프리지아 랩

Windows Server 2016 정식 출시된 버전이 아니지만,

최근 TP4까지의 변화만 보더라도 IT Pro 마음을 설레게 하는 기술과 기능이 포함되고 있습니다.

중에서도 핵심 특징 중의 하나인 Nano Server PowerShell 통해 프로비저닝하는 방법을 살펴보겠습니다.


준비

먼저 해야할 작업은 Windows Server 2016 TP4 다운로드하는 일입니다.

다운로드는 다음 링크를 클릭하세요.


Windows Server 2016 TP4 다운로드


다운로드 받은 ISO 이미지를 마운트 하면 탐색기에서 다음과 같은 폴더 구조를 있습니다.


여기서 "NanoServer"라는 폴더를 적절한 위치로 복사합니다.

복사한 해당 폴더를 열어보면 다음과 같은 구조로 되어 있습니다.


NanoServer.wim 파일이 실제 서버 이미지 파일이며 대략 130MB 정도 되는 아주 작은 크기임을 있습니다.

Convert-WindowsImage.ps1 NanoServerImageGenerator.psm1 Nano Server 가상 머신을 만드는데 사용할 있는 cmdlet 물리 서버 프로비저닝 이미지를 만드는데 필요한 cmdlet 제공합니다.

Packages 폴더에서는 Nano Server 설치할 있는 역할과 기능을 제공합니다.

폴더 안에는 언어별 폴더가 별도로 존재합니다.


이제 PowerShell 열고 다음 명령을 입력해 폴더를 복사한 위치로 변경합니다.


 Set-Location C:\NanoServer


 다음 명령으로 Nano Server wim 파일과 관련 패키지를 복사할 폴더를 만듭니다.


 New-Item -Name Base -ItemType Directory


 결과로 생성되는 Nano Server 이미지가 저장될 위치를 다음 명령으로 만듭니다.


 New-Item -Name NanoVM -ItemType Directory


 NanoServer라는 폴더의 구조는 다음과 같이 변경되었습니다.


Nano Server 가상 머신 이미지 만들기

다음 명령구문을 실행해 가상 머신 이미지를 만들기 위해 필요한 cmdlet 로드합니다.


만든 가상 머신 이미지에 사용할 Administrator 암호를 지정하기 위해 다음 구문에서 보이는 pass 라는 변수에 암호화된 문자열 입력을 저장해 놓습니다.

$pass= Read-Host -AsSecureString "Administrator 사용할 암호를 지정하세요."


이제 앞서 준비한 내용을 가지고서 다음 명령 구문으로 새로운 Nano Server 가상 머신을 만듭니다.


 New-NanoServerImage -MediaPath h:\ -BasePath .\Base -TargetPath .\NanoVM\TLS-NANO1.vhdx `


-ComputerName TLS-NANO1 -GuestDrivers -EnableRemoteManagementPort -InterfaceNameOrIndex Ethernet `


-Ipv4Address 172.16.0.151 -Ipv4SubnetMask 255.255.255.0 -Ipv4Gateway 172.16.0.1 -Packages Microsoft-NanoServer-DSC-Package `


-Defender -AdministratorPassword $pass -Storage -Language en-us


 

매개변수에 대해서는 대략 다음과 같이 설명할 수 있을 것 같습니다.


-MediaPath h:\    <--Windows Server 2016 이미지 마운트 경로


-BasePath .\Base <--앞서 만든 Base 폴더 경로


-TargetPath .\NanoVM\TLS-NANO1.vhdx  <-- 앞서 만든 NanoVM 폴더 경로와 만들어질 VM 파일의 이름


-ComputerName TLS-NANO1 <-- 만들 VM 호스트 이름


-GuestDrivers <-- Hyper-V 통합 설치 드라이버


-EnableRemoteManagementPort <-- WinRM 통한 원격관리 (방화벽 5985 포트 설정)


-InterfaceNameOrIndex Ethernet <-- 네트워크 연결명이나 NIC 인덱스


-Packages Microsoft-NanoServer-DSC-Package <-- 설치할 패키지 지정


-Defender <-- Windows Defender 안티 멜웨어 설치


-Storage <-- 파일 서버 역할과 다른 스토리지 구성요소


명령 구문의 실행 결과는 다음과 같습니다.


Hyper-V 가상 머신 만들기

Nano Server VM 이미지가 만들어 졌다면,  Hyper-V 관리자에서 가상 머신을 만들고 VM 이미지를 연결해주면 됩니다. 

관리자 UI에서 있지만, PowerShell 통해  부분도 만들어 보겠습니다.


다음 명령 구문으로 TLS-NANO1이라는 가상 머신을 저장할 폴더 구조를 만듭니다.


New-Item -Name TLS-NANO1 -ItemType Directory -Path C:\VMs\


New-Item -Name "Virtual Hard Disks" -ItemType Directory -Path C:\VMs\TLS-NANO1\


 

앞서 만든 Nano Server 이미지를 복사하는 명령 구문은 다음과 같습니다.


Copy-Item -Path .\NanoVM\TLS-NANO1.vhdx -Destination 'C:\VMs\TLS-NANO1\Virtual Hard Disks'


끝으로, Hyper-V 새로운 가상 머신을 만듭니다.



Hyper-V 관리자에서 등록된 새로운 Nano Server 시작하고 로그온해 봅니다.


로그인한 화면은 <Nano Server Recovery Console> 입니다. 컴퓨터 이름이나 워크그룹 정보, OS, 시간, 네트워크 주소와 MAC 정보 등을 확인할 있으며, 하단의 <Networking> <Firewall> 부분에서 직접 IP 구성과 방화벽 설정을 수행할 있습니다.


Nano Server 설정

Nano Server VM 만들고 실행 시킨 로그인과 기본 설정이 정상적으로 확인이 된다면,

이제 Nano Server 도메인에 가입시키고 도메인 계정을 Nano Server 로컬 관리자 계정에  추가시켜 관리를 위한  작업을 놓습니다.


Nano Server 도메인에 가입시키는 방법은 기존에 알고 있는 오프라인 도메인 가입 방법을 활용합니다.

러기 위해 Nano Server DC 간의 TrustedHosts 목록 구성을 먼저 수행합니다.


다음 명령은 DC에서 수행합니다.


다음과 같이 Nano Server PowerShell 세션을 연결합니다.


도메인 가입을 위해 Nano Server DNS 설정을 DC DNS 변경합니다.


다음의 Djoin 명령으로 오프라인 도메인 가입을 위한 blob 파일을 DC에서 만듭니다.


방금 만들어진 오프라인 도메인 가입 파일을 Nano Server 복사합니다.

PowerShell 5.0에서 개선된 Copy-Item 사용하면 다른 세션으로 파일을 복사할 있습니다.


Nano Server 다시 PowerShell 세션을 연결하고 복사한 위치에 파일이 있는지 확인해 봅니다.


다음과 같이 djoin 명령에서 복사된 blob 파일을 이용해  Nano Server 도메인 가입을 수행하고 서버를 재시작 해줍니다.


마지막 단계 입니다.

도메인 계정에 Nano Server Administrators 그룹의 멤버십을 부여해 향후 관리를 수행하게 합니다.


이제 등록한 도메인 계정으로 Nano Server에 로그인할 수 있습니다.





Comment +0

오랜만에 열린 오프라인 TechNet 커뮤니티 세미나에 첫 세션 강연자로 발표했던 자료를 공유합니다.

주로 파트너나 고객을 대상으로 긴 호흡의 강의를 위주로 하다가 짧은 시간에 AD와 ADFS, AAD 내용을 쉽게 전달해야 하는 세션이었습니다. 짧은 시간 운영을 좀 더 잘해서 하고 싶은 얘기와 보여주고 싶은 데모를 모두 했었다면 하는 아쉬움이 조금 남았습니다.

 

기회가 된다면, 다음 시간에는 시연을 중심으로 개념을 풀어가는 방식을 통해 추상적인 기본 개념을 시각적으로 확인해보는 시간을 갖도록 하겠습니다. 아무쪼록 귀한 시간을 내서  참여 해주신 모든 분들께 감사드립니다!

 

Comment +0

Windows Server 2012 R2에서 가상화 도메인 컨트롤러 복제를 수행해 추가적인 도메인 컨트롤러를 만들었습니다.

그리고 주 도메인 컨트롤러에서 AD DS 서비스를 중지한 후 데이터베이스를 조각모음하고 다시 AD DS를 시작했습니다.

이후에 처음 만든 DC에서 AD 휴지통 기능을 활성화 할때 다음과 같은 메시지를 만났습니다.

 

 

[그림 1] 휴지통 기능 활성화에서 만난 메시지

 

이 메시지는 호스트 작업 마스터 역할을 하는 Microsoft Windows Server 2012 R2 도메인 컨트롤러에 대한 초기 동기화와 관련된 내용을 알려주는 것입니다.

 

Active Directory 도메인 컨트롤러는 도메인 컨트롤러가 시작할 때마다 자신의 디렉터리 파티션 (명명 컨텍스트) 인바운드 변경 내용을 복제 하려고 시도 합니다.

 

작업 마스터 역할을 제공하는 도메인 컨트롤러는 작업 마스터 역할의 상태를 복제하고 유지하는 디렉터리 파티션의 인바운드 변경을 성공적으로 복제해야 합니다.

 

작업 마스터 역할을 갖고 있는 도메인 컨트롤러를 다시 시작하면 성공적으로 동기화될 때 까지 모든 기존 파트너와 동기화를 수행하려고 합니다. 따라서 위 그림 1의 메시지는 초기동기화에 문제가 있다는 얘기입니다.

 

따라서 작업 마스터 역할의 소유자인 도메인 컨트롤러의 명령 프롬프트에서 다음 명령을 수행했고, 그림 2와 같은 결과를 얻었습니다.

 

repadmin /showreps

 

 

[그림 2] 복제 상태 1

 

출력결과를 살펴보고 도메인 컨트롤러가 가장 최근 재시작 이후에 자신의 복제 파트너로 부터 성공적으로 복제되었는지 확인하니, 문제가 있네요. 초기 동기화의 문제는 시간이 지나면 해결이 될수 있지만, 아닐 수도 있습니다.

그래서 이 부분을 다음의 그림처럼 [AD 사이트 및 서비스에서 [Replicate Now]를 클릭해 즉시 복제를 수행해봤습니다.

 

 

[그림 3] 지금 복제

 

 

[그림 4] 결과

 

다시 "repadmin /showreps"를 수행하니 이제 다음과 같이 그림 2의 문제가 해결된 것으로 나옵니다.

 

 

[그림 5] 복제 상태 2

 

 


 

Comment +0

RODC의 가장 중요한 이점은 쓰기 가능한 도메인 컨트롤러에 비해 비교적 관리 노력을 덜 필요로 한다는 점이다

. RODC를 사용하면 인바운드 복제만 필요하고 Active Directory 데이터베이스에 잘못된 정보가 기록되지 않는

다.

 

RODC에 필요한 최소한의 관리 요구사항은 암호 복제 정책이다. 하지만, RODC도 쓰기 가능한 도메인 컨트롤러

처럼 서버 자체에 대한 유지보수 활동이 필요하다. 이런 활동에는 정기적인 시스템 상태 데이터의 백업이나 애

플리케이션이나 드라이버 업데이트 등이 있다.


비교적 본사보다 덜 안전한 지사 등에 RODC를 배포하는 목적 상 로컬에서의 관리를 위해 RODC는 로컬 관리자그

룹에 도메인 계정을 추가할 수 있는 기능을 제공한다. 여기에 도메인 계정을 추가하면 서버를 유지보수하고 해

당 계정으로 대화식 로그온이 가능해진다. 그러나 이 계정에 역할을 위임하지 않았다면 액티브 디렉터리 개체

를 추가하거나 변경하지는 못한다.

 

이런 형식의 사용자를 추가하는데 사용하는 명령이 있다.


바로 명령창에서 "dsmgmt.exe" 유틸리티를 사용해야 한다.

 

다음 그림은 도메인 계정(Adatum\Aziz)을 로컬 역할에 추가하고 추가된 계정의 역할을 확인해본 것이다.

 


[로컬의 관리자 그룹에 역할을 추가하기 위해 사용한 명령]

add <도메인 계정> Administrators


[관리자 그룹에 추가된 역할을 확인하는 명령]
show role Administrators


추가적인 정보는 다음의 TechNet 웹 사이트를 참고하면 된다.

RODC 관리자 역할 구분 구성

 

Comment +0

일전에 강의를 하면서 이런 질문을 받은 적이 있습니다.

"Active Directory에서 계정을 만들면서 성과 이름 부분에 값을 입력하면 항상 표시 이름이 <Hong GilDong>과 같은 식으로 나와서 이를 일일이 수정해야 했습니다. 계정을 생성할 때 부터 표시 이름이 <Hong.GilDong>이라고 나오도록 하는 방법이 없을까요"

이러한 문제를 해결할 수 있는 방법을 지금 부터 설명합니다.

 

이 문제를 해결하기 위해 사용하는 도구는 "ADSI Edit"라는 도구로 Windows Server 2012의 경우 다음의 그림 처럼 [서버 관리자]의 [도구]메뉴에서 실행할 수 있습니다.

 

 

[ADSI Edit]를 실행하고 [연결 설정] 대화상자에서 다음처럼 [Naming Context] 항목을 "Configuration"으로 바꿔줍니다.

 


이제 다음 화면 처럼 [CN=Configuration] 노드와 [CN=DisplaySpecifiers] 노드를 확장하고 [CN=409] 노드를 선택합니다. 오른쪽 창에 보이는 항목 중에서 [CN=user-Display]를 더블 클릭합니다. 여기서는 영어 로캘 ID인 409를 선택했지만, 한국어라면 "412"를 선택합니다.

 


[CN=user-Display Properties]창에서 [특성 편집기] 탭의 특성 항목중 [createDialog] 항목을 더블클릭합니다.

 

 

문자열 속성 편집기 대화상자에서 "성.이름"으로 표시하기 위해 다음 화면 처럼 "%<givenName>.%<sn>"를 입력합니다. 여기서 표시이름 형식을 정의에는 %<sn>, %<givenName> 및 %<initials> 3가지 파라미터 뿐이라는 사실을 기억 합시다.

확인을 눌러 모든 대화상자를 닫습니다.

 


이제 [Active Directory 사용자 및 컴퓨터] 스냅인으로 [RnD]라는 OU 아래에 새로운 계정을 만들어 보겠습니다.

 

 

다음 화면에서 주목할 수 있듯이 새로운 계정의 표시이름은 Hong.GilDong과 같은 원하는 형식으로 표시되고 있음을 알 수 있습니다.

 

Comment +0

이번 글에서는 그룹 정책을 사용해 소프트웨어를 배포하는 GPSI 기능을 살펴봅니다. GPSI를 통한 소프트웨어 배포는 전체 조직에 소프트웨어를 배포할 수 있는 방법입니다. 단 이 방법으로 배포 가능한 소프트웨어는 마이크로소프트 인스톨러(msi)파일만 가능합니다. 

 

이 글에서 설명하는 시스템 환경은 다음과 같다고 가정합니다.

 

▣ 도메인 컨트롤러: Windows Server 2008 R2

▣ 소프트웨어 배포 서버: Windows Server 2008 R2 (NYC-SVR1)

▣ 테스트 클라이언트: Windows 7 (NYC-CL1)

▣ 배포할 소프트웨어: XML Notepad 2007

 

배포를 위한 그룹 만들기

먼저 [Active Directory 사용자 및 컴퓨터] 스냅인에서 소프트웨어를 배포하기 위한 규칙 그룹을 만듭니다. 이 그룹의 이름은 "APP_XML Notepad"로 하겠습니다.

 

 

다음으로 만든 APP_XML Notepad 그룹의 속성에서 멤버 탭을 선택하고 소프트웨어 배포 대상이 되는 "NYC-CL1"이라는 클라이언트를 추가합니다.

 

 

소프트웨어 배포를 위한 공유 폴더 설정

이제 배포하고자 하는 소프트웨어를 공유할 "Software"라는 공유 폴더를 배포서버인 NYC-SVR1에 설정합니다. 이 때 공유 폴더의 NTFS 권한은 다음의 그림과 같이 설정합니다.  기존 상속을 해제하고 일부 계정을 제거한뒤 "Authenticated Users"를 추가했습니다.

 

 

다음으로 공유 권한에서 Everyone을 추가하고 전체권한을 부여합니다. 물론 접근을 보다 제한하고 싶다면 별도의 규칙 보안그룹을 만들어 추가하면 됩니다. 이때 NTFS 권한과 공유 권한 간의 관계를 잘 고려해야 합니다. 이 부분은 다음 번에 별도의 글로 한 번 다루도록 하겠습니다.

 

 

마지막으로 배포할 소프트웨어를 넣어 둘 자식 폴더를 Software 폴더 아래에 "XML Notepad"라는 이름을 생성하고 해당 폴더의 NTFS 권한을 다음 그림과 같이 설정합니다. 여기서 앞서 만든 APP_XML Notepad라는 그룹을 추가하고 필요한 권한을 부여했습니다.

 

 

다음과 같이 배포할 소프트웨어를 앞서 만든 XML Notepad에 복사해둡니다.

 

 

그룹 정책 만들기

배포할 소프트웨어에 대한 준비가 모두 끝났으니, 배포를 위한 그룹 정책을 만들어 보겠습니다. 도메인 컨트롤러에서 그룹 정책 관리 콘솔(GPMC)를 열고 "XML Notepad"라는 그룹 정책을 만들어 "Client Computers"라는 OU에 연결합니다.

 

 

만든 그룹 정책을 편집하기 위해 GPMC에서 해당 그룹정책을 오른 클릭하고 그룹정책 편집기(GPME)를 실행합니다. 

 

 

실행한 GPME에서 다음 그림에서 처럼 [Computer Configuration > Policies > Software Settings]에서 [Software Install]를 마우스 오른 클릭하고 [Package]를 선택합니다.

 

 

배포할 소프트웨어를 지정하는 대화상자에서 앞서 준비한 공유폴더의 소프트웨어를 선택하면,  다음과 같은 [Deploy Software] 대화상자가 실행되며 필요한 옵션을 선택할 수 있습니다. [고급]을 선택한다면 추가적인 설정이 가능합니다.  GPME의 Computer Configuration에서 GPSI는 [할당]과 [고급]간의 선택만 가능합니다. 반대로 User Configuration에서는 [게시] 옵션도 선택 가능합니다.

모든 설정이 끝나면 GPME를 종료합니다.

 

 

이제 그룹 정책을 적용할 범위를 필터링하기 위해 GPMC로 돌아와서 [Security Filtering] 섹션에서 기본 "Authenticated Users"를 제거하고 앞서 만든 "APP_XML Notepad" 규칙 그룹을 추가합니다.

 

 

 

그룹 정책으로 소프트웨어 배포 테스트

지금까지 배포할 소프트웨어 준비와 필요한 그룹 정책을 생성하고 편집했습니다. 최종적으로 해당 그룹 정책이 잘 동작하는지 바로 테스트 해보기 위해 클라이언트 컴퓨터인  NYC-CL1의 도스 명령창에서 "gpupdate /force"를 실행하고 필요한 경우 해당 컴퓨터를 재시작 합니다.

 

 

해당 컴퓨터에 그룹정책이 성공적으로 반영되었다면, 다음 화면에서 처럼 바탕화면에 XML Notepad 2007이 설치되고 [Start > Program Files]에도 해당 프로그램이 설치된것을 확인할 수 있습니다.

 

 

 

 

 

 

 

 

Comment +1

  • 필라이프 2015.05.13 15:06 신고

    안녕하세요 포스팅 잘 보았습니다.
    별도의 그룹을 생성해서 하는 이유가 있는지요?
    보통 배포를 할때에 특정 OU에 소속되어 있는 computer 들을 대상으로 배포할텐데..
    그룹으로 computer를 다시 지정하신 이유가 무엇인지 궁금합니다..

Hyper-V에서 사용할 Windows Server 2008/2012/2012 R2 가상 머신을 여러개 만들어야 할 때 보통 Sysprep을 통한 일반화 작업을 많이 합니다. 이번 글에서는 이러한 가상 머신을 쉽게 만들 수 있는 방법을 설명합니다.

 

먼저 할 일은 다음의 마이크로소프트 스크립트 센터를 통해 필요한 파워셸 스크립트를 다운로드 합니다.

Convert-WindowsImage.ps1 다운로드

 

 

이제 정품 Windows Server의 iso 이미지를 가지고 있다는 전제에서 작업하는 방법을 설명합니다. MSDN 서브스크립션이나 TechNet 구독자라면 해당 구독 혜택에서 정품 iso 이미지를 다운로드 할 수 있습니다.

 

 

Windows PowerShell ISE나 Windows PowerShell을 열고 방금 다운로드한 파워셸의 위치로 이동하고 다음과 같이 실행합니다.

 

.\Convert-WindowsImage.ps1 -SourcePath R:\TechNet\ko_windows_server_2012_r2_x64_dvd_2708005.iso -VHDFormat VHDX -SizeBytes 60GB

 

파워셸 스크립트 실행 옵션을 조정하지 않고 실행 했다면, 다음과 같은 오류를 만나게 됩니다.

 

.\Convert-WindowsImage.ps1 : 이 시스템에서 스크립트를 실행할 수 없으므로 B:\Lecture_Prep\PS_script\Convert-WindowsImage.ps1 파일을 로드할 수 없습니다. 자세한 내용은 http://go.microsoft.com/fwlink/?LinkID=135170의 about_Execution_Policies를 참조하십시오.
위치 줄:1 문자:1
+ .\Convert-WindowsImage.ps1 -SourcePath R:\TechNet\ko_windows_server_2012_r2_x64_ ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : 보안 오류: (:) [], PSSecurityException
    + FullyQualifiedErrorId : UnauthorizedAccess

 

이런 경우 현재 다운로드한 스크립트에 대한 실행 옵션을 조정해주어야 합니다. 인터넷에서 다운로드한 서명 없는 스크립트가 실행되려면 Windows PowerShell에서 다음과 같이 해줘야 합니다.

 

 

Set-ExecutionPolicy -ExecutionPolicy Unrestricted

 

이제 다시 앞서 다운로드 받은 스크립트를 실행 하면, 이번에는 다음과 같은 오류를 만날 수 있습니다.

 

.\Convert-WindowsImage.ps1 -SourcePath R:\TechNet\ko_windows_server_2012_r2_x64_dvd_2708005.iso -VHDFormat VHDX -SizeBytes 60GB

Windows(R) Image to Virtual Hard Disk Converter for Windows(R) 8
Copyright (C) Microsoft Corporation.  All rights reserved.
Version 6.2.8424.1.amd64fre.fbl_core1_hyp_dev(mikekol).120517-1616 Release Preview

WARN   : Transcription is already running.  No Convert-WindowsImage-specific transcript will be created.
INFO   : Opening ISO ko_windows_server_2012_r2_x64_dvd_2708005.iso...
INFO   : Looking for D:\sources\install.wim...
ERROR  : You must specify an Edition or SKU index, since the WIM has more than one image.
ERROR  : Valid edition names are:
ERROR  :   ServerStandardCore
ERROR  :   ServerStandard
ERROR  :   ServerDataCenterCore
ERROR  :   ServerDataCenter
ERROR  : ScriptHalted

INFO   : Log folder is C:\Users\ADMINI~1\AppData\Local\Temp\2\Convert-WindowsImage\25158f37-dda3-49f9-aac8-ffa267634111
INFO   : Closing Windows image...
INFO   : Closing ISO...
INFO   : Done.

 

이런 오류가 발생하는 이유는 제가 사용한 정품 이미지에는 4가지 Windows Server 에디션이 존재하기 때문입니다. 따라서 스크립트 실행 옵션에서 원하는 에디션을 다음과 같이 지정해서 스크립트를 실행 해줘야 합니다.

 

.\Convert-WindowsImage.ps1 -SourcePath R:\TechNet\ko_windows_server_2012_r2_x64_dvd_2708005.iso -Edition ServerDataCenter -VHDFormat VHDX -SizeBytes 60GB

 

Windows(R) Image to Virtual Hard Disk Converter for Windows(R) 8
Copyright (C) Microsoft Corporation.  All rights reserved.
Version 6.2.8424.1.amd64fre.fbl_core1_hyp_dev(mikekol).120517-1616 Release Preview

 

WARN   : Transcription is already running.  No Convert-WindowsImage-specific transcript will be created.
INFO   : Opening ISO ko_windows_server_2012_r2_x64_dvd_2708005.iso...
INFO   : Looking for D:\sources\install.wim...
INFO   : Image 4 selected (ServerDataCenter)...
INFO   : Creating sparse disk...
INFO   : Attaching VHDX...
INFO   : Disk initialized...
INFO   : Disk partitioned...
INFO   : Volume formatted...
INFO   : Access path (G:\) has been assigned...
INFO   : Applying image to VHDX.  This could take a while...
INFO   : Signing disk...
INFO   : Image applied.  Making image bootable...
INFO   : Opening G:\boot\bcd for configuration...
INFO   : BCD configuration complete. Moving on...
INFO   : Drive is bootable.  Cleaning up...
INFO   : Generating name for VHDX...
INFO   : Closing VHDX...
INFO   : Closing Windows image...
INFO   : Closing ISO...
INFO   : Done.

 

 

스크립트 실행이 성공하면 다음 처럼 VHDX 이미지 파일로 변환된 것을 볼 수 있습니다.

 

 

이제 Hyper-V 관리자에서 새로운 가상 컴퓨터를 만드는 과정에서 다음 그림처럼 [가상 하드 디스크 연결] 섹션에서 [나중에 가상 하드 디스크 연결] 옵션을 선택합니다.

 

 

이렇게 만들어진 가상 머신의 디렉터리에 다음 그림에서처럼 [Virtual Hard Disks] 폴더를 만들고 조금전에 만든 VHDX 이미지를 복사해 넣고 적절한 이름으로 변경합니다.

 

 

Hyper-V 관리자로 돌아와서 방금 만든 가상 머신의 설정에서 복사해 넣은 VHDX 이미지를 다음과 같이 연결해줍니다.

 

 

이상의 모든 설정이 끝났다면, 가상 머신을 시작하고 연결하면 다음처럼 곧 바로 Sysprep된 이미지를 사용할 수 있게 됩니다.

 

 

Comment +0

 

EFS에서 사용하는 인증서의 관리를 향상하기 위해 내부 CA를 구성해 사용자에게 인증서를 발행하려면, EFS(Encrypting File System)를 위한 복구 에이전트 인증서 업데이트 작업이 필요합니다.

 

다음은 해당 작업의 절차와 해당 작업 중에 발생하는 오류에 대해 자세히 설명합니다.

 

1. 서버 관리자의 [도구] 메뉴에서 그룹정책 관리콘솔(GPMC)를 실행하고(그림 1), "Default Domain Policy"을 편집하기 위해 그룹정책 편집기(GPME)를 실행합니다(그림 2).

 

[그림 1] 그룹정책 관리콘솔

 

[그림 2] 그룹정책 편집기

 

2. GPME에서 [Computer Configuration->Policies->Windows Settings->Security Settings->Public Key Polices->Encrypting File System]을 찾아갑니다(그림 3).

 

[그림 3] EFS용 인증서 확인

 

3. 이제 기존에 발행된 "Administrator"라는 자체 서명된 인증서를 삭제합니다(그림 4). 영구 삭제할지를 물어보는 대화상자가 나타나면 [Yes]를 클릭합니다.

 

[그림 4] 기존 인증서 삭제

 

4. 삭제가 완료되고 나면 [그림 5]와 같은 모습이 됩니다. 여기서 이제 새로이 업데이트된 인증서를 만들어 줍니다.

 

[그림 5] 인증서 삭제 후

 

5. 새로운 인증서를 만들기위해 방금 인증서를 삭제한 "Encrypting File System" 노드에서 오른 클릭해 [Create Data Recovery Agent] 메뉴를 클릭합니다(그림6).

 

[그림 6] 데이터 복구 에이전트 생성

 

이때 [그림 7]에서 보인 오류를 만날 수 있습니다.
"Windows cannot create a data recovery agent. An existing connection was forcibly closed by the remote host"

 

[그림 7] 데이터 복구 에이전트 생성 오류

 

새로운 데이터 복구 에이전트를 생성하는 작업은 기본적으로 AD 인증기관(certsrv.msc)에서 제공하는 [Certificate Templates] 노드내의 "EFS Recovery Agent" 템플릿을 사용합니다 (그림 8).

 

[그림 8] 인증기관의 EFS Recovery Agent 템플릿

 

6. 인증기관에서 해당 템플릿을 확인해보고 문제가 없다면, 조금 전에 발생한 오류는 해당 인증서 서비스의 동작상태를 의심해볼 수 있습니다. 따라서 해당 문제가 기본적으로 인증서 생성과 연관된 문제이므로 인증서 서비스를 먼저 재시작합니다(그림 9).

 

[그림 9] 인증서 서비스 재시작

 

7. 이제 다시 "Encrypting File System" 노드에서 오른 클릭해 [Create Data Recovery Agent] 메뉴를 클릭해보면, [그림 10]에서 보인것 처럼 정상적으로 데이터 복구 에이전트 인증서가 생성됩니다.

 

[그림 10] 데이터 복구 에이전트 인증서 생성 성공

Comment +0

이제 원격 액세스 활용의 마지막 단계로 가상 머신에서 인터넷 접속이 가능하도록 설정하는 방법과 외부에서 자신의 가상머신으로 원격 데스크톱 서비스에 연결할 수 있도록 라우팅 및 원격 액세스 서비스를 설정하는 방법을 살펴보자

 

앞서 원격 액세스 활용 2에서 잠깐 언급했지만, 라우팅 및 원격 액세스 구성을 하기전에 Hyper-V 관리자에서 먼저 내부 타입으로 가상 네트워크 스위치를 만들고 정적 IP를 부여해야 한다. 

예를 들면 호스트에서 [제어판 > 네트워크 및 인터넷 > 네트워크 및 공유 센터]로 가서 왼편 탐색창의 [어댑터 설정 변경]을 클릭하고 NIC 목록에서 Hyper-V에서 만든 "vEthernet (Internet)"의 속성 창을 띄운 뒤 "Internet Protocol Version 4(TCP/IPv4)"의 속성에서 다음과 같이 사설 IP 주소를 정적으로 할당하면 된다.

 

 

[가상 머신 설정]

먼저 Windows Server 2012의 Hyper-V에서 호스팅하고 있는 가상 머신에서 내부 타입의 가상 스위치를 통해 인터넷 접속을 가능하도록 구성해보자. 

 

1. Hyper-V에서 필요한 가상 머신을 시작하고 "Microsoft Hyper-V Network Adapter"의 "Internet Protocol Version 4(TCP/IPv4)"의 속성에서 다음과 같이 설정한다.

 

 

2. 가상 머신에서 IE를 실행하고 웹 사이트를 접속해보면 정상적으로 인터넷에 접근이 되는 것을 알 수 있다.

 

 

[가상 머신 원격 데스크톱 접속을 위한 설정]

이제 마지막으로 Hyper-V에서 사설 IP 로 호스팅 중인 가상머신에 원격 데스크톱 서비스로 연결하기 위한 설정을 살펴보자.

 

1. Windows Server 2012 호스트의 [라우팅 및 원격 액세스] 서비스를 실행하고 다음 그림 처럼 내부 타입의 가상 스위치를 오른 클릭한 뒤 [속성]을 선택한다.

 

 

2. [vEthernet (Atheros ~)] 라는 대화 상자에서 [서비스 포트] 탭을 클릭하고 아래의 [추가] 버튼을 클릭한다.

 

 

3. [서비스 추가] 대화상자가 실행되면 [서비스 설명] 항목에 적절한 이름을 넣고, [들어오는 포트]에 원하는 포트 번호를 넣고 [개인 주소] 항목에는 원격 데스크톱 서비스에 연결할 가상머신의 IP 주소를 넣는다. 마지막으로 [나가는 포트]에는 원격 데스크톱 서비스의 포트인 3389를 넣어준다.

 

 

4. 원격 데스크톱 서비스를 제공할 가상 머신에서 원격 데스크톱 서비스를 활성화 한다.

 

 

5. [Windows]+[R]을 눌러 실행창을 띄우고 "mstsc"를 입력한뒤 [원격 데스크톱 연결] 대화상자에서 다음과 같이 호스트의 주소와 조금전에 4번에서 설정한 들어오는 포트를 넣고 [연결] 버튼을 클릭한다.

 

 

6. 원격 데스크톱의 연결이 이뤄지고 인증 정보를 넘긴 다음에는 최종적으로 다음 그림 처럼 외부에서 가상머신의 원격 데스크톱을 붙어서 사용할 수 있게된다.

 

 

Comment +2

앞서 원격 액세스 활용 1에서 Windows Server 2012의 원격 액세스 역할을 설치했었다. 이제 이 글을 쓰는 첫 번째 목적인 사설 IP를 사용하는 가상 머신에서 인터넷에 접속 가능하도록 구성하는 방법에 대해 살펴보자.

 

1. 서버 관리자의 [도구] 메뉴에서 [라우팅 및 원격 액세스]를 실행하고 왼편 탐색창에서 해당 서버를 오른 클릭한 뒤 [라우팅 및 원격 액세스 구성 및 사용] 메뉴를 클릭한다.

 

 

2. [라우팅 및 원격 액세스 서버 설치 마법사]에서 [구성] 섹션에서 "NAT"를 선택하고 [다음] 버튼을 클릭한다.

 

 

3. [NAT 인터넷 연결] 섹션에서 "이 공용 인터페이스를 사용하여 인터넷에 연결"을 선택하고  인터넷에 연결된 NIC을 선택해준다.
NAT를 사용하려면 최소한 NIC이 두개이상 되어야 한다.

 


여기서는 Hyper-V에서 내부 타입의 가상 네트워크 스위치를 만들고 이를 통해 가상머신에서 인터넷 통신을 하는 것으로 구성한다.

사전에 Hyper-V에서 가상 네트워크 스위치를 미리 만들어 놓도록 하자.

 

4. [네트워크 선택] 섹션에서 앞서 3에서 선택한 공용 인터넷 액세스용 NIC와 통신할 내부 타입의 NIC를 선택하고 [다음]을 클릭한다.

 

 

5. [라우팅 및 원격 액세스 서버 설치 마법사 완료] 섹션이 나올때 까지 [다음]을 클릭하고 마지막 단계에서 [마침]을 클릭해 설치 마법사를 완료한다. 다음과 같은 경고 창이 뜬다면 경고 창을 닫지 말고 다음 단계를 진행한다.

 

 

6. 추가적으로 Windows 방화벽에서 [인바운드 규칙]과 [아웃바운드 규칙]에서 각각 [라우팅 및 원격 액세스(L2TP-In)]과 [라우팅 및 원격 액세스(L2TP-Out)]을 오른 클릭하고 [규칙 사용]을 선택한다.

 

 

7. 모든 설정이 완료되었다면, 다음 그림처럼 라우팅 및 원격 액세스의 서비스가 정상적으로 표시된다.

 

 

이로서 기본적인 구성을 마쳤다. 다음에는 이러한 구성을 기반으로 가상 머신에서 인터넷을 접근하기 위한 설정과 외부에서 가상 머신의 원격 데스크톱 서비스를 바로 접근하는 구성을 다뤄볼 것이다.

Comment +2

소규모 개발 조직에서 한 두대의 워크스테이션으로 개발 직원에게 개발이나 테스트용 가상 머신을 할당해 줄 수 있다면, 개발에 효율성을 기할 수 있다.
지금 다소 간단히 설명하는 방법은 다음과 같은 필요에 부합할 수 있다.

 

인터넷에 접속 가능한 공용 IP 하나로 가상 머신에서도 인터넷 접근을 가능하게 하고 싶다.
호스트 Windows Server는 원격 데스크톱을 접근하지 않고 각자의 가상 머신에 직접 원격 데스크톱 연결을 제공하고 싶다.

 

이제 부터 Windows Server 2012에서 이러한 필요성을 채워줄 수 있는 방법을 잠깐 다뤄보자. 총 4회에 걸쳐 위에서 언급한 필요성을 채워 볼것이다. 그러므로 먼저 원격 액세스 서비스를 설치하는 작업 부터 진행한다.

 

1. 서버 관리자에서 [역할 및 기능 추가]를 클릭하고 [서버 역할] 선택 항목까지 진행하고 나면 다음 그림에서 처럼 [원격 액세스] 항목을 찾을 수 있다.

 

 

2. 원격 액세스 항목을 체크하면 필요한 기능 추가를 요청하는 아래 그림과 같은 대화 상자가 뜬다. 여기서 [기능 추가] 버튼을 살포시 눌러준다.

 

 

3. 마법사를 계속 진행해 [원격 액세스] 하위의 [역할 서비스]에서 다음 그림 처럼 "라우팅" 항목을 선택해준다. NAT 기능을 사용하기 위해 필요하다.

 

 

4. 마지막 [확인] 단계까지 진행한 뒤 [설치] 버튼을 클릭해 역할 설치를 마친다.

 

 

5. 모든 설치가 잘 끝났다면 다시 서버 관리자에서 [도구] 메뉴에서 [라우팅 및 원격 액세스]라는 도구를 확인할 수 있다.

 

Comment +0

사실 2012년 클라우드 열풍과 함께 마이크로소프트의 서버 제품군에서도 많은 변화가 있었습니다. 가장 큰 변화는 새로 나오는 제품들이 기본적으로 클라우드라는 환경을 염두에 두고 개발되고 있다는 점이겠죠.

 

기존의 관리 및 보안과 관련된 제품 군에서도 변화가 있습니다. 그 변화에 선두에 서있는 제품이 System Center 2012 입니다. System Center 2012 는 사설 클라우드를 위한 토탈 관리 솔루션을 제공하도록 새롭게 포지셔닝 된 제품 입니다. Windows Server 2012의 커다란 변화와 System Center 2012 SP1의 등장은 사설 클라우드의 구축과 관리를 위한 마이크로소프트의 철학과 기술이 결집된 결과물입니다.

 

앞으로 System Center 2012 SP1과 윈도우 서버 2012에 대해 자주 포스팅할 기회가 있겠지만, 지금은 여기에 대한 얘기를 잠깐 접어 두고 Windows Server에 설치할 안티바이러스 백신을 궁금해하는 분을 위해 어디서 찾고 어떻게 설치하는지 지금 부터 제가 알려드리겠습니다. 결론부터 말하자면  Windows Server에 설치할 안티바이러스 백신은  System Center 2012에서 찾을 수 있습니다.

 

1. 먼저 다음의 사이트에서  System Center 2012 트라이얼 버전을 받는다.

 

System Center 2012 Trial Download

 

 

 

2. 위 사이트에서 [Download Trial]을 클릭하면 다음의 페이지로 이동합니다. 여기서 [Product] 라는 드롭다운을 클릭하고 "System Center Endpoint"를 선택하고 맨 아래 [Download Trial] 링크를 클릭한다.

 

3. 다음 그림의 [Get Started Now]를 클릭하면 해당 제품의 트라이얼 버전을 받게된다. 받은 제품을 적절한 위치에 풀어놓는다.

 

 

4. 제품을 풀어 놓은 위치로 가서 다음 그림에 나타낸것 처럼 SMSSETUP 폴더를 찾는다. 그리고 폴더 내에서 "CLIENT"라는 폴더를 확인한다.

 

5. 다음 그림 처럼 "CLIENT" 폴더 내의 SCEPInstall.exe라는 파일을 더블 클릭한다.

 

6. System Center 2012 End Point 설치 마법사가 다음 처럼 실행된다.

 

 

 

7. System Center 2012 End Point 사용권 계약에 동의한다.

 

 

 

8. 다음 화면에서 환경 개선 프로그램에 참여할지를 결정한다.

 

 

9. 보안 최적화를 실행하고 필요한 경우 방화벽을 켠다.

 

 

10. 이제 다음 설치 준비 완료 페이지를 읽어보고 혹 다른 백신 프로그램을 사용하는 경우는 그 전에 먼저 제거되어야 한다.

 

 

11. 설치 진행 페이지에서 설치 현황을 확인하고 설치 마법사에서 보여주는 [설치 완료] 페이지를 확인한다.

 

 

 

12. 이제 설치된 System Center 2012 End Point를 실행해 다음 그림 처럼 바이러스 및 스파이웨어 정의 상태를 업데이트한 뒤 해당 Windows Server에 대한 기초적인 검사를 수행할 수 있다.

 

 

이제 서버에 안티바이러스 백신을 설치했으므로 보다 안전한 서버 사용이 가능하다. 비록 트라이얼 버전을 받기는 했지만 클라이언트용 안티바이러스 백신에 대해서는 트라이얼 버전으로서의 제약이 해당되지 않는다.

 

 

 

 

 

 

 

 

 

Comment +0