-전체적인 순서-

1. 모든 리소스는 Active Node에 있어야 한다. (Quorum, Exchange)
2. Passive Node를 먼저 SP1으로 Upgrade 한다.
3. CMS 리소스를 중지하고 CMS 리소스를 Passive Node로 이동한 후 CMS를 Upgrade한다. CMS 리소스를 Online 시킨다.
4. Active Node였던 현재의 Passive Node를 Upgrade한다.
 

-상세 과정-

1. 모든 리소스는 Active Node에 있어야 한다. (Quorum, Exchange)
1-1. Move-ClusteredMailboxServer cmdlet을 이용해 Upgrade할 서버에서 다른 Node로 CMS를 이동한다.
1-2. 만약 Upgrade할 서버에 클러스터 그룹 리소스(Quorum)이 있다면 클러스터 관리자를 이용해 다른 Node로 이동한다.

2. Passive Node를 먼저 SP1으로 Upgrade 한다.
2-1. 다음 작업은 Passive Node에서 이루어진다.
2-2. 성능 카운터를 Handling하는 Service 또는 Process들을 중지시킨다. (예: MOM Agent)
2-3. Powershell에서 다음 명령을 이용해 Windows Firewall을 시작하고 Remote Registry 서비스를 재시작한다.
Set-Service SharedAccess –StartupType:Manual
Start-Service SharedAccess
Restart-Service RemoteRegistry
2-4. 설치를 시작하기 전에 Exchange Server와 관련된 Process를 종료한다. (예:Management Console, Management Shell)
2-5. Exchange Server 2007 SP1 설치 미디어를 넣고 다음 명령을 이용해 Passive Node를 Upgrade한다.
setup.com /mode:upgrade
2-6. 설치 완료 후 재부팅한다.

3. CMS 리소스를 Offline 시키고 CMS 리소스를 Passive Node로 이동한 후 CMS를 Upgrade한다.
3-1. 재부팅이 되면 Exchange Management Shell에서 다음 명령을 이용해 CMS를 중지한다.
Stop-ClusteredMailboxServer <CMS Name> -StopReason "Upgrade to SP1"
3-2. 클러스터 관리도구를 이용하여 모든 리소스를 Upgrade한 Passive Node로 이동한다.
3-2. 이제 Passive Node는 SP1으로 Upgrade되었으며 CMS 리소스를 소유하고 있는 상태이다.
3-3. 다음 명령을 이용해 CMS를 SP1으로 Upgrade한다. (CMS의 Upgrade가 완료되면 자동으로 리소스가 Online 된다.)
setup.com /UpgradeCMS
3-4. 기존에 Active Node였던 Passive Node에 대하여 2-2부터 2-6과정을 진행한다.

위 과정은 CCR의 과정이나 SCC의 경우도 동일한 방식으로 진행하면 된다.

마찬가지로 Passive Node를 먼저 Upgrade시키고 CMS 리소스를 이동 후 Upgrade하고 나머지 Node들을 Upgrade한다.

1.Custom 형식의 수신 커넥터 생성
2.Remote IP에 해당 Application Server의 IP 입력
3.생성된 수신 커넥터의 속성에서 권한 그룹에 'Exchange Server' 선택
Exchange Server 권한 그룹은 아래 권한들을 갖게 된다.
  NT AUTHORITY\Authenticated Users {ms-Exch-SMTP-Submit}
  NT AUTHORITY\Authenticated Users {ms-Exch-Accept-Headers-Routing}
  NT AUTHORITY\Authenticated Users {ms-Exch-Bypass-Anti-Spam}
  NT AUTHORITY\Authenticated Users {ms-Exch-SMTP-Accept-Any-Recipient}

4.(첫 번째 방법) 인증 설정에서 TLS, Externally Secured 선택
Externally Secured 인증을 체크하게 되면 다음과 같은 권한을 갖는데 이 권한을 받게 되면 메시지 크기 제한, 스팸 필터링에 영향을 받지 않게 되므로 최소 권한이 필요한 경우 5번 방법을 이용한다.
  MS Exchange\Externally Secured Servers {ms-Exch-SMTP-Accept-Authoritative-Domain}
  MS Exchange\Externally Secured Servers {ms-Exch-Bypass-Anti-Spam}
  MS Exchange\Externally Secured Servers {ms-Exch-Bypass-Message-Size-Limit}
  MS Exchange\Externally Secured Servers {ms-Exch-SMTP-Accept-Exch50}
  MS Exchange\Externally Secured Servers {ms-Exch-Accept-Headers-Routing}
  MS Exchange\Externally Secured Servers {ms-Exch-SMTP-Submit}
  MS Exchange\Externally Secured Servers {ms-Exch-SMTP-Accept-Any-Recipient}
  MS Exchange\Externally Secured Servers {ms-Exch-SMTP-Accept-Authentication-Flag}
  MS Exchange\Externally Secured Servers {ms-Exch-SMTP-Accept-Any-Sender}

5.(두 번째 방법) 인증 부분은 Default 상태로 두고 권한 그룹에 Anonymous를 체크한다.
Powershell에서 다음 명령을 이용해 생성된 수신 커넥터의 Anonymous 그룹에 Relay 권한을 준다.
Get-ReceiveConnector <Connector Name> | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "ms-Exch-SMTP-Accept-Any-Recipient"

Windows Server 2003 SP2가 설치된 장비에 Exchange Server 2007을 설치하는 경우 필수적으로 업데이트 필요

Event ID 1005

Exchange System Attendant Service could not Start with error “80090311”

http://support.microsoft.com/kb/936594

아래 버전으로 대체됨

http://support.microsoft.com/kb/948496

[현상]
Microsoft Windows Small Business Server 2003 기반 컴퓨터에 Microsoft Windows Server 2003 서비스 팩 2(SP2)나 Microsoft Windows Server 2003 Scalable Networking Pack을 설치한 후 많은 네트워크 관련 현상이 나타날 수 있습니다.

이러한 현상은 다음 중 하나 이상일 수 있습니다.

- VPN 연결을 사용하여 서버에 연결하려고 하면 다음과 같은 오류 메시지가 나타납니다.
   오류 800: 연결할 수 없습니다.
- 서버에 RDP(원격 데스크톱 프로토콜) 연결을 설정할 수 없습니다.
- LAN에 있는 컴퓨터에서 서버의 공유에 연결할 수 없습니다.
- 클라이언트 컴퓨터를 도메인에 가입시킬 수 없습니다.
- Microsoft Outlook을 실행하는 컴퓨터에서 Microsoft Exchange Server에 연결할 수 없습니다.
- SSL(Secure Sockets Layer) 연결을 통해서만 서버나 인터넷에 호스트된 웹 사이트에 연결할 수 있습니다. 이 경우 SSL 암호화를 사용하지 않는 웹 사이트에 연결할 수 없습니다.
- 네트워크 성능이 저하됩니다.
- 서버에서 나가는 FTP 연결을 설정할 수 없습니다.
- DHCP 서버 서비스가 충돌합니다.
- 클라이언트에서 도메인에 로그온하는 속도가 느립니다.
- Windows SBS 2003 뒤에 있는 NAT(Network Address Translation) 클라이언트에서 일시적인 연결 오류가 발생합니다.
- 일시적인 RPC 통신 오류가 발생합니다.
- SecureNat 클라이언트로 구성된 클라이언트에서 인터넷에 연결하지 못할 수 있습니다.
- 일부 Outlook 클라이언트에서 Exchange에 연결하지 못할 수 있습니다.
- 전자 메일 구성 및 인터넷 연결 마법사를 성공적으로 실행할 수 없습니다.
- Microsoft Internet Security and Acceleration(ISA) Server가 RPC 통신을 차단합니다.
- 클라이언트에서 http://companyweb 웹 사이트에 방문할 수 없습니다.
- IIS(인터넷 정보 서비스) 가상 디렉터리를 탐색할 수 없습니다.

http://support.microsoft.com/?kbid=830408

쉽게 말하자면

Clean Shutdown 상태로 EDB 파일 Dismount 후
모든 로그 및 체크 포인트 파일을 다른 곳으로 이동 (만약을 위해)
=> Mount

WORKGROUP 상태인 ISA 서버의 RADIUS Client 설정

VPN 클라이언트의 인증을 위한 WORKGORUP 상태의 ISA 서버 설정

전체적인 인증의 흐름은 다음과 같다.

-       ISA 서버가 VPN 클라이언트로부터 인증 요청을 받는다.

-       ISA 서버는 RADIUS 서버(MS의 경우 IAS 서버)로 인증 요청을 전달한다.

-       RADIUS 서버는 인증 서버(MS의 경우 DC)로 인증 요청을 전달한다.

-       인증 서버는 응답을 RADIUS 서버로 전달하고 RADIUS 서버는 다시 RADIUS 클라이언트인 ISA 서버로 전달한다.

-       사용자 인증이 유효하고 dial-in 권한이 있으면 VPN 접속이 이루어진다.

-       그렇지 않다면 연결 요청은 drop 된다.

아래 설명은 DC에 IAS 서버가 설치되어 있는 것으로 간주한다.

만약 IAS 서버와 DC가 분리되어 있다면 IAS 서버는 RADIUS Proxy 역할을 하게끔 설정해야 한다.

RADIUS 서버 설정

1.     시작 -> 관리 도구 -> 인터넷 인증 서비스(Internet Authentication Service)

2.     IAS 콘솔에서 ‘RADIUS Client’ 우클릭 -> ‘New RADIUS Client’ 클릭

3.     이름(ex: ISA Server), ISA 서버의 내부 IP 주소 입력 -> 다음

4.     추가 정보란에 Vendor는 ‘RADIUS Standard’ 선택, 공유 암호 입력, ‘요청에 인증 속성 포함’ 체크 -> 마침

VPN 클라이언트에 적용될 Remote Access Policy 설정

1.     IAS 관리 콘솔에서 ‘Remote Access Policy’ 우클릭 -> ‘New Remote Access Policy’ 클릭

2.     구성 방법 ‘Use the wizard to set up a typical policy for a common scenario’ 선택, 정책 이름 입력 -> 다음

3.     Access 방법 페이지에서 VPN 선택 -> 다음

4.     허용 그룹 또는 사용자 입력 (전체 사용은 Domain Users 추가) -> 다음

5.     MS-CHAPv2 체크, EAP를 선택하면 추가적인 인증을 제공할 수 있으나 여기선 기본값으로 진행 -> 다음

6.     정책 보안 수준 페이지에서 VPN 클라이언트에 따라 적절한 체크 박스 선택 -> 마침

사용자 계정의 Dial-in 권한 설정

1.     도메인 기능 수준이 Windows 2000 native 모드나 Windows 2003 모드인 경우 기본 Dial-in 권한이 Remote Access Policy에 따라 설정되기 때문에 아래 과정은 생략해도 된다.

2.     도메인 기능 수준이 Windows 2000 Mixed 모드인 경우 개개인의 dial-in 권한을 따로 주어야 한다.

3.     ADUC 콘솔에서 사용자 속성 -> Dial-in -> Remote Access Permission -> Allow access 선택 -> 확인

ISA 서버의 VPN 서버 설정

1.     ISA 관리 콘솔에서 VPN 노드 클릭

2.     작업 항목에서 ‘Configure VPN Client Access’ 클릭

3.     ‘Enable VPN client access’ 체크, 최대 허용 VPN 클라이언트 수 입력
Standard Edition의 ISA 서버는 최대 1000개의 VPN 연결을 지원한다.

4.     그룹 탭 클릭 -> 이 항목은 도메인 기능 수준이 2000 native나 2003일 경우에만 해당되며, ISA 서버가 AD의 구성원이 아니기 때문에 AD 그룹을 가져올 수도 없으므로 현 시나리오에서는 그냥 비워둔 상태로 둔다.

5.     프로토콜 탭 클릭 -> PPTP와 L2TP/IPSec 체크, PPTP만 체크해도 되나 추후 인증서를 통한 보안 강화를 사용할 수 있으므로 L2TP/IPSec도 체크해 둔다.

6.     사용자 매핑 -> ISA 서버가 도메인 구성원이 아닌 경우 절대 사용을 체크해서는 안 된다..

ISA 서버의 RADIUS 서버 설정

1.     작업 항목에서 RADIUS 구성 클릭

2.     RADIUS 탭에서 ‘User RADIUS for authentication’ 체크, ‘User RADIUS for accounting (logging)’ 체크

3.     ‘RADIUS 서버’ 클릭 -> 추가 클릭

4.     서버 이름에 IAS 서버의 IP 또는 도메인 이름 입력(안전하게 IP 주소 입력 권장)

5.     공유 암호의 변경 클릭 -> IAS 서버에서 설정한 공유 암호 입력

6.     ‘Always use message authenticator’ 체크 -> 확인

7.     나머지 창의 확인 버튼을 클릭해 닫는다.

Quorum 파일 구성

<Quorum Disk>:\MSCS\Chkxxx.tmp

<Quorum Disk>:\MSCS\Quolog.log

<Quorum Disk>:\MSCS\<Resource GUDI>\*.CPT

Chkxxx.tmp, Quolog.log 손상

- ClusSvc Event ID 1148 and 1073 : Chkxxx.tmp and Quolog.log is corrupt

[Resolution]

- System State backup을 복구

- Cluster 서비스 시작 옵션 이용

net start clussvc /NoQuorumLogging

-> 서비스가 시작되면 아래의 절차 수행

-> 서비스가 시작되지 않는다면 Cluster 디스크 드라이버, Cluster 네트웍 드라이버를 Disable 시킨 후

   서버를 Reboot하여 Quorum Disk가 물리적으로 정상인지 확인

net stop clussvc

net start clussvc /ResetQuorumLog -> 현재 쿼럼 로그를 초기화하고 새로 작성

net stop clussvc

net start clussvc

클러스터 서비스 시작 옵션

net start clussvc /FixQuorum

Quorum 디스크의 물리적인 문제가 발생했을 경우 최소 1노드에서 서비스 가능케 함

이 경우,

Quorum 디스크를 제외한 다른 클러스터 디스크는 정상 동작해야 함

Cluster 리소스 그룹은 온라인 되지 않음

다른 노드는 Cluster에 조인하지 못함

Cluster 관리자를 아래 2가지 방법으로 실행

Cluadmin -noreconnect or . (localhost)

Cluster DB 파일 손상

- System Event Log : ClusSvc Event ID 1000

- Cluster Log : Failed to open key resources, status 2

[Resolution]

Case1 - 클러스터 서비스가 최소 다른 한 노드에서 시작 중인 경우

1) 정상 노드에서 Q:\MSCS에 접근하여 Chkxxx.tmp를 Copy한다.

2) Copy한 파일을 문제가 발생한 노드의 %SystemRoot%\Cluster에 Paste한다.

3) 문제의 ClusDB 파일을 Rename 한다.

4) 새로 Copy한 Chkxxx.tmp를 ClusDB로 Rename한다.

5) Cluster 서비스를 시작한다.

Case2 - 클러스터 서비스가 어떠한 노드에서도 시작 중이지 않은 경우

1) 한 노드에서 Cluster 디스크 드라이버를 중지시킨다. (장치 관리자 -> 숨김 장치)

2) 모든 노드를 shutdown 한다.

3) Cluster 디스크 드라이버를 중지시킨 노드를 Turn on하여 Chkxxx.tmp를 Q:\MSCS에서 Copy한다.

4) Chkxxx.tmp를 %SystemRoot%\Cluster에 Paste한다.

5) 기존 ClusDB 파일은 rename하거나 Delete한다.

6) Chkxxx.tmp 파일을 ClusDB로 rename한다.

7) 클러스터 서비스를 시작한다.

8) 클러스터 서비스가 시작되면, Case1을 반복 진행한다.

-       SCCM 설치 중 오류 발생 (Database Monitor)

-       설치 완료 후 Site database로 접근이 되지 않으며 Connecting 창만 유지됨

-       SQL Server의 이벤트 로그에 ANONYMOUS 계정(SCCM 서버 IP)의 인증 실패가 계속해서 기록된다.

SQL Server의 서비스 계정이 Domain 계정이거나 Cluster 구성이 되어 있는 경우 발생한다.

서비스 계정이 Local System인 경우 AD에 자동으로 SPN이 등록되나 Domain 계정인 경우 수동으로 등록해야 한다.

1.     setspn -A MSSQLSvc/<FQDN> <SQL_Service_Account>

2.     setspn -A MSSQLSvc/<FQDN>:1433 <SQL_Service_Account>

3.     setspn –L <SQL_Service_Account>

4.     SQL 서비스 계정의 위임 설정

다음 쿼리를 이용해 현재 접속한 세션의 인증 유형을 확인할 수 있다.

select session_id,auth_scheme,client_net_address from sys.dm_exec_connections