10. #NAP#ISCSI#스냅숏#NAS이용한 장애조치 클러스터
#1 NAP
# NAP를 이용 해서 VPN 서버구축
NYC-DC1
사설 IP 10.10.0.10
서브넷 255.255.0.0
GW 없음
기본 DNS 10.10.0.10
AD 인증서 서비스 설치(EnterPrize 인증기관), 인증기관 웹등록, 온라인 응답자 설치
1. 관리도구 -> 인증기관 -> ContosoCA 오른쪽 클릭 인증서 템플릿 ->관리 -> 인증서 목록 : Computer 오른쪽 클릭 속성 -> 보안 탭 : Authenticated Users 등록 허가권 : 허가
NYC-SVR1
사설 IP 10.10.0.24
서브넷 255.255.0.0
GW 없음
기본 DNS 10.10.0.10
RRAS 서버 구축 VPN 서버 구축
NPS 서버 구축
공인 IP
131.107.0.10
서브넷
255.255.0.0
GW 없음
기본 DNS 없음
만일 도메인 구성원으로 인데 인증서 발급 요청 시 목록이 없으면 도메인 구성원으로 다시 편입 시킨 후 인증서 발급 요청 한다.
1. nyc-svr1 -> 실행 -> mmc -> 스냅인 추가/제거 -> 인증서 : 컴퓨터 계정 -> 마침 -> 컴퓨터 인증서 -> 개인 -> 모든 작업 -> 새로운 인증서 요청 -> 다음 -> 인증서 등록 페이지 : AD 등록정책 -> 컴퓨터 체크 등록 -> 성공
2. 관리도구 -> 서버관리자 -> 역활 -> 네트워크 정책 및 엑세스 서비스 -> 네트워크 엑세스 서버와 원격 엑세스 서비스 체크 -> 다음 -> 설치
3. 관리도구 -> 네트워크 정책 서버 -> 네트워크 엑세스 보호 -> 시스템 상태 검사기 -> 설정 -> 기본 구성 -> Windows 7/Windows Vista 선택 -> 모두 체크 해제, Windows 방화벽만 체크 해서 처리 -> Windows 보안 상태 검사기를 닫는다.
4. 정책 확장 -> 상태 정책 -> 새로 만들기 -> 정책이름 : Compliant -> 클라이언트 SHV 검사 : 클라이언트 모든 SHV 검사 통과 선택 -> Winsows 보안 상태 검사기 체크 -> 확인
상태 정책 -> 새로 만들기 -> 정책이름 : NonCompliant -> 클라이언트 SHV 검사 : 클라이언트가 하나 이상의 SHV 검사에 실패 -> Winsows 보안 상태 검사기 체크 -> 확인
5. 정책 확장 -> 네트워크 정책 기존의 정책은 사용 안함으로 처리
네트워크 정책 -> 새로 만들기 -> 정책이름 : Compliant-Full-Access -> 다음 -> 조건 : 추가 -> 상태 정책 더블 클릭 : Compliant -> 확인
-> 엑세스 허용 -> 구성 설정 : NAP 적용 : 전체 네트워크 엑세스 허용 체크 -> 마침
네트워크 정책 -> 새로 만들기 -> 정책이름 : Noncompliant-Restricted -Access -> 다음 -> 조건 : 추가 -> 상태 정책 더블 클릭 : NonCompliant -> 확인
-> 엑세스 허용 -> 구성 설정 : NAP 적용 : 제한된 엑세스 허용 체크 -> 마침 , 클라이언트 컴퓨터의 자동 업데이트 관리 사용 체크 해제
IPv4
입력 필터 : 대상 네트워크 체크 IP 주소 : 10.10.0.10 서브넷 마스크 : 255.255.255.255 확인 필터 동작 : 아래 목록에 있는 패킷만 허용 : 오로지 NYC-DC1에서만 패킷 허용
출력 필터 : 원본 네트워크 체크 IP 주소 : 10.10.0.10 서브넷 마스크 : 255.255.255.255 확인 필터 동작 : 아래 목록에 있는 패킷만 허용 : 오로지 NYC-DC1에서만 패킷 보낼 수 있다.
6. NPS -> 정책 -> 연결 요청 정책 -> 기본 연결 요청 정책 사용 안함으로 설정 -> 정책 이름 : VPN connections -> 네트워크 엑세스 유형 : Remote Access Server(VPN-Dail up) -> 추가 -> 터널 종류 : PPTP, SSTP and L2TP 체크 -> 연결 요청 전달 : 이 서버에서 요청을 인증 체크 -> 인증 방법 지정 : 네트워크 정책 인증 설정 무시 체크 -> EAP 종류 : 추가 : Microsoft: PEAP(Protected Extensible Authentication Protocol) 과 Microsoft:보안된 암호(EAP-MSCHAP v2) 추가 ->Microsoft: PEAP(Protected Extensible Authentication Protocol)-> 편집 -> 네트워크 엑세스 보호 적용 체크 - 마침
NYC-SVR1
VPN 서버 구축
1.
관리도구 -> 라우팅 및 원격 엑세스 -> 라우팅 및 원격 엑세스 구성 - 원격 엑세스(전화 접속 또는 vpn)->VPN 선택 -> 공인망 랜카드 선택 : 정책 패킷 필터 해제 ->ip 주소 할당 : 지정한 주소 범위에서 체크 -> 주소 범위 할당 : 새로만들기 : 범위 주소 : 10.10.0.100-10.10.0.110 -> 다중 원격 엑세스 관리 : 아니요, 라우팀 및 원격 엑세스 사용하여 연결 요쳥을 인증합니다 체크 -> 연결 요청 정책 -> MS 라우팅 및 원격 엑세스 정책 -> 중지 선택
2.
관리도구 -> 고급 보안이 포함된 windows 방화벽 -> 인바운드 규칙 -> 새 규칙 -> 사용자 -> 모든 프로그램 -> 프로토콜 타입 : ICMPv4 사용자 지정 : 반향 요청 체크 -> 다음 -> 다음 -> 연결 허용 -> 이름 : ICMPv4 echo request -> 마침
NYC-CL1 (도메인에 편입이 되어 있거나 중요한건 신뢰된 루트 인증 기관에 사설 인증 기관의 인증서가 설치 되어야 한다. 그러치 않으면 NAP 이 적용 되기 전에 VPN 서버가 인증서를 발급 받아야 한다...)
공인 IP
131.107.0.20
서브넷
255.255.0.0
GW 없음
기본 DNS 없음
1.
시작 -> 모든 프로그램 -> 실행 : gpedit.msc -> 로컬 컴퓨터 정책 -> 컴퓨터 구성 -> 관리 템플릿 -> windows 구성 요소 / 보안 센터 : 보안센터 사용(Domain Pcs 전용) -> 사용 체크 -> 마침
2. 클라이언트 NAP 구성
시작 ->모든 프로그램 -> 실행 : napclcfg.msc -> 적용 클라이언트 -> EAP 격리 적용 클라이언트 -> 사용 ->닫기
3. 관리도구 -> 서비스 -> NAP 에이전트 시작 처리
4. 네트워크 공유 센터 ->새 연결 또는 네트워크 설정 -> 회사에 연결 -> 내 인터넷 연결 사용(VPN) -> 나중에 인터넷 연결 사용 -> 인터넷 주소 : 131.107.0.10 다음 -> 대상 이름 : Contoso VPN -> 사용자 이름과 암호 입력 -> Contoso 속성 -> 보안 : 인증 :EAP(확장할 수 있는 인증 프로토콜) : Microsoft:PEAP(Protected Extensible Authentication Protocol) -> 속성 : 서버 인증서 유효성 확인 체크 : 다음 서버에 연결 체크 해제 : 인증 방법 선택 : 보안된 암호(EAP-MSCHAP v2) : 빠른 다시 연결 사용 체크 해제, 네트워크 엑세스 보호 사용 체크, 신뢰된 루트 인증 기관 체크
5. Anti-Virus 체크 후 클라이언트 컴퓨터가 백신이 없을 경우 제한된 네트워크로 적용된다...
#2 ISCSI
iSCSITargetQFE4.exe
# 스냅숏 기능
# NAS(ISCSI)를 이용한 장애조치 클러스터
Windows 2008 r2 서버 장애 조치 클러스트 구성
1. nyc-svr1, nyc-svr2 에서의 장애조치 클러스트링 설치
서버관리자 -> 기능 -> 장애 조치(failover) 클러스트링 체크-> 설치
2 관리도구 -> 장애 조치 클러스트링 메뉴 선택 -> 오른쪽 작업의 구성 유효성 검사 부분 클릭 -> 시작하기 -> nyc-svr1, nyc-svr2 도메인 구성원을 추가 시킨다.-> 테스트 옵션 화면에서 모든 테스트 실행이 선택된 상태에서 다음 버튼 클릭 -> 며 분 동안 클러스트로 구성이 가능한지 검사를 진행한다. 모든 검사가 문제가 없다면 클러스터가 가능합니다.
3 장애 조치 클러스터 초기 화면이 나오면 오른쪽 작업의 클러스터 만들기 클릭 -> 서버 선택 ->nyc-svr1, lon-svr1 선택 확인 두번 클릭 -> 클러스터 관리 엑세스 지점 화면에서 이름을 적절히 "NYCCluster"로 입력한다 , 그리고 네트워크 주소를 사용하지 않는 아무 주소로나 입력한다. 10.10.0.70를 입력한다. -> 잠시 기다리면 클러스트를 구성한다.-> 성공적으로 구성 후 마침을 누른다.
4 장애 조치 클러스트 관리 초기 화면이 다시 나오면서 왼쪽의 nyccluster.a.com 클러스터가 보인다. 각각의 항목을 클릭하면 오른쪽에 그 상태가 나타난다 .확인 후 종료
5 따로 lon-svr1는 장애 조치 클러스터를 구성할 필요는 없다.
-FTP 서비스의 클러스터링 구성
1. nyc-svr1, lon-svr1
FTP 서버 설치
2. nyc-svr1에서 익명사용자가 파일 업로드가 가능하도록 설정
2-0 설정을 위해서 클러스터 디스크인 R:를 사용해야 하는데 NYC-SVR2가 사용 중이다. nyc-svr2 가상머신의 vmware 머신에서 suspend 메뉴를 선택해서 잠시 중지 시킨다.
2-1 R:에 Ftphome 이라는 빈 폴더를 만들어 준다. 이 폴더를 nyc-svr1과 nyc-svr2 공통적인 FTP 홈 디렉토리로 사용할 것이다.
만약, [장애조치 클러스터 관리]가 실행 중이면 클러스터가 변경 되었다는 메세지가 나올 수 있다. 확인 버튼을 클릭해서 그냥 무시하면 된다.
3-2 FTP 사이트 -> Default FTP Site 중지됨 -> 시작 -> 쓰기 권한 -> 홈디렉토리 :R:\FtpHome 선택 쓰기 옵션도 선택
3-3 NYC-SVR2 동일하게 생성해야 한다 그런데 몇 가지 주의해서 할 일이 있다.
현재 : R: 에 nyc-svr2, nyc-svr1 동시에 접근되지 않기에, nyc-svr2 잠시 정지시켜 놓았다. nyc-svr2 사용하던 vmware 화면에서 nyc-svr2를 다시 가동 시킨다.
3-4 nyc-svr1, nyc-svr2 가동 여부를 서로 다시 체크해야 한다. 약 3~4분 정도를 그대로 두고 기다린다.
3-5 Windows 탐색기로 확인하면, nyc-svr2에는 Q:나 R:가 보이지 않는다.
3-6 nyc-svr1가 실행된 가상머신의 vmware 메뉴에서 suspend 메뉴를 선택해 잠깐 nyc-svr1를 일시 정지 시킨다.
3-7 약 1~2분 후에 nyc-svr2의 Windows탐색기에서 확인하면 R: 보일 것이다.
3-8 이제는 nyc-svr1과 같이 FTP 서버를 구축한다.
3-9 다시 nyc-svr1를 가상 머신을 구동한다.
4. NYC-SVR1
현재는 nyc-svr1과 nyc-svr2에서 각각의 FTP 서비스가 작동 중이다. 이를 가상 서버로 통합하자/
5-1 열린 창들을 우선 모두 닫는다. 그리고 nyc-svr1과 nyc-svr2가 상호 통신을 할 수 있도록 3~4분 정도 기다리자
5-1 관리도구의 장애조치 클러스터 관리 메뉴를 실핸한다.
5-2 왼쪽의 nyc-svr1Cluster.a.com 항목을 확장해서, '서비스 및 응용프로그램" 을 선택하고 마우스 오른쪽 클릭한 후 [서비스 또는 응용프로그램 구성] 메뉴를 선택한다. -> 기타 서버 선택 -> 클라이언트 엑세스 지원 : 이름 :FTPService 정도로 주고-> 가상 서버 : 10.10.0.100로 할당하자 -> 저장소 선택 -> FreeNAS에 있는 클러스트 디스크인 R: 드라이브가 보인다. R: 드라이브를 체크하고 다음 클릭
현재 FTP 서버의 홈 디렉토리인 R: nyc-svr1 또는 nyc-svr2 가상머신 중 한 곳이 점유하고 있다. 한 곳에서는 R: 보이지 않을 것이다.
5-3 장애조치 클러스터 관리 창이 다시 나오고, 잠시 기다리시면 설정된 FTPService를 확인할 수 있다 창 종료한다.
그림에서는 nyc-svr1가 Active 서버로 나와 있지만 종종 Active 서버와 Passive 서버가 바뀔수 있다. 어차피 둘 중 한 대를 정지시키고 가상 서버에서 FTP 서비스가 계속되는지를 확인할 것이므로 어떤 것이 Active 서버든 별 문제는 되지 않는다.
5 FTP 서버에 접속을 한다.
NYC-SVR1에서 접속이 되는 것을 확인 후 NYC-SVR1을 중지 시킨 후 Passive 서버가3~4 기다린 후 NYC-SVR2에서 계속적으로 서비스가 잘 이루어 지는지 확인한다.