Active Directory 의개념및효율과필요성 엑셈컨설팅본부 /SQL Server 팀양동환 개요 MicroSoft(MS) 에서 Windows Server 2000 을출시하면서가장크게내세운기능이있다면 그건바로 Active Directory(AD) 일것이다. 점점더다양

Active Directory 의개념및효율과필요성 엑셈컨설팅본부 /SQL Server 팀양동환 개요 MicroSoft(MS) 에서 Windows Server 2000 을출시하면서가장크게내세운기능이있다면 그건바로 Active Directory(AD) 일것이다. 점점더다양하고복잡해지는 IT 인프라에체계성을갖춰관리, 보안, 상호운영성의이익을갖도록하는것이 AD 가도입된가장큰이유이고 MS 에서 Windows Server 새로운버전이나올때마다가장중점을둬서발전시킨것또한 AD 이다. 그렇다면이문서를통해 AD 에대해좀더자세히살펴보고기업에서 AD 가얼마나효율적으로사용가능하고왜필요한지알아보도록하자. AD 란무엇인가 Active Directory 에대해설명하기앞서우선 MicroSoft 의네트워크환경에대해간단히설명하겠다. MS 의 OS 인 Windows 는크게두가지모델이있다. Windows 9X 계열, XP, 7,8 등과같은가정용이있고, Windows NT 계열인 Server 2000, 2003, 2008, 2012 등과같은기업용이있다. 이두가지의 OS 모델은개발환경및코드가다르며시장에서의쓰임새도다르다. 기업용이라고하는 NT 계열은가정용과달리개인혼자서사용하기위한것이아니다. 기본적으로네트워킹이라는요소가포함되어기업환경과같이많은사람들이정보및자원을서로공유할수있어야한다. 이렇듯네트워크에서컴퓨터가자원을공유하는용도로사용된다면역시보안 (Security) 부분은빼놓을수가없다. 적절한사용자에게만서비스를제공해야하고그렇지못한사용자는접근을통제해야한다. NT 는이러한기능을제공하기위해자신의자원에접근하게할사용자를생성하고이것을 DB 화시켜리스트를유지한다. 이리스트를 Directory 라고부르고이 Directory 를저장하는공간을 Directory Database 라고부른다. 이 Directory Database 에저장되는개체 (Object) 을가리켜계정 (Account) 라고부른다. 예를들면사용자계정, 컴퓨 554 2013 기술백서 White Paper

터계정등이있을수있다. 결국한컴퓨터에서서버에있는파일에접근을하고자한다면, 그컴퓨터를사용하는사용자계정이서버의 Directory Database 에등록이되어있어야접근이가능하다는것을의미한다. 이러한 Directory 를효율적으로관리하기위해 MS 에서는네트워크관리모델을두가지제공한다. [ 그림 1] 내컴퓨터 속성 컴퓨터이름 / 도메인변경창 내컴퓨터속성에들어가서위그림과같은창을본적이있을것이다. 그림과같이 MS 에서는 WORKGROUP 과 DOMAIN 이라는모델을제공한다. 두모델의가장큰차이점은앞서말한 Directory Database 의위치라고할수있다. 그렇다면두모델의차이점을표를통해알아보도록하겠다. Part 3 SQL Server 555

WORKGROUP DOMAIN Directory Database 위치장점 ` 각각의컴퓨터내 ` 작은규모의네트워크환경이라면전체서버를관리할강력한시스템이필요없고따로관리자가없이각각자신들의시스템을스스로관리하는게방침인게회사의방침인곳에서는적절하다. ` 하나이상의마스터서버 (DC) 내 ` 회사내모든컴퓨터및사용자계정을서버마다생성하지않고하나의마스터서버 (DC) 에서만생성하여중앙관리할수있다. 단점 ` 한사용자가자원을가진서버마다별도의사용자계정을가지고있어야한다. ` 하나의사용자를위해서서버마다계정을만들어야한다. ` 전체 Directory Database 를관리할강력한마스터서버가있어야한다. ` 굳이중앙관리를할필요가없을정도의소규모네트워크환경일경우오히려불편할수있다. ` 중앙집중적인관리의어려움 [ 표 1]MS 네트워크모델비교 이중 AD 는 Domain 모델을사용하는기능이다. 이제 MS 의네트워크모델을알았으니 AD 에 대해설명하겠다. AD 는 MS 에서개발한 Windows 환경에서사용하기위한 LDAP(LightWeight Directory Access Protocol) 디렉터리서비스 (Directory Service) 이다. 디렉터리서비스라는용어자체가 조금생소할수있는데사전적의미로는다음과같다. 디렉터리서비스 네트워크내에분산되어있는디렉터리를일원적으로관리하여, 디렉터 리에수용되어있는정보의검색, 변경, 추가, 삭제등디렉터리사용자나사용자프로그램 이요구하는서비스를제공하는기능단위 556 2013 기술백서 White Paper

쉽게말해네트워크내에여러디렉터리 ( 사용자에관한데이터, 프린터, 서버, 데이터베이스, 그룹, 컴퓨터, 보안정책등과같은 Object) 들을모아중앙에서관리할수있고동시에여러사용자들이디렉터리에접근하여사용할수있게서비스를제공해주는것을말한다. 이런디렉터리서비스가하는일은다음과같다. 조직이나회사의확장에따라같이확장할수있는정보소스의역할 관리자가한컴퓨터에서전체네트워크의정보를입력하고관리할수있는기능 외부에서접근하는허가받지않은사용자로부터정보를안전하게보관하기위해관리자가정의하는보안강화 네트워크의많은컴퓨터간에디렉터리분산 더많은사용자들이사용할수있고, 에러발생을줄이기위해복제사용 많은수의개체를저장할수있도록여러개의저장소로디렉터리를분할 디렉터리서비스는 AD 이외에도많이있지만 AD 는위와같은디렉터리서비스의기본기능에 충실할뿐만아니라그룹정책 (Group Policy) 와개발인증에대해뛰어나큰기업의네트워크 환경을관리할수있다. AD 의기본기능 확장가능 Directory(Extensible Directory) AD 가적게는수십에서많게는수만개수준의 Object 를관리할수있는것은기본적으로 AD 가섹션을나누어관리될수있도록하는파티션개념을도입했기때문이다. 그에따라기업의확장에따라얼마든지 AD 영역도확장될수있다. Part 3 SQL Server 557

스키마 (Schema) 사용 Directory Service 를하기위해선각 Object 들을구분할수있는일종의 Rule 이필요하다. AD 는스키마를이용하여각 Object 들을구분하고관리한다. DNS 사용 AD 는 Internet Name Space 개념인 DNS 를도입하여사용한다. 이는숫자로이루어진 IP 주소를사람이쉽게기억하고인지할수있게이름으로풀이하는방법인데 AD 에서는이 DNS 를이용하여 Internet 에있는 Source 나 Object 를찾는다. 이는네트워크상에물리적위치에상관없이 Object 를쉽게찾을수있는방법을제공한다. LDAP 지원 AD 를검색하고 Directory 와응용프로그램간의정보교환을할때 LDAP 프로토콜을사용한다. 한곳에서관리 (Single Point of Administration) Directory 를관리한다는것은네트워크상의 Object 들을추가, 변경, 삭제하는작업을말한다. AD 는이런작업들을한컴퓨터 (DC) 에서액세스하여관리할수있도록한다. 이는비용과시간을절약할수있는것을의미한다. AD 의추가기능 향상된질의 (Enhanced Queries) AD 에는 Global Catalog Server 에전체 Directory 에대한 Index 를만들어둔다. 이 Global Catalog Server 에사용자는질의를함으로서, Object 를찾을수있다. Global Catalog Server 는 AD 가복제될때에자동으로생성되기때문에복제된정보를이중화로가지고있다. 558 2013 기술백서 White Paper

결함허용 (Fault Tolerance) AD 가복제되기때문에어느한쪽에장애가발생하더라도복제된정보를이용해계속디렉터리 서비스를할수있다. 보안통제 (Security Controls) 사용자나관리자가 AD 를사용하고관리하는것은보안정책 (Security Policy) 으로규정된다. AD 는 ACL(Access Control List) 가있어서권한이부여된사용자만이해당 Object 를읽거나쓸수있도록통제할수있다. 그리고여러책임있는그룹에게관리권한과책임을분산하여관리할수도있다. AD 의동작원리 AD 의동작원리를이해하기위해서는다음과같은 4 가지의개념을이해하고있어야된다. 표준이름명명법 (Name Standard) 논리적구조요소와 Organization 그리고그둘의상관관계 각컴포넌트의물리적구조와동작 AD 의보안특징 그럼 4 가지의개념을하나하나살펴보도록하겠다. 표준이름명명법 AD 는아래와같이업계표준인 2 가지의이름명명법 (Naming Conventions) 을사용하기때 문에사용자나응용프로그램이 AD 를액세스할때에비슷한포맷으로사용할수있다. DNS(Domain Name System) Part 3 SQL Server 559

- Internet 의표준이름영역 (namespace) 방식이 DNS 이다. AD 는이 DNS 와같은이 름영역표시법을사용하고이를이용해서이름을주소로풀이해서그자원이있는 장소를찾을수있는서비스를제공한다. LDAP(Lightweight Directory Access Protocol) - AD 가 directory database 와응용프로그램간의핵심프로토콜로사용된다. AD 는각 Object 를기준으로하여동작하는데이 Object 는 AD 내에서각각고유한이름을갖 게되며이것으로서로구분하게된다. 이를이름영역 (Namespace) 라고하고이름을 Object 나 그이름이나타내는정보로번역하는과정을이름풀이 (Name Resolution) 이라고한다. 관리자가 AD 구조를생성할때, 그 Contents 는논리적계층적구조로만들어져서보관된다. 예를들면, EXEM 이 EX-EM.com 으로되어있다면, SQLServer 팀은 SQLServer.EX-EM.com 으로, Consulting 팀은 Consulting.EX-EM.com 으로만들어지는것이바로 AD 내에서논리적 계층구조로이름이명명된다는의미하는것이다. AD 내의각 Object 의이름에는다음과같은 3 가지타입이있다. DN(Distinguished Name) - AD 내의모든 object 는 DN 을가진다. 예를들어필자 (YDH) 의 DN 은 YDH@SQLServer.EX-EM.com 이다. YDH : AD 에정의된 user object 의실제이름이다. SQLServer : EXEM 의 SQLServer 팀을나타내는컨테이너 (Container) 이다. EX-EM : AD 내의 EXEM 사의이름영역 (Namespace) 이다. Com : Internet 에서일반회사임을나타내는컨테이너 (Container) 이다. RDN(Relative Distinguished Name) 560 2013 기술백서 White Paper

- Object 의 Attribute( 속성 ) 을나타내는이름의한부분을의미한다. YDH 라는 user object 의 RDN 은 YDH 이다. 이 YDH 라는 object 의부모 (Parent) object 의 RDN 은 Users 이다. UPN(User Principal Name) - 사용자의로그온이름이다. Object 가있는컨테이너의 DNS 이름이나 user object 를 대신하는줄인이름인것이다. AD의논리구조와요소 AD 를구성하는각요소들은논리적인구조로엮어져있다. 사용하는용도에따라논리적으로그룹화되어있으며, 각 object 들의물리적위치에관계없이이름만으로쉽게검색할수있는것이다. 이러한 AD 의기본구성요소와논리구조에대해알아보겠다. Objects - 공통된속성을가지며 class 별로구성된다. Users, computers, application 등이 object 이다. Object Attributes - 각 object 가가지고있는특징을정의하는정보의카테고리이다. 같은타입의 object 는동일한 attribute 를가지고그 attribute 의값이서로다르기때문에해당 object 들 은 unique 하게되는것이다. Object Classes - Object 의논리적그룹이다. 이클래스의특징을기술하는것을 properties 라고부른 다. Ex) users, groups, computers, domains, organizational units(ou), security policies 등 Schema Part 3 SQL Server 561

- AD 의 object 를정의한다. 이는각 object 의 attributes, classes, classes properties 등을 규정한다. AD 의논리구조 [ 그림 2]AD 의 object 는 containers, domains 그리고 OUs 를구성한다. Container - 다른 object 를포함하고있는일종의 directory object 이다. Domains - AD 의논리구조의단위가 domain 이다. 사용자계정정보와 DNS 이름을바탕으로서 로를구별하고보안정보를공유하는 object 의논리적 container 이다. - Domain 은보안관리체계를이루는최소단위이자복제가일어나는단위이다. 562 2013 기술백서 White Paper

DC(Domain Controller) - AD 의물리적구조를살펴보면 DC 서버가 domain 의 directory 를한벌저장하고있 다. 한 domain 에여러개의 DC 가있을수있으며, 각기해당 domain 의 directory 정 보의복제본을한벌씩가지고있다. OU(Organizational Units) - 일종의 container object 로서 domain 내의 object 들을관리할수있는그룹으로묶어 놓은것을말한다. AD 논리구조의상관관계 그림 Trees - 연속되는이름영역을가진하나이상의 domain 으로구성된계층적조직을 tree 라고한다. 이연속된이름영역 (Contiguous namespace) 이라는것은 parent container 의이름이 child object 의이름의뒤에붙는다는것을말한다. AD 내에서 tree 내의 domain 끼리는서로 trust relationship 을가지면서공통된 schema, configuration, global catalog server 를사용한다. 여기서 trust relationship 이라고하는것은두개이상의 domain 을논리적으로연결하여하나의관리단위로이용하는것을의미하기때문에각 object 는 domain 에상관없이서로공유된다. Forests - Forest 는연속되지않는이름영역을가진하나이상의 tree 로이루어진다. forest 내의각 tree 는독립적인이름영역을가지는데, 이들 tree 간에각기다른이름영역을 disjointed namespace 라고부른다. Default 로 root tree 나 forest 내에서제일먼저만들어지는 tree 의이름이 forest 의이름으로사용된다. 이름이서로공유되지않더라도 forest 내의 tree 들은 schema, configuration, global catalog server 는공유한다. Part 3 SQL Server 563

Global Catalog Server - 전체 directory 의모든구성요소와그상관관계를한눈에알아볼수있도록한다. 이것은 AD 가복제될때에만들어지며, 전체 directory 의복제본을저장하고있다. 이것을통해사용자나관리자가해당 object 를물리적위치에상관없이찾을수있다. - Global Catalog Server 는모든 directory object 를담고있지만 AD 의각 object 와 attribute 의일부분만복제하고저장하고있다. AD 의물리적구조 [ 그림 3]AD 는 Site 내에서 DC(Domain Controller) 를포함하는 site topology 를구성하여하나의물리적디렉터리구조를이 룬다. 564 2013 기술백서 White Paper

Sites - AD server 가물리적으로위치하는장소정도로이해하면된다. 관리자 (Administrators) 는신뢰성있고빠른 (Site 내의서버끼리일어나는복제작업에따른네트워크트래픽을감당 ) LAN 네트워크망에있는여러서버들을묶어서 Site 를만든다. Site 에는서버, 컴퓨터, 프린터, 팩스등과같은하드웨어를포함한다. Site 는이름영역에속하지않는다. Site topology 정보나그구조에관한사항은 directory 에별개로저장된다. - Site 를만들때고려사항으로는 복제트래픽이원할하게전송될것 사용자가 DC 에신뢰성있고빠른 LAN 망으로접속할수있게할것 한 Site 는여러 domain 에여러 DC 를포함할수있고, 한 domain 의여러 DC 에는여러 site 가포함될수있음 Site Topology - 기업의전네트워크에 site 를어떻게분산배치할것인지를기술하고있다. 한 site 에 최소하나의 DC 를두도록설계하는것을권장한다. Domain Controllers - Domain directory 를업데이트할수있는복사본을가지고있는서버를말한다. 모든 DC 는계층적구조가아닌동등한관계를유지하기때문에 NT4.0 이전버전에있던 primary 나 backup domain controller 라는개념은더이상사용하지않는다. - DC 가없는 site 에서는복제가일어나지않는다. Part 3 SQL Server 565

AD 의물리적구조내에서의동작 [ 그림 4]Site 를이루는물리적구성요소와 DC 가구성되면이는 AD 운용과함께어울려동작한다. 이동작에는디렉터리 복제, Global Catalog server 업데이트, Directory 확장과성능최적화를위한 directory 저장조직의개편등이포함된다. 복제 (Replication) - Directory 에변경 ( 새로운서버의추가, 삭제포함 ) 이생기면바로다른 DC 에게도복제가일어난다. 복제를함으로써장애로인해디렉터리데이터에손상이가더라도다른서버를통해읽을수있고복제된디렉터리가네트워크전반에걸쳐있어각사용자의액세스가분산되어로드를줄일수있다. - AD 는 multi-master replication 을한다. - 복제가일어나면해당변경사항이 Global Catalog server 에도복제가된다. 566 2013 기술백서 White Paper

물리구조에서의 Global Catalog server(gcs) 의역할 - GCS 는 DC 가생성될때자동으로생성된다. AD 의부분복제본이 DC 에있게된다. 이것은 AD 가정보와자원을저장하기위해 partition 을사용하기때문이다. Partitions - 디렉터리데이터의서브셋을담고잇는물리적저장컨테이너이다 AD 는 partition 에각 domain 의디렉터리정보를 DN 별로분리저장한다. GCS 는 DN 을보면해당 object 가있는 partition 의복제본이어디있는지를알수있기때문에쉽게 object 를찾을수있다. Naming Context - 디렉터리의연속되는 Sub-Tree 이며복제의단위가된다. 한 partition 이하나의 naming context 이다. 복제가일어날때마다이들 naming context 도복제된다. - AD 에서는하나의서버가최소 3 개의 naming context 를가진다. Configuration : Site, services, partition 과 schema 에대한물리적데이터저장 Domain naming : domain directory 데이터를포함하는복제의기본단위 Schema : 전 AD 에대한 Schema 를저장 AD Security 특징 AD 를관리하고액세스하는것은엄격한보안관리를통해서제어된다. 보안관리를위해다음과 같은 4 가지기능이있다. ACL(Access Control List) Part 3 SQL Server 567

- AD 내의각 object 에는누가어떤권한 (permission) 으로액세스할수있는지통제할 수있는 ACL 이있다. 적용대상은 object 뿐만아니라, object attribute 와 object classes 도액세스하는것을통제한다. Delegation( 권한위임 ) - 관리자가특정개인이나그룹에게 container 나 sub-tree 에대한특정권한을주어서 이를관리하게할수있는것을말한다. Inheritance( 상속 ) - Container object 에대한 ACE(Access Control Entry) 를 child container 에있는 object 에게도그대로상속하여적용하는것을말한다. Trust Relationships - Schema, configuration, global catalog server 를공유한다는것을의미한다. - 한 domain 에있는사용자가다른 domain 에있는자원을액세스하려면해당 domain 사이에는 trust relationship 이이루어져야한다. - Trust relationship 에는다음과같이 2 종류가있다. Transitive Trusts 다른용어로는 implicit trust 라고도하며 domain 간에서로양방향신뢰관계 (trust relationship) 가설립되는것을말한다. 이는 forest 에서도일정한권한이주어진다면사용자는어떤자원에도액세스할수있도록하기위함이다. Domain 이만들어져서 tree 에포함될때자동으로설정된다. 568 2013 기술백서 White Paper

Ex) domain A -> domain B, domain B- > domain C = domain A -> domain C Explicit Trusts 단방향으로신뢰가설정되는경우이다. Domain A 가 domain B 를 trust 할때에는 domain B 의사용자가 domain A 의자원을액세스할수있고 그반대의경우에는안된다. forest 간에는 explicit trust 가설정된다. 지금까지 AD 란무엇인지를알아보았고다음은 AD 설계, 구축및운영 Tip 에대해설명하겠다. AD 설계 AD 를구축하기에앞서먼저 AD 를설계해야한다. AD 설계는 6 가지의단계가있다. 1 단계부 터차근차근알아보도록하자. 요구분석안정적인 AD 구축및운영을위한가장중요한단계는요구분석단계이다. 요구조건을최대한도출하고분석을통하여올바른설계의방향을결정하는것은아무리강조해도지나치지않다. AD 설계에정답이있는것은아니다. AD 를구축하고자하는회사의요구사항이있고 AD 에서수용할범위가결정되었다면설계된내용을토대로 AD 를구축하였을때요건이모두해결될수있다면최적의설계를한것이라고할수있다. 도메인구조결정 요구분석을끝내면먼저도메인구조를결정할필요가있다. 몇개의도메인으로 AD 를구축할 것인지를고려해야한다. AD 는 Windows NT4.0 의도메인구조와는분명히달라질수있다. Part 3 SQL Server 569

NT4.0 의도메인은계층적인관리구조를지원하지못하였다. 그런이유로지사, 본사, 부서별관리등을회사가원하는대로지원하기위해서복수도메인구조가불가피했던경우가생겼다. 하지만 AD 는조직단위 (OU) 라는관리구조가도입됨에따라계층적인관리가가능하고 Windows NT4.0 이라면복수도메인으로구축되어야할경우라도, 대부분의경우 AD 는단일도메인으로써지원할수있는토대가마련되었다. MS 는도메인모델을결정할때먼저 단일도메인모델 을검토하고, 회사의요구사항이단일도메인모델로써해결될수없는상황일경우에만복수도메인모델을도입할것을권장하고있다. 컴퓨터가 100 대이상의중소규모환경보다더큰규모의회사환경이라도반드시복수도메인으로가야할이유는많지않다고판단된다. 복수도메인이필요한경우는조직간에보안상의이유로계정 / 암호정책등이차별적인설정을가져야하는경우, 회사의조직간에 IT 관리에대한책임과역할이명확하게구분되어야하는경우등이일반적인이유이다. 도메인이름결정도메인의이름은회사를대표할수있는이름을선택하는것이좋다. 예를들어 엑셈 은 exem.com 이라는도메인을가지고있다. 이이름을그대로 AD 도메인이름으로사용하기로한다. 만일회사가인터넷에등록한도메인이름이없는상태라면먼저회사를대표할수있는이름하나를등록할것을권장한다. 당장인터넷에연결자체는할필요가없더라도도메인이름을확보해두는것이안정적인도메인구축을할수있는방법이다. 이도메인이름은두가지용도로사용된다. 하나는인터넷상의다수의클라이언트들이회사의웹서버, 메일서버등의자원에접근하기위한용도이고, 둘째는회사내부의클라이언트가도메인을식별하고디렉터리서비스를받기위한용도이다. 이들은사용용도가다르지만동일한이름체계를사용하고있기에하나의 DNS 서버를통해서얼마든지서비스될수있지만, 보안을고려한좋은모델은이두가지용도별로 DNS 서버를분리시키는방법이다. 내부 DNS 서버와외부 DNS 서버로구분하는것을의미한다. 570 2013 기술백서 White Paper

관리구조결정 (OU) AD 구조에서 OU 는큰의미를가진다. 관리권한의위임, 그룹정책적용의최소단위가 OU 이기때문에 IT 관리요구사항을그대로반영하여 OU 구조를만들어낼필요가있다. OU 의가장큰용도는그룹정책구성을위한최소단위, 관리권한위임의최소단위로사용되어 IT 관리자가개체들을보다쉽고유연하게관리하도록한다. 그렇지만 OU 구조가조직구조와같을필요는없다. OU 라는단위는사용자들에게는투명하다. 사용자들은자신이어떤 OU 에속해있는지몰라도되고, 알필요도없다는것이다. 방법은 2 가지가있다. 첫번째방법은부서별로 OU 를구분하여조직도형태의 OU 를만드는 것이고, 두번째방법은하나의 OU 에개체를모두담고 Filtering 을통해서그룹별로지정된프 로그램을배포하는방법이다. [ 그림 5] 조직도를반영한계층적 OU 구조디자인 Part 3 SQL Server 571

[ 그림 6] 기능적측면을고려한계층적 OU 구조디자인 명명규칙 AD 인프라와관련된서버 /PC/ 로그온이름등다양한개체에대한명명규칙을정의한다. 구분고려사항비고 서버명 도입된서비스유형등이파악될수있는이름 을고려하는것이좋음 운영서버 / 개발서버 도입된시스템분류 클라이언 트 PC 명 효율적인관리를위해단말명은변경되지않는 고유값을설정하는것이좋음 공유자원에접근이용이하도록단말의 설명 항목에부서명 / 사용자이름등을 표기함으로써접근이용이하도록구성 사용자계 정 기존어플리케이션에서사용하던로그온 ID 와 의편의성측면을고려해야함 로그온 ID 가보안이유지되어야할대상인지 암호정책고려 암호길이 최소암호사용기간 최대암호사용기간 572 2013 기술백서 White Paper

판단 암호잘못입력시동작등 그룹계정 조직, 직무, 직군, 직급등의다양한그룹이통 합디렉터리에서는하나의 그룹 카테고리로분 류됨 사용자가통합디렉터리에서검색이용이하도록 이름선택 디렉터리구성테이블작성 구현을위해서필요한디렉터리의내용들을테이블로작성해보았다. 이건하나의예시로작성 해본것이다. OU 구조중기능적측면을고려한계층적 OU 구조일경우의예이다. 단위그룹, 사용자, 컴퓨터권한위임그룹정책 (GPO) 옵션 도메인 암호정책 (8 자리 ) 무시안함 계정잠금정책 (5 번 ) 무시안함 감사정책구현 무시안함 Domain 도메인컨트롤러배치 Controller Computers 파일, 프린트, DNS 서버 윈도우 네트웍스 OU 인사담당자에게사용자계정생성권한위임 전사적인업무프로그램 배포정책 인터넷옵션설정 IT 관리 OU 관리자계정 없음 ( 상속 ) 정책상속 Part 3 SQL Server 573

거부 임직원 OU 없음 ( 상속 ) My Documents 폴더 지정 공유폴더매핑로그온 스크립트 인사외 OU 인사시스템에등재되지않 은외부사용자 없음 ( 상속 ) 없음 ( 상속 ) 임직원 / 회사의모든임직원 없음 ( 상속 ) 없음 ( 상속 ) 사용자 OU 임직원 / 회사의모든 PC 없음 ( 상속 ) 없음 ( 상속 ) 컴퓨터 OU 이것으로 AD 설계가끝나면다음은 AD 를구축해야한다. 574 2013 기술백서 White Paper

AD 설치및운영 TIP AD 서버구축 (Windows Server 2008 R2 기준 ) < 서버관리자 > 에서 < 역할추가 > 를선택한후추가할서버역할항목에서 <Active Directory 도메인서비스 > 를선택한다. 필요한기능추가탭이나오면확인을누른후다음 (N) 버튼을클릭한후설치 (I) 를선택한다. Part 3 SQL Server 575

<Active Directory 도메인서 비스 > 역할설치가진행된다. 설치가완료되면닫기 (O) 를 선택한다. < 시작 >-< 실행 > 을클릭한후 dcpromo.exe 를실행시킨다. 576 2013 기술백서 White Paper

Active Directory 도메인서비 스설치마법사가시작되면 다음 (N) 을선택한다. AD 초기구성이므로 < 새포리스트에새도메인만들기 > 를선택한후다음 (N) 을선택한다. # AD 초기구성이아니고기 존에포리스트가존재할경우 위에 < 기존포리스트 > 선택 Part 3 SQL Server 577

새포리스트의루트도메인의 도메인이름을지정해준다. 포리스트기능수준을선택해 준다. # Windows 2000 부터현재 AD 구축하고있는 OS 의버전 까지지정가능 # DC(Domain Controller) 로사용할서버 OS 중최하버전을기준으로설정하는것이바람직함. 578 2013 기술백서 White Paper

기본적으로 AD 서버는 DNS 서버기능도필요하므로 DNS 서버도옵션으로선택해준후다음 (N) 을선택한다. AD 초기구축이므로기존에 DNS 서버가존재하지않으므 로예 (Y) 를선택한다. 데이터베이스, 로그파일및 SYSVOL 위치를지정해주고 다음 (N) 을선택한다. # 추후위치는변경가능 Part 3 SQL Server 579

추후에 AD 서버에문제가생겼을경우에대비해 AD 서버복원시에필요한암호를설정해준다. 설치가완료될때까지대기한 다. # AD 설치가완료되면필수적 으로서버를재시작해야한 다. 580 2013 기술백서 White Paper

재부팅후서버의 OS 계정정 보가변경되어있는것을확인 할수있다. - 도메인명 \ 계정 # 계정의패스워드는기존과 동일하다. < 시작 > - < 컴퓨터 > - < 속성 > 에서도메인계정으로로그인되어있다는것을확인할수있다. Part 3 SQL Server 581

AD 에 Join 앞서구축한 AD 서버에서새 로운사용자를생성한다. < 시작 > < 관리도구 > <Active Directory 사용자및컴퓨터 > 에서왼쪽의 User 탭에서우클릭후새로만들기 사용자를선택한다. 이름과로그온이름을적절하 게지정해준후다음 (N) 을선 택한다. 해당사용자의로그온패스워 드를지정해준후다음 (N) 을 선택한다. 582 2013 기술백서 White Paper

새로운사용자가만들어지면 마침을선택한다. User 탭에서가장아래에새로 운사용자가생성된것을확인 할수있다. Part 3 SQL Server 583

AD 에 Join 할서버에 < 제어판 > - < 네트워크및인터넷 > - < 네트워크연결 > 에서 IP 속성을들어간후 DNS 서버를지정해주는곳에 AD 서버의 IP 주소를지정해준다. < 시작 > - < 컴퓨터 > 에서우 클릭후속성을선택한후설 정변경을선택한다. 584 2013 기술백서 White Paper

컴퓨터이름탭에서변경을선 택한다. 소속그룹을도메인 (D) 으로선 택한후 AD 서버에서생성한 도메인이름을적어준다. Part 3 SQL Server 585

이전에생성한사용자와패스 워드를지정해준다. # 사용자명 @ 도메인 정상적으로확인이되면도메 인이변경된다. AD 서버에조인을하려면서 버는재부팅을필수적으로해 야한다. 지금다시시작 (R) 을선택한 다. 586 2013 기술백서 White Paper

재부팅후 OS 로그인화면이 나오면아래에사용자전환 (W) 을선택한다. 다른사용자를선택한다. Part 3 SQL Server 587

지정된도메인계정과패스워 드를입력한다. # 사용자명 @ 도메인 컴퓨터속성에서확인할수 있다. 588 2013 기술백서 White Paper

AD 서버에서 <Active Directory 사용자및컴퓨터 > 에서 Computers 탭에서 Join 된서버 ( 컴퓨터 ) 목록을확인할수있다. Part 3 SQL Server 589

AD 이중화 (DC 서버추가 ) AD 이중화할서버의 IP 속성을들어가서기본설정 DNS 서버에자기자신을입력하고보조 DNS 서버에기존 AD 서버를입력한다. ( 기존 AD 에는반대로입력 ) 기존 AD 설치와동일하게서버에서역할추가로 Active Directory 도메인서비스를설치하고 dcpromo.exe 를실행시킨후기존포리스트 (E) 를선택하고기존도메인에도메인컨트롤러추가 (A) 를선택한다. 590 2013 기술백서 White Paper

상단에기존도메인이름을입 력하고 대체자격 증명 (A) 에설정 (S) 을선택한 다. 네트워크자격증명창이뜨면기존 AD 서버의 Administrator 계정및패스워드를입력한다. 자격증명이완료되면다음 (N) 을선택한다. Part 3 SQL Server 591

기존의도메인이맞는지확인 하고다음 (N) 을선택한다. 다음 (N) 을선택한다. 592 2013 기술백서 White Paper

DNS 서버 (D) 와글로벌카탈로그 (G) 가체크되어있는지확인한후다음 (N) 을선택한다. 그이후엔기존 AD 구축방법 과동일하게진행하면된다. Part 3 SQL Server 593

AD 이중화가끝나면 <Active Directory 사용자및컴퓨터 > 에서좌측의 Domain Controllers 탭에서 AD 서버가 2 개 (=DC 가 2 개 ) 가된것을확인할수있다. 해당 AD 도메인에 JOIN 한멤버서버의 IP 속성에들어가서 DNS 서버란에각각의 AD 서버 IP 를입력해주면된다. 594 2013 기술백서 White Paper

AD서버 Migration(Windows Server 2003r2 Windows Server 2008r2) # Windows Server 2003 r2 서버에 EX-EM1.com 도메인이름으로 AD 서버가미리구성되어있다. Windows Server 2008r2 서버에 Active Directory 도메인서비스역할을추가하고 dcpromo.exe 를실행시킨다. 기존에존재하는도메인 (EX- EM1.com) 이맞는지확인한 다. 다음 (N) 을선택하면기존의 AD 서버의도메인컨트롤러수준이 2003 이여서 2008r2 서버에서는도메인컨트롤러로기능수준을올릴수없다는경고창과함께더이상진행이불가해진다. Part 3 SQL Server 595

기존 AD 서버 (2003) 에서 2008r2 Media 를삽입하고 CMD 창을연후 D:\support\adprep 경로로들어가 adprep32.exe /forestprep 명령어를입력한다. 포리스트전반정보를 2003 에서 2008 수준으로업데이트 가진행된다. 도메인관련정보도 2008 로 업데이트를진행하기위해 Adprep32.exe /domainprep 명령어를실행시킨다. # 왼쪽화면과같은오류가발 생할시엔아래진행과정참조 596 2013 기술백서 White Paper

< 시작 > - < 관리도구 > - <Active Directory 도메인및트러스트 > 에서좌측에해당도메인이름에우클릭후도메인기능수준올리기 (A) 를선택한다. 도메인기능수준이혼합으로되어있다면사용가능한도메인기능수준선택 (S) 에서기본모드로변경해준다. 기능수준올리기가성공적으 로완료되면다시진행한다. 명령창에 adprep32.exe /domainprep 를입력하여도메인전반정보 를업데이트한다. Part 3 SQL Server 597

명령창에 adprep32.exe /domainprep /gpprep 를입력하여도메인 그룹정책을업데이트한다. 명령창에 adprep32.exe /rodcprep 를 입력한다. 위와같이모든업데이트를진행한후다시 2008r2 서버로돌아와다시 dcpromo.exe 를실행시켜도메인서비스설치마법사를진행한다. 598 2013 기술백서 White Paper

문제없이 DC 구성되는것을 확인할수있다. Active Directory 사이트및 서비스에서좌측에 Sites Default-First-Site Servers 신규 DC 명 NTDS Settings 에서우클릭후지금복제 (N) 를선택하여복제를마무리한다. # 작업마스터변경 (Windows 2003 Windows 2008) 2008 서버명령프롬프트에서 netdom query fsmo 라고입력하여현재작업마스터정보를파악한다. Part 3 SQL Server 599

명령창에 Ntdsutil roles connections connect to server 변경할서버명 quit Transfer infrastructure master Transfer naming master Transfer PDC Transfer RID master Transfer schema master 를 차례로입력한다. 600 2013 기술백서 White Paper

명령어에 netdom query fsmo 를다시입력하여 변경이제대로됐는지확인한 다. # 기존 AD 서버인 2003 서버 에서 DC 기능제거 Dcpromo.exe 실행한다. Active Directory 제거마법사 시작한다. 확인후다음 (N) 을선택한다. Part 3 SQL Server 601

이도메인컨트롤러에있는모든응용프로그램디렉터리파티션삭제 (D) 를체크하고다음 (N) 을선택한다. Administrator 암호를입력한 후다음 (N) 을선택한다. 내용을확인후다음 (N) 을선 택한다. 602 2013 기술백서 White Paper

제거를진행한다. 제거가정상적으로완료됐다. 서버를재시작해주면마무리 된다. # Windows Server 2008 이 상은 Windows 도메인정보 업데이트없이도진행이된다. AD 운영 TIP AD 를구축해운영하는데있어유용한 TIP 을몇가지알려주도록하겠다. 최상의보안을위해컴퓨터에관리자격증명으로로그온하지않는다. AD 의보안을한층더강화하기위해다음보안지침을구현하는것이좋다. Part 3 SQL Server 603

- 각도메인에서 Administrator 및 Guest 계정의이름을바꾸거나, 사용을금지하여도메인에 대한공격을방지한다. - 모든 DC 를잠금장치된방에넣어보호한다. - 두 Forest 간보안관계를관리하고 Forest 를통한보안관리와인증을간소화한다. - AD 스키마를더안전하게보호하려면 Schema Admins 그룹에서모든사용자를제거하고 스키마를변경해야할때만사용자를그룹에추가한다. 변경이완료되면다시그룹에서제 거한다. - 사용자, 그룹, 컴퓨터의공유리소스에대한액세스와그룹정책필터링을제한한다. - AD 관리도구에대해서명이있거나암호화된 LDAP 트래픽사용이해제되지않도록예방 한다. - 특정기본그룹에할당된일부기본사용자권한은해당그룹의구성원이도메인에서관리자권한을포함한추가권한을획득하게할수있다. 따라서한조직안에서 Enterprise Admin, Domain Admins, Account Operators, Server Operators, Print Operators 및 Backup Operators 그룹의구성원인사용자는모두동등하게신뢰되어야한다. 최신디렉터리정보에빠르게액세스할필요가있는모든특정영역은 Site 로구성한 다. - 최신 AD 정보에즉시액세스해야하는영역을별도의 Site 로만들면필요에맞는리소스를 제공받을수있다. 모든 Site 에 DC 를하나이상배치하고각 Site 에서하나이상의 DC 를 Global Catalog 로만든다. - 자체 DC 와하나이상의 Global Catalog 를가지고있지않은 Site 는다른 Site 를통해디렉 터리정보를사용해야하기때문에비효율적이다. 604 2013 기술백서 White Paper

Domain 내의모든트러스트관계를보존할수있도록 DC 에대한정기적백업을수행 한다. 결론 지금까지 AD 에대해알아보는시간을가졌다. 아직까지는국내대부분의기업에서사내컴퓨터의 OS 로 Microsoft 사의 Windows 를사용한다. 그러므로 AD 와같은디렉터리서비스는기업에서정말효과적으로사용한다면얼마든지사용할수있고그만큼의장점들이분명히있다고생각한다. 하지만역시 Microsoft 의폐쇄적인정책으로인해각각의기업에특성에맞게바꾸어사용하지못하고정해진틀에맞추어사용할수밖에없다는단점도분명히존재한다. 그렇지만앞서설명한대로 AD 는기본기능에충실한뿐만아니라확장성및보안정책에큰장점을가지고있기에기업에서는사내에서 AD 의사용을한번쯤검토해보길바라며이글을마친다. Part 3 SQL Server 605