흙수저의 엔지니어링

AD 계정에서 고정 IP 설정 적용하기

 Active Directory 사용자 및 컴퓨터 → 계정 선택 → "전화접속 로그인" 탭 선택 → 고정 IP 주소 할당 활성화 및 IP 설정

  - "고정 IP 주소 할당" 활성화

  - 고정 IP 주소 입력

SSLVPN 시 할당 받은 IP 주소 화면 입니다.

※ 방화벽에서 SSLVPN 접속 시 RADIUS의 설정 변경 필요

  - Fortigate 제품을 대상으로 테스트를 진행하였습니다.

   설정 화면은 아래 게시글을 참고 하세요.

네트워크 정책 생성

네트워크 정책 이름 및 연결 형식 지정

  - 정책 이름: 정책을 나타내는 이름

조건 지정

  - 추가

  - 조건 선택: 사용자 그룹

  - 그룹 추가

  - 그룹 선택: Domain Users

  - 그룹 추가 완료

  - 조건 지정 완료

액세스 권한 지정: 액세스 허용

인증 방법 구성: Microsoft 암호화 인증 버전 2(MS-CHAP-v2) 선택

제약 조건 구성: 기본 설정으로 진행

설정 구성: 기본 설정으로 진행

네트워크 정책 설정 완료

정책 우선 순위 변경

연결 요청 정책 생성

연결 요청 정책 이름 및 연결 형식 지정

  - 정책 이름: 정책을 나타내는 이름

조건 지정

  - 추가

  - 조건 선택: 액세스 클라이언트 IPv4 주소

  - 액세스 클라이언트 IPv4 주소

  - 조건 지정 완료

연결 요청 전달 지정

인증 방법 지정

설정 구성

연결 요청 정책 설정 완료

정책 우선 순위 변경

이 다음 설정은 아래 게시물을 보시기 바랍니다.

---------------------------------

https://dirt-spoon.tistory.com/162

RADIUS를 이용하여 SSLVPN의 계정 관리를 할 경우, SSLVPN 계정에 고정 IP를 할당 할 수 있습니다.

이는 보안 업무를 하는 입장에서 너무나 좋은 옵션입니다.

Windows Server에서 AD 등록된 사용자를  RADIUS 서버에 등록하여, 사용자에게 고정 IP를 제공하는 것을 해보겠습니다.

아래의 설정은 제가 설정한 방식으로 절대적인 설정은 아닙니다.

클라이언트 목록 생성

클라이언트 등록 (방화벽에서 RADIUS서버를 이용하려고 한다면, 방화벽이 클라이언트가  됩니다.)

  - 이름: 클라이언트를 표시할 이름

  - 주소: 클라이언트의 IP or DNS (해당 서버의 G/W IP)

  - 암호: RADIUS 서버와 클라이언트가 공동으로 사용할 패스워드

클라이언트 등록 완료

이 다음 설정은 아래 게시물을 보시기 바랍니다.

---------------------------------

https://dirt-spoon.tistory.com/160

윈도우즈 서버에서 RADIUS를 이용한 계정 관리를 해보기 위해 RADIUS 서버를 설치해 봅니다.

서버관리자 → 관리 → 역할 및 기능 추가를 실행하여 서버 역할을 실행하는 부분부터 작성하였습니다.

[설치하기]

Network Policy and Access Services 체크 후 다음 클릭

다음 클릭 (실제로는 Remote Server Administration Tools를 설치해야 하지만, 기본으로 필요한 것은 선택 됨)

다음 클릭

다음 클릭

설치 될 때까지 기다림

설치 완료 후 닫기

윈도우즈 업데이트 서버는 구축이 완료되었으니, 이제는 컴퓨터를 연결해보도록 하겠습니다.

방법은 2가지가 있습니다.

상황에 맞게 활용하시면 됩니다.

  1. 로컬 컴퓨터 정책에서 업데이트 서버를 지정하는 방법

  2. 레지스트리를 수정하여 업데이트 서버를 지정하는 방법

[1. 로컬 컴퓨터 정책에서 업데이트 서버를 지정하는 방법]

  - "로컬 컴퓨터 정책 → 컴퓨터 구성 → 관리 템플릿 → Windows 구성 요소 → Windows 업데이트 → 인트라넷 Microsoft 업데이트 서비스 위치 지정" 더블 클릭

  - WSUS로 구성한 IP 및 Port 입력

  - 업데이트 실행

  - WSUS 콘솔에서 "컴퓨터"를 클릭하여 새로 고치면 연결된 컴퓨터를 확인할 수 있음

[2. 레지스트리를 수정하여 업데이트 서버를 지정하는 방법]

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
#구성한 업데이트 서버(WSUS) 주소 지정
"WUServer"="http://192.168.000.000:8530"
#구성한 업데이트 서버(WSUS) 통계 서버 주소 지정
"WUStatusServer"="http://192.168.000.000:8530"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
#2 다운로드 알림 및 설치 알림
#3 자동 다운로드 및 설치 알림
#4 자동 다운로드 및 설치 예약
#5 로컬 관리자가 설정을 선택할 수 있도록 허용
"AUOptions"=dword:00000003
#인트라넷 Microsoft 업데이트 서비스 위치 지정 사용: "UseWUServer"=dword:00000001
#인트라넷 Microsoft 업데이트 서비스 위치 지정 사용 안함: "UseWUServer"=dword:00000000
"UseWUServer"=dword:00000001

  - 방법 2번의 레지스트리 파일

WSUS 구성 완료 후 추가 작업이 필요합니다.

보고서를 선택할 경우 추가 패키지를 설치해야 한다고 표시를 해줍니다.

아래의 화면처럼 보고서 클릭 후 아무 매뉴를 누르면 확인할 수 있습니다.

위의 화면을 업애기 위해서는 아래의 2가지를 설치해야 합니다.

  1. Microsoft SQL Server 2012 System CLR Types

  2. Microsoft Report Viewer 2012 Runtime

  2번을 먼저 설치할 경우 1번 설치가 선행되어야 한다는 메시지가 발생합니다.

[설치]

  1. Microsoft SQL Server 2012 System CLR Types

해당 사이트에 접속 후 "설치 지침"을 클릭하여 글을 펼친 후 "CLR"을 검색하시면 아래의 화면을 보실 수 있습니다.

버전에 맞게 다운로드하여 설치하시면 됩니다.

  - 영문

  - 한글

  - 설치 화면

[설치]

  2. Microsoft Report Viewer 2012 Runtime

화면의 "다운로드"로 바로 다운로드 받으시면 됩니다.

해당 URL 정보는 아래의 팝업 화면에서 URL을 클릭하면 바로 연결됩니다.

  - 설치화면

[설치 완료 확인]

  -  WSUS 콘솔 → Update Services → Server → 보고서 → "업데이트 상태 요약" 클릭 시 매뉴 확인 가능

윈도우즈 업데이트 서비스를 설치 한 이후에는 구성이 필요합니다.

WSUS 서버 구성 방법 입니다.

WSUS 서버 구성 마법사 실행하기

  - WSUS 콘솔 → Update Services → Server → 옵션 → WSUS 서버 구성 마법사 클릭

다음 클릭

다음 클릭

별도의 윈도우 서버와 동기화 하는 것이 아니라면 첫번째 항목 선택 후 다음 클릭

프록시 서버 사용하지 않을 경우 다음 클릭

업데이트 서버와 연결하기

  - 연결 시작 클릭 후 완료 될때까지 기다림

  - 연결 완료 후 다음 클릭

다운로드할 업데이트의 언어 선택 후 다음 클릭

업데이트할 제품 선택 후 다음 클릭

  - 저는 Windows Server만 선택 진행 함

동기화할 업데이트 등급 지정

동기화할 일정 구성 후 다음 클릭

"초기 동기화 시작" 체크 후 다음 클릭

마침 클릭

진행 상황 파악

  - WSUS 콘솔 → Update Services → Server → 동기화 → 오른쪽 상단 맨 윗 줄에 대한 상태가 하단에 표시 됨

  - 동기화 완료 (상당 시간 걸립니다)