6주-3일차(Window Server , AD - Active Directory)

Window를 사용하는 이유

1. AD를 통한 인증

2. 그룹정책을 통한 관리

*구축시 고려할것

1. HA - 고가용성 (중복구성)

 이점 : 로드밸런싱 

    폴트 톨러런스 

Window Server 이용형태 종류

유형                                 Logon 방식 

1. Standalone                         only local logon

2. Member Server                      local logon & domain logon 기능

   DC의 자원을 가져다 쓰기 위해서 생성 DC에는 사용자 계정등의 중요 정보가 존재하므로

   솔루션 이용자들의 무분별한 접근을 막아 보안을 담보하고자 대부분의 솔루션은 DC가 아닌

   Member 서버에 설치해서 사용한다. 따라서 이런 경우 사용자 계정을 가져다 쓸수 있는 

   멤버서버에 솔루션을 설치해서 사용한다. 대부분의 솔루션은 DC에는 설치조차 되지 않는다

   리눅스에서도 Apache등의 솔루션은 별도의 계정으로 운용되고 해당 사용자들은 

   login되지 않게 설정한다.

   (/sbin/nologin 기능 상기)

3. Domain Controller                only domain logon

Active Directory  - 중앙 집중화된 관리 가능(계정을 여러서버에 분산하여 생성하지 않고 중앙에서 하나만 생성하여 관리)

- SSO를 통한 보안기능 향상(토큰하나를 가지고 여러곳에 인증 가능)

- LD AP 및 Kerberos 를 통한 표준화된 프로토콜을 제공하여 확장 용이

*인증 (네트워크 내의 사용자 ID 확인)

1. Local Login – 로컬 컴퓨터에 대한 접근 허용

2. Network Login – 네트워크 자원에 대한 접근 허용

 

*허가 (인증된 사용자가 특정작업이 가능한지를 확인)

계정이 생성될 때 각 계정은 SID를 발급 받고

 원하는 개체에 접근할 때 SID를 제공해야 한다.

Active Directory란?

1. Active Directory의 장점

1) 네트워크 상으로 나누어져 있는 자원을 중앙의 관리자가 통합하여 관리할 수 있음. 

2) 본사 및 자사의 직원들은 더 이상 자신의 PC에 모든 정보를 보관할 필요가 없음. 

3) 타 지사에 출장을 가더라도 자신의 아이디로 로그인만 하면 타인의 PC가 자신의 PC 환경과 마찬가지로 변경됨." 

4) PC가 있는 장소와 무관하게 회사의 어디서든 회사 전체 자원을 편리하게 사용 가능. 

 1. Kerberos - 인증서버에 아이디 패스워드를 입력하고 접속하면

KDC(계정과 , 그룹이 어디인지) 토큰을 발급 받는다

KDC를 가지고 자원서버를 접근

      2. Domain - 자원의 단위 

ㄱ. 물리적 단위 - DC (Domain Controller)

1. 인증및 허가 서비스 제공

2. 사용자 계정과 네트워크 관리자원을 허가하기 위한 관리 허가 제공.

3 .DC간 복제 업데이트

4. Win2K8는 RODC제공

*자식 도메인을 만드는 조건

1. 지역에 관리자가 존재한다

2. 물리적인 보안을 담보할 수 있다(출입통제 시스템, 접근제어 시스템)

3. 부모 도메인이 존재한다.

GC(Global Catalog)

1. 포레스트 내의 모든 도메인에 대한 개체들의 정보를 모아놓은 데이터베이스

2. 이곳에 자주 사용하는 개체들에 대한 정보를 기록하여 효율적인 검색을 허용 한다.

3. 도메인 내의 사용자가 로그온 하기위해 필요하다

4. 최상위 루트 도메인에만 존재해도 되고 각각의 도메인들이 가져도 된다

   각각의 도메인들이 가질경우 GC에 대한 부하가 분산이될 수 있다.

DB 

RODC(Read Only Domain Controller) 

1. 지역에 관리자가 없을 때 

2. 물리적인 보안을 담보 할 수 없을 때 (읽기 전용이므로 사용자 계정 정보등이 비존재)

3. 상위단에(부모도메인) 쓰기 가능한 도메인이 있어야함

4. 서버를 설치해야하는 사람은 있어야 하지만 그렇다고 보안에대해 잘 아는 관리자가 없어서

    아이디를 잃어버리거나 누출 되어도 상관 없는 계정(읽기만 가능하고 써지지 않는다)

ㄴ. 논리적 단위 - Schema, Domain, Partition, Tree, Forest, Site, OU

3. 개체 - 어떤것을 이루는 특성들을 가진 최고 단위

4. Shema - 개체가 가지는 고유한 속성 값

  - 동일한 포레스트의 스키마값은 같다

  - 개체의 틀

5. Tree - 1. 동일한 네임스페이스를 갖는 부모, 자식 관계를 형성

 2. 자식도메인은 부모도메인에 Name Space를 추가함

 3. Tree 내 다른 DC와 양방향 전이 트러스트 관계를 형성 - 상호 신뢰관계를 맺고 있는 도메인들의 집합이다

(양방향 전이 트러스트 관계 -  상호 인증이 가능)

6. Forest - 한 개 이상의 도메인 트리 묶음.

1. 일반 스키마에 대한 공유

2. 일반 구성 파티션에 대한 공유

3. 검색을 위한 일반 GC 공유

4. 포리스트 내 모든 도메인간 트러

스트 공유

5. Enterprise Admin과 Schema Admin 공유

7. Site - Forest를 IP subnet으로 나눈 것

1.IP Subnet 과 연동

2.복제 트레픽 관리

3.Client Login 트레픽 관리

4.응용프로그램에서 활용

5.그룹정책 관리

8. FSMO (출처 - http://mcselee.blogspot.com/2009/08/fsmoflexible-single-master-operator.html)

FSMO(Flexible Single Master Operator) 또는 작업 마스터(Operations Master) 

AD의 지정된 작업마스터들을 조회하는 명령어 : netdom query fsmo

모든 DC들은 몇 가지 특별한 기능을 제외하고는 동일하다. 
여기서 그 몇 가지 특별한 기능을 FSMO라고 부르며 특정 DC만이 가지고 있도록 한다. 

1. Domain Naming Master는 하나의 DC를 골라 새 도메인을 생성할 때 관여하도록 역할을 집중시켰다. 이 DC는 DCPROMO가 새로운 도메인을 생성할려고 할 때 마다 자신이 가지고 있는 전체 도메인 목록을 체크하여 도메인 이름이 중복되지 않도록 하는 역할을 한다. 만약 새로운 도메인을 생성하는 시점에서 DCPROMO가 도메인 명명 작업 마스터를 찾지 못하면 더 이상 작업을 진행할 수 없다. 
Domain Naming Master 변경은 Active Directory Domain and Trust에서 가능하다. 

2. Schema Master
AD 데이터베이스의 구조를 나타내며, 사용자 이름, 암호 등과 같은 데이터 베이스의 어떤 것들의 목록이다. 스키마 역시 전체 포리스트에 오직 하나의 스키마만을 가지며, 기본적으로 첫 포리스트의 첫 도메인 콘트롤러가 스키마를 
복제하는 Grobla Catalog를 가지고 있다.스키마 작업마스터 변경은 Active Directory 스키마에서 가능하다 
Active Directory 스키마 MMC는 기본 제공되지 않는 스냅인이므로 명령어 프롬프트 창을 열고 
regsvr32 schmmgmt.dll 을 입력하고 나면 MMC 스냅인 추가 항목에 나타난다. 

Domain Naming Master 와 Schema Master 는 포리스트에서 하나만 존재해야한다

3. RID Master 
AD환경에서 모든 개체는 SID를 가지고 있다. 
SID는 AD환경에서 사용자, 그룹 또는 컴퓨터 등을 인증하는데 사용하는 유일한 ID. 

SID 포맷은 아래와 같다. 
S-1-5-21-D1-D2-D3-RID 
S-1-5-21 : 모든 SID에 공통부분이다.D1/D2/D3 : 도메인을 구분할 수 있는 ID로써 각 32비트의 숫자를 가진다.RID : 각 도메인내 유일한 개체를 나타낼 ID로써 32비트의 숫자를 가진다. 

도메인내에서 하나의 DC는 RID Pool FSMO를 가지게 되고 500개의 RID Pool 할당을 관리한다. 
도메인내의 다른 DC에서는 할당받은 500여개의 RID를 이용하여 계정을 생성할 수 있다. RID가 반정도 소모되면 작업마스터가 재 충전한다.이러한 RID를 분배해주는 역할을 하는 컴퓨터를 RID 작업 마스터라고 한다. 기본적으로 도메인에서 첫번째로 설치된 DC가 역할을 담당한다. 
도메인 내 하나의 RID Master 를 가지게 됨으로 다중 도메인 포리스트 환경에서는 다수의 RID Master 가 존재한다.RID, PDC, 인프라의 작업 마스터 변경을 Active Directory Users and Computers에서 가능하다. 

4. Infrastucture Master
SID 또는 사용자 계정 및 그룹에 대한 고유 이름 수정이 다른 도메인에서 만들어지면 변경된 사용자 또는 그룹을 참조하는 도메인에서 그룹에 대한 그룹 등록이 업데이트되어야 한다. 그룹 또는 참조가 있는 도메인에 대한 Infrastructure(인프라) 마스터는 이 업데이트를 담당하며 일반 복제를 통해 업데이트를 도메인 전체에 배포한다.Infrastructure(인프라) 마스터는 다음 규칙을 사용하여 개체 ID를 업데이트 한다.- 고유 이름(DN)은 디렉터리에서 개체의 정확한 위치를 나타내기 때문에 개체가 이동되면 그 고유 이름도 함께 변경된다. * DN은 CN(Common name), OU, DC를 포함한다. 즉, 사용자 계정을 포함하는 OU에 대한 경로를 지정한다. 
- 개체가 도메인 내부에서 이동되면 개체의 SID는 그대로 유지된다. 
- 개체가 다른 도메인으로 이동되면 SID가 변경되어 새 도메인 SID와 통합한다. 
- GUID는 도메인 전체에서 고유하기 때문에 위치에 관계 없이 변경되지않는다.도메인 내의 하나의 DC가 인프라 FSMO 역할을 한다. 
RID, PDC, 인프라의 작업 마스터 변경을 Active Directory Users and Computers에서 가능하다. 

5. PDC Emulratoe
혼합 모드 
- regacy System 가령, NT 4 도메인 + Active Directory 도메인환경에서 NT4 시스템 기반의 DC는 PDC를 찾아야 한다. 
Active Directory에서는 PDC 개념이 없기 때문에 도메인 내의 하나의 DC가 PDC FSMO 역할을 하며 Regacy System의 PDC 요청에 PDC FSMO가 응답하여 PDC 역할을 해준다. 
- NT 4 BDC가 SAM 계정 변경을 위해 PDC를 찾을 때 
- 마스터 브라우저를 찾을 때 
- Windows 95 로그인시 
- NT 4 도메인과 Active Directory가 트러스트 관계를 맺을려고 할때 

기본 모드 : 

암호 변경, 계정 잠금 정책 등과 같은 정책 적용이 실시간으로 적용되어야할 중요한 사안에 대하여 PDC FSMO는 최상위 수준의 복제를 제공해준다. 포리스트내의 시간 동기화를 위해서 각 도메인의 PDC FSMO는 계층적 구조를 가지고 원본을 가지고 있는 최상위 PDC와 동기화를 맞춘다. 최상위 PDC는 기본적으로 포리스트내의 루트도메인의 PDC FSMO RID, PDC, 인프라의 작업 마스터 변경을 Active Directory Users and Computers에서 가능하다. 

시간동기화는 DC간의 마스터 복제로 인한 무한 루프를 방지할 수 있는 타임 스탬프를 동기화 해주는 것이기 때문에 매우 중요하다. 

RID Master 와 Infrastucture Master 와 PDC Emulratoe 는 도메인 당 1개씩만 존재해야 한다.

*DC간 보조 DNS설정

1. 타 DC로 로그인이 되지 않는다

2. 메타데이터 정리가 안된다 (부모 DC를 찾을 수가 없으므로)