액티브 디렉터리 도메인 서비스
1. 개요
1. 개요
액티브 디렉터리 도메인 서비스는 마이크로소프트가 개발한 디렉터리 서비스이다. 이 서비스는 윈도우 서버 운영 체제의 핵심 구성 요소로, 윈도우 서버 2000에서 처음 등장하여 이후 버전에서 계속 발전해 왔다. 주된 목적은 네트워크 상의 사용자, 컴퓨터, 그리고 기타 자원에 대한 정보를 중앙에서 저장하고 관리하며, 이들에 대한 접근을 제어하고 인증을 제공하는 것이다.
이 서비스는 기업이나 조직의 IT 인프라에서 중추적인 역할을 담당한다. 도메인 컨트롤러라고 불리는 서버에 설치되어, 네트워크에 속한 모든 사용자 계정과 컴퓨터 계정을 중앙 집중식으로 관리할 수 있게 해준다. 이를 통해 관리자는 한 곳에서 모든 계정의 생성, 수정, 삭제 및 권한 설정을 효율적으로 수행할 수 있으며, 네트워크 관리의 복잡성을 크게 줄인다.
주요 용도는 중앙 집중식 사용자 및 컴퓨터 계정 관리와 네트워크 리소스에 대한 접근 제어 및 인증이다. 예를 들어, 사용자가 회사 네트워크에 로그인할 때, 액티브 디렉터리 도메인 서비스는 해당 자격 증명을 확인하고, 인증된 사용자에게만 파일 서버, 프린터, 애플리케이션과 같은 공유 자원에 접근할 수 있는 권한을 부여한다. 이 과정은 사이버 보안을 강화하는 데 기여한다.
또한, 그룹 정책을 통해 조직 내 모든 컴퓨터와 사용자에 대한 설정과 보안 정책을 일관되게 적용하고 배포할 수 있다. 이는 운영 체제 설정, 소프트웨어 설치, 보안 구성을 표준화하는 데 필수적이다. 따라서 액티브 디렉터리 도메인 서비스는 현대적인 기업 네트워크 관리와 ID 관리의 토대를 형성하는 핵심 기술이다.
2. 주요 구성 요소
2. 주요 구성 요소
2.1. 도메인 컨트롤러
2.1. 도메인 컨트롤러
도메인 컨트롤러는 액티브 디렉터리 도메인 서비스 환경의 핵심 서버 역할을 담당하는 컴퓨터이다. 이 서버는 액티브 디렉터리 데이터베이스의 사본을 저장하고, 사용자나 컴퓨터의 로그인 요청을 처리하는 인증 서비스를 제공하며, 디렉터리 정보에 대한 모든 변경 사항을 복제하는 책임을 진다. 네트워크 내에서 인증과 권한 부여의 중심 지점 역할을 하여, 사용자가 도메인에 가입된 컴퓨터나 서비스에 안전하게 접근할 수 있도록 보장한다.
도메인 컨트롤러는 윈도우 서버 운영 체제에 액티브 디렉터리 도메인 서비스 역할을 설치하여 구성된다. 고가용성과 내결함성을 확보하기 위해, 하나의 도메인 내에는 보통 두 대 이상의 도메인 컨트롤러가 배포된다. 이들은 멀티마스터 복제 모델을 통해 서로 변경 사항을 자동으로 동기화하여, 데이터의 일관성을 유지한다. 주 도메인 �롤러와 보조 도메인 컨트롤러의 구분이 없는 이 구조는 관리의 유연성을 높인다.
도메인 컨트롤러가 제공하는 주요 서비스로는 Kerberos 인증 프로토콜을 통한 사용자 및 컴퓨터 인증, LDAP를 통한 디렉터리 정보 조회, 그리고 DNS 서버 역할이 있다. 특히 DNS와의 긴밀한 통합은 도메인 컨트롤러의 위치를 찾고 네트워크 서비스를 발견하는 데 필수적이다. 또한, 그룹 정책의 저장 및 적용 지점으로 작동하여 중앙에서 보안 및 구성 설정을 관리할 수 있게 한다.
도메인 컨트롤러의 보안은 전체 액티브 디렉터리 인프라의 보안을 좌우하므로 각별히 관리되어야 한다. 물리적 접근을 통제하고, 최신 보안 패치를 적용하며, 강력한 암호 정책을 시행하는 것이 기본이다. 또한, 읽기 전용 도메인 컨�트롤러와 같은 특수 역할을 배포하여 분기 사무실과 같이 물리적 보안이 취약한 환경에서의 위험을 줄일 수 있다.
2.2. Active Directory 데이터베이스
2.2. Active Directory 데이터베이스
액티브 디렉터리 도메인 서비스의 핵심은 액티브 디렉터리 데이터베이스에 저장된 디렉터리 정보다. 이 데이터베이스는 NTDS.DIT라는 단일 파일로 구현되며, 모든 도메인 컨트롤러에 복제되어 고가용성을 보장한다. 데이터베이스는 사용자 계정, 컴퓨터 계정, 보안 그룹, 그룹 정책 객체와 같은 네트워크 상의 모든 객체와 그 속성 정보를 계층적 구조로 저장한다.
이 데이터베이스는 엑스티에이피라는 확장 가능한 스키마를 기반으로 한다. 스키마는 데이터베이스에 저장할 수 있는 객체의 유형과 각 객체가 가질 수 있는 속성을 정의하는 규칙의 집합이다. 관리자는 필요에 따라 스키마를 확장하여 새로운 객체 클래스나 속성을 추가할 수 있어, 애플리케이션이 디렉터리 서비스를 자신의 데이터 저장소로 활용할 수 있도록 한다.
데이터베이스의 물리적 저장 및 관리는 ESE라는 트랜잭션 데이터베이스 엔진에 의해 처리된다. 이 엔진은 데이터 무결성을 보장하며, 효율적인 검색과 복제를 지원한다. 데이터베이스 파일은 일반적으로 도메인 컨트롤러의 시스템 볼륨에 위치하며, 성능과 안정성을 위해 정기적인 백업과 조각 모음 작업이 필요하다.
액티브 디렉터리 데이터베이스의 복제는 멀티마스터 복제 모델을 따른다. 즉, 한 도메인 내의 모든 도메인 컨트롤러가 데이터베이스의 읽기 및 쓰기 복사본을 유지하며, 변경 사항이 다른 모든 복제본에 자동으로 동기화된다. 이 구조는 단일 장애점을 제거하고 지리적으로 분산된 네트워크 환경에서도 효율적인 서비스 제공을 가능하게 한다.
2.3. 사용자 및 컴퓨터 계정
2.3. 사용자 및 컴퓨터 계정
액티브 디렉터리 도메인 서비스의 핵심 기능은 네트워크 상의 주체를 객체로 정의하고 관리하는 것이다. 여기서 가장 기본적이고 중요한 객체가 바로 사용자 계정과 컴퓨터 계정이다. 사용자 계정은 네트워크에 로그인하는 개인 사용자를 나타내며, 컴퓨터 계정은 도메인에 가입된 각각의 컴퓨터를 나타낸다. 이러한 계정들은 도메인 컨트롤러에 저장된 액티브 디렉터리 데이터베이스 내에서 고유한 보안 식별자를 부여받아 관리된다.
사용자 계정은 사용자의 신원을 확인하는 인증의 기본 단위이다. 사용자는 자신의 계정과 비밀번호를 통해 도메인에 로그인할 수 있으며, 이 인증 정보는 도메인 컨트롤러에 의해 검증된다. 계정에는 사용자 이름, 비밀번호, 전자 메일 주소, 전화번호와 같은 속성 정보가 저장되며, 이는 디렉터리 서비스를 통해 조회될 수 있다. 또한 각 사용자 계정은 네트워크 상의 파일 서버나 프린터와 같은 리소스에 대한 접근 권한을 부여받는 대상이 된다.
컴퓨터 계정은 윈도우 운영 체제를 실행하는 클라이언트 또는 서버 컴퓨터가 도메인의 신뢰할 수 있는 구성원임을 증명하는 데 사용된다. 컴퓨터가 도메인에 가입되면 도메인 컨트롤러는 해당 컴퓨터를 위한 고유 계정을 생성한다. 이 계정을 통해 컴퓨터는 부팅 시 도메인 컨트롤러와 상호 인증을 수행하고, 해당 컴퓨터에 적용될 그룹 정책 설정을 안전하게 받아올 수 있다. 이는 네트워크 보안과 중앙 집중식 관리를 위한 필수적인 메커니즘이다.
사용자와 컴퓨터 계정은 모두 보안 그룹에 포함될 수 있으며, 이를 통해 대량의 계정에 대해 일괄적으로 권한이나 정책을 적용하는 효율적인 관리가 가능해진다. 예를 들어, 특정 공유 폴더에 대한 접근 권한을 개별 사용자 계정에 하나씩 부여하는 대신, 해당 권한을 하나의 그룹에 부여하고 필요한 사용자 계정들을 그룹에 추가하는 방식으로 관리할 수 있다. 이는 네트워크 관리의 복잡성을 크게 줄여준다.
2.4. 그룹 정책
2.4. 그룹 정책
그룹 정책은 액티브 디렉터리 도메인 서비스 환경에서 도메인 컨트롤러에 연결된 사용자 계정과 컴퓨터에 대한 설정을 중앙에서 일괄적으로 정의하고 적용하는 핵심 관리 메커니즘이다. 이를 통해 관리자는 수많은 클라이언트에 대해 보안 설정, 소프트웨어 배포, 데스크톱 환경 제한, 인터넷 옵션 구성 등 광범위한 정책을 효율적으로 배포하고 강제할 수 있다.
그룹 정책의 구성은 그룹 정책 개체 단위로 이루어진다. GPO는 다양한 정책 설정의 컨테이너 역할을 하며, 액티브 디렉터리 내의 사이트, 도메인, 조직 구성 단위에 연결하여 적용 범위를 지정한다. 또한 보안 그룹 필터링이나 WMI 필터를 사용하면 더 세밀하게 정책이 적용될 대상과 조건을 제어할 수 있다.
정책의 실제 적용은 클라이언트 측 에이전트인 그룹 정책 클라이언트에 의해 처리된다. 클라이언트 컴퓨터는 정기적으로 도메인 컨트롤러에 접속하여 자신에게 적용되는 GPO 목록을 확인하고, 설정을 다운로드하여 로컬 레지스트리와 정책 파일에 적용한다. 이 과정은 컴퓨터 시작 시와 사용자 로그온 시, 그리고 주기적인 새로 고침 주기에 따라 자동으로 수행된다.
관리자는 그룹 정책 관리 콘솔 도구를 사용하여 GPO를 생성, 편집, 연결 및 모니터링한다. GPMC는 정책의 결과 집합을 시뮬레이션하거나 정책 적용 상태를 보고하는 진단 기능을 제공하여 복잡한 정책 환경을 효과적으로 관리할 수 있도록 돕는다. 그룹 정책을 통한 중앙 집중식 관리는 대규모 윈도우 기반 인프라의 보안과 일관성을 유지하는 데 필수적이다.
2.5. 트러스트 관계
2.5. 트러스트 관계
트러스트 관계는 하나의 액티브 디렉터리 도메인이 다른 도메인의 사용자를 인증하도록 허용하는 논리적 연결이다. 이를 통해 사용자는 자신의 홈 도메인에 계정이 있더라도 트러스트 관계가 설정된 다른 도메인의 리소스에 접근할 수 있다. 트러스트는 인증 요청이 도메인 간에 통과할 수 있는 경로를 생성하며, 중앙 집중식 관리를 유지하면서 여러 도메인을 운영하는 대규모 조직에서 필수적이다.
트러스트 관계에는 여러 유형이 존재한다. 기본적으로 새 자식 도메인을 생성하면 부모 도메인과 양방향 전이적 트러스트가 자동으로 설정된다. 동일한 포리스트 내의 모든 도메인은 이러한 전이적 트러스트로 연결되어 복잡한 트러스트 경로를 수동으로 구성할 필요가 없다. 반면, 서로 다른 포리스트 간의 트러스트나 외부 케르베로스 영역과의 트러스트와 같은 경우에는 명시적으로 수동으로 구성해야 하는 경우가 많다.
트러스트의 방향성은 중요하다. 양방향 트러스트에서는 양쪽 도메인의 사용자가 상대방 도메인의 리소스를 사용할 수 있다. 한편, 단방향 트러스트는 한 도메인이 다른 도메인을 신뢰하지만, 그 반대 방향의 신뢰는 존재하지 않는다. 예를 들어, 리소스 도메인이 계정 도메인을 신뢰하는 단방향 트러스트에서는 계정 도메인의 사용자만이 리소스 도메인의 자원에 접근할 수 있다.
트러스트 관계의 관리는 도메인 컨트롤러에서 이루어지며, Active Directory 도메인 및 트러스트 관리 콘솔을 통해 구성하고 모니터링할 수 있다. 트러스트가 올바르게 기능하는지 확인하기 위해 트러스트 확인 및 트러스트 재설정과 같은 관리 작업을 수행할 수 있다. 트러스트는 네트워크 보안의 근간을 이루므로, 신뢰할 수 있는 파트너 도메인과만 설정하고 정기적으로 검토하는 것이 중요하다.
3. 기능 및 서비스
3. 기능 및 서비스
3.1. 인증 및 권한 부여
3.1. 인증 및 권한 부여
액티브 디렉터리 도메인 서비스의 핵심 기능 중 하나는 네트워크 상의 사용자와 컴퓨터에 대한 중앙 집중식 인증 및 권한 부여를 제공하는 것이다. 사용자가 도메인 컨트롤러에 등록된 컴퓨터로 로그인할 때, 입력한 자격 증명은 도메인 컨트롤러에 의해 검증된다. 이 인증 과정은 Kerberos 프로토콜을 주로 사용하여 이루어지며, 이를 통해 사용자는 단일 로그인으로 도메인에 가입된 다양한 네트워크 리소스에 접근할 수 있는 티켓을 부여받는다.
권한 부여는 인증된 사용자나 컴퓨터가 특정 리소스에 대해 어떤 작업을 수행할 수 있는지를 결정하는 과정이다. 액티브 디렉터리는 액세스 제어 목록을 기반으로 한 세분화된 권한 관리를 지원한다. 관리자는 파일 서버의 공유 폴더나 프린터와 같은 개별 객체에 대해, 특정 사용자 계정이나 보안 그룹에게 읽기, 쓰기, 수정 등의 권한을 부여할 수 있다.
이러한 인증과 권한 부여 메커니즘은 윈도우 서버 기반 엔터프라이즈 환경의 보안을 구성하는 근간이 된다. 모든 접근 시도가 중앙에서 통제되고 감사될 수 있도록 하여, 무단 접근을 방지하고 사이버 보안 정책을 효과적으로 적용하는 데 기여한다.
3.2. 중앙 집중식 관리
3.2. 중앙 집중식 관리
액티브 디렉터리 도메인 서비스의 핵심 가치 중 하나는 네트워크 환경에서의 중앙 집중식 관리 기능을 제공한다는 점이다. 이는 기업이나 조직 내 수많은 사용자 계정, 컴퓨터, 프린터, 파일 서버와 같은 네트워크 리소스를 단일 지점에서 통합적으로 관리할 수 있게 해준다. 관리자는 도메인 컨트롤러에 설치된 관리 콘솔을 통해 모든 도메인 구성원에 대한 정책을 일관되게 적용하고 설정을 배포할 수 있다.
이러한 중앙 집중식 관리는 주로 그룹 정책을 통해 구현된다. 관리자는 특정 사용자나 컴퓨터 그룹에 적용될 데스크톱 환경, 보안 설정, 소프트웨어 설치 정책 등을 정의한 그룹 정책 객체를 생성하고, 이를 조직 구성 단위에 연결한다. 이 정책은 도메인에 로그온하는 모든 구성원에게 자동으로 적용되어, 각종 설정이 중앙에서 정의된 표준에 맞게 유지되도록 보장한다. 이를 통해 개별 시스템을 일일이 설정해야 하는 번거로움과 오류 가능성을 크게 줄일 수 있다.
또한, 중앙 집중식 관리는 자원 공유와 접근 권한 관리의 효율성을 극대화한다. 모든 네트워크 리소스에 대한 접근 권한은 도메인 사용자 계정이나 보안 그룹을 기준으로 부여된다. 관리자는 각 리소스의 접근 제어 목록에서 특정 그룹에 읽기, 쓰기, 수정 권한 등을 할당함으로써, 복잡한 권한 구조를 체계적으로 관리할 수 있다. 사용자가 조직 내에서 이동하거나 역할이 변경될 때, 해당 사용자 계정이 속한 그룹 멤버십만 변경하면 여러 리소스에 대한 권한이 일괄 조정되는 이점이 있다.
결과적으로, 액티브 디렉터리 도메인 서비스의 중앙 집중식 관리 체계는 대규모 IT 인프라의 운영 비용을 절감하고 보안 정책의 일관성을 유지하며, 관리 효율성을 획기적으로 높이는 데 기여한다. 이는 윈도우 서버 기반 네트워크 환경을 효과적으로 운영하기 위한 필수적인 토대가 된다.
3.3. 디렉터리 서비스
3.3. 디렉터리 서비스
액티브 디렉터리 도메인 서비스의 핵심 기능인 디렉터리 서비스는 네트워크 상의 다양한 객체에 대한 정보를 중앙 집중적으로 저장하고 관리하는 계층적 데이터베이스 시스템이다. 이 서비스는 사용자, 컴퓨터, 프린터, 공유 폴더와 같은 네트워크 리소스들을 객체로 정의하고, 이들의 속성 정보를 LDAP 호환 디렉터리에 저장한다. 이를 통해 관리자는 복잡한 네트워크 환경에서도 모든 자원의 정보를 체계적으로 조회하고 관리할 수 있다.
디렉터리 서비스는 단순한 정보 저장을 넘어, 저장된 객체 간의 논리적 관계를 구성하는 데 중요한 역할을 한다. 조직 단위를 활용하여 회사의 부서 구조를 반영하거나, 보안 그룹과 배포 그룹을 생성하여 사용자와 컴퓨터를 논리적으로 묶을 수 있다. 이러한 계층적 구조와 그룹화는 권한 관리와 정책 적용의 기초가 되며, 대규모 네트워크에서 효율적인 관리를 가능하게 한다.
이 서비스는 LDAP 프로토콜을 표준으로 지원하여, LDAP를 이해하는 다양한 클라이언트 응용 프로그램이나 서비스가 디렉터리 정보를 질의하고 활용할 수 있도록 한다. 또한, 글로벌 카탈로그 서버는 포리스트 전체에 걸쳐 가장 자주 사용되는 객체 속성의 부분 복사본을 유지하여, 사용자 로그인이나 전역 검색 시 성능을 최적화한다. 디렉터리 서비스의 이러한 구조는 윈도우 서버 기반 인프라의 중추적인 정보 허브로서 작동하도록 설계되었다.
3.4. DNS 통합
3.4. DNS 통합
액티브 디렉터리 도메인 서비스는 자체적으로 DNS 서버 역할을 수행하거나 기존 DNS 서버와 긴밀하게 통합되어 작동한다. 이 통합은 도메인 컨트롤러의 위치를 클라이언트 컴퓨터에 알리고, 사용자 인증 요청을 올바른 서버로 라우팅하는 데 필수적이다. 특히, SRV 레코드를 사용하여 네트워크 상의 다양한 서비스(예: LDAP, Kerberos, 글로벌 카탈로그 서비스)를 제공하는 도메인 컨트롤러의 정확한 호스트 이름과 포트 번호를 등록한다.
액티브 디렉터리 설치 과정에서 DNS 서버 역할을 함께 구성하는 것이 일반적이다. 이렇게 설정된 DNS 존은 액티브 디렉터리 도메인과 동일한 이름을 가지며, 도메인 컨트롤러는 여기에 자신의 서비스 레코드를 동적으로 등록한다. 이 메커니즘은 도메인 컨트롤러가 추가되거나 제거될 때 DNS 정보가 자동으로 갱신되도록 보장하여 관리 부담을 줄인다. 또한, DNS를 통한 서비스 위치 확인은 사용자가 로그온할 때 가장 가까운 도메인 컨트롤러를 효율적으로 찾을 수 있게 한다.
DNS 통합 없이는 액티브 디렉터리 기반 네트워크가 정상적으로 기능할 수 없다. 클라이언트는 도메인 컨트롤러를 찾지 못해 도메인 가입이나 사용자 인증에 실패하게 된다. 따라서 액티브 디렉터리 환경을 구축할 때는 DNS 인프라의 신뢰성과 가용성을 반드시 확보해야 한다. 이 통합 구조는 윈도우 서버의 네트워크 관리 체계를 단순화하고 중앙 집중식 관리를 실현하는 핵심 기반이 된다.
3.5. 보안 정책 적용
3.5. 보안 정책 적용
액티브 디렉터리 도메인 서비스의 핵심 기능 중 하나는 중앙 집중화된 보안 정책을 네트워크 전체에 일관되게 적용하는 것이다. 이는 주로 그룹 정책이라는 메커니즘을 통해 이루어진다. 관리자는 그룹 정책 관리 콘솔을 사용하여 다양한 정책 설정을 정의하고, 이를 특정 사용자나 컴퓨터가 속한 조직 구성 단위 또는 도메인 전체에 연결한다. 이 정책들은 도메인 컨트롤러에 의해 저장되고, 클라이언트 컴퓨터가 부팅되거나 사용자가 로그인할 때 자동으로 적용되어 로컬 설정을 중앙에서 정의된 표준으로 덮어쓰게 된다.
적용되는 보안 정책의 범위는 매우 다양하다. 주요 영역으로는 암호 정책이 있으며, 이는 암호의 최소 길이, 복잡성 요구사항, 최대 사용 기간, 변경 이력 기억 등을 강제하여 계정의 보안 강도를 높인다. 또한 계정 잠금 정책을 설정하여 일정 횟수 이상의 실패한 로그인 시도가 발생하면 계정을 일시적으로 잠금 처리함으로써 무차별 대입 공격으로부터 보호한다. 감사 정책을 활성화하면 지정된 보안 관련 이벤트(예: 로그인 성공/실패, 파일 접근)에 대한 로그를 생성하도록 할 수 있다.
그룹 정책은 운영체제와 응용 프로그램의 보안 설정을 제어하는 데도 널리 사용된다. 이를 통해 Windows 방화벽 규칙, 사용자 권한 할당(예: 로컬 로그온 권한), 보안 옵션(예: 익명 연결 제한), 레지스트리 키 값, 특정 소프트웨어의 실행 제한 또는 허용 등을 중앙에서 관리할 수 있다. 이는 네트워크에 연결된 모든 엔드포인트의 보안 구성을 표준화하고, 취약점을 사전에 차단하는 데 기여한다.
이러한 보안 정책 적용 방식은 관리 효율성을 극대화한다. 수백 대의 컴퓨터에 대해 각각 로컬 보안 설정을 수동으로 구성할 필요 없이, 중앙에서 정책을 한 번 정의함으로써 광범위하고 신속한 배포가 가능하다. 또한 정책 변경이 필요할 때도 중앙 관리 지점에서 수정하면, 다음 그룹 정책 새로 고침 주기에 따라 관련된 모든 사용자와 컴퓨터에 자동으로 적용된다. 이는 대규모 기업 네트워크 환경에서 보안 준수 수준을 유지하고 규정 준수 요구사항을 충족시키는 데 필수적인 기능이다.
4. 설치 및 배포
4. 설치 및 배포
4.1. 도메인 설계
4.1. 도메인 설계
액티브 디렉터리 도메인 서비스의 도메인 설계는 전체 네트워크 인프라의 기초를 형성하는 중요한 단계이다. 설계 과정에서는 조직의 규모, 지리적 분포, 업무 요구사항, 보안 정책 등을 종합적으로 고려하여 도메인 컨트롤러의 배치, 포리스트와 도메인의 계층 구조, 트러스트 관계를 계획한다. 단일 도메인 구조는 중소 규모 조직에 적합한 반면, 복수의 도메인을 포함하는 포리스트 구조는 대규모 기업이나 지사가 분산된 조직에서 주로 채택된다.
도메인 설계의 핵심 요소는 네임스페이스 계획이다. 이는 DNS와 밀접하게 연관되어 있으며, 내부 네트워크 이름 확인의 근간이 된다. 일반적으로 회사의 공개 인터넷 도메인 이름을 기반으로 하거나, 별도의 내부 전용 도메인 이름을 사용할 수 있다. 설계 시에는 도메인의 기능적 역할, 예를 들어 사용자 계정을 관리하는 계정 도메인과 리소스를 호스팅하는 리소스 도메인을 분리할지 여부도 결정해야 한다.
또한 설계 단계에서 사이트 개념을 정의하여 물리적 네트워크 토폴로지를 논리적 디렉터리 구조에 매핑하는 것이 중요하다. 사이트는 잘 연결된 TCP/IP 서브넷 그룹으로 구성되며, 이를 통해 사용자 인증 트래픽이 가장 가까운 도메인 컨트롤러로 유도되고, 디렉터리 복제 트래픽이 효율적으로 관리될 수 있다. 이는 대역폭 사용을 최적화하고 사용자 로그온 성능을 향상시키는 데 기여한다.
4.2. 도메인 컨트롤러 설치
4.2. 도메인 컨트롤러 설치
도메인 컨트롤러 설치는 액티브 디렉터리 인프라를 구축하는 핵심 단계이다. 이 과정은 윈도우 서버 운영체제에 Active Directory 도메인 서비스 역할을 추가하고 구성하는 것을 포함한다. 설치를 위해서는 먼저 네트워크 설정, 특히 DNS 서버 구성이 올바르게 되어 있어야 하며, 서버에 고정 IP 주소가 할당되어 있어야 한다.
설치는 서버 관리자 도구를 통해 그래픽 사용자 인터페이스로 진행하거나, PowerShell 스크립트를 사용하여 자동화할 수 있다. 설치 마법사는 관리자에게 새 포리스트를 생성할지, 기존 도메인에 추가 도메인 컨트롤러를 설치할지 선택하도록 한다. 또한 도메인 이름과 포리스트 기능 수준 같은 중요한 설정을 구성하는 단계를 안내한다.
설치가 완료되면 서버는 자동으로 다시 시작되며, 이후 정상적인 도메인 컨트롤러로 작동하게 된다. 새로 설치된 도메인 컨트롤러는 Active Directory 데이터베이스를 호스팅하고, 도메인에 가입한 사용자 및 컴퓨터 계정의 인증 요청을 처리하며, 그룹 정책을 복제 및 적용하는 역할을 수행한다. 여러 대의 도메인 컨트롤러를 배포하여 가용성과 내결함성을 높이는 것이 일반적이다.
4.3. 포리스트 및 도메인 구성
4.3. 포리스트 및 도메인 구성
액티브 디렉터리 도메인 서비스의 논리적 구조는 포리스트와 도메인이라는 계층적 개념을 기반으로 구성된다. 포리스트는 액티브 디렉터리 배포의 최상위 컨테이너이며, 하나 이상의 도메인으로 이루어진다. 각 포리스트는 독립적인 스키마, 구성 파티션, 글로벌 카탈로그를 공유하며, 포리스트 내의 모든 도메인은 자동으로 양방향 전이적 트러스트 관계를 형성한다. 이는 사용자와 컴퓨터가 포리스트 내 어느 도메인에서도 인증을 받을 수 있게 하는 기반이 된다.
도메인은 사용자, 컴퓨터, 그룹과 같은 객체를 관리하는 관리 경계이자 보안 경계의 기본 단위이다. 각 도메인은 고유한 정책과 관리 권한을 가지며, 자체적인 사용자 계정 데이터베이스를 보유한다. 단일 도메인으로 시작하는 구성이 일반적이지만, 조직의 지리적 분산이나 부서별 독립적인 관리 필요성에 따라 자식 도메인을 추가하여 트리 구조를 형성할 수 있다.
포리스트와 도메인을 설계할 때는 관리 모델, 복제 트래픽, 보안 요구사항을 고려해야 한다. 단일 도메인 포리스트는 구조가 단순하고 관리 부담이 적지만, 다중 도메인 포리스트는 각 도메인에 별도의 관리자를 배치하거나 보안 정책을 분리할 수 있는 장점이 있다. 또한, 글로벌 카탈로그 서버의 배치 전략은 포리스트 전체에서 객체 검색 성능에 직접적인 영향을 미친다.
이러한 논리적 구성은 실제 물리적 네트워크 인프라에 배포되는 사이트와 서브넷 객체를 통해 연결된다. 사이트 구성은 도메인 컨트롤러 간의 복제 트래픽이 WAN 링크를 효율적으로 사용하도록 최적화하는 데 핵심적 역할을 한다. 따라서 포리스트 및 도메인 구성은 액티브 디렉터리의 확장성, 관리 효율성, 보안을 결정하는 토대가 된다.
5. 관리 및 운영
5. 관리 및 운영
5.1. 사용자 및 그룹 관리
5.1. 사용자 및 그룹 관리
액티브 디렉터리 도메인 서비스의 핵심 기능 중 하나는 중앙 집중화된 사용자 계정 및 컴퓨터 계정 관리이다. 관리자는 Active Directory 사용자 및 컴퓨터 콘솔과 같은 도구를 통해 네트워크 상의 모든 사용자, 그룹, 컴퓨터 객체를 생성, 수정, 삭제할 수 있다. 각 사용자 계정에는 로그온 이름, 암호, 프로필 경로, 그룹 멤버십 등과 같은 속성이 포함되어 있으며, 이를 통해 개별 사용자에게 필요한 리소스 접근 권한과 환경을 정의한다.
사용자 관리를 효율화하기 위해 액티브 디렉터리는 그룹 개념을 제공한다. 그룹은 사용자나 컴퓨터 계정의 컬렉션으로, 권한과 사용자 권리를 한 번에 여러 객체에 할당하는 데 사용된다. 그룹은 주로 보안 그룹과 배포 그룹으로 구분되며, 보안 그룹은 리소스에 대한 접근 권한을 부여하는 데 사용되고, 배포 그룹은 이메일 배포 목록과 같은 비보안 목적으로 사용된다. 관리자는 조직 구조에 맞게 그룹을 중첩하여 복잡한 권한 구조를 단순화할 수 있다.
사용자와 그룹을 효과적으로 관리하기 위해 조직 구성 단위가 활용된다. OU는 디렉터리 내에서 사용자, 그룹, 컴퓨터 및 기타 객체를 논리적으로 그룹화하는 컨테이너이다. 관리자는 OU를 기반으로 위임 관리를 수행하여 특정 OU에 대한 관리 권한을 다른 사용자나 그룹에게 부여할 수 있으며, OU 단위로 그룹 정책을 적용하여 해당 OU 내 모든 객체에 일관된 설정을 강제할 수 있다. 이는 대규모 조직에서 관리 업무를 분산시키고 효율성을 높이는 데 필수적이다.
5.2. 그룹 정책 관리 콘솔
5.2. 그룹 정책 관리 콘솔
그룹 정책 관리 콘솔은 마이크로소프트 윈도우 서버 환경에서 그룹 정책을 생성, 편집, 관리 및 배포하기 위한 중앙 관리 도구이다. 이 콘솔은 그룹 정책 개체의 라이프사이클을 전반적으로 제어할 수 있도록 설계되었으며, 도메인 컨트롤러에 저장된 정책 설정을 시각적으로 구성하고 적용 범위를 지정하는 데 사용된다. 관리자는 이 도구를 통해 사용자 데스크톱 환경, 보안 설정, 소프트웨어 설치, 스크립트 실행 등 광범위한 정책을 중앙에서 정의하고 네트워크에 연결된 모든 컴퓨터와 사용자 계정에 일괄 적용할 수 있다.
주요 기능으로는 GPO 생성 및 링크, 설정 편집, 정책 결과 집합 시뮬레이션, 정책 상속 및 충돌 해결, 보고서 생성 등이 포함된다. 콘솔은 계층적 구조를清晰하게 보여주어, 정책이 적용되는 순서와 우선순위를 이해하고 관리하는 데 도움을 준다. 예를 들어, 정책은 사이트, 도메인, 조직 구성 단위 수준에서 링크될 수 있으며, 이 콘솔을 통해 각 수준에서의 적용 결과를 미리 확인할 수 있다.
관리 작업은 주로 그룹 정책 관리 편집기라는 내장 편집기를 통해 수행된다. 이 편집기 내에서는 컴퓨터 구성과 사용자 구성으로 카테고리가 나뉘며, 각 카테고리 아래에 보안 옵션, 관리 템플릿, Windows 구성 요소 등 수백 가지의 세부 설정이 트리 구조로 정리되어 있다. 이러한 중앙 집중식 관리 방식을 통해 IT 관리자는 네트워크 전반의 설정을 표준화하고, 보안 기준을 강화하며, 운영 효율성을 크게 높일 수 있다.
5.3. 모니터링 및 유지 보수
5.3. 모니터링 및 유지 보수
액티브 디렉터리 도메인 서비스의 안정적인 운영을 위해서는 지속적인 모니터링과 체계적인 유지 보수가 필수적이다. 관리자는 이벤트 뷰어를 통해 도메인 컨트롤러의 시스템, 보안, 애플리케이션 로그를 주기적으로 점검하여 오류, 경고 또는 의심스러운 로그인 시도를 확인한다. 또한 성능 모니터를 활용하여 CPU 사용률, 메모리 사용량, 디스크 I/O, 네트워크 트래픽, NTDS 서비스의 성능 카운터 등을 추적하여 시스템 병목 현상이나 자원 부족을 사전에 감지할 수 있다. 이러한 모니터링은 도메인 컨트롤러의 건강 상태를 평가하고 잠재적인 문제를 조기에 해결하는 데 도움이 된다.
정기적인 유지 보수 작업에는 Active Directory 데이터베이스의 무결성 검사와 조각 모음이 포함된다. 관리자는 명령줄 도구인 ntdsutil을 사용하여 데이터베이스의 온라인 조각 모음을 수행하거나, 오프라인 상태에서 더 철저한 무결성 검사와 복구 작업을 실행할 수 있다. 또한 가비지 컬렉션 프로세스가 제대로 실행되어 삭제된 객체가 정해진 보존 기간 후에 완전히 제거되도록 확인해야 한다. DNS 서버의 레코드, 특히 SRV 레코드가 정확하게 등록되어 있는지 점검하는 것도 중요하며, 이는 클라이언트 컴퓨터가 도메인 컨트롤러를 정상적으로 찾을 수 있게 보장한다.
백업과 복구 계획은 유지 보수의 핵심 요소이다. 윈도우 서버 백업 도구나 타사 솔루션을 이용해 시스템 상태 백업을 정기적으로 수행해야 하며, 여기에는 액티브 디렉터리 데이터베이스가 포함된다. 백업 일정과 보관 주기를 명확히 수립하고, 재해 복구 절차를 정기적으로 테스트하여 실제 장애 발생 시 신속하게 복구할 수 있도록 준비해야 한다. 또한 그룹 정책의 적용 상태를 점검하고, 사용되지 않는 사용자 및 컴퓨터 계정을 정리하며, 보안 그룹의 구성원 자격을 검토하는 등의 정책적 유지 관리도 지속적으로 이루어져야 한다.
6. 보안
6. 보안
6.1. 인증 프로토콜
6.1. 인증 프로토콜
액티브 디렉터리 도메인 서비스의 핵심 보안 기능은 네트워크 리소스에 대한 접근을 제어하는 강력한 인증 프로토콜을 제공하는 데 있다. 초기에는 NTLM 프로토콜이 주로 사용되었으나, 보안 취약점이 지속적으로 발견되면서 더 안전한 프로토콜로의 전환이 이루어졌다.
현대 액티브 디렉터리 환경의 표준 인증 프로토콜은 Kerberos 프로토콜이다. 이 프로토콜은 티켓 기반의 강력한 상호 인증 방식을 사용하여, 사용자와 서비스 모두의 신원을 확인하고 통신 세션에 대한 암호화를 제공한다. 이를 통해 패스워드가 네트워크를 통해 평문으로 전송되는 것을 방지하고, 재전 공격과 같은 위협으로부터 보호한다.
또한, 다양한 인증 요구 사항과 보안 수준을 지원하기 위해 확장 가능한 인증 프로토콜을 포함한 다른 프로토콜도 함께 사용될 수 있다. 예를 들어, 스마트 카드 기반의 인증이나 생체 인식 시스템을 통합할 때 이러한 확장 메커니즘이 활용된다. 액티브 디렉터리는 이러한 인증 프로토콜들을 중앙에서 관리하고 정책에 따라 적용할 수 있도록 함으로써 조직의 보안 요구사항을 유연하게 충족시킨다.
6.2. 액세스 제어
6.2. 액세스 제어
액세스 제어는 액티브 디렉터리 도메인 서비스의 핵심 보안 기능으로, 디렉터리 내 객체와 네트워크 리소스에 대한 접근을 세밀하게 규제한다. 이는 사용자 인증 이후에 어떤 작업을 수행할 수 있는지를 결정하는 권한 부여 과정에 해당하며, 윈도우 서버 환경에서 보안 정책을 실현하는 기본 메커니즘이다.
액세스 제어의 구현은 주로 보안 주체(사용자, 컴퓨터, 그룹)에 할당된 권한과 각 객체에 부착된 보안 설명자를 기반으로 한다. 보안 설명자에는 해당 객체의 소유자 정보와 액세스 제어 목록이 포함되어 있다. 액세스 제어 목록은 다시 객체에 접근할 수 있는 보안 주체와 허용 또는 거부할 특정 권한을 정의한 액세스 제어 항목들의 집합으로 구성된다.
관리자는 그룹 정책을 통해 광범위한 액세스 제어 설정을 중앙에서 정의하고 배포할 수 있으며, 조직 구성 단위를 활용하여 관리 범위와 정책 적용 대상을 세분화한다. 또한, 상속 기능을 통해 상위 컨테이너에서 설정된 권한이 하위 객체로 자동 전파되도록 구성하여 관리 효율성을 높일 수 있다.
액세스 제어 모델은 최소 권한의 원칙을 지원하여, 사용자나 프로세스가 작업 수행에 필요한 최소한의 권한만을 부여받도록 설계된다. 이를 통해 불필요한 권한 상승으로 인한 보안 위협을 줄이고, 감사 및 로깅 기능과 연동하여 비정상적인 접근 시도를 모니터링하고 추적하는 데 기여한다.
6.3. 감사 및 로깅
6.3. 감사 및 로깅
액티브 디렉터리 도메인 서비스의 감사 및 로깅 기능은 사이버 보안과 규정 준수를 위한 핵심 요소이다. 이 기능은 도메인 컨트롤러와 다른 네트워크 자원에서 발생하는 다양한 보안 관련 이벤트를 기록하여, 관리자가 시스템 활동을 모니터링하고, 의심스러운 행위를 탐지하며, 사고 발생 시 원인을 분석할 수 있도록 지원한다. 주요 감사 정책은 그룹 정책을 통해 중앙에서 구성 및 배포되며, 사용자 계정 로그인 시도, 파일 및 폴더 접근, 정책 변경 등 광범위한 이벤트를 대상으로 할 수 있다.
기록된 이벤트 로그는 윈도우 이벤트 뷰어 도구를 통해 확인하고 분석할 수 있다. 로그는 크게 보안 로그, 응용 프로그램 로그, 시스템 로그 등으로 분류되며, 특히 보안 로그는 감사 정책에 따라 성공 및 실패한 이벤트를 상세히 기록한다. 이를 통해 무단 접근 시도나 내부 위협을 식별하는 데 활용된다. 효과적인 로그 관리를 위해서는 로그의 크기와 보존 기간을 적절히 설정하고, 중요한 로그는 중앙 로그 서버로 전송하여 안전하게 보관하는 것이 권장된다.
7. 통합 및 호환성
7. 통합 및 호환성
7.1. Windows 서버와의 통합
7.1. Windows 서버와의 통합
액티브 디렉터리 도메인 서비스는 마이크로소프트의 윈도우 서버 운영 체제와 깊게 통합된 핵심 서비스이다. 이 서비스는 윈도우 서버의 역할 중 하나로 제공되며, 서버 운영 체제를 설치한 후 'Active Directory 도메인 서비스' 역할을 추가함으로써 배포된다. 이러한 통합 구조는 윈도우 기반 네트워크 인프라의 관리와 보안을 위한 표준 플랫폼을 제공한다.
윈도우 서버와의 긴밀한 통합은 인증 및 권한 부여 과정에서 두드러진다. 윈도우에 로그온하는 사용자는 액티브 디렉터리의 도메인 컨트롤러를 통해 자격 증명을 확인받으며, 이 인증 정보는 파일 서버 접근, 프린터 사용, 응용 프로그램 실행 등 네트워크 내 다양한 리소스에 대한 접근을 허가하는 데 연계되어 사용된다. 또한, 그룹 정책을 통한 중앙 집중식 관리는 윈도우 클라이언트와 서버의 보안 설정, 소프트웨어 배포, 환경 구성을 일관되게 제어할 수 있는 기반을 마련한다.
이 통합은 DNS 서버, DHCP 서버, 인증서 서비스 등 윈도우 서버의 다른 네트워크 서비스들과도 원활하게 연동된다. 특히 DNS는 도메인 이름을 IP 주소로 변환하는 기능 외에도 도메인 컨트롤러의 위치를 등록하고 찾는 데 필수적인 서비스로 작동하여, 액티브 디렉터리의 정상 운영을 뒷받침한다. 이러한 설계는 순수한 디렉터리 서비스 이상으로, 윈도우 생태계 전체를 관리하는 포괄적인 ID 관리 및 정책 관리 프레임워크의 역할을 가능하게 한다.
7.2. 다른 디렉터리 서비스와의 연동
7.2. 다른 디렉터리 서비스와의 연동
액티브 디렉터리 도메인 서비스는 마이크로소프트 생태계 외부의 다른 디렉터리 서비스와도 연동하여 하이브리드 IT 환경을 구축할 수 있다. 가장 일반적인 연동 시나리오는 LDAP 기반의 오픈소스 디렉터리 서비스, 예를 들어 OpenLDAP이나 389 Directory Server와의 통합이다. 이를 통해 리눅스나 유닉스 기반의 애플리케이션이 액티브 디렉터리의 사용자 정보를 읽거나 인증을 수행할 수 있다. 또한, 마이크로소프트는 Azure Active Directory와의 연동을 통해 클라우드와 온프레미스 환경을 통합하는 하이브리드 신원 모델을 적극적으로 지원하고 있다.
다른 상용 디렉터리 서비스와의 연동도 중요한 고려 사항이다. 예를 들어, IBM의 Security Directory Server나 오라클 디렉터리 서버와 같은 엔터프라이즈급 솔루션과의 연동이 필요할 수 있다. 이러한 연동은 주로 메타 디렉터리나 ID 페더레이션 솔루션을 통해 이루어지며, 서로 다른 시스템 간에 사용자 계정 정보를 동기화하거나 단일 인증 체계를 제공하는 데 목적이 있다. 이를 통해 조직은 기존 투자를 보호하면서도 액티브 디렉터리의 관리 편의성을 확장할 수 있다.
연동을 구현하는 주요 기술로는 LDAP 프로토콜, SAML, OAuth, Kerberos 위임 등이 사용된다. 특히 페더레이션 트러스트를 구성하면 서로 다른 포리스트나 완전히 별개의 디렉터리 서비스 간에 사용자가 자원에 접근할 수 있는 싱글 사인온 환경을 만들 수 있다. 이러한 연동 작업은 복잡한 보안 정책과 네임스페이스 설계가 수반되므로, 신중한 계획과 테스트가 필수적이다.
8. 문제 해결
8. 문제 해결
8.1. 일반적인 문제
8.1. 일반적인 문제
액티브 디렉터리 도메인 서비스 운영 중에는 여러 일반적인 문제가 발생할 수 있다. 가장 빈번한 문제 중 하나는 사용자 인증 실패이다. 이는 잘못된 비밀번호 입력, 계정 잠금, 또는 도메인 컨트롤러와의 네트워크 연결 문제로 인해 발생한다. 특히 복제 지연이나 실패로 인해 한 도메인 컨트롤러에서는 비밀번호 변경이 적용되었지만 다른 도메인 컨트롤러에는 아직 전파되지 않아 인증 불일치가 생길 수 있다. 또한, 시간 동기화 문제는 Kerberos 인증 프로토콜에 치명적 영향을 미쳐 인증을 실패하게 만든다.
그룹 정책 적용 문제도 흔히 접할 수 있다. 정책이 예상대로 적용되지 않거나 충돌이 발생하는 경우가 있다. 이는 그룹 정책 개체의 링크 순서, 상속 차단, 보안 필터링 설정 오류, 또는 네트워크 대역폭 문제로 인한 정책 다운로드 실패 때문일 수 있다. 관리자는 그룹 정책 관리 콘솔과 그룹 정책 결과 또는 그룹 정책 모델링 도구를 사용해 정책 적용 상태를 진단해야 한다.
도메인 컨트롤러 간의 복제 실패는 전체 액티브 디렉터리 환경의 건강 상태를 위협하는 심각한 문제이다. 복제 실패는 네트워크 방화벽 설정, DNS 이름 해석 오류, 또는 디렉터리 서비스 데이터베이스의 손상으로 인해 발생할 수 있다. 복제 문제는 사용자 정보와 보안 정책의 일관성을 해치며, 장기화될 경우 도메인 분할 현상을 초래할 수 있다. 액티브 디렉터리 사이트 및 서비스 관리 도구를 통해 복제 토폴로지를 확인하고 문제를 해결할 수 있다.
기타 일반적인 문제로는 DNS 등록 오류, FSMO 역할 소유자 관련 문제, 디스크 공간 부족으로 인한 데이터베이스 작동 중단 등이 있다. 또한, 레거시 애플리케이션이 새로운 인증 프로토콜을 지원하지 않아 발생하는 호환성 문제도 있다. 이러한 문제들은 대부분 시스템 이벤트 로그를 확인하고, 마이크로소프트에서 제공하는 전용 진단 도구들을 활용하여 원인을 규명하고 해결할 수 있다.
8.2. 진단 도구
8.2. 진단 도구
액티브 디렉터리 도메인 서비스의 문제를 식별하고 해결하기 위해 마이크로소프트는 다양한 진단 도구를 제공한다. 이러한 도구는 시스템 관리자가 서비스 상태를 확인하고, 복제 문제를 진단하며, 인증 오류를 추적하고, 전반적인 디렉터리 서비스의 건강 상태를 모니터링하는 데 필수적이다.
주요 명령줄 도구로는 dcdiag와 repadmin이 있다. dcdiag는 도메인 컨트롤러의 전반적인 상태를 종합적으로 진단한다. 이 도구는 네트워크 연결, DNS 확인, 복제 상태, 보안 설정 등 광범위한 테스트를 실행하여 잠재적 문제를 보고한다. repadmin은 복제 문제에 특화된 도구로, 도메인 컨트롤러 간의 복제 파트너 관계를 표시하고, 복제 대기열을 확인하며, 복제 오류를 강제로 동기화하는 데 사용된다. 또한 nltest는 도메인 컨트롤러 위치, 트러스트 관계 확인, 강제 사용자 인증 시험 등에 활용된다.
그래픽 사용자 인터페이스를 제공하는 도구로는 액티브 디렉터리 사이트 및 서비스와 액티브 디렉터리 사용자 및 컴퓨터의 고급 기능이 있다. 여기서 복제 토폴로지를 시각적으로 확인하고 복제를 트리거할 수 있다. 또한 이벤트 뷰어는 시스템, 보안, 디렉터리 서비스 로그를 검토하여 오류나 경고 이벤트를 찾는 데 핵심적이다. 성능 모니터는 NTDS 객체에 대한 성능 카운터를 추가하여 도메인 컨트롤러의 성능과 부하를 실시간으로 모니터링할 수 있게 한다.
네트워크 수준의 문제를 분석할 때는 네트워크 모니터나 Wireshark와 같은 패킷 캡처 도구가 유용하다. 이 도구들은 LDAP 쿼리, 인증 트래픽, DNS 쿼리 등의 네트워크 통신을 분석하여 프로토콜 수준의 문제를 발견하는 데 도움을 준다. 마지막으로, 액티브 디렉터리 도메인 서비스 구성 진단은 Windows Server의 서버 관리자 내 통합 진단 환경을 통해 시스템 구성 요소의 상태를 한눈에 확인할 수 있도록 지원한다.
