SNMP, MIB, OID, 네트워크 스위치

http://www.mibdepot.com/cgi-bin/mibsummary.cgi?id=202818

http://www.citrix.com/English/ps2/products/subfeature.asp?contentID=2300383

Citrix XenDesktop features by edition (VDI Edition, Enterprise, Plantinum)

Exchange CAS 서버 역할과 WNLB의 Unicast/Multicast 모드

유니캐스트 모드
유니캐스트 모드로 WNLB가 구성된 경우 각 서버 네트워크 어댑터의 MAC 주소가 가상 클러스터 MAC 주소로 '변경'된다. 가상 클러스터 MAC 주소는 WNLB 클러스터의 모든 구성원 서버에서 사용된다.
유니캐스트 모드로 설정되면 클라이언트는 오직 클러스터 MAC 주소를 사용해 서버에 접속할 수 있다.

[참고]
기본 게이트웨이를 클러스터(WNLB) 가상 네트워크 어댑터에 설정한다. 관리용 네트워크 어댑터에 기본 게이트웨이를 설정하지 않는다.(http://support.microsoft.com/?id=193602)

멀티캐스트 모드
멀티캐스트 모드로 WNLB가 구성된 경우 각 서버 네트워크 어댑터에 멀티캐스트 MAC 주소가 '추가'된다. 각 서버는 원래의 MAC 주소를 그대로 가지고 있다.


각각의 서버가 단일 네트워크 어댑터로 구성된 경우 Windows NLB 클러스터에서 어떤 모드를 사용하든 문제가 되지 않는다. 하지만, 성능 최적화 및 클러스터 네트워크 트래픽과 일반 트래픽을 분리하기 위해 각각의 서버에 두 개의 네트워크 어댑터로 구성하는 것을 권장한다.

그러므로, Exchange CAS 서버 역할의 경우에는 두 개의 네트워크 어댑터로 구성해 호스트에 대한 트래픽과 클러스터 네트워크에 대한 트래픽을 분리하고 유니캐스트 모드로 구성하는 것을 권장한다.

[참고]
Windows NLB와 더불어 Exchange CAS 서버 역할에 대한 부하 분산 방법으로 DNS Round Robin을 사용할 수 있다. 하지만, DNS Round Robin은 하나의 CAS 서버에 문제가 생긴 경우 이를 감지하지 못하므로 클라이언트에게 응답하지 못하는 상황이 발생할 수 있다. 그렇기 때문에 CAS 서버를 정상으로 할 때까지 DNS 레코드를 임시로 삭제하고 TTL이 만료될 때까지 시간이 지나야 클라이언트 접속에 문제가 없게 된다.

1. 모든 Exchange Server 2007을 Service Pack 2로 업그레이드 한다.
2. AD 포리스트 기능 수준과 도메인 기능 수준을 Windows Server 2003 기능 수준 이상으로 올린다.
3. Exchange Server가 위치할 AD 사이트 내 최소 한 개의 글로벌 카탈로그 서버를 Windows Server 2003 SP2 이상으로 업그레이드 한다.
4. 첫 번째 Exchange Server 2010을 설치할 서버에 Windows Server 2008 RTM(x64) 또는 R2를 설치한다.
5. 스키마 확장을 위해 AD 관리 도구를 설치한다.(LDIFDE)
6. 설치할 역할에 필요한 Windows Server 2008 기능을 설치한다.(첨부된 PowerShell 스크립트 활용)
7. Exchange Server 2010 Setup을 실행해 스키마 확장, 포리스트 및 도메인 준비를 실행한다.
8. Client Access Server(CAS) 역할을 설치하고 구성한 후 기능 점검을 수행한다.
9. OWA, ActiveSync 및 Outlook Anywhere에 대한 트래픽을 새로운 CAS 서버로 이동시킨다.
10. Hub Transport 역할을 설치하고 구성한 후 기능 점검을 수행한다.
11. 인바운드 및 아웃바운드 메일 트래픽을 Exchange 2010 HT 서버로 이동시킨다.
12. Mailbox 서버 역할을 설치하고 구성한다.(필요에 따라 DAG를 구성한다.)
13. AddReplicatoPFRe-cursive.ps1 스크립트 또는 Exchange 2010 공용 폴더 도구를 이용해 Exchange 2010 서버에 공용 폴더를 생성한다. (http://technet.microsoft.com/en-us/library/aa997966.aspx)
14. 관리 콘솔 또는 PowerShell을 이용해 모든 사서함을 Exchange 2010으로 이동한다.
15. 오프라인 주소록(OAB) 생성 서버를 Exchange 2010 서버로 변경한다.
16. 모든 공용 폴더 복제본을 Exchange 2010 공용 폴더 저장소로 이동시킨다.
17. Exchange 2007 서버의 공용 폴더 및 개인 정보 저장소를 제거한다.
18. 모든 Exchange 2007 서버를 제거(Uninstall)한다.

[참고]
* 만약, DAG를 구성하는 경우 사서함을 옮기기 전에 반드시 DAG 기능(Failover/Failback)을 점검한 후 이동시킨다.
* Exchange 2007과는 다르게 Exchange 2010에서는 Outlook 접속(MAPI)을 CAS 서버가 담당하게 되므로 CAS 서버에 이전 버전보다 더 많은 부하가 걸리게 된다.
* 모든 Exchange 2007 역할(CAS, Hub Transport, Mailbox)은 모든 사용자를 Exchange 2010으로 완전히 이전한 후 제거한다. 예를 들어, 사서함이 Exchange 2007에 위치하는 경우 Exchange 2010의 OWA(CAS 서버)로 사용자가 접근하면 Exchange 2007의 OWA(CAS 서버)로 리디렉션을 해주게 되는데 Exchange 2007의 CAS 서버를 제거한 경우 사용자는 OWA를 사용할 수 없게 된다.
* 모든 사용자 이전이 끝난 후에도 Outlook 사용자의 프로필 업데이트가 완료될 수 있도록 일정 기간 동안은 Exchange 2007 인프라를 그대로 두는 것이 좋다.

Ex2010-PreRequisites-v2.ps1

기본적으로, Windows Server 2008은 하나의 계정으로 하나의 세션만 연결할 수 있다.
이는 기본적인 그룹 정책에서 이와 같이 구성되기 때문인데 이를 수정하기 위해서는 그룹 정책 편집기를 이용해 다음 항목을 '사용 안 함'으로 변경한다.

컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > 터미널 서비스 > 원격 데스크톱 세션 호스트 > 연결
    '원격 데스크톱 서비스 사용자를 하나의 원격 데스크톱 서비스 세션으로 제한'

1. (FQDN 생성)TMG 서버의 DNS 접미사 입력 후 재시작

2. (관리자 계정 생성)로컬 사용자 생성 후 관리자(Administrators) 그룹에 추가

3. (서버 인증서 설치)서버 간 통신에 사용되는 LDAPS(LDAP over SSL)에 사용
- http://<CA_Server>/Certsrv 연결
- 인증서 요청 -> 고급 인증서 요청 -> 이 CA에 요청을 만들어 제출합니다
- 유형 -> 서버 인증 인증서 선택
- 이름 항목에 TMG 서버의 FQDN 입력
- 키를 내보낼 수 있게 표시 체크
- 로컬 컴퓨터 저장소에 저장 체크
- 인증 기관 인증서를 로컬 컴퓨터의 신뢰할 수 있는 루트 인증 기관에 저장
- 인증서 제출 및 설치

4. (인증서 내보내기)TMG 서버 설치 시 사용할 인증서 파일
- 시작 -> mmc -> 인증서 스냅인 추가
- 서버 인증서 -> 내보내기
- 개인 키 포함 체크
- 가능하면 인증 경로에 있는 인증서 모두 포함 체크
- 암호 입력 후 인증서 내보내기 완료

certutil -enterprise -addstore root <Cert.cer>

사용법:
  CertUtil [옵션] -addstore CertificateStoreName InFile
  인증서를 저장소에 추가합니다.
    CertificateStoreName -- 인증서 저장소 이름.  -store 참조.
    InFile -- 저장소에 추가할 인증서 또는 CRL 파일.

옵션:
  -f                -- 무조건 덮어쓰기
  -enterprise       -- 로컬 컴퓨터 엔터프라이즈 레지스트리 인증서 저장소 사용
  -user             -- HKEY_CURRENT_USER 키 또는 인증서 저장소 사용
  -GroupPolicy      -- 그룹 정책 인증서 저장소 사용
  -gmt              -- GMT로 시간 표시
  -seconds          -- 시간을 초와 밀리초로 표시
  -v                -- 자세한 정보 표시 작동
  -privatekey       -- 암호 및 개인 키 데이터 표시
  -dc DC 이름               -- 특정 도메인 컨트롤러 대상 지정

CertUtil -?              -- 동사 목록(명령 목록)을 표시합니다.
CertUtil -addstore -?    -- "addstore" 동사의 도움말 텍스트를 표시합니다.
CertUtil -v -?           -- 모든 동사의 도움말 텍스트를 모두 표시합니다.

ISA 서버와 TMG는 기본적으로 IP Spoofing을 감지해 차단한다.
GUI를 통해 이러한 설정을 해제할 수 기능을 제공하지 않기 때문에 IP 스푸핑 감지 기능을 해제하기 위해서는 다음과 같이 레지스트리 편집을 통해 해제할 수 있다.

1. 레지스트리 편집기 실행
2. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/FwEng/Parameters로 이동
3. DWORD 값 생성 -> DisableSpoofDetection -> 값을 1로 설정
4. 방화벽 서비스(ISA/TMG) 재시작

* 다시 활성화하려는 경우 DisableSpoofDetection 값을 0으로 설정

TMG 서버의 도메인 참가 고려 사항
- Workgroup 환경에서의 Enterprise 및 Array 배포는 도메인 환경 대비 추가적인 준비 작업이 필요하며 관리를 위해 동일한 계정을 생성/유지해야 한다.
- Workgroup 환경에서는 EMS 복제가 지원되지 않는다.
- Workgroup 환경에서는 자동 웹 프록시 감지가 지원되지 않는다.
- Workgroup 환경에서는 Forefront TMG 서버에 서버 인증서를 설치해야 한다.
- Microsoft Windows가 아닌 운영 체제의 사용자를 도메인 사용자 계정에 매핑하도록 VPN 클라이언트 사용자 매핑을 구성할 수 있다. TMG가 도메인에 참가되어 있는 경우에만 사용자 매핑이 지원된다.
- 도메인 환경에서는 로컬 보안 정책이 아닌 그룹 정책을 이용해 TMG 서버를 잠글 수 있다.
- HTTPS 검사 기능을 사용하려는 경우, 클라이언트로 HTTPS 검사에 대한 루트 인증 기관 인증서 자동 배포가 Workgroup 환경에서는 지원되지 않는다.


TMG 서버 설치 및 구성 절차 요약
1. 설치 요구 사항
- 운영체제: Windows Server 2008 SP2 또는 R2
- 시스템 아키텍처: x64
2. 설치 미디어 삽입 후 '준비 도구 실행'
- 필요한 구성 요소가 자동으로 설치된다.
4. 사전 검사 완료 후 TMG 설치 마법사 실행
5. 설치 완료 후 시작 마법사를 통해 다음 절차를 수행한다.
- 네트워크 설정 구성: 네트워크 관계 및 라우팅 구성
- 시스템 설정 구성: 도메인 또는 작업 그룹
- 배포 옵션 정의: 자동 업데이트 및 NIS(네트워크 검사 시스템) 구성
6. (선택)웹 액세스 정책 구성


독립 실행형 배열 구성
1. TMG 관리 콘솔 실행 -> 방화벽 정책
2. 도구 상자 -> 관리되는 서버 컴퓨터 -> 속성 -> TMG 노드 추가
3. 서버 이름 -> 작업 탭의 배열 가입 클릭 후 배열 가입 절차 진행


Forefront TMG 클라이언트 다운로드
http://www.microsoft.com/DOWNLOADS/details.aspx?displaylang=ko&FamilyID=53010a09-3c5c-4d5d-9ae1-692e7447c5bd

Forefront TMG 클라이언트 무인 설치
msiexec /i ms_fwc.msi <SERVER_NAME_OR_IP=tmgserver> <ENABLE_AUTO_DETECT=0> <REFRESH_WEB_PROXY=0> /qb /L*v c:\fwc_inst.log


TMG 클라이언트의 Active Directory를 통한 자동 웹 프록시 검색 구성
1. TMG 서버는 반드시 도메인 구성원이어야 한다.
2. tmgadconfig.exe 명령줄 도구를 이용해 다음 명령 실행
tmgadconfig add -default -type winsock -url http://TMG.Domain.Com:80/wspad.dat
3. LDP.EXE 명령줄 도구를 이용해 정상적으로 등록되었는지 여부를 확인할 수 있다.
CN=Windock Proxy,CN=Internet Gateway,CN=Services,CN=Configuration,DC=Domain,DC=com
4. fwctool.exe 명령줄 도구를 이용해 TMG 클라이언트에서 확인
fwctool TestAutoDetect


TMG 클라이언트의 DNS/DHCP를 통한 자동 웹 프록시 검색 구성
DNS
* 클라이언트가 도메인에 참가되어 있거나 주 DNS 접미사가 설정되어 있어야 한다.
1. DNS 서버의 BlockList 해제: dnscmd /config /enableglobalqueryblocklist 0
2. WPAD.Domain.Com의 DNS 레코드를 TMG 서버의 IP 또는 CNAME으로 등록
* DNS에서 WPAD 항목을 사용하는 경우, TMG 서버의 포트 80에 게시해야 한다.

DHCP
1. DHCP 관리 콘솔 실행
2. DHCP 서버 마우스 우클릭 -> '미리 정의된 옵션 설정' 클릭
3. '추가' -> 옵션 유형에 다음과 같이 입력 후 확인
- 이름: WPAD
- 데이터 형식: 문자열
- 코드: 252
4. 문자열 항목에 다음과 같이 입력(또는 범위 옵션에서 입력 가능)
http://TMG.Domain.Com:80/wpad.dat
* wpad.dat는 소문자로 입력해야 한다.
5. 적용할 범위 선택 -> 범위 옵션 -> 고급
6. 사용 가능한 옵션에서 '252 WPAD' 선택 -> 확인