윈도우 액티브 디렉터리(Active Directory)

ி 액티브 디렉터리(Active Directory) 개념

규모가 큰 회사는 상당히 많은 수의 컴퓨터가 하나의 네트워크로 묶여야 한다.
세계적인 규모를 가졌다면 지역마다 서울, 부산, 일본 등에 분산되어 운영된다.
이러한 대규모 네트워크를 관리할 수 있는 기술이 바로 액티브 디렉터리다.

MS가 개발한 이 액티브 디렉터리(줄여서 AD)는 사내에서 윈도우 서버를 운영한다면 반드시 알아야 할 개념이다.

액티브 디렉터리를 사용하면 네트워크상으로 분산된 여러 자원을 중앙의 관리자가
관리할 수 있고 타 지사에 출장을 갈 때 컴퓨터를 들고 갈 필요 없이
출장을 가서도 자신의 아이디로 로그인만 하면 타인의 PC가 자신의 PC 환경처럼 구성된다.
따라서 회사 전체 자원을 편리하게 이용할 수 있다. 이 외에도 수 많은 이점이 있다.

ி 액티브 디렉터리(Active Directory) 용어

액티브 디렉터리는 개념적인 용어고 실제로 AD가 구현하는 서비스는 다음과 같다.

Directory Service

네트워크 관련 자원 정보를 중앙 저장소에 저장한 환경이다.

Directory Service를 윈도우 서버에 구현한 것이 액티브 디렉터리다.

Active Directory Domain Service(ADDS)

컴퓨터와 사용자 및 기타 주변 장치에 관한
정보를 네트워크 공간에 저장하고 관리자가 통합하여 관리한다.

도메인(Domain)

AD의 기본 단위이면서 어떤 집합을 상징한다.

트리 - 포리스트

도메인이 여러 개 묶이면 트리, 트리가 묶이면 포리스트다.

사이트(Site)

1. 물리적인 거리를 나타낸다. ex) 서울, 부산 등은 각각의 사이트라고 보면 된다.
2. 다른 IP 주소 대역의 묶음으로 보면 된다.
사이트에는 PC뿐만 아니라 서버, 프린터, 팩스, 모바일, 네트워크기기 등을 포함한다.
그리고 조직, 사람, 기타 자원들도 상징적으로 들어간다.

트러스트(Trust)

도메인 혹은 포리스트가 서로 신뢰할지 여부를 나타내는 관계를 말한다.

조직 구성단위(Organizational Unit, OU)

한 도메인 안에서 세부적인 단위로 나눈다.(예로 회사 내의 부서 단위로 권한을 부여한다)

도메인 컨트롤러( Domain Controller, DC )

사이트를 정의하고 중앙 집중화하여 통제한다.
개별 자원들은 도메인 컨트롤러가 지닌 정책과 방침대로 무조건 따라야 한다.
로그인 정책, 화면보호기, 암호 변경 날짜 등의 실질적인 기능을 처리하는 서버라고도 볼 수 있다.
도메인에는 하나 이상의 DC를 설치해야 한다.

읽기 전용 도메인 컨트롤러 ( Read Only Domain Controller, RODC )

주 도메인 컨트롤러부터 데이터를 전달받아서 저장한다.
스스로 데이터를 변경하거나 추가하지 않는다.
소규모라서 서버 관리자를 따로 두지 않아도 된다.

글로벌 카탈로그 ( Global Catalog, GC )

Trust 내의 도메인들에 포함된 개체 정보를 저장하는 통합 저장소이다.
사용자의 경우 사용자의 이름, 로그인 ID, 비밀번호 등의 정보가 GC에 저장되어 있다.

ி 액티브 디렉터리(Active Directory) 구성

Active Directory(AD)의 전반적인 내용을 실습으로 구현하기는 까다로워서
VMware에서 간단하게 도메인&포리스트와 도메인 컨트롤러를 만들고 OU를 설정해보는 등
단순히 기능적인 부분만 다뤄볼 것이다.

필자는 윈도우 2016 서버 2대와 윈도우10으로 실습을 진행하였다.
각 머신 이름은 First, Second, Third이다.
여기서 Third는 일반 사용자로 사용할 것이므로 AD를 설치하지 않는다.

First AD 설치 및 구성

서버 관리자 > 관리 > 역할 및 기능 추가 > 서버 역할 >
[서버 역할]에서 Active Directory 도메인 서비스 및 DNS 서버 선택 후 설치를 진행한다.

AD는 DNS 서버 설치가 필수다.

설치가 완료됐다면 AD 전용 DNS가 생성됐을 것이다.

이제 서버 관리자 화면에서 깃발 모양을 클릭하고
"이 서버를 도메인 컨트롤러로 승격"을 누른다.



AD 서비스 구성

① "새 포리스트를 추가합니다" 를 선택한다.

루트 도메인 이름을 입력하고 [다음]으로 진행한다.

② 도메인 컨트롤러 옵션

DSRM 암호를 입력하고 [다음]으로 진행한다.
참고할 것은 첫 번째 도메인 컨트롤러는 RODC로 구성 할 수 없다.
그리고 반드시 글로벌 카탈로그 서버로 설정한다.

③ NetBIOS 도메인 이름

NetBIOS 도메인 이름은 필요한 경우 변경할 수 있지만 기본값으로 놔두고 [다음]으로 진행하겠다.

④ 나머지는 [기본 설정]으로 쭉 진행한다.

⑤ 컴퓨터를 재부팅한다.

도메인 로그인 방식은 세 가지가 있다.
5-1 administrator@jdh5202.com
5-2 jdh5202\administrator
5-3 jdh5202.com\administator

이때 5-2에 jdh5202는 NetBIOS를 말한다.
NetBIOS는 네트워크에서 사용할 수 있는 컴퓨터 이름이다.
NetBIOS로 접속에 가끔 문제가 생길 때가 있는데, 이런 경우에는 5-1,5-3 방식으로 접속한다.

Third 도메인 조인

Third 클라이언트는 네트워크 dns 설정을 DC로 설정한다. (First ip로 설정)
이후에 Third가 First AD 도메인에 join(소속)을 진행한다.

Third 클라이언트에서 [실행 창]에 [sysdm.cpl]을 입력하고 엔터를 누른다.

오른쪽 하단에 변경 버튼을 누르고
소속 그룹을 도메인으로 선택한 뒤 join 하려는 도메인을 입력한다.

join을 하기 위해서 계정 인증을 요구하는데 DC의 administrator 권한으로 인증한다.

join 후에 컴퓨터를 재부팅한다.

기타 사용자로 로그인을 한 뒤에
First의 AD 사용자 및 컴퓨터로 가서 포레스트에 Computers로 들어가 보자. 

우측 영역에서 보이는 것처럼 Third 컴퓨터(KITRI003)가 잘 join된 모습이다.

Second 새 도메인 만들기

Second도 Third와 마찬가지로 네트워크 DNS를 DC로 설정한다.

second에 새 도메인을 추가할 것인데 이때 first가 부모 도메인이고
현재 추가되는 도메인이 자식 도메인이 된다.
이미 만들어진 First의 포레스트에 second 도메인을 추가할 것이다.
Second에서 배포 구성을 다음과 같이 설정한다.

기존 포리스트에 새 도메인을 추가합니다. 를 선택한다.
First의 부모 도메인 이름을 적어주고 설정할 자식 도메인을 입력한다.
그 후 [기본 설정] 값으로 계속 [다음]으로 진행한다.

First에 AD 도메인 및 트러스트를 들어가면 Second의 새 도메인이 추가된 것을
확인할 수 있다.

조직 구성 단위(OU) 설정

아래 사진처럼 팀(부서)을 만들고 사용자를 추가하여 해당 부서에 권한을
부여하는 것을 OU라고 한다.

예를 들어 법정 근로시간인 주 52시간 이슈로 인해서
사용자가 근무 시간(특정 시간) 외에는 PC 로그인을 하지 못하게 설정하려고 할 때
로그온 시간을 정해주면 된다.

위 예시의 경우 보통 부서별로 적용하겠지만 저 사진은 특정 사용자에 대해서만
적용할 수 있다는 것을 보여주기 위해서 일부로 저렇게 설정한 것이다. 

이제 저 사용자로 근무 시간외에 로그인을 했을 때 기능이 잘 적용되는지 확인한다.

로그온 시간 정책 때문에 로그인할 수 없다고 표시되는 것으로 보아
제대로 잘 동작하고 있다. 

ி 마무리

Active Directory에 대한 내용은 너무 방대하기 때문에 한 번에 모든 내용을
익힐 수는 없지만 기본적으로 AD 용어에 대한 개념은 꼭 이해하고 넘어가는게 좋다.
AD를 배울 때는 필요한 내용들을 찾으면서 공부하는게 훨씬 효율적인 학습이 되고
Microsoft에서 AD를 만들었으므로 MS에서 제공하는 메뉴얼을 읽는 습관을 들여야 

정확한 지식 습득에 도움이 된다.