13-3. Active Directory 설치 Windows Networking2008. 11. 22. 08:55
Windows Server 2003에서는 NT4.0과 비교하여 도메인의 구성 측면에서 많은 변화를 보인다. Active Directory의 설치 역시 그러하다. NT Server 4.0을 셋업할 때 PDC, BDC, 독립실행형 서버등으로 역할을 미리 결정해야 했던 것과는 달리 Windows Server 2003에서는 OS의 설치와 도메인컨트롤러서비스의 설치가 분리되어 있다. 그렇기 때문에 모든 Windows Server 2003은 기본적으로 독립실행형 서버이고 나중에 Active Directory를 설치함으로써 도메인 컨트롤러로 동작하게 된다. 반대로 도메인 컨트롤러에서 Active Directory를 제거하면 언제든지 그 서버는 일반서버로 동작을 하게 된다.
Windows Server 2003은 Windows 2000 Server와 마찬가지로 이것을 가능하게 만들어주는 유틸리티인 "dcpromo"를 제공한다. dcpromo는 Domain controller promotion을 의미한다. 셋업을 시작하기 전에 먼저 고려해야 할 사항이 있다. 도메인이름과 DNS서버의 위치를 결정해야 한다. 도메인이름을 결정하는 일과, DNS는 아주 밀접한 관계가 있지만 이러한 사항들은 14장을 통해서 살펴보도록 하자. 지금부터 도메인을 구축해 보고자 한다. TCP/IP설정을 살펴서 DNS서버의 IP Address가 현재 셋업을 하는 컴퓨터의 IP Address로 되어 있도록 확인한다.
먼저 시작à실행창에 "dcpromo "를 입력하고 실행하면 Active Directory 설치마법사가 실행된다.
<그림13-15. Active Directory설치 마법사>
마법사를 실행하면 몇 가지 옵션을 결정하고 입력해 주어야 하는데 복수도메인 환경을 셋팅하기 위해서는 잘 이해해야 할 옵션이다. 이것을 명확히 이해하기 위해서는 먼저 Active Directory의 논리적인 구조에 대해서 잘 이해를 하고 있어야 한다. 아래의 <그림13-16>에서는 dcpromo.exe를 실행하여 Active Directory설치를 하는 동안에 선택해야 하는 옵션을 <그림13-6>의 도메인 구조와 연계하여 정리했다.
<그림13-16. Active Directory설치시 옵션 선택>
회사에서 도메인환경을 구축하고자 결정하고 첫 번째 도메인컨트롤러를 셋업하고 있다면 기본설정으로만 계속 넘어가면 그만이다. 새도메인의 도메인컨트롤러이고, 새로운 포리스트를 만드는 것이기 때문이다. 포리스트 루트 도메인의 첫 번째 도메인컨트롤러가 셋업되면 트리와 포리스트까지 함께 만들어 진다는 것을 생각하자. 이 점을 염두에 두면 추가로 도메인을 확장하는데 있어서 도메인 컨트롤러를 설치하는 것이 쉽다.
<그림13-17. Active Directory설치마법사-운영 체제 호환성 정보>
Windows Server 2003의 보안강화로 Windows 95, Windows NT 4.0 SP3 이전 버전에서는 로그온을 하지 못한다는 메시지를 보여준다.
<그림13-18. Active Directory설치마법사-도메인컨트롤러의 종류>
도메인 컨트롤러의 종류를 결정해야 한다. 새로운 도메인 컨트롤러인지, 추가 도메인 컨트롤러인지를 묻는다. 당연히 처음 도메인을 만들 때는 기본옵션을 선택해야 할 것이고, 이미 만들어진 도메인에서 만일의 경우를 대비한 백업을 위해 혹은 성능향상을 위해 추가 도메인 컨트롤러를 셋업하고 있다면 두 번째 옵션을 선택한다.
<그림13-19. Active Directory설치마법사-새 도메인 만들기>
다음의 그림은 "새 도메인 만들기" 선택 사항이다. 앞에서 첫 번째 도메인을 만들 때 새로운 트리가 만들어진다고 설명했다. 회사에서 설계된 최초의 도메인을 만들고 있는 과정이라면 첫번째 옵션인 “새 포리스트에 있는 도메인”을 선택한다. 이미 포리스트 루트 도메인이 있는 상황에서 추가로 복수도메인 환경을 요구할 때 트리로 확장할 것인지 포리스트로 확장할 것인지 둘중의 하나를 결정해야 한다. 포리스트 루트 도메인의 도메인 이름과 연속된 이름을 사용하는 트리레벨로 도메인을 추가한다면 "기존 도메인 트리에 자식 도메인"을 선택한다. 포리스트 루트 도메인의 도메인 이름과 연속되지 않은 독립된 도메인 이름을 사용하는 환경인 포리스트 레벨로 도메인을 추가하고자 한다면 세 번째 옵션인 "기존 포리스트에 있는 도메인 트리"를 선택한다. 예제에서는 첫 번째 도메인의 첫 번째 도메인 컨트롤러를 셋업하고 있으므로 첫 번째 옵션인 “새 포리스트에 있는 도메인”을 선택했다.
<그림13-20. Active Directory설치마법사-새 도메인 이름 결정>
도메인 이름을 결정한다. 대부분의 회사는 도메인 이름을 가지고 있다. 만일 회사를 대표할 만한 DNS도메인이름이 없다면 미리 도메인을 등록할 것을 권장한다. Active Directory 도메인 이름은 DNS도메인 이름을 사용한다. 그렇기에 DNS는 Active Directory와 아주 밀접한 관계가 있다. Active Directory 환경에서 DNS는 필수적인 요소가 된 것이다. 클라이언트가 도메인 컨트롤러를 찾고자 할 때 DNS는 도메인 컨트롤러 역할을 하고 있는 서버의 이름(Hostname)과 위치(IP Address)를 제공한다.
<그림13-21. Active Directory설치마법사-NetBIOS 도메인 이름>
다음엔 NetBIOS도메인 이름을 입력해야 한다. 이것은 Windows2000 이전버전인 NT4.0, Windows9x등의 시스템에서 사용되는 도메인 이름을 의미한다. 하위호환성을 위해서 Active Directory 도메인은 2가지의 이름을 유지하고 있다. DNS도메인 이름이 windowsnetwork.msft이지만 NetBIOS도메인이름은 windowsnetwork이 아니어도 상관없다. 전혀 다른 이름을 사용해도 되지만 아무래도 그것은 사용자들에게 상당한 혼란을 유발할 것이다.
<그림13-22. Active Directory설치마법사-데이터베이스 및 로그위치>
Active Directory Database를 저장할 저장위치와 로그파일을 저장할 위치를 결정해 준다. 기본위치는 OS가 설치된 "WINDOWS"의 하위폴더인 NTDS 폴더이지만 최적의 성능 및 복구기능을 위해서는 이들을 각각 다른 하드디스크에 저장할 것을 권장한다.
<그림13-23. Active Directory설치마법사-공유시스템 볼륨>
<그림13-23>에서는 공유시스템볼륨을 저장할 폴더의 위치를 결정한다. 한 도메인에 여러대의 도메인 컨트롤러를 둘 수가 있는데 Active Directory를 제외하고서도 이들은 그룹정책, 로그온스크립트 등의 몇가지 정보를 공유해야 할 필요가 있다. 이러한 공용파일을 저장하는 위치가 Sysvol이라는 이름의 폴더인데 이것을 어느 위치에 저장할 것인지를 묻는 것이다. Sysvol폴더는 NTFS 파티션에서만 생성될 수 있다.
<그림13-24. Active Directory설치마법사-DNS서버 관련 메시지>
Active Directory설치 마법사는 지금 셋업하는 windowsnetwork.msft도메인 이름서비스를 해 주는 DNS서버를 찾을 수 없다는 메시지를 보여주고 있다. DNS서비스가 없거나, DNS서비스가 있더라도 해당 도메인이 구성이 되어 있지 않다면 이러한 메시지가 나타난다. 두번째 옵션인 “이 컴퓨터에 DNS서버를 설치하여 구성하고 이 DNS서버를 컴퓨터의 기본 DNS서버로 설정”을 선택하고 계속 진행한다. 최초의 도메인 컨트롤러 설치시 가장 쉽고 완벽하게 설치할 수 있는 방법이기도 하다.
<그림13-25. Active Directory설치마법사-사용권한 설정>
<그림13-25>는 Active Directory를 읽을 수 있는 퍼미션을 결정하는 "사용권한"그림이다. Windows2000 이전버전의 서버에서 실행되는 RAS서비스 등의 프로그램이 Active Directory에 접근을 해야 하는 환경이라면 첫 번째 옵션을 선택한다. Windows2000, 2003서버로만 구성된 도메인 환경[1]이라면 기본값인 두 번째 옵션을 선택하는 것이 좋다. 이것은 도메인 컨트롤러에 보다 향상된 보안을 제공한다.
<그림13-26. Active Directory설치마법사-디렉터리 서비스 복원 모드 Administrator 암호>
백업받은 Active Directory Database를 이용해서 복구를 해야 할 경우, 시스템 시작시 [F8]키를 이용해서 "Active Directory Restore Mode"로서 시스템을 시작할 수 있는 옵션을 지원한다. 이 경우 사용할 Administrator암호를 입력한다. 이것은 정상적인 경우 관리자가 사용하는 암호와는 별도의 암호이다. 백업을 위해서 잘 관리해 두어야 한다. 물론 관리자의 암호와 같은 암호를 사용할 수도 있다.
<그림13-27. Active Directory설치마법사-요약>
이제 설치를 위한 준비과정을 완료했다. <그림13-27>에서는 당신이 선택한 옵션을 보여주고 셋업이 끝났을 때 어떤 구성을 가지게 될 것인지를 보여주고 있다. 확인하고 잘못 설정한 부분이 있다면 [뒤로]버튼을 이용하여 옵션을 수정하는 것이 가능하다.
<그림13-28. Active Directory설치마법사-설치 마법사 완료>
약 5~10분 정도의 시간 동안 Active Directory 설치작업이 진행되고 나면 완료되었음을 알리는 설치완료 화면을 만날 수 있다. 에러가 발생하지 않았다면 설치는 잘 된 것이다.
설치를 마치면 반드시 시스템을 다시 시작해야 한다. 설치를 마치고 처음 재시작시 상당한 시간이 걸릴 수가 있다. 보통 15분여 정도면 최초 로그온 화면을 만날 수 있다. 로그온 화면이 나올 때까지 참고 기다리자.
13-3-2. 설치 후 확인, 문제해결
설치가 완료된 후 처음 로그온을 한 다음, Active Directory가 제대로 설치되었는지 확인할 필요가 있다. 차근 차근 살펴보자.
<그림13-29. DNS관리콘솔-SRV Record>
먼저 DNS관리콘솔을 열어서 Active Directory설치시 입력했던 도메인 영역을 찾아본다. <그림13-29>에서 보면 windowsnetwork.msft 영역이 있고, 이 영역으로부터 위임된 _msdcs.windowsnetwork.msft 영역이 보인다. _msdcs.windowsnetwork.msft 영역아래에서 dc, domains, gc, pdc라는 네 개의 서브도메인이 보인다. 이들은 SRV(Service)레코드를 담고 있는 서브도메인들이다. 이들이 없다면 클라이언트들이 로그온을 위해 도메인에 접근할 수 없다. 이들의 생성을 확인해 주어야 한다. 만일 위와 같은 DNS영역을 찾을 수 없다면 다음과 같은 순서로 접근해 보자.
① TCP/IP등록정보를 살펴서 DNS서버의 IP가 자신의 IP Address로 되어 있는지 확인한다.
② DNS관리콘솔을 열고, 도메인이름을 마우스 오른쪽 클릭하여 등록정보로 접근한 다음 "동적업데이트 "가 "예"이거나 "보안된 업데이트만"으로 되어 있는지 확인한다. <그림13-30>
<그림13-30. DNS 동적 업데이트 구성확인>
③ 명령프롬프트를 열고 <그림13-31>에서처럼 netlogon service를 재시작하고, ipconfig/registerdns를 이용해서 DNS에 자신의 IP를 동적업데이트하도록 시도한다.
<그림13-31. Netlogon Service 재시작>
위의 ①②③ 절차를 진행한 후 다시 DNS관리콘솔을 열고 [F5]키를 사용하여 ‘새로고침’을 해 보면 업데이트된 레코드를 확인할 수 있을 것이다.
관리도구를 열어 Active Directory 관리도구가 생성되었는지 확인한다. 만일 생성되지 않았다면 서버의 %windir%\System32폴더나 Windows Server 2003 원본CD의 i386폴더 아래에 있는 "Adminpak.msi"를 통하여 관리도구를 설치할 수 있다.
<그림13-32. Active Directory 관리도구>
도메인에 하나의 도메인 컨트롤러(DC)만 있어서는 아무래도 불안하다. 규모가 작은 회사라고 하더라도 적어도 하나의 추가 도메인컨트롤러는 있어야 만일의 경우에 문제가 없다. 또, 회사가 본사가 서울이고, 지사가 부산쯤 있는 두 지역으로 나뉘어진 조직구조라면 서울에 하나만 DC를 둬서는 부산의 사용자들에게 빠른 응답시간을 제공하기 어렵다. 이럴 경우에는 부산에 추가 DC를 두는 것도 하나의 방법이다. 추가 도메인 컨트롤러를 설치하는 방법에 대해서 알아본다. 역시 dcpromo를 이용하지만 몇가지 옵션이 달라지게 된다. 먼저 추가DC가 되고자 하는 시스템의 TCP/IP설정을 살펴서 DNS의 IP Address를 확인한다. 그 DNS는 첫 번째 도메인의 정보를 담고 있어야만 설치가 진행될 수 있다. 예제에서는 windowsnetwork.msft 도메인의 추가도메인컨트롤러를 셋업하는 그림을 보여준다.
|
|
|
|
|
|
|
|
도메인 컨트롤러로서 참여하고자 하는 도메인의 이름을 입력한다. [찾아보기>버튼을 이용할 수도 있다. 예제에서는 windowsnetwork.msft 라는 먼저 설치된 도메인의 이름을 입력했다. [다음]버튼을 클릭하면 DNS서버에 연결해서 도메인을 확인하게 되는데 여기서 DNS서버상에 문제가 있다면 더 이상 셋업을 진행할 수 없다. DNS를 먼저 확인해 봐야 한다. |
|
|
|
|
|
추가 도메인 컨트롤러가 설치되는 과정이 보인다. <그림13-37>을 보면 첫번째 도메인 컨트롤러로부터 디렉터리를 복제해 오고 있는 것을 볼 수 있다. 이 과정을 마치면 추가 도메인 컨트롤러 설치는 완료된다. |
|
|
|
지금까지 위에서 설명한 두가지 설치만 하더라도 단일도메인을 구성하는데는 충분하겠지만 추가로 보다 확장된 도메인을 구성하기 위한 설치방법이라도 익혀두자는 의미로 확장되는 도메인의 설치를 다루었다. 아직 도메인모델 자체를 쓰지 않고 있다거나, 전반적인 공부를 위해서 책을 읽는 독자라면 아래의 설치는 일단 넘어가자.
다음에는 포리스트 루트 도메인의 트리로서 확장하는 자식도메인을 구축하기 위한 Active Directory설치옵션을 살펴본다. 역시 두가지 조건이 필요하다. 올바른 DNS서버의 IP Address와 포리스트 루트도메인의 관리자계정과 암호를 알고 있어야 한다. 예제에서는 windowsnetwork.msft 이라는 이름의 루트도메인에 china라는 지사의 도메인을 만드는 과정이다.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
다음에는 포리스트 레벨의 도메인을 설치하는 과정이다. 회사에서 Windowsnetwork.msft라는 루트도메인을 설치한 후에 추가로 secure.pe.kr이라는 도메인을 구성하려고 한다.
|
|
|
|
|
|
|
|
|
|
|
다음 과정부터는 첫 번째 도메인의 첫 번째 도메인 컨트롤러를 셋업하는 것과 동일하다. |
|
|
|
첫 번째 도메인을 셋업하고 추가의 작업들을 진행하다 보면 종종 설치가 잘 되지 않는 경우가 발생하는데, 필자의 경험으로는 문제의 거의 대부분은 DNS의 SRV레코드 미등록, 잘못된 네트워크 자격증명에 있다. 이들을 먼저 살펴볼 것을 권장한다. 이상으로 Active Directory의 셋업을 마치고 다음 장에서는 Active Directory의 몇가지 관리방법에 대해서 이야기한다.
