2024-09-09(MON)
01. 전일 내용 - 서버 운영을 위한 필수 사항
01-1. 원격 접속 서버
01-2. OpenSSH - 원격 지원 프로그램
01-3. 데이터 전송 시 암호화
01-4. 설치 - 서비스 이용, Windows Update Start
01-5. 선택적 기능 - OpenSSH 설치
01-6. 확인 커맨드 : get-service sshd
01-7. 시작 : start-service sshd
01-8. Client : telnet 서버
(1) OpenSSH 설치
(2) SSH Administartor@서버_IP 주소
01-9. DNS 서버
02. 전일 내용 - DNS(Domain Name Service)
02-1. URL → IP (Name Resolution)
(1) Host 파일에 IP, URL 등록 → 가장 일반적인 방법, 장비가 적을 때 주로 사용한다.
02-2. DNS 서버 구축
(1) DNS Caching 서비스 → 외부 서버에서 가져온 정보를 저장하는 역할
02-3. DNS 서버 구축 : 회사나 조직의 DNS 서버 구축
(1) Domain Name : hanbit.or.kr
(2) 서비스하는 서비스별 호스트 이름 등록
(3) 웹 서비스 : www
(4) FTP 서비스 : ftp
(5) 메일 서비스 : mail
(6) 서비스 + Domain Name → FQDN
02-4. Domain 체계
(1) Root domain - Sub domain(국가, 특정 기업이나 조직)의 정보를 갖고 있다.
(2) Sub domain : 국가나 회사의 도메인 정보를 모아둔 체계
(3) 특정 Sub domain 하위의 회사나 학교, 특정 조직 Domain 정보
(4) 교재 P. 539 참고
02-5. Round Robin 방식의 DNS 서버
(1) 서버가 여러 대인 상황에서 외부에서 들어오는 트래픽을 분산시켜야 하는 경우 여러 대의 웹 서버에 트래픽 부하를 동등하게 분배하는 방식을 Round-Robin 방식이라고 한다.
03. 전일 내용 - Active Directory
03-1. Active Directory, Directory Service
(1) 전사적인 네트워크 규모를 가질 경우 단일 서버 체계로 모든 네트워크나 인프라를 관리할 수 없기 때문에 이러한 부분을 해결하기 위해 마이크로소프트에서 개발한 전사적 네트워크 관리 기술 체계를 Active Directory라고 한다.
(2) Directory Service는 대규모로 분산된 네트워크 관련 리소스(사용자 계정, 그룹 계정, PC, 서버, 프린터 등)를 중앙 저장소에 통합시켜서 관리자 및 사용자가 네트워크 상의 정보를 수월하게 찾도록 해주는 기술을 말한다.
(3) Directory Service는 이러한 통합된 자원에 접근할 수 있게 사용자 계정, 그룹 계정, 주변 디바이스에 대한 권한 설정 등을 수행한다.
03-2. Active Directory 관련 용어
(1) Domain
- 도메인은 Active Directory의 가장 기본이 되는 구성 단위로 관리를 위한 하나의 큰 단위를 의미한다.
(2) Tree
- 도메인의 집합을 의미한다.
(3) Forest
- 두 개 이상의 트리로 구성된 집합을 의미한다. (Domain < Tree < Forest)
(4) Site
- 도메인의 논리적인 범주를 뜻한다.
(5) Trust
- 도메인과 포리스트 간의 신뢰 관계를 의미한다.
- A 회사, B 회사가 개별적인 회사인 경우 신뢰 관계가 형성되어 있지 않다.
- C, D 회사가 인수합병된 경우 해당 케이스에서는 C, D 간 신뢰 관계가 형성되어 있다고 볼 수도 있다.
(6) 조직 구성 단위(OU)
- 하나의 도메인에 있는 세부적인 구분 단위(부서, 팀 등)
(7) Domain Controller(DC)
- 도메인 컨트롤러는 로그온, 이용 권한 관리, 신규 사용자 등록, 패스워드 변경 등 여러 가지 작업을 수행할 수 있는 주요 서버 컴퓨터를 의미한다.
(8) Read-Only Domain Controller(RO DC)
- 주 도메인 컨트롤러로부터 데이터를 전송받아 저장한 후 사용하지만 스스로 데이터를 추가하거나 수정하지 않는다.
(9) Global Catalog(GC)
- 트러스트 내부에 여러 도메인에 포함된 개체에 대한 정보를 수집하여 저장 & 통합, 관리하는 저장소를 의미한다.
- 사용자 이름, 전체 이름, 로그온 아이디/패스워드와 같은 정보가 GC에 저장된다.
1. Active Directory(AD) Service Implementation
1-1. WinClient VMs를 이전 토폴로지의 서울 본사(First VMs)의 도메인 멤버 컴퓨터로 설정
(1) DNS 주소에 First VMs의 주소를 입력한다.
(2) ipconfig -all로 DNS 구성 정보를 확인한다.
(3) 설정 → 시스템 → 해당 PC의 이름 바꾸기(고급) 옵션으로 접속한다.
(4) 해당 변경사항 적용 시 administrator@hanbit.com / 패스워드는 First VMs의 관리자 계정 패스워드를 입력한다.
(5) 도메인이 시작되고 반영을 위해 시스템을 재부팅하게 된다.
(6) 사용자명/패스워드 administrator@hanbit.com/First VMs 패스워드를 입력하고 로그온하게 되면 이제부터는 WinClient VMs도 hanbit.com 도메인의 멤버 컴퓨터로 참여하게 된다.
(7) 이를 통해 외부에서도 본사의 환경에 접속할 수 있게 된 것이다.
- 현재 접속된 사용자는 WinClient 관리자 계정이 아닌 First VMs 관리자가 WinClient VMs에 접속해서 사용하는 것이다. 즉 AD 도메인에 가입된 컴퓨터라면 어디에서든지 로그온이 가능하다.
(8) 재부팅 후 서버 관리자에서 관리 → Server Manager Properties에 접속한다.
(9) 로그온 시 서버 매니저를 시작하지 않는다는 옵션을 활성화한다.
(10) 기존 WinClient 어드민 계정으로 접속하려는 경우 위와 같이 입력한다.
- 재부팅 후 필요에 따라 한국어팩을 적용시킨다.
1-2. 도메인에 가입된 컴퓨터 확인
(1) First VMs의 서버 관리자 → Active Directory 사용자 및 컴퓨터 메뉴로 들어간다.
(2) 리스트에서 WINCLIENT가 확인된다.
1-3. second@hanbit.com 도메인 환경 구성하기
(1) Second VMs로 접속한 뒤 DNS 서버 주소를 First VMs 주소로 변경한다.
(2) DNS 주소가 반영되었는지 항상 체크한다.
(3) Active Directory Domain Service 옵션을 체크한다.
(4) 설치 구성 사항을 최종 확인한다.
(5) 모든 옵션을 확인하고 Active Directory Domain Service설치를 진행한다.
(6) 해당 서버를 도메인 컨트롤러로 승격시킨다.
(7) 승격 과정에서 기존 포리스트에 새로운 도메인을 추가를 활성화시키고 부모 도메인 이름 / 내용 반영 시 필요한 자격 증명을 모두 입력(First VMs의 패스워드 요구됨)하고 확인을 클릭한다.
(8) 새로운 도메인 이름을 second로 지정한다.
(9) 암호는 Pa$$w0rd로 지정한다.
(10) 다음을 클릭한다.
(11) NetBIOS Domain명은 SECOND0으로 기본 지정되어 있다.
(12) 건드리지 않고 다음을 누른다.
(13) 선택 사항을 검토하고 다음을 체크한다.
(14) 모든 필수 구성 요소 검사가 완료되면 설치한다.
(15) 정상적으로 등록되었다면 위와 같이 도메인 및 트러스트 페이지에서 second@hanbit.com이 표시된다.
1-3. third@hanbit.com 도메인(부모 도메인 내부에서의 RO DC) 구성하기
(1) DNS 서버 주소 대역을 1-2 과정과 동일하게 변경
(2) AD DS 설치
(3) Third의 경우도 도메인 컨트롤러로 승격시킨다.
(4) 1-2 과정과 도메인 승격 과정을 동일하게 진행하지만 토폴로지 요구사항에 따라 기존 도메인에 도메인 컨트롤러를 추가한다는 옵션을 활성화한다.
(5) Third 도메인은 GC를 구성하지 않고 RO-DC로 구성하기 때문에 옵션을 위와 같이 설정한다.
(6) 우선 선택을 눌러서 네트워크 자격 증명을 진행한다. (First VMs의 패스워드 요구)
(7) Administrator를 입력하고 Administrator 개체를 선택한다.
(8) 선택된 개체를 확인하고 확인 버튼을 누른다.
(9) 정상 수행된다면 위임된 관리자 계정 영역이 위와 같이 표시된다. 만약 이 부분이 진행되지 않으면 가상 머신을 재부팅 후 수행해 본다.
(10) 설정 내용을 체크해 본다.
(11) 구성 요소 검사를 모두 마친 뒤 설치한다. 설치가 완료되면 시스템이 재부팅된다.
(12) 현재 상황은 FIRST 관리자가 THIRD VMs에 접속해서 시스템을 사용하는 과정이다.
(13) 로그온한 환경은 다시 영문이 적용되어 있기 때문에 환경 설정에서 필요할 경우 한글팩을 다시 적용한다. Server Manager Properties에서 Do not start Server Manager automatically at logon 옵션을 활성화한다.
2. Active Directory 관리 설정
2-1. 서울 본사에서 부산, 뉴욕 사무실의 서버를 관리하는 방법
(1) 관리 > 서버 추가 메뉴로 접속한다.
(2) 해당 메뉴에서 "지금 찾기" 버튼을 누르고 Second.hanbit.com을 추가한다.
(3) 서버 관리자의 모든 서버 리스트에서 FIRST, SECOND가 모두 확인된다.
2-2. 동일한 도메인의 추가된 도메인 컨트롤러인 THIRD 모든 서버 영역에 추가
(1) 동일한 과정으로 도메인이 아닌 도메인 컨트롤러로 필터링하여 THIRD를 위와 같이 추가한다.
(2) THIRD가 도메인 컨트롤러로 추가되었다.
2-3. 외부에서 Second VMs를 관리하기 위한 설정들
(1) Second VMs의 관리자 계정으로 로그온한다.
(2) 제어판 > 시스템 및 보안 > 원격 액세스 허용으로 접속한다.
(3) 위의 옵션들을 모두 체크하고 적용한다.
- 외부에서 원격 접속을 할 수 있도록 자체적으로 허용하는 과정
(4) 방화벽 메뉴에서 기본값을 복원 버튼을 누른다.
(5) 고급 방화벽 보안 설정에서 인바운드 규칙 > COM+ 네트워크 옵션을 활성화한다.
(6) 동일하게 원격 이벤트 로그 관리(NP-In, RPC, RPC=EPMAP)을 활성화한다.
(7) Third에서 동일한 설정을 진행한다.
(8) 동일하게 원격 이벤트 로그 관리(NP-In, RPC, RPC=EPMAP)을 활성화한다.
2-4. First VMs에서 원격 서버 관리
(1) SECOND VMs의 컴퓨터 관리로 접속한다.
- 위와 같이 본사(FIRST) 서버에서 부산 및 뉴욕 사무실의 서버에 접속 가능하다.
2-5. 원격 데스크톱을 활용해서 뉴욕 사무실의 DC(THIRD READ-ONLY DC)에 접속
(1) First VMs에서 Third 도메인 컨트롤러로 접속하기 위해 원격 관리 접속에서 위와 같이 입력한다.
(2) 비밀번호를 물을 때 First VMs의 비밀번호를 입력한다.
(2) 위와 같이 Third의 도메인 컨트롤러에 접속한 것을 알 수 있다.
2-6. Second 가상 머신에서 First 가상 머신의 C 드라이브를 사용할 수 있도록 설정
(1) First VMs에서 Secon에 접속한다. (옵션 표시를 누른다.)
(2) 세부 내역이 나오는데 로컬 리소스 > 자세히 > 로컬 디스크(C:)만 활성화하고 확인한다.
(3) 접속을 시도한다.
(4) 접속 후 FIRST VMs의 로컬 드라이브에 접속 가능한 것을 확인할 수 있다.
- 현재 문제가 있는데 Third는 방화벽이 켜져 있어도 접속되지만, Second는 켜져 있음에도 원격 접속이 되지 않는다. 문제를 해결하는 도중 Second의 방화벽 설정을 모두 Disable 시킨 후 접속 시 접속이 가능한 상태다.
- 왜 이 부분이 가능한지 모르겠다. 더 찾아봐야 함
2-7. 지금까지의 작업 내역에 대한 Snapshot을 저장
(1) First, Second, Third, WinClient VMs 모두 Snapshot을 생성한다.
3. Active Directory - 사용자 및 그룹 관리
(1) 해당 파트에서는 Active Directory에서 사용자, 그룹에 대한 용어와 개념 이해
(2) Active Directory 그룹의 Global/Universal/Domain Local에 대한 차이, 실무 적용 이해
3-1. Active Directory 사용자 계정과 조직 구성 단위
(1) AD 구성 이전 사용하던 단일 서버 환경에서는 로컬 사용자 계정, 로컬 그룹에 대한 개념만 필요했으나 AD가 도입되면서 더 복잡하고 많은 구성이 필요해졌다.
(2) AD의 사용자 및 그룹에서 사용되는 용어는 도메인 사용자 계정, 그룹, 조직 구성 단위가 있고 여기서 다시 그룹은 글로벌 그룹, 유니버설 그룹, 도메인 로컬 그룹 등으로 구분된다.
(3) Windows Server에 내장되어 있는 그룹을 Builtin Local Group이라고 한다.
3-2. 사용자 계정
(1) 사용자 계정은 AD와 관계없이 로컬 컴퓨터에만 접근할 수 있는 로컬 사용자 계정, AD에 접근할 수 있는 도메인 사용자 그룹으로 나뉘게 된다.
(2) 해당 파트에서 언급하는 계정은 도메인 사용자 계정이 주가 된다. 도메인 사용자 계정은 로컬 컴퓨터뿐만이 아닌 AD 도메인 전체에 대해 로그온 권하니 있는 사용자를 생성하고 관리하게 된다.
(3) 위에서 실습한 hanbit.com 도메인을 기준으로 사용자 이름을 thisUser로 생성할 경우 다음처럼 표기할 수 있다.
(4) 기본적인 도메인 로그온 이름 : HANBIT\thisUser
(5) UPN(User Principal Name) : thisUser@hanbit.com
(6) Distinguished name : CN = thisUser, OU = 조직 구성 단위명, DC = hanbit, DC = com
(7) Relative Distinguished name = CN = thisUser (조직 구성 단위 내부에서만 사용 가능하다.)
(8) 윈도우 서버 2022의 경우 기본적으로 Administrator, DefaultAccount, Gueset, WDAGUtilityAccount 계정이 있다. 보안상 관리자 계정을 제외하고는 사용하지 않도록 설정되어 있다.
(9) 도메인 사용자 계정을 생성 및 수정/삭제하려면 AD 사용자 및 컴퓨터 메뉴에서만 관리할 수 있고 dsadd, dsmod, dsmove, dsrm 등의 커맨들고 관리가 가능하다.
3-3. 조직 구성 단위(OU)
(1) 조직 구성 단위는 사용자, 그룹, 디바이스를 포함할 수 있는 Active Directory 컨테이너로 쉽게 표현하면 회사 조직의 관리부, 회계부, 기술부 같은 부서 단위로 생각하면 쉽다.
4. LAB : 도메인 사용자 계정 및 조직 구성 단위(OU)를 생성
(1) FIRST, SECOND, WINCLIENT VMs를 사용
4-1. 도메인 내부에 조직 구성 단위(OU) 생성
(1) First VMs의 관리자 계정으로 접속해서 habit domain의 새로 만들기 > 조직 구성 단위를 실행한다.
(2) 관리부를 만들어주고 위와 같이 나머지 부서도 생성해 준다.
(3) 관리부를 기준으로 새로 만들기를 클릭해서 하위 부서도 생성한다.
(4) 실수 등으로 삭제되지 않도록 현재 보호되고 있는 상태다.
(5) 보기 탭에서 고급 기능을 연다.
(6) 삭제가 필요하다면 고급 기능에서 모든 요소들을 조회한 뒤 속성으로 들어가서 위의 옵션을 비활성화하면 삭제할 수 있다.
4-2. hanbit.com 도메인 사용자 계정을 생성, 사용자는 관리부 OU에 속한 사용자를 생성
(4) 생성된 부분의 요약을 확인하고 마침을 누르면 사용자가 생성된다.
(5) 생성된 사용자의 평일 기준, 점심 시간을 제외한 근무시간에만 로그온 할 수 있도록 위와 같이 설정해준다.
(6) 주소를 설정한다.
(7) 전화번호를 설정한다.
4-3. 동일한 조직 내에서의 사용자를 추가 (템플릿 사용)
- 동일한 조직 내의 직원일 경우 로그온 시간, 주소, 전화번호 등을 일일이 입력하려면 시간이 오래 소요될 뿐만이 아니라 실수할 수도 있기 때문에 이러한 부분은 템플릿을 통해 해결한다.
(1) hanbit.com 도메인 기준으로 새로운 사용자를 생성한다.
(2) 직원 템플릿에 대한 정보를 입력한다.
(3) 암호 입력 후 두 가지 계정 옵션을 체크하고 다음을 누른다.
(4) hanbit.com 도메인 내부에 직원 템플릿이 생성된다.
(5) 방금 생성한 직원 템플릿을 우클릭해서 속성으로 들어간 다음, 처음에 생성한 유저 정보의 로그온, 주소, 전화번호 정보를 미리 템플릿에 저장해 둔다.
(6) 방금 적용한 템플릿을 우클릭하고 복사를 누른다.
- 새로운 사용자 정보 생성
(7) 생성한 사용자를 관리부로 이동시킨다.
(8) 이후 해당 사용자의 Properties에 들어가 보면, 상세 주소, 전화번호는 템플릿에 지정된 정보로 저장되지 않은 것을 알 수 있는데 이 부분은 각 사용자마다 다르다는 전제가 미리 들어가 있기 때문에 반영되지 않은 것이므로 이 부분은 따로 설정이 필요하다.
4-4. 동일한 방식으로 4명의 직원을 추가 생성
(1) 기술부, 회계부에 동일한 템플릿으로 사용자를 생성한다.
4-5. First VMs에서 Second 도메인에 사용자 생성
(1) First VMs에서 서버 관리자를 열고 AD DS에서 Second VMs에 대해 AD 사용자 및 컴퓨터 옵션을 연다.
(2) 새로운 사용자를 생성했다.
4-6. 새로 생성한 도메인 사용자로 로그인
(1) WINCLIENT VMs로 접속한다. Other user에서 위에서 생성한 khd 정보로 로그인한다.
- hkd@hanbit.com / Pa$$w0rd
4-7. WinClient 가상 머신이 속한 도메인이 아닌 second.hanbit.com 도메인의 사용자 계정으로 로그온이 되는지 확인
(1) WinClient VMs에서 Other user로 scan@second.hanbit.com 사용자로 접속되는지 확인한다.
(2) 현재 자신의 도메인이 아니지만 로그온이 되는 이유는 실습 이전 토폴로지에서 확인한 것처럼 동일한 포리스트 내부에 있는 디바이스끼리 서로 Trust 관계에 있기 때문이다.
5. Active Directory Group
5-1. 그룹의 개념과 종류
(1) 그룹은 사용자 또는 디바이스(서버, 컴퓨터)의 집합으로 보면 된다. 그룹은 또 다른 그룹을 포함할 수도 있다.
(2) 그룹을 사용하는 큰 목적은 보다 편리한 권한 부여가 장점이다.
(3) 요구 사항이 변하거나 조직의 특성, 업무 특성이 변함에 따라 사용자들의 권한도 계속 변할 수 있다. 이런 상황에서 한 명씩 권한을 수정한다는 것은 매우 번거롭고 어렵다. 이러한 부분을 해결하기 위해 특정 그룹을 만들고 변경되어야 하는 권한 자체를 해당 그룹에 적용시키기만 하면 그룹 내 모든 사용자들의 권한이 변경된다.
(4) Active Directory에서 다루는 그룹은 크게 3가지로 아래와 같이 분류된다.
5-2. AD Group : Global Group
(1) 글로벌 그룹은 모든 도메인에 위치한 자원(공유 폴더, 프린터 등 디바이스)에 권한을 할당할 수 있는 그룹을 의미한다.
(2) 그룹에 속하는 사용자는 반드시 글로벌 그룹을 생성한 도메인의 구성원만 포함될 수 있다.
(3) 위의 그림처럼 hanbit.com 도메인 내부 사용자는 자신의 도메인에 생성된 글로벌 그룹에 포함될 수 있다. 그리고 hanbit.com 도메인의 글로벌 그룹은 자신의 도메인 자원뿐만 아니라 다른 도메인의 자원에도 접근 가능하다. 그러나 자식 도메인의 사용자는 hanbi.com 도메인의 글로벌 그룹에 포함될 수 없다.
(4) 글로벌 그룹에 포함될 수 있는 사용자의 조건은 아래와 같다.
- 같은 도메인에 있는 사용자 계정 또는 컴퓨터 계정
- 같은 도메인의 다른 글로벌 그룹
5-3. AD Group : Domain Local Group
(1) 글로벌 그룹과 반대되는 개념으로 생각하면 편하다.
(2) 도메인 로컬 그룹의 구성원은 다른 도메인의 사용자 계정이 될 수 있으나 도메인 로컬 그룹이 접근할 수 있는 자원은 자신이 속한 자원에만 접근 가능하다.
(3) 도메인 로컬 그룹에 포함될 수 있는 사용자의 조건은 아래와 같다.
- 모든 도메인의 사용자 계정 또는 컴퓨터 계정
- 모든 도메인의 글로벌 그룹 또는 유니버설 그룹
- 같은 도메인의 다른 도메인 로컬 그룹
5-4. AD Group : Universal Group
(1) 유니버설 그룹은 모든 도메인 자원에 접근할 수 있다는 특징이 있다.
(2) 해당 구성원은 도메인의 사용자 계정이 될 수 있다. 유니버설 그룹은 글로벌 그룹과 도메인 로컬 그룹의 특성을 모두 합쳐놓은 것으로 봐도 무방하다.
(3) 단순하게 보면 유니버설 그룹이 제한점이 없어서 편리하게 보일 수는 있으나 유니버설 그룹의 정보는 Global Catalog(GC)에 모두 저장되어야 하기 때문에 전반적인 Active Directory 네트워크 성능 저하가 있을 수 있다. 따라서 유니버설 그룹의 사용은 최소화하는 것이 좋다.
(4) 유니버설 그룹에 포함될 수 있는 사용자의 조건은 아래와 같다.
- 모든 도메인의 사용자 또는 컴퓨터 계정
- 모든 도메인의 글로벌 그룹
6. Reference
(1) https://www.hanbit.co.kr/store/books/look.php?p_code=B2079064069
※ 해당 포스팅을 기준으로 내용 추가가 필요하다고 생각되면 기존 내용에 다른 내용이 추가될 수 있습니다.
개인적으로 공부하며 정리한 내용이기에 오타나 틀린 부분이 있을 수 있으며, 이에 대해 댓글로 알려주시면 감사하겠습니다!
'Virtualization & Cloud Infra > Server & Linux' 카테고리의 다른 글
Ubuntu Linux (1) - 개요 & 설치 (0) | 2024.09.13 |
---|---|
Windows Server 2022 (6) - Active Directory 그룹 관리, 그룹 정책의 구성과 운영 (2) | 2024.09.13 |
Windows Server 2022 (4) - 서버 운영을 위한 필수 사항, 원격 접속, DNS 서버, Active Directory (0) | 2024.09.13 |
Windows Server 2022 (3) - 서버 운영을 위한 필수 사항, PowerShell (0) | 2024.09.09 |
Windows Server 2022 (2) - 서버 운영을 위한 사항, 원격 접속 서버 (0) | 2024.09.05 |
댓글