달력

11

« 2024/11 »

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
Windows Server 2012부터는 도메인 컨트롤러 설치 시 더 이상 dcpromo 명령으로 설치하지 않습니다. dcpromo를 이용해 도메인 컨트롤러를 설치하려고 하면 아래와 같은 메시지가 나타나면서 더 이상 진행되지 않습니다.


참고: Steps for installing Active Directory Domain Services
The Active Directory Domain Services Installation Wizard (dcpromo.exe) is deprecated beginning in Windows Server "8" Beta.

Server Manager를 통한 Domain Controller 설치 절차는 다음과 같습니다.
(물론, PowerShell에서 Add-Windowsfeature AD-Domain-Services 및 Install-ADDSForest 등의 명령을 통해 명령줄로도 설치는 가능합니다.)

1. Server Manager에서 Add Roles and Features를 클릭합니다.
 

2. 기본 값인 Role-based or feature-based installation을 선택하고 Next 버튼을 클릭합니다.


3. 도메인 컨트롤러를 설치할 서버를 선택하고 Next 버튼을 클릭합니다.


4. 역할 목록에서 Active Directory Domain Services를 체크합니다. 관리 도구 기능을 함께 설치할 것인지 묻는 창이 뜨면 Add Features 버튼을 클릭해 함께 설치하도록 합니다. 그런 다음 Next 버튼을 클릭합니다.



5. 기능 목록에서 추가적으로 설치할 기능을 체크한 후 Next 버튼을 클릭합니다.


6. AD DS 개요 화면에 추가적으로 몇 가지 역할 또는 기능이 설치된다는 내용이 보이네요. Next 버튼을 클릭합니다.


7. Install 버튼을 클릭해 설치를 시작합니다.


8. 설치 완료 후 Promote this server to domain controller를 클릭합니다.


9. 이후의 작업은 기존 dcpromo 작업과 비슷하게 진행됩니다. 여기서는 새로운 도메인을 설치하는 것으로 진행합니다. Add a new forest를 선택하고 도메인 이름을 입력하고 Next 버튼을 클릭합니다.


10. Forest 및 Domain에 대한 Functional Level을 선택하고 복구 모드에 대한 암호를 입력한 후 Next 버튼을 클릭합니다.


11. DNS 구성에 대한 경고 메시지가 발생합니다. 무시하고 Next 버튼을 클릭합니다.


12. NetBIOS Domain Name에 대한 확인이 진행됩니다. 진행 후 Next 버튼을 클릭합니다.


13. DB 및 Log, SYSVOL에 대한 위치를 확인하고 Next 버튼을 클릭합니다.


14. 구성 정보를 확인하고 Next 버튼을 클릭합니다.


15. 사전 요구 사항에 대한 체크 결과를 확인하고 Install 버튼을 클릭해 구성을 시작합니다.


16. 설치가 잘~ 되었네요. :)
 


 
:
Posted by 커널64

그룹 정책을 통한 기본 원격 데스크톱 서버 인증 인증서 변경
원격 데스크톱 연결 시 신뢰되지 않은 인증서라는 경고 메시지를 제거하고자 할 때

1. 인증서 템플릿 콘솔 실행
2. 목록 중 컴퓨터 > 우클릭 > 템플릿 복제

3. Windows Server 2003 Enterprise 선택

4. 템플릿 표시 이름과 템플릿 이름 동일하게 설정(예: RemoteDesktopComputer)

5. 확장 탭에서 응용 프로그램 정책 > 편집

6. 클라이언트 인증 선택 > 제거

7. 확인 > 확인

8. 인증서 관리 콘솔 > 인증서 템플릿 > 우클릭 > 새로 만들기 > 발급할 인증서 템플릿

9. 복제한 인증서(예: RemoteDesktopComputer) 선택 > 확인

10. 그룹 정책에서 다음 항목을 적용
컴퓨터 구성 > 정책 > 관리 템플릿 > Windows 구성 요소 > 터미널 서비스 > 원격 데스크톱 세션 호스트 > 보안
서버 인증 인증서 템플릿 > 인증서 템플릿 이름 입력(예: RemoteDesktopComputer)

 

:
Posted by 커널64
2011. 9. 9. 19:24

Active Directory FSMO 이동 Active Directory2011. 9. 9. 19:24

Active Directory FSMO 이동 명령줄 CLI

명령줄에서 ntdsutil 실행
아래 내용 중 <TargetServerName> 을 이동할 대상 서버 이름으로 변경 후 순서대로 입력

roles

connections

connect to server <TargetServerName>

q


Transfer infrastructure master

Transfer naming master

Transfer PDC

Transfer RID master

Transfer schema master


명령줄로 빠져 나와 아래 명령을 이용해 FSMO 이동 결과 확인
netdom query fsmo

 

:
Posted by 커널64

인증서 서비스의 CRL 배포 지점(CDP) 설정

레지스트리 편집기 실행 HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration 로 이동한 후
CRLPublicationURLs 값의 아래 http 값을 외부에서 연결 가능한 서버 주소로 수정한다.



인증 기관 속성에 기본으로 설정되어 있는 HTTP CDP 선택 후 아래 두 체크 박스 체크한 후 인증서 서비스를 재시작한다.


추가적으로, IIS 7.5에서 위 CDP를 개시하는 경우 CRL 파일에 +(더하기 문자)가 붙어 접근에 문제가 생길 수 있다.
이를 방지하기 위해 Powershell을 실행해 다음 명령을 통해 기본 웹 사이트의 설정을 수정한다.

Import-Module Webadministration
Set-WebConfiguration -Filter system.webServer/security/requestFiltering -PSPath 'IIS:\sites\Default Web Site' -Value @{allowDoubleEscaping=$true}

:
Posted by 커널64

Windows Server 2003
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
인증서 서비스 재시작(certsvc)

Windows Server 2008
certutil -setreg policy\SubjectAltName enabled
certutil -setreg policy\SubjectAltName2 enabled
인증서 서비스 재시작(certsvc)

인증서 요청 방법
1. http://servername/certsrv 접속
2. 인증서 템플릿: 웹 서버
3. 키 옵션 설정
- 새 키 집합 만들기
- CSP: Microsoft RSA SChannel Cryptographic Provider
- 키 사용: 교환
- 키 크기: 1024 - 16384
- 자동 키 컨테이너 이름
- 인증서를 로컬 컴퓨터의 인증서 저장소에 저장
4. 고급 옵션의 요청 형식을 CMC로 설정
5. 특성에 다음과 같은 형태로 SAN 입력
san:dns=dns.name[&dns=dns.name]
예)ABC.Domain.Com과 123.Domain.Com을 SAN에 포함하는 경우
san:dns=ABC.Domain.Com&dns=123.Domain.Com

:
Posted by 커널64
ntdsutil

set dsrm password

reset password on server null
(null은 로컬 서버의 DSRM 암호 변경)
:
Posted by 커널64

그룹 정책 편집기에서 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 로컬 정책 > 보안 옵션으로 이동



다음 세 가지 설정 변경
- 사용자 계정 컨트롤: 관리 승인 모드에서 모든 관리자 실행 -> 사용 안 함
- 사용자 계정 컨트롤: 관리자 승인 모드에서 관리자에 대한 권한 상승 확인 방법 -> 권한 상승 전에 확인 안 함
- 사용자 계정 컨트롤: 응용 프로그램 설치할 때 권한 상승 확인 -> 사용 안 함

:
Posted by 커널64
2009. 9. 21. 12:43

Kerberos와 NTLM 인증에 대한 정리 Active Directory2009. 9. 21. 12:43

I. Kerberos vs. NTLM
NTLM 인증: Challenge-Response mechanism
1. 클라이언트가 서버로 사용자 이름을 보낸다.
2. 서버는 이에 대한 요청 값을 생성해 클라이언트로 보낸다.
3. 클라이언트는 이 요청 값을 사용자 암호로 암호화해 서버로 응답을 보낸다.
4. 로컬 계정인 경우 서버는 SAM(Security Account Manager)을 검색해 사용자의 응답을 검증한다.
5. 도메인 계정인 경우 서버는 이 응답을 도메인 컨트롤러로 전달해 검증하고 사용자 계정에 대한 그룹 정책을 받는다.
6. Access Token을 발급하고 세션을 맺는다.

Kerberos 인증: Trust-Third-Party Scheme
- Kerberos 인증 방법은 표준 프로토콜로 네트워크에서 클라이언트와 서버를 상호 인증하는 방식이다.
- 세 가지 주 요소는 KDC(Key Distribution Center), 클라이언트, 접근할 서비스를 가지는 서버
- KDC는 도메인 컨트롤러의 일부로서 설치되며 다음 두 가지 기능을 수행한다.
-- AS(Authentication Service), TGS(Ticket-Granting Service)

1. 사용자가 네트워크에 로그온하면 AS에 TGT(Ticket Grant Ticket)을 요청한다.
2. 클라이언트는 네트워크 자원에 접근할 때 TGT와 인증자(Authenticator), 대상 서버의 SPN(Service Principal Name)을 제시한다.
3. 클라이언트는 네트워크 서비스와의 통신에 사용될 세션 티켓을 받기위해 서비스 계정 도메인의 TGS에 접속한다.
4. 대상 서버가 인증자를 검증하고 나면 클라이언트 사용자에 대한 Access Token을 생성한다.


II. Kerberos와 NTLM 인증의 요구 사항
Kerberos
1. 클라이언트와 서버는 반드시 도메인 구성원이어야 한다. 만약 클라이언트와 서버가 서로 다른 도메인에 속하는 경우 두 도메인은 양방향 신뢰가 구성되어 있어야 한다.
2. SPN 등록. SPN은 서버에서 실행 중인 서비스에 대한 고유한 식별자다. Kerberos 인증을 필요로 하는 서비스는 SPN을 가지고 있어야 클라이언트가 네트워크에서 서비스를 식별할 수 있게 된다.

SPN(Service Principal Name)
SQL Server에 대한 SPN은 다음과 같은 요소로 구성된다.
- ServiceClass: 서비스를 식별하는 요소. SQL Server에 대한 Service Class는 MSSQLSvc이다.
- Host: SQL Server가 실행 중인 컴퓨터의 FQDN
- Port: 실행 중인 서비스가 수신 대기 중인 포트
예) MSSQLSvc/sqlserver.domain.com:1433

NTLM
NTLM은 요청-응답의 과정을 위해 사용자 암호를 요구한다. 이후 서버는 클라이언트로부터 암호를 요구하지 않고 클라이언트를 식별할 수 있게 된다. 만약 클라이언트가 시스템 계정으로 실행 중이라면 인증 정보를 보낼 수가 없기 때문에 인증은 실패하게 된다.

NTLM Fallback
NTLM(NT LAN Manager)는 Windows NT와 Windows 2000 Workgroup 환경에서 사용되던 인증 프로토콜이다.
Windows Server 2003, Windows XP, Windows 2000은 어느 인증 프로토콜을 사용할지 협상하는 알고리즘을 사용한다. Kerberos 프로토콜이 기본 값이며 Kerberos 인증이 실패할 경우 NTLM 인증을 시도한다.


III. SQL Server 2005에 접속 시 Kerberos와 NTLM
1. 만약 SPN이 존재하면 TCP/IP를 통한 원격 접속 시 Kerberos가 사용된다.
2. SPN이 존재하고 XP 컴퓨터의 로컬 TCP 연결을 하는 경우 Kerberos가 사용된다.
3. Windows Server 2003의 로컬 연결의 경우 NTLM이 사용된다.
4. 명명된 파이프 연결의 경우 NTLM이 사용된다.
5. SPN을 찾을 수 없고 TCP를 통해 연결하는 경우 NTLM이 사용된다.

SETSPN.EXE
1. SQL Server가 LocalSystem 또는 NetworkService 계정으로 실행 중인 경우 SPN 확인
SETSPN -L <SQL Server가 설치된 서버 이름>
2. SQL Server가 도메인 사용자 계정으로 실행 중인 경우 SPN 확인
SETSPN -L <도메인>\<사용자 계정>
3. 만약 도메인 계정이 관리자 계정이 아닌 상황에서 Kerberos 인증을 반드시 사용해야 하는 경우 SPN 등록
SETSPN -A <도메인>\<사용자 계정>
4. SQL Server는 다음 항목이 만족되는 경우 서비스 시작 시 자동으로 SPN을 등록한다. 아래 항목이 충족되지 않는 경우 Kerberos인증을 위해서는 SPN을 수동으로 등록해야만 한다.
- SQL Server가 LocalSystem 또는 Network Service 또는 도메인 관리자 계정으로 실행 중이다.
- TCP/IP 프로토콜이 활성화되어 있다.

일반적으로 클라이언트가 SQL Server로 TCP 연결을 맺는 경우 클라이언트의 SQL 드라이버는 SQL Server가 실행 중인 서버의 FQDN을 풀게된다. 그 다음 SQL Server의 SPN을 검색하고 협상 과정을 거쳐 KDC의 SPN 검증 여부에 따라 NTLM 또는 Kerberos를 사용해 인증을 시도한다. 만약 Kerberos 인증이 실패할 경우 NTLM 인증을 시도한다. 명명된 파이프로 접속하는 경우에는 SQL 드라이버는 빈 SPN을 생성해 NTLM 인증으로 인증을 시도한다.

:
Posted by 커널64

그룹 정책을 통한 UAC 메시지 제거 방법

 

1.     도메인 컨트롤러에서 그룹 정책 편집기 실행

2.     기본 도메인 정책을 수정하거나 별도의 그룹 정책 생성 후 수정 -> 편집

3.     그룹 정책 편집기 창에서 다음 위치까지 이동
컴퓨터 구성
          ->
정책
                -> Windows
설정
                                ->
보안 설정
                                           ->
로컬 정책
                                                      ->
보안 옵션

4.     오른쪽 목록 중에서 다음 세 가지 옵션 설정 후 적용

-       영문판의 경우
User Account Control: Detect application installations and prompt for elevation -> Disabled
User Account Control: Behavior of the elevation prompt for administrator users -> No prompt
User Account Control: Run all administrators in Admin Approval Mode -> Disabled

-       한글판의 경우
사용자 계정 컨트롤: 응용 프로그램 설치할 때 권한 상승 확인 -> 사용 안 함
사용자 계정 컨트롤: 관리자 계정일 때 관리 승인 모드에서 권한 상승 확인 방법 -> 권한 상승 전에 확인 안 함
사용자 계정 컨트롤: 관리자 계정의 경우 관리 승인 모드에서 모든 어플리케이션 실행 -> 사용 안 함

:
Posted by 커널64

Object Restore for ActiveDirectory 1.0
:
Posted by 커널64