AD구축

코코볼·2023년 5월 31일
0

네트워크 보안

목록 보기
21/35

E-Mail 서버

MS Mail eXchange를 설치해서 Windows 도메인에서 메일서버로 활용할 수 있다. MS eXchanger 서버의 IOS를 구할 수 없으면 hMailServer 프로그램을 무료로 다운받아서 사용해볼 수도 있다.
파일을 다운받아서 디폴트로 설치한 뒤, 패스워드로 rootoor을 입력한다. 이제 Connect 창이 뜨면 rootoor을 입력해서 서버와 연결한다.

MS SQL 데이터베이스 서버

Windows MS SQL 서버를 설치해서 사용해 보자. Windows Server 2008에 SP2가 설치되어져 있어야 하는데 최초에 Windows SErver 2008 R2를 사용하면 무리없이 설치된다.
PowerShell과 .NET 4.0/4.5 이상이 설치되여 있어야 한다.

Active Directory 구축

Windows 로컬 서버 머신을 도메인 컨트롤러 머신으로 변경해서 서울 본사(kahn.edu)와 부산 지사(pusan.kahn.edu) 간의 연결을 도메인 내에서 수행해서 도메인별로 산재한 사용자, 데이터, 프린터 등 리소스를 어느 도메인에서라도 사용하게 해본다.

1) 용어

Windows Domain Controller Server는 Active Directory(AD)를 사용해서 kahn.edu 도메인 내에 산재한 모든 자원(사용자, 데이터, 호스트, 프린터, ...)들을 일목요연하게 관리할 수 있는 구조이다. 여기에 관련된 많은 용어들이 있는데 이들 용어부터 정리해보자.
◼ Directory service : 분산된 네트워크 환경에서 자원에 대한 정보를 중앙 저장소에 통합해서 사용자가 물리적인 자원의 위치와 무관하게 편리하게 사용하게 해주는 자료구조의 일종으로 여기서 자원은 사용자, 프린터, 호스트 컴퓨터, 그룹 등이다.
◼ AD(Active Directory) : 디렉터리 서비스를 Windows Server에 구축해 놓은 형태를 말한다. 사용자, 컴퓨터 및 기타 장치에 대한 정보를 네트워크에 저장해두고 관리자가 이 정보를 안전하게 관리하고 사용자들이 편리하게 리소스를 공유하고 공동으로 작업하게 도와준다. 네트워크에서 개체에 대한 정보를 저장하고 사용자 및 네트워크 관리자가 이 정보를 사용할 수 있게 한다. 도메인 컨트롤러를 사용하여 단일 도메인 로그온 프로세스를 통해서 네트워크에 허용된 모든 리소스에 대한 액세스 권한을 네트워크에서 사용자에게 부여한다.
◼ Domain : 원래 사전적 의미가 '영역'이기 때문에 하나의 이름으로 묶여 있는 네트워크 관리를 위한 관리 영역이다. 로그인, 인증, 검색 등을 통해서 도메인 내의 자원을 사용할 수 있다. (논리적 범주)
◼ Tree/Forest : 도메인을 상징화 한 것이 트리이고, 트리가 여러 개 모인 것이 포리스트이다. 포리스트를 통해서 부모-자식 도메인 관계를 이해할 수 있다. 어느 도메인이 단일 트리로 되어있을 수도 있지만 도메인끼리 연결되거나 지리적으로 떨어져 있는(사이트) 두 도메인을 묶으면 포리스트가 된다. 단일 도메인은 '트리=포리스트'가 된다.
=>크기는 ‘도메인 =>트리 =>포리스트’의 관계이고 이들 간은 단방향/양방향 트러스트 관계로 맺어져 있다. kahn.edu 트리와 abc.com 트리가 연합되면 하나의 포리스트가 된다.
◼ Site : 도메인이 논리적인 범주라면 사이트는 물리적인 범주이다. 지리적인 개념이 들어 있다. 서울에 kahn.edu, 부산에 pusan.kahn.edu 도메인이 있다면 이들은 각각 하나의 트리에 (묶이면 포리스트) 두 개의 사이트가 된다.
◼ Trust : 도메인과 트러스트 사이에는 신뢰 관계를 맺어야 자원이 이동될 수 있다. 양방향 (전이) 트러스트가 일반적이고 기본 설정이지만 보안이나 특정 목적에 따라서 단방향 (전이) 트러스트를 맺을 수도 있다.
◼ OU(Organizational Unit) : 한 도메인 안에서 자원을 세부적으로 나눈 단위로써 예를 들어서 하나의 kahn.edu 도메인 아래의 관리부, 영업부, 경리부 등 각각이 OU이다. 또 학교에서 교직원용 PC와 학생용 PC도 각각 OU이고, 서울 본사 프린터들과 부산 지사의 프린터들도 각각 OU가 된다. 자원을 분할할 수 있는 최소 단위가 OU이다.
◼ DC(Domain Controller) - P(Primary)DC/B(Backup)DC/Ro(Read only)DC가 있는데 DC는 관리자가 수시로 점검하는 머신으로써 해당 트리나 포리스트에서 보통 처음 생성되는 서버가 PDC가 된다. 대부분 DC는 사용자 계정을 가지고 있으면서 로그인이나 데이터 혹은 자원을 관리하는데 사용된다. 주된 DC를 PDC라고 하고, PDC에 문제가 있을 때 이를 대신하는 BDC가 있다. RoDC는 새로운 데이터나 사용자의 추가/변경 등 작업이 불가능하고 관리자가 없어도 되는데 이웃한 도메인의 관리자가 RoDC를 대신 관리해주는 DC이다. 이렇게 RoDC라도 만들어 두면 해당 사이트에서의 자원 관리가 매우 빨라진다.
=>PDC/BDC는 주로 '로그인(사용자) 인증'이나 도메인에 산재한 '자원을 관리'하는데 사용되고, DB 서버, Web 서버 등을 여기서 실행하지 않는다.
◼ GC(Global Catalog) : AD 트러스트 내의 모든 개체(리소스들)에 대한 정보를 수집해서 저장하는 통합 저장소로써 사용자명, 전체 이름, 로그인 아이디와 비밀번호 등이 여기에 저장된다. GC가 있는 서버를 GC 서버로 부르는데 주로 AD를 구성할 때 맨 처음 설치되는 (P)DC가 GC 서버가 된다.
=>도메인 내에서 맨 처음에 설치되는 DC가 PDC와 GC Server가 된다.

** 실습을 위해서

win_ser1을 kahn.edu의 PDC/GC로 만들고 <=Win7을 이 서울 kahn.edu의 워크스테이션으로 가입
win_ser2를 pusan.kahn.edu의 DC로 만든다. <=Win10을 이 부산 pusan.kahn.edu의 워크스테이션으로 가입
win_ser3을 pusan.kahn.edu의 통제를 받는 RoDC로 만들 수 있다.

로컬 서버를 도메인 서버로 만들려면 시작>실행>dcpromo.exe를 실행하는데 한 번만 실행이 가능하고
일단 도메인 서버가 되면 다시 일반 로컬 서버로 돌아갈 수 없으므로(* Norton Partition Magic 등 third party program/tool은 가능) 신중히 진행해야 한다.
PDC를 설치할 때 사전에 LVM, RAID 등으로 HDD를 묶어서 설치하게 하고
필요하면 NAS나 별도의 저장공간에 환경설정 파일을 저장해 두어야 한다.

설정파일 복원에 사용되는 Administrator 계정의 시스템 관리자 Administrator 계정과 이름만 같고 실제는 다른 계정이다.
마치 Linux 호스트 머신의 root 사용자가 이 호스트에서 실행되는 MySQL의 관리자 root 계정과 이름만 같고 실제 다른 계정인 것과 마찬가지이다. <=해킹에서 보면 외부로 노출되는 MySQL을 통해서 root 권한을 얻었다고 해서 외부 호스트 Linux의 root 권한인 것은 아니다. 일반 사용자를 알아낸 뒤 '권한상승'을 통해서 데이터베이스를 벗어나서 root 권한을 확득해야 한다.

AD가 설치되면 로그인 창이 달라지는데
KAHN\Administrator식으로 보인다. KAHN.EDU 도메인의 Administrator 사용자라는 의미로써
리거시 한 머신에서 사용되는 'NetBIOS Login 형식'이다. 일반적인 Windows 환경의 네트워크에서 사용되는 로그온 방식이다. 그리고 KAHN\Administrator가
Administrator@kahn.edu와 같은 의미로써 최신 머신에서 사용되는 'UPN(User Principal Name) Login 형식'이라고 부른다.
=>도메인에 로그온할 때 먼저 NetBIOS 형식으로 접속해보고, 혹시 오류가 나면 UPN 형식으로 접속하면 된다.

이미 도메인에 가입된 워크스테이션 Win7/Win10의 로그온 창에서
∎ 도메인으로 로그인한다면 좌측하단의 ‘기타 사용자’로 가서 'kahn\seoul1'(OR 'seoul1@kahn.edu')로 해주고 seoul1 패스 워드를 주면 로그인 된다. seoul1 사용자가 로컬에 없기 때문에 도메인으로 로그인된 것이다!
∎ 로컬로 로그인한다면 'win10\paul'식으로 들어가야 한다. seoul1은 로컬 사용자가 아니기 때문에 로컬로는 들어갈 수 없 다.
=>도메인에 가입된 워크스테이션에서 로컬로 로그인한다면 로컬에 해당 사용자 계정이 있어야 하고,
도메인으로 로그인한다면 로컬에 계정이 없어도 아무 머신에서나 도메인에 있는 계정으로 로그인할 수 있다. 이렇게 되면 해당 워크스테이션은 일종의 단말기(terminal)에 불과하다!!!

로컬 서버에서 생성해둔 사용자들은 로컬 서버가 도메인 서버가 되면 도메인 사용자로 자동 올라가게 된다.

0개의 댓글