1. [실습] 사전 준비
1) Windows Server 2016 설치 및 설정
Windows 업데이트 비활성화
- 서버 관리자 > Windows 업데이트 비활성화
- gpedit.msc →
컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > Windows 업데이트- "자동 업데이트 구성" → "사용"
- 옵션: 2 - 다운로드 및 설치할 때 알림
- C:\Windows\System32\Tasks\Microsoft\Windows\UpdateOrchestrator
- Reboot 파일 속성 → 보안 탭에서 모든 사용자/그룹에 대해 권한을 "거부"로 설정
2) Windows 11 설치 및 설정
Windows 업데이트 비활성화
- 작업 관리자 > 서비스 탭 → "서비스 열기"
- Windows Update 서비스 → 속성 > 시작 유형: 사용 안 함
3) Linux(Rocky Linux) 설치
2. Active Directory (AD)
1) AD란?
Active Directory(AD)는 마이크로소프트가 개발한 디렉터리 서비스로 사용자, 컴퓨터, 그룹 등 다양한 IT 자원(Object)을 중앙에서 관리하고 인증 및 인가를 제공하는 시스템을 말한다.
- Object : 사용자, 그룹, 컴퓨터 등
- Attribute : 각 객체에 부여된 속성
- 인증 : Kerberos 기반
- 데이터 저장소 : LDAP 기반의 계층형 데이터베이스
2) AD 구성 요소
물리적 요소
- Domain Controller(DC) : AD 서비스를 제공하는 핵심 서버. 인증 및 정책 처리 담당
- Global Catalog Server : 포리스트 전체 객체 정보를 부분적으로 가지고 있어 빠른 검색 지원
- RODC(Read-Only Domain Controller) : 보안이 낮은 지점용, 읽기 전용 DC
- Datastore : AD 데이터가 저장되는 NTDS.dit 등 포함
논리적 요소
- Domain : 사용자/컴퓨터 계정이 생성되는 단위. 관리와 보안 경계
- OU(Organizational Unit) : 도메인 내 객체를 그룹화, 정책 적용 및 권한 위임 가능
- Tree / Forest : 도메인들의 구조적 관계. 여러 트리 -> 하나의 포리스트로 묶임
- Schema : AD에서 사용할 수 있는 객체 유형과 속성을 정의한 규칙
- Sites : 물리적 네트워크 위치 구분, 복제 효율화 목적
3) Domain vs Workgroup
| 항목 | 도메인 (Domain) | 워크그룹 (Workgroup) |
| 인증 주체 | 중앙 서버(DC) | 개별 컴퓨터 |
| 관리 편의성 | 중앙 집중 관리 | 분산 관리 |
| 확장성 | 대규모 환경에 적합 | 소규모 환경에 적합 |
| 특징 | 한번 구성하면 효율적이나 실수 시 큰 영향 | 단순하고 유연하나 관리 복잡 |
4) 운영체제별 디렉터리 예시
- Microsoft Windows : Active Directory
- Novell : eDirectory
- UNIX : Open LDAP
- Apple : OpenDirectory
- LINUX : IPA, OpenLDAP, 389 Directory Server
5) SSO
SSO(Single Sign-On)는 사용자가 한 번의 로그인으로 여러 시스템에 접근할 수 있도록 하는 기능이다.
6) AD 데이터구조
- DN (Distinguished Name) : 객체를 고유하게 식별하는 전체 경로
- ex) CN=홍길동, OU=영업부, DC=koalra, DC=com
- 엔트리 구성 요소
- CN : Common Name
- OU : Organizational Unit
- DC : Domain Component
- SN : 성(Surname)
7) Forest와 Domain 차이
- 도메인 : 관리 단위, 정책 및 인증 경계. 도메인 간은 신뢰 관계 필요
- 포리스트 : 하나 이상의 도메인을 포함하는 최상위 논리 구조, 보안 경계로 작용
- 포리스트 내 도메인들은 스키마와 글로벌 카탈로그를 공유
8) Schema와 Global Catalog
- Schema : AD에서 어떤 객체와 속성을 가질 수 있는지를 정의 (User, Group 등)
- Global Catalog : 포리스트 전체에 걸쳐 객체 정보를 부분 저장 -> 빠른 검색 가능
9) AD DS Partitions
AD는 데이터를 파티션으로 나누어 관리한다.
- Schema Partition : 객체 유형/속성 정의
- Configuration Partition : AD 구조 및 구성 정보
- Domain Partition : 도메인 단위 객체 정보
- Application Partition : 특정 애플리케이션 전용
10) AD에서의 로그인 흐름 (Kerberos 기반)
1. 사용자가 로그인하면 DC가 인증을 수행하고 TGT(Ticket Granting Ticket) 발급
2. 사용자는 해당 TGT를 이용해 서비스 요청
3. DC는 서비스 티켓을 발급 -> 사용자에게 전달
4. 사용자는 서비스에 접근
3. [실습] AD 설치 및 기본 구성
sysprep을 시행하지 않고 AD-C1을 복제한 AD-C2는 서로 SID가 동일한다.
외형상은 서로 다른 컴퓨터이지만, 보안 식별자(SID)가 같아 ACL 기반 접근 제어 정책 등에서 충돌할 가능성이 있다.
따라서 AD 관련 시스템을 복제할 때는 반드시 sysprep을 수행한 후 복제하는 것이 좋다.
AD-C1을 해제하려면 AD-C1의 컴퓨터 이름 변경에서 소속그룹을 도메인에서 작업그룹으로 변경해주면 도메인에서 탈퇴된다.
도메인 컨트롤러 역할을 하고 있던 AD2의 경우 해제하려면 도메인 컨트롤러 수준 내리기를 통해 DNS와 글로벌 카탈로그를 제거해줘야 한다. 이후에 일반 컴퓨터처럼 도메인에서 탈퇴할 수 있다.
✍️ 하루 회고
오늘은 AD 설치 및 실습을 진행했다. 용어와 구조가 익숙하지 않아 처음에는 어렵게 느껴졌지만, 실습을 통해 도메인 가입이나 사용자/그룹 관리 등의 개념을 조금씩 체감할 수 있었다. 아직 전체적인 흐름과 역할에 대한 이해는 부족하다고 느껴 추가적인 이론 학습이 필요할 것 같다. 다음에는 AD의 구성 요소나 작동 방식 등을 정리해보며 복습해야겠다.
'TIL' 카테고리의 다른 글
| [에스넷시스템 부트캠프] TIL Day 46 - SELinux, DHCP, NFS, AutoFS (0) | 2025.07.25 |
|---|---|
| [에스넷시스템 부트캠프] TIL Day 45 - 네트워크 매니저, systemctl, DNS (0) | 2025.07.23 |
| [에스넷시스템 부트캠프] TIL Day 43 - VUM (0) | 2025.07.21 |
| [에스넷시스템 부트캠프] TIL Day 42 - 에스넷시스템 현장견학 (2) | 2025.07.18 |
| [에스넷시스템 부트캠프] TIL Day 41 - vSphere 고가용성 및 복구 기술 (1) | 2025.07.17 |