[20일 차] 21.08.17 : Windows Server 9

어제 쉬어서 좀 빠르게 나간다고 한다.

DB를 그만하고 넘어가자는 의견이 나왔다. 그런데 RDS/PHP-웹 연동까지는 알아놓아야 한다고 한다.

테이블과 뷰/제약조건/프로시저/DB 백업 파일 만들기/PHP-웹 연동/RDS 찾아서 정리해두는 것을 추천하셨다.

 

그래서 DB는 Procedure만 대충 하고 넘어가기로 했다.

 

* 기본키로 설정하면 자동으로 클러스터형 인덱스가 생성됨

-> 클러스터형 인덱스 : 테이블 당 1개, 자동 정렬

 

* 프로시저 생성

 

* 저장 프로시저

 

* 사용자 정의 함수(CREATE FUNCTION)

---

이제 Active Directory 시작. 대충 2~3일 안에 끝낼 예정

 

Directory Service를 Windows Server에 구현한 것이 AD.

-> Direcotry Service : 분산된 네트워크 관련 자원 정보를 중앙의 저장소에 통합시켜 놓은 환경. 사용자는 중앙 저장소를 통해 원하는 네트워크 자원에 대한 정보를 자동으로 취득/접근 가능

 

규모가 있는 회사의 네트워크 상황을 Windows Server에 구현하기 위한 기술.

-> 네트워크상으로 나누어져 있는 리소스를 중앙에서 통합 관리

-> 사용자들은 개인 PC에 정보를 보관할 필요가 없다.

-> 로그인만 제대로 한다면 타인의 PC가 자신의 PC와 같은 환경으로 변경됨

-> Directory Service를 구현하는 것은 굉장히 까다롭지만, Windows Server는 AD로 이 기능을 제공

 

AD DS(Active Directory Domain Service)

-> 컴퓨터, 사용자, 기타 주변 장치에 대한 정보를 네트워크 상에 저장하고, 이러한 정보들을 관리자가 통합하여 관리하게 해 준다.

-> 대충 도메인 안에서 AD 서비스를 해준다는 것.

 

AD를 이루는 3가지 객체(논리적 단위)

1. Forest : 2개 이상의 트리로 구성

2. Tree : 도메인의 집합

3. Domain : AD의 기본이 되는 단위

 

물리적 단위 3종

1. Site : 지리적으로 떨어져 있으며, IP 주소 대가 다른 묶음

2. Trust : 도메인 또는 포레스트 사이에 신뢰할지 여부에 대한 관계를 나타내는 의미

3. Organization Unit(OU) : 한 도메인 안에서 세부적인 단위로 나누는 것(부서 단위 등)

 

DC(Domain Controller) : 사용자 관련 정보를 처리하는 서버 컴퓨터. 도메인에 하나 이상의 DC를 설치

RODC(Read Only Domain Controller) : 주 DC로부터 데이터를 전송받아 저장한 후 사용. 스스로 데이터를 추가하거나 변경하지는 않는다. 소규모 운영에서 별도의 서버 관리자를 두기 어려울 경우 유용.

GC(Global Catalog) : 트러스트 내의 도메인들에 포함된 개체에 대한 정보를 수집해 저장하는 통합 저장소. 이게 DB라고 생각하면 된다. 

---

• AD 구축 실습

패스워드 구분을 위해 각 VM의 비밀번호 변경

FIRST를 주 도메인, SECOND를 자식 도메인으로

서버 관리자> 기능 추가> Active Directory 설치> DC로 승격> 새 포리스트 추가> 루트 도메인 이름 입력 후 다음> 암호 입력, 다음> 별도의 디스크에 하는 게 좋지만 일단 패스>계속 넘겨서 설치> 설치 완료 후 재부팅> 로그인 시 [넷 바이오스 이름]\[계정명]로 뜬다. 로그인

 

여기까지가 포리스트를 만들어 FIRST를 주 DC로 지정한 것. 다음은 특정 PC를 DC에 등록하는 과정.

 

WINC10

1. 목표 PC의 DNS 서버를 FIRST로 잡아준다. 

2. 단말의 소속 그룹(도메인 그룹/작업 그룹) 변경하기 -> 설정(시스템)> 고급 설정> 이름 변경> 도메인 hanbit.com 작성> 로그인 정보 입력> 도메인 시작 알림 뜬다. 재부팅

(2번 과정 전에 DNS 서버 주소를 FIRST로 설정할 것)

 

위 설정이 끝나고 FIRST 서버 관리자> AD 관리자> 등록한 도메인 하위의 컴퓨터에서 등록한 게스트들을 볼 수 있다.

 

FIRST 서버를 서울 지사라고 치면, SECOND 서버를 부산 지사라고 치고 설정하려면, SECOND의 DNS 서버를 FIRST로 설정한다.

-> FIRST와 동일하게 기능 추가로 AD 서비스 설치> DC로 승격> FIRST와는 다르게 '기존 포리스트에 새 도메인 추가'> 부모 도메인 이름 hanbit.com, 새 도메인 이름 second 입력> 자격 증명(로그인) : FIRST로 로그인하는 것이니 FIRST의 비밀번호 입력, 다음> 도메인 컨트롤러 옵션 : DNS 서버 해제, GC는 체크, 암호 설정(p@ssw0 rd)> 나머지는 쭉 넘겨서 설치

 

THIRD는 FIRST와 같은 도메인으로 설정

이전처럼 기능 추가로 설치> 기존 도메인에 도메인 컨트롤러 추가> 도메인 입력/자격 증명> DC 옵션에서는 DNS, RODC 체크, 암호 입력, 다음> 위임된 관리자 계정 우측의 선택 누르고 자격 증명> 찾는 위치는 도메인이고, 지금 찾기에서 administrator 선택

 

이제 

FIRST -> p@ssw0 rd1 -> hanbit.com

SECOND -> p@ssw0 rd2 -> second.hanbit.com

THIRD -> p@ssw0 rd3 -> hanbit.com

 

SECOND 제어판> 방화벽> 고급 보안~> 인바운드 규칙> COM+ 원격 관리 속성 사용함 설정, 원격 이벤트 로그 관리 3개 모두 규칙 사용 설정>

 

FIRST의 서버 관리자> 우측 상단의 서버 추가> 지금 찾기> SECOND는 위치를 second로 내려가서 찾고, THIRD는 그냥 추가> 오른쪽으로 보내서 추가

 

원격 데스크톱 연결 앱으로 연결 가능

 

* Windows Server 로그인 방식에는

1. 로컬 로그인

2. 도메인 로그인 : DC에 있는 로그인 정보를 식별해 로그인

 

ID 입력 방식 : 동일한 내용으로 받지만 형식이 다른 것.

2-1. NetBIOS

-> [넷 바이오스 이름]\[계정명]

2-2. UPN

-> [계정명]@[도메인명]

 

이제 계정은 로컬 사용자 계정과 AD 도메인에 접근 가능한 도메인 사용자 계정이 있다.

 

OU 단위로 사용자를 관리, OU가 모여 도메인, 도메인이 모여 트리, 트리가 모여 포리스트

 

* OU 만들기

서버 관리자> 도구> AD 사용자 및 컴퓨터> hanbit.com 우클릭, 새로 만들기> 조직 구성단위> 이름 입력(ex. 관리부/기술부/회계부 등) 후 확인(OU 안에 OU를 만들 수도 있다)

 

* 보호된 폴더 삭제

상단의 보기> 고급 기능> 속성> 개체> 개체 보호 체크 해제> 나와서 삭제

 

* 사용자 만들기

OU 우클릭> 새로 만들기> 사용자> 정보 입력(2가지 양식 모두)>암호 입력(사용자가 암호를 변경할 수 없음/암호 기간 제한 없음), 마침

 

* 로그인 시간대 제한하기

특정 사용자 우클릭> 속성> 계정 탭>(로그온 대상은 로그인할 수 있는 장비 지정하는 항목) 로그온 시간 클릭> 거부된 로그온 체크(모두 차단됨) 후 드래그로 시간 허용 후 허용된 로그인 체크 후 확인

 

* 사용자 정보 클론 만들기(템플릿)

AD 사용자 및 컴퓨터> hanbit.com 우클릭> 새로 만들기> 사용자> 템플릿에 입력할 내용 입력> 사용자 양식이 하나 만들어짐> 만들어진 템플릿 우클릭> 복사> 정보들 입력> 수동으로 세부 설정하면 끝

 

* 사용자 우클릭> 이동> 폴더 선택해서 이동 가능

 

사용자 생성 실습 : 기술부/회계부/관리부 OU에 사용자 2명씩 생성

 

위 과정을 FIRST에서 하고 나서, SECOND의 AD 사용자 및 컴퓨터로 가서 사용자 하나 생성(도메인 주의)

 

• 그룹

1. 글로벌 그룹 : 모든 도메인에 위치한 자원에 권한을 할당할 수 있는 그룹. 글로벌 그룹을 생성한 도메인의 구성원만 포함.

2. 도메인 로컬 그룹 : 글로벌 그룹과 반대. 다른 도메인에 있는 사용자도 구성원이 될 수 있음. 자원은 이 도메인 로컬 그룹이 소속된 도메인에 제한된다.

3. 유니버설 그룹 : 위 2개의 혼합. 모든 도메인의 자원에 접근 가능. 구성원은 모든 도메인의 사용자 계정.

 

Account Global group/Domain Local group Permission(AGDLP) = 유니버설 그룹

-> 유니버설 그룹 권한과 흡사하게 권한을 만들어 놓은 것. 유니버설 그룹은 내부적으로 부하가 많이 걸린다.

 

 

• 그룹 설정 공통부분

- 그룹명 우클릭> 속성> 추가로 구성원 추가 가능

- 만들어진 리소스 우클릭, 속성> 공유 탭, 고급 공유> 선택한 폴더 공유 체크> 권한 클릭

- hanbit.com 우클릭> 공유 폴더> 정보 입력(이름은 그냥 짓고, 경로는 공유할 리소스의 경로)

* 공유 폴더가 너무 많으면 키워드로 등록해서 통합

-> 위에서 만든 공유 폴더의 속성> 키워드>'저장소' 추가

 

• 글로벌 그룹 테스트

FIRST를 통해 사용자 하나 생성, 그룹 생성, 테스트용 리소스 생성> SECOND에도 사용자, 리소스 생성

-> 글로벌 그룹에 다른 도메인의 사용자 추가 못하더라! 아예 안 찾아짐!

이제 WIN10에서 FIRST/SECOND에서 만든 계정으로 로그인해보면

-> 전자는 글로벌 그룹 폴더에 접근 가능, 후자는 불가

-> AD 검색으로 키워드를 통한 접근은 가능하지만, 들어갈 수는 없다

 

• 도메인 로컬 그룹 테스트

-> 도메인 로컬 그룹에 사용자 추가 : 다른 도메인 사용자도 추가 가능!

-> 리소스로 만들어둔 폴더의 고급 공유> 도메인 로컬 그룹 추가

-> SECOND의 리소스에서는 FIRST의 도메인 로컬 그룹을 찾을 수 없다. 권한 부여 불가.

-> WIN10에서 SECOND 사용자로 로그인> 전자는 접근 가능, 후자는 불가

 

• 유니버설 그룹 테스트

-> 설정은 위와 같다. 그룹에 사용자를 소속시키고, 리소스 폴더에 그룹을 공유 설정

-> 전자, 후자 모두 접근 가능

 

• AGDLP 실습

AGDLP 구조

각 도메인에서 글로벌/도메인 로컬 그룹을 하나씩 만든다(총 4개의 그룹). 

-> FIRST 글로벌 그룹/FIRST 도메인 로컬 그룹

-> SECOND 글로벌 그룹/SECOND 도메인 로컬 그룹

 

-> FIRST에서 만든 도메인 로컬 그룹에 FIRST/SECOND 글로벌 그룹을 구성원으로 추가한다. 

-> SECOND에서 만든 도메인 로컬 그룹에 FIRST/SECOND 글로벌 그룹을 구성원으로 추가한다.

결과적으로는?

-> 도메인 로컬 그룹에 있으나 글로벌 그룹이기도 하니 다른 도메인의 리소스에 접근 가능

-> 글로벌 그룹에 있으나 도메인 로컬 그룹이기도 하니 다른 도메인의 사용자를 구성원으로 받을 수도 있다.

 

-> 이제 각 도메인에서 만들었던 글로벌 그룹에 사용자를 가입시키면 유니버설 그룹과 같다. 이것이 AGDLP

 

---

그룹은 계정/권한을 관리하기 위한 용도.

OU는 컨테이너. 사용자/그룹/컴퓨터 등을 배치 가능

정책은 OU 단위로 부여

사용자 계정은 하나의 OU만 가입 가능. 하지만 여러 그룹에 가입 가능

 

그룹 정책(Policy)

-> AD를 사용하게 될 수많은 컴퓨터와 사용자들에게 일일이 허용할 프로그램과 금지할 프로그램을 지정하는 것은 시간 낭비다.

-> 전체적인 환경을 그룹 정책으로 설정한 후 적용시킨다.

 

그룹 정책 적용 예시 : 사용 가능한 프로그램 지정/제한, 바탕화면 지정, 사용 가능한 옵션 제한 등

GPO(Groip Policy Object)

-> 그룹 정책을 생성한 후 묶은 개체. 도메인 단위로 저장된다.

-> GC(Global Catalog)에 해당 정보가 저장된다.

종류 : 로컬 < 사이트 < 도메인 < OU

 

그룹 정책 설정-> GPO에 연결-> OU에 적용 : 그룹 정책을 바로 OU에 적용할 수는 없다.

그룹 정책의 상속 : OU(컨테이너)를 통해 부모에서 자식으로 상속 가능

---

모든 것이 개판이다. VM 돌리다 컴퓨터가 멈추는 일이 부지기수다.

용량 상으로 무리가 가는 것도 아닌 것 같은데 왜 이러지?

느리고 멈추니 설치가 늦어지고, 설치가 늦어지니 실습을 따라가질 못하고 있다.

 

1교시 다시 듣기

4교시 이후로 싹 다시 듣기

7, 8교시는 자세히

-> 수업 끝나고 녹화 영상이 일찍 올라와서 복습했다.

 

 

오늘 진도는 AD 구축, 사용자/그룹 설정

내일 오전에는 그룹 정책, 오후에는 파일 서버/장애 조치 클러스터

모레는 Hyper-v