2. Active Directory 를 설치해 보자

지난 회에 이어 Windows Server 의 꽃 Active Directory 의 설치 와 구성을 이야기해 보겠습니다. 

Active Directory 의 윈도우 플랫폼 서버의 BASE 보안 시스템으로 단순한 보안이외에도 자원관리 등과 같은 다양한 기능을 제공하고 있습니다. 

Active Directory 이하 AD 의 구성 없는 윈도우 서버는 일반 PC 의 윈도우 와 다르지 않다라고 감히 말씀드릴 수 있습니다.
AD 를 한마디로 정의 하자만 DNS 와 연동되는 보안 디렉토리 서비스 정도라고 할 수 있겠습니다. 따라서 DNS 서버의 주소 정책 이나 구성이 매우 중요하다고 할 수 있습니다.
필자는 크게 3가지 구분으로 AD DNS 를 구성합니다. 

첫번째 는 50명 이하 소규모 네트워크를 위한 구성입니다. 

AD 는 인터넷 도메인 네임과 NETBIOS 에서 사용하는 도메인 명이 있습니다. 소규모 네트워크에서는 이를 같이 사용합니다. 물론 다르게 하는 것도 좋지만 해킹이나 보안의 위협은 해커가 해킹에 성공했을 경우 얻어지는 이익에 비례한다고 볼 수 있습니다. 별로 나올게 없는 작은 서버를 힘들게 해킹할 이유는 많지 않기 때문이죠
즉 회사 홈페이지나 메일용 도메인과 NETBIOS를 같이 사용합니다.
예 (innorap.kr = INNORAP) 사용하기 편하고 관리하기 편합니다. 
 

두번째 50명 이상 중간규모 네트워크 구성 

이때는 인터넷 도메인 명과 NETBIOS 도메인 명을 다르게 합니다. AD 도메인 로그인 시 사용자의 ID 앞에 도메인 명이 붙게 됩니다. Ex INNORAP\USERID 그러므로 다르게 하면 좀도 보안적으로 개선될 수 있습니다.
예 (innorap.kr != INNORAPGROUP) 와 같습니다. 
 

세번째는 대규모 네트워크 환경입니다. 

복수의 백업 도메인과 RODC(Read Only Domain Controller) 를 가지는 글로벌 AD 환경입니다.
이러한 환경은 보안적으로 공격이 매우 심하며 또한 개인 정보 등의 보호해야할 자원이 많은 해커들이 아주 좋아라 하는 환경입니다.
이러한 AD 구성은 인터넷 주소 역시 회사 주소와 달리 별도로 구성합니다.
예 (innorap.local != INNORAPGROUP != innorap.kr) 로 3개층의 주소명을 다르게 관리합니다.
물론 관리 포인트도 많아지고 응용프로그램 구성도 복잡해 집니다. 당연 사내 전산관리자가 별도로 필요하게 됩니다. 

이번 예제 에서는 소규모 네트워크를 기준으로 설명합니다. 폐사의 고객의 대부분이 소규모 네트워크 사용자 이므로 별도의 요청이 있을 경우 중,대규모 구성에 대해서 글을 올릴 수도 있습니다. ^^

AD 로 구성된 서버는 모든 파일과 폴더에 커널BASE 보안이 적용됩니다. 따라서 승인되지 않은 사용자의 접근을 근원적으로 차단하며 또한 서버 정책을 적용할 수 있습니다. 이는 서버에 조인 된 사용자 PC 의 폴더와 파일에도 동일하게 적용되므로 전사적인 보안정책을 수립하여 내외부의 보안 공격에 대처할 수 있습니다. 

여담입니다만 대한민국의 보안 사고의 대부분은 이러한 윈도우 OS를 사용하면서도 가장 기초적인 AD 조차도 제대로 구성하지 않고 사용하는데 서 기인한다고 생각합니다.
 

어제 보았던 서버 로그인 화면 입니다.  Ctrl+alt+del 을 누르고 Administrator 계정을 확인 한 후 등록했던 암호로 로그인 합니다. 


 

바탕화면이 열립니다. 



제일 먼저 서버 관리자가 열립니다. 여기서 처음 해야 되는 작업은 인터넷 익스플로러를 사용할 수 있도록 열어주어야 합니다.
MS 는 서버에서 먼 인터넷이냐며 윈도우 서버에서 인터넷 사용을 막아 놓았습니다.
당연 보안적으로는 그렇게 해야 하겠지요 하지만 서버 업데이트 파일도 인터넷에서 받아야하니 인터넷이 막혀 있으면 여간 불편한 게 아닙니다. 
 

서버 관리자에서 좌측 로컬서버를 클릭한 후 Internet Explorer 보안 강화 구성에서 관리자 항목에 사용을 사용안함으로 바꿔줍니다. 

확인을 눌러서 적용을 합니다. 

다음은 서버의 정품 인증 입니다. 정식 라이선스를 발급 받고 서버 Serial Number 가 확인 되었다면 정품 인증을 진행합니다.
시작 - > 관리도구 -> 제어판 -> 시스템에서 정품인증을 클릭하고 시리얼 번호를 입력하면 진행 됩니다. 

다음은 컴퓨터 설명과 서버 명을 바꿉니다.
서버 명은 초기 설치 시 인스톨러가 임의로 이름의 만들어서 넣어줍니다. 머 그대로 사용해도 상관을 없지만 이름이 너무 난해한 지라 각종 서버 어플리케이션 설치 시 난감한 경우를 맞게 될 수 있으니 이해하기 쉬운 영문 명으로 지정하는 것을 권장합니다.
단 여기서 서버 명은 반드시 영문으로 해야 됩니다. 한글은 안됩니다. 앞에 강좌에서도 설명 드렸듯이 NETBIOS 는 2BYTE 한글 명을 네트워크 상에서 풀 때 어려움이 많습니다.
서버 응용프로그램들도 한글 명을 좋아하지 않습니다.

다음은 바탕화면의 아이콘을 빼는 작업 입니다. 

물론 휴지통만 달랑 있는 깨끗한 화면도 좋지만 서버란 기계가 워낙 에 세팅할 게 많다 보니 수시로 디스크 제어판을 들락날락 거려야 합니다. 그런데 바탕화면에 아이콘이 없으면 불편하겠지요 Windows 8 과 Windows Server 2012 부터 바탕화면 아이콘 꺼내는 위치가 바꿨습니다.
어찌 MS 는 사용자가 불편한 일만 이따 구로 찾아서 하는 지 알 수가 없습니다.
바탕화면 우측마우스 클릭 -> 개인설정 -> 테마 -> 바탕화면 아이콘 설정에서 필요한 아이콘을 클릭하고 확인을 누릅니다.
 

이제 AD 를 구성하기 전 Windows Update 를 실행합니다. 

Windows Update 는 매우 중요합니다. 다 구성하고 업데이트를 하는 것도 방법이긴 하지만 수없이 서버를 설치하다 보니 미리 업데이트를 안할 경우 사소한 시스템 오류 (EVENT VIEWER) 가 많이 생깁니다. 다른 건 몰라도 서버의 사소한 오류 조차도 보안이나 운영상의 문제를 야기하는 경우가 많습니다. 항상 최신 업데이트를 끝까지 설치한 후 작업을 하시기 바랍니다. 

업데이트 완료 되었군요 다시 시작하셔서 적용하시기 바랍니다.
서버 설치 시 재 부팅 요구가 있을 시 반드시 재부팅 하시기 바랍니다. 무시하고 계속 진행 했다가 낭패를 보는 경우가 많습니다. ^^

 

AD 를 구성하기 전에 먼저 서버에 고정IP 를 할당 합니다. 아시다시피 DNS 나 웹 메일 서버는 외부나 내부에서 찾아오는 서버이기 때문에 고정IP 를 할당하여 사용합니다. 

IP 주소는 방화벽 상에서 Port Mapping 이나 IP forwarding 으로 구성할 경우 외부 쪽(실IP) 에 연결 된 내부 가상IP를 할당하며 DMZ 영역으로 구성할 경우 외부 IP를 할당합니다. 
다만 여기서 AD 는 보안 서버이므로 외부로 빼는 것은 바람직하지 않다고 생각됩니다.
DNS 찾기 주소에 127.0.0.1를 먼저 할당하는 이유는 클라이언트 뿐만 아니라 서버 역시도 자기 DNS 서버의 주소를 먼저 찾도록 하기 위함입니다. 

자 이제 AD를 설치를 시작해 봅니다.

먼저 시작-> 서버관리자를 실행합니다.
2번째의 역할 및 기능을 추가를 실행합니다.

먼가 주저리 주저리 설명을 합니다. 첨 하시는 분은 꼼꼼히 읽어 보시는 것도 좋겠습니다. 

두번째에서 우리는 원격데이스톱 서비스를 설치하는 것이 아니므로 첫번째 역할기반 또는 기능기반 설치를 지정합니다. 서버 풀에서 선택을 합니다. 복수개의 서버를 운영할 경우 1대의 서버에서 여러 서버에 기능, 역할을 배포할 수 있습니다. 

서버 역할 선택에서 3번째 Active Directory 도메인 서비스를 선택합니다.

무언가 추가로 선택한다는 메시지가 뜹니다.
AD 가 설치되므로 관리 도구가 설치될 것이고 명령 도구 및 PowerShell 용 AD 모듈이 설치가 됩니다. 기능 추가를 클릭합니다.
 

앞에 선택한 AD 운용에 필요한 NET Framework 4.5, 관리도구, Powershell 추가 기능을 설치합니다. 

또 AD DS 에 대한 설명을 합니다.
중요 기능을 설치 후에는 반드시 재부팅을 설치해야 하므로
“필요한 경우 자동으로 대상 서버 다시 시작”을 선택합니다.
마지막으로 설치 버튼 클릭
자동으로 재부팅 되지 않을 경우 수동으로 재부팅 합니다.

오늘 강의는 여기까지
다음은 윈도우 서버 AD를 구성해 보자 입니다.