Active Directory_[1]_AD 개념, ADDS 설치

-목차-

1. Window Server 유형
2. Active Directory
3. ADDS 설치

 

  1. Window Server 유형

 

Standalone Server

- 기본적인 윈도우 서버의 유형

-  오로지 Local Logon만 가능

 

Member Server

- Standalone Sever가 Domain Controller 가입(JOIN) 한 상태

- Domain Logon과 Local Logon 모두 가능

- DC의 자원(사용자, 그룹, 컴퓨터등의 개체)을 가져다 쓰기 위해 사용

- 대부분의 App은 Member Server에 설치할 것을 권장

 

Domain Controller

- Domain 환경을 제어하는 Server

- 오로지 Domain Logon만 가능

- 보안상 관리자 권한이 없는 일반사용자는 접근 불가

 

 

 

  2. Active Directory

 

- Active Directory는 마이크로소프트가 Windows 환경에서 사용하기 위해 개발한 LDAP 디렉터리 서비스(Directory Service)의 기능.

- 사용자가 공유된 자원의 위치 (IP주소나 포트 등)와 해당 서버의 로컬 사용자 계정 정보를 모두 알고 있지 않아도, 중앙에서 Admin이 사용자 인증 및 권한 부여 처리가 가능하도록 하여, 기업 내의 자원 및 권한 관리에 용이.

- 관리를 위한 별도의 콘솔을 사용.

 

 

- 네트워크 상으로 나누어져 있는 자원을 중앙의 관리자가 통합하여 관리 할 수 있음

- 본사 및 자사의 직원들은 더이상 자신의 PC에 모든 정보를 보관할 필요가 없음

- 타 지사에 출장을 가더라도 자신의 아이디로 로그인만 하면 타인의 PC가 자신의 PC 환경과 마찬가지로 변경

- PC가 있는 장소와 무관하게 회사의 어디서든 회사 전체 자원 사용 가능

 

2-1. 도메인(Domain)

- AD에서 기본이 되는 관리 대상 단위
- AD가 설치된 윈도우 서버가 하나의 도메인으로 보면 됨.
- 도메인이 여러개 있을 경우, 부모 도메인과 자식 도메인으로 구분

2-2. 트리(Tree) 및 포리스트(Forest)

- 트리 : 도메인의 집합. (물리적으로 존재한 다기보단 논리적인 개념)
- 포리스트 : 트리의 집합

2-3. 사이트(Site)

- 논리적 구조인 Domain/Forest가 물리적으로 구성된 환경. 

- 도메인 컨트롤러 간에 Replication 구성시 사용. (하나의 도메인에 여러개의 도메인 컨트롤러 구성 가능.)
- Site Link는 WAN을 통하여 Domain Controller 간의 복제와 분산처리를 가능하게 하는 역할.
- 부모도메인이 'xinyub.com'이라고 가정하고 자식 도메인을 생성할 경우, 'seoul.xinyub.com', 'busan.xinyub.com' 처럼 각각 다른 사이트로 구성할 수 있음.
- 사이트는 지리적으로 떨어져 있을 수 있으며, 이때 각각의 IP 주소는 대개 다름.

 

2-4. 트러스트(Trust)

- 도메인 간에 설정한 관계로, 한 도메인의 사용자가 다른 도메인의 컨트롤러에서 인증될 수 있도록 한 관계.
- 포리스트 내 도메인 간 AD 트러스트는 모두 전이적(transitive) 양방향 트러스트임.
  ex) 도메인 A -> 도메인 B를 트러스트 하고, 도메인 B -> 도메인 C를 트러스트 한다면,
       별다른 설정이 없을 경우 도메인 C가 도메인 A의 리소스에 액세스 가능.

2-5. 조직 구성단위(OU, Organizational Unit)

- 도메인 내부에서 사용되는 일종의 폴더와 같은 개념.
- 권한 위임 및 그룹 정책을 적용할 수 있는 최소한의 단위.
도메인 컨트롤러(Domain Controller)
- 로그인, 이용권한 확인, 새로운 사용자 등록, 암호 변경 등을 처리하는 기능을 하는 서버 컴퓨터.
- 하나의 도메인에 하나 이상의 도메인 컨트롤러를 설치해야 함.

2-6. 글로벌 카탈로그(Global Catalog)

- AD 트러스트 내의 도메인들에 포함된 개체에 대한 정보들이 수집되어 저장되는 통합 저장소.
- 사용자의 경우 이름, 아이디, 비밀번호 등의 정보가 여기에 저장됨.
- 한 도메인에서 오브젝트를 찾을 때, 해당 오브젝트가 그 도메인에 없다면, 도메인이 속한 포리스트 내부의 다른 도메인에서도 오브젝트를 찾아야 하는데, 이를 가능하게끔 하는 것이 통합 저장소인 글로벌 카탈로그이다.
  => 만약, 오브젝트를 오브젝트가 속한 해당 도메인에서만 찾게끔 하려고 한다면,
       오브젝트 속성에서 Global Catalog 옵션을 제거하면 된다.

 

 

  3. ADDS (Active Directory Domain Service) 설치

 

3-1. 서버 관리자 → 관리 → 역할 및 기능 추가 → Active Directory 도메인 서비스

 

3-2. 설치 진행 → 완료 → DC로 승격시키기 위해 "이 서버를 도메인 컨트롤러로 승격"

 

3-3. 항상 도메인보다 포리스트가 먼저 만들어져야 합니다. 여기서 만드는 포리스트는 가장 먼저 만들어지는 포리스트이며 Root Domain이 됩니다. 

 

3-4. 포리스트가 먼저 만들어지기 때문에 도메인은 최소 포리스트와 같은 수준이어야 합니다.

DNS의 경우에는 모든 Domain Controller에 설치하는 것이 좋습니다.

GC의 경우 DC에서 자주 사용하는 개체의 사본(ID, Password)을 저장하기에 실제 인증은 GC가 담당합니다.

GC가 고장 날 경우 일반 사용자는 Logon 불가, Administrator만 Logon 가능합니다.

 

3-5. 도메인 접미사를 떼어내고 NetBIOS 도메인 이름 설정

 

3-6. DB, LOG, SYSVOL 파일 위치 설정. SYSVOL폴더는 DC끼리 복제하는 폴더입니다. DC끼리 파일 공유가 필요할 경우 사용합니다.

 

3-7. 설치 진행

 

3-8. 설치가 완료되면 자동으로 재부팅합니다.

 

3-9. 설치 완료된 모습. DC는 Domain Logon만 가능한 모습입니다.

 

3-10. Logon 후 DNS 관리자에 들어가서 빨간 박스처럼 구성되어있는지 확인. 단, 응용프로그램 디렉터리 파티션인 DomainDnsZones와 ForestDnsZones는 없어도 무방합니다.

 

3-11. IPv6의 DNS가 활성화되기 때문에 IPv6 비활성화를 위해 수정해줍니다.

 

3-12. IPv4 또한 127.0.0.1에서 사용할 서버의 IP주소로 변경해줍니다.

 

이로써 설치는 마무리되었습니다. 다음 게시물에서는 member server에 대해서 다뤄보겠습니다.