Window Active Directory 개념 및 설치

Active Directory

(AD)

 

마이크로소프트가 윈도우 환경에서 사용하기 위해 개발한 LDAP 디렉토리 서비스의 기능.

다른 회사의 디렉토리도 있지만 특징적으로 MS에서 만든 디렉토리를 말한다.

주 목적은 윈도우 기반의 컴퓨터들을 위한 인증 서비스 제공.

 

장점

1. 네트워크 정보의 중앙 저장소로 사용자들이 자원 확인 및 검색을 쉽게 하도록 하고,

관리자들 또한 자원을 쉽게 관리하도록 해준다. -> 보안 관리의 간소화

2. 본사 및 자사의 직원들은 더 이상 자신의 PC에 모든 정보를 보관할 필요가 없다. -> 추가적인 보안 정보 저장소

3. PC가 있는 장소와 무관하게 회사의 어디서든 회사 전체 자원을 편리하게 사용 가능하다.

4. 그룹 정책, 확장성, 관리의 위임

 

 

도메인(Domain)

- 컴퓨터 계정과 사용자 계정 같은 객체들을 지역적으로 모아 놓은 것.

포리스트(Forest)

- 상호 신뢰관계를 맺고 있는 도메인들의 집합.

 

=> 작업 공간이라 할 수 있는 포리스트가 먼저 만들어지고, 도메인이 만들어진다.

=> Site : 포리스트를 IP단위로 나눔.

 

도메인 컨트롤러(Domain Controller)

- 액티브 디렉토리 정보의 복사본을 가지고 있는 컴퓨터

- 액티브 디렉토리 정보 요청에 대한 응답

- 네트워크를 통한 사용자 인증

- DNS 통합

- 도메인과 포리스트 전체의 멀티마스터 복제에 참여

 

Windows Server 이용형태와 종류

유형	Logon 방식
Standalone	Only Local Logon
Member Server 구성원 서버 도메인 join	Local Logon & Domain Logon 가능. DC의 자원을 가져다 쓰기 위해서 생성.  DC에는 사용자 계정 등의 중요한 정보가 존재함으로 솔루션 이용자들의 무분별한 접근을 막아 보안을 담보하고자 대부분의 솔루션은 DC가 아닌 Member 서버에 설치해서 사용한다. 따라서 이런 경우 사용자 계정을 가져다 쓸 수 있는 멤버서버에 솔루션을 설치해서 사용한다. 대부분의 솔루션은 DC에는 설치조차 되지 않는다. 리눅스에서도 apache 등의 솔루션은 별도의 계정으로 운용이 되고 해당 사용자들은 Login이 되지 않게 설정한다. /sbin/nologin 기능 상기할 것.
Domain Controller	Only Domain Logon

 

직접 액티브 디렉토리 도메인 서비스를 설치하여 보자.

 

1. ADDS 서비스는 반드시 도메인 컨트롤러가 있어야만 설치된다. (X)

2. 도메인 컨트롤러를 만들기 위해서는 반드시 ADDS가 있어야만 한다. (O)

 

역할 설치 > 액티브 디렉토리 도메인 서비스 > 필요한 기능 추가

ADDS는 도메인 컨트롤러가 없어도 설치가 된다.

 

액티브 디렉토리 도메인 서비스 역할 설치 후 dcpromo를 실행시켜주어도 되고,

또는 바로 실행창에서 dcpromo를 실행시켜주어도 된다.

 

도메인 컨트롤러를 만들기 위해서는 ADDS가 반드시 있어야 하기 때문에

ADDS가 설치되어 있는지 검사 후 설치가 안되어 있다면 알아서 설치를 해준다.

(Windows 2008 이후로는 dcpromo가 없고, 설치 후 나오는 메시지를 클릭해주어야 한다.)

 

고급 모드로 설치!

 

포리스트가 먼저 만들어지고 도메인이 만들어진다.

 

자신이 원하는 도메인 이름으로 만들어주면 된다.

 

이러한 창이 뜨면서 도메인 네이밍 마스터가 이미 사용 중인지 확인을 하고, 포리스트 전체에 대한 일관성을 유지한다.

 

NetBIOS 이름은 저절로 지정이 된다.

 

포리스트 기능 수준은 쉽게 운동장 기능 수준이라 생각하면 된다.

자기 자신을 포함하여 아래로 4개까지 선택 가능하고,

한 번 올린 기능 수준은 밑으로는 못내리므로 신중하게 선택해주어야 한다.

 

포리스트 기능 수준 결정 후, 도메인 기능 수준을 정할 수 있는데

도메인 기능 수준은 포리스트 기능 수준과 같거나 높아야 한다.

 

액티브 디렉토리 도메인 서비스를 사용하려면 DNS가 반드시 필요하다.

글로벌 카탈로그가 되어야만 인증 가능하고, 상위 단계가 없으니 RODC는 못만든다.

 

참고로,

RODC를 만드는 조건

1. 지역에 관리자가 없고

2. 물리적인 보안을 담보할 수 없으며 (읽기 전용이므로 사용자 계정정보 등이 부존재)

3. 상위에 쓰기 가능한 도메인 컨트롤러가 존재하는 경우에

만들 수 있다.

ex. 서울 본사 - 제주의 소규모 지사

 

'예' 눌러준다.

 

데이터베이스와 로그 파일을 각각 분리해주는 것이 좋지만

여건이 안되므로 그냥 다음 해주자.

 

디렉토리 서비스 복원 모드 관리자 암호를 설정한다.

 

바탕화면에 설정 내보내기 후 다음을 눌러 설치!!

 

 

다시 시작하면 [도메인]\[계정] 도메인 관리자로 접속된다.

 

 

사용자 전환하여 로그인해봐도 도메인으로만 접속이 된다.

로컬 로그인이 안된다는 뜻. (Domain Controller 이기 때문에)

 

실행창 > mmc > 파일 > 스냅인 추가 제거

Active Directory와 연관된 것을 묶어서 편리하게 사용하기 위해 스냅인 집합을 구성하는데,

'Active Directory 스키마' 가 보이지 않는다.

 

명령 프롬프트에서 'regsvr32 schmmgmt.dll' 입력하면

성공 메시지가 뜨는 것 확인 가능하다.

그리고 다시 mmc로 들어가면 사용 가능한 스냅인에 스키마가 추가된다.

Active Directory 4가지를 오른쪽으로 추가하여 스냅인 집합을 구성하여 저장해주자.

 

시작 > 관리도구 > Active Directory 사용자 및 컴퓨터 > Users 에

테스트를 위해 일반 사용자 계정을 하나 추가한다.

 

이 사용자는 기본적으로 Domain Users 그룹에 속해있고,

 

babo\aa 계정으로 접속하려 하면 이러한 메시지가 뜨며 접속이 안된다.

일반 사용자의 콘솔 접속을 거부하기 때문이다.

 

로그인시키고 싶다면 소속 그룹에 Domain Admins을 추가시켜주면 된다.

Local의 Administrator와 Domain의 Administrator는 다르므로

babo.com(Domain)에서 관리자 그룹을 찾아주어야 한다.

일반 사용자를 관리자 그룹에 넣어주면 관리자 권한을 갖기 때문에 접속이 잘 되는 것을 볼 수 있다.

참고로

그룹의 2가지 용도

1. 권한 부여 2. 비슷한 역할

 

도메인 가입

(Member Server)

두번째 서버를 도메인 그룹에 가입시켜보자.

기본적으로 DNS가 첫번째 서버를 바라봐야 한다.

서버 관리자 > 시스템 속성 변경 > 변경 > 도메인에 위에서 만들었던 도메인을 입력한다.

 

 

 

Member Server는 Local Logon과 Domain Logon 둘 다 가능하다.

 

두번째 서버를 첫번째 서버 도메인에 가입시켰기 때문에

첫번째 포리스트 루트 서버의 Active Directory 사용자 및 컴퓨터 > Computers 안을 보면

두번째 서버의 컴퓨터 계정이 만들어진 것을 볼 수 있다.

 

도메인 관리자로 접속을 하면 로컬과 도메인 모두 조회가 가능하다.

 

만약 첫번째 서버에서 두번째 서버의 컴퓨터 계정을 삭제하면

두번째 서버에서 도메인 관리자로의 접속이 불가하다.

 

따라서 로컬 관리자로 접속을 해보면 도메인에 대해 권한이 없기 때문에 당연히 조회가 안 된다.

 

다시 도메인 그룹에 추가를 시키기 위해 위에서처럼 babo.com 을 입력하려 하면 안 될 것이다.

소속 그룹을 작업 그룹(WORKGROUP)으로 설정 후 재부팅하고 ,

다시 도메인(babo.com)으로 하면 되지만 그럼 재부팅을 2번 해야하는 불편함이 있다.

이럴 땐 babo.com이 아닌 그냥 babo로 설정해준다.

 

첫번째 서버와 두번째 서버 모두 DNS는 첫번째 서버를 바라봐야 하지만

nslookup명령어로 확인해보면 이상하게 나오는 경우가 가끔 있다.

IPv6가 설정되어 있어서 나오는 오류이니 IPv6의 DNS를 자동할당으로 바꿔준다.

 

Member Server는 로컬과 도메인 둘 다 로그인 가능하지만

자원을 가져다쓰기 쉬운 도메인으로 로그인하는 경우가 많다.

 

Domain Controller는 Domain Logon만 가능하다.

그런데, 도메인 관리자는 모든 권한을 다 갖기 때문에 때로는 로컬 로그인이 필요한 경우가 있다.

그럴 땐 실행창에서 msconfig 실행 후 부팅에서 안전 부팅, Active Directory 복구를 체크한 후 로그인해주면 된다.

다시 정상적으로 로그인하려면 안전 부팅 체크 해제해주기.