Windows Server 2003 R2 설치하기

지금부터 Windows Server 2003을 설치하도록 하겠습니다. 여기서는 Windows Server 2003 R2 Enterprise Edision을 이용하여 설치를 진행하겠습니다.

윈도우 서버 2003 설치 시작

컴퓨터를 켠 후 <F2>키(메인보드마다 다름. 보통 <DEL>키를 누름)를 눌러서 BIOS Setup 화면으로 들어갑니다. 부팅순서를 첫 번째 CD-ROM 드라이브로 설정하고, 두 번째를 하드디스크로 설정합니다.

Windows Server 2003 R2 Enterprise Edition은 CD 2장으로 구성되어 있습니다. 1번 CD를 넣고 부팅합니다. 하드디스크에 기존 운영체제가 설치되어 있는 경우 자동으로 하드디스크로 부팅되도록 되어 있으므로 "CD로 부팅하려면 아무키나 누르세요..." 이런 내용의 영문 메시지가 잠시 표시되면 아무키나 눌러서 CD로 부팅을 합니다. 윈도우 서버 2003 설치 화면이 나타납니다.

윈도우 서버 2003의 설치와 복구 메뉴 표시

설치 프로그램이 시작되고 설치를 시작할지 복구를 진행할지를 물어옵니다. <Enter>키를 눌러서 설치를 진행합니다.

윈도우 서버 2003 라이센스 표시

Windows Server 2003과 Windows Server 2003 R2의 라이센스는 다음과 같이 약간의 차이가 있습니다. 라이센스를 읽은 뒤 <F8>키를 눌러서 동의하고 다음 단계로 진행합니다.

 

사용 키보드 선택

현재 설치된 키보드의 종류를 선택한다. 데스크 탑 PC의 경우 대부분 103/106 키를 사용하므로 103/106키를 선택하면 됩니다. 노트북에서 설치할 경우 노트북은 자체 규격의 키보드를 사용하고 있으므로 기본값인 종류1을 선택하여 설치를 진행합니다.

윈도우 서버 2003 설치할 파티션 선택 및 포맷

처음 선택할 경우 파티션이 나눠지지 않았기 때문에 분할되지 않는 공간을 선택하여 설치를 진행하면 됩니다. 만일 이미 운영체제가 설치되어 다시 설치하는 경우에는 해당 파티션을 삭제한 뒤 설치를 진행합니다. 파티션에 대한 내용은 다음 장에서 별도로 다룹니다.

Windows Server 2003의 보안 설정을 이용하기 위해서는 반드시 선택한 파티션을 NTFS로 포맷합니다. 오래 사용한 하드디스크의 경우 일반 포맷을 하여야 하며, 새로 구입한 하드디스크의 경우 빠른 포맷을 이용하여 포맷을 진행해도 무방합니다.

 

CD로부터 설치 프로그램이 하드디스크로 복사된 후 재부팅 됩니다. 그리고 윈도우 모드에서 설치가 진행됩니다.

 

국가 및 언어 선택

Windows Server 2003은 다국어를 지원하는 시스템이므로 사용 국가 및 언어를 선택하여야 합니다. 현재 대한민국이 선택되어 있으므로 설치를 계속 진행합니다.

사용자 정보 입력

사용자 이름과 소속기관명을 입력합니다.

서버 라이센스 키 입력

윈도우 설치 CD에 동봉된 서버 라이센스 키를 입력합니다.

 

클라이언트 라이센스 모드 선택

Window Server 2003은 서버 라이센스와 클라이언트 라이센스가 필요합니다. 서버 라이센스는 서버 운영체제 Copy당 1개씩 필요하며, 클라이언트 라이센스는 서버에 접속할 클라이언트의 대수만큼 필요합니다. 클라이언트 라이센스 모드의 자세한 설명은 다음 장에서 설명합니다. 구매한 라이센스 개수를 선택하고 다음 단계로 진행합니다.

컴퓨터 이름과 관리자 계정 암호 설정

네트워크 상에서 사용될 컴퓨터의 이름과 Administrator 계정의 암호를 지정합니다.

날짜 및 시간 설정

날짜와 시간을 설정합니다.

네트워킹 설정

TCP/IP 네트워크 환경을 설정합니다. 일반 설정을 선택하여 진행한 후에 윈도우 설치가 완료된 후에 각자 환경에 맞추어 설정합니다. 네트워크 환경 설정도 다음 장에서 별도로 다룹니다.

 

작업 그룹 또는 도메인 설정

컴퓨터 작업 그룹과 도메인도 별도로 다룹니다. 기본값을 선택하고 진행합니다.

설치 및 최초 로그인

나머지 설치 과정이 진행되고 재부팅후 최초 로그인 화면이 뜹니다. 설치시 입력한 Administrator 암호를 입력하여 로그인 합니다.

Window Server 2003의 설치는 여기에서 완료됩니다. Windows Server 2003 R2의 경우 최초 로그인후 추가 작업이 진행됩니다.

Windows Server 2003 R2 설치 추가 작업(Windows Server 2003에서는 진행 안됨)

Window Server 2003 R2 설치 마법사가 실행됩니다.

설치 완료

Windows Server 2003 R2의 설치 종료 후 화면입니다. 서비스 팩1이 기본적으로 적용되어 있기 때문에 자동 업데이트 설정과 보안 업데이트 진행에 관련한 창이 표시됩니다. 설치후 최초 1번만 표시됩니다. 자동 업데이트 구성을 선택하여 자동 업데이트를 켜 주세요.

 

Windows Server 2003의 경우 별도의 설치 마법사 진행 없이 사용자 서버 관리도구가 표시됩니다.

축하합니다. Windows Server 2003의 설치가 끝났습니다. ^o^

Windows Server 2003 제품군 소개

Windows Server 2003은 다양한 현업의 요구를 만족시키기 위해 크게 다음과 같은 제품군을 제공하고 있습니다.

제품명	특징
Windows Server 2003 Starndard Edition	최대 4GB 메모리 지원. 4-way 대칭형 멀티 프로세서 지원. Active Directory 서비스 제공. Internet Connection Firewall(ICF) 지원. 관리용 원격 데스크탑 지원. Terminal Service 제공. Windows NT Load Balancing Service. VPN 서비스 제공. Internet Authentication Service 제공하여 RADIUS 서버로 사용. Internet Connection Sharing(ICS) 서비스 제공. .NET Framework. Internet Information Server 6.0 제공. Windows Media Service 제공.
Windows Server 2003 Enterprise Editon	최대 32GB 메모리 지원. 8-way 대칭형 멀티 프로세서 지원. Active Directory 서비스 제공. Internet Connection Firewall(ICF) 지원. 관리용 원격 데스크탑 지원. Terminal Service 제공. Windows NT Load Balancing Service. VPN 서비스 제공. Internet Authentication Service 제공하여 RADIUS 서버로 사용. Internet Connection Sharing(ICS) 서비스 제공. .NET Framework. Internet Information Server 6.0 제공. Windows Media Service 제공.
Windows Server 2003 Datacenter Edition	최대 64GB 메모리 지원. (64bit 지원 제품 최대 512GB 지원) 32-way 대칭형 멀티 프로세서 지원. (64bit 지원 제품 최대 64-way 지원) Active Directory 서비스 제공. 관리용 원격 데스크탑 지원. Terminal Service 제공. Windows NT Load Balancing Service. VPN 서비스 제공. Internet Authentication Service 제공하여 RADIUS 서버로 사용. .NET Framework. Internet Information Server 6.0 제공. Windows Media Service 제공.
Windows Server 2003 Web Edition	최대 2GB 메모리 지원. 2-way 대칭형 멀티 프로세서 지원. Active Directory 멤버 서버 참여. 관리용 원격 데스크탑 지원. Windows NT Load Balancing Service. VPN 서비스 제공. .NET Framework. Internet Information Server 6.0 제공.

Windows Server 2003 제품은 닷넷 서버로 알려져 있을만큼 .NET 지원이 가장 큰 이슈였습니다. 그리고 Windows Server 2003 서비스 팩 1(SP1)을 기반으로 Windows Server 2003 Release 2(R2)를 출시하였습니다. 현재 Windows Server 2003 R2 제품군은 다음과 같습니다.

• Windows Server 2003 R2 Standard Edition
• Windows Server 2003 R2 Enterprise Edition
• Windows Server 2003 R2 Datacenter Edition
• Windows Server 2003 x64 Editions

이상 Windows Server 2003 제품군에 대한 간단한 소개를 마쳤습니다. 다음 장에서는 Windows Server 2003 R2 Enterprise Edition을 이용한 설치 과정을 진행하도록 하겠습니다.

Active Directory가 제공하는 것들

※ 본 내용은 Mastering Windows Server 2003에서 발췌하여 요약한 내용입니다.

보안: 네트워크 자원들의 사용 권한에 대한 기록 유지

네트워크의 첫번째 역할은 파일과 같은 자원들부터 데이터베이스, 공유 프린터, 팩스 서비스 등과 같은 복잡한 자원들을 저장하기 위한 중앙 저장소에 대한 서비스를 제공하는 것입니다.. 두번째 역할은 보안으로 첫번째 역할인 중앙 저장소 서비스를 보다 안전하게 사용할 수 있도록 보장합니다. 사용자가 중앙 저장소의 안전한 사용을 위해 AD는 다음 2가지를 제공합니다.

인증(Authentication)

AD는 사용자 로그온 정보를 사용하여 액세스 가능한 사용자인지를 증명하도록 요구합니다.

권한부여(Authorization)

사용자 증명이 확인되면 ACL(Access Control List)를 통해 자원에 접근 권한을 확인하여 자원에 대한 적법한 작업이 진행되도록 합니다.

사용자와 기타 네트워크 개체들의 디렉터리 유지

Windows NT 4.0과 Windows 2000, Windows XP 그리고 AD가 설치되지 않은 Windows Server 2003은 SAM(Security Accounts Manager)이라는 이름의 단일 파일을 이용하여 사용자들의 로그온 이름, 전체 이름, 암호, 로그온 시간, 계정 만기 일자, 설명, 주 그룹, 프로필 정보 등을 관리합니다. 하지만 AD가 설치된 Windows Server 2003은 도메인 컨트롤러(DC; Domain Controller)라고 부르며 SAM 대신 Active Directory라고 하는 데이터베이스에 사용자 정보를 저장합니다. NTDS.DIT라는 파일에 대부분의 사용자 정보를 저장하는데 NTDS.DIT는 Access Database 기반에서 변경된 데이터베이스로써 텍스트 파일인 SAM보다 좀더 다양한 사용자 정보를 저장합니다.

도메인 컨트롤러의 인증 서비스(Authentication Service)

AD는 Microsoft 기반의 서버가 신뢰할 수 있는 인증을 제공하기 위하여 중앙의 계정 데이터베이스를 제공합니다. 개별 서버에 사용자 정보를 유지하는 것은 관리적인 측면에서 많은 노력과 비용이 들며 도메인을 통해 적은 수의 서버에 사용자 계정과 암호 데이터베이스를 유지하여 관리 비용을 줄일 수 있습니다.

도메인 컨트롤러는 다음과 같은 컴퓨터 입니다.

• NT Server의 어떤 버전을 실행한다. Active Directory의 최종 기능을 사용하기 위해 Windows Server 2003에서 동작하는 Domain Controller(DC)를 사용하기를 원하겠지만 때때로 Windows Server 2003, 2000, NT 4.0 등의 다양한 환경에서 동작할 수 있다.
• 도메인 정보에 대한 데이터베이스를 유지한다.
• 도메인 정보의 일관성을 보장하기 위한 복사본을 유지한다. 네트워크에 존재하는 DC들은 새로운 사용자의 추가와 같은 데이터베이스 변경이 있을 때마다 도메인 내의 모든 DC들의 일관성 유지를 위해 복제(replication)라고 부르는 작업을 진행한다.
• 다른 서버들이 로그온 사용자를 신뢰할 수 있는 서비스를 제공한다.

트러스트(Trust)

도메인내의 워크스테이션들과 서버들은 "도메인의 구성원(meber)"이 되기 위해 도메인에 합류되어야 합니다. 구성원이 아닌 시스템들은 각자의 로컬 SAM 파일을 이용하여 인증을 할 수 있을 뿐입니다. 하지만 도메인의 구성원들은 각자의 로컬 SAM 파일을 이용한 인증을 처리하거나 도메인의 DC에게 질의하여 인증을 처리할 수도 있습니다. 도메인에 참여하는 것은 PC와 DC 상이에 신뢰 관계(Trust Relationship)를 구축합니다. 이러한 신뢰 관계 구축을 위해서는 도메인 컨트롤러와 구성원간의 도메인 레벨의 관리자와 워크스테이션 레벨의 관리자 간에 상호 동의가 있어야 합니다. 워크스테이션을 도메인에 참여하기 위해서는 워크스테이션의 로컬 관리자 계정으로 로그인하여 도메인 관리자 계정을 이용하여야 합니다. 결론적으로 로컬 관리자와 도메인 관리자 간의 인증이 필요합니다.

트러스트는 시스템과 도메인 간의 트러스트 관계 구축뿐만 아니라 도메인과 도메인 사이의 트러스트 관계 구축에도 사용됩니다. Active Directory는 트러스트 관계를 자동화하여 NT 4 이전 버전에서 트러스트를 수동으로 작업했던 것에 비해 한층 편리하고 안정적인 성능을 제공합니다.

다양한 벤더를 위한 인증 서비스

AD는 산업 표준 인터페이스인 LDAP; Lightweight Directory Access Protocol을 채택하여 Oracle이나 Lotus 등 다른 벤더의 제품들도 NT 기반의 보안 기술과 통합할 수 있도록 합니다.

네트워크에 있는 자원 검색

서버 검색 : 클라이어트 / 서버 만남

클라이언트/서버 환경은 오늘날의 네트워크의 주류를 형성하고 있으며 AD는 클라이언트가 보다 손쉽게 원하는 서비스를 제공하는 네트워크 상에 가장 가까이 존재하는 서버를 탐색할 수 있도록 합니다.

이름 풀이와 DNS

AD는 네트워크내의 자원의 이름 풀이를 위해 인터넷 표준인 DNS를 사용합니다.

새로운 유형의 하위 관리자를 생성하기

네트워크가 점점 커짐에 따라 AD를 관리하기 위해 좀더 많은 수의 관리자가 필요해지며 이 관리자들의 저마다의 역할을 부여받아 제한된 범위에서 주어진 관리 역할을 담당하게 됩니다. 참고로 다음 작업들은 신참 관리자들이나 네트워크 보조 직원들에게 맡기기에 충분한 작업들입니다.

암호 재설정

보안상의 이유로 사용자들에게 주기적으로 암호를 바꾸도록 요구할 수 있습니다. 그경우 최근 설정한 암호를 잃어버리는 사용자가 발생하기 마련인데 이러한 단순 작업은 신참 관리자에게 맡기기 적당한 난이도의 작업입니다.

백업 모니터링

길고도 지루한 백업 작업 역시 몇몇 보조 관리 직원들을 두어 백업이 진행되는 동안 백업 매체를 교환하고 라벨을 붙여 정리하는 등의 작업을 맡길 수 있습니다.

위의 작업과 같은 제한된 권한이 필요한 작업의 경우 AD는 보안 옵션의 배열을 변경하여 이러한 작업에 필요한 권한을 특정 사용자에게 부여하는 것이 가능합니다.

권한 위임 : 도메인에 대한 제어권 분산

네트워크의 성장에 따라 지역적인 권한의 분산이 필요하게 됩니다. NT 4.0의 경우 도메인을 이용하여 그룹을 생성하고 도메인간에 트러스트를 구성하여 이러한 문제를 해결하였습니다. 그러나 AD는 OU라고 불리는 조직 단위를 사용하여 이러한 문제를 좀 더 세련되게 처리합니다.

연결성과 복제 문제

AD는 다양한 전송 속도를 제공하는 네트워크 간의 연결을 사이트라는 관점으로 네트워크를 표현하여 보다 유연한 연결성을 제공합니다.

컴퓨터 이름 단순화(이름 체계 통일)

인터넷 표준 이름 찾기 서비스인 DNS를 이용하여 기존에 사용하던 NetBIOS와 WINS서버 등을 대체하였습니다. Widnows 2000 이상의 운영체제로 이뤄진 네트워크에서는 DNS만을 이용하여 이름 체계를 통일할 수 있습니다. WINS 서버는 Windows 2000 이전의 운영체제들으리 위해 사용됩니다.

중앙 집중적인 지원 도구 활용

NT 4.0에서 제공하던 '시스템 정책'은 AD에서는 '그룹 정책'으로 대체되었습니다.

AD는 Zero Administration 정보를 저장한다

NT 4.0이 제공하던 불편한 '시스템 정책'은 관리자의 개입을 필요로 하였지만 AD에서 사용하는 '그룹 정책'은 관리자의 개입없이 자동화하여 관리자의 필요를 최소화하고 있습니다. '그룹 정책'을 사용하여 '원격 설치 서비스(RIS)'와 같은 소프트웨어 자동 설치 기능을 제공하여 관리자의 개입을 최소화 합니다.

AD는 디렉터리 연동 네트워킹을 제공한다

TCP/IP에서 QoS(Quality of Service)를 이용하여 인트라넷에서 네트워크의 대역폭을 통제할 수 있는 방법을 제공합니다. AD내에 특정 사용자나 특정 응용 프로그램을 위해 특정 요일의 특정 시간에 대역폭을 많이 제공받을 수 있도록 설정한 정보를 저장하여 대역폭 통제를 가능하게 합니다.

이상 Active Directory를 이용하여 얻을 수 있는 잇점에 대한 이슈를 정리해보았습니다.

Active Directory 감사

로그온 이벤트

계정 로그온 이벤트 감사와 로그온 이벤트 감사는 사용자의 로그온을 추적한다. 가령 '정샘'이라는 사용자가 \\member1이라는 멤버 서버로 액세스 하려고 하면 \\member1은 이 사용자를 도메인 컨트롤러 \\msdc1으로부터 인증하려는 시도를 한다.

이때 계정 로그온 이벤트 감사는 기록을 위해 \\msdc1에게 '정샘'이라는 사용자의 인증 요청이 있었고 이의 인증을 처리하였다는 로그 기록을 \\msdc1에 남긴다.

로그온 이벤트 감사는 \\member1에게 '정샘'이라는 사용자가 이 시스템의 특정 자원을 액세스 할 수 있는지를 확인한다. \\member1에 로그 기록이 남는다.

개체 액세스

시스템 내의 파일이나 파일 그룹에 대해 읽고 쓰고 삭제하고 생성하는 사용자를 추적할 수 있다. 추적을 위해 첫째, 해당 개체를 가지는 컴퓨터에서 개체 액세스 감사 설정을 활성시킨다. 둘째, 컴퓨터에 특정 개체를 감사하도록 설정한다.

계정 관리

사용자 및 그룹 계정에 대한 변경 사항으로 사용자 생성, 그룹 생성, 그룹 구성원 변경, 암호 변경 등 작업을 기록한다.

정책 변경

감사자에 대한 감사로써 감사 설정의 변경이나 적책에 대한 변경 사항을 기록한다.

권한 사용

사용자에 의해 권한이 행사될 때마다 기록한다. 로그온, 시스템 종료, 시스템 시간 변경, 소유권 취득 등 모든 기록을 남기므로 로그 공간이 빠른 속도록 커진다.

시스템 이벤트

컴퓨터의 재부팅, 종료와 시스템 보안이나 보안 로그에 영향을 미치는 작업이 발생할 경우 로그를 기록한다.

디렉터리 서비스 액세스

Active Directory 사용 권한의 영향을 받는 모든 경우에 대한 로그를 기록한다.

프로세스 추적

개발자가 주로 이용할 수 있는 사항으로 관리자에게 비교적 유용한 정보를 제공하지 못한다.

Group Policy (그룹 정책)

그룹 정책 개요

그룹 정책의 목적은 관리자가 사용자, 그룹 또는 컴퓨터들을 위한 특정한 설정을 만들어 해당 사용자, 그룹 또는 컴퓨터에게 정책이 강제로 적용되게 한다. 관리자는 다른 정책을 설정할 때까지 이 정책을 통해 네트워크 상에서 적용시킴으로써 일괄적인 네트워크 환경을 꾸미게 도와준다. 그룹 정책은 시스템 프로필과는 다른 설정이며 시스템 프로필은 데스크탑 설정을 지원하기 위해 Windows NT 4.0에서 사용되었다. 시스템 정책은 Windows 2000 이전 버전을 위해 존재한다.

그룹 정책은 사용자가 원하는 작업 환경을 맞춤으로 제공함으로써 최종 사용자가 컴퓨터를 좀더 효율적으로 사용할 수 있도록 돕는다. 예를 들어 특별한 응용 프로그램의 바로 가기 아이콘을 데스크탑에 추가하거나 내 문서 폴더를 네트워크 드라이브로 대체하여 사용하여 네트워크상의 어디에서 로그인하던지 항상 자신만의 저장 공간을 사용할 수 있도록 해준다.

그룹 정책은 오직 Windows 2000 이상을 지원하며 Windows 95/98/NT 등 이전 버전에서는 사용할 수 없다. 이전 버전을 위해서는 시스템 정책을 사용하여야 한다.

시스템 정책은 각 도메인 컨트롤러의 NETLOGON 공유 폴더에 배치되어 NETLOGON.POL(NT4, 2000, XP, Server 2003)이나 CONFIG.POL(9x, Me)이라는 하나의 파일에 입력된다. Windows 9x/Me/NT4, Windows 2000, Windows XP, Windows Server 2003 시스템이 부팅되어 NT4나 AD 도메인에 로그온을 하면 CONFIG.POL이나 NETLOGON.POL 파일을 다운 받아 POL 파일에 입력된 모든 제한 사항에 따라, 시작 프로그램 메뉴를 수정하고, 데스크탑을 변경하는 등의 작업을 한다.

그룹 정책은 AD 도메인에만 존재하며, 데스크탑으로 소프트웨어의 자동 설치를 지원한다. 시스템 정책과 달리 제거되었을 때 변경을 원상 복귀 시킨다. 시스템 정책은 로그온시에만 적용되지만 그룹 정책은 컴퓨터를 켰을 때와 로그온 할 때, 그리고 랜덤 시간으로 적용된다. 정책 적용 대상자와 비대상자에 대한 정확한 제어가 필요하다.

그룹 정책 객체

그룹 정책의 기본 단위는 그룹 정책 객체(GPO; Group Policy Object)이며, 사이트, 도메인, OU, 사이트에 적용한다. 덧붙여 GPO 설정은 상속되어 부모 객체로부터 자식 객체로 전달된다. 사이트, 도메인, OU에 적용된 그룹 정책 객체를 Global GPO라고 하며, 사용자, 그룹, 컴퓨터 멤버쉽에 적용된다.

정책 필터링과 그룹 정책

그룹 정책은 사용 권한을 이용하여 제어를 한다. 그래서 그룹에도 이런 사용 권한을 지정할 수 있다. 한 정책을 특정 그룹에만 적용하기를 원한다면 해당 정책을 도메인 전체에 적용한뒤 'Domain Users' 그룹이 가지는 '그룹 정책 적용 사용 권한'을 제거하고 그룹 정책의 적용을 원하는 그룹명을 지정한다.

그룹 정책은 제거되면 설정을 기존 상태로 되돌린다.

그룹 정책으로 할 수 있는 일

 배포 소프트웨어를 설치하기 위해 필요한 파일을 모아 패키지를 만들어서 이 패키지를 한 서버에 저장하였다가 그룹 정책을 이용하여 사용자의 데스크탑에게 해당 패키지의 위치를 알려준다. 사용자가 처음으로 이 어플리케이션을 실행하려고 할 때 자동으로 설치가 이뤄진다.

원격 시스템에 대한 사용자 권한을 설정/변경할 수 있다.

사용자의 데스크탑을 제어하여 사용자가 제한된 응용 프로그램만을 실행할 수 있도록 권한을 제공한다.

디스크 할당 등 시스템 설정을 원격에서 제어할 수 있다.

로그온, 로그오프, 시작, 종료 스크립트를 지원하여 GPO를 통해 어떤 스크립트를 실행할지 제어한다.

프로그램 기능 제한 - 인터넷 익스플로어, 윈도우 탐색기 등 기능을 제한한다.

사용자의 데스크탑을 제어하여 사용자가 임의로 프린터를 추가하거나, 로그 아웃 등을 할 수 없도록 한다.

SID 재설정하기

VMware와 같은 가상 머신을 이용하여 운영체제 실습을 하거나 Ghost로 복제된 시스템을 배포하여 Active Directory로 구성할 경우 SID 중복으로 인해 에러가 발생하는 경우가 많다. SID(Security IDentifier)는 보안식별자라고 하며 사용자, 그룹, 컴퓨터 등을 유일하게 만드는 식별번호이다. 해당 객체는 삭제후 동일한 이름으로 다시 만들더라도 다른 SID를 가짐으로써 유일성을 보장받는다. 도메인내에 중복된 SID는 원칙적으로 존재하여서는 안되는데, VMware나 Ghost 등에 의해 복제된 시스템은 이 SID의 중복으로 인해 문제가 발생하는 것이다.

이경우 Sysrep와 같은 유틸리티를 이용하여 배포하는 방법도 있으나 여기에 소개하는 NewID.exe를 사용하면 간단히 SID를 재할당과 호스트 이름 변경을 한꺼번에 할 수 있다.

다음 경로에서 NewID 압축 파일을 내려받아 압축을 해제한다.

내려받기 : http://technet.microsoft.com/en-us/sysinternals/bb897418.aspx
첨부파일 :

1. 압축을 풀고 NewID.exe 파일을 실행한다.

2. SID 발급 방법을 선택한다.
(1) 랜덤하게 새로 발급
(2) 다른 컴퓨터에서 SID 복사해오기
(3) 직접 입력

3. 필요에 따라 컴퓨터 이름을 변경한다.
4. 변경전 SID와 재발급된 SID를 표시하고 시스템에 반영할지 선택한다.
5. 시스템 반영후 리부팅을 요구하며, 변경된 SID를 사용하여 부팅하게 된다.

Active Directory 설치 마법사를 이용한 설치

앞서 사용자 서버 관리 도구를 이용한 설치를 살펴보았습니다. 이번에는 액티브 디렉터리 설치 마법사를 이용한 설치를 살펴보겠습니다. 대부분의 참고서적은 액티브 디렉터리 설치 마법사를 이용하여 액티브 디렉터리를 설치하는 예를 보이고 있으며 실제 설치를 진행해보면 사용자 서버 관리 도구에서 역할 추가를 하는 것보다 깔끔하고 상세한 설정을 할 수 있는 여지가 더 많습니다.
설치전 다시 한번 짚고 넘어가야겠지만 액티브 디렉터리는 DNS 서비스를 직접적으로 이용하므로 액티브 디렉터리가 설치되는 도메인 컨트롤러(윈도우 서버 2003 서버)는 고정 IP를 사용해야하며 TCP/IP 설정에서 사용 가능한 DNS 서버의 IP주소가 등록되어 있어야 합니다. 일단 편의상 TCP/IP 설정의 DNS 서버를 현재 액티브 디렉터리를 설치할 도메인 컨트롤러(로컬 컴퓨터)의 IP 주소로 등록시켜 놓겠습니다.
액티브 디렉터리 설치 최종 단계에서 DNS 서버에서 현재 사용할 도메인 이름(DC name)을 확인하게 되는데 DNS에 등록된 이름이 아닐 경우 에러를 발생시킵니다.(에러는 무시해도 됩니다.)
그럼 실행 명령행에 dcpromo.exe를 입력하여 Active Directory 설치 마법사를 실행합니다.

도메인 컨트롤러의 종류를 선택하는 대화상자가 표시됩니다. 액티브 디렉터리를 처음 설치하는 것이므로 '새 도메인의 도메인 컨트롤러'를 선택하고 다음 단계로 설치를 진행합니다. 추후 도메인 구성시 '기존 도메인의 추가 도메인 컨트롤러'를 선택하여 하위 도메인이나 제2의 도메인 컨트롤러로써 설치를 할 수 있습니다.

최초 설치시 설정되는 도메인은 포리스트의 루트 트리이면서 루트 도메인으로 설치됩니다. '새 도메인의 도메인 컨트롤러'를 선택하여 다음 단계로 진행합니다.

도메인 이름은 DNS에 등록된 이름을 쓰는 것이 원칙이나 DNS에 등록된 도메인 이름이 없거나 사내에서만 사용할 이름의 경우 DNS 사용가능한 이름으로 임의의 이름을 지정하여 사용합니다. 여기서는 'jeongsam.net'이라는 이름을 사용하여 설치하겠습니다. 그리고 윈도우 2000 이전 버전의 윈도우 운영체제들(윈도우 95/98, NT 등)과 Mac OS와 리눅스 등 윈도우와 공유할 수 있는 운영체제들을 위해 NetBIOS 이름을 추가로 지정해줍니다. 참고로 NetBIOS 이름은 길이가 14자이하여야 합니다. 대부분의 경우 기본값을 그대로 이용하면 됩니다.

액티브 디렉터리는 사용자 및 그룹 계정 정보, 컴퓨터, 공유 폴더, 프린터외에 다양한 정보를 액티브 디렉터리 데이버베이스와 로그 파일에 저장합니다. 이 두 파일은 FAT 형식의 파일 시스템에도 저장이 가능합니다. 성능 향상을 위해 데이터베이스와 로그파일의 위치를 별개의 물리적 디스크로 분리시키는 것도 고려할 방법입니다.

다음 단계는 SYSVOL의 설치 위치를 지정하는 단계로 반드시 NTFS 상에 설치되어야 합니다. SYSVOL은 도메인 컨트롤러간의 복제에 사용되는 디렉터리입니다.

액티브 디렉터리 도메인 이름이 DNS에 사용중이 이름이 아닌 경우 이를 경고로 표시해주고 관리자에게 관련 작업을 진행할 수 있도록 합니다. DNS 서비스를 설치하도록 두번째 항목을 선택합니다. 첫 번째 도메인 컨트롤러의 설치라면 대부분 만나는 문제이므로 무시하고 다음 단계로 설치를 계속 진행합니다.

액티브 디렉터리는 이전 버전인 윈도우 NT와의 호환을 위한 Mixed mode와 윈도우 2000 이상으로 구성된 네트워크를 위한 Native mode를 지원합니다. 여기서는 Native mode로 설치를 진행합니다. 이전 버전의 윈도우가 없을 경우 최대 성능을 얻기위해 Native mode를 추천합니다.

도메인 컨트롤러의 장애로 액티브 디렉터리의 데이터베이스에 오류가 발생하였을 경우 복원을 위해 Administrator 사용자로 로그인하여야 하는데 액티브 디렉터리에 문제가 생긴 상태이므로 로그인을 할 수 없게 됩니다. 이러한 경우 복원을 위한 Administrator의 암호를 SAM으로부터 읽어 올 수 있도록 암호를 저장합니다. 액티브 디렉터리가 설치되지 않은 단독 서버(stand-alone server)는 SAM에 로컬 계정 정보를 저장하지만 액티브 디렉터리가 설치되어 도메인 컨트롤러로 동작하게 되면 더이상 로컬 계정을 사용하지 않고 도메인 계정을 사용하게 되는데 이때 도메인 계정들은 액티브 디렉터리의 데이터베이스에 저장되어 SAM은 사용되지 않습니다. 그러한 이유로 이 단계에서 저장된 암호는 SAM에 저장되고 평상시에는 사용되지 않습니다.

이제 최종적으로 설치 정보를 요약하여 확인하게 하고 설치가 진행됩니다.

사용자 서버 관리 도구에 도메인 컨트롤러와 DNS 서버 역할이 추가되어 있는 것을 확인할 수 있습니다.

Active Directory 설치하기

첫 번째 도메인 설치하기

'사용자 서버 관리' 관리 도구를 시작하여 '역할 추가/제거' 링크를 클릭하여 '서버 구성 마법사'를 시작한다.

Windows 2000 Server와 Windows Server 2003은 OS를 설치하는 것과 도메인 컨트롤러를 설치하는 과정이 분리되어 있어서 운영체제를 설치하고 난 뒤 Active Directory 설치에 필요한 설정을 마무리하고 추가로 설치를 할 수 있다.

'첫 번째 서버의 일반 구성'을 선택하여 설치를 진행한다. Active Directory는 DNS를 필수적으로 사용하고 있으므로 설치 중에 DNS가 설치되어 있지 않을 경우 DNS도 설치가 된다. 또한 DHCP가 함께 설치된다.

Active Directory는 도메인의 이름 공간을 인터넷 DNS 이름 공간(namespace)과 일치시킨다. DNS 이름을 가지고 있을 경우 그 이름을 그대로 사용한다. 여기서는 'jeongsam.local'이라는 가상의 도메인 이름을 사용하여 진행하겠다.

Widnows 95/98과 NT들과 같은 이전 윈도우 운영체제들과의 호환을 위해 NetBIOS 이름을 함께 등록한다. NetBIOS 이름의 경우 14자 길이 제한이 있으므로 Active Directory 도메인 이름이 길 경우 NetBIOS 이름을 함께 등록하여 대신 사용하게 할 수 있다.

DNS가 설치되며 DNS의 설정 상태를 확인하여 적절한 조치를 취하도록 권고해준다.

추가적으로 DHCP 서비스 설치가 진행된다.

Windows Server 2003이 재시작 된다.

이상으로 사용자 서버 관리 도구를 이용한 Active Directory 설치에 대해서 살펴보았다. 이밖에 Active Directory 설치 마법사(DCPROMO.EXE)를 이용한 설치 방법이 있다.

Active Directory (AD) 소개

1. AD의 역할, 기능, 역사

액티브 디렉터리(AD; Active Directory)는 업계 표준인 X.500과 LDAP(Lightweight Directory Access Protocol)를 이용하여 디렉터리안의 모든 객체를 손쉽게 검색하고 중앙집중적으로 관리할 수 있게 한다.

▷ 객체(Object) 사용자, 그룹, 컴퓨터, 서버, 도메인, 사이트 등을 의미하며 이러한 객체들을 AD내에서 검색하기 위해 객체의 이름에 기반한다.

▷ 스키마(Schema) 모든 객체 유형과 그 속성들의 정의. 객체 클래스와 속성의 2가지 형태 정의가 저장된다. 스키마는 사용자의 어플리케이션으로 검색될 수 있으며 사용자 정의 객체 클래스와 속성을 사용하도록 허락되도록 변경될 수 있다. 권한 없이 변경되는 것을 막기위해 임의 접근 제어 리스트(DACL; Discretionary Access Control List)를 사용하여 각 객체의 보안을 유지한다. 이러한 DACL은 오직 권한이 있는 사용자만이 스키마에 접근할 수 있다.

▷ 디렉터리 서비스 프로토콜 액티브 디렉터리는 산업 표준인 LDAP를 이용하여 디렉터리 내에서 데이터와 같은 필요한 서비스를 요청하고 데이터를 업데이트 하기 위해 사용한다.

2. AD의 구성

1) 논리적 구성

▷ 도메인 (Domain) 다른 네트워크를 구별짓는 보안 경계(Security boundary)로, 각 도메인은 네트워크를 관리할 관리자 계정들을 가지고 있고, 그 관리자 계정들은 도메인 전역 또는 정해진 도메인 관리를 위한 전체(full control) 권한을 할당 받을 수 있다. 도메인은 자신의 사용자들과 그룹들을 가지고 있으며 이러한 사용자들은 필요시 다른 도메인에서 권한을 부여 받을 수 있다. 도메인은 복제 목적으로도 사용된다. 도메인 안에 있는 도메인 컨트롤러(DC; Domain Controller)는 서로 복제하여 도메인 정보를 공유한다.

▷ 조직 단위 (Organization Unit) 디렉토리 내에서 객체를 구성하기 위해 사용되는 컨테이너 객체(Container Object)이다. OU들은 보통 사용자 객체와 그룹 객체를 포함하고 그밖에 컴퓨터와 다른 OU들을 포함할 수 있다. 권한의 지정은 OU 단계에서 할당되며 특정 사용자들에게 관리자적 권한을 부여하기 위해 할당된다.

▷ 트리 (Tree) 도메인은 트리 구조로 병합되며 첫번째 설치된 도메인을 루트 도메인(Root domain)이라고 한다. 트리내의 모든 도메인은 공통 스키마와 공통 글로벌 카달로그를 공유한다. 트리에서 계층 구조를 구성하는 도메인들은 인터넷 Domain 이름과 같이 사용된다. 예를 들어 "myad.local"이라고 루트 도메인을 만들고 하위에 두번째로 만들어진 "myou"라는 도메인의 전체 이름은 "myou.myad.local"이 된다.

▷ 포리스트 (Forest) 트리의 집합이며 포리스트안의 트리들은 인접 이름 공간(contiguous namespace)를 공유할 필요가 없다. 즉 트리와 같이 계층 구조의 이름을 가질 필요가 없으며 각자 루트 도메인을 유지한채 공통적인 스키마와 글로벌 카달로그를 공유한다. 이때 두 트리는 양방향 트러스트(trust) 관계를 통해 서로 합쳐진다.

▷ 글로벌 카달로그 (GC; Global Catalog) 포리스트 안에 있는 공통적으로 많이 검색되어지는 속성으로 정의된 것들의 부분을 가지고 있다. 글로벌 카달로그는 사용자가 접근 권한을 이용해 포리스트내 자원의 접근을 제어하여 원격지 도메인에 있는 도메인 컨트롤러에 접근하지 못하도록 하여 네트워크 트래픽을 감소시킬 수 있다. 그리고 윈도우 2003 네트워크가 가려지는 논리적인 구조를 만들 수 있도록 한다.

2) 물리적 구성

▷ 도메인 컨트롤러 (DC; Domain Controller) 액티브 디렉토리(AD; Active Directory) 데이터베이스의 복사본을 저장하는 윈도우 2003 네트워크 상에 있는 서버. DC는 데이터에 변화가 있을시 도메인 내의 다른 도메인에게 변경 사항을 복제해주어야 한다. 소규모 네트워크에서는 2개의 DC만 있으면 되고 결함허용 목적으로는 2대이상이 권장된다. 그리고 DC는 사용자가 네트워크에 로그인할 때 인증을 담당한다. 인증을 통해 그룹 멤버쉽(group membership)과 각 사용자에 대한 권한을 가지고 있는 보안 토큰(security token)을 할당한다.

▷ 사이트 (Site) 빠른 속도(보통 10Mbps 이상)의 링크로 연결된 하나 또는 그 이상의 IP 서브넷의 그룹으로 정의 한다. 사이트는 AD 복제 트래픽과 사용자 인증을 최적화하기 위해 네트워크 상에서 사용된다.

3. AD를 이용한 Windows 2003 Server의 관리

▷ 중앙 집중적인 관리 (Centralized management) AD는 중앙집중적으로 데이터를 저장하여 관리자로 하여금 객체 관리를 쉽게 한다. AD는 OU를 통해 객체를 그룹화하고 다중 단계(multiple level)와 상속(inheritance)을 가능하게 한다. 그룹 정책을 통해 특정 도메인 계층에 적용할 수 있으며 하위에 있는 개체들은 그 설정 내용을 상속받아 영향력이 미치게 된다.

▷ 그룹 정책 (Group Policy) 정책의 생성과 어플리케이션을 통해 사용자 환경을 중앙집중적으로 관리하게 한다. 그룹 정책은 AD내에 있는 사이트들과 도메인, 그리고 OU를 포함하는 컨테이너로 동작된다. 그룹 정책은 사용자의 로그온을 통해 적용되며 사용자가 어떤 컴퓨터에 로그인하더라도 네트워크 주변의 사용자를 따라다닌다. 결과적으로 사용자는 항상 같은 환경에서 익숙하게 작업할 수 있게 된다.

▷ 제어 위임 (Delegation of Control) 네트워크 관리자가 업무 분담을 위해 그룹의 멤버 사용자들에게 OU 단계에서 권한을 할당하여 스스로 관리할 수 있도록 한다.

참고 : http://technet.microsoft.com/ko-kr/library/cc753285.aspx

 

1. 사용자 계정을 생성한다.

① 'hosting' 그룹을 만든다.

② 'jeongsam', 'jeong' 등 사용자 계정을 생성한다.

[그림1] 새 사용자 만들기

 

'암호 변경할 수 없음'과 '암호 사용 기간 제한 없음'을 지정한다.

 

[그림2] 사용자를 만든다.

 

 

2. 전체 사용자 폴더를 저장할 사용자 홈 디렉토리를 만들고 적절히 권한을 설정한다.

[그림3] 폴더 구조 및 권한 설정

 

사용자 홈 디렉토리에 예약된 이름인 'LocalUser'(대소문자 구분 없음)를 만들고 하위에 개별 사용자 이름과 동일하게 폴더를 만든다. 개별 사용자만 접속할 수 있도록 권한을 설정한다.

 

3. 인터넷 정보 서비스 관리도구에서 FTP 사이트를 만든다.

[그림4] 사용자 격리 지정

 

 

[그림5] 사용자 홈 디렉터리 지정

 

 

[그림6] FTP 사이트 액세스 권한 지정

 

파일 시스템 권한을 적절하게 지정하고 FTP 권한은 모든 권한을 지정한다. 결론적으로 파일 시스템 권한이 유효하다.

 

[그림7] FTP 사이트 완성된 모습

 

 

[그림8] 사용자 계정으로 FTP 사이트에 접속한 결과

 

사용자 격리 기능에 의해 현재 사용자의 홈 디렉터리가 '/'로 표시되고 더이상 상위 디렉터리로의 접근이 불가능해진다.

 

이 글은 스프링노트에서 작성되었습니다.