» 윈도우 서버+가상화 » Active Directory: 설정 및 문제해결 1(AD 기본)

Active Directory: 설정 및 문제해결 1(AD 기본)

교재: 6425C – Configuring and Troubleshooting Windows Server 2008 Active Directory Domain Services

1일차

AD는 인프라라서 ‘하고 말고’의 문제가 아님

  • 보안 인프라
  • 리소스 인프라
  • 권한 관리 인프라

AD가 없으면 사용자 컴퓨터에 수많은 유틸리티를 설치해야 함

DRM이 한 두 개도 아니고… 매체 제어 시스템이라든지… AD가 안 되어 있어서 그걸 쓰는 거예요. 빠른 길을 두고 돌아서 가는 경우가 많다.

정보 보호

  • IDA: ID & Access
  • AAA: 인증, 권한 부여, 계정(Accounting)
  • CIA: 기밀성, 무결성, 가용성, 신뢰성

위 3가지를 다 지원하는 솔루션이 AD.

ID와 액세스

  • ID: 사용자 계정(& 저장하는 DB)
  • 보안 주체: 액세스와 권한 부여의 대상
    • 사용자, 컴퓨터, 그룹
    • SID로 고유성을 나타낸다

Resource: 공유 폴더

  • 보안 설명자로 보안됨: 어떤 ID가 내 리소스에 접근 가능한가?
  • ACL: Access Control List
    • 두 가지임.
    • DACL: 읽기, 쓰기… ACE(퍼미션)로 이루어져 있음.
      • 흔히 우리가 보는 것은 DACL임.

clip_image001

  • SACL: System …
    • Audit(감사)에 대한 권한
    • 어떤 ID가 와서 무엇을 했는지(누가/무엇에/언제 접근?) 기록
  • ACE: Access Control Entry
    • 퍼미션

ID와 PW를 합쳐 Credential이라 함

  • 인증은 크게 로컬/원격 인증으로 나뉨

토큰

  • 사용자 SID
  • 멤버 그룹 SIDs
  • 권한
  • 기타 액세스 정보

보안 설명자

  • SACL
  • DACL

권한 부여에 필요한 3가지 구성 요소

  • 리소스
  • 액세스 요청
  • 보안 토큰

사용자의 액세스 토큰의 내용이 ACL의 ACE에 들어 있는지 봄

[따로 놀 때]

Workgroup 권한 부여

SAM 데이터베이스(레지스트리… 일반적으로 보이지 않음 -> 특정 권한으로 실행해야 보임)

[액티브 디렉터리 도메인]

MS에서는 도메인을 삼각형으로 표시함.

도메인 전체를 제어하는 것이 DC(Domain Controller)

  • AD DS가 돌아가는 컴퓨터가 바로 도메인 컨트롤러임.
  • 중앙에서 인증을 다 해준다.
  • 데이터베이스가 있다.

도메인에 조인된 멤버 서버

ID와 Access에 대한 인프라가 바로 AD임.

  • User, Group, Computer, 기타 ID에 대한 정보 저장
  • ID 인증
    • AD에서 사용되는 Kerberos 인증은 SSO 제공. 사용자는 한 번만 인증된다.
    • Kerberos는 국제 표준
  • Access Control
  • 감사 내역(Audit trail) 제공

AD의 IDA 서비스

  • AD LDS: AD 환경의 App 개발할 때(AD의 스키마를 건드려서 코딩하는데, 메인 AD DB의 것을 잘못 컨트롤하면 문제가 생길 수 있으니 AD의 스키마를 복제해서 AD LDS로 개발한다고.)
  • AD CS: 암호화에는 인증서가 따라가죠.
  • AD RMS: 국내에서는 많이 안 쓰는데 해외에서는 많이 씁니다. DRM과 비슷한 기능. 커널 모드가 아니라 AD 환경에서 동작. 오피스 문서를 누가 편집하고 열어 볼 지, 메일도 회신이나 출력이나 여러 권한을 편집 가능. AD 환경을 써서 DRM 솔루션을 대체할 수 있음
  • AD FS: Public/Private Cloud 상호 인증
    • 포리스트가 서로 다른 회사가 합병이 되었을 때
    • 내 아이디로 이쪽/저쪽을 인증해야
    • 마치 미국의 연방들이 서로 인증하듯이

실제 일어나는 현상을 구현한 기술들이 많아요.

AD는 데이터베이스다

  • 각 레코드는 개체다
    • 사용자
    • 컴퓨터
    • 그룹 등
  • 각 필드는 특성
    • 로그온 이름
    • SID
    • 암호
    • 설명
    • 멤버십 등
  • ID(보안 주체 또는 계정{Accounts})

서비스

  • Kerberos
  • DNS
    • 컴퓨터를 찾을 수 있는 가장 좋은 방법. 하지만 일일이 외우긴 힘들다. 이름으로 찾으려면 숫자를 이름으로 풀이해주는 놈이 필요하죠. 그게 DNS.
  • 복제
    • AD DC 한 대만 있어서 문제가 생기면? 재앙. 여러 대를 두고 복제해야 함

**Novell의 NetWare가 디렉터리 서비스 시장의 75% 차지했으나 MS의 AD가 DNS와 결합되면서 역전. 현재는 디렉터리 서비스의 전세계 75%가 MS AD가 됨.

*** DNS + Directory Service = Active Directory

데이터베이스에 액세스하기

  • Windows 도구
  • 사용자 인터페이스(Active Directory 사용자 및 컴퓨터, ADSI, 구성 요소)
  • APIs(.NET, VBScript, PowerShell)
  • LDAP(국제 표준 프로토콜)
    • 표준도 지원하고 특화된 추가 기능 제공

AD 데이터 저장소

  • %systemroot%\NTDS\ntds.dit
    • 논리 파티션
      • 도메인 네이밍 컨텍스트(Domain naming context)
      • 스키마
      • 구성
      • 글로벌 카탈로그(부분 특성 세트, PAS)
        • 부분 특성 세트: Indexing해 놓음. 마치 홈쇼핑 카탈로그처럼 찾기 쉽게
      • DNS(애플리케이션 파티션)
  • SYSVOL
    • %systemroot%\SYSVOL
    • 로그온 스크립트
      • 모든 클라이언트에 적용 가능
    • 정책

마치 붕어빵을 굽듯 ‘틀’에 대한 정의가 스키마임.

  • AD를 쫙 구축해 놓고 Exchange Server 등을 설치하면 스키마가 수정/확장됨.
  • AD는 진화한다.
  • 한번 수정되면 되돌리기 힘듦
    • 스키마 변경 작업이 있을 때 반드시 백업을 해야 한다.

AD DS 역할을 수행하는 서버

  • AD DB(NTDS.dit)와 SYSVOL을 호스트
    • DC간에 복제된
  • Kerberos KDC 서비스: 인증 수행
  • 기타 AD 서비스

모범 사례

  • 가용성: 도메인당 최소 두 대 이상의 DC
  • 보안: 서버 코어(Server Core)와 RODCs
    • Server Core: AD를 구성할 때 GUI로 작업한 뒤 Production 환경에서 GUI를 분리해서 배포하면 되겠지요? 윈도우 서버 2012 이상에서 가능.
    • RODCs
      • Read Only DCs: 읽기 전용 DC
      • 전체 복제를 하지 않고, 나이지리아 등 해당 나라의 사용자에 대한 정보만 복제, Master에서 받을 수만 있기 때문에 잘못된 DC의 내용을 내려받을 일이 없어지는 장점이 있음.
      • 메인 DC가 없이 RODC만 만들어 줄 수는 없다. RODC는 캐싱해주는 역할만. 보안이 취약한 곳에서 사용.

AD 스키마

clip_image002

clip_image003

[조직 단위]

개체(Objexcts)

  • 사용자
  • 컴퓨터

조직 단위

  • Domain 내에서 개체를 그룹으로 묶는데 사용되는 컨테이너
  • OU 생성으로 할수 있는 일?
    • 관리 권한 위임
    • 그룹 정책 적용

clip_image004

▲ 지역에 따라

clip_image005

▲ 액세스 권한을 나누는 것도 방법이다.

도메인

  • 하나 이상의 DC 필요
  • 모든 DC는 Domain NC(Domain naming context)를 복제한다
    • 도메인은 사용자, 그룹, 컴퓨터 등이 생성되는 컨텍스트
    • ‘복제 경계’
      • 동일한 도메인에서는 ‘홍길동’이 하나만 생기지만 다른 도메인에 가면 복제
  • 신뢰된 ID 저장소
    • 모든 DC는 해당 도메인의 어떤 로그온도 인증 가능
      • 인증에 대한 모든 정보
  • 도메인은 특정 관리 정책에 대한 Max 범위(경계)
    • 암호
      • 8자 이상, 복잡성 등
    • 잠금
      • 5번 틀리면 잠긴다 등

도메인 트리, 서로 다른 트리끼리는 트러스트.

AD는 자연계를 묘사하고 있음

  • 나무(Tree)
  • 숲(Forest)

포리스트에 처음 만든 도메인: 포리스트 루트 도메인이자 도메인의 루트 도메인.

  • 처음 AD를 구축할 때 적는 도메인 명이라서 루트 도메인일 뿐.
  • 기업간에 AD FS를 사용
    • A 기업의 계정이 B 기업의 리소스에 접근 가능

조직의 구조를 도메인에 반영하는 것은 최악의 결정

  • ‘지역’에 따라 나누면 적어도 없어지지는 않음.(하지만 좋은 선택은 아님)
  • 조직은 OU로 나누어라

Tree

  • treyresearch.net의 자식으로 antarctica.treyresearch.net
  • proseware.com은 전혀 다른 도메인임

DC가 하나만 있으면

  • 인증도 못 하고 찾지도 못함
  • 그래서 여러 대를 둠

복제

  • 멀티마스터 복제(모든 방향으로 다 복제가 됨. 스타 토폴로지 형태로 복제)
    • DB의 개체와 특성
    • SYSVOL의 콘텐츠가 복제됨
    • Windows 2000부터 제공
      • 옛날에는 PDC(Primary DC) 형태여서 하나는 주고, 하나는 받는 역할이었는데 이제는 서로서로 복제됨

사이트(Sites)

  • 병렬적인 개념
  • 같은 네트워크 대역 단위로 나누는 것
  • Default-First-Site-Name
  • 속도 효율을 위해 나눌 수 있음
    • 어떤 복제 트래픽이 해당 사이트 안에서 발생하도록
    • 나이지리아와 한국에 각각 DC가 한 대씩
      • 사이트 내부에서 서로 복제하고
      • 브리지 헤드 서버(한국-나이지리아 간 복제용)를 통해서 나머지 것이 복제되는 형태로

글로벌 카탈로그

  • 포리스트 범위의 특성 집합을 인덱싱
    • 많이 액세스되는 특성에 대해

기능 수준

  • AD DC 중에서도 맨 처음 올린 DC의 버전을 따라감
    • 2003의 AD 내용을 복제한 뒤 제거하고 2012만 살림
    • 2012로 수준을 올리면 못 내려옴
  • 성장만 하고 내려갈 수는 없음
  • 기능 수준을 올린 후 이전 윈도우 버전을 실행하는 도메인 컨트롤러를 추가할 수 없다
    • 작업 마스터(FSMO) 역할을 넘겨준 뒤 이전해야 함
    • 역할 이전을 못하고 DC가 죽으면 해당 권한을 뺏어야 함

DNS와 애플리케이션 파티션

  • DNS가 있기에 ‘Active’ Directory이다.
  • DNS 도메인 이름과 액티브 디렉터리의 논리 도메인 단위 사이에 일대일 관계
  • 도메인에서 컴퓨터와 서비스를 찾는데 전적으로 DNS에 의존

트러스트 관계

  • 또 다른 도메인에 신뢰된 ID 저장소 개념 확장
  • AD Sites 및 Trust 도구에서 작업 가능
  • 도메인 트리가 다른 경우 트러스트 가능

AD 도메인 서비스 설치

  • 2008 R2까지 DCPROMO.EXE 실행
    • 2012에서는 없음
    • 반드시 서버 관리자를 통해서 해야 함
  • 마법사가 모든 길을 가이드 해준다.
  • 대규모 회사에서는 데이터베이스나 로그 파일을 시스템 폴더에 두지 않음
    • 분리하는 게 좋음

새 포리스트 생성 준비

  • DNS 이름/NETBIOS 이름
  • 기전 윈도우 버전 DC 지원 여부 체크
  • DNS 역할 추가
  • IPv4

실습1

L1-1(Volume 2 교재)

clip_image006

DC 올리고 포리스트 수준 올려보고, VM 되돌리기까지 완료.

AD 관리 스냅인

  • AD 사용자 및 컴퓨터
    • 개체 관리
    • 사용자, 그룹, 컴퓨터, 프린터, 공유 폴더 등
  • 스키마 관리
    • regsvr32 schmmgmt.dll
    • mmc에서 스냅인으로 ‘AD Scheme’ 추가

AD 관리 도구 찾기

  • AD 멤버 클라이언트 또는 서버에 RSAT 설치
    • Remote Server Administration Tools
  • Windows Vista SP1 이상에서 사용 가능
    • 서버 운영체제가 아니더라도 관리 작업 수행 가능

AD Administrative Center

clip_image007

▲ 프로그래밍으로 확장 가능

**최소한 하나의 스크립트 언어를 잘 다루면 좋다.(ㅠ_ㅠ 중간에 수업 못 들음)

개체의 위치를 찾기 위한 옵션

검색하기 원하는 범주를 입력한다.

clip_image008

Object 탭에서 해당 사용자의 위치를 알 수 있음

clip_image009

saved query에서 new -> query

clip_image010

(값이 있는 것만 가져옴)

clip_image011

(비밀번호가 만료되지 않은 사용자만 가져옴)

clip_image012

(folder를 만들어서 정리하는 것도 가능, Export도 물론 동작함.)

clip_image013

(검색 대상을 변경하거나 다양한 조건으로 검색 가능)

Active Directory 관리 센터에서 Global Search를 눌러 아래와 같이 DC를 선택한 후

clip_image014

Global Catalog 서버만 찾아보자

clip_image015

DC 중에서 글로벌 카탈로그 서버를 찾아준다.

clip_image016

그룹 정책을 디자인하는 역할 자체가 큰 Role임. 그룹 정책 디자인하려면 먼저 컨설팅을 받음. 그룹 정책은 기술이 아니라 기획/보안임.

로그온 스크립트. 사용자별로 특정 공유 폴더 연결, 로그오프시 제거

화면보호기 ON, 돌아올 때 암호 넣도록.

이것도 살펴보세요!

Azure Cloud Shell(Linux Bash)

에헹? Azure Portal에서 Linux Bash가? 콘솔 버튼이 생겼다! 아마 Bash or PowerShell로 적용 가능할 것 …

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.