2024-09-05(THU)
01. 전일 내용 - Windows Server 2022 : 서버 운영을 위한 필수 사항
(1) 리눅스 기반 서버 운영체제의 경우 CLI 기반이지만 윈도우 서버 GUI 기반 운영체제이다.
01-1. 윈도우 서버 부팅 과정
(1) Power on
(2) POST(Power On Self Test) Check
- 전원이 켜지면 메인보드의 ROM에 저장된 BIOS 프로그램이 실행된다. 장비의 이상 유무를 체크하게 된다.
(3) MBR(Master Boot Record) Read
- 디바이스의 우선 순위를 기반으로 부팅이 진행된다.
(4) BOOTMGR 실행
- 부팅 관련 설정 정보를 읽어들이고 로드한다.
(5) OS가 다수인 경우 멀티 부팅 진행
(6) Windows Loader 실행
- 레지스트리에 등록된 시스템 설정 정보를 로드하여 로그온 화면을 노출시킨다.
(7) 계정 로그온 진행
01-2. 고급 부팅 옵션
(1) shutdown /r /o 커맨드를 수행해서 시스템을 리부팅하면 고급 부팅 옵션 모드로 진입하기 위한 GUI 화면이 나타난다.
(2) TroubleShoot → Startup Settings 모드로 진입
(3) 고급 부팅 옵션 모드로 진입해서 작업 진행
01-3. 시작 프로그램
(1) shell:startup를 실행시키면 부팅 시 자동으로 시작 프로그램을 관리하기 위한 경로가 노출된다.
01-4. 사용자 계정, 그룹 계정 등록
(1) 독립 실행형 서버 (Standalone Server)
- 독립 실행형 서버의 경우 Active Directory(AD)와 연결되지 않은 서버를 말하며 해당 서버는 AD 도메인에 가입하지 않고 독립적으로 운영되는 환경이다.
- 사용자 계정과 그룹 계정은 해당 서버 내에서만 관리되고 다른 서버나 도메인과의 연동 없이 독립적으로 관리된다.
- Built In 사용자 : Administartor, Default Account, Guest 세 개의 사용자 종류가 존재한다. (윈도우 서버 기준)
(2) Active Directory Domain 환경(AD Domain Environment)
- AD 도메인 환경에서는 AD 도메인에 가입하여 도메인 컨트롤러의 관리 하에 운영된다. AD는 네트워크 내의 모든 사용자와 그룹, 각종 디바이스들을 관리하는 역할을 수행한다.
01-5. 독립 실행형 서버에서의 그룹 : 로컬 그룹 계정(Local Group Account)
(1) Referenece : Microsoft
그룹 | 설명 |
Access Control Assistance Operators | 컴퓨터 자원에 대한 인증 속성을 관리하는 권한 |
Administators | - 모든 권한을 가지는 그룹 - Administrator 계정은 해당 그룹 소속 - 일반 사용자를 해당 그룹에 소속시킬 경우 Administrator와 동일한 권한을 갖게 된다. |
Backup Operators | 파일을 백업하고 복구할 수 있는 권한 |
Certificate Service DCOM Access | 인증 기관의 연결과 관련된 권한 |
Cryptographic Operators | 암호화 작업의 수행 권한 |
Distributed COM Users | 컴퓨터의 DOM 개체 관련 권한 |
Event Log Readers | 이벤트 로그를 읽을 수 있는 권한 |
Guests | - 로그온 시 임시 프로필을 만들고 로그아웃하면 삭제된다. - 기본적으로 사용하지 않도록 설정되어 있다. |
Hyper-V Administrators | Hyper-V의 모든 기능에 대한 접근 권한 |
IIS_IUSERS | IIS에서 사용되는 그룹 |
Network Configuration Operators | TCP/IP 설정 및 변경 권한 |
Performance Log Users | Performance Counter, 로그 등을 관리하는 권한 |
Performance Monitor Users | Performance Counter를 모니터링하는 권한 |
Power Users | - 제한된 관리자 권한 - 이전 버전과 호환성 유지를 위해 유지됨 |
Print Operators | 도메인 프린터 관리 권한 |
RDS Endpoint Servers | 가상 머신 및 호스트 세션과 관련된 서버 권한 |
RDS Management Servers | Remote Desktop Services와 관련된 서버 권한 |
RDS Remote Access Servers | Remote Desktop Services의 관리자 작동과 관련된 서버 권한 |
Remote Desktop Users | 컴퓨터에 원격 로그온할 수 있는 권한 |
Remote Management Users | VMI 지원과 관련된 권한 |
Replicator | 복제와 관련된 권한 |
Storage Replicator Administrators | Storage Replica의 접근과 관련된 권한 |
System Managed Accounts Group | 시스템이 관리하는 사용자 권한 |
Users | - 사용자 계정을 생성하면 기본적으로 소속되는 그룹 - 대부분의 응용 프로그램을 수행할 수 있다. - 시스템 수준의 변경은 불가능하다. |
01-6. 원격 데스크탑 환경 : First VMs(서버), WinClient VMs(클라이언트)
(1) 다수의 사용자를 생성해서 로그온
(2) 외부에서 서버 컴퓨터로 원격 접속
(3) 사용자 암호 변경
01-7. 파일 및 폴더 관리
(1) 기본적인 탐색기에서 탐색하는 방법
- 속도가 느린 편이다.
(2) Windows Index(색인)을 통한 파일 탐색 방법
- 색인 과정을 통해 검색 속도가 향상된다.
(3) 파일 탐색기 옵션 지정(숨김 파일 해제, 확장자명 표시 등)
(4) Drive Optimization
- 드라이브 최적화 및 조각 모음
(5) 파일 압축 관리
(6) 삭제한 파일을 복구할 수 없도록 설정
(7) 제어판과 관리 도구를 실행하는 다양한 커맨드들
(8) 암호화 / 인증서 관리
02. 금일 예정
(1) 서버 운영을 위한 필수 사항
(2) 원격 접속 서버
(3) DNS(Domain Name Service) 서버
(4) DHCP(Dynamic Host Configuration Protocol) 서버
1. LAB : 파일 및 암호화 관리
1-1. Fiirst VMs의 스냅샷 디스크를 복사
(1) 작업 이전 First VMs의 전원을 종료 후 작업을 수행한다.
(2) 위의 데이터스토어 브라우저 현황은 First VMs의 디스크 현황이다.
(3) 가장 숫자가 높은 디스크가 가장 최근 시점이므로 해당 디스크를 복사한다.
(4) 복사 작업 이전, First VMs의 전원을 종료한다.
(5) 이후 복사한 디스크를 WinClient 디렉터리로 붙여넣기한다.
(6) 정상적으로 진행되면 최근 시점의 스냅샷 디스크가 WinClient 디렉터리로 복사된 것을 확인할 수 있다.
(7) 이후 WinClient VMs 환경설정으로 접속한 후 기존 하드 디스크 추가 옵션을 선택해서 WinClient 디렉터리에 있는 가장 최근에 복사한 디스크 파일을 업로드한다.
(8) 정상적으로 디바이스가 인식되는지 확인한다.
(9) 디스크 파티션 매니저로 접속해서 인식된 디바이스를 온라인으로 수정해 준다.
(10) 해당 디스크의 파티션의 드라이브 문자 또는 경로를 위와 같이 명시하고 확인을 클릭한다.
(11) 장치 및 드라이브 리스트에서 방금 인식한 디바이스가 정상적으로 인식된다.
(12) 이전 First VMs에서 작업한 encrpytion lab 디렉터리가 확인된다.
(13) 암호화 파일, 메모장 파일이 그대로 넘어온 것을 확인할 수 있다.
(14) 인증서 관리 certmgr를 열고 개인용 디렉터리에서 인증서 가져오기 마법사를 실행한다.
(15) 최근 디스크에서 인식한 인증키 파일을 선택한다.
(16) 암호를 설정한다. (인증서 생성 시 지정한 암호명 : P@ssw0rd)
(17) 인증서 가져오기를 완료한다.
(18) 이후 암호화된 메모장 파일을 실행하면 인증서를 가져왔기 때문에 파일이 열리게 된다.
2. LAB : 관리자 계정 암호 분실에 대비한 USB에 복구 백업 파일 생성
(1) First VMs의 전원을 종료하고 환경설정에서 Add other Device를 선택해서 서버에 장착한 USB를 인식할 수 있도록 한다.
(2) 관리자 계정으로 접속한 상태이고, 현재 USB가 정상적으로 인식된다.
(3) 드라이브의 포맷을 진행한다.
(4) 제어판의 사용자 계정 메뉴에서 암호 재설정 마법사를 실행한다.
(5) 현재 접속 중인 계정에 대한 패스워드를 입력해준다.
(6) 다음을 눌러서 작업이 수행된다. 이후 마법사를 완료한다.
(7) 비밀번호를 분실한 상황이라고 가정한 뒤, 관리자 계정 로그아웃 후 Reset Password를 클릭한다.
(8) 현재 인식된 USB 드라이브를 선택한다.
(9) 계정의 비밀번호를 명시하고 다시 관리자 계정으로 로그인한다.
3. LAB : 계정 보안 강화를 위한 암호 & 로그온 실패 정책 설정
(1) 제어판의 로컬 보안 정책 > 계정 정책 > 암호 정책으로 접속한다.
(2) 암호의 복잡성, 최소 암호 길이, 최근 암호 기억, 계정 잠금 정책에서의 계정 잠금 임계값을 위와 같이 설정한다.
- First VMs
- Admin : Pa$$w0rd
- user1 : Pa$$w0rd1
- user2 : Pa$$w0rd2
- user3 : Pa$$w0rd3
- user4 : 12345678
(4) 로컬 사용자 및 그룹 정책에서 user4를 생성한다.(password : 1234)
(5) 관리자 계정에서 로그아웃 후 틀린 비밀번호로 로그온 3회 이상 수행 시 계정이 잠기게 되고 위에서 설정한 10분 뒤 재로그온이 가능하다.
4. LAB : 네트워크상에서 폴더 및 파일 공유
(1) 제어판 > 네트워크 및 인터넷 > 네트워크 및 공유센터로 접속한다.
(2) 고급 공유 설정으로 접속해서 개인 현재 프로필에서 네트워크 검색 켜기, 파일 프린터 공유 켜기 옵션을 활성화한다.
(3) 게스트 공용 탭에서 네트워크 검색 켜기, 파일 및 프린터 공유 켜기 옵션을 활성화한다.
(4) 모든 네트워크 탭에서 네트워크 액세스 권한이 있는 모든 사요자가 공용 폴더의 파일을 읽고 쓸 수 있도록 공유 켜기 옵션을 활성화한다.
(5) 외부와 공유할 파일들은 해당 영역에서 관리된다.
(6) WinClient VMs로 접속해서 일반 사용자 계정을 생성한다.
WinClient VMs
- Admin : Pa$$w0rd
- WinUser1 : Pa$$w0rd1
(7) 이후 WinUser1로 로그온해서 File Explorer를 실행한다.
(8) 상단에 \\FIRST를 명시하고 엔터를 누르면 First VMs의 user1에 대한 자격 증명에 대한 페이지가 나타나게 된다.
(9) 위와 같이 공용 디렉터리 환경에 접속 가능하다.
(10) 공용 문서 폴더에서 위와 같이 테스트 파일을 하나 생성한다.
(10) First VMs에 접속해서 공용 문서를 확인해 보면 동일한 경로에 Test notepad.txt 파일이 동일하게 존재하는 것을 확인할 수 있다.
(11) 누구든지 패스워드만 알면 공용 폴더에 접근할 수 있기 때문에 보안에 다소 취약하다는 단점이 있다.
5. LAB : 특정 폴더를 공유하고 외부에서 해당 폴더에 접근 (보안 관련)
(1) First VMs의 관리자 계정으로 접속하고 위의 경로에서 4개의 공유 폴더를 생성한다.
(2) 공유(모두 읽기만 가능) 폴더의 Properties에서 고급 공유 옵션을 선택한다.
(3) 모든 사용자에 대한 Everyone 그룹이 지정되어 있다. 읽기 권한만을 줘야 하므로 읽기 항목에 허용을 체크한다.
(4) 모든 사용자에게 읽을 수만 있도록 공유 옵션이 활성화되었다.
(5) 공유(모두 읽기, 쓰기 가능) 폴더에 대해 모든 사용자에게 모든 권한을 부여한다(읽기, 쓰기 허용)
(6) 반영 사항을 확인하고 닫기를 클릭한다.
- 공유(읽기만 가능), 공유(읽기, 쓰기 가능) 폴더에 각각 맞는 공유 권한이 부여되었다.
5-1. User1 사용자에게만 읽기 쓰기 권한을 주고 공유하도록 설정한다.
(1) 공유(user1) 폴더의 고급 공유 옵션으로 들어가서 Everyone 그룹 속성을 제거한다.
(2) 이후 추가 버튼을 눌러서 위의 화면에서 user1를 입력하고 확인을 누르면 FIRST\user1에 대한 정보가 표시되며 user1 사용자를 선택하고 확인을 누른다.
(3) 모든 사용자에서 First VMs의 user1만 설정되었다.
(4) 해당 상태에서 모든 권한을 허용한다.
(5) 공유(user1 전용) 폴더에 모든 권한(읽기, 쓰기)이 부여되었다.
5-2. 윈도우 그룹 중 Authenticated Users라는 인증된 사용자를 총칭하는 그룹에게 권한을 부여하는 과정
(1) 공유(인증된 사용자만 접근 가능) 폴더의 고급 공유 옵션으로 들어가서 Everyone 그룹을 지우고 추가 버튼을 눌러서 새로운 그룹을 명시해야 한다.
(2) authenticated users를 입력하고 이름 확인을 누르면 Authenticated Users 그룹이 노출된다. 해당 그룹을 선택하고 확인을 누른다.
(3) 해당 그룹에게 모든 권한을 부여한다.
(4) 요구사항대로 권한이 부여되었다.
5-4. 파일 공유를 할 때 다른 사람에게 보이지 않도록 숨김 공유 진행 (파일명 제일 뒤에 $가 붙는 경우 숨김 공유로 인식된다.)
(1) 위와 같은 새로운 공유(숨김) 폴더를 생성한다.
(2) 설정 이전 공유 이름에서 맨 뒤에 $를 붙여준다.
(3) 해당 공유 숨김 폴더의 고급 공유 옵션으로 접근해서 모든 사용자에 대해 읽기, 권한 쓰기 권한을 부여한다.
(4) 권한이 부여된 것을 확인할 수 있다.
5-5. 전체 공유 폴더 현황 확인
(1) 위와 같이 각각의 공유 폴더에 메모장 파일을 생성한다.
(2) 컴퓨터 관리의 공유 폴더 탭 > 공유 환경에서 이전에 작업한 폴더를 모두 확인할 수 있다.
(3) user1 공유 폴더 Properties에서 다음 수의 사용자 허용 옵션에서 10으로 카운트 설정 후 적용한다.
(4) 윈도우 서버 관리자 파일 저장소 서비스 > 공유 탭에서 작업한 폴더를 모두 확인할 수 있다.
5-6. WinClient VMs : WinClient VMs(외부)에서 First VMs의 공유 폴더 환경에 접근
(1) 작업 이전 가상 머신 초기화가 필요하다
- ESXi Client 환경에서 WinClient VMs의 초기 설정과 관련된 Snapshot으로 복원한다.
(2) WinClient VMs의 파일 탐색기에서 \\FIRST로 검색 시 위와 같이 나타나는데, \\FIRST를 클릭해서 First VMs의 공유 폴더 환경에 접속한다.
(3) 위와 같이 환경에 접근할 수 있다.
(4) 공유(user1 전용) 폴더의 경우 First VMs의 user1 사용자만 접근 권한이 부여되어 있으므로 접근이 불가능하다는 메시지가 확인된다.
(5) 해당 폴더의 경우 읽기만 가능하고 파일 수정 권한은 제한되어 있는 것을 확인할 수 있다.
(6) 네트워크 영역이 공유되어 위와 같이 FIRST VMs의 네트워크가 표시된다.
(7) 이번 작업은 공유된 폴더를 대상으로 드라이브 문자를 할당해서 공유 폴더를 드라이브 환경으로 구성하고자 한다.
- 위와 같이 네트워크 드라이브 연결 옵션으로 접속한다.
(8) 연결 옵션에서 드라이브 지정 / 드라이브 환경으로 구성할 폴더를 명시하고 연결을 완료한다.
- 로그온 시 드라이브로 재연결 옵션 활성화
(9) 장치 및 드라이브에서 연결 설정에서 지정한 공유 폴더가 드라이브 형태로 표시된다.
(10) $는 숨김 파일이나 디렉터리를 나타내는 기호다.
(11) 마찬가지로 숨김 처리된 대상에 대해서도 네트워크 드라이브로 연결 지정 가능하다.
(12) 위와 같이 적어주고 설정을 마무리한다.
(13) 두 번째 네트워크 드라이브가 생성된 것을 확인할 수 있다.
(14) 읽기 권한만 부여했던 네트워크 공유 드라이브의 연결을 끊고 VMs를 재부팅한다.
(15) 두 번째 네트워크 드라이브로 설정한 공유 폴더는 현재 네트워크 드라이브에 연결되어 있기 때문에 클라이언트 연결 수가 1로 카운트되어 있다.
6. 서버 운영을 위한 필수 사항 : Server Core의 기본적인 운영 방법, Windows Server PowerShell
6-1. Server Core
(1) Server Core의 경우 GUI를 지원하지 않기 때문에 모든 작업을 CLI 환경에서 작업해 줘야 한다.
(2) 서버 코어는 윈도우 서버를 서버용으로 운영 시 어떤 경우에는 백그라운드 서비스만 주로 작동하고 GUI나 그 외의 윈도우 서버 기능은 필요 없는 경우가 많다. 따라서 경량화된 환경이 필요할 때가 있는데 이러한 상황에서 Server Core를 사용한다.
(3) Server Core는 윈도우 서버의 핵심적인 기능만 제공하고 있다.
6-2. VMWare ESXi에서 Server Core Installation
(1) 하드웨어 가상화 : Expose hardware assisted virtualization to the guest OS
(2) IOMMU : Expose IOMMU to the guest OS
(3) Performance counters : Enable virtualized CPU performance counters
- 위의 옵션을 모두 활성화한다.
(4) 서버 코어 모드로 사용하기 위해 일반 Datacenter Evaluation 버전을 선택한다.
6-3. Server Core LAB Configuration : 초기 설정
(1) 관리자 권한에 대해 서버 코어 접근 전 패스워드를 설정해 준다.
(2) 15번 옵션으로 PowerShell 커맨드라인으로 접속한다.
(3) set-sconfig -autolaunch $false
- set-sconfig의 경우 윈도우 서버 코어 설치 시 사용되는 커맨드로, -AutoLaunch $false는 서버가 부팅할 때 자동으로 Server Configuration 도구(SConfig)가 실행되지 않도록 설정하는 옵션이다.
(4) shutdown /s /t 0
- 서버를 종료하며 /s는 shutdown, /t 0 옵션은 지연시간을 0초로 설정해 즉시 종료되도록 한다.
6-4. 디바이스 이름 변경
(1) 앞서 설정한 관리자 패스워드로 파워쉘 환경에 접속한다.
(1) hostname
- 컴퓨터에 설정된 이름을 확인한다.
(2) CMD 환경 : echo %computername%
- PowerShell의 hostname과 동일
(2) 이름을 변경하고 변경사항 적용을 위해 재부팅한다.
- netdom renamecomputer $COMPUTERNAME% /newname:CORE
(3) 이름이 변경된 것을 확인한다.
6-5. 네트워크 정보 확인
(1) ipconfig
(2) nslookup
(3) netsh interface ipv4 set address name="5" source=static address=192.168.100.140 mask=255.255.255.0 gateway=192.168.100.1
- 위와 같이 netsh 명령으로 Windows Server에 정적 주소를 할당해 줄 수 있다.
- IPv4 주소를 할당할 네트워크 카드 인터페이스의 번호를 name=?으로 지정해 줄 수 있다.
(4) netsh interface ipv4 add dnsserver name="5" address=8.8.8.8 index=1
- IPv4 설정에서 DNS 서버를 추가하는 커맨드. index=? 옵션의 경우 DNS 서버 주소의 우선 순위를 결정하는 옵션이며 1의 경우 기본 DNS 서버 주소로 설정하겠다는 의미를 갖는다.
(5) 게이트웨이, DNS 서버 주소로 ping 명령이 수행된다.
6-6. Registry Configuration - 데스크톱 환경 설정
(1) regedit 커맨드로 레지스트리 편집기 옵션으로 들어간다.
(2) Desktop → ScreenSaveActive → New → String Value 옵션을 선택한다.
(3) Value data 값을 0으로 설정한다.
(4) 해당 값으로 화면 보호기 옵션을 비활성화로 설정했다.
(5) BackGround의 값을 위와 같이 설정해서 Background 색상을 변경할 수도 있다.
(6) 설정 사항을 반영하기 위해 재부팅한다.
(7) 레지스트리 설정 변경을 통해 위와 같이 백그라운드 배경색이 변경되었다.
6-7. 테스트 모드에서 Server-Role 설치
(1) get-WindowsFeature
- 해당 커맨드로 서버의 역할과 종류 확인 가능
(2) install-WindowsFeature DHCP -source wim:D:\sources\install.wim:1
- 해당 커맨드로 DHCP 서버 설치를 진행한다.
(3) DHCP 설치 후 설치 결과를 확인할 수 있다.
(4) DHCP 설치 후 시스템을 shutdown /s / t 0으로 재부팅한다.
- 이전과 동일한 커맨드지만 커맨드 라인 전체를 소문자로 지정해서 입력해도 상관없다. 윈도우 시스템은 대소문자 구분을 하지 않기 때문(리눅스와는 반대) 위와 같이 Camel Case로 입력하지 않아도 된다.
6-8. Windows PowerShell
(1) Windows PowerShell은 유닉스 운영체제의 Shell과 같은 기능을 제공하기 위해 Windows Server 2008 버전부터 처음 출시된 Shell이다.
(2) Shell은 사용자와 Kernel(운영체제의 핵심 영역) 간의 인터페이스를 제공하는 프로그램이다. Shell은 커맨드를 입력받아 그에 맞는 작업을 수행한 뒤 결과를 사용자에게 반환하는 역할을 수행한다.
(3) PowerShell은 텍스트로 구성된 스크립트를 사용하는데 윈도우 서버를 관리할 때 자주 사용되는 작업들을 PowerShell에서 스크립트로 작성해 놓으면 약간의 편집만으로 작성된 스크립트를 일관적으로 사용하기 때문에 재사용성이 뛰어나다.
(4) PowerShell Script는 대소문자 구분을 하지 않는다.
(5) 텍스트로 구성되기 때문에 별도의 편집기 환경에서 작성할 수 있다.
(6) 커맨드 자동완성 기능을 제공한다.
(7) 기존 DOS 기반 커맨드들을 대부분 사용할 수 있다.
6-9. Windows PowerShell LAB - 시작과 종료
(1) First VMs의 PowerShell을 실행한다.
(2) 기존 Command Prompt에서 powershell 커맨드로 실행 가능하고 exit 커맨드로 powershell 종료가 가능하다.
6-10. Powershell ISE
(1) 위와 같이 스크립트를 작성해서 실행시킬 수도 있다.
6-11. PowerShell 최신 버전으로 업그레이드
(1) https://github.com/powershell/powershell
6-12. Script Hosting : PowerShell
(1) 위와 같이 스크립트를 작성 후 스크립트를 별도로 저장한다. 저장한 스크립트 파일을 생성하면 위와 같이 특정 텍스트가 적힌 메모장 파일이 저장되고 실행된다.
7. Reference
(1) https://www.hanbit.co.kr/store/books/look.php?p_code=B2079064069
※ 해당 포스팅을 기준으로 내용 추가가 필요하다고 생각되면 기존 내용에 다른 내용이 추가될 수 있습니다.
개인적으로 공부하며 정리한 내용이기에 오타나 틀린 부분이 있을 수 있으며, 이에 대해 댓글로 알려주시면 감사하겠습니다!
'Virtualization & Cloud Infra > Server & Linux' 카테고리의 다른 글
Windows Server 2022 (6) - Active Directory 그룹 관리, 그룹 정책의 구성과 운영 (2) | 2024.09.13 |
---|---|
Windows Server 2022 (5) - Active Directory (AD 도메인, 사용자 관리) (0) | 2024.09.13 |
Windows Server 2022 (4) - 서버 운영을 위한 필수 사항, 원격 접속, DNS 서버, Active Directory (0) | 2024.09.13 |
Windows Server 2022 (2) - 서버 운영을 위한 사항, 원격 접속 서버 (0) | 2024.09.05 |
Windows Server 2022 개요 & 설치 (12) | 2024.09.04 |
댓글