2003/06/28

Windows Server 2003 개인방화벽(ICF) 사용

인터넷 연결 방화벽은 ISP를 통하여 전화 접속을 통하거나 또는 ADSL 또는 케이블 모뎀을 통하여 인터넷 연결을 할 때 전화 접속 연결 및 LAN 연결을 보호하는데 유용합니다.

또한 ICS 호스트 컴퓨터를 보호하기 위하여 ICS 호스트 컴퓨터에 대한 인터넷 연결에 인터넷 연결 방화벽을 사용할 수 있습니다.

Windows 2000 Server 에서는 마땅한 방화벽 툴이 없었습니다. 그 대안으로 IPSEC의 필터링 기능을 사용했습니다. 물론, IPSEC의 본래 기능은 필터링보다는 패킷보안 이죠.

Windows Server 2003 에서는 XP에서 제공하던 ICF 툴을 제공합니다. 물론, 사용법이 쉽긴 하지만, INBound에 대해서만, 그리고, 해당 포트에 대해서만 필터링이 가능한, 간단한 툴입니다.



INBound, OutBound, IPAddress, Domain, Subnet, Protocol, Port 등등 관리자마음대로 세팅을 할수 있는 기능은 제공하지 않습니다.

이를테면, 10.0.0.2 번에는 TCP모든 포트를 허용하고, UDP에대해서는 161번만 허용.... 이런 기능은 제공하지 않습니다. 그리고, TCP/IP 등록정보의 TCP/IP 필터링이 있긴한데, 별 쓸모없습니다.. 쓸모가 없다기 보다는 불편하다는 거죠..

제어할수 있는 기능도 미흡하구요. 위치는 네트워크 및 인터넷 연결 -> 해당 네크워크 인터페이스의 속성 -> 고급 에 있습니다.



27-icf_01.JPG
27-icf_02.JPG
댓글 없음:

2003/06/27

Windows Server 2003 시간서버와 동기화 하기

Windows 2000 Server 의 경우 표준시와 동기화 할려면, 레지스트리를 수정해주어야만 했었다. 그러나, Windows Server 2003의 경우는 제어판에서 간단하게 지정해 줄수 있다.



■ 한국시간 표준시를 제공하는 서버는 다음과 같습니다.
아래 서버중에서 자기가 속해 있는 ISP 또는 맘에 드는 곳으로 선택하심.. 됩니다.

데이콤 (gps.bora.net)
코넷 (ntp.kornet.net)
한국표준과학연구원 시간주파수 연구실 (time.kriss.re.kr) <--- 추천
부산대학교 (ntp1.cs.pusan.ac.kr / ntp2.cs.pusan.ac.kr)
PSINet Korea (time.nuri.net)
GNGIDC (ntp1.gngidc.net / ntp2.gngidc.net)

*데이콤과 GNGIDC, 부산대학교의 타임 서버는 GPS 수신기로부터 표준시각 정보를 제공받아 표준시각을 유지하고 있으며, 한국 표준과학 연구원의 타임서버는 세슘원자시계로부터 직접 표준시각 정보를 받아 표준시각을 유지하고 있다고 합니다.

일반적으로 자신이 사용하는 인터넷 회선의 ISP것을 사용하는 것이 좋습니다.


■ 참고사항
시간동기화는 UDP 123 포트를 통해서 동기화가 이루어 집니다. 그래서 방화벽이나 Proxy서버내에 있을경우 UDP123 포트가 열려있어야 합니다. 물론, OutBound 겠죠.^^

위의 방법의 경우, 수동 동기화 및 시간서버 지정입니다. 보다 세부적인 값 설정은 레지스트리 수정을 통해서 제어를 할수 있습니다.


W32Time 서비스 레지스트리 값
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

AvoidTimeSyncOnWan : REG_DWORD(옵션)
컴퓨터가 다른 사이트의 컴퓨터와 동기화되지 않도록 합니다.
0 = 시간 원본의 사이트를 무시합니다[기본값].
1 = 컴퓨터가 다른 사이트의 시간 원본과 동기화되지 않습니다. 

GetDcBackoffMaxTimes : REG_DWORD(옵션)
도메인 컨트롤러 찾기가 연속적으로 실패했을 때 백오프(Backoff) 간격을 두 배로 늘리는 최대 횟수입니다. 최대 대기 시간 동안 응답이 없을 때마다 이벤트가 기록됩니다.
0 = 연속 시도 간의 대기는 항상 최소이고 이벤트가 기록되지 않습니다.
7 = [기본값] 

GetDcBackoffMinutes : REG_DWORD(옵션)
마지막 시도가 실패한 경우 도메인 컨트롤러를 찾기 전에 대기하는 초기 시간(분)입니다.
15 = [기본값] 

LocalNTP : REG_DWORD
SNTP 서버를 시작하는 데 사용됩니다.
0 = 이 컴퓨터가 도메인 컨트롤러가 아니면 SNTP 서버를 시작하지 않습니다[기본값].
1 = SNTP 서버를 항상 시작합니다. 

NtpServer : REG_SZ(옵션)
NtpServer : REG_SZ(옵션) 시간 원본을 수동으로 구성하는 데 사용됩니다. 동기화할 원본 NTP 서버의 IP 주소 또는 DNS 이름을 이 값으로 설정합니다. net time 명령을 사용하면 명령줄에서 값을 수정할 수 있습니다. 기본적으로 값이 비어 있습니다.

Period : REG_DWORD 또는 REG_SZ
시간 서비스의 동기화 간격을 제어하는 데 사용됩니다. 문자열 값이 지정된 경우 아래 나열된 값 중 하나여야 합니다. 숫자(예: 65535)를 사용하여 문자열 값을 지정하는 경우 이 값을 REG_DWORD로 만들어야 하고, 단어(예: BiDaily)를 사용하여 문자열 값을 지정하는 경우에는 항목을 REG_SZ로 만들어야 합니다.
0 = 하루에 한 번
65535, "BiDaily" = 이틀에 한 번
65534, "Tridaily" = 3일에 한 번
65533, "Weekly" = 일주일에 한 번
65532, "SpecialSkew" = 동기화가 3번 성공할 때까지 45분에 한 번씩 실행하고 그 이후에는 8시간에 한 번씩 하루 3번[기본값]
65531, "DailySpecialSkew" = 동기화가 한 번 성공할 때까지 45분에 한 번씩 실행하고 그 이후에는 하루에 한 번
freq = 하루 freq번 

ReliableTimeSource : REG_DWORD(옵션)
해당 컴퓨터의 시간을 신뢰할 수 있는지 여부를 나타내는 데 사용됩니다.
0 = 해당 컴퓨터의 시간을 신뢰할 수 없습니다[기본값].
1 = 해당 컴퓨터의 시간을 신뢰할 수 있습니다(도메인 컨트롤러에서만 유효). 

Type : REG_SZ
컴퓨터의 동기화 방식을 제어하는 데 사용됩니다.
Nt5DS = 도메인 계층 구조로 동기화합니다[기본값].
NTP = 수동으로 구성된 원본으로 동기화합니다.
NoSync = 시간을 동기화하지 않습니다. 




26-time_server.JPG
26-Microsoft_TechNet.gif
댓글 없음:

가장 많이 본 글

  • WinTarget / ID: 10
    Microsoft iSCSI Software Target 서비스가 네트워크 주소 10.0.1.152, 포트 3260에 바인딩하지 못했습니다. 작업에 실패했습니다. 오류 코드: 10049. 이 포트를 사용하고 있는 다른 응용 프로그램 없는지 확인하십시오.
  • Windows Product Activation / ID: 1010
    Windows 라이센스가 시스템 오류에 의해 복구되었습니다. 사용자의 Windows에 대한 정품 인증을 다시 받아야 합니다.
  • Runas 를 이용한 관리자권한으로 프로그램 시작
    일상적인 관리작업에서 보안을 위해서는 관리자계정으로 로그인하지 않는 것이 좋은 방법입니다. 그러나, 관리자 권한이 필요한 프로그램의 경우 Runas를 이용하면 됩니다. Runas는 일반계정으로 로그인후, Runas를 이용해서 권한상승을 해서 관리자...