[노트] Windows Server Active Directory 기초(꼬알라 공부방)

2014년 1월 12일 윈도우 서버+가상화 10,034 조회 수

강의 개요

강의: 러닝웨이코리아 | 2014-01-10 | 오전 9:30~오후 5:00 | 백승주부장님
내용:
1. 액티브 디렉터리 개념 (도메인, 포리스트, 사이트, 트리, 도메인 컨트롤러, 글로벌 카탈로그, FSMO 등등)
2. 액티브 디렉터리의 설치
3. 계정 및 그룹 관리
4. 그룹 정책을 통한 인프라 기본 관리
소감: 처음 접하는 내용은 아니지만 실무에서 AD를 구축하고 사용하면서 겪게 되는 문제나 아키텍처 상의 기본적인 설정 등을 들어 유익했다. 문제는 AD를 통해 뭔가를 해본 적이 없다는 건데, 직접 해보는 수 밖에 없을 듯..

수업 시간에 필기한 내용

오늘도 10분 지각; 왜 이러냐 ㅠㅠ
- 지각을 하면 음료수를 사기로 마음먹어서 어제와 오늘 음료수를 사 들고 옴
필기를 위해 원노트 앱을 켬. Windows RT(물론 데스크톱에서도 설치 가능)용 OneNote app이 많이 좋아졌다.
오늘은 Active Directory에 대해 들으러 옴.
- 어제는 AD FS 등 선 지식이 있어야 하는 수업이었지만 오늘은 기초부터 하니 기대가 됨.
- Active Directory가 없다면 어떤 이야기도 시작할 수 없음
- 학원에서는 5일 정도의 코스가 있다고 함.
- 윈도우 서버에 대해 엔지니어들의 잘못된 인식을 고쳐주려 함.
  - 윈도우 서버는 점점 더 어려워질 것.
- TCP/IP의 의미를 배워야.
  - 서브넷 마스크…
  - 후니의 시스코 네트워크 서적 참고
  - 서브넷을 하나 주고 망을 2개로 분리한다면? 등의 문제가 나올 수 있음
- Active Directory
  - Directory : Yellow page의 의미가 강함 – 전화번호부(주소록)
    - 누군가를 계층 구조로 찾아갈 수 있는
    - 하드 디스크 구조(tree 명령어)가 그 예
  - Active : 유동적. 계속 바뀐다는 뜻
  - Windows 2000때 나옴. 15년 정도 된 기술
    - 옛날에는 SAMDB라고 불렀음
    - 2020년까지 확실히 쓴다고…
    - 출시 후 지금까지 천지개벽 수준으로 변경되지 않은 기술
  - AD는 어디에 저장되는가?
  - 레지스트리의 최대 용량은 50MB
    - 옛날에는 많이 저장하려면 도메인을 새로 만들어야 했다
- Object란?
  - 속성을 갖는 어떤 것.
    - 자전거에 있는 하나하나의 파츠가 다 개체임
    - 속성값들이 모인 어떤 것
    - 결국은 AD도 DB라서 Query 가능
    - AD에서는 속성을 스키마로 명기
      - 사번을 이메일 주소로 바꿔주세요! 가능합니다.
- AD는 데이터베이스
  - 검색 가능
  - LDAP – Database 표준 방식
  - 주소록을 쿼리 하는 것
- 작업 그룹(Workgroup)
  - 시스템 속성에서 변경
  - 작업 그룹의 의미: 알아서 쓰겠다
    - 모든 컴퓨터의 관리를 개개 별로 하는 모드
  - 인증에 대한 관리를 스스로 하는 것
- 도메인(Domain)
  - 중앙에서 인증하는 방식(AD의 역할)
- Kerberos 표준 인증 방식
  - 이것을 쓰기 때문에 맥 or 리눅스와 연결 가능
- 인증 Authentication
  - 내가 누군지
    - 작업 그룹: 혼자서
    - AD가 있으면: Kerberos
- 허가 Authorization
  - Administrator는 모든 것을 할 수 있나요?
    - 어드민도
  - Right과 permission의 차이는?
    - Permission
      - ~를 ~하게
    - Right
      - Action
- 기술을 배우는 관점
  - How-to : 학교에서.
  - Why : 장애가 생겼을 때 대응할 수 있게
- AD DS의 구성
  - 물리적
    - Data store
    - Domain Controller
    - Global Catalog
      - DC를 만들면 자동적으로 GC가 생성되도록 2008 R2부터 바뀜
      - 사번 Scheme를 만들어서 검색이 되도록 하려면 Global Catalog에 복제되도록 설정하면 됨.
    - RODC
      - DC는 최소 2대를 만드는데…
      - DC는 기본적으로 양방향으로 통신
      - Read Only Domain Controller
        
        DC가 읽기만 할 수 있게
  - 논리적
    - Ntds.dit 파일에 저장되어 있음
    - Hyper-V 서버에 DC를 설치했을 때 그 서버가 죽으면?
      - Hyper-V의 IDE 컨트롤러는 Cache가 Enable 되어 있음
        
        SCSI는 Cache가 Disable 되어 있음
        
        Hyper-V에 DC 올리려면 SCSI에 올리는 것을 권장(지금은 패치가 되었다고… 2008 R2 등에서 체크)
    - 파티션 Partitions
    - 스키마 Scheme
    - 도메인 Domains
    - 도메인 트리 Domain trees
    - 포리스트 Forest
    - 사이트 Sites
    - 조직 구성 단위 OUs
- 도메인?
  - DC가 영향을 미칠 수 있는 범위
    - DC에 넣을 수 있는 설정 값을 변경하려면 하나를 더 만들면 됨
  - Whoami
    - 신분 증명
    - 도메인 컨트롤러가 발급
  - 인증 창?
    - ‘난 널 모른다’는 의미
  - DC와 DC를 연결함
    - Tree
    - 빨갱이와 파랑이를 서로 인식시키는 것
      - Trust
  - 그 DC들 전체
    - Forest
      - 같은 회사라면 포리스트 하나가 가장 좋음
      - 같은 Forest면 스키마가 같다
      - 제일 처음 만든 Forest가 Forest Root domain임
- 사이트
  - 네트워크 IP로 매핑
  - 미국의 컴퓨터는 미국 DC에 연결 – 사이트
  - 한국의 컴퓨터는 한국 DC에 연결 – 사이트
    - 사이트가 어디에 있는지 서브넷에서 확인
    - 사이트를 만들면 서브넷을 연결시키라고 되어 있음
      - 100.x.x.x 로 시작하면 미국으로 가라고 명시할 수 있음
- 파티션
  - AD에는 사용자 정보밖에 없다고 착각하기 쉽다
  - AD(DC)는 크게 4등분으로 되어 있음.
    - ADSI 편집에서 해당 항목을 볼 수 있음
    - Scheme는 전부 똑같음.
    - Configuration도 전부 똑같음.
    - Domain 정보들만 개개 별로 틀림
- 다른 이야기: 암호
  - 암호 최소 사용 기간이 있는 이유?
    - 바꾼 암호를 금방 바로 이전 암호로 바꿔버림
  - 암호 복잡성
    - 대문자, 소문자, 특수문자, 숫자 중 3가지 이상
  - 시작 버튼의 동작 여부도 그룹 정책에 들어갈 수 있음
    - 이런 모든 권한을 조각 내서 따로 관리할 수 있음 – OU(Organization Unit – 조직 구성 단위)
    - 몇몇 개의 작업을 위임할 수 있음
      - 위임을 할 수 있는 범위가 OU
      - OU로 할 수 있는 것은 위임과 그룹 정책 반영
- AD를 만들면 Trust가 서로 양방향임
  - 서로 다 믿어요~
  - A가 B를 믿고 B가 C를 믿으면 A는 C를 믿게 됨.
    - 싫으면 끊어야.
  - 대장(Forest)과 대장이 Trust를 맺으면 한방에 됨
- AD DS 스키마
  - Blueprint는 깨지면 절대 안됨
- 도메인 컨트롤러는
  - AD DB가 있는 곳
  - 2대 이상 만드는 것을 권장

——————— 2번째 시간 ———————–

팁
- Active directory adsiedit sn givenname
  - 이렇게 검색을 하면 AD 초기 사용자 생성에서 사용자명에 빈칸을 없앨 수 있다
DNS
- MS에 뭐가 잘 안 된다는 문의의 70% 이상이 DNS 문의라고 함
- Computer name -> ip로 바꿔줌(lookup) – 일반적으로 많이 사용
- Ip를 Computer name으로 바꿈(forward)
  - 클라이언트가 DNS 주소를 168.126.63.1 (KT DNS)를 가리키면? DC를 못 찾을 것임
  - AD가 세팅된 DNS를 바라봐야 정상적으로 작동함
- DNS 찾기: nslookup 명령
- 우리가 아는 DNS Record는 보통 A 임
- SRV: Service의 약자
- AD의 문제 70% 이상은 해당 컴퓨터가 AD를 못 찾는…
  - 자기(DC)가 자기 자신을 찾을 때도 DNS를 사용
  - AD의 중요한 요소가 DNS임
- MX : Mail exchange
  - 메일 전송할 때 메일 서버의 주소를 가지고 있음
  - Nslookup에서 set type=mx (엔터) microsoft.com (엔터)
- Forward와 lookup을 위한 zone 설정이 필요
- TTL: Time to live
  - DDDDD:HH.MM.SS
- DNS를 같은 주소에 여러 개 적용 가능
  - 싸구려 로드밸런서 기능을 함
  - Nslookup으로 zoo.com 을 호출하면 1, 2, 1, 2 이렇게 돌아가면서 호출됨
    - 신기신기!!
  - ftp.zoo.com -> www.zoo.com 으로 리디렉션하도록 설정 가능
- 컴퓨터 이름 길이를 몇 자 이내로 해야 하는 이유?
  - NETBIOS 때문
    - 옛날에는 Netbeui … 기억 난다
    - WinSock 이전이라고 함
  - netbios.도메인명이 됨
    - 이젠 NetBIOS 이름이 hostname이 됨
- Nslookup으로 호출할 때 마지막(com, net 등)에 .(점)을 찍으면 캐시 말고 직접 찾아보게 됨
- 서버와 클라이언트 간은 재귀 쿼리
  - 서버와 서버 간은 반복 쿼리

————————- 실습!! ———————-

DC01 서버 만들기
- 먼저 할 것: AD에 넣을 도메인 명을 정해야 함
- Split DNS
- DNS 이름을 뭐로 할지에 대한 것은 우리의 선택
- 최초의 DNS 설계를 잘 해야 함
Client 가입시키기
- DC에서 AD 사용자/컴퓨터 관리 들어감
Global Catalog는 검색을 위한 장소
- 검색 범위가 forest 단위로 되어 있음

—————————————————————

그룹
- 사람에 대한 권한을 묶으면 글로벌 그룹 -> 글로벌을 묶는 것은 도메인 로컬 그룹
  - 글로벌이랑 도메인 로컬은 같은 도메인 안에서 쓸 수 있음.
  - 사람 묶는 건 글로벌, 다른 건 도메인 로컬 이렇게 생각하면 된다고.
- 유니버셜은 포리스트 단위 -> 시간이 오래 걸림
- AD도 그룹 명을 만들어 놓는 것이 중요!
  - Naming rule을 철저히 – 인계인수 때 장점
- 기본적으로 AD에 사용하는 그룹 등을 지정할 수 있다.
  - 별도 명령어 사용
- 앞에서 했던 LDP는 쿼리만 할 수 있음
  - 엑셀 파일 등으로 빼낼 수 있음.
  - 물론 반대로 넣을 수도 있음(아래 링크 참조)
  - AD 사용자들의 회사 주소를 단체로 바꿔야 할 때 LDAP에서 빼내서 전체를 바꿀 수 있음
Store-and-forward
- 앞으로만 감.(롤백 하면 충돌 나고 – 난리 남)
- 시간과 버전 정보를 통해 AD Replication conflicts를 해결

—————————————————-

AD를 쓰는 이유
- SSO 또는 클라이언트 컴퓨터들을 손쉽게 관리하는 것
클라이언트 로그인 시 그룹정책 업데이트 사항이 반영됨
- 로그아웃/로그인 하지 않더라도 90분 간격으로 업데이트 된다고 함
그룹 정책의 종류
- 로컬에 있는 것
- 도메인에 있는 것
  - 로컬보다 도메인 정책이 우선함
  - 도메인보다 OU가 우선함
- 그룹정책에서 명령어 프롬프트를 막는 기능이 있다는 걸 인지해야.
그룹 정책이 잘 반영되었나? 확인가능