윈도우 서버 AD(Active Directory) 설치

윈도우 서버의 Active Directory에 대해 알아보겠습니다.

윈도우 서버 OS를 사용하는 가장 큰 이유 2가지 중 하나는 그룹정책이며 다른 하나는 AD를 통한 인증입니다. 

Active Directory를 사용한다면 중앙 집중 관리가 가능하게 됩니다. 또한 SSO(Single Sign On)는 토큰(Token)을 발급받아 인증하는 방식으로 SSO로 보안수준이 높아집니다. 마지막으로 LDAP, Kerberos 같은 표준화된 프로토콜을 사용하기 때문에 확장성이 좋습니다.

테스트 OS는 윈도우 서버 2008 R2이며 AD를 설치해보며 알아보도록 하겠습니다.

테스트를 위하여 현재 역활서비스들은 모두 제거하였습니다.

윈도우 서버에서 AD를 설치하는 방법은 2 가지입니다. 서버관리자 창에서 직접 역활서비스에 추가하는 방법이고 하나는 실행창에 dcpromo.exe를 사용하여 설치하는 방법입니다. 저는 dcpromo를 사용한 AD 설치를 진행하겠습니다.

dcpromo를 실행시키면 바로 AD도메인 서비스 설치 마법사 창이 나오게 됩니다. 고급 모드 설치 체크하고 다음으로 넘어갑니다.

다음 설치로 넘어가기 전에 AD(Active Directory)의 논리적인 구성요소를 살펴보고 가겠습니다. 

논리적 구성요소 스키마(schema) - 도메인(Domain) - 파티션(partition) - 도메인 트리(Tree) - 포리스트(Forest) - 사이트(Site) - OU

로 뒤로 갈수록 서로 충돌하는 권한이나 속성이 있을 경우 우선순위가 더 높습니다.

AD의 설치는 먼저 포리스트를 설정해야 합니다. 지금 설치하는 AD는 처음으로 만들기 때문에 존재하는 포리스트가 없습니다. 새로운 포리스트에 새 도메인을 만들도록 하겠습니다. 

Tip.

윈도우 NT와는 호환이 안됩니다.

포리스트 루트 도메인은 도메인의 형식만 띄고 있다면 어떠한 도메인이든 상관없습니다. ex) gsk.local

윈도우 OS에서 NetBIOS는 중요한 요소중 하나입니다. NetBIOS이름은 서로간의 도메인을 식별하기 위하여 사용합니다.

NetBIOS 이름은 최대 15글자만 인식이 가능합니다.

포리스트 기능 수준을 설정해야 합니다. 저는 윈도우 서버 2008로 진행하겠습니다. 기능 수준은 자기 자신의 기능을 포함하여 4단계 아래까지 설정이 가능합니다. 기능 수준은 위로 올릴수는 있지만 아래로는 내릴수없기 때문에 만약 기능 수준을 올린다면 신중하게 생각하고 실행해야 합니다.

AD서비스는 DNS서비스에 많은 의존을 합니다. AD를 다룬다면 DNS에 대해서도 자세히 알고 있어야만 합니다. 

현재 AD를 처음으로 설치를 진행하는데 글로벌 카탈로그는 체크를 해제할수가 없습니다. 첫 도메인 컨트롤러는 GC(Global Catalog)를 꼭 포함해야 합니다. 

GC(Global Catalog)는 효율적인 검색을 위하여 자주 사용하는 개체의 사본을 저장하며 도메인 내의 사용자가 로그온하기 위하여 필요합니다.

DNS서버가 현재 서비스하지 않으므로 체크한 상태로 다음으로 넘어가겠습니다. 

해당 경로를 지정할수 있습니다. 저는 기본값으로 진행하도록 하겠습니다.

복원모드 어드민과 도메인 어드민이 있으며 도메인 컨트롤러로 구축한 윈도우 서버 OS는 로컬 로그인이 불가능합니다. 로컬로그인은 오직 복구모드를 실행중일때만 접속이 가능합니다. 암호의 복잡성을 만족해야 하고 다음으로 넘어가겠습니다.

여기까지 진행하였다면 거의 설정이 끝났습니다. 설정 내보내기가 있는데 이 파일을 따로 보관해두겠습니다. 

이제 AD와 DNS서버 등이 설치되기 까지 약간의 시간이 걸립니다. 완료 시 다시시작을 체크해주시고 느긋하게 기다리면 알아서 설치가 진행됩니다.

다시 재부팅을 하면 로그온 창이 약간 바꿔있습니다. 어드민 계정 앞에 도메인이 붙으며 다른사용자 아이콘이 생겼습니다. 

다른 사용자 아이콘을 클릭해보면 계정도 직접 입력할수있는데 다양한 방법으로 로그인이 가능합니다.

가장 최신 방법은 administrator@gsk.com , PW 방식이고 gsk\administrator가 지금 기본으로 접속하는 방법입니다. 

.\administrator는 로컬 관리자 계정으로 접속하게 되는데 복구모드로 부팅하지 않는 이상 로컬계정으로는 접속이 불가능합니다.

접속해보면 가장 먼저 확인해볼수있는 차이점으로 컴퓨터 관리에 계정설정이 사라집니다. 대신에 관리도구에 Active Directory 사용자 및 컴퓨터에 Users에 모든 계정정보를 확인할수있습니다. 해당 창에서 계정을 관리하게 됩니다.

네트워크 설정을 보면 DNS설정은 127.0.0.1로 변경이 되어있습니다. IPv6속성에도 DNS설정이 따로 되어있는데 IPv6 속성은 DNS설정을 자동으로 바꿔주도록 합니다. nslookup을 했을떄 127.0.0.1(localhost)이 나오면 정상적으로 설정이 됬다할수있습니다.

마지막으로 윈도우 서버에서 AD를 지우는 방법을 간단하게 알아보겠습니다.

많은 사이트에서 AD를 지울때 실행창에서 dcpromo /forceremoval 명령어를 사용하라고 하지만 테스트중인 PC면 상관없지만 실제로 서비스 중인 PC에서 해당 명령어를 사용하여 지울 경우 수작업으로 삭제하거나 변경시켜야 할 수정작업이 많습니다. 

AD가 설치되어있는 상태에서 실행창에서 dcpromo를 다시 입력하면 삭제도 가능합니다. 불필요한 부분들을 체크하고 dcpromo로 삭제할 경우 대부분 내용을 알아서 삭제해주며 DNS관련 내용도 자동으로 삭제해줍니다. 

삭제하고 재부팅하게 되면 2가지 설정 변경을 더 해야합니다. 하나는 역활서비스에서 해당 AD서비스를 제거해줘야 하고 서버관리자에 전체 컴퓨터 이름을 보면 아직 도메인이 남아있는걸 알수있습니다. 도메인 이름까지 지워주면 완벽하게 AD를 지웠다고 할수있습니다. 

다시 재설치를 진행할 경우 아까 최초로 설치했을때 설정파일 내보내기 기능이 있었습니다. 이 파일을 살펴보면 설치때 설정했던 내용이 스크립트 형식으로 존재하는데 위에 해당 명령어를 실행창에 넣고 실행하면 최초설치 시 설정했던 내용대로 자동으로 설치가 됩니다. 단 SafeModeAdminPassword= 부분은 공백이므로 따로 사용할 패스워드를 넣고 실행창에서 명령어를 실행하면 됩니다.