[노트] Windows Server Active Directory 기초(꼬알라 공부방)

강의 개요

  • 강의: 러닝웨이코리아 | 2014-01-10 | 오전 9:30~오후 5:00 | 백승주부장님
  • 내용:
    1. 액티브 디렉터리 개념 (도메인, 포리스트, 사이트, 트리, 도메인 컨트롤러, 글로벌 카탈로그, FSMO 등등)
    2. 액티브 디렉터리의 설치
    3. 계정 및 그룹 관리
    4. 그룹 정책을 통한 인프라 기본 관리
  • 소감: 처음 접하는 내용은 아니지만 실무에서 AD를 구축하고 사용하면서 겪게 되는 문제나 아키텍처 상의 기본적인 설정 등을 들어 유익했다. 문제는 AD를 통해 뭔가를 해본 적이 없다는 건데, 직접 해보는 수 밖에 없을 듯..

수업 시간에 필기한 내용

  • 오늘도 10분 지각; 왜 이러냐 ㅠㅠ
    • 지각을 하면 음료수를 사기로 마음먹어서 어제와 오늘 음료수를 사 들고 옴
  • 필기를 위해 원노트 앱을 켬. Windows RT(물론 데스크톱에서도 설치 가능)용 OneNote app이 많이 좋아졌다.
  • 오늘은 Active Directory에 대해 들으러 옴.
    • 어제는 AD FS 등 선 지식이 있어야 하는 수업이었지만 오늘은 기초부터 하니 기대가 됨.
    • Active Directory가 없다면 어떤 이야기도 시작할 수 없음
    • 학원에서는 5일 정도의 코스가 있다고 함.
    • 윈도우 서버에 대해 엔지니어들의 잘못된 인식을 고쳐주려 함.
      • 윈도우 서버는 점점 더 어려워질 것.
    • TCP/IP의 의미를 배워야.
    • Active Directory
      • Directory : Yellow page의 의미가 강함 – 전화번호부(주소록)
        • 누군가를 계층 구조로 찾아갈 수 있는
        • 하드 디스크 구조(tree 명령어)가 그 예
      • Active : 유동적. 계속 바뀐다는 뜻
      • Windows 2000때 나옴. 15년 정도 된 기술
        • 옛날에는 SAMDB라고 불렀음
        • 2020년까지 확실히 쓴다고…
        • 출시 후 지금까지 천지개벽 수준으로 변경되지 않은 기술
      • AD는 어디에 저장되는가?
      • 레지스트리의 최대 용량은 50MB
        • 옛날에는 많이 저장하려면 도메인을 새로 만들어야 했다
    • Object란?
      • 속성을 갖는 어떤 것.
        • 자전거에 있는 하나하나의 파츠가 다 개체임
        • 속성값들이 모인 어떤 것
        • 결국은 AD도 DB라서 Query 가능
        • AD에서는 속성을 스키마로 명기
          • 사번을 이메일 주소로 바꿔주세요! 가능합니다.
    • AD는 데이터베이스
      • 검색 가능
      • LDAP – Database 표준 방식
      • 주소록을 쿼리 하는 것
    • 작업 그룹(Workgroup)
      • 시스템 속성에서 변경
      • 작업 그룹의 의미: 알아서 쓰겠다
        • 모든 컴퓨터의 관리를 개개 별로 하는 모드
      • 인증에 대한 관리를 스스로 하는 것
    • 도메인(Domain)
      • 중앙에서 인증하는 방식(AD의 역할)
    • Kerberos 표준 인증 방식
      • 이것을 쓰기 때문에 맥 or 리눅스와 연결 가능
    • 인증 Authentication
      • 내가 누군지
        • 작업 그룹: 혼자서
        • AD가 있으면: Kerberos
    • 허가 Authorization
      • Administrator는 모든 것을 할 수 있나요?
        • 어드민도
      • Right과 permission의 차이는?
        • Permission
          • ~를 ~하게
        • Right
          • Action
    • 기술을 배우는 관점
      • How-to : 학교에서.
      • Why : 장애가 생겼을 때 대응할 수 있게
    • AD DS의 구성
      • 물리적
        • Data store
        • Domain Controller
        • Global Catalog
          • DC를 만들면 자동적으로 GC가 생성되도록 2008 R2부터 바뀜
          • 사번 Scheme를 만들어서 검색이 되도록 하려면 Global Catalog에 복제되도록 설정하면 됨.
        • RODC
          • DC는 최소 2대를 만드는데…
          • DC는 기본적으로 양방향으로 통신
          • Read Only Domain Controller
            • DC가 읽기만 할 수 있게
      • 논리적
        • Ntds.dit 파일에 저장되어 있음
        • Hyper-V 서버에 DC를 설치했을 때 그 서버가 죽으면?
          • Hyper-V의 IDE 컨트롤러는 Cache가 Enable 되어 있음
            • SCSI는 Cache가 Disable 되어 있음
            • Hyper-V에 DC 올리려면 SCSI에 올리는 것을 권장(지금은 패치가 되었다고… 2008 R2 등에서 체크)
        • 파티션 Partitions
        • 스키마 Scheme
        • 도메인 Domains
        • 도메인 트리 Domain trees
        • 포리스트 Forest
        • 사이트 Sites
        • 조직 구성 단위 OUs
    • 도메인?
      • DC가 영향을 미칠 수 있는 범위
        • DC에 넣을 수 있는 설정 값을 변경하려면 하나를 더 만들면 됨
      • Whoami
        • 신분 증명
        • 도메인 컨트롤러가 발급
      • 인증 창?
        • ‘난 널 모른다’는 의미
      • DC와 DC를 연결함
        • Tree
        • 빨갱이와 파랑이를 서로 인식시키는 것
          • Trust
      • 그 DC들 전체
        • Forest
          • 같은 회사라면 포리스트 하나가 가장 좋음
          • 같은 Forest면 스키마가 같다
          • 제일 처음 만든 Forest가 Forest Root domain임
    • 사이트
      • 네트워크 IP로 매핑
      • 미국의 컴퓨터는 미국 DC에 연결 – 사이트
      • 한국의 컴퓨터는 한국 DC에 연결 – 사이트
        • 사이트가 어디에 있는지 서브넷에서 확인
        • 사이트를 만들면 서브넷을 연결시키라고 되어 있음
          • 100.x.x.x 로 시작하면 미국으로 가라고 명시할 수 있음
    • 파티션
      • AD에는 사용자 정보밖에 없다고 착각하기 쉽다
      • AD(DC)는 크게 4등분으로 되어 있음.
        • ADSI 편집에서 해당 항목을 볼 수 있음
        • Scheme는 전부 똑같음.
        • Configuration도 전부 똑같음.
        • Domain 정보들만 개개 별로 틀림
    • 다른 이야기: 암호
      • 암호 최소 사용 기간이 있는 이유?
        • 바꾼 암호를 금방 바로 이전 암호로 바꿔버림
      • 암호 복잡성
        • 대문자, 소문자, 특수문자, 숫자 중 3가지 이상
      • 시작 버튼의 동작 여부도 그룹 정책에 들어갈 수 있음
        • 이런 모든 권한을 조각 내서 따로 관리할 수 있음 – OU(Organization Unit – 조직 구성 단위)
        • 몇몇 개의 작업을 위임할 수 있음
          • 위임을 할 수 있는 범위가 OU
          • OU로 할 수 있는 것은 위임과 그룹 정책 반영
    • AD를 만들면 Trust가 서로 양방향임
      • 서로 다 믿어요~
      • A가 B를 믿고 B가 C를 믿으면 A는 C를 믿게 됨.
        • 싫으면 끊어야.
      • 대장(Forest)과 대장이 Trust를 맺으면 한방에 됨
    • AD DS 스키마
      • Blueprint는 깨지면 절대 안됨
    • 도메인 컨트롤러는
      • AD DB가 있는 곳
      • 2대 이상 만드는 것을 권장

 

——————— 2번째 시간 ———————–

    • Active directory adsiedit sn givenname
      • 이렇게 검색을 하면 AD 초기 사용자 생성에서 사용자명에 빈칸을 없앨 수 있다
  • DNS
    • MS에 뭐가 잘 안 된다는 문의의 70% 이상이 DNS 문의라고 함
    • Computer name -> ip로 바꿔줌(lookup) – 일반적으로 많이 사용
    • Ip를 Computer name으로 바꿈(forward)
      • 클라이언트가 DNS 주소를 168.126.63.1 (KT DNS)를 가리키면? DC를 못 찾을 것임
      • AD가 세팅된 DNS를 바라봐야 정상적으로 작동함
    • DNS 찾기: nslookup 명령
    • 우리가 아는 DNS Record는 보통 A 임
    • SRV: Service의 약자
    • AD의 문제 70% 이상은 해당 컴퓨터가 AD를 못 찾는…
      • 자기(DC)가 자기 자신을 찾을 때도 DNS를 사용
      • AD의 중요한 요소가 DNS임
    • MX : Mail exchange
      • 메일 전송할 때 메일 서버의 주소를 가지고 있음
      • Nslookup에서 set type=mx (엔터) microsoft.com (엔터)
    • Forward와 lookup을 위한 zone 설정이 필요
    • TTL: Time to live
      • DDDDD:HH.MM.SS
    • DNS를 같은 주소에 여러 개 적용 가능
      • 싸구려 로드밸런서 기능을 함
      • Nslookup으로 zoo.com 을 호출하면 1, 2, 1, 2 이렇게 돌아가면서 호출됨
        • 신기신기!!
      • ftp.zoo.com -> www.zoo.com 으로 리디렉션하도록 설정 가능
    • 컴퓨터 이름 길이를 몇 자 이내로 해야 하는 이유?
      • NETBIOS 때문
        • 옛날에는 Netbeui … 기억 난다
        • WinSock 이전이라고 함
      •  netbios.도메인명이 됨
        • 이젠 NetBIOS 이름이 hostname이 됨
    • Nslookup으로 호출할 때 마지막(com, net 등)에 .(점)을 찍으면 캐시 말고 직접 찾아보게 됨
    • 서버와 클라이언트 간은 재귀 쿼리
      • 서버와 서버 간은 반복 쿼리

 

————————- 실습!! ———————-

  • DC01 서버 만들기
    • 먼저 할 것: AD에 넣을 도메인 명을 정해야 함
    • Split DNS
    • DNS 이름을 뭐로 할지에 대한 것은 우리의 선택
    • 최초의 DNS 설계를 잘 해야 함
  • Client 가입시키기
    • DC에서 AD 사용자/컴퓨터 관리 들어감
  • Global Catalog는 검색을 위한 장소
    • 검색 범위가 forest 단위로 되어 있음

 

—————————————————————

  • 그룹
    • 사람에 대한 권한을 묶으면 글로벌 그룹 -> 글로벌을 묶는 것은 도메인 로컬 그룹
      • 글로벌이랑 도메인 로컬은 같은 도메인 안에서 쓸 수 있음.
      • 사람 묶는 건 글로벌, 다른 건 도메인 로컬 이렇게 생각하면 된다고.
    • 유니버셜은 포리스트 단위 -> 시간이 오래 걸림
    • AD도 그룹 명을 만들어 놓는 것이 중요!
      • Naming rule을 철저히 – 인계인수 때 장점
    • 기본적으로 AD에 사용하는 그룹 등을 지정할 수 있다.
      • 별도 명령어 사용
    • 앞에서 했던 LDP는 쿼리만 할 수 있음
      • 엑셀 파일 등으로 빼낼 수 있음.
      • 물론 반대로 넣을 수도 있음(아래 링크 참조)
      • AD 사용자들의 회사 주소를 단체로 바꿔야 할 때 LDAP에서 빼내서 전체를 바꿀 수 있음
  • Store-and-forward
    • 앞으로만 감.(롤백 하면 충돌 나고 – 난리 남)
    • 시간과 버전 정보를 통해 AD Replication conflicts를 해결

—————————————————-

  • AD를 쓰는 이유
    • SSO 또는 클라이언트 컴퓨터들을 손쉽게 관리하는 것
  • 클라이언트 로그인 시 그룹정책 업데이트 사항이 반영됨
    • 로그아웃/로그인 하지 않더라도 90분 간격으로 업데이트 된다고 함
  • 그룹 정책의 종류
    • 로컬에 있는 것
    • 도메인에 있는 것
      • 로컬보다 도메인 정책이 우선함
      • 도메인보다 OU가 우선함
    • 그룹정책에서 명령어 프롬프트를 막는 기능이 있다는 걸 인지해야.
  • 그룹 정책이 잘 반영되었나? 확인가능

이것도 살펴보세요!

WSL: Linux용 Windows 하위 시스템 배포 삭제하기

명령 프롬프트를 실행 현재 설치된 배포판 리스트를 확인 wsl -l 배포판을 삭제해갑시다 wsl --unregister 배포판이름 …

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다