'Study'에 해당되는 글 93건
- 2015.04.09 [17] 원격 server 로그 보기, DHCP 릴레이 실전 문제
- 2015.04.09 [16] Dual DHCP server, 감사정책 with AD 문제
- 2015.04.09 [15] DHCP 릴레이 에이전트
- 2015.04.09 [14] DHCP server, DHCP dual server
- 2015.04.09 [13] Active Directory - 계정 관리, 그룹 정책 관리
- 2015.04.09 [12] DNS 복습, Active Directory 설치 및 사용자, 그룹 추가
- 2015.04.09 [11] 중간 복습 - 디스크 관리, 배치파일
- 2015.04.09 [10] 감사 정책 (로그온, 개체 액세스 감사), 권한 상속
- 2015.04.09 [09] 보안 정책, 계정 정책 - 암호정책, 보안 정책 Migration, 환경 변수
- 2015.04.09 [08] 알ftp로 ftp 서버 구축, 파일 차단 관리
- 2015.01.27
[원격 컴퓨터 로그 보기 in AD]
원격지 PC 에서 방화벽 설정을 해줘야 한다.
시작 - 고급 보안이 포함된 Windows 방화벽 - 인바운드 - 원격 관리(RPC) 규칙사용
관리자 PC
시작 - mmc - 파일 - 스냅인 추가 - 이벤트 뷰어 추가 - 다른 컴퓨터(SERVER2)
[DHCP 릴레이 실전 문제]
[Tip]
1) 라우팅 및 원격 액세스 - ... - DHCP 릴레이 에이전트에 추가할 인터페이스는 실제 DHCP가 작동하는 인터페이스이다.
2) Client 측에서 ipconfig /all 을 했을때 DHCP 서버는 비활성화된 서버가 나오는데,
그 이유는 릴레이 시켜 간접적으로 ip 할당을 하긴 하지만 릴레이 해서 받아온 ip를 주는 서버는 동일하기 때문이다.
3) 새로 추가한 SW 마다(server의 NIC) IP 설정 필요 - 해당 ip 를 해당 서브넷의 게이트웨이로 꼭 줘야 한다.
4) Backup 할 DHCP server 에도 원래 서버와 동일한 ip 대역대 설정 - 로드밸런싱 목적이 아니기 때문
'Study > WinServer' 카테고리의 다른 글
[20] 실전문제, DNS 라운드 로빈 (0) | 2015.04.09 |
---|---|
[19] GNS 이용한 통신 설정 (0) | 2015.04.09 |
[16] Dual DHCP server, 감사정책 with AD 문제 (0) | 2015.04.09 |
[15] DHCP 릴레이 에이전트 (0) | 2015.04.09 |
[14] DHCP server, DHCP dual server (0) | 2015.04.09 |
- 2015.01.26
[DHCP 듀얼망 2번 문제]
# 현재 Server1에서 DHCP 서비스 중
# 각 팀에는 스위치(네트워크 장비)가 2개 씩 존재
# 영업팀 두 개의 스위치(네트워크 장비) 100.100.100.X대역 할당
# 경영팀 두 개의 스위치(네트워크 장비)
200.200.200.X대역 할당
[Tip]
1) 새로 추가한 SW (NIC) 마다 IP 설정 필요
2) 각 대역대 마다 DHCP 설정은 1개씩만 진행
[도메인 사용자 감사 정책 with AD 문제]
# 짝궁과 실습
# 브릿지 네트워크
1. 서로 Server1에 AD DS 설치
- 서로 원하는 도메인으로 설정
2. itbank1~5까지 사용자 생성
- 비밀번호 : P@ssw0rd (대문자P 숫자0 나머지 소문자)
3. Client1을 짝궁의 도메인에 합류
4. Client1로 itbank1~5 중 랜덤으로 짝궁의 사용자로 로그인 후 짝궁에게 어떤 계정으로 로그인 했는지 찾아보라 하고 서로 어떤 계정으로 로그인 했는지 찾아보기.
## 이벤트 뷰어에서 보안 탭에서 찾을 수 있습니다.
==============================================================
# 현재 진행했던 상태로 이어서 진행
# itbank1~5 사용자를 여러분의 이름으로 그룹생성 후 구성원으로 추가
1. Server1에 파일서버 구축(공유 폴더 이용)
- C:에 본인이름으로 폴더 만들어서 그 폴더 공유
- 본인이름 그룹으로 공유 및 보안 설정
- 폴더 않에 itbank1부터 5까지 텍스트 파일 총 다섯개 만들기
2. 본인이름 폴더에 파일 삭제 감사
3. 짝궁의 공유 폴더로 접속 후 itbank1~5중 랜덤으로 로그인 후
텍스트 파일 삭제 후 짝궁에게 말하여 어떤 계정으로 접속하여 어떤 파일을 삭제 했는지 찾아보기
[Tip]
1) 파일 삭제 기록 로그 남기기
폴더 속성 - 보안 - 고급 - 감사 - 편집 - 추가 - 삭제의 성공 체크
그룹 정책 - Default Domain Policy - 컴퓨터 구성 - 정책 - Windows 설정 - 보안 설정 - 로컬 정책
- 감사 정책 - 개체 액세스 감사 - 성공 체크 후 확인 : 파일 삭제 기록 확인 가능
2) 감사 정책 - 로그온 이벤트 감사 - 성공 체크 후 확인 : 로그인 기록 확인 가능
3) 로그온 로그 바로 아래 있는 Kerberos 서비스 티켓 작업 보면 로그온 ip 도 확인할 수 있다.
4) 로그 파일 확인 : 시작 - 관리 도구 - 이벤트 뷰어 - Windows 로그 - 보안
5) 로그 검색 시 Ctrl+F 눌러 찾을 수 있다.
6) 각 시스템별 로그 기록은 중앙으로 모이지 않고 각 시스템 로그에 남는다.
'Study > WinServer' 카테고리의 다른 글
[19] GNS 이용한 통신 설정 (0) | 2015.04.09 |
---|---|
[17] 원격 server 로그 보기, DHCP 릴레이 실전 문제 (0) | 2015.04.09 |
[15] DHCP 릴레이 에이전트 (0) | 2015.04.09 |
[14] DHCP server, DHCP dual server (0) | 2015.04.09 |
[13] Active Directory - 계정 관리, 그룹 정책 관리 (0) | 2015.04.09 |
- 2015.01.23
1. DHCP 릴레이 에이전트
DHCP 서버 장애 시 서브 DHCP 서버로 그 역할을 넘기는 기능이다.
[역할 추가]
서버관리자 - 역할 - 역할 추가 - 네트워크 정책 및 액세스 서비스 체크 - 라우팅 및 원격 액세스 서비스 체크 - 설치
시작 - 관리도구 - 라우팅 및 원격 액세스 - SERVER1 우클릭 - 라우팅 및 원격 액세스 구성 및 사용 - 사용자 지정 구성
- LAN 라우팅 - 마침 - 서비스 시작
=> SERVER1 왼쪽 그림에 초록 위 화살표 생김 : 정상적으로 활성화 됨
SERVER1 - IPv4 - 일반 우클릭 - 새 라우팅 프로토콜 - DHCP 릴레이 에이전트
- DHCP 릴레이 에이전트 우클릭 - 새 인터페이스 - 릴레이 시킬 인터페이스 선택
- 홉 수 임게값 : 서버와 서버 사이의 네트워크 장치 개수. ex) S1 - SW - SW - S2 인 경우 홉은 3
- 부팅 임계값 : 내 DHCP 서버가 정상 작동하는지 기다릴 시간
- DHCP 릴레이 에이전트 우클릭 - 속성 - 넘겨줄 대상 서버의 IP 입력
[DHCP 릴레이 에이전트 문제]
[Tip]
1) DHCP 릴레이 에이전트의 새 인터페이스는 DHCP가 돌아가는 인터페이스를 지정
2) DHCP 릴레이 에이전트 속성에서 적을 IP는 100.100.100.120 이다.
3) DHCP 서버의 고장은 DHCP 비활성화로 구현한다.
4) Server1 에서 DHCP 릴레이 에이전트의 서비스를 중지 해도 Server2 에서 DHCP를 받아온다.
=> Client1 에서 DIscovery 메세지를 Broadcast 로 날리기 때문이다. 즉 이 문제는 불완전한 문제.
[진짜 DHCP 릴레이 에이전트 문제]
GNS3 - VMware 연동하여 진행
In GNS3
클라우드 - 라우터 - 클라우드
l l
VM1 VM4
클라우드 우클릭 - 설정 에서 VMware 아답타를 선택하여 진행
'Study > WinServer' 카테고리의 다른 글
[17] 원격 server 로그 보기, DHCP 릴레이 실전 문제 (0) | 2015.04.09 |
---|---|
[16] Dual DHCP server, 감사정책 with AD 문제 (0) | 2015.04.09 |
[14] DHCP server, DHCP dual server (0) | 2015.04.09 |
[13] Active Directory - 계정 관리, 그룹 정책 관리 (0) | 2015.04.09 |
[12] DNS 복습, Active Directory 설치 및 사용자, 그룹 추가 (0) | 2015.04.09 |
- 2015.1.22
1. DHCP server
[DHCP 설명]
TCP/IP 자동 설정
사용자 컴퓨터의 IP 주소가 자동으로 설정된다.
정확한 네트워크 구성이 보장된다.
사용자 컴퓨터의 네트워크 구성 정보가 자동으로 업데이트 된다.
네트워크 상에서 발생할 수 있는 일반적인 문제들이 제거된다.
TCP/IP 수동 설정
IP 주소를 사용자가 직접 지정
IP 주소를 잘 못 입력할 수 있다.
잘못된 네트워크 구성은 네트워크 통신의 문제를 일으킨다.
컴퓨터를 자주 이동시킬 경우 관리 작업의 부하를 가져온다.
[DHCP 임대 생성 과정]
1) Discover
DHCP 서버를 찾는 패킷을 Broadcast 함. 클라이언트는 서버에 대한 정보를 모른다.
=> 아무나 정상적인 서버라 속일 수 있다. (DHCP Snoofing)
2) Offer
Discover 메시지를 받은 DHCP 서버가 IP Address 정보를 담고 있는 패킷을 Broadcast 함. 여러 서버가 클라이언트에게 Offer 신호를 보냈다면 클라이언트는 선착순으로 먼저 온 신호를 채택해서 사용한다.
3) Request
DHCP 클라이언트는 임대 받은 IP Address로 임대 해 준 서버의 IP Address를 담은 패킷을 Broadcast 함.
4) Ack
자신이 보낸 IP Address가 채택되지 않은 서비스는 해당 주소를 IP Database에 유지하고, 자신이 보낸 IP Address가 채택 된 서비스는 IP 임대기간, DNS, Default Gateway 등의 DHCP 옵션 값을 담은 패킷을 Broadcast 함.
IP Address 임대 받지 못하면 APIPA(Automatic Private IP Address)가 진행되며,
169.254.0.0 대역대의 주소 중 하나를 선택하여 자신의 IP Address로 설정
[DHCP 임대 갱신]
DHCP로 맨 처음 IP를 받아오면 특정 시간 만큼 임대를 받는다.
임대기간 1/2 시점에 자신이 쓰던 IP로 DHCP 갱신 요청을 보내 DHCP 갱신을 한다.
DHCP 갱신 요청이 실패되면 임대 시간 7/8 지점에서 DHCP 작업을 처음부터 다시 한다.
만약 DHCP server가 2개 이상 경우, DHCP의 Offer 메세지가 빨리 도착한 것을 이용한다.
=> 공격자 server 가 Offer 패킷을 계속 보내는 공격을 할 수 있다.
PC는 평소에 ㅇㅇㅇㅇㅇ 임대갱신 신호를 보내면 해당 패킷을 받아 공격자 server가 주는 ip를 받는다.
Active Directory 인증 절차를 이용하면 Active Directory 에 인증 된 DHCP server 만 PC에 패킷을 보낼 수 있다.
[DHCP 기능 추가]
서버 관리자 - 역할 - 역할 추가 - DHCP 서버 체크
- 네트워크 연결 바인딩 선택 에 IP 체크 (DHCP 신호를 주고 받을 네트워크 주소)
- 기본 셋팅으로 진행 - DHCPv6 사용 안함 체크 - 설치
[DHCP 설정]
시작 - 관리도구 - DHCP - server1
IPv4 우클릭 - 새 범위 - 이름 지정
- 시작 IP 주소 및 끝 IP 주소 입력 - 기타 다른 설정은 하지 말고 다음 눌러 설정 마침
- 새로 만들어진 범위를 보면 아래 화살표가 되어있다. -> 비활성화라는 뜻. 우클릭 해서 활성화
주소 임대
임대 된 DHCP들의 정보를 확인할 수 있다.
범위 옵션
라우터 : 기본 Gateway 주소
DNS 서버 : DNS 서버를 지정해준다. 추가 시 DNS 서비스가 서비스 중인지 유효성검사를 한다.
필터 - 허용
허용 필터에 허용할 MAC 주소 입력하면 된다. -> 활성화 필요
허용 필터를 사용하게 되면 해당 MAC 주소 외에는 DHCP 사용이 불가하다.
=> 인가된 PC만 사용 가능하도록 할 수 있음.
허용 필터를 사용하게 된다면 구지 거부 필터를 사용할 필요가 없다.
[DHCP 문제]
# Server1에 DHCP 역할 추가
- IP Address Pool : 200.200.200.200 ~ 200.200.200.250/24
제외 주소 : 200.200.200.201
- 옵션 : DNS Server IP 200.200.200.50
게이트 웨이 200.200.200.254
- 예약 주소 : Server2 예약 200.200.200.249
====================================
확인 방법 :
Server2 에서 DHCP 사용 설정 후 IP 200.200.200.249로 받아오면 성공
Client1 에서 DHCP 사용 설정 후 확인
- IP 200.200.200.200
- 게이트웨이 200.200.200.254
- DNS 주소 200.200.200.50
[Tip]
1) cmd 창에서 복사 : 우클릭 - 표시 누른 뒤 드래그 하면 자동으로 클립보드에 복사 됨
2) 예약 구성을 하는 경우, 추가 옵션을 따로 지정해줄 수 있다.
3) 예약 구성 시 실제 그 주소를 받아 갔는지 알 수 없으며 ip 주소가 충돌될 수도 있다.
2. DHCP dual server 구축
랜카드 1개를 더 붙인다.
시작 - DHCP - server1 우클릭 - 바인딩 추가/제거 - 추가된 네트워크 카드 체크
새로운 범위 추가해서 진행하면 됨
[DHCP dual server 문제]
1. Server1에서 네트워크 인터페이스 하나 추가
- 네트워크 어댑터 이름 변경
# 로컬 영역 연결 -> 경영팀
# 로컬 영역 연결 -> 기술팀
2. Server1에서 DHCP 역할 추가
- 경영팀 망으로 DHCP 설정
# IP Address : 100.100.100.10~30
# 게이트 웨이 : 100.100.100.254
# DNS 서버 : 100.100.100.200
- 기술팀 망으로 DHCP 설정
# IP Address : 200.200.200.10~30
# 게이트 웨이 : 200.200.200.254
# DNS 서버 : 200.200.200.200
3. Server2 에서 경영팀 망으로 DHCP 정보 할당
4. Client1 에서 기술팀 망으로 DHCP 정보 할당
[Tip]
1) Edit - Virtual Network Editor - Use local DHCP service to distribute IP address to VMs 체크
2) 기존 실습에서 허용해놨던 필터 비활성
3) 범위 추가 후 범위 활성화
4) 새로 추가한 랜카드에 해당 대역대의 고정 ip 입력 후 바인딩 추가/제거 설정
'Study > WinServer' 카테고리의 다른 글
[16] Dual DHCP server, 감사정책 with AD 문제 (0) | 2015.04.09 |
---|---|
[15] DHCP 릴레이 에이전트 (0) | 2015.04.09 |
[13] Active Directory - 계정 관리, 그룹 정책 관리 (0) | 2015.04.09 |
[12] DNS 복습, Active Directory 설치 및 사용자, 그룹 추가 (0) | 2015.04.09 |
[11] 중간 복습 - 디스크 관리, 배치파일 (0) | 2015.04.09 |
- 2015-01-21
1. Active directory 계정 관리
[Tip]
Local PC 의 DNS cache table 날리는 명령어 : ipconfig /flushdns
[계정 및 PC 사용 중지]
Users - 사용자 우클릭 - 계정 사용 안함 -> 사람 그림에 아래 화살표 생김
Computers - PC 우클릭 - 계정 사용 안함 -> PC 그림에 아래 화살표 생김
[계정 설정]
계정 우클릭 - 속성 - 계정
계정 만료일 설정 : 계정 만료 - 다음 날짜까지 사용
로그온 가능 시간 설정 : 로그온 시간 - 블럭 잡아 설정
로그온 가능한 PC 설정 : 로그온 대상 - Computers 에 나오는 PC 이름 추가
[ 액티브 디렉토리 도메인 서비스 문제 ]
1. Server1에 AD 도메인 서비스 역할 추가
- dcpromo 실행하여 설치 진행
- 도메인은 samadal.com
- DNS 서버 같이 설치
2. Server1에 samadal라는 그룹 생성(구성원 : test1, test2)
3. Server1에 test1, test2 이라는 사용자 추가
4. Client1과 Server2 itbnak.com 이라는 도메인 합류 후
5. 로컬 로그인과 도메인 로그인 두가지 방법으로 로그인 시도
6. Server1에서 서버관리자에서 Server2 로그인 못 하게 차단
7. Server2에서 도메인 로그인 다시 시도시 차단 되면 성공
8. AD DS Server에서 test2 계정 로그온 불가능 시간을
수요일 전체로 설정
9. clinet1에서 test2 계정 로그인 시도시 차단 되면 성공
[AD DS 사용자 계정 관리 문제]
1. Server1에 AD DS 설치 (dcpromo)
- 포리스트 도메인 : samadal.com
- DNS 설치
2. Server2, Client1에서 samadal.com 이라는 도메인에 합류
3. AD DS 서버에서 계정 생성(test1, test2)
- test1 계정 : Server2에만 로그인 가능
- test2 계정 : client1에만 로그인 가능
=================
설정 적용 됐는지 확인 후 다음 진행
=================
4. AD DS 서버에서 Server2 컴퓨터로 로그인 불가능 하게 차단
==================
Server2에서 AD User로 로그인 시도시 차단 되면 성공
2. Active Directory 그룹 정책 관리
시작 - 관리 도구 - 그룹 정책 관리 - samadal.com - Default Domain Policy 우클릭 - 편집
(만약 Default Domain Policy 가 안들어가진다면 권한이 없는 것, Administrator 로 실행할 것)
컴퓨터 구성 - 정책 - Windows 설정 - 원하는 정책 우클릭 - 속성 - 이 정책 설정 정의 체크
설정한 뒤 그룹 정책 관리 편집기를 닫고 Default Domain Policy 우클릭 - 적용
계정 정책은 5분마다 적용이 되지만, 명령어로도 바로 적용 가능하다. : gpupdate /force
[AD DS 그룹 정책 관리 문제]
1. Server1에서 그룹 정책 관리에서 정책 설정
# 암호 정책
- 암호는 복잡성을 만족해야 함 : 사용
- 최근 암호 기억 : 0개 암호 기억됨
- 최대 암호 사용 기간 : 7일
- 최소 암호 길이 : 10 문자
- 최소 암호 사용 기간 : 0일
- 해독 가능한 암호화를 사용하여 암호 저장 : 사용 안 함
#계정 잠금 정책
- 계정 잠금 임계값 1번의 잘못된 로그온
- 계정 잠금 기간 : 30분
- 다음 시간 후 계정 잠금 수를 원래대로 설정 : 30분
# 시스템 종료 권한 설정
- test1 계정만 사용
# 시간변경 권한 설정
- test2 계정만 사용
[Tip]
1) 암호 정책 : 컴퓨터 구성 - 정책 - Windows 설정 - 보안 설정 - 계정 정책
2) 계정 잠금 정책 : 컴퓨터 구성 - 정책 - Windows 설정 - 보안 설정 - 계정 정책
3) 시스템 종료 권한 : 컴퓨터 구성 - 정책 - Windows 설정 - 보안 설정 - 로컬 정책 - 사용자 권한 할당
4) 시스템 시간 변경 : 컴퓨터 구성 - 정책 - Windows 설정 - 보안 설정 - 로컬 정책 - 사용자 권한 할당
'Study > WinServer' 카테고리의 다른 글
[15] DHCP 릴레이 에이전트 (0) | 2015.04.09 |
---|---|
[14] DHCP server, DHCP dual server (0) | 2015.04.09 |
[12] DNS 복습, Active Directory 설치 및 사용자, 그룹 추가 (0) | 2015.04.09 |
[11] 중간 복습 - 디스크 관리, 배치파일 (0) | 2015.04.09 |
[10] 감사 정책 (로그온, 개체 액세스 감사), 권한 상속 (0) | 2015.04.09 |
- 2015.01.20
1. DNS 복습
[초기]
SIR-NIC라는 컴퓨터가 hosts.txt 파일을 가지고 있었다.
hosts.txt에는 모든 컴퓨터의 host name 과 ip address 정보가 저장됨.
Client는 FTP를 이용해 SRI-NIC에 접근하여 hosts.txt 파일을 다운로드.
[초기의 문제점]
hosts.txt 의 내용이 많을 수록 용량이 커져 업데이트가 늦고 네트워크 트래픽이 증가.
이름 중복으로 인한 호스트 이름 생성이 어려움.
=> 호스트 이름에 계층구조를 사용하여 분산된 데이터베이스 이용 : Domain Name System
[도메인 네임 스페이스]
Road Balancing을 위하여 분산화 된 데이터베이스를 만들었다.
[DNS 레코드의 종류]
SOA (Start of Authority) : DNS zone의 기본 이름 식별 ex) naver.com - ip 정보 x
A (Host Record) : 호스트 이름이 정의된 주 영역
ex) www - 10.10.10.10 => www.naver.com
itbank - 20.20.20.20 => itbank.naver.com
CNAME (Alias Record) : 별칭 ex) banana (= itbank) => itbank.naver.com - 20.20.20.20
헌데 모두 A record로 등록하면 될 것을 CNAME을 구지 사용할까?
=> Server의 IP가 바뀔 때의 사용(수정)의 편의성
MX (Mail Exchange Record) : E-mail 서버에서 이용, E-mail 주소 송수신 시 사용되는 도메인에 대한 ip 정보
[Root HInts]
DNS 루트 서버의 IP 주소를 포함하고 있는 파일
Root Server는 전 세게적으로 13개가 있다. (10개 : 미국, 2개 : 유럽, 1개 : 아시아)
[전달자]
외부 DNS 이름에 대한 DNS 쿼리를 외부 DNS 서버에 전달.
즉, 내가 구축한 DNS 서버가 모를 때 질의하는 외부 DNS 서버
실무에서 많이 사용하진 않음
[조건부 전달자]
도메인 이름에 따라 쿼리를 전달
미리 지정한 특정 도메인에 대한 DNS 쿼리를 매핑시킨다.
내부망의 IP 주소를 보호하기 위해 구축하는 경우가 있음.
[실제 DNS 정보 질의]
ex) www.kanziw.com 질의
1) Client PC 의 hosts.txt 참조. 없으면
2) DNS 서버에 질의 -> DNS 서버의 hosts.txt 참조. 없으면
3) Root Server에 .com Server IP 질의
4) .com Server에 kanziw.com Server IP 질의
5) kanziw.com Server에 www.kanziw.com IP 질의
6) DNS Server가 알아낸 최종 IP를 Client PC에 전달
[DNS 질의 순서]
1) 기본 DNS
2) 전달자, 없으면 Root Hint 를 거쳐 질의
3) 보조 DNS
4) 보조 DNS 의 전달자
2. Active Directory
사내에서 보안정책, 사용자, 그룹을 관리하기 편하다.
1번의 계정 추가, 수정, 삭제 작업이 적용된다.
[Active Directory 설치]
▷ Server1 PC
서버 관리자 - 역할 추가 - Active Directory 도메인 서비스 - 필요 역할 추가 - 설치
시작 - dcpromo 검색(Active Directory 도메인 서비스 설치 마법사) - 고급 모드 사용 - 새 포리스트에 새 도메인 만들기
- 포리스트 루트 도메인의 FQDN 입력 (ex. samadal.com) - 다음 - 포리스트 기능 수준 (2008 R2) - DNS 서버 체크
- Directory 서비스 복원 모드 암호 설정 - 요약 정보 확인 해보고 다음 - 완료시 다시 시작 체크
서버관리자 - 역할 - DNS 서버에 보면 내가 만든 samadal.com 에 대한 DNS를 만들어져 있는 것을 확인할 수 있다.
이 때 ipv6 에 대한 DNS 정보는 삭제해도 된다.
[Active Directory Join]
▷ Client1 PC
Client1 PC 의 DNS를 AD 서버의 ip로 입력한다.
cmd 에서 nslookup 으로 samadal.com을 입력하면 AD 서버를 보여준다.
시작 - 컴퓨터 우클릭 - 속성 - 우측 하단의 설정변경 - 변경 - 도메인을 samadal.com 으로 변경 ( => Join 작업)
- server1의 관리자 정보 입력 - 재시작
▷ Server1 PC
도메인에서 사용할 계정 생성
서버관리자 - 역할 - Active Directory 도메인 서비스 - Active Directory 사용자 및 컴퓨터 - samadal.com - Users
- 우클릭 - 새로 만들기 - 사용자 - 성, 이름, 이니셜, 로그온 이름(ID) 입력 - 다음 - 암호 설정 - 비밀번호 변경 체크 해제
▷ Client1 PC
사용자 전환 - ID@samadal.com 및 비밀번호 입력하여 로그인 (samadalID 로도 로그인 가능)
▷ Server2 PC
Client1 PC 와 마찬가지로 Join 후 로그인
[Local 계정으로의 전환]
ex) server2 의 계정
로그인 시 계정 명에 server2administrator 으로 진행
[Tip]
1) AD 에서 각 계정의 홈 디렉터리는 각각 PC에 저장된다.
2) AD 관리 메뉴(서버관리자 - Active Directory 도메인)에 들어가면 Computers 안에 Join 된 PC를 확인할 수 있다.
만약 컴퓨터를 삭제 하면 쫒아낼 수 있지만 재 가입이 안되며, 계정 사용 안 함을 이용하여 일시 정지 할 수 있다.
[ 액티브 디렉토리 도메인 서비스 문제]
1. Server1에 AD 도메인 서비스 역할 추가
- dcpromo 실행하여 설치 진행
- 도메인은 itbank.com
- DNS 서버 같이 설치
2. Server1에 itbank라는 그룹 생성(구성원 : test1)
3. Server1에 test1 이라는 사용자 추가
4. Client1과 Server2 itbnak.com 이라는 도메인 합류 후
5. 로컬 로그인과 도메인 로그인 두가지 방법으로 로그인 시도
6. Server1에서 서버관리자에서 Server2 도메인 합류 제거
7. Server2에서 도메인 로그인 다시 시도
'Study > WinServer' 카테고리의 다른 글
[14] DHCP server, DHCP dual server (0) | 2015.04.09 |
---|---|
[13] Active Directory - 계정 관리, 그룹 정책 관리 (0) | 2015.04.09 |
[11] 중간 복습 - 디스크 관리, 배치파일 (0) | 2015.04.09 |
[10] 감사 정책 (로그온, 개체 액세스 감사), 권한 상속 (0) | 2015.04.09 |
[09] 보안 정책, 계정 정책 - 암호정책, 보안 정책 Migration, 환경 변수 (0) | 2015.04.09 |
- 2015.01.19
중간 복습
1. 디스크 관리 복습
[디스크 관리 도구 실행]
시작 - 실행 - diskmgmt.msc
시작 - 실행 - compmgmt.msc(컴퓨터 관리) - 저장소 - 디스크 관리
시작 - 실행 - cmd - diskpart
서버 관리자
디스크 유형 : 기본 디스크 vs 동적 디스크
[기본디스크]
파티션 : 물리적 디스크를 분리해 놓은 것 (기본디스크에만 존재하는 개념)
주 파티션 : 부팅 가능
확장 파티션 : 논리 드라이브로 나누기 위해 존재, 최대 1개 존재
논리 파티션 : 확장 파티션 안에서 무제한으로 생성 가능
MBR vs GPT
주 파티션 개수 : 4개 / 무제한(windows 128개)
최대 크기 (총) : 2 TB / 9.4 ZB
MBR ->GPT 변경 방법
select disk
convert gpt
실제로 가상머신에 8000 GB HDD 추가 뒤 MBR로 잡아보면 2048 GB 까지밖에 사용 못한다.
해당 파티션 비활성화 후 시작 - 실행 - cmd - diskpart - list disk 로 8000 GB Hdd 번호 확인
select disk ? - convert gpt 하면 GPT로 타입을 바꿀 수 있다.
& GPT는 확장파티션 및 논리파티션이 존재하지 않는다.
[Tip]
1) diskpart - select disk ? - clean 하면 해당 disk가 초기화된다.
[디스크 관리 문제 1]
(DiskPart 명령어 사용 금지)
1. Server1에 1G 하드디스크 4개 추가
2. Disk 1번에 주파티션 4개 생성
=> GUI 환경으로는 1개의 disk에 주파티션 4개를 생성하지 못한다.
[디스크 관리 문제 2]
(diskpart 사용)
기본 디스크 - MBR 형식으로 초기화
1. 주 파티션 1개
- 문자 경로 : X
- 레이블 : itbank
- 용량 : 100M
2. 확장 파티션 생성
3. 논리 드라이브 4개 생성
- 각 100M
- 문자 경로 : 원하시는 것
- 레이블 : 원하시는 것 사용하시고 마지막 논리 드라이브
에는 한글로 여러분의 이름 생성
create partition primary size=100
format fs=ntfs label="itbank"
create partition extended
create partition logical size=100
create partition logical size=100
create partition logical size=100
create partition logical size=100
select partition 2
format fs=ntfs label="1"
assign letter=I
select partition 3
format fs=ntfs label="2"
assign letter=J
select partition 4
format fs=ntfs label="3"
assign letter=K
select partition 5
format fs=ntfs label="한글" quick compress
assign letter=L
[동적 디스크]
파티션 대신 볼륨으로 구분
여러 개의 물리적 디스크를 하나의 논리 디스크로 구성 가능
볼륨 수에 제한이 없다.
디스크에 오류 발생 시 복구를 지원하는 디스크 구조를 만들 수 있다. (Raid-1, Raid-5 등)
단순 볼륨 : 기본디스크의 주 파티션과 같은 역할. (= 주 파티션)
[스팬볼륨]
디스크는 2개 이상 필요하며, 최대 32개까지 생성 가능
디스크가 2개(disk 0, disk1) 있을 때, 0번 디스크가 꽉 차면 1의 디스크를 사용.
이 때, disk 0 과 disk 1 의 속도가 각각 100이면 스팬볼륨의 속도는 100 이다.
만약 disk 0 의 속도가 100, disk 1 의 속도가 150 이면 스팬볼륨이 속도는 100~150 이다.
스팬볼륨의 용량은 각 디스크의 용량의 합이다.
내결함성을 갖지 않는다. (데이터 손상 시 복구 불가)
[스트라이프 볼륨(Raid-0)]
디스크는 2개 이상 필요하며, 최대 32개까지 생성 가능
디스크가 2개(disk 0, disk1) 있을 때, 0번 디스크와 1번 디스크를 동시에 사용한다.
즉, disk 0 과 disk 1 의 속도가 각각 100일때, 스트라이프 볼륨의 속도는 200이며
스트라이프 볼륨의 용량은 각 디스크 용량의 합이다.
내결함성을 갖지 않는다. - 1개의 디스크만 문제가 생겨도 다른 디스크를 사용하지 못한다.
안정성은 떨어지지만 성능은 가장 좋다.
[디스크 관리 문제 3]
1. 1번 디스크에 단순 볼륨 7개 생성되는지 확인
(단순 볼륨은 무제한 적으로 생성 가능)
disk list
select disk 1
convert dynamic
create volume simple size=100
create volume simple size=100
create volume simple size=100
create volume simple size=100
create volume simple size=100
create volume simple size=100
create volume simple size=100
[디스크 관리 문제 4]
(스팬 볼륨)
1. 스팬 볼륨으로 1번 디스크와 3번 디스크 묶기
- 1번 디스크에서 300M 사용 2번 디스크에서 100M 사용
- 디스크 문자 할당 : Y
- 레이블 : itbank
select disk 1
convert dynamic
create volume simple size=300
select disk 3
convert dynamic
list volume
select volume 2
extend size=100 disk=3
format fs=ntfs label="itbank"
assign letter=Y
[미러볼륨 (Raid-1)]
동적 디스크 2개로 구성
기존의 단순 볼륨을 미러링
동일한 복사본 2개를 만들어 중복성 제공 (내결함성, , 복구율은: 99%)
확장 및 축소 불가능
속도는 느린 디스크의 속도를 따라감
용량은 1개 디스크의 용량 만큼만 사용 가능 (고비용)
디스크 손상 발생 시 디스크 관리메뉴에서 우클릭 하면 복구 버튼이 활성화된다.
[Raid-5]
디스크는 3개 이상 필요하며, 최대 32개까지 생성 가능
추가 디스크 하나의 비용만으로 내결함성을 제공
오류 검사를 위하여 parity bit를 사용, 복구율은 2/3 정도 된다.
확장 및 축소 불가능
용량은 전체 용량의 2/3 정도 사용 가능
=> 하지만 내가 확인한 결과로는 n-1/n 만큼의 용량 사용 가능하다. 복구율은 잘 모르겠다.
[디스크 관리 문제 5]
(스트라이프 볼륨)
1. 디스크 1~4 초기화(clean)
2. 디스크 1, 3 스트라이프 볼륨으로 각 300M 씩 묶기
- 문자 할당 : F
- 레이블 : samadal
생성 된 드라이브가 용량을 얼마나 사용 가능한지 확인
select disk 1
convert dynamic
select disk 3
convert dynamic
select disk 1
create volume stripe size=300 disk=1,3
format fs=ntfs label="samadal"
assign letter=F
[디스크 관리 문제 6]
(미러 볼륨)
1. 디스크 1~4 초기화(clean)
2. 디스크 1, 3 미러 볼륨으로 묶기
- 각 용량 100M
- 볼륨 레이블 : raid1
- 문자 할당 : X
3. 디스크 1, 3 스트라이프 볼륨으로 묶기
- 각 용량 100M
- 볼륨 레이블 : Radi0
- 문자 할당 : Y
select disk 1
convert dynamic
select disk 3
convert dynamic
select disk 1
create volume mirror size=100 disk=1,3
format fs=ntfs label="raid1"
assign letter=X
select disk 1
create volume stripe size=100 disk=1,3
format fs=ntfs label="raid0"
assign letter=Y
2. 배치파일 복습
* echo : 뒤에 오는 문자열을 출력
* 환경변수 : 시작 - 환경변수 검색
- 계정의 환경 변수 편집 : 계정마다 환경 변수 설정
- 시스템 환경 변수 편집 : 시스템 전체에서 사용하는 환경 변수 설정
[환경 변수 만들기]
시작 - 환경 변수 검색 - 시스템 환경 변수 편집 - 환경 변수 - 새로 만들기
[환경 변수의 활용]
만든 환경 변수는 %이름% 으로 사용 가능.
[Tip]
1) 적용된 환경 변수를 사용하려면 cmd 창을 재시작 해야한다.
2) 시작 - 실행 에서도 환경 변수 사용 가능.
[실습]
@echo off // 명령어 숨기기
echo [ %date% / %time% ]
pause // pause 뒤에 추가 명령어 진행 가능
@echo on // 명령어 다시 나타내기
echo 안녕하세요
pause
echo [ %date% / %time% ] > kanziw.txt // kanziw.txt 로 덮어쓰기, 상대경로로 저장
echo [ %date% / %time% ] >> kanziw.txt // kanziw.txt 에 덧붙이기
[환경변수 및 배치파일 문제]
1. 배치파일을 이용해 바탕화면에 여러분성함.log파일을
생성하는데 경로를 지정할 때 3글자까지만 사용하여 저장
2. 실행창에서 환경변수를 사용하여 C 드라이브에 있는
itbank.bat을 실행
3. itbank.bat을 만들어 봤는데 실행에 itbank라고 치고
실행 눌렀을 경우 itbank.bat가 실행 될 수 있게 만들기
[Tip]
1) 환경변수에 jjw를 바탕화면 경로로 연결한 뒤
echo [ %date% / %time% ] > %jjw%정지웅.log
2) 환경변수 jjw2 를 C:\itbank.bat 로 한 뒤 %jjw2% 실행
3) C:\system32 폴더 안에 itbank.bat 파일 복사
4) 실행 창에 itbank만 쳐도 실행이 되는 이유는 시스템 변수 중 PATHEXT 안에 .bat 가 포함되어 있기 때문이다.
'Study > WinServer' 카테고리의 다른 글
[13] Active Directory - 계정 관리, 그룹 정책 관리 (0) | 2015.04.09 |
---|---|
[12] DNS 복습, Active Directory 설치 및 사용자, 그룹 추가 (0) | 2015.04.09 |
[10] 감사 정책 (로그온, 개체 액세스 감사), 권한 상속 (0) | 2015.04.09 |
[09] 보안 정책, 계정 정책 - 암호정책, 보안 정책 Migration, 환경 변수 (0) | 2015.04.09 |
[08] 알ftp로 ftp 서버 구축, 파일 차단 관리 (0) | 2015.04.09 |
- 2015.01.16
Tip) 계정이 잠겼을 때 즉시 푸는 방법
사용자 정보 오른쪽 - 속성 - 계정 잠겨 있음 체크 풀기
1. 감사 정책
감사 : 사용자의 흔적 또는 운영 체제가 사용한느 것을 확인하고 보안 로그에 비록하는 것.
- 어떠한 일이 발생했는가?
- 누가 했는가?
- 언제 했는가?
- 결과가 어떻게 되었는가?
감사 정책에는 크게 2가지가 있다. : 성공, 실패
[감사 정책 설정]
시작 - 관리 도구 - 로컬 보안 저책 - 로컬 정책 - 감사 정책
개체 액세스 감사 : 파일이나 폴더 액세스에 대한 감사
계정 로그온 이벤트 감사 : 계정의 자격 증명을 확인할 때마다 감사
로그온 이벤트 감사 : 로그온 또는 로그오프 인스턴트를 감사
성공, 실패 모두 체크 : 사용자의 로그온 성공, 실패에 대한 감사 진행
[감사 결과 확인]
시작 - 관리도구 - 이벤트 뷰어 - Windows 로그 - 보안 - 로그온 성공/실패 에 대한 기록 확인 가능
=> 시스템의 시간을 아무나 바꿀 수 없도록 해야 하는 이유
우측 메뉴 중 현재 로그 필터링 기능을 이용하여 원하는 작업번호만 확인 가능하다.
우측 메뉴 중 속성 에서 로그에 대한 세부 설정이 가능하다.
최대 로그 크기를 지정 가능 - 1달간의 로그 용량을 기준으로 회사 기준에 맞게 용량을 책정한다.
로그 기록에 대한 파일 설정 가능 (업데이트, 로그 기록 중지, 새 로그 파일 기록)
=> 시스템 관리자는 로그 기록을 통해 파일의 생성, 삭제, 이동 등에 대한 로그 기록을 남기도록 설정해야한다.
[감사 정책-로그온 이벤트 감사 문제]
1. 로그온 이벤트 감사 설정
- 성공 체크
- 실패 체크
2. 사용자 계정을 test1으로 생성 후 로그온 실패 후
이벤트 뷰어에서 보안 로그 확인
3. test1이라는 계정으로 로그인 성공 후 이벤트 뷰어에서
보안 로그 확인
[Tip]
1) 로그인 실패 감사 작업번호 : 4625
2) 로그인 성공 감사 작업번호 : 4624
[감사 정책-개체 액세스 감사 문제]
브릿지 설정 후 진행하세요.
1. Server1에 test1~5 계정 생성 후 패스워드
전부 P@ssw0rd 설정
2. itbank라는 그룹 생성 후 test1~5 계정 소속
3. Server1에 C:\에 본인 이름으로 폴더 생성 후
폴더 공유(itbank 그룹 모든 권한)
4. 본인이름 디렉토리에 itbank 그룹 삭제 성공 감사 적용
5. 본인이름 디렉토리에 본인이름1~5 텍스트 파일 생성
==========================
제가 삭제한 파일이 뭔지 이벤트 뷰어에서 확인 후 말씀
[Tip]
1) 감사정책 - 개체 액세스 감사 정책 설정
2) 공유폴더 지정 이후에 폴더 속성 - 보안 - 고급 - 감사 에서 지정
3) 이벤트 뷰어로 계정 이름, 원본 주소, DELETE 사항 확인 / 작업번호 : 4656, 4660
4) 폴더 속성에서 감사 설정할 때에 지정한 사용자 및 계정의 액세스만 감사 기록 남김
2. 권한 상속
상위 디렉터리의 권한을 하위 디렉터리로 권한 상속을 진행할 수 있다.
만약 test1의 계정이 읽기 권한 밖에 없는 경우, 하위 디렉터리에도 역시 그 권한이 적용된다.
[Tip]
윈도우의 기본 값으로 C:\ 에 대한 권한 설정이 되어 있다.
기본적으로 Administrator는 C:\ 에 대한 모든 권한이 있지만 일반 Users 는 C: 에는 읽기 권한밖에 없다.
[실습]
1) 바탕화면에 1 폴더 생성 => 1 폴더는 바탕화면의 권한과 같음
2) 1 폴더 속성 - 보안 - 고급 - 사용 권한 - 이 개체의 부모로부터 상속 가능한 사용 권한 포함 체크 해제
(부모 : 바로 상위 폴더)
3) 추가 사용 권한 계정 생성 후 1 폴더 하위 폴더에 2 폴더 생성 => 1 폴더와 같은 권한으로 2 폴더 생성됨
4) 허용 / 거부 권한이 부딪혔을 때 거부 권한이 이긴다.
'Study > WinServer' 카테고리의 다른 글
[12] DNS 복습, Active Directory 설치 및 사용자, 그룹 추가 (0) | 2015.04.09 |
---|---|
[11] 중간 복습 - 디스크 관리, 배치파일 (0) | 2015.04.09 |
[09] 보안 정책, 계정 정책 - 암호정책, 보안 정책 Migration, 환경 변수 (0) | 2015.04.09 |
[08] 알ftp로 ftp 서버 구축, 파일 차단 관리 (0) | 2015.04.09 |
[07] 공유폴더 권한, 파일 서비스 - 할당량 (0) | 2015.04.07 |
- 2015.01.15
1. 보안 정책
사용 권한(User Right) : 사용자, 그룹 또는 컴퓨터가 시스템에 접근할 수 있는 권한
ex) 시간 변경, Windows 종료 등
[설정 방법]
시작 - 관리도구 - 로컬 보안 정책 - 로컬 사용자 권한 할당
[Tip]
1) 권한은 Log-in 시 받아오기 때문에 권한 설정 후 해당 계정의 Log-off 가 반드시 필요하다.
2) Administrators 는 권한에서 삭제하여도 강제로 집행 가능하다. => lab에서 실습 해보니 안된다(?)
[사용자 권한 할당 문제]
# 계정 생성
점검부 그룹 : test1, test2
감사부 그룹 : test3, test4
시간관리부 그룹 : test5
1. 감사 및 보안 로그 관리 권한 설정
- 기존에 있던 모든 계정 및 그룹 제거 -->관리도구 이벤트 뷰어 에서 Security가 제대로 보이면 성공.
- 감사부 그룹만 권한 할당
2. 시스템 종료 권한 설정 --> 권한 변경후 시스템 껐다켜야 적용된다.
- 기존에 있던 모든 계정 및 그룹 제거
- 점검부 그룹만 권한 할당
3. 시간변경을 시간관리부만 가능하게 권한 설정
--> 방패모양 : 권한이필요하다는 의미
[Tip]
1) 사용자 계정 추가 시 비밀번호 입력하지 않아도 계정 생성 가능
2) 보안 설정 - 계정 정책 - 암호 정책 에서 복잡성 만족 해제 가능
2. 계정정책
[계정 정책 - 암호 정책]
최대 암호 사용 기간 : 지정한 날이 지나면 비밀번호를 바꿔야 한다.
최소 암호 사용 기간 : 비밀번호를 바꾸면 지정한 날짜 만큼은 바꾸지 못한다.
최소 암호 길이 : 지정한 길이 이상의 패스워드 사용
복잡성 : 소문자 + 대문자 + 특수문자 + 숫자 조합
해독 가능한 암호화를 사용하여 암호 저장 : 사용 하면 시스템 어딘가에 비밀번호가 그대로 저장된다.
비밀번호 입력 - 저장 된 암호를 복호화 하여 입력된 비밀번호와 비교 - 세션 부여 혹은 거부
[Tip]
KISA 에서 부여 해주는 인증
ISMS - 정보 보호
PIMS - 개인 정보
=> 사고 발생 시 해당 인증을 받은 기업은 보험처럼 과징금을 줄일 수 있다.
[계정 정책 - 계정 잠금 정책]
계정 잠금 기간 : 특정정 event 발생 시 해당 시간 만큼 계정이 잠김
임계값 : 해당 횟수 만큼 비밀번호 틀린 후 계정이 잠김
[설정 방법]
시작 - 관리 도구 - 로컬 보안 정책 - 계정 정책 - 암호 정책 / 계정 잠금 정책
[계정정책 문제]
1. 암호 정책
- 암호는 복잡성을 만족해야 함 : 사용
- 최근 암호 기억 : 0개 암호 기억됨
- 최대 암호 사용 기간 : 7일
- 최소 암호 길이 : 10 문자
- 최소 암호 사용 기간 : 0일
- 해독 가능한 암호화를 사용하여 암호 저장 : 사용 안 함
2. 계정 잠금 정책
- 계정 잠금 임계값 1번의 잘못된 로그온
- 계정 잠금 기간 : 30분
- 다음 시간 후 계정 잠금 수를 원래대로 설정 : 30분
3. 보안 정책 Migration
[ 정책 내보내기 / 가져오기 방법]
왼쪽 탭의 보안설정 우클릭 - 정책 내보내기 - 저장
적용할 PC 에서 로컬 보안 정책 들어가서 보안설정 우클릭 - 정책 가져오기 하면 된다.
[MMC 이용]
시작 - 실행 - mmc
파일 - 스냅인 추가 - 보안 템플릿 추가 - 확인
=> 템플릿이 저장 된 경로를 확인 가능
맨 하위 메뉴 - 우클릭 - 새 템플릿 - 생성
=> 아무 것도 정의되지 않은 상태
원하는 정책 지정 후 생성한 템플릿 이름 우클릭 - 저장
해당 템플릿을 역시나 적용할 PC - 로컬 보안 정책 - 보안 설정 우클릭 - 정책 가져오기 로 하면 된다.
[Tip]
보안 젗액의 복사 : 템플릿 내보내기 / 가져오기
보안 정책의 일부 수정 : mmc 이용
[정책 공유 문제]
정책 내보내기 / 가져오기 방법
1. Server1 에서 로컬 보안 정책에서 계정 정책 설정
- 암호는 복잡성을 만족해야 함 : 아니요
- 최소 암호 길이 : 10 문자
2. Server1 로컬 보안 정책에서 정책 내보내기
3. Clinet1에서 Server1에서 내보내기한 정책 적용 하기.
MMC 이용
1. Server에서 MMC를 이용하여 로컬 보안 정책 설정
- 암호는 복잡성을 만족해야 함 : 예
- 최소 암호 길이 : 12문자
2. mmc에서 정책 저장 후 템플릿 저장 된 경로로 가셔서
템플릿 Client1으로 복사 후 정책 적용 후 적용 사항
4. 환경변수
[설정 방법]
시작 - 환경 변수 검색 - 계정의 환경 변수 편집
- 시스템 환경 변수 편집
시스템 환경 변수 - 환경 변수 - 시스템 변수의 새로 만들기, 편집, 삭제 가능
[Tip]
환경 변수는 앞 뒤로 %를 붙여 사용할 수 있다.
[환경변수 및 배치파일 문제]
1. 배치파일을 이용해 바탕화면에 위험위험.log파일을 생성하는데 경로를 지정할 때 3글자까지만 사용하여 저장
2. 실행창에서 환경변수를 사용하여 C 드라이브에 있는 itbank.bat을 실행
3. 실행에 itbank라고 입력했을 때 만들어 놓은 itbank.bat가 실행
4. 단축키를 사용하여 CMD 창을 열 수 있게 만들기
[Tip]
1) 1 : - 환경변수에 경로를 넣으면 된다. 보통 경로의 환경변수에는 마지막 를 넣지 않는것 같다.
2) 2 :%환경변수% = C:itbank.bat
3) 3 : itbank.bat 를 C:system32 에 복사하면 된다.
4) 4 : 시작 - 명령 프롬프트 검색 하여 바로가기 파일 우클릭 - 속성 - 바로 가기 키 설정
'Study > WinServer' 카테고리의 다른 글
[11] 중간 복습 - 디스크 관리, 배치파일 (0) | 2015.04.09 |
---|---|
[10] 감사 정책 (로그온, 개체 액세스 감사), 권한 상속 (0) | 2015.04.09 |
[08] 알ftp로 ftp 서버 구축, 파일 차단 관리 (0) | 2015.04.09 |
[07] 공유폴더 권한, 파일 서비스 - 할당량 (0) | 2015.04.07 |
[06] 전달자 & 조건부 전달자, 공유폴더 (0) | 2015.04.07 |
- 2015.01.14
1. 알ftp로 ftp 서버 구축
VMware 등 Virtual Machine 에서 작업 시 Network 설정은 Bridge Mode로 바꿔 설정한다.
1) 알ftp 설치
2) 메뉴 중 서버 클릭
자신의 서버 ip 입력
서버 메세지 : 서버 접속 시 보여 줄 메세지
id 없이 접속 허용 여부 설정, id 있이 접속하려면 실제 윈도우에 있는 계정을 이용해아 한다.
홈 디렉토리 : 최상위로 보여줄 곳
접근 가능한 디렉토리 : 실제 최상위엔 존재하지 않지만 최상위에 표시할 디렉토리
3) 확인
이제 Client PC에서 접속 가능
사용자의 환경에 따라 외부에서 접속 시 공유기에서 공인ip 및 포트포워딩 등의 설정을 해야 한다.
※ 핸드폰 App 으로도 FTP 서버 및 클라이언트 이용 가능하며, 윈도우 공유폴더에도 접근할 수 있다.
2. 파일 차단 관리
[역할 추가]
서버관리자 - 역할 - 역할 추가 - 파일 서비스 체크.
파일 서비스 설치하지 않았다면 내 컴퓨터에 있는 공유폴더를 모두 해제한 후 진행해야 하며,
이미 파일 서비스를 어제 실습때 설치했다면 새로 역할 추가 하지 않아도 된다. (파일 서버 리소스 관리자 추가 설치)
[파일 차단 관리 설정 메뉴 진입]
시작 - 관리 - 파일 서버 리소스 관리자 - 파일 차단 관리 - 파일 차단
[상세 설정]
파일 차단 만들기 - 경로 설정 - 사용자 지정 파일 차단 속성 정의
- 속성 - 설정 - 차단 종류
적극적 차단 : 사용자가 허용되지 않은 파일 저장 못함
소극적 차단 : 사용자가 파일을 저장할 수 있음, 모니터링 목적
- 파일 그룹 유지 : 만들기
포함할 파일에 *.png 등으로 포함할 파일 지정 후 파일 그룹 이름 지정
- 보고서 - 보고서 생성 - 파일 차단 감사 보고서 - 확인
이제 설정판 디렉토리에 금지된 파일 넣으려 하면 실패하면서 파일 차단 감사 보고서 생성됨 (시간이 조금 걸림)
(보고서 위치 : C:\Storage\Reports\Incident)
똑같은 설정이지만 소극적 차단만으로 바꿔서 진행해보면 해당 디렉터리에 복사는 되지만 보고서는 생성된다.
[할당량 + 파일 차단 관리 문제]
# 계정 생성 : 이부장, 김차장, 홍팀장, 정대리
# 그룹 생성 : 강사부, 교육부
# 그룹 소속 : 강사부에 이부장, 정대리
교육부에 김차장, 홍팀장
#하드 디스크 : 1G 짜리 2개 생성
- X 드라이브 문자 레이블 : 강사부
- Y 드라이브 문자 레이블 : 교육부
- 각 드라이브에 드라이브 이름으로 .txt 파일 생성
# X 드라이브 공유
- 강사부 모든 권한, 교육부 읽기 권한
# Y 드라이브 공유
- 교육부 모든 권한, 강사부 읽기 권한
1. X 드라이브 할당량 100M 소프트 타입으로 설정 후 할당량 보고서 생성(임계값30%)
2. Y 드라이브 할당량 200M 하드 타입으로 설정 후 yahoo.bat 스크립트 실행(임계값10%)
- yahoo.bat 스크립트 저장 경로 : C:
- yahoo.bat 스크립트 동작 내용
# 바탕화면에 큰일입니다.log라는 파일로 날짜와 시간정보를 내용에 찍는 스크립트
3. X 드라이브 파일 차단 관리
- 이미지 파일 적극적 차단
- 파일 차단 보고서 생성
4. Y 드라이브 배치파일 차단
- 배치파일 소극적 차단
- 명령어 실행 : 배치파일을 만들어서 바탕화면에 위험위험.log 파일 생성(배치파일 위치 C:)
확인 방법 :
1. 교육부 계정인 김차장, 홍팀장 계정으로 X 드라이브 접속 후 강사부.txt 파일 이름 변경
시도시 차단되면 성공, 파일 생성 시도시 차단되면 성공.
2. 강사부 계정인 이부장, 정대리 계정으로 X 드라이브 접속 후 파일 생성시 차단 안 되면 성공,
30M 이상의 파일 업로드 후 보고서 생성되면 성공.
3. 강사부 계정인 이부장, 정대리 계정으로 Y 드라이브 접속 후 교육부.txt 파일 이름 변경
시도시 차단되면 성공, 파일 생성 시도시 차단되면 성공.
4. 교육부 계정인 김차장, 홍팀장 계정으로 Y 드라이브 접속 후 교육부.txt파일 이름 변경
시도시 차단 안 되면 성공, 20M 이상의 파일 업로드 후 바탕화면에 큰일입니다.log파일
생성되고 로그파일 내용에 날짜와 시간정보가 있으면 성공..
5. X 드라이브에 이미지 파일을 올려 보고 안 올라간다면 성공.
올려 보고 보고서가 생성되면 성공.
6. Y 드라이브에 배치파일을 올려 보고 올라 간다면 성공.
올린 후 바탕화면에 위험위험.log 파일이 생성되면 성공.
[Tip]
1) 이전 실습과 거의 비슷하며 실습 상황에서는 log 파일이 절대경로로 지정한 최초 1번만 성공한다.
상대경로 및 절대경로로 반복하여 실습했을 때 실패하는 이유는 잘 모르겠다.
아마 Windows Server 2008의 버그 수정 전이거나 VMware의 탓인 듯하다.
2) yahoo2.bat : echo > C:\Users\Administrator\Desktop\위험위험.log => 아무 내용 없이 log 파일 만들어짐.
'Study > WinServer' 카테고리의 다른 글
[10] 감사 정책 (로그온, 개체 액세스 감사), 권한 상속 (0) | 2015.04.09 |
---|---|
[09] 보안 정책, 계정 정책 - 암호정책, 보안 정책 Migration, 환경 변수 (0) | 2015.04.09 |
[07] 공유폴더 권한, 파일 서비스 - 할당량 (0) | 2015.04.07 |
[06] 전달자 & 조건부 전달자, 공유폴더 (0) | 2015.04.07 |
[05] 무료로 메일서버 만들기, Windows 명령어 Script 작성, DNS 조건부 전달자 (0) | 2015.04.07 |