[21일 차] 21.08.19 : Windows Server 10

 

• 그룹 정책 설정

그룹 정책 설정은 딱 3단계만 기억하면 된다.

그룹 정책을 만들고

-> 만든 정책을 GPO에 넣고 도메인 단위에 저장

-> 도메인에 적용된 그룹 정책을 OU에 적용

 

실습으로 알아보자. 어제 만든 구조 그대로 진행.

hanbit.com에 사용자 하나 생성 > 비밀번호 대충 입력하면 > 암호 정책에 걸린다

-> 이 도메인 사용자도 암호 정책의 영향을 받고 있다는 의미

 

서버 관리자 > 도구에서

로컬 보안 정책에서 단독 실행형 서버로 운영될 때 적용될 정책을 만들 수 있고,

그룹 정책 관리에서 도메인 전체에 배포할 정책을 만들 수 있다.

 

그룹 정책 관리 -> 포리스트 하위의 도메인 하위의 hanbit.com 하위의 default domain의 설정 탭의 보안 설정

-> 계정 정책/암호 정책을 보면, 정책에 복잡성 조건 설정이 적용되어 있는 것을 볼 수 있다.

 

암호 관련 정책 위치는

default domain policy 우클릭 > 편집 > 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 계정 정책 > 암호 정책

 

 

• 실습 1 : 회계부 OU의 직원들은 제어판을 사용할 수 없도록 그룹 정책을 설정/적용

제어판 제한 정책을 만들어 GPO에 적용, 회계부 OU에 연결

그룹 정책 관리 포리스트 하위의 도메인 하위의 hanbit.com 하위의 그룹 정책 개체(이게 GPO) 우클릭해서 새로 만들기 > 제어판 제한 정책 생성 > 우클릭해서 편집 > 사용자 구성 > 정책 > 관리 템플릿 > 제어판 클릭 > prohibit access to Control Panel and PC Settings 더블클릭 > '사용' 체크/지원 확인 후 적용 > 지금 '제어판 제한 정책'을 통해 들어와서 적용했으니, 이 정책에 이 제한이 적용된 것.

그룹 정책 관리 > 회계부 우클릭 > 기존 GPO 연결 > 그룹 정책 개체 선택 후 적용(제어판 제한 정책)

-> 이제 이 정책이 적용된 사용자는 제어판에 들어갈 수 없다.

 

그룹 정책 해제는

적용했던 회계부 클릭 > GPO 우클릭해서 삭제

 

* 정책의 적용이 느리면 cmd에서 정책 강제 적용 가능

관리자 권한으로 실행 > 관리자 로그인 > gpupdate /force 입력

 

정책이 적용되는 것은

1. 사용자가 로그인할 때

2. 컴퓨터 재시작

3. gpupdate /force

4. 정책을 받아오는 주기적 시간이 되었을 때

-> 그룹 정책 관리 > default domain policy 우클릭 > 편집 > 컴퓨터 구성 > 정책 > 관리 템플릿 > 시스템 > 그룹 정책 > Set Group Policy refresh Interval for Computers 설정해서 적용 가능

 

WIN10에 기존 사용자로 로그인

-> WIN10\admin

 

• 상속 실습 : 홈페이지 수정 권한 정책 상속 테스트

기술팀에 OU 2개를 만들어 사용자 1명씩 배치 > 그룹 정책 관리에 '홈페이지 지정 정책' 생성, 우클릭해서 편집 > 사용자 구성 > 정책 > 관리 템플릿 > Windows 구성 요소 > Internet Explorer > '홈 페이지 설정 변경할 수 없음' 사용, 홈페이지 입력 > 기술부에 들어간 정책 우클릭해서 적용 설정 > 강제 상속됨

그룹 정책 관리로 돌아가서 기술부 우클릭 > 기존 GPO 연결 > 기술 1팀 우클릭으로 상속 차단 가능('적용'은 못 막음)

 

• 컴퓨터 단위로 그룹 정책 적용하기 : 사용자가 해당 PC에 접속할 때 특정 프로그램 실행

-> 어떤 사용자든 해당 컴퓨터에 로그인하면 해당 정책이 적용되도록

사용자 및 컴퓨터 > OU하나 만들어서 computers에 있는 컴퓨터를 해당 OU로 이동 > 그룹 정책 관리 > 그룹 정책 개체에서 만들었던 정책 편집 > 컴퓨터 구성 > 정책 > 관리 템플릿 > 시스템 > 로그온 > 사용자 로그온 할 때 다음 프로그램 실행 더블클릭 > 사용 체크 후 하단에서 프로그램 경로 입력 > OU에 GPO 연결

* 입력한 경로를 " "로 묶고 뒤에 홈페이지를 입력하면 홈페이지 URL이 입력된다.

WIN10에서 gpupdate /force 적용 후 다시 로그인하면 적용 완료

 

• 로그온 스크립트 : 로그인 시 스크립트(배치) 파일에 작성된 명령이 실행되도록 할 예정

-> 교육장 컴퓨터를 시작하면 FIRST의 C 드라이브에 있는 실습 파일 폴더가 자동으로 Z 네트워크 드라이브에 연결되도록 설정

-> 공유할 폴더의 공유 설정 > Authenticated Users에 모든 권한 부여

-> 메모장으로 배치 파일(쉘 스크립트) 만들기. 입력 내용은

@echo off
NET USE Z: "\\192.168.111.10\한빛 리소스"

-> 작성해서. bat 확장자로 공유 폴더 내부에 저장

-> 이전과 같이 '사용자 로그온 할 때 다음 프로그램 실행' 들어가서 실행할 항목에 해당 파일의 경로 입력

(\\192.168.111.10\한빛 리소스\드라이브 연결. bat)

 

그룹 정책에 오류가 발생해서 장애가 발생한다면?

-> C:\Windows\SYSVOL\sysvol\hanbit.com\Policies로 들어가면 그룹 정책들이 파일 형식으로 저장되어 있다.

-> 백업받아놓고 복원하기

 

일단 그룹 정책 관리 우클릭 > 도메인 표시 > second.hanbit.com 체크

백업 : 그룹 정책 개체 > 백업할 GPO 선택, 우클릭 > 백업 > 경로 선택 후 백업 진행

복원 : 그룹 정책 개체의 빈 화면 우클릭 > 백업 관리 > 백업 위치를 찾아 복원할 정책 선택, 1개씩 복원 

 

도메인 간 정책 복사/붙여 넣기도 가능

 

NTFS(17장), FSRM은 넘어간다

-> 따로 알아보기

 

• DFS(분산 파일 시스템)

-> 공유 폴더를 하나로 묶어 여러 공유 폴더를 찾아다닐 필요가 없다. 네임스페이스에 공유 폴더들을 몰아놓는다.

-> 서버 관리자 > 역할 및 기능 추가 > 서버 역할에서 File and Storage Service > File and iSCSI Service > DFS Namespaces, DFS Replication 체크 후 설치 진행

서버 관리자 > 도구 > DFS 관리자 > 네임스페이스 우클릭 > 새 네임스페이스 > FIRST, 이름 적고, 도메인 기반 네임스페이스 체크 > 만들기

만들어진 네임스페이스 우클릭 > 새 폴더 > 이름 적고 폴더 추가

 

 

• BitLocker : 하드디스크 자체를 암호화하는 기술

-> 탈취당하더라도 내부의 데이터에 접근하기 까다로움

-> 탈취 목표용 디스크 추가 후 사용 가능하게 설정

-> 서버 관리자 역할 및 기능 추가 > 기능까지 쭉 진행 > 기능에서 BitLocker Drive Encryption 체크 후 설치

-> 재부팅 후 gpedit.msc(로컬 그룹 정책 편집기) 실행 > 컴퓨터 구성 > 관리 템플릿 > Windows 구성요소 > BitLocker 드라이브 암호화 > 드라이브 암호화 방법 및 암호화 수준 선택(Windows 10 이상) 더블클릭 > 사용 체크 후 적용

BitLocker 드라이브 암호화 > 운영 체제 드라이브 > '운영체제 드라이브에 드라이브 암호화 종류 적용'을 사용 체크 후 적용 > '시작 시 추가 인증 요구' 사용 체크, '호환 TPM~' 체크 확인 후 적용

고정 데이터 드라이브 > '고정 데이터 드라이브에 드라이브 암호화 종류 적용' 사용 체크 후 암호화 종류는 전체 암호화 선택

제어판 > 시스템 및 보안 > BitLocker 드라이브 암호화 생겼다. 들어가서 > 드라이브 늘러서 BitLocker 켜기 클릭, 암호화 진행 > 암호를 사용해 드라이브 잠금 해제 체크 후 암호 입력 > 복구 키를 백업할 방법 선택(파일에 저장 선택) > 새 암호화 모드

다른 VM에 BitLocker 처리했던 디스크를 추가하고, BitLocker Encryption 기능 추가해서 들어가면 된다.

-> 기타 옵션으로 들어가서 복구 키 입력 등

BitLocker 기능 해제하기

-> 제어판 > BitLocker 드라이브 암호화 > 해당 드라이브 선택해서 BiLocker 끄기

---

• 장애조치 클러스터(19장)

 

• 클러스터 : 여러 대의 컴퓨터를 병렬로 묶어 하나의 고성능 컴퓨터로 사용하는 기술

1. 고계산용 클러스터(HPC, High Performance Computing = 베어울프 클러스터) : 고성능 계산을 위한 목적

2. 부하분산 클러스터(LVS, Linux Virtual Server) : 대규모 서비스를 위한 목적. 사용자가 많은 웹서버에 주로 사용

3. 고가용성 클러스터(HA, High Availability) : 지속적인 서비스를 위한 목적. LVS와 연동하여 사용.

-> 주 도메인이 망가질 때를 대비

 

하드디스크 단위 클러스터가 아니다.

 

• 장애 조치 클러스터의 개요

-> 마스터-슬레이브를 잡아놓고 외부에서는 하나의 가상 서버로 보이게 한다.

-> 고가용성을 유지하기 위해 제공되는 서비스

-> 마스터는 항상 클라이언트의 요청에 응답, 슬레이브는 마스터가 망가지면 그때부터 응답 시작

-> AD로 연결되어 있어야만 사용 가능한 기능

 

• 장애 조치 클러스터링 실습

FIRST를 DC로 두고, SECOND/THIRD를 서버로 둔다.

-> SECON/THIRD의 DNS를 FIRST로 설정

1. FIRST 서버를 this.com 도메인의 AD DC로 구성

2. SECOND/THIRD는 this.com 도메인의 멤버 PC로 등록

3. 3개 서버에 administrator@this.com 계정으로 로그인

 

NAS4Free

-> 쿼럼과 클러스터 디스크 배치

-> 평소에는 SECOND(Active 서버)가 접근, SECOND가 망가지면 THIRD(Passive 서버)가 접근

-> 서버 간 heartbeat를 위한 인터페이스 필요

-> Network Adapter 추가 후 Host-only로 설정

-> 네트워크 및 공유 센터 > 연결되어 있지 않은 인터페이스 들어가서 IPv4 들어가서 ip 주소(10.10.10.10/24) 입력

-> 제어판 > 시스템 및 보안 > Windows 방화벽 > 설정 사용자 지정 전부 사용 안 함

 

iSCSI

TCP/IP 프로토콜을 사용해 SCSI의 명령어를 랜 또는 WAN에 위치한 저장소 장치에 전달하기 위해 사용되는 프로토콜.

일반적으로 원격지에 위치한 저장 장치를 관리하기 위해 사용되는 TCP 기반의 프로토콜. 여기서 저장장치는 디스크, 테이브, CD/DVD 등이며 이러한 네트워크 기반의 저장장치를 SAN이라 한다.

 

 

서버 관리자 > 도구 > iSCSI 초기자 > 검색 탭 > 포털 검색 > 192.168.111.50(NAS4Free 주소), 포트 기본값 3260 > 대상 탭 > 검색된 대상은 NAS 서버의 쿼럼/클러스터 디스크 > cluster 클릭 후 연결

 

아무튼 클러스터 구성이 끝난 후 SECON, THIRD에

서버 관리자 > 역할 및 기능 추가 > 기능까지 쭉 > Failover Clustering 체크 > 설치

장애조치를 하려면 2대 이상의 서버가 있어야 한다는 등 여러 조건이 필요.

 

서버 관리자 도구 > 장애조치 클러스터 관리자 > 우측의 '구성의 유효성은 검사합니다' 클릭 > '이름 입력'에 '찾아보기'로 SECOND/THIRD 입력 > 모든 테스트 실행 체크 후 다음 > 검사 시작 > 통과 못했어도 검사 다시 하면 통과할 것 > '검사된 노드를 사용하여 클러스터 만들기' 체크 > 마침 > 클러스터 만들기 마법사 실행 > 이름은 ThisCluster 입력, 주소는 대충 입력

> 체크 > 다음 > 클러스터 구성 > 마침 > 기다리면 좌측 탭에 ThisCluster 나타난다.

> SECOND에서 이러고 THIRD 들어가 보면 똑같이 생성되어 있다.

 

중간중간 연결해놨던 NAS 드라이브들이 끊기니 확인할 것. 끊겼다면 NAS 서버 재부팅

NAS 디스크도 디스크 관리에서 확인. 오프라인으로 바뀔 때가 있다.

 

외부에서 사용자가 들어와 사용할 가상 서비스 구축(FTP) : SECON, THIRD에 모두 설치

역할 및 기능 추가 > 서버 역할에서 Web Server(IIS) 체크 > 역할 서비스에서 FTP Server, FTP Service 체크 후 설치

도구 > IIS 관리자 > 사이트 우클릭해서 FTP 사이트 추가 > 사이트 이름 입력, 실제 경로는 링크 결려있는 클러스터에 FTP용 폴더를 만들어 입력 > SSL 사용 안 함, IP도 내버려 두고 > 익명 기본 체크, 모든 사용자 액세스 허용 > 마침

 

이제 장애 조치 클러스터에 FTP 서비스를 추가해야 한다.

장애 조치 클러스터 관리자 > ThisCluster.this.com 밑 저장소 > 디스크 우클릭, 디스크 추가 > 클러스터 디스트 2개 체크해서 확인

ThisCluster.this.com 밑의 역할 우클릭 > 역할 구성 > 고가용성 마법사 진행(역할은 기타 서버 선택, 클라이언트 액세스 지점은 FTP Service 입력, 가상 서버가 사용할 IP 입력, 저장소 선택은 클러스터 역할을 담당할 디스크(큰 거) 체크, 계속 넘기면 구성 끝)

 

이제 WIN10에 FTP 프로그램(알드라이브)을 설치해서 위에서 지정한 가상 서버 주소로 접속, 아이디는 그냥 administrator로 접속

이렇게 SECOND와 WIN10이 쿵짝쿵짝하는 동안 THIRD에서 디스크 관리를 보면 디스크는 오프라인 상태.

장애 조치 클러스 관리자 > 역할로 가보면 소유자 노드가 SECONd로 나와 있는데, 이게 Active 서버.

역할에서 해당 서비스 우클릭 > 이동 > 노드 선택 > THIRD 선택으로 강제로 Active 서버를 바꿀 수 있다.

누가 Active 던 간에 외부인 사용자는 가상 서버 주소로 접속하니 상관없다.

---

5교시 중반 클러스터 설명 다시 듣기

7~8교시 다시 듣기. NAS가 먹통이라 실습을 따라가지 못함.

 

데스크톱 질렀다. VM 딱 대ㅋㅋ