보통 WSS 및 ASP.NET 사이트를 구축하려면 반드시 시스템에 IIS와 함께, .NET Framework 2.0 이 설치되어 있어야 한다. 그러나 종종 IIS 가 설치되기 전에, .NET Framework 2.0이 설치를 해서, IIS 내에 .NET Framework 2.0 기능을 전혀 활성화 시키지 못하는 경우가 있다. 대부분의 경우는 2.0을 다시 설치하거나 기타 2.0에 관련된 Update를 하면 되기는 하지만, 이 또한 비용이 드는데다, 다시 설치하게 되면 기존 설치 기록들이 잘못 적용될 수 있다.
다시 설치하지 않고 해결 하는 방법은 의외로 간단하다. 일단 .NET Framework 2.0이 설치되어 있으면 아래와 같은 경로가 있을 것이다.
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727
위의 경로를 들어가면, 여러가지 관리도구들과 핵심 어셈블리들이 있는데, 그 중 aspnet_regiis.exe 를 이용하여 IIS에 관련된 .NET 구성요소를 설치하게 된다.
즉 aspnet_regiis.exe 에 -iru 라는 옵션을 넣어 한번 실행해 주면 완료된다. 아래에 이 aspnet_regiis.exe에 대한 옵션들에 대한 설명이다. 참고로 추가한다.
Administration utility (2.0.50727) to install and uninstall ASP.NET on the local machine.
-- ASP.NET REGISTRATION OPTIONS -- -i Install this version of ASP.NET and update scriptmaps at the IIS metabase root and for all scriptmaps below the root. Existing scriptmaps of lower version are upgraded to this version.
-ir Install this version of ASP.NET, register only. Do not update scriptmaps in IIS.
-iru Install this version of ASP.NET. If there are any existing applications that uses ASP.NET, it will not update scriptmaps in IIS.
-enable When -enable is specified with -i, -ir or -r, ASP.NET will be enabled in the IIS security console (IIS 6.0 or later).
-disable When -disable is specified with -i, -ir or -r, ASP.NET will be disabled in the IIS security console (IIS 6.0 or later).
-s <path> Install scriptmaps for this version at the specified path, recursively. E.g. aspnet_regiis.exe -s W3SVC/1/ROOT/SampleApp1
-sn <path> Install scriptmaps for this version at the specified path, non-recursively.
-r Install this version of ASP.NET and update scriptmaps at the IIS metabase root and for all scriptmaps below the root. Existing scriptmaps are upgraded to this version regardless of the original versions.
-u Uninstall this version of ASP.NET. Existing scriptmaps to this version are remapped to highest remaining version of ASP.NET installed on the machine.
-ua Uninstall all versions of ASP.NET on the machine.
-k <path> Remove all scriptmaps to any version of ASP.NET from the specified path, recursively. E.g. aspnet_regiis.exe -k W3SVC/1/ROOT/SampleApp1
-kn <path> Remove all scriptmaps to any version ASP.NET from the specified path, non-recursively.
-lv List all versions of ASP.NET that are installed on the machine, with status and installation path.
-lk List all the path of all IIS metabase keys where ASP.NET is scriptmapped, together with the version. Keys that inherit ASP.NET scriptmaps from a parent key will not be displayed
-c Install the client side scripts for this version to the aspnet_client subdirectory of each IIS site directory.
-e Remove the client side scripts for this version from the aspnet_client subdirectory of each IIS site directory.
-ea Remove the client side scripts for all versions from the aspnet_client subdirectory of each IIS site directory.
-ga <user> Grant the specified user or group access to the IIS metabase and other directories used by ASP.NET.
문제 유형 C#을 이용해 독립적인 클래스를 하나의 DLL로 만들어 GAC에 등록하는 경우가 종종있습니다.특히 서버용 구성요소를 만들다 보면 자주 이런 식으로 구현하게 되는데,이 경우 자동으로 Gac에 등록되게 할 수 있도록 프로젝틔 속성 내에 있는 빌드 이벤트를 이용하곤 합니다.
빌드 이벤트 내에 아래와 같은 형태로 넣을 수 있습니다.
빌드 전 이벤트 명령줄(R) gacutil.exe /u $(ProjectName)
빌드 후 이벤트 명령줄(O) gacutil.exe /i $(TargetFileName)
해당 항목에 위의 굵은 줄 부분을 넣게 되면, 자동적으로 빌드 하기 전에 GAC에
등록되어 있는 어셈블리를 해제 했다가, 빌드가 완료된 후 다시 GAC 상에 등록 해주게 됩니다. 일반적으로 간단한 DLL에서는 위와 같이 작업하게되면 큰 문제없이 컴파일 되며
정상적으로 동작합니다.
그러나 팀 작업이나 기타 다른 이가 작성한 프로젝트를 가져와 작업하는 경우
위의 설정에서 오류가 발생할 수 있습니다.
저 같은 경우에는 아래와 같은 오류 메시지가 뜹니다.(XXX.XXXX.XXXXX는 어셈블리
이름입니다.)
오류 1 "gacutil.exe /u XXX.XXXX.XXXXXX"
명령이 9009 코드에서 끝났습니다.
문제 원인 분석 오류에서 나타내고 있는 9009 코드라는 것에 대한 정확한 의미를 찾을 수 없습니다.
일단 각종 포럼에서 제시한 문건들을 보면 Gacutil.exe 뿐만 아니라, 다양한 명령줄
실행 중에 발생한다는 것을 쉽게 발견하실 수 있습니다. 그래서 여기서는 Gacutil.exe
만을 가지고 판단하도록 하겠습니다
제가 gacutil.exe를 버전 별로 실행해본 결과,
위와 같은 오류가 발생되는 원인이 1.1.4X 버전의 .NET Framework 내에
있는 Gacutil.exe가 불려져서 발생되는 경우가 가장 많습니다.(최소한 저와 같은
환경에서는 그렇습니다.) 왜 그런지는 알 수 없지만 VS 2005의 빌드 이벤트 명령줄은
Gacutil.exe를 2.0 용이 아닌 1.0 버전용을 먼저 호출 되고 있다고 판단됩니다.
해결 방법 1. 전체 경로로 바꾸어 처리하기. 이 경우 외국 사이트 등을 방문하여 해당 문건에 대해 처리하는 방법에 대한 각종
질의 답변 글을 보면 다음과 같은 방법으로 해결하라고 적혀 있습니다.
즉 실행하려면 파일에 대한 전체 경로와 파일명을 넣어주고 처리해주면 된다는
것입니다.실제로 저 같은 경우에도 프로젝트의 속성에 들어가 빌드 이벤트 항목의 두 문장을
위와 같이 수정했으며 정상적으로 컴파일 되는 것을 확인했습니다.
2. 검색 경로에 포함시키기. 그러나 프로젝트 파일에 대한 수정권한이 없는 경우가 있습니다. 특히 팀 프로젝트를
하게 되는 경우 이 프로젝트 파일을 수정할 수 없습니다. 수정하지 않고 위의 방법을 적용하는 마땅한 방법이 없습니다.
그러나 %PATH% 경로의 내용에 위의 BIN 폴더의 경로를 넣으면 해결됩니다.
방법은 아래와 같습니다.
- 내 컴퓨터 -> 속성 -> 고급 -> 환경 변수에 들어가 각종 환경
변수 설정 창을 띄웁니다.
- 시스템 변수 쪽에서 Path 라는 항목을 더블 클릭해서 편집 창을 띄웁니다.
- 각종 경로들 중 windows 시스템 폴더들을 가르키는 부분 뒤쪽에 넣습니다.
(위치는 크게 관계 없지만, 가급적 앞쪽으로 배치하는 것이 좋습니다.
저 같은 경우 %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;
뒤에 놓았습니다. )
- Visual Studio 2005를 다시 시작합니다.
경로를 변경해 본 결과 큰 문제없이 컴파일이 되며 정상적으로 gacutil.exe가
실행된 것을 확인할 수 있었습니다.
마무리 해결방법이라고 두가지를 제시해 드렸지만, 소 뒷걸음 치다 쥐잡은 것과 같은
결과 입니다. 일단 컴파일 중 오류로 나타낸 코드 9009 의 정체는 아직 찾지 못했읍니다
왜 갑자기 v1.0용 Gacutil.exe를 실행하는 것인지는 모르겠지만,
아마 다른 서버 제품이 설치되어 있어 발생되는 것인지도 모르겠습니다.
(현재 제 개발용 PC내에는 SQL 2005와 SPS 2007이 설치되어 있습니다.)
나중에 더 많은 내용을 알게 되면 추가해서 적어보도록 하겠습니다.
MOSS 2007을 설치 할 때 Administrators가 아닌 사용자로 등록 설치를 하는 경우 이벤트 로그 상에 문제가 발생한다.
이 이벤트 로그 상에 남은 내용을 분석하면 특정 컴포넌트의 CLSID를 볼 수 있다. <CODE> The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID {61738644-F196-11D0-9953-00C04FD919C1} to the user NAOKO\spsadmin SID (S-1-5-21-3407409610-886466911-3668891564-1015). This security permission can be modified using the Component Services administrative tool. </CODE> 이 컴포넌트를 regedit를 이용해서 찾으면 다음과 같은 위치에서 발견 될 것이다.
이름을 확인해 본 결과 IIS WAMREG admin Service 이다. 이 서비스 내에 작업을 하는 중 spsadmin(이것이 User 권한만을 가진 MOSS 2007 관리자다.)가 이 컴포넌트에 대해 Local Activation 권한이 없어 실행되지 않았다고 한다.
이에 대한 권한 설정은 Component Service를 실행한 뒤 다음 위치에서 찾아보면 찾을 수 있다.
이 컴포넌트의 속성에 들어가서 속성 창에서 보안 부분을 열도록 한다.
Edit 버튼에 들어가서 해당 사용자를 추가 한뒤 Local Lauch와 Local Activation에 대해 권한을 허용해 준다.
COM을 이용한 권한 상승 Moniker란, 사용자 계정 권한 제한(Limited User Accout : LUA )하에서 동작 해야 하는 응용 프로그램이 권한 상승을 할 수 있도록, COM 클래스의 활성화 작업을 수행하는 것입니다. LUA에 대한 더 자세한 사항은 Security in Longhorn : Focus on Least Privilege을 보시기 바랍니다.
Elevation Moniker를 사용할 때 Elevation moniker란, 권한이 제한된 상태로 실행 중인 COM 클래스가 시스템 날짜 및 시간을 설정하는 것과 같이,높은 권한을 필요로 하는 경우 해당 권한을 활성화 주는 것을 말합니다. 권한 상승 작업은 COM 클래스 자체 뿐만 아니라, COM 클래스를 사용하는 클라이언트까지, 두가지다 필요합니다. 먼저 COM 클래스는 권한 상승을 하기 위한 설정 작업으로 자신의 레지스트리 항목 중 Requirements 섹션에 별도의 기록을 수행해야 합니다. 그리고, COM 클라이언트는 별두 작업을 수행하기 보다, 권한 상승 Moniker을 이용하여 권한 상승요청을 하면 됩니다. 권한 상승 Moniker 자체는 응용 프로그램 호환성을 고려하여 구성하지 않았습니다. 즉 보안을 중심으로 고려하였기 때문에, 별도의 우회적인 회피방법을 제시하진 않습니다. 그래서 과거의 COM 클래스와 클라이언트 간의 권한 상승 문제로 응용 프로그램 호환성 오류가 발생할 수 있습니다. 예를 들어, WinWord와 같이 권한 상승을 높아야 하는 기존 COM 클래스를 COM 클라이언트에서 실행하려면, COM 클래스 뿐만 아니라, COM 클래스를 이용하는 클라이언트도 권한 상승 Moniker로 활성화 시켜야 합니다. 단, 기존 COM 클래스의 CLSID로 CoCreateInstance를 호출해 COM 클라이언트의 권한을 상승 시켰어도, COM 클라이언트의 권한은 COM 서버 프로세스의 권한을 따라가게 됩니다. 물론, 모든 COM 자체의 기능 수행에 반드시 권한 상승이 필요한 것은 아니지만, 다음과 같은 제한들로 정상적으로 동작하지 않을 것입니다.
COM 클라이언트의 권한이 높더라도 원격 COM 서버의 권한까지 높아지는 것은 아닙니다. 클라이언트가 권한 상승 Moniker로 권한 상승을 했다고 하더라도, COM 서버 자체가 자동적으로 권한 상승되진 않습니다.
만일 권한 상승된 COM 클래스가 COM 호출 시 impersonation(가장화)를 사용할 때, impersonation(가장화) 중에 상승된 권한을 잃게 될지 모릅니다.
만일 권한 상승된 COM 서버가 Running Object Table(ROT)상에 클래스를 등록할 때, 권한 상승되지 않은 클라이언트에서는 그 클래스를 활용하지 못합니다.
중간(Medium) 보다 높은 통합 레벨(Integraity Level : IL )로 동작하는 프로세스는 COM 활성화 중에 사용자 별 클래스를 적재 할 수 없습니다. 만일 COM 응용 프로그램이 Administrators 급 계정이던 아니던 간에 사용하게 하려면, HKEY_LOCAL_MACHINE 레지스트리 상에 응용 프로그램의 COM 클래스가 설치되어 있어야 합니다. 만일 Administrators 급 계정에서만 응용 프로그램을 사용하게 된다면 응용 프로그램 COM 클래스는 반드시 HKEY_USERS 쪽에 설치하셔야 합니다.
권한 상승되지 않은 응용 프로그램에서 상승된 응용 프로그램쪽으로 드래그 앤 드랍을 지원하지 않습니다.
필요사항 COM 클래스를 활성화 하기 위해 권한 상승 Moniker를 사용하기 앞서 클래스는 반드시 실행 사용자 또는 '활성자로써 활성화(Activate as Activator)'의 응용 프로그램 ID로 실행 할 수 있도록 설정되어 있어야 합니다. 만일 클래스가 여타 다른 ID하에서 실행되도록 설정하려면, Activation에서는 CO_E_RUNAS_VALUE_MUST_BE_AAA 에러를 돌려주게 됩니다. 클래스에서는 반드시 다중 언어 사용자 인터페이스(MUI) 호환이 되는 "친숙한" 표시 이름으로 되어 있어야 합니다. 여기서는 다음과 같은 레지스트리 항목이 필요하게 됩니다.:
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\
{CLSID}\LocalizedString = <displayname>
만일 항목이 빠진 경우, Activation에서는 CO_E_MISSING_DISPLAYNAME 에러를 돌려주게 됩니다. 만일 MUI 파일이 빠진 경우 RegLoadMUIStringW API에서 에러 코드를 돌려주게 됩니다. 추가적으로, LUA 사용자 인터페이스에서 보여주게 될 응용 프로그램 아이콘을 표시하려면 다음 레지스트리 키를 추가해 줍니다.:
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\
{CLSID}\IconReference = <applicationicon>
COM 클래스에서는 LUA-Enabled 와 같은 표시가 반드시 필요합니다. 이 사항을 적용하려면 다음과 같은 레지스트리 항목을 추가하시면 됩니다.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\
{CLSID}\Elevation\Enabled = 1
만일 항목이 빠져 있는 경우 Activation에서는 CO_E_ELEVATION_DISABLED이라는 에러를 돌려주게 됩니다. HKEY_LOCAL_MACHINE 항목 상에 이들 항목이 있는 경우, HKEY_CURRENT_USER 및 HKEY_USERS 항목에서는 없어야 합니다. 이는 COM 클래스의 권한 상승을 레지스트리 등록 권한이 없는 사용자가 멋대로 등록하는 경우를 방지하기 위해서 입니다.
권한 상승 Moniker 및 권한상승 UI 만일 클라이언트가 이미 권한 상승 Moniker로 권한 상승이 된 경우, 권한 상승 UI를 보여주지 않게 합니다.
권한 상승 Moniker를 사용하는 방법 권한 상승 Moniker는 표준 COM Moniker이며, 세션, 파티션 또는 큐 형태의 Moniker들과 유사합니다. 특정 권한 레벨을 특정 서버에 활성 요청을 관리합니다.Moniker 문자열에서 활성화 할 CLISID를 나타냅니다. 권한 상승 Moniker에서는 다음과 같은 실행 레벨 토큰들을 지원합니다.
앞의 문법 중에서 해당 GUID의 COM 클래스의 새로운 인스탄스를 받으려면 "new" Moniker를 사용하면 됩니다. 여기서 "new" Monker에서는 클래스 객체를 탑재한 후 IClassFactory::CreateInstance를 호출하기 위해 IClassFactory interface 를 내부적으로 사용한다는 것에 주의해주시기 바랍니다. 또한 권한 상승 Moniker가 IClassFactory를 구현하기 위해 클래스 객체를 얻을 때 이용 될 수 있습니다.그리고 호출자에서는 객체 인스탄스를 얻기 위해 IClassFactory::CreateInstance 를 호출하게 됩니다. 이 사항에 대한 문법은 다음과 같습니다.
한가지 추가적인 사항은 HWND 필드, hwnd가 있습니다.이 핸들은 대부분의 경우 권한 상승 UI의 부모가 될 윈도우를 나타내게 됩니다. 만일 hwnd가 NULL인 경우 COM은 현재 스레드에 관련된 Window Handle을 찾기 위해 GetActiveWindow를 호출하게 됩니다. 클라이언트가 스크립트로 구성되어, 발생되는 경우로 BIND_OPT3 구조체의 정보가 불완전하게 담기게 됩니다. 이 경우, COM에서는 스크립트 스레드와 관련된 Window를 사용하도록 시도하게 됩니다.
Over-The-Shoulder 권한 상승(OTS) Over-the-shoulder 권한 상승 (Over-the-shoulder elevation : OTS)은 사용자 자체 권한 이라기 보다 관리자 권한을 가진 사용자의 권한으로 COM 서버가 동작하는 클라이언트에서 볼 수 있는 시나리오 상황 입니다.(Over-the-shoulder 의 의미는 사전적으로 훔쳐보다로써, 클라이언트가 서버를 동작시키는 것과 같이 클라이언트 권한 밖에서 관리자 처럼 동작시키는 것을 의미합니다.) 이 시나리오에서는 서버로 COM을 호출하는 문제를 발생시킬 수 있습니다. 그 이유로는 서버가 명확하거나(대부분 프로그램 로직상으로), 무조건적으로(정확히 말하자면, 레지스트리를 이용하여) CoInitializeSecurity를 호출하지 못하기 때문입니다. 그런 서버들 때문에, COM에서는 서버로 COM을 호출 할 수 있도록 SELF, SYSTEM 및 Builtin\Administrators를 나타내는 보안 명세서를 산정하게 됩니다.이 명세서는 OTS 시나리오에서 동작하지 않습니다. 대신에 서버는 INTERACTIVE SID 및 System Group을 포함하는 ACL을 명시에 명확하고 무조건적적으로 방법을 벗어나 CoInitializeSecurity를 반드시 호출하게 해줍니다. 다음 예제 코드에서는 INTERACTIVE group SID로 보안 명세서(security descriptor : SD)를 어떻게 생성하는지 보여주게 됩니다.
[CODE] BOOL GetAccessPermissionsForLUAServer(SECURITY_DESCRIPTOR **ppSD) { // Local call permissions to IU, SY LPWSTR lpszSDDL = L"O:BAG:BAD:(A;;0x3;;;IU)(A;;0x3;;;SY)"; SECURITY_DESCRIPTOR *pSD; *ppSD = NULL; if (ConvertStringSecurityDescriptorToSecurityDescriptorW(lpszSDDL, SDDL_REVISION_1, (PSECURITY_DESCRIPTOR *)&pSD, NULL)) { *ppSD = pSD; return TRUE; } return FALSE; } [/CODE]
다음 예제 코드는 이전 예제 코드에서 SD로 명확하게 CoInitializeSecurity를 호출하는 방법을 보여줍니다.
COM 권한 및 위임 접근 라벨(COM Permissions and Mandatory Access Labels) Windows Vista에서 보안 상세서(security descriptors : SD)에 있는 위임 접근 라벨에 대한기본적인 내용을 소개하였습니다.라벨에서는 클라이언트가 COM 객체로 접근 실행할 수 있도록 지시하게 됩니다. 라벨에는 보안 명세서의 시스템 접근 제어 리스트(system access control list : SACL)내에 명시되어 있습니다. Windows Vista에서는 COM 자체적으로 SYSTEM_MANDATORY_LABEL_NO_EXECUTE_UP 라벨을 지원합니다. Windows Vista 이전 운영체제에서는 COM 권한 내의 SACLs들의 내용이 무시되었습니다. Windows Vista에서는 dcomcnfg.exe가 COM 권한 내에서 더 이상 통합 레벨(IL) 변경을 지원하지 않습니다. 반드시 프로그렘 적으로 설정하게끔 되어 있습니다. 다음 예제 코드에서는 모든 낮은 IL 클라이언트에서 실행/활성화 요청을 할 수 있도록 라벨을 이용하여 COM 보안 명세서를 어떻게 생성하는지에 대해 나타내고 있습니다. 이렇게 하면, 일정한 IL을 가진 클라이언트에서 실행, 활성화 또는 호출에서 실패된 COM 서버를 쓸 수 있게 됩니다.통합 레벨(IL)에 대한 더 자세한 사항은 Understanding and Working in Protected Mode Internet Explorer 안에 있는 "Understanding Windows Vista's Integrity Mechanism" 섹션을 보시기 바랍니다.
[CODE] BOOL GetLaunchActPermissionsWithIL (SECURITY_DESCRIPTOR **ppSD) { // Allow World Local Launch/Activation permissions. Label the SD for LOW IL Execute UP LPWSTR lpszSDDL = L"O:BAG:BAD:(A;;0xb;;;WD)S:(ML;;NX;;;LW)"; if (ConvertStringSecurityDescriptorToSecurityDescriptorW(lpszSDDL, SDDL_REVISION_1, (PSECURITY_DESCRIPTOR *)&pSD, NULL)) { *ppSD = pSD; return TRUE; } } BOOL SetLaunchActPermissions(HKEY hkey, PSECURITY_DESCRIPTOR pSD) { BOOL bResult = FALSE; DWORD dwLen = GetSecurityDescriptorLength(pSD); LONG lResult; lResult = RegSetValueExA(hkey, "LaunchPermission", 0, REG_BINARY, (BYTE*)pSD, dwLen); if (lResult != ERROR_SUCCESS) goto done; bResult = TRUE; done: return bResult; }; [/CODE]
CoCreateInstance 및 통합 레벨(IL) CoCreateInstance의 기능은 Windows Vista에 이르러 낮은IL 클라이언트에서 기본적으로 COM 서버를 연결하는 것을 방지하게 끔 변경되었습니다. 서버는 반드시 SASL로 명시하여 연결해야 명확하게 연결되게 됩니다.CoCreateInstance의 변화된 사항은 다음과 같습니다.
COM 서버 프로세스를 실행할 때, 서버 프로세스 토큰 내 IL이 클라이언트 또는 서버 토큰 IL으로 설정되어 있어야 하며, 무엇보다 IL이 낮아야 합니다.
기본적으로, COM은 어떠한 COM 서버의 인스탄스를 실행하기 위해 낮은 IL 클라이언트이 연결하는 작업 자체를 배제합니다.연결을 허용하려면, COM 서버의 실행/활성화 보안 명세서(Launch/Activation security descriptor)가 낮은 IL 라벨 상에 명시되어 있는 SACL이 담겨 있어야 합니다.(이와 같은 보안 명세서를 생성하기 위한 예제 코드를 이전 섹션에서 보실 수 있습니다.)
권한 상승된 서버 및 ROT 등록 만일 COM 서버에서 실행 객체 테이블(Running Object Table : ROT)에 등록하는 경우나 기타 클라이언트 상에서 등록을 할 수 있도록 하려면, 제일 먼저 을 원하는 경우 ROTFLAGS_ALLOWANYCLIENT 플래그를 사용하셔야 합니다. 단, '활성자로써 활성화(Activate as Activator)' 형태의 COM 서버에서는 ROTFLAGS_ALLOWANYCLIENT를 명시해줄 수 없는데 그 이유는 DCOM 서비스 컨트롤 관리자(DCOMSCM)에서 강제적으로 이 플래그에 대한 속임수 체크를 수행하기 때문입니다. 그러므로 Windows Vista에서는 COM에서 새로운 레지스트리 항목에 대한 지원을 추가해야 합니다. 새로운 레지스트리 항목은 클라이언트에 가능하게 만들어주는 ROT 등록을 명시적으로 할 수 있도록 서버를 허용하는 항목입니다.
HKEY_LOCAL_MACHINE\Software\Classes\AppID\
{ APPID }
REG_DWORD_ROTFlags
단 한개의 이 항목에 대해 적용가능한 값은 다음과 같습니다.
[CODE] ROTREGFLAGS_ALLOWANYCLIENT 0x1 [/CODE]
이 항목은 HKEY_LOCAL_MACHINE 영역에 있어야 합니다. 그리고 ROTFLAGS_ALLOWANYCLIENT 로 RunAs server가 제공되는 기능을 '활성자로써 활성화(Activate as Activator)'와 동일하게 동작하기 위한 사항입니다.
추가적인 사항 Reference BIND_OPTS3
기타 자료 Understanding and Working in Protected Mode Internet Explorer
윈도우를 포함한, 최신 운영체제 대부분은 응용 프로그램이나 각종 프로세스를 실행할 때, 실제 메모리 주소 공간과 매핑되어 있는 가상 메모리 주소 공간 상에서 항상 실행되도록 되어 있습니다. 단지 운영체제 핵심 커널만 실제 메모리 주소 공간을 이용하게 됩니다.
가상 메모리를 항상 이용 함으로써 시스템 상에 설치된 물리적인 램 크기를 넘어서는 용량이 필요한 프로세스들도 정상적으로 동작하게 됩니다.
프로세스와 주소 공간
32 비트 윈도우에서는 실제 시스템 상에 메모리가 얼마이든 간에 모든 프로세스는 4G(Giga Byte)[ 2 ^ 32 -1) ]의 용량의 가상 메모리 주소 공간을 가져올 수 있습니다.
기본 윈도우 설정을 기준으로 4G 중 2G 부분은 프로세스 개별적으로 이용하게 되는 주소 공간이고 나머지 2G는 다른 프로세스 및 운영체제와 공유해서 이용하게 되는 주소 공간입니다.
그래서 보통 응용 프로그램(메모장, 엑셀, 인터넷 익스플로어 등)은 2G 개별 주소 공간내에서 실행되도록 구성 되게 됩니다. 이 때 운영체제는 단지 응용 프로그램에서 필요로 하는 용량 만큼 가상 메모리 페이지 크기에 맞게 RAM상에 페이지 프레임(Page Frame)을 지정하게 됩니다.
여기서 물리 주소 확장(Physical Address Extention : PAE)이라는 기능이 있는데, 물리 메모리 주소를 36 비트로 확장해주는 32비트 아키텍처 입니다.(역주: 32비트 컴퓨터에서는 보통 32 비트의 물리 메모리 주소, 즉 최대 4G [ 2 ^ 32 - 1 ]의 주소공간을 가질 수 있읍니다. 이를 36비트로 확장한다는 의미입니다. 그러므로 최대 64G[ 2 ^ 36 - 1 ]의 주소공간을 가질 수 있게 됩니다.) - 참고 할 만한 정보로는 http://support.microsoft.com/kb/268363 를 보시면 됩니다. 그러나 이 가상 메모리는 PAE로 인해 크기적인 변화가 없으며 단지, 프로세서(CPU)에서 시스템 내에 설치된 메모리의 주소 영역만 확장되는 것입니다.
이 때 프로세스 내에서 동작되는 32Bit 기준의 가상 메모리 주소 공간과 36Bit 메모리 주소 공간 간의 변환 작업은 운영체제에서 관리하는 변환 표(Translate Table)에 따라 하드웨어 상에서 자동적으로 제어되며 투명하게 변환이 됩니다.
다음 목록은 각각 윈도우 버전 및 에디션에 따른 지원되는 최대 램용량입니다.(2004년 11월 현재 기준)
Windows NT 4.0: 4 GB
Windows 2000 Professional: 4 GB
Windows 2000 Standard Server: 4 GB
Windows 2000 Advanced Server: 8GB
Windows 2000 Datacenter Server: 32GB
Windows XP Professional: 4 GB
Windows Server 2003 Web Edition: 2 GB
Windows Server 2003 Standard Edition: 4 GB
Windows Server 2003 Enterprise Edition: 32 GB
Windows Server 2003 Datacenter Edition: 64 GB
페이지 파일
램은 제한 적인 자원인 반면, 가상 메모리는 이상적인 주소 공간이기 때문에 이론적으로 제한이 없습니다. 물론 프로세스 별 최대 할당될 수 있는 주소 크기는 2G입니다. 모든 프로세스들이 사용하는 총 메모리 용량이 실제 메모리의 총 용량을 넘어서면, 운영체제에서는 하나 혹은 여러개의 가상 메모리 주소의 페이지(4Kb 단위의 조각)를 하드 디스크 상에 옮기고, 옮겨진 양 만큼의 메모리 공간을 회수 하게 됩니다. 윈도우 시스템에서는 이들 "페이지 아웃(Paged Out)"된 를 pagefile.sys라고 불리는 파일을 한개 혹은 여러 개로, 시스템 하드 디스크의 루트 디렉토리 상에 저장하게 합니다. 물론 이 파일을 각 하드 디스크의 파티션 별로 하나씩 담을 수도 있습니다. 이 부분에 대한 설정은 시스템 등록정보, 고급, 성능(설정 탭을 클릭)에서 하실 수 있습니다.
가장 많은 질문 내용 중에 "페이지 파일을 얼마나 크게 잡아야 되나요?" 라는 것이 있는데, 사실 이 질문에 대한 정확한 한가지 답은 없습니다. 그 이유는 설치된 램 크기와 작업 중에 가상 메모리 사용량에 따라 달라지기 때문입니다. 그 외 특별한 사항이 없다면, 일반적으로 설치된 메모리의 1.5 배의 용량으로 구성하는 것이 가장 좋은 형태라고 권장하고 있습니다. 서버 시스템 중 일반적인 목적을 위해 구성되어 충분한 램 용량을 갖추어 있다면 굳이 페이지 파일을 구성할 필요는 없습니다. 이런 시스템에서는 큰 페이지 파일을 만들어 제공할 필요가 거의 없는 것이죠. 그러나 다른 한편으로는 간혹 발생될 큰 규모의 메모리 할당이 요구 될 시, 시스템 불안정한 상황이 발생할 수 있습니다. 이런 경우를 대비하기 위해 통상 앞서 말씀 드린 1.5배 이상의 가상 메모리를 미리 잡아 두는 것도 나쁘지는 않습니다.
성능, 아키텍처 상 제한 과 RAM
어느 컴퓨터 시스템이든 간에, 작업량(사용자 수, 업무를 수행하는 개수)이 증가되면 성능(업무를 처리하는데 걸리는 시간)은 감소되게 됩니다. 하지만 이 관계는 비 대칭형으로 진행되게 됩니다. 작업량 증가의 형태가 어느 정도였든간에, 극적인 성능 감소를 넘어서는 지점을 넘어서게 됩니다. 이 의미는 몇몇 자원들이 최악으로 소량 제공되어 결국 병목현상을 불러 일으킨다는 것입니다.
몇몇 지점에서는 최악으로 소량 제공되는 자원들이 증가되지는 않게 됩니다. 이는 아키텍쳐 상 제한에 도달했다는 것을 의미합니다. 윈도우의 아키텍쳐 상 제한에 대한 몇가지 보고 내용은 다음과 같습니다.
1. 시스템 상의 2 GB의 공유 가상 주소 공간
2. 프로세스 당 2 GB의 개별 가상 주소 공간
3. 660 MB 시스템 PTE 저장공간
4. 470 MB 페이지 풀 저장공간
5. 256 MB 페이지 되지 않은 풀 저장 공간
위의 내용은 Windows 2003 기준으로 나열된 사항입니다.(KB 294418 글 참조). 그러므로 Windows XP 및 2000에서는 위의 사항과 다를 수 있습니다.
보통 쉽게 접할 수 있는 권장 사항이 다음과 같은 경우 입니다.
터미널 서버를 사용하는데, 4GB를 사용하기 전에 공유 메모리인 2G를 완전히 활용하시오.
대부분의 경우 맞기도 하지만, 여러분이 겪는 상황에 따라 다를 수 있습니다. 몇몇 유형 중에, 특정 Windows NT 4.0 또는 Windows 2000 Server에서 충돌이 발생하거나, Windows Server 2003 중에서 불필요할 수도 있습니다. Windows Server 2003으로 넘어오면서 크게 바뀐 부분 중에 보다 효율적으로 이 아키텍쳐상 제한이 발생되는 가능성을 줄였다는 것입니다. 예를 들면 커널 상의 몇가지 프로세스들을 커널 프로세스에서 제외시킴으로써 공유 가상 메모리 사용량을 대폭 줄였습니다.
RAM 및 가상 메모리 사용량 감시하기
성능 감시기(시작, 관리자 도구, 성능)은 시스템의 성능을 측정하고 병목 현상을 실제 일으키는 사항이 무엇인지를 파악할 수 있도록 도와주는 중요한 도구 입니다. 아래에는 이 도구를 이용하여 측정할 수 있는 중요한 정보들에 대한 요약들을 나열합니다.
Memory, Committed Bytes
- 여기서는 가상 메모리의 의존도를 측정하게 됩니다. 운영체제에서 페이지 파일 내에 RAM 페이지 프레임 또는 페이지 슬롯을 적용한(Commited) 바이트 수와 프로세스 상에서 할당한 바이트수가 얼만큼인지를 보여줍니다.(대부분 2가지 동시에). 이 적용 바이트(Committed Byte) 수는 허용된 RAM 용 보다 늘어나게 되면, 페이징이 증가되며, 사용하는 페이지 파일의 총 용량도 증가됩니다. 몇몇 지점에서는 페이징 작업 자체가 실제적인 성능과 직결되어 영향을 미치기 시작할 것입니다.
Process, Working Set, _Total
- 여기서는 "active"하게 사용되는 가상 메모리 용량을 측정하게 됩니다. RAM내의 모든 프로세스들이 실제적으로 사용하는 가상 메모리에 대해 얼만큼의 RAM 필요한지를 보여주게 됩니다. 여기서는 항상 4,096이 곱해져서 나타내는데, 그 이유는 Windows 상에서 페이지 크기로 그 만큼의 크기를 사용하고 있기 때문입니다.가상 메모리가 사용 가능한 RAM 용량을 넘어서서 의존하게 되면, 운영체제 에서는 사용가능한 RAM과 최소 페이징 이용에 대해 최적화하는 Working Set 에 맞추어 프로세스의 가상 메모리의 양을 조절하게 됩니다.
Paging File, %pagefile in use
- 여기서는 페이지 파일이 실제적으로 사용되는 양을 측정하게 됩니다. 페이지 파일이 적절한 크기 인 경우가 언제 인지 측정하기 위해 사용되는 카운터 입니다. 만일 이 카운터가 100을 가지게 되면, 페이지 파일이 완전히 꽉 찼다는 의미가 되며, 몇몇은 작업을 중지하게 될 것입니다. 작업량의 변화에 따라 충분히 큰 페이지 파일이 필요할지 모르지만, 보통 50~70% 이하로 사용되게 됩니다. 만일 사용된 페이지 파일 수가 적다면, 다른 물리 디스크 상에 하나 또는 그 이상을 가질 수 있게 되며, 성능이 증가되게 됩니다.
Memory, Pages/Sec
- 여기서는 대부분은 잘못 인식된 값의 측정되는 내용 중 하나 입니다. 이 카운터의 최고값이 성능이 RAM 부족으로 인해 병목 현상이 발생된 것이라고 정확하게 의미하는 것은 아닙니다. 운영체제에서는 명시된 메모리에 제공될 스왑 페이지와는 다른 목적으로 페이징 시스템이 이용됩니다.
Memory, Pages Output/Sec
- 여기서는 매 초마다 다른 목적으로 RAM 페이지 프레임이 해제되기 위해 가상 메모리 페이지가 페이지 파일로 얼마나 많이 쓰여 졌는지를 보여줍니다. 이 기능은, 페이징이 성능의 병목현상을 일으키고 있는지 여부를 예측할 때 감시 할 때 사용되는 최적의 카운터 입니다.
Windows Server 내에 있는 DHCP 콘솔을 직접 제어해서 설치하는 방법이 있습니다.
그러나 이 방법을 이용하게 되면 최악의 문제는 많은 양의 데이터를 적용하는데
큰 문제가 있다는 점이죠.
그래서 일반적으로 스크립트나 별도 응용 프로그램을 제작해서 일괄 작업을
할 수 있도록 합니다. 그렇다면 스크립트를 이용해 처리할 수 있는 방법은 무엇일까요?
의외로 간단한 방법이 있었습니다.
netsh 라는 네트워크 관련 shell을 이용하는 방법입니다.
IP 예약을 하는 방법은 다음과 같습니다.
netsh dhcp server <서버이름> scope <범위 ID> add reservedip <예약 IP 주소> <MAC 주소> <컴퓨터 이름>
예) netsh dhcp server \\ZTISVR scope 65.25.252.0 add reservedip 65.25.252.223 08002b30369b Test
예약된 IP 주소를 해제하는 방법은 다음과 같습니다.
netsh dhcp server <서버이름> scope <범위 ID> delete reservedip <예약 IP 주소> <MAC 주소> <컴퓨터 이름>
예) netsh dhcp server \\ZTISVR scope 65.25.252.0 delete reservedip 65.25.252.223 08002b30369b
드디어 MS에서 Windows Vista Ready PC 사양을 발표했습니다.
5월 18일자로 발표된 사항인데, 발표된 내용은 다음과 같습니다..
Windows Vista Capable
Windows Vista Premium Ready
CPU:
최신 CPU (최소 800 MHz)1
1 GHz 32-bit (x86) or 64-bit (x64)1
RAM:
512 MB
1 GB
그래픽 카드:
DirectX® 9 호환
Windows Aero2 동작
(Windows Display Driver Model (WDDM) 지원 GPU 권장)
그래픽 RAM:
- -
128 MB
HDD:
- -
40 GB
HDD 빈 공간
- -
15 GB
CD/DVD:
- -
DVD-ROM drive3
사운드:
- -
사운드 출력 가능
인터넷:
- -
인터넷 접속 호환
여기서 제시한 항목은 Capable 과 Premium Ready가 있는데, Capable 부분이 최소사양이 될 것이며, Premium Ready가 진짜 그럴듯 하게 이용하기 위한 사양이 될 것 같습니다. 보시면 알겠지만,
현재 우리나라에서 100만원 정도 하는 PC 정도가 되면 충분히 커버 될 것 같습니다.
Capable이 나온 이유는 아마도 이전 PC에서 이전하기 위한 발판 부분을 제시하는 것 같습니다.
과거에 쓰던 PC 및 지금 저가 모델로 나온 제품 중에서 Vista가 돌 수 있는 그런 것들을 제시하는 부분이랄까요? 다분 그런 목적인 것 같습니다. 하지만 진정한 Vista 이용을 위해서라면, 아마도 Premium Ready가 되어야 될 것 같습니다.
사양.... 많이 높아졌습니다. 램도 512로, 게다가 DirectX 9와 호환도 되야 되고..
일단, 세상은 변하는 것이고, 컴퓨터도 그렇게 변하는 것입니다.
얼리어답터나 일반 사용자들의 PC는 많이 좋아지고 있어 큰 문제가 될 것 같지는 않지만,
(물론 아직도 P3 쓰는 분도 계시고, RAM 256으로 잘 쓰고 계신분도 있지만...)
과연.... 기업들이 이 내용을 수용해 줄까요? 궁금하군요. 1000여대의 PC를 Premium Ready는
아니더라도 Capble 까지 수용한다고 해도... 상당한 무리수가 따를 것 같긴 하군요.
