4. MDM 서버 별 역활

System Center Mobile Device Manager (MDM)은 크게 4개의 Main System으로 구성요소로 되어 있습니다.

MDM Gateway Server 1대 또는 그 이상
MDM Device Management Server 1대 또는 그 이상
MDM Enrollment Server 1대 또는 그 이상
SQL Server 2005 Databases
(SQL Server제외 한 나머지 시스템들은 Windows Server 2003 with Service Pack 2 64bit 버전이 운영체제로 사용되나 SQL Server는 32bit 버전의 운영체제를 사용하여도 무방합니다. 하지만 SQL Server 2005 SP2가 설치되어야 합니다.)

간단하게 각 서버의 역활에 대해 말씀드리겠습니다.

MDM Gateway Server란
MDM Gateway Server는 DMZ나 screened subnet에 위치하며 사내 네트워크와 Mobile Device 간의 인증 연결, Direct Push Update 등 통신을 위한 Gateway 역활을 합니다.

MDM Device Management Server란
MDM Device Management Server는 Mobile Device에 대해 관리 및 운영의 역활을 합니다.
그룹정책 및 소프트웨어 배포 등의 기능적 허브 역활을 하며 또한 사내 다른 인프라 서버들과의 통신 역활을 하게 됩니다.

MDM Enrollment Server란
인증이 요청되거나 철회된 Mobile Device에 대해 Active Directory에 Object를 표현합니다. 이때 OTP를 통한 Device 인증을 시도합니다.

Databases란
MDM Device Management Server와 MDM Enrollment Server의 Mobile Device 관리, 구성, 작업, 설정을 하기 위한 데이터베이스를 저장 합니다.

MDM은 수많은 산업 표준들을 기반으로 MS의 Mobile Device를 관리하기 위해 확장하여 사용합니다.
아래는 MDM에서 활용하는 산업 표준 목록 입니다.

TCP/IP
Open Mobile Alliance Device Management (OMA DM)
IPsec and Internet Key Exchange Protocol Version 2 (IKEv2)
IKEv2 Mobility and Multihoming (MOBIKE) protocol
Software Component Management Object (SCOMO)

관련 자료는 아래를 참조 바랍니다.
OMA DM(http://go.microsoft.com/fwlink/?LinkId=31849)
SCOMO(http://go.microsoft.com/fwlink/?LinkId=31849.)
Mobile IPv6 Operation with IKEv2 and the revised IPsec Architecture(http://go.microsoft.com/fwlink/?LinkId=98108)

연관 서비스
Active Directory: VPN 및 802.1X 기반 연결을 위한 Credentials을 저장하며 그룹정책을 통한 인증 및 Device, Application 등을 제어 합니다.

MDM Software Distribution: Windows Software Update Server(WSUS)를 활용하여 Device를 관리하기 위한 Application들을 배포 관리 합니다.

Certificate Services: MDM Client와 Server의 보안모델로 X.509 certificate가 요구되어 집니다. MDM은 Client와 Server의 Certificate 서명에 의한 Public Key Infrastructure (PKI)와 함께 동작합니다.
사내에서 활용하는 PKI가 존재하지 않거나 Device 인증을 별도로 분리해서 사용하고자 하는 경우 Microsoft Enterprise Certification Authority를 사용할 수 있습니다. Windows Server 2003 Enterprise Edition Certification Authority는 MDM의 Certification Authority에 대해 완벽히 지원 합니다.

Line-Of-Business(LOB) Application Servers: MDM에 의하여 관리되어 지는 Mobile Device를 통하여 사내 업무시스템에 보다 보안적 접근이 가능합니다. Outlook Mobile을 통하여 사내 Exchange Server에 연결하여 메일, 일정 등을 사용할 수 있으며 사내 개발 업무 시스템에 대해서도 접근하여 사용 할 수 있습니다.

 
각 서버의 아키텍처에 대한 자세한 내용은
MDM System Overview (http://technet.microsoft.com/en-us/library/cc135589(TechNet.10).aspx)에서 확인 할 수 있습니다.

Windows Server 2008 x64 버전을 설치하고 Hyper-V 역활을 추가하였습니다.
기본 구성은 Virtual Server 2005와 별반 다르지 않는 구성 이었습니다. 기존의 Web 버전의 관리 콘솔을 MMC 버전으로 바꾼 것 외에는 그렇게 다른 인터페이스를 제공하지는 않았습니다.

그런데 하나 가상 이미지를 생성하고 나서 Virtual Machine을 관리하기 위한 서비스인 "Integration Services"를 설치하지 않으면 네트워크 드라이버를 잡을 수 없습니다.

이럴수가...
그래서 "Integration Services"를 설치 시도하니...아래와 같은 메시지가 나타납니다.
헉~~~오류 발생 및 Windows 새 버전이 필요하다고?
알고보니 제가 가지고 있는 Windows Server 2003 ISO는 Service Pack 1까지였던것 입니다.

Supported Guest OS on Windows Server 2008 Hyper-V
http://www.microsoft.com/windowsserver2008/en/us/hyperv-supported-guest-os.aspx
위 링크의 정보에 의하면 Windows Server 2008의 Hyper-V를 사용한 Guest OS로 Windows Server 2003 SP2 이상 이었던 것.
Service Pack 2를 설치해야 "Integration Services"를 설치 할 수 있고 네트워크 드라이버도 설정할 수 있었던 것이었습니다.

그런데 공유 드라이브 맵핑 설정같은 것도 없어졌고 네트워크 드라이버도 안잡히고 도대체 어찌 Service Pack 2를 설치한단말인가...--;;;
다행히도 MS에서 Service Pack에 대해 ISO 파일을 제공해 줍니다.
다운로드 센터의 SP2 독립 실행형 ISO-9660 CD 이미지 파일
http://technet.microsoft.com/ko-kr/windowsserver/bb229701.aspx

Hyper-V를 사용한 가상 운영체제 이미지 제작 시 꼭 Service Pack 2까지 포함 된 Windows ISO 파일을 보유하거나 Service Pack ISO 파일을 함께 준비 하여야 한다는 것 입니다. 시스템 구축하러 갔는데...이거 다운 받을 시간이 있겠어요????

아래 MDM 테스트를 위해 노트북에 설치되어 있는 Windows Vista를 포맷하고 Windows Server 2008로 설치하였습니다. 64bit OS를 가상 이미지에서 테스트 하기 위해 이번에 정식으로 나온 Hyper-V를 사용하기 위한 선택 이었습니다.

그런데 노트북의 무선랜....
헉~~~무선랜이 검색되지 않았습니다.
이럴수가....혹~ 서버라고 안되는거야???(설마~~~)

찾아보니...
Windows Server 2008은 OS 설치 시 모든 기능들이 설치되지 않습니다.
OS 설치 후 필요한 기능들에 대해 추가해서 사용할 수 있는데...무선랜 관련 부분도 그런 부가적 기능들로 빠져 있었습니다.

"Server Manager"의 "Features"에서 "Add Features"를 클릭합니다.
"Select Features"에서 "Wireless LAN Service"를 선택합니다.
나머지 과정은 다음~~~

위 "Wireless LAN Service"를 추가한 후 무선랜 검색을 하면 정상 사용이 가능 합니다.

3. MDM을 구축하기 위한 조건
MDM은 주요 구성이 되는 서버로 MDM Enrollment Server, MDM Device Management Server, and MDM Gateway Server가 있습니다.
위 서버들에 대한 소프트웨어적, 하드웨어적, 시스템적 요소들을 정리 합니다.

MDM 서버의 하드웨어적인 요소
CPU: x64를 지원하는 프로세서로(EM64 또는 AMD64) 듀얼 2.7GHz나 그 이상의 프로세서
RAM: 4GB SQL Server의 구성에 따라 다름
Disk: 100GB 이상의 설치 및 데이터 저장 공간
Network: 100 Mb/s 또는 그 이상, (MDM Gateway Server의 경우 2개의 Network Adapter 필요)

MDM 서버의 소프트웨어적인 요소
Windows Server 2003 Standard x64 Edition with SP2 또는 그 이상의 x64 버전
.NET Framework 2.0
Windows PowerShell 1.0
MMC 3.0
Internet Information Services (IIS) 6.0 and World Wide Web Publishing Service
Windows Software Update Server (WSUS) 3.0 SP1
Microsoft Report Viewer Redistributable 2005
Microsoft SQL Server 2005 Standard Edition SP2 또는 그 이상의 마지막 버전(SQL Server 2008을 지원하지 않음)

시스템적인 요소
Domain Controller: Active Directory와 DNS
Windows Server 2003 Standard or Enterprise Edition with SP1 이상의 운영체제로 구성되어야 하며 Domain Controller에 MDM을 함께 구성할 경우 Service Pack 2 이상이 설치되어 있어야 합니다. 더불어 Windows Server 2003 forest functional level만을 지원 합니다. Windows 2000 mixed, Windows 2000 native, or Windows Server 2008 domain and forest functional level은 지원하지 않습니다.

Microsoft Enterprise Certification Authority: Internet Information Services (IIS) 6.0 와 World Wide Web Publishing Service
Windows Server 2003 Standard Edition은 지원하지 않습니다.

SQL database server
지원 운영체제: Windows Server 2003 with SP2
구성: Domain Member Server, SQL Server 2005 Standard Edition SP2 또는 그 이상의 버전
(SQL Server 2005 Express Edition 또는 SQL Server 2008은 지원하지 않음, 보다 좋은 성능을 위해 SQL Server를 벌도의 시스템에 구축 할 것)

MDM Device Management Server
지원 운영체제: Windows Server 2003 Standard x64 Edition with SP2
구성: Domain Member Server, Internet Information Services (IIS) 6.0 and World Wide Web Publishing Service, .NET Framework 2.0, Windows Software Update Server (WSUS) 3.0 SP1, Microsoft Report Viewer Redistributable 2005

MDM Enrollment Server
지원 운영체제: Windows Server 2003 Standard x64 Edition with SP2
구성: Domain Member Server, Internet Information Services (IIS) 6.0 and World Wide Web Publishing Service, .NET Framework 2.0

MDM Gateway Server
지원 운영체제: Windows Server 2003 Standard x64 Edition with SP2
구성: Stand-alone Server, Internet Information Services (IIS) 6.0 and World Wide Web Publishing Service, .NET Framework 2.0

해당 내용의 보다 자세한 내용은
System Requirements for MDM Servers and Managed Devices(http://technet.microsoft.com/en-us/library/cc135642(TechNet.10).aspx)에서 확인 할 수 있습니다.

System Center Mobile Device Manager 2008 (MDM)

이미 2008년 4월 1일에 발표되었던 Windows Mobile 장치 관리 솔루션입니다.
발표와 동시에 한국어 버전을 지원하고 있는데 많은 관심이 가는 제품 입니다.

국내에서는 PDA 및 스마트폰 시장이 거의 죽어 있다하더라도 과언이 아니지만...
세계의 스마트폰 흐름에 언제까지 무시하고 있을 수 없을 것 입니다.
이미 국내에서 하반기 스마트폰들이 쏟아질 예정이고 그에 따른 여러 서비스가 제공 될 예정 입니다.
그래서 모바일 강국(?)에서 통할 수 있는 제품인지 테스트를 진행하면서 내용들을 업데이트 할 예정 입니다.

System Center Mobile Device Manager 2008 (MDM)

1.개요
수작업으로 처리하던 작업들을 IT 환경의 개선에 따라 PC를 활용한 업무들로 대체되었지만 이동성의 제약에 따른 제한을 흡수하지 못했습니다.
이에 따라 많은 기업에서 PDA, 스마트폰과 같은 모바일 장치를 활용한 업무 영역들이 확대되고 있습니다.

업무가 PC 환경으로 전환되면서 IT 자산관리, 보안 등에 대한 이슈가 부각되었고 현재 많은 부분에서 이에 대한 방안 및 솔루션들이 대처하고 있습니다.

하지만 PC에 대한 IT 자산관리 및 보안에 대한 대응은 많이 있어왔지만 모바일 환경에 대한 부분은 간과되어 왔습니다.
최근에는 모바일 장치에 대한 바이러스 및 해킹으로 인한 업무 손실까지 발생하고 있습니다.

Microsoft에서는 모바일 환경에 대비한 IT 자산관리 및 보안 이슈를 해결하기 위한 솔루션으로 System Center Mobile Device Manager 2008 (이하 MDM)이라는 제품을 출시하였습니다.
MDM이 모바일 장치로 진화하는 업무 환경에 대해 어떤 역활을 수행할 수 있는지 알아보겠습니다.

2.MDM이란
MDM은 Microsoft System Center Mobile Device Manager 2008의 약자 입니다.
서로 다른 모바일 플랫폼에 대해 갈수록 증가하는 보안 및 관리에 대한 이슈를 대처할 수 없었으나 산업 표준인 OMA DM, 인증 및 암호화 통신(IPsec, IKEv2, and MOBIKE)을 활용하여 기존 인프라에 적은 영향으로 비즈니스 장치들을 관리할 수 있습니다.
Windows Server 제품을 함께 사용할 경우 Group Policy 와 Windows Software Update Server(WSUS)를 활용하여 보다 강력한 Windows 모바일 장치 환경을 구축할 수 있습니다.

여기서 OMA(Open Mobile Alliance) 이란
OMA는 멀티미디어 콘텐츠 서비스가 mobile 단말기에 제공되면서 이를 수용할 수 있는 서비스 방법과 enabler에 대한 공개 표준을 정함으로써 국가나 망사업자, 단말기, 통신방식에 관계없이 상호 호환이 가능한 mobile 서비스를 제공하는데 목적을 가지고 만들어진 협회 입니다.
현재 AT&T, Microsoft, Alcatel-Lucent, Intel, IBM, Motorola, Samsung, SK Telecom, Nokia, Philips, Ericsson, HP, Sony, KTF, ETRI, KISA, MarkAny, LGT 등 약 317개 업체들이 회원사로 활동하고 있습니다.
http://www.openmobilealliance.org/default.aspx

OMA DM(Open Mobile Alliance Device Management) 이란
OMA DM은 계속적으로 증가하는 장치 업체 및 벤더들에게 서버에서 원격 장치에 대해 구성, 소프트웨어 배포, 문제점 탐지와 같은 장치 관리에 대한 상호 운영성을 제공하기 위해 규약 입니다.
http://msdn.microsoft.com/en-us/library/ms889572.aspx
http://www.ibm.com/developerworks/wireless/library/wi-oma/

MDM은 크게 3가지 역활로 구분할 수 있습니다.

Device Management:
기존에는 PC의 정보에 대한 수집 및 리포팅이 가능했다면 이제는 Mobile Device에 대해서도 수집/배포.리포팅이 가능합니다.
Single point of management for mobile devices in enterprise
Full OTA provisioning and bootstrapping
OTA Software distribution based on WSUS 3.0
Inventory
SQL Server 2005 based reporting capabilities
Role based administration
MMC snap-ins and Powershell cmndlets
WMU On/Off controlcompliant

Security Management:
MS Active Directory 환경에 Windows Mobile Device를 포함하여 관리 및 보안을 강화하고 Device를 컨트롤 할 수 있습니다.
Active Directory Domain join
Policy enforcement using Active Directory/Group Policy targeting (>130 policies)
Communications and camera disablement*
File encryption
Application allow and deny
Remote wipe
OMA-DM compliant

Mobile Optimized VPN:
사내 인프라 자원에 대해서도 모바일 VPN을 활용하여 접근하여 업무를 수행 할 수 있습니다.
Machine authentication and “double envelope security”
Session Persistence
Fast Reconnect
Internetwork roaming
Standards based (IKEv2, MobIKE, IPSEC tunnel mode)

*참고할 수 있는 자료 :
Microsoft WebCast Improve and Simplify Mobile Device Security and Management
http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en-US&EventID=1032353688&CountryCode=US
TechNet Magazine 2008년 5월호 System Center Mobile Device Manager 소개
http://technet.microsoft.com/ko-kr/magazine/cc462799(TechNet.10).aspx

더불어 추가적으로 System Center Mobile Device Manager 2008을 적용하기 위한 대상 Mobile Device는 Windows Mobile 6.1 이상 이여야 합니다.

현재 시판 중인 Windows Mobile 6.1 이상의 Device로는 삼성 블랙잭 미라지 SCH-M480가 있습니다.