블로그 이미지
System Neophyte

calendar

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

Notice

2008.05.02 17:26 Virtualization.

사용하게 되면 좋은점들은

가상화된 Windows Services


가상화된 사용자 프로필 –사용자 어플리케이션 프로필 일정하게 유지


메모리 잠금 캐쉬-예기치 않은 종료에 application보존


스트리밍-매우 빠름

설치에 필요한 최소한의 스트링만 받기 때문에 기존보다 빠르게 동작합니다.


최소의 권한으로 실행만 가능 local에 Administrators 그룹의 권한이 필요하지 않습니다.

설치가 아니라 실행만 되기 때문에


어플리케이션 충돌 방지


터미널 서비스의 Silo숫자 감소

터미널 서비스에 excel 2000과 2003을 설치 한다고 했을때 20003과 2000은 공존할수 없기 때문에

아래 그림과 같은 Without Softgrid 모습이 보이지만

Soft Grid 가 있게 되면 한서버에서 다 사용 가능하게 됩니다.


회귀 테스트



라이선스관리 용이

클라이언트에게 라이센스 관련 하여 얼마나 쓰고 있는지 몇명부터 제한이 가능한지  소프트 사용제한 사용기간 까지 관리 할수 있습니다.


클라이언트에 배포된 캐쉬들

client chahe 간단한 명령어나 레지스트리 수정으로 삭제 가능

ex: sftmime.exe remove obj:app /global /complete


현재 단점.

한글 지원이 되지 않음 추후 4.5부터는 지원된다고 함.

4.5부터

Windows SP2설치시 장애 발생..Console메뉴가 보이지 않음

좀더 설치 해보고 어플리케이션 패퀴지 작업을 잘만 한다면


소프트웨어 배포에 도움이 될만한 솔루션인것 같습니다.

신고
posted by System Neophyte
2008.04.25 01:54 Windows Server

어제에 이어서 되지 않다가.

관련 Search를 찾다보니까 ESC구성을 하지 말라고 하는 글들이

보여서 해당 구성을 빼보았습니다.

ESC 구성이라는게 뭔가 하면 IE 보안 강화 구성입니다.

server를 설치하게 되면 기본적으로 설치가 되는 IE 구성요소입니다.


해당 구성요소를 체크한 상태에서는

이 문구가 나오게 되고

제거를 한다음에 하게 되면 나오는 문구가 틀립니다.


아하~ 그러면? XP클라이언트들은 보안구성이 되어 있지 않으므로

보안 강화 구성을 한 상태로 정책을 내려서 보안 구성이 된 애들만(2003서버들만)

되고 그렇지 않은 클라이언트들은 정책을 받지 못하는 구나 생각이 들어서

test~go go

test~go go


ESC를 빼고 클라이언트에 적용시

현재 보안 영역 및 개인 정보 설정 가져오기를 선택하고

신뢰된 사이트에 추가를 합니다.

해당 정책을 만들고 난 다음 그룹정책을 받고 rsop.msc로 클라이언트 환경에서

확인 하였습니다.

보기 설정 클릭

신뢰된 사이트 클릭

아 그룹정책이 제대로 배포가 되었습니다.


결론~!

ESC 구성을 하게되면 ESC로 구성된 PC들만 구성이 된다.

ESC 구성을 해지 하고 하게되면 ESC 되지 않은 PC들만 그룹정책을

받아들인다.

신고
posted by System Neophyte
2008.04.24 01:35 Windows Server

실실 IE7.0이 업데이트가 되면서 신뢰된 사이트에 추가 해야 하는 일들이

많습니다. 사용자가 일일이 등록 하는것이 귀찮고 사내에서 써야 하는 사이트임

에도 불구 하고 IE7.0에 신뢰된 사이트에 등록이 되지 않아서 안되는 경우가

많습니다. 그 많은 사용자를 일일이 하기에는 참 번거로운 일입니다.


AD에 Group Policy에는 다음과 같은 기능이 있습니다. 신뢰된 사이트에

추가 시키기..

해당 그룹 정책 설정은 다음과 같습니다.


해당 Time.com에는 test OU밑에 다음과 같은 사용자들이 있습니다.

이 사용자들에게는 IE 7.0이 설치가 되어 있습니다. 해당 그룹정책을 내려보죠

GPMC를 실행하여

Group policy Object에서 새 GPO OBJECT를 만듭니다.

만든 정책 EDIT를 눌러 편집을 합니다.

해당 GPO를 설정 하는 부분이 나오게 됩니다.

여기서 사용자구성- IE유지보수-보안-보안영역 및 콘텐츠 등급을 선택합니다.

현재 보안 영역 및 개이ㄴ 정보 설정 가져오기를 하게되면

팝업창이 나오고 계속을 눌러 진행합니다.

인터넷 등록 정보가 나오게 되는데

여기서 신뢰할수 있는 사이트

다음과 같이 신뢰할 사이트를 넣어 주면 됩니다.

적용을 해보니까. 실제로 잘 안됩니다.

이유는 ....

신고
posted by System Neophyte
2008.04.16 11:02 Windows Server

AD를 사용하다 보면 사용자 계정 관리가 가장 어려운것 같습니다.

특히 사용자 계정을 가끔 가다가 일시적으로 사용안함으로 해놨다가

깜박잊고 있다가 어느계정이 잠겨있는지 모를때 해당 ou에 들어가서 일일히

검색하는것도 일입니다.

이럴때 사용안함으로설정된 계정을 찾아주는 명령어 입니다.

dsquery user domainroot -disabled라고 입력 하시게 되면

어디 ou에 들어가 있는 계정인지 확인 할수 있습니다.

실제로 dsa.msc로 실행해서 확인을 해보면

해당 사용자는 사용안함인것을 확인 할수있습니다.

암호 변경 정책이 제대로 적용되었나 확인 하는 하나의 방법인데

dsquery user -stalepwd 42

이렇게 입력하게 되면 42일동안 암호를 한번도 변경하지 않은 계정이 주욱나오겠지요 뒤에 숫자는 일단위로 입력하실수 있습니다.


만든지 얼마 되지 않은 도메인이라.. 42일동안 변경되지 않은 계정은 나오지가 않는군요..

마지막으로 lastlogon관련이겠네요. 여기는 일 단위가 아니라 주 단위입니다.

2주동안 로그인 하지않는 사용자를 찾아내는 쿼리입니다.

dsquery user -inactive 2 (2주)


어라 근데 안되네? 라고 생각이 됩니다. 그런데. 일전에..vbscript관련해서

Domain function level 때문에 안되었던게 생각이 나서

도메인 수준. 포리스트 수준을 2003으로 쑝 올리고 나니.

옹 에러메세지는 안나오는데..아무것도 안나오는것을 볼수 있습니다

왜 안나오냐고 물으시면 계정을 생성한지 1주일이 지나지 않았기 때문이겠죠.

실제 계정 생성된 시간은 1시간 정도밖에 되지 않았습니다.

간단하기때문에 어렵지는 않을거라 생각이 됩니다.


더자세한사항은

http://technet2.microsoft.com/windowsserver/en/library/46ba1426-43fd-4985-b429-cd53d3046f011033.mspx?mfr=true

여기서 참고 하시면 될것 같네요..

신고
posted by System Neophyte
2008.03.19 15:00 Windows Server

아래 내용과 관련 하여 스크립트를 올립니다.

사용자 na doha라는 사용자가 있습니다. 이 사용자에 VPN 사용 가능 하게 하는 시나리오입니다.


빨간 box안에 있는것을 Enable 시켜 보자는 것이지요

한명일때는 상관이 없습니다만 다중 사용자를 적용때는 스크립이 더 빠르겠죠.

노트 패드를 실행 시켜 다음 내용을 저장 합니다.


Set objUser = GetObject("LDAP://cn=na doha (username),ou=test(해당OU),dc=time(해당DC),dc=com(해
DC")

objUser.Put "msNPAllowDialin", true or False

objUser.SetInfo

objUser.GetInfo

Wscript.echo objUser.Get("msNPAllowDialin")

저장 할때 vpn.vbs로 저장하고

실행하게 되면

확인을 클릭 하여 본다음 해당 사용자 값을 살펴 보면


다음과 같이 됨을 확인 할수 있습니다.


Special Tanks 두 K모군에게 감사를 ㅋㅋ

신고
posted by System Neophyte
2008.03.19 13:10 Trouble Shooting

그냥 이래 저래 재미 있는 기술지원건이 있어서 올려봅니다.

AD를 쓰다보면 사용자들에 대한 VPN관련 설정을 일괄 적으로 처리 해야 할때가 있습니다.

스크립트로 일괄 처리 하다보면 o.O 이런경우가 발생하더군요

OS는 Windows 2003 R2 SP2입니다.

확인 하시다 보면 아시겠지만, 홍길동에 대한 등록정보를 열어서 확인 할때

원격 엑세스 권한 설정 부분이 허용으로 되어 있습니다.

그런데 ADSIEDIT.msc로 확인을 해서 보면 MsNPAllowDialin이라는 항목의 값이 액세스 허용 또는 거부

또는 Not set으로 설정 할수 있는것을 볼수 있습니다.

True는 허용이고 False가 거부입니다. 물론 Not set은 원격 엑세스 정책을 통해 엑세스 제어라는

항목이 되겠지요.

자 그런데 뭐가 문제라는 이야기냐면..?

Adsiedit.msc로 위의 값을 변경하게 되면 사용자 등록 정보에도 반영이 되어야 되는데

그렇지가 않습니다. dsa.msc에 사용자 등록정보에서 변경을 하게 되면 adsiedit.msc에 반영이 되는데

왜 adsiedit.msc에서는 변경한 값이 왜 dsa.msc에서는 반영이 되지 않을까요?

쉽게 말해 이렇게 된다는 이야기죠..

Adsiedit.msc에서 사용자 전화접속 로그인 설정 하게 되면 Dsa.msc에서 값이 반영이 되지 않음

Dsa.msc에서 사용자 전화접속 로그인 설정을 하게 되면 Adsiedit.msc에 값이 반영이 됨.

이유가 뭘까 ? 고민을 하다가..(물론 rebooting, 이래 저래 많은삽질을 해보았습니다. 안됩니다.)

도메인 레벨 까지 고민 하게 되더군요.

그래서 Test는 각기 다른 Domain Function Level로 테스트를 해보앗습니다..

2000 mix, 2000 native, 2003 native모드로 테스트를 진행 해보았더니..

2000 native모드 이상일때 부터 되더군요

2000 mix(혼합) 모드 일때는 죽었다 깨어나도 반영이 안됩니다.

2000 native 이상일때는 너무나 자연스럽게 반영이 잘됩니다.

추측건데 2000 mix 모드 일때는adsiedit에 NT4.0에 해당하는 이 값이 없어서가 아닐까 라는 생각만

가지고 있습니다.NT 4.0을 써보지는 않아서 잘은 모르겠습니다. 이 부분은 더 공부를 해봐야 할

부분인것 같습니다. 왜 안되는지를...

신고
posted by System Neophyte
2008.03.11 09:00 Windows Server

DC가 두대 있을때, 한쪽 DC를 네트워크에서 잠깐 끊고

fsmo Role을 강제 점유하고 다시 네트워크에 접속하게 되면

어느쪽으로 이동할까? 라는 Test입니다


일단.. DC는 time1.time.com, time2.time.com으로 두대 입니다.

FSMO role은 time1.time.com이 다가지고 있습니다.

1. Netdom query fsmo 실행으로 MasterRole이 어디에 있는지 확인 합니다.


2. Time2.time.com에서 네트워크 연결을 끊습니다.


3.Time2.time.com에서 ntdsutil를 실행합니다.

ntdsutil:roles을 입력합니다.
connections를입력합니다.
server connections:connect to server time2.time.com을 입력합니다.



fsmo maintenance : seize domain naming master를 입력하면
아래와 같이 팝업창이 뜨고 Y를 클릭합니다.

마찬가지로 seize infrastructure master, Rid master, PDC, schema master들 위와 같은 방식으로 이전 합니다.
다 이전후 quit로 종료합니다.


1. Time2.time.com에서 FSMO가 어디에 있는지 확인 합니다.

아직까지는 네트워크에 붙여진 상태가 아닙니다.

연결이 끊어졌던 Time2.time.com에 네트워크를 연결합니다.
그리고 난 뒤 time1.time.com에 netdom query fsmo를 해서 보면

Seize를 입력했던 time2.time.com으로 FSMO가 이전 됨을 확인 할 수 있습니다.


time1.time.com에서 네트워크를 끊고 해도 Seize를 입력한 쪽으로 Master role이전하는것을 볼수 있습니다.


결론: Seize를 해서 강제 점유를 하게 되면 그쪽으로 master role이 이동하게 된다는 간단하게 확인 할수

있습니다.

추가로 말씀드리면 USN 이런게 영향을 미칠까해서 확인 해본결과 USN은 변화가 없더군요.

두DC다 USN변화는 없습니다. 단지 Seize를 했던 DC쪽에서 네트워크 연결이 되면서 fsmo Role을 가지고 있는

DC에게 니role 내놔 라는 식으로 옮겨 가는것 같습니다.

신고
posted by System Neophyte
2008.03.07 14:14 Windows Server

오래전 부터 쓴다 쓴다는 팁이 갑자기 생각나서 올려봅니다.


업체 나가서 작업을 하다보면 서버 구축이나 이런 저런 상황을 겪을수 있습니다.

예를 들면 원격으로 작업하고있는데 다른 컴퓨터에 컴퓨터의 mstsc로 접속 할때

해당 컴퓨터가 설정이 다음과 같다면

원격으로 접속 할수가 없습니다. 해당 서버에 가서 원격 데스크톱을 체크를 해야겠지요.


그럴때 다음과 같은 편법을 쓸수 있습니다.

*주의 방화벽이 설정 되어 있으면 대략 난감입니다.

제일 좋은 상황은 도메인 가입된 멤버 서버들일때가 가장 좋습니다. 추가Dc 자식 Dc일때도 상관 없겠지요.

가정한 상황은 이렇습니다.

Time1 서버와 Time2 서버는 Dc들입니다. 한데 Time2서버에 문제가 있어서 원격 데스크톱으로 볼려고 하니

저체크 박스를 하지 않았을때입니다.

일단 Time1 서버에서 시작-실행-regedit를 실행합니다.

메뉴에서 파일에서 네트워크 레지스트리 연결을 선택합니다.

해당 서버를 입력합니다.

확인을 클릭합니다.


다음의 경로를 찾아갑니다.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]

거기서 다음 값을 찾아봅니다.

"fDenyTSConnections"=dword:00000000

더블 클릭을 합니다.

해당 값을 1이 아닌 0으로 변경합니다. 레지스트리 키값에 보통은1 은 거부 0은 허용 입니다.

그리고 나서 확인을 누르고 time2서버에 가서 보면

다음과 같이 변경 되었음을 알수 있습니다.

활용 방안으로는 해당 레지스트리 값을 이용해서 그룹 정책으로 내려도 되겠죠.

bat 파일로 만들어서 해당 내용에는 regedit -s enable_mstsc.reg로 내려도 됩니다.

여기서 -s옵션은 보이지 않게 입니다.

그러면 사용자들의xp는 자동으로 저 체크박스에 체크가 되겠지요.

신고
posted by System Neophyte
2008.03.07 11:38 Windows Server

AD를 쓰다가 보면 하나의 PC에 여러게의 도메인 유저스가 들어갈수 있습니다.

왜냐면 로그인 인증을 도메인 서버에서 받아 오기 때문입니다.

이렇게 하다보면 프로필들이 여러개가 생기게 되고, 또한 어떠한 분들은

해당 PC에는 해당 사용자 계정으로만 로그인 하게 해달라는 요청을 받습니다.

방법론이야 많겠지만 가장 쉬운 방법을 알려 드립니다.


일반적으로 AD를 쓰시는데를 보시면 사용자들에게는 로컬 어드민 권한을 부여합니다.

그 정책을 이용한 가장 쉬운예입니다.

gpmc.msc 또는 시작-실행-dsa그룹정책 편집기를 열어서 해당 OU에 할당하거나 하시면 되겠죠

일단 그룹정책 개체 편집기로 들어와서 보면

컴퓨터 구성-Windows 설정-로컬정책-사용자 권한 할당-로컬로그온 할당

로컬 로그온 허용에서

로컬 administrators그룹에 포함된 사용자만 로그인을 허용하게 됩니다.

실제 반영되면 다음과 같이 됩니다.


로컬 컴퓨터 즉 client 쪽에서는 위의 그림과 같이 되어 있어야 겠죠.

아까 로그인 시도한 실패 사용자는 domain users –ir1223이라는 계정 도메인이에 실제 있는 사용자이고

실제 ir1223이 로컬 어드민이 아니기 때문에 해당 컴퓨터에 로그인 되지 않습니다.


신고
posted by System Neophyte
2008.02.26 16:52 Windows Server

시작-실행-regedit를 실행

Hkey_Current_USER_Volatie Environment에서 다음 키값을 확인.

신고
posted by System Neophyte
prev 1 2 next