동 적용 / DNS가 정상적으로 업데이트 되지 않을시 시도

4. DC Member Server 에서 DNS 설정을 위에서 설정한 IP로 변경

참고, KB

SRV Records Missing After Implementing Active Directory and Domain Name System

http://support.microsoft.com/kb/241505/en-us

Netlogon 이벤트 5774, 5775 및 5781 문제 해결

http://support.microsoft.com/?id=259277

[Source] Microsoft Help and Support

Active Directory를Directory를 실행 중인 Windows 2000 기반 Server 또는 Windows Server 20032003 기반 Server에서

가장 일반적으로 열리는 Port/Protocol -- ServiceService

21/TCP(Transmission Control Protocol) -- FTP

25/TCP -- SMTP

53/UDP(User Datagram Protocol) -- DNS

DNS(Domain Name System)를 사용하면 계층적이고 친숙한 이름을 통해 IP Network에서 Computer와 다른 Resource를 쉽게 찾을 수 있다.

DNS를 사용하여 이름을 확인하는 것은 Windows Server에서는 중요한 작업. 이름이 제대로 확인되지 않으면 User가 Network에 있는 Resource를

찾을 수 없다.

80/TCP -- HTTP

HTTP(Hypertext Transfer Protocol)는 WWW(World Wide Web)에서 Text, Graphic Image, Sound, Video 및 기타 Multimedia File을 교환할 때

적용되는 Ruleset. Internet에서의 정보 교환에 기본이 되는 TCP/IP Protocol Suite와 비교해보면 HTTP는 Program Protocol.

88/UDP -- Kerberos

Kerberos Protocol은 Key Distribution Model에 기반을 둔 Network Authentication Method. 이 Protocol을 사용하면 Network를 통해 통신하는

Entity들이 서로에게 자신의 신분을 증명하면서 동시에 도청이나 재연 공격을 방지할 수 있다. Kerberos KDC(Key Distribution Center)는

Ticket Request에 대해 이 Port에서 수신 대기. Kerberos Protocol의 Port 88도 TCP/UDP가 될 수 있다.
Kerberos : The Network Authentication Protocol

119/TCP -- NNTP

NNTP(Network News Transfer Protocol)는 Computer에서 Usenet News Group에 게시된 참고 사항을 관리하는 데 사용되는 주요

Protocol. NNTP Server는 수집된 Usenet News Group의 global Network를 관리.

135/TCP -- RPC

RPC(Remote Procedure Call)는 Distributed Network에서 Windows-based Computer(Client)의 Program이 별도의 Windows-based Computer(Server)

에서 실행 중인 다른 Program의 Service를 호출할 수 있게 해주는 기능. RPC는 TCP/IP를 포함하여 Windows Networking Protocol 중 하나의 통신

Service를 사용할 수 있는 Program Level Protocol.

137/UDP -- NetBIOS Name Server

NetBIOS Name Server(NBNS) Protocol은 NetBT(NetBIOS over TCP/IP) Protocol 제품군의 일부로 NetBIOS 인식 Network에서 Host name과

Address를 mapping할 수 있게 해준다.
* Enable NetBIOS Over TCP/IP (NetBT)

138/UDP -- NetBIOS Datagram

NetBIOS(Network Basic Input Output System) Datagram은 NetBT(NetBIOS over TCP/IP) Protocol 제품군의 일부로 Network Logon과

Search에 사용.

139/TCP -- NetBIOS Session Service

389/UDP -- LDAP

LDAP는 Lightweight Directory Access Protocol. LDAP는 Directory Service에 대한 Access를 제공하기 위한 표준 방법으로 설계되었다.

Windows Server에서 LDAP는 Operating System이 Active Directory Database에 Access할 때 사용하는 기본 방법.

443/TCP -- HTTPS

HTTPS(Secure Hypertext Transfer Protocol)는 HTTP의 변형으로 Security Transaction을 처리하는 데 사용된다. HTTPS는 고유한 Protocol로

HTTP에서의 SSL(Secure Sockets Layer).

445/TCP -- SMB

SMB Protocol은 Microsoft Windows NT와 Windows Server에서의 File Sharing에 사용된다. Windows Server에서는 NetBT라는 추가 계층 없이

TCP/IP를 통해 직접 SMB를 실행할 수 있다.

464/TCP -- Kerberos Password V5

Kerberos Change Password Protocol은 Administrator가 새 User의 Password 설정을 거부하는 데 사용된다. 일부 환경에서는 이 기능이 유용하며

Password 설정을 사용 가능하게 설정하는 데 이 제안이 사용될 수 있다. 이 Protocol은 User가 자신의 Password를 변경할 때 사용된다.

500/UDP-- ISAKMP

ISAKMP(Internet Security Association and Key Management Protocol)나 IKE(Internet Key Exchange;Windows Server의 경우)는

VPN(Virtual Private Network)의 Key Exchange Mechanism. ISAKMP는 암호화 Key의 교환을 관리하고 2단계 Process를 사용하여 두 Gateway

사이에서 IPSec(Internet Protocol Security) 연결을 설정.

563/TCP -- SNEWS

593/TCP -- RPC over HTTP

636/TCP -- LDAP over SSL

1067/TCP -- Installation Bootstrap Service

1068/TCP -- Installation Bootstrap Service

1645/UDP -- IAS: Internet Authentication Service

이 Service는 RADIUS(Remote Authentication Dial-in User Service) Authentication Message를 처리하는 데 사용, IAS에서 이전 버전의

RADIUS Server와의 호환성을 제공하기 위해 지원.

1646/UDP -- IAS: 인터넷 인증 서비스

1701/UDP -- L2TP

L2TP(Layer 2 Tunneling Protocol)은 다양한 미디어를 통해 Standard PPP(Point-to-Point Protocol)를 캡슐화하기 위한 방법.

또한 UDP Packet을 사용하여 PPP를 캡슐화할 수도 있다.

1723/TCP -- PPTP

PPTP는 지점간 터널링 프로토콜(Point-to-Point Tunneling Protocol)의 약어이다. VPN 제품에서는 IP가 자주 사용된다. Windows NT가

PPTP Server를 지원하고 Windows NT와 Windows 95 둘 다 PPTP Client를 지원한다.
(PPTP enables the secure transfer of data from a remote client to a private enterprise server by creating a virtual private network (VPN) across

TCP/IP-based data networks.)

1812/UDP -- IAS: Internet Authentication Service

1813/UDP -- IAS: Internet Authentication Service

3268/TCP -- Microsoft Global Catalog

3269/TCP -- LDAP/SSL 포함 Microsoft Global Catalog

3389/TCP -- Remote Desktop Protocol

RDP는 Thin Client가 Network를 통해 Terminal Server와 통신할 수 있게 해주는 Protocol. 이 Protocol은 현재 Microsoft NetMeeting 에서

사용되고 있는 다중 채널 회의 프로토콜의 국제 표준인 ITU(International Telecommunication Union) T.120 Protocol에 기반을 두고 있다.

안녕하세요 향기입니다.

Windows Server군에는 Default 로 제공되는 Templates이 있습니다. 로컬 정책을 어떻게 설정할 지 모를 때나, 기본 보안 설정을 안하셨다면

아래 템플을 이용해 보시기 바랍니다.

Windows 2000/2003/2008 모두 제공합니다.

Windows 2003 서버를 보면, 수많은 보안 템플릿을 볼 수 있습니다.

• Setup Security.inf

• DC Security.inf

• Compatws.inf

• Secure*.inf

• Hisec*.inf

• Rootsec.inf

• …and so on

Windows Server 2003에서 이 파일들은 다음 위치에서 찾을 수 있습니다. %systemroot%\security\templates.

해당 KB문서입니다. http://support.microsoft.com/default.aspx?scid=kb;EN-US;816585

Windows Server 2008 은 Templates이 기본 3개가 제공되고, 2개만이 사용 됩니다.

• Defltbase.inf (not really used)

• Defltsv.inf (for servers)

• Defltdc.inf (for DCs)

Windows Server 2008에서는 이 파일은 다음 위치에 있습니다. %systemroot%\inf.

dcfirst.inf는 포레스트의 첫번째 도메인 컨트롤러를 만들때 적용합니다. 주요 차이점은 계정 정책 또한 설정한다는 것입니다.

참고 : 기본 보안 템플릿을 시스템에 다시 적용하는 것은 수행되는 사용자정의 설정을 제거할 수 있는 위험이 있습니다. 이것은 잘못된 보안 설정으로부터 야기된 문제를 해결하는데 사용되지만, 기능상의 이유로 사용자정의 설정에 의존하는 응용프로그램을 망가트리게 됩니다. 또한 이것은 만병통치약이 아닌것을 주의하세요. 보안 템플릿이 담당하지 않는 영역의 사용자정의 보안 설정은(설치 이후 생성한 데이터 볼륨) 이것으로 롤백되지 않습니다. 주의하면서 진행해야 합니다

1. 시작 – 실행 – MMC

콘솔의 중간창에서 새로운 데이터베이스 권한을 만드는 방법을 알려줄 것입니다.

이 작업을 할때, 초기에 사용하기를 원하는 템플릿을 가져오는 것을 묻게 됩니다.

defltsv.inf(멤버 서버) 또는 defltdc.inf(DC)로 하시면 됩니다.

한번 템플릿을 가져오면, 오른쪽 클릭을 하고, 지금 컴퓨터 분석 Analyze Computer Now…를 선택하시면 됩니다.

이후, 지금 컴퓨터 구성 Configure Computer Now를 선택하면 구성됩니다.

안녕하세요 빛향기고운데입니다~*

Windows Server 2003 으로 Root CA 를 구성해서 사용 중이었습니다.

Windows Vista / Windows 7 / Windows Server 2008 에서 CA 인증 웹 페이지 접속시에 Active X 가 설치가 되지 않는

문제점이 발생 하였습니다. 이걸로 좀 찾아보니..

[원인]

Windows Server 2003 인증서 서비스 웹 등록 기능을 Xenroll 라는 ActiveX 컨트롤을 의존합니다. Microsoft Windows 2000 및 이후 버전의 Windows이 ActiveX 컨트롤을 사용할 수 있습니다. 그러나 Windows Vista 및 Windows Server 2008 Xenroll 사용되지. 예제 인증서 등록 원래 포함된 웹 페이지를 릴리스 버전의 Microsoft Windows Server 2003 Windows Server 2003 서비스 팩 1 (SP1) 및 Windows Server 2003 서비스 팩 2 (SP2) 설계되지 않은 Windows Vista 및 Windows Server 2008 웹 기반 인증서 등록 작업을 수행하는 방법을 변경을 처리할 수 있습니다.

해당 KB입니다.

http://support.microsoft.com/kb/922706

위 URL로 이동하여 CA 서버의 Hotfix를 적용 하시면 됩니다.

Windows Server 2008로 CA인증 웹서버를 구성하시면 문제는 없습니다.

감사합니다.

두 번째 시간이네요..

본격적으로 클러스터를 만들어 보겠습니다.

클러스터의 기본 사항으로 네트워크가 물리적으로 2개가 필요합니다.

1개는 통신용이고, 나머지 1개는 하트비트(HeartBeat)용 입니다. Network를 다르게 구성하는 것이 좋습니다.

제 테스트 환경은

위와 같이 구성하였습니다.

실행 – Cluadmin.msc 실행 후

클러스터 만들기를 누른 후에 서버를 2개 다 추가합니다. ( Ex. EX1-2008 / EX2-2008 )

IP 주소에 Virtual FQDN과 IP를 지정합니다.

클러스터 만들기가 완료 되었습니다.

안녕하세요 향기입니다~*

Windows NT 때부터 Cluster 기능이 나와 사용할 수가 있었습니다. 예전에는 불편한 점도 많고, 구축하기가 어렵고 장애도 많아

고도의 로드 벨런싱이 필요하지 않는 이상 잘 사용을 안 했습니다만, 2003 때부터는 많은 성능 향상이 있었고,

2003 에서는 Microsoft Windows Server Cluster Services (MSCS) 에서 장애조치(failover) Clustering 클러스터링 서비스로 돌아왔습니다.

일단 설치과정부터 보시면

기능에서 장애 조치(failover) 클러스터링을 추가합니다.

설치가 완료 됐군요..

실행창에서 Cluadmin.msc 를 통해 클러스터 관리자를 실행합니다.

일단 UI가 확 바뀌었네요..MMC 3.0 으로 가면서 스냅인이 많이 변하긴 한 모양입니다.

유효성 검사를 하니, 나머지 Node2도 서비스를 설치 해줘야 할 것 같습니다
나머지 Node도 설치 후에 진행이 가능합니다.

많은 테스트를 실행합니다.

이후에 보고서도 확인할 수 있습니다.

안녕하세요 향기입니다~*

MS 클러스터 서비스 IP 변경시 확인해야 될 사항입니다. (Exchange Server, SQL Server )

Exchange 가상 서버의 IP 주소 변경 방법

http://technet.microsoft.com/ko-kr/library/aa997813(EXCHG.65).aspx

Exchange2003 서버 IP변경

http://www.wssplex.net/QnA/Server.aspx?No=1781

Exchange 클러스터에서 IP 주소를 변경한 후 이벤트가 기록될 수 있습니다.

http://support.microsoft.com/kb/315691/ko

클러스터 IP 리소스 네트워크 변경 후 이벤트 ID 1048 함께 실패한다

http://support.microsoft.com/kb/267548/

클러스터 서버 네트워크 어댑터의 IP 주소 변경

http://support.microsoft.com/kb/230356/

DNS SRV 레코드 확인

안녕하세요 향기입니다~*

예전에 DFS로 파일서버를 구축 했을 당시 원인 모를 블루스크린 현상으로 인하여

사용자들이 루트 폴더에 접근할 시 블루스크린이 나타나서 곤욕을 치른 적이 있습니다.

그때, 찾아낸 방법이 특정 파일을 삭제해서 문제를 해결한 적이 있습니다.

제가 경험한 바로는 DFS 뿐 아니라 여러 가지 문제를 발생 시킵니다.

[네트워크 폴더 접근시 다운되는 증상 발생시 확인 방법]

-\\파일서버 폴더 내의 특정 폴더 접근시 다운되거나 재부팅이 발생될 때 확인 한다.

-C\Window\system32\drivers 내의 afpansi.sys 파일을 삭제한뒤 재부팅을 진행하면 된다.

문제 해결 방법

Alfa File Protector (AFPAnsi.sys)은(는) Alfa Corporation에서 만든 제품입니다. Alfa Corporation에서 사용자가 보고한 문제의 해결 방법이 있다고 Microsoft에 연락했습니다. 문제 해결 방법을 확인하려면 Alfa Corporation에서 아래 사이트를 방문하도록 권장합니다.

http://www.alfasp.com/bugcheck.html

==================================================
시스템오류 재부팅 안되게 설정하는 방법

내 컴퓨터 ? 속성 ? 고급 ? 시작 및 복구 ? 설정에서
"시스템오류"항목의 "자동으로 다시 시작"을 체크 해제하면 됨

==================================================
Problem

After installing a new program and rebooting your system you received a blue screen with the following error:
BUG_CHECK 0xC1(0, 0, 0, 0)

and the string "Most probably caused by "AFPAnsi.sys" or "BXShield.sys"". (BXShield.sys is AFPAnsi.sys with custom resources).

The system will not necessarily bug check right after reboot. The bug is related to parsing of file names with exactly 192 characters, so the likelihood of receiving this error is low.

This is a bug in Alfa File Protector driver dated between December 8th 2003 (version 2003.0.1.21) and May 18th 2004 (version 2004.0.2.22). The bug affected both demo and registered version drivers.

Solution

Use the Microsoft Recovery Console to delete AFPAnsi.sys (or BXShield.sys) from \WinNT\System32\Drivers directory. For more information on the Recovery Console, consult the manual that came with your OS or visit (from another computer) Microsoft's website.
After reboot, the program using AFPAnsi.sys will, most probably, notice the driver is missing and notify you that it must be reinstalled. Please contact the manufacturer of the program for an update to fix the problem.

AFP is a product used by 3rd party programs for file security and hiding purposes. Examples of such programs are "file access restriction" programs, Distributed Rights Management (DRM) solutions and others. It is necessary to determine the program which installed the AFP driver, in order to contact the manufacturer for an update. Most programs will disable deleting AFPAnsi.sys/BXShield.sys when the OS is booted.

NOTE: Simply installing the newest AFP driver will fix the bug check, however since data structures have changed between versions, this will affect how the program runs. Unless you update the program directly from the manufacturer, it is probable the software will not run properly. The registered driver is not distributed to end-users by Alfa Corporation.

참고하시기 바랍니다.

안녕하세요 향기입니다~*

Virtual PC 나 VM Ware로 동일 이미지로 서버 구성할 때 SID값 충돌로 인하여 매번 재설치 하는 불편함이 있습니다.

New SID Tool로 해결이 가능합니다. 이 Tool이 무료인지는 모르겠습니다만, 문제가 된다면 삭제 하겠습니다.

Readme.txt 에 Liscence에 관한 문항이 없어서…

NewSid.zip

NewSID

            Copyright ?1997-2002  Mark Russinovich and Bryce Cogswell

                               Last updated December 9, 2002 v4.0

                               Introduction
                               Many organizations use disk image cloning to
                              perform mass rollouts of Windows. This technique
                              involves copying the disks of a fully installed
                              and configured Windows computer onto the disk
                              drives of other computers. These other computers
                              effectively appear to have been through the same
                              install process, and are immediately available for
                              use.

                              While this method saves hours of work and hassle
                              over other rollout approaches, it has the major
                              problem that every cloned system has an identical
                              Computer Security Identifier (SID). This fact
                              compromises security in Workgroup environments,
                              and removable media security can also be
                              compromised in networks with multiple identical
                              computer SIDs.

                              Demand from the Windows community has lead
                              PowerQuest, Ghost Software and Altiris to develop
                              programs that can change a computer's SID after a
                              system has been cloned. However, PowerQuest's SID
                              Changer and Ghost Software's Ghost Walker are only
                              sold as part of each company's high-end product.
                              Further, they both run from a DOS command prompt
                              (Altiris' changer is similar to NewSID).

                              NewSID is a program we developed that changes a
                              computer's SID. It is free, comes with full
                              source, and is a Win32 program, meaning that it
                              can easily be run on systems that have been
                              previously cloned. NewSID works Windows NT 4,
                              Windows 2000, Windows XP and Windows .NET Server.
                              Please read this entire article before you use
                              this program.

                              Version Information:
                                Version 4.0 introduces support for Windows XP
                                and .NET Server, a wizard-style interface,
                                allows you to specify the SID that you want
                                applied, and also the option to rename a
                                computer (which results in a change of both
                                NetBIOS and DNS names).
                                Version 3.02 corrects a bug where NewSid would
                                not correctly copy default values with invalid
                                value types when renaming a key with an old SID
                                to a new SID. NT actually makes use of such
                                invalid values at certain times in the SAM. The
                                symptom of this bug was error messages reporting
                                access denied when account information was
                                updated by an authorized user.
                                Version 3.01 adds a work-around for an
                                inaccessible Registry key that is created by
                                Microsoft Transaction Server. Without the
                                work-around NewSID would quit prematurely.
                                Version 3.0 introduces a SID-sync feature that
                                directs NewSID to obtain a SID to apply from
                                another computer.
                                Version 2.0 has an automated-mode option, and
                                let's you change the computer name as well.
                                Version 1.2 fixes a bug in that was introduced
                                in 1.1 where some file system security
                                descriptors were not updated.
                                Version 1.1 corrects a relatively minor bug that
                                affected only certain installations. It also has
                                been updated to change SIDs associated with the
                                permission settings of file and printer shares.

                               Cloning and Alternate Rollout Methods
                               One of the most popular ways of performing mass
                              Windows rollouts (typically hundreds of computers)
                              in corporate environments is based on the
                              technique of disk cloning. A system administrator
                              installs the base operating system and add-on
                              software used in the company on a template
                              computer. After configuring the machine for
                              operation in the company network, automated disk
                              or system duplication tools (such as Ghost
                              Software's Ghost, PowerQuest's Image Drive,
                              Altiris' RapiDeploy, and Innovative Software's
                              ImageCast) are used to copy the template
                              computer's drives onto tens or hundreds of
                              computers. These clones are then given final
                              tweaks, such as the assignment of unique names,
                              and then used by company employees.

                              Another popular way of rolling out is by using the
                              Microsoft sysdiff utility (part of the Windows
                              Resource Kit). This tool requires that the system
                              administrator perform a full install (usually a
                              scripted unattended installation) on each
                              computer, and then sysdiff automates the
                              application of add-on software install images.

                              Because the installation is skipped, and because
                              disk sector copying is more efficient than file
                              copying, a cloned-based rollout can save dozens of
                              hours over a comparable sysdiff install. In
                              addition, the system administrator does not have
                              to learn how to use unattended install or sysdiff,
                              or create and debug install scripts. This alone
                              saves hours of work.
                               The SID Duplication Problem
                               The problem with cloning is that it is only
                              supported by Microsoft in a very limited sense.
                              Microsoft has stated that cloning systems is only
                              supported if it is done before the GUI portion of
                              Windows Setup has been reached. When the install
                              reaches this point the computer is assigned a name
                              and a unique computer SID. If a system is cloned
                              after this step the cloned machines will all have
                              identical computer SIDs. Note that just changing
                              the computer name or adding the computer to a
                              different domain does not change the computer SID.
                              Changing the name or domain only changes the
                              domain SID if the computer was previously
                              associated with a domain.

                              To understand the problem that cloning can cause,
                              it is first necessary to understand how individual
                              local accounts on a computer are assigned SIDs.
                              The SIDs of local accounts consist of the
                              computer's SID and an appended RID (Relative
                              Identifier). The RID starts at a fixed value, and
                              is increased by one for each account created. This
                              means that the second account on one computer, for
                              example, will be given the same RID as the second
                              account on a clone. The result is that both
                              accounts have the same SID.

                              Duplicate SIDs aren't an issue in a Domain-based
                              environment since domain accounts have SID's based
                              on the Domain SID. But, according to Microsoft
                              Knowledge Base article Q162001, "Do Not Disk
                              Duplicate Installed Versions of Windows NT", in a
                              Workgroup environment security is based on local
                              account SIDs. Thus, if two computers have users
                              with the same SID, the Workgroup will not be able
                              to distinguish between the users. All resources,
                              including files and Registry keys, that one user
                              has access to, the other will as well.

                              Another instance where duplicate SIDs can cause
                              problems is where there is removable media
                              formated with NTFS, and local account security
                              attributes are applied to files and directories.
                              If such a media is moved to a different computer
                              that has the same SID, then local accounts that
                              otherwise would not be able to access the files
                              might be able to if their account IDs happened to
                              match those in the security attributes. This is
                              not be possible if computers have different SIDs.

                              An article Mark has written, entitled "NT Rollout
                              Options", was published in the June issue of
                              Windows NT Magazine. It discusses the duplicate
                              SID issue in more detail, and presents Microsoft's
                              official stance on cloning. To see if you have a
                              duplicate SID issue on your network, use PsGetSid
                              to display machine SIDs.
                               NewSID
                               NewSID is a program we developed to change a
                              computer's SID. It first generates a random SID
                              for the computer, and proceeds to update instances
                              of the existing computer SID it finds in the
                              Registry and in file security descriptors,
                              replacing occurrences with the new SID. NewSID
                              requires administrative privileges to run. It has
                              two functions: changing the SID, and changing the
                              computer name.

                              To use NewSID's auto-run option, specify "/a" on
                              the command line. You can also direct it to
                              automatically change the computer's name by
                              including the new name after the "/a" switch. For
                              example:

                                     newsid /a [newname]

                              Would have NewSID run without prompting, change
                              the computer name to "newname" and have it reboot
                              the computer if everything goes okay.

                              NewSID's SID-synchronizing feature that allows you
                              to specify that, instead of randomly generating
                              one, the new SID should be obtained from a
                              different computer. This functionality makes it
                              possible to move a Backup Domain Controller (BDC)
                              to a new Domain, since a BDC's relationship to a
                              Domain is identified by it having the same
                              computer SID as the other Domain Controllers
                              (DCs). Simply choose the "Synchronize SID" button
                              and enter the target computer's name. You must
                              have permissions to change the security settings
                              of the target computer's Registry keys, which
                              typically means that you must be logged in as a
                              domain administrator to use this feature.

                              Note that when you run NewSID that the size of the
                              Registry will grow, so make sure that the maximum
                              Registry size will accomodate growth. We have
                              found that this growth has no perceptible impact
                              on system performace. The reason the Registry
                              grows is that it becomes fragmented as temporary
                              security settings are applied by NewSID. When the
                              settings are removed the Registry is not
compacted.

                              Note that while we have thoroughly tested NewSID,
                              you must use it at your own risk. As with any
                              software that changes file and Registry settings,
                              it is highly recommended that you completely
                              back-up your computer before running NewSID.
                               Moving a BDC
                               Here are the steps you should follow when you
                              want to move a BDC from one domain to another:
                                Boot up the BDC you want to move and log in. Use
                                NewSID to synchronize the SID of the BDC with
                                the PDC of the domain to which you wish to move
                                the BDC.
                                Reboot the system for which you changed the SID
                                (the BDC). Since the domain the BDC is now
                                associated with already has an active PDC, it
                                will boot as a BDC in its new domain.
                                The BDC will show up as a workstation in Server
                                Manager, so use the "Add to Domain" button to
                                add the BDC to its new domain. Be sure to
                                specify the BDC radio button when adding.

                               How it Works
                               NewSID starts by reading the existing computer
                              SID. A computer's SID is stored in the Registry's
                              SECURITY hive under SECURITY\SAM\Domains\Account.
                              This key has a value named F and a value named V.
                              The V value is a binary value that has the
                              computer SID embedded within it at the end of its
                              data. NewSID ensures that this SID is in a
                              standard format (3 32-bit subauthorities preceded
                              by three 32-bit authority fields).

                              Next, NewSID generates a new random SID for the
                              computer. NewSID's generation takes great pains to
                              create a truly random 96-bit value, which replaces
                              the 96-bits of the 3 subauthority values that make
                              up a computer SID.

                              Three phases to the computer SID replacement
                              follow. In the first phase, the SECURITY and SAM
                              Registry hives are scanned for occurrences of the
                              old computer SID in key values, as well as the
                              names of the keys. When the SID is found in a
                              value it is replaced with the new computer SID,
                              and when the SID is found in a name, the key and
                              its subkeys are copied to a new subkey that has
                              the same name except with the new SID replacing
                              the old.

                              The final two phases involve updating security
                              descriptors. Registry keys and NTFS files have
                              security associated with them. Security
                              descriptors consist of an entry that identifies
                              which account owns the resource, which group is
                              the primary group owner, an optional list of
                              entries that specify actions permitted by users or
                              groups (known as the Discretionary Access Control
                              List - DACL), and an optional list of entries that
                              specify which actions performed by certain users
                              or groups will generate entries in the system
                              Event Log (System Access Control List - SACL). A
                              user or a group is identified in these security
                              descriptors with their SIDs, and as I stated
                              earlier, local user accounts (other than the
                              built-in accounts such as Administrator, Guest,
                              and so on) have their SIDs made up of the computer
                              SID plus a RID.

                              The first part of security descriptor updates
                              occurs on all NTFS file system files on the
                              computer. Every security descriptor is scanned for
                              occurrences of the computer SID. When NewSID finds
                              one, it replaces it with the new computer SID.

                              The second part of security descriptor updates is
                              performed on the Registry. First, NewSID must make
                              sure that it scans all hives, not just those that
                              are loaded. Every user account has a Registry hive
                              that is loaded as HKEY_CURRENT_USER when the user
                              is logged in, but remains on disk in the user's
                              profile directory when they are not. NewSID
                              identifies the locations of all user hive
                              locations by enumerating the
                              HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
                              NT\CurrentVersion\ProfileList key, which points at
                              the directories in which they are stored. It then
                              loads them into the Registry using RegLoadKey
                              under HKEY_LOCAL_MACHINE and scans the entire
                              Registry, examining each security descriptor in
                              search of the old computer SID. Updates are
                              performed the same as for files, and when its done
                              NewSID unloads the user hives it loaded. As a
                              final step NewSID scans the HKEY_USERS key, which
                              contains the hive of the currently logged-in user
                              as well as the .Default hive. This is necessary
                              because a hive can't be loaded twice, so the
                              logged-in user hive won't be loaded into
                              HKEY_LOCAL_MACHINE when NewSID is loading other
                              user hives.

                              Finally, NewSID must update the ProfileList
                              subkeys to refer to the new account SIDs. This
                              step is necessary to have Windows NT correctly
                              associate profiles with the user accounts after
                              the account SIDs are changed to reflect the new
                              computer SID.

                              NewSID ensures that it can access and modify every
                              file and Registry key in the system by giving
                              itself the following privileges: System, Backup,
                              Restore and Take Ownership.
                               Using the Source
                               Full source code to NewSID has been provided for
                              educational purposes. You may not use this code in
                              a commercial or freeware SID-changing product, but
                              you may use its techniques in other programs for
                              private or commercial use.

안녕하세요 향기입니다.

International Student Identity Card (ISIC) 국제학생증에 관해 얘기하겠습니다.

ISIC는 국제 학생증으로 대학을 다니는 학생은 2만원 정도의 비용으로 발급 받을 수 있습니다.

그에 따른 많은 혜택이 주어집니다.+

http://www.isic.co.kr <- 사이트에서 발급 가능합니다.

http://www.isic.co.kr/pack2/main1_isicapplyintro.jsp

인슈런스 및 숙박 및 교통 등 외국에 나갔을 때 많은 혜택을 볼 수 있습니다.

제 블로그에서 얘기를 하는 이유는 많은 혜택 중에 MS에서 게이츠 형님이 지원하는 혜택과 잡스 형님이 지원하는 혜택에 대해서 안내해 드립니다.

잡스형은 ISIC가 있으면,.

IPod 사실때 학생의 경우 10% 가 됩니다. ISIC 학생증이 있으면 12%까지 DC가 됩니다.

MAC S/W의 경우에는 80% 이상 할인 됩니다.

http://www.isic.co.kr/newisic/05_LifestyleCard/apple1.jsp

게이츠형은 DreamPark 제도를 지원합니다.

MSDN이 있거나 MS MVP의 경우에는 필요한 프로그램을 받아 편히 테스트를 해볼 수 있겠지만,

많은 MS 를 기반으로 공부하시는 분들에게는 좋은 방법인 것 같습니다.

Visual Studio , Windows Server 2003 / 2008

MS 공식 사이트 입니다

http://www.microsoft.com/korea/msdn/dreamspark/main.aspx

'

많은 도움 되시길 바랍니다.

학생들이여 어둠의 경로를 벗어납시다~~*

감사합니다.

안녕하세요 향기입니다~*

Port Query할 때 사용하는 Tool입니다.

PortQryUI - User Interface for the PortQry Command Line Port Scanner

UI가 붙은 것은 GUI 툴입니다.

http://www.microsoft.com/downloads/details.aspx?familyid=8355e537-1ea6-4569-aabb-f248f4bd91d0&displaylang=en

압축을 풀고 실행을 하면 아래와 같은 창이 표시 됩니다.

사용방법은 그리 어렵지 않습니다.

Query Result가 끝나면 값이 표시 됩니다.

로그를 따로 저장 할 수 있습니다.

해당 포트가 막혔는지 확인 할 때 사용합니다.


   1. Following "Enter destination IP or FQDN to query:”, an edit box needs the user to specify the IP address or FDQN name of the destination to query port status.

   2. The end user is able to choose Query type:

        - Predefined services type. It groups ports into service, so that you can query multiple ports for a service by a single click. Service includes "Domains and Trusts", "DNS Queries", "NetBIOS     communication", "IPSEC", "Networking", "SQL Service", "WEB Service", "Exchange Server",          "Netmeeting", and other services.

You can check detail port and protocol info for each service category by opening Help -> Predefined Services...

The XML file config.xml has format

              <!--

               Format

                <Services>

                   <Service Name="Service Name">

                      <Port Name="service bound to the port" Value="Port number and/or port ranges separated

                         by commas" Protocol="TCP|UDP|Both"/>

                   </Service>

                </Services>

              -->

            * The user can also add port info to config.xml as long as it follows the format.

            * Service name will be shown in the box following "Service to query:"

            *

        - Manually input query port.  The end user can manually enter port number and/or port ranges separated by commas to query. For port range, the end port should be equal or greater than the start port. Valid port should be in range 1-65535. For example: 80,53,1024-1350.

        - The end user needs to choose protocol (TCP or UDP or Both) to query.

   3. It allows the end user to customize config.xml or provide a config file that defines their own services. The config file should follow the same format as config.xml  (File->Open Config …)

   4. After inputting the destination info and choosing query type with proper port info, click "Query" button        to start query. Query output will be displayed in the "Query Result" box.

   5. During query, there is a progress bar accurately shows the query progress.

   6. During query, if the end user wants to cancel query process, click "Cancel" button to cancel query.

   7. The user has the option to save the query result to a log file (File -> Save Result …)

   8. Please refer to Portqry.doc for detail info about command line tool portqry.exe.

안녕하세요 향기입니다~*

마이크로소프트 윈도우 유틸리티 다운로드 사이트인 Windows Sysinternals Utility를 앞으로 소개하려고 합니다.

오늘은 Virtual PC 또는 Hyper-V에서 사용 가능한 VHD 가상하드 파일을 생성해주는 프로그램을 소개합니다.

http://technet.microsoft.com/en-nz/sysinternals/ee656415(en-us).aspx

Introduction

Disk2vhd is a utility that creates VHD (Virtual Hard Disk - Microsoft’s Virtual Machine disk format) versions of physical disks for use in Microsoft Virtual PC or Microsoft Hyper-V virtual machines (VMs). The difference between Disk2vhd and other physical-to-virtual tools is that you can run Disk2vhd on a system that’s online. Disk2vhd uses Windows’ Volume Snapshot capability, introduced in Windows XP, to create consistent point-in-time snapshots of the volumes you want to include in a conversion. You can even have Disk2vhd create the VHDs on local volumes, even ones being converted (though performance is better when the VHD is on a disk different than ones being converted).

The Disk2vhd user interface lists the volumes present on the system:

Disk2vhd runs Windows XP SP2, Windows Server 2003 SP1, and higher, including x64 systems.

1.3 Ver에서는 OS 운영중인 상태에서 직접 VHD를 생성할 수 있습니다. 실행중인 C 드라이브를 VHD변환하면서 C 자체에 저장도 가능합니다.

Volume Snapshot 기능을 사용하기 때문에, 윈도우 XP 및 Server 2003 & 64Bit까지 지원합니다.

실제 용량만 VHD 변환하기 때문에 용량도 절약 됩니다.

안녕하세요 향기입니다~*

Windows Server 2008 에서 Root CA 서버를 설치하는 방법입니다.

서버관리자에서 – 역할 추가를 Click

Active Directory 인증서 서비스

루트 CA는 보안상 보통 하위 CA에 인증서 발급을 하고 사용하지 않지만, Test 기 때문에 루트 CA로 설치 합니다.

Default 값이 5년입니다.

접근 확인..

감사합니다.

안녕하세요 향기입니다~*

사용자를 생성하고 도메인에 멤버서버로 들어갈 준비를 합니다.

Windows 7 의 경우 Virtual PC로 Windows 7 Client 를 가상 머신으로 테스트 했을 시에 아키텍쳐가 변경되어

RDP 로 접근하게 됩니다. 예전처럼 가상 머신이 아닌 별도의 컴퓨터로 동작하게 됩니다. 그래서 ShutDown 이나 Restart가 안됩니다.

그럴 경우 CMD 에서 Shutdown /R 로 명령을 쳐주시면 Reboot할 수 있습니다.

DHCP 콘솔을 여시고 임대창에 Client가 정상적으로 IP임대 받으신 걸 확인하실 수 있습니다.

도메인 멤버서버로 조인

재시작 하시지 마시고, 생성했던 계정을 Local Admin 계정으로 등록 해줍니다.

등록하신 후에 Reboot –> 도메인 로그온 하시면 됩니다.

로그인과 동시에 사용자 개인 프로필을 만들고 완료

완료되었습니다~*

기본 구조 입니다. 개인적으로 공부하시는 분들 조금이나마 도움 되시길 바랍니다.

제가 편한 방법으로 설치하기 때문에 DNS나 다른 서비스를 먼저 설치 하셔도 됩니다.

Windows 7 – Virtual PC 를 이용하였습니다.

Network 설정 내부 네트워크 / 통합 기능 설치

AD Server – 역할 추가

DC 설치 먼저 / 나머지 기능을 추가하려면 DC설치 후 진행

dcpromo 입력

고급 모드 설치 사용

첫 DC 이기 때문에 새 포리스트에 새 도메인 만들기

FQDN 네임 정하기 (정규화된 도메인 이름)

앞으로 도메인명으로 사용할 도메인을 정하시면 됩니다.

MICRO.COM

NetBIOS 이름을 정하신 후

Windows Server 2003 과 틀리게 기본으로 포리스트 기능 수준을 조정할 수 있습니다.

Windows Server 2000 / 2003 / 2008

Windows Server 2008 기능은 고유기능이 있습니다. (2008이니 2008 기능 수준으로 진행 하겠습니다)

추가 옵션에 DNS 설치

IP v4에 등록을 해도 위와 같은 창이 나타납니다.

도메인 서비스 파일 배치는 남는 하드가 있다면 실서버에서는 분리하는 것이 좋습니다. (물리적으로 다른 HDD에)

DC 복구 암호 설정

설치 완료 되면 IP v6 때문에 문제가 발생할 수 있습니다. DNS 서버를 다시 변경해 주시고 IP v4도 IP도(192.168.10.10) 다시 변경해 주시기 바랍니다.

추가적으로 DHCP서버도 설치합니다.

기본설정

WINS는 legacy 클라이언트를 위해서 필요한 서비스이므로, 설치하지 않겠습니다.

범위를 지정하고

IP v6는 사용하지 않습니다.

DHCP에서 겹치지 않도록 제외 범위를 추가합니다.

RebooT 완료..

2. 터미널 서비스 restart.

Q. Windows Server 2003의 최대 지원 메모리와 Processor는 어떻게 되나요?

A. Windows 2003 최대 지원 Processor와 메모리는 아래 표를 참고 하시기 바랍니다.

Windows Server 2003 R2의 경우는 R2자체가 SP1을 포함하므로 SP1의 사양을 따릅니다.

[관련문서]

Windows Server 2003 & Windows XP x64 Service Pack 2

http://technet.microsoft.com/en-us/windowsserver/bb294403.aspx

Windows계열이다보니 GUI환경으로 Display를 해줘야 하는 상황이라 그래픽카드의 문제도 위와 같은
상황으로 연결되지 않나 싶습니다.

설마 했는데 정말 이것으로 해결이 되더군요..

Windows PowerShell™은 시스템 관리자를 위해 특별히 설계된 새로운 Windows 명령줄 셸입니다. 이 셸에는 조합하거나 독립적으로 사용할 수 있는 대화형 프롬프트 및 스크립팅 환경이 포함되어 있습니다.
이 설명서에서는 Windows PowerShell의 기본 개념 및 기능에 대해 설명하고 Windows PowerShell을 사용하여 시스템을 관리할 수 있는 방법을 제안합니다.

- 첨부파일 확인 -

Windows_PowerShell.doc

1.netstat?

netstat 명령어는 자신의 컴퓨터와 연결된 모든 네트워크 연결을 보여주는 명령어입니다.
원도우와 리눅스 둘다 존재하는 명령어입니다. 해킹체크의 용도로 사용합니다.

2.사용방법?