14-2. 서버설치 및 구성
중소규모 기업네트워크 환경에서 필요한 여러가지 서버의 역할을 각각 고유한 서버가 맡기는 현실적으로 어렵다. 많은 회사들은 최신사양을 갖춘 고가의 전용서버 한대를 들여놓고 회사에서 필요한 모든 서비스를 하나의 서버에 집중시키고 있다. 최소한의 서버대수로써 비교적 원활히 동작할만한 구성을 해 보도록 하자.
현재 회사에는 3대의 서버가 동작하고 있다. 아래의 <그림14-6>와 같이 서버를 배치하고 나니 총 4대의 서버가 소요된다. 한대가 부족하다. 새로운 서버 한대를 도입하고 1st 도메인 컨트롤러로 구성할 수 있다. 방화벽 서버가 오래되어 성능이 문제가 되고 있었다면 새로 도입하는 서버를 방화벽 서버로 대체하고 기존 방화벽 서버를 도메인 컨트롤러로 설치하는 것도 좋은 방법이다. 나머지는 기존의 3대의 서버를 가지고 구성하였고, 첫번째 서버에는 802.1x 무선랜 인증을 지원하기 위해 IAS (Internet Authentication Service; 인터넷 인증 서비스)서버를 추가로 구성하였다. ISA Server 2004에는 VPN서비스를 구성하여 출장지에서나 재택근무시 노트북 사용자의 사내자원 접근을 허용하고자 한다. ISA서버와 VPN서버 구성에 대해서는 7장을 참고한다.
<그림14-6. 네트워크에 서버의 기능별 배치>
노트북에 설치되어 있던 Windows XP Home edition은 Active Directory 인프라에 참여할 수 없는 클라이언트이므로 Windows XP Professional버전으로 업그레이드 하였다. Windows 98 3대가 있다는 것이 아쉽긴 하지만 레거시 어플리케이션이 상위버전의 OS에서 지원하지 못한다는 이유로 계속 사용해야 하는 상황이다.
네트워크에 서버를 배치할 때는 8장에서 설명한 ‘기업 네트워크에서 네트워크 서버 배치시 고려할 사항’을 잘 고려해 보자. 당신이 디자인한 네트워크 구성이 이들 조건에 잘 부합되고 있다면 잘 구성했다고 판단해도 좋다.
다음과 같은 순서로 진행한다.
윈도우 서버 2003 설치 -> 필요한 서비스 설치 -> Active Directory설치 -> 최신 서비스팩 설치 |
회사의 도메인이름은 위에서 외부적으로 현재 사용하고 있는 windowsnetwork.msft 를 사용하기로 결정했다.
<그림14-7. 첫번째 도메인 컨트롤러 설치 과정 – 새 도메인 이름 결정>
구체적인 설치방법에 대해서는 이 책의 ‘13-3. Active Directory 설치’ 단원을 참고하라.
같은 방법으로 두번째 도메인 컨트롤러를 설치한다. 설치옵션만 조금 다를 뿐이다.
<그림14-8. 두번째 도메인 컨트롤러 설치 과정 – 도메인 컨트롤러 종류 결정>
역시 구체적인 설치방법에 대해서는 이 책의 ‘13-3. Active Directory 설치’ 단원을 참고하라.
Active Directory 도메인 기능수준 (모드) Windows Server 2003의 Active Directory는 NT4.0과는 다르게 OS의 셋업과 도메인 컨트롤러의 셋업과정이 분리되어 있다. dcpromo 를 이용하여 Active Directory를 셋업하면 도메인 컨트롤러가 되고, 역시 같은 유틸리티를 이용하여 Active Directory를 제거하면 일반서버가 된다. Windows Server 2003의 도메인은 이전버전인 Windows 2000, NT4.0 도메인컨트롤러와의 호환성을 위하여 기본적으로는 'Windows 2000 혼합모드'를 사용한다. 하지만, Windows 2000 혼합모드는 Active Directory에서 추가된 기능들중 몇 가지를 사용하는데 제약을 주게 된다. Windows NT 4.0 도메인 컨트롤러가 반드시 필요한 상황이 아니라면 그들을 윈도우 서버 2003으로 업그레이드를 고려한다. 회사의 도메인 환경이 Windows Server 2003 도메인 컨트롤러만으로 구성이 완료되었다면 'Windows 2000 혼합모드'를 'Windows Server 2003 기능수준’으로 전환시켜 주어야 할 것이다. 그렇지 않으면 Universal Group, Group의 중첩적용, RAS서버의 정책관리 등의 기능을 구현할 수가 없다. 보다 자세한 사항은 Windows Server 2003의 도움말에 잘 정리되어 있다. 도메인 기능수준을 확인하기 위해서는 관리도구àActive Directory 사용자 및 컴퓨터를 실행하고, 관리콘솔의 왼쪽패널에서 도메인이름을 클릭하고 마우스 오른쪽 단추를 이용하여 등록정보로 접근한다.<그림14-9>
<그림14-9>에서는 도메인 기능수준이 'Windows 2000 혼합’으로 되어 있음을 보여준다. Active Directory를 설치하고 나면 기본값이다. 화면에서 보이는 것처럼 ‘사용가능한 도메인 기능 수준 선택’을 클릭하여 원하는 도메인 기능수준을 선택한 후 [수준 올리기]를 클릭하여 기능수준을 전환할 수 있다. 단방향 작업이니 회사의 도메인에 더 이상 NT 4.0 도메인 컨트롤러나 Windows 2000 도메인 컨트롤러가 없다는 것이 확실했을 때 변경하도록 한다. 이 도메인 기능수준은 클라이언트의 종류와는 무관하다. 도메인 컨트롤러가 아닌 서버나 클라이언트들의 OS는 Windows 2000이거나 WIndows NT이거나 Windows 98이거나 상관할 바가 아니다. 이전버전의 도메인 컨트롤러가 더 이상 필요하지 않음이 확실하다면 도메인 기능수준을 변경해서 사용하자. |
이전단계에서 설계된 OU 구조 디자인에 맞도록 OU를 생성한다. 먼저 최상위 OU인 ‘윈도우네트웍스’부터 만들어 나간다. Active Directory 사용자 및 컴퓨터 관리콘솔의 왼쪽패널에서 도메인이름을 마우스 오른쪽 클릭하여 ‘새로 만들기→조직단위’를 선택한다.
<그림14-10. OU생성이 완료된 화면 >
OU생성을 완료하였다.
다음 작업으로 OU별 사용자와 그룹을 생성한다. 사실 직원전체 규모 100여명 이내 정도의 회사환경에서는 사용자 계정을 생성하는 초기작업 자체는 귀찮긴 하지만 크게 부담스러운 일은 아니다. 하지만 보다 간단하게 계정을 생성하는 방법에 대해서 정리해 보자. 수동으로 작업을 한다면 일단 부서별로 한명씩만 사용자 계정을 생성하고, 사용자가 속할 그룹을 생성한 다음, 그룹 멤버쉽, 홈폴더, 부서명 등 기본정보를 일단 구성을 마칠 것을 권한다. 그런 다음 사용자 계정을 ‘복사’하는 방법을 이용해서 보다 손쉽게 부서별로 동일한 설정을 가진 사용자를 생성하는 작업이 가능하다. 이것은 작업의 속도를 한결 높여줄 것이며 간혹 실수로 사용자계정 정보가 잘못 설정되는 것을 방지해 줄 수 있는 좋은 방법이다.
<그림14-11. 사용자 계정 복사를 통해 새로운 계정을 생성 >
이제 사용자 계정이 제대로 생성되었는지 잘 확인한 다음에 필요한 몇 개의 그룹을 생성하고 사용자를 그룹의 멤버로 참여시킴으로써 계정생성작업을 완료하였다.
<그림14-15. 그룹생성 및 사용자를 구성원에 추가하는 작업>
그룹의 이름을 명명할때는 사용자들이 찾기 쉬운 직관적인 이름을 사용할 필요가 있다. 이것은 사용자가 파일공유 등의 작업을 하고자 할 때 그룹단위의 공유작업을 쉽게 할 수 있도록 하는데 유용하다.
*기업에서 많은 수의 계정을 한꺼번에 생성하고자 할 때 사용할 수 있는 유용한 도구가 제공된다. [Note] dsadd 유틸리티를 이용한 대량 사용자 계정 생성방법 (Bulk Import) 참고.
각각 어떤 작업을 누구에게 위임할 것인지를 시나리오를 통해서 얻어냈다. 그대로 구현하면 될 일이다. ‘
|
권한을 위임하고자 하는 대상인 ‘윈도우네트웍스’OU를 마우스 오른쪽 클릭하여 ‘제어위임’을 선택했다. |
|
관리권한을 위임받을 사용자인 인사담당자인 ‘ |
|
어떠한 작업을 위임할 것인지를 결정해야 한다. ‘사용자 계정 작성, 삭제 및 관리’권한을 선택하고 [다음]으로 진행하여 제어위임을 마친다. |