SID 재설정하기

VMware와 같은 가상 머신을 이용하여 운영체제 실습을 하거나 Ghost로 복제된 시스템을 배포하여 Active Directory로 구성할 경우 SID 중복으로 인해 에러가 발생하는 경우가 많다. SID(Security IDentifier)는 보안식별자라고 하며 사용자, 그룹, 컴퓨터 등을 유일하게 만드는 식별번호이다. 해당 객체는 삭제후 동일한 이름으로 다시 만들더라도 다른 SID를 가짐으로써 유일성을 보장받는다. 도메인내에 중복된 SID는 원칙적으로 존재하여서는 안되는데, VMware나 Ghost 등에 의해 복제된 시스템은 이 SID의 중복으로 인해 문제가 발생하는 것이다.

이경우 Sysrep와 같은 유틸리티를 이용하여 배포하는 방법도 있으나 여기에 소개하는 NewID.exe를 사용하면 간단히 SID를 재할당과 호스트 이름 변경을 한꺼번에 할 수 있다.

다음 경로에서 NewID 압축 파일을 내려받아 압축을 해제한다.

내려받기 : http://technet.microsoft.com/en-us/sysinternals/bb897418.aspx
첨부파일 :

invalid-file

1. 압축을 풀고 NewID.exe 파일을 실행한다.

그림1. NewID 실행

그림2. SID 발급 방법 선택

그림3. SID 발급중

그림4. 컴퓨터 이름 변경 옵션

그림5. SID 생성 전, 후 코드 확인 / 자동 반영 옵션

그림6. SID 시스템 반영

Active Directory 설치 마법사를 이용한 설치

앞서 사용자 서버 관리 도구를 이용한 설치를 살펴보았습니다. 이번에는 액티브 디렉터리 설치 마법사를 이용한 설치를 살펴보겠습니다. 대부분의 참고서적은 액티브 디렉터리 설치 마법사를 이용하여 액티브 디렉터리를 설치하는 예를 보이고 있으며 실제 설치를 진행해보면 사용자 서버 관리 도구에서 역할 추가를 하는 것보다 깔끔하고 상세한 설정을 할 수 있는 여지가 더 많습니다.
설치전 다시 한번 짚고 넘어가야겠지만 액티브 디렉터리는 DNS 서비스를 직접적으로 이용하므로 액티브 디렉터리가 설치되는 도메인 컨트롤러(윈도우 서버 2003 서버)는 고정 IP를 사용해야하며 TCP/IP 설정에서 사용 가능한 DNS 서버의 IP주소가 등록되어 있어야 합니다. 일단 편의상 TCP/IP 설정의 DNS 서버를 현재 액티브 디렉터리를 설치할 도메인 컨트롤러(로컬 컴퓨터)의 IP 주소로 등록시켜 놓겠습니다.
액티브 디렉터리 설치 최종 단계에서 DNS 서버에서 현재 사용할 도메인 이름(DC name)을 확인하게 되는데 DNS에 등록된 이름이 아닐 경우 에러를 발생시킵니다.(에러는 무시해도 됩니다.)
그럼 실행 명령행에 dcpromo.exe를 입력하여 Active Directory 설치 마법사를 실행합니다.

그림1. Active Directory 설치 마법사 실행

그림2. Active Directory 설치 마법사 실행

그림3. 운영체제 호환성 경고 표시 - 이전 버전의 도메인 설정에 영향을 줄 수 있다는 경고를 표시한다. 무시해도 좋다.

도메인 컨트롤러의 종류를 선택하는 대화상자가 표시됩니다. 액티브 디렉터리를 처음 설치하는 것이므로 '새 도메인의 도메인 컨트롤러'를 선택하고 다음 단계로 설치를 진행합니다. 추후 도메인 구성시 '기존 도메인의 추가 도메인 컨트롤러'를 선택하여 하위 도메인이나 제2의 도메인 컨트롤러로써 설치를 할 수 있습니다.

그림4. 첫 번째 도메인 컨트롤러 설치 - 새 도메인의 도메인 컨트롤러 선택

최초 설치시 설정되는 도메인은 포리스트의 루트 트리이면서 루트 도메인으로 설치됩니다. '새 도메인의 도메인 컨트롤러'를 선택하여 다음 단계로 진행합니다.

그림5. 새 도메인 만들기 - 첫 번째 도메인 설치: 새 포리스트에 있는 도메인 선택

도메인 이름은 DNS에 등록된 이름을 쓰는 것이 원칙이나 DNS에 등록된 도메인 이름이 없거나 사내에서만 사용할 이름의 경우 DNS 사용가능한 이름으로 임의의 이름을 지정하여 사용합니다. 여기서는 'jeongsam.net'이라는 이름을 사용하여 설치하겠습니다. 그리고 윈도우 2000 이전 버전의 윈도우 운영체제들(윈도우 95/98, NT 등)과 Mac OS와 리눅스 등 윈도우와 공유할 수 있는 운영체제들을 위해 NetBIOS 이름을 추가로 지정해줍니다. 참고로 NetBIOS 이름은 길이가 14자이하여야 합니다. 대부분의 경우 기본값을 그대로 이용하면 됩니다.

그림6. 도메인 이름 지정

그림7. NetBIOS 이름 지정

액티브 디렉터리는 사용자 및 그룹 계정 정보, 컴퓨터, 공유 폴더, 프린터외에 다양한 정보를 액티브 디렉터리 데이버베이스와 로그 파일에 저장합니다. 이 두 파일은 FAT 형식의 파일 시스템에도 저장이 가능합니다. 성능 향상을 위해 데이터베이스와 로그파일의 위치를 별개의 물리적 디스크로 분리시키는 것도 고려할 방법입니다.

그림8. Active Directory 데이터베이스와 로그파일의 지정

다음 단계는 SYSVOL의 설치 위치를 지정하는 단계로 반드시 NTFS 상에 설치되어야 합니다. SYSVOL은 도메인 컨트롤러간의 복제에 사용되는 디렉터리입니다.

그림9. SYSVOL 폴더의 설치

액티브 디렉터리 도메인 이름이 DNS에 사용중이 이름이 아닌 경우 이를 경고로 표시해주고 관리자에게 관련 작업을 진행할 수 있도록 합니다. DNS 서비스를 설치하도록 두번째 항목을 선택합니다. 첫 번째 도메인 컨트롤러의 설치라면 대부분 만나는 문제이므로 무시하고 다음 단계로 설치를 계속 진행합니다.

그림10. 진단 실패 - 현재 도메인 이름이 DNS에 등록되어 있지 않았다. 무시한다.

액티브 디렉터리는 이전 버전인 윈도우 NT와의 호환을 위한 Mixed mode와 윈도우 2000 이상으로 구성된 네트워크를 위한 Native mode를 지원합니다. 여기서는 Native mode로 설치를 진행합니다. 이전 버전의 윈도우가 없을 경우 최대 성능을 얻기위해 Native mode를 추천합니다.

그림11. Native Mode로 설치

도메인 컨트롤러의 장애로 액티브 디렉터리의 데이터베이스에 오류가 발생하였을 경우 복원을 위해 Administrator 사용자로 로그인하여야 하는데 액티브 디렉터리에 문제가 생긴 상태이므로 로그인을 할 수 없게 됩니다. 이러한 경우 복원을 위한 Administrator의 암호를 SAM으로부터 읽어 올 수 있도록 암호를 저장합니다. 액티브 디렉터리가 설치되지 않은 단독 서버(stand-alone server)는 SAM에 로컬 계정 정보를 저장하지만 액티브 디렉터리가 설치되어 도메인 컨트롤러로 동작하게 되면 더이상 로컬 계정을 사용하지 않고 도메인 계정을 사용하게 되는데 이때 도메인 계정들은 액티브 디렉터리의 데이터베이스에 저장되어 SAM은 사용되지 않습니다. 그러한 이유로 이 단계에서 저장된 암호는 SAM에 저장되고 평상시에는 사용되지 않습니다.

그림12. 복구용 암호 저장

이제 최종적으로 설치 정보를 요약하여 확인하게 하고 설치가 진행됩니다.

그림13. 설치 옵션 요약 표시

그림14. 설치 중

그림15. 설치 완료

그림16. 설치후 재시작

그림17. 설치 완료

Active Directory (AD) 소개

1. AD의 역할, 기능, 역사

액티브 디렉터리(AD; Active Directory)는 업계 표준인 X.500과 LDAP(Lightweight Directory Access Protocol)를 이용하여 디렉터리안의 모든 객체를 손쉽게 검색하고 중앙집중적으로 관리할 수 있게 한다.

▷ 객체(Object) 사용자, 그룹, 컴퓨터, 서버, 도메인, 사이트 등을 의미하며 이러한 객체들을 AD내에서 검색하기 위해 객체의 이름에 기반한다.

▷ 스키마(Schema) 모든 객체 유형과 그 속성들의 정의. 객체 클래스와 속성의 2가지 형태 정의가 저장된다. 스키마는 사용자의 어플리케이션으로 검색될 수 있으며 사용자 정의 객체 클래스와 속성을 사용하도록 허락되도록 변경될 수 있다. 권한 없이 변경되는 것을 막기위해 임의 접근 제어 리스트(DACL; Discretionary Access Control List)를 사용하여 각 객체의 보안을 유지한다. 이러한 DACL은 오직 권한이 있는 사용자만이 스키마에 접근할 수 있다.

▷ 디렉터리 서비스 프로토콜 액티브 디렉터리는 산업 표준인 LDAP를 이용하여 디렉터리 내에서 데이터와 같은 필요한 서비스를 요청하고 데이터를 업데이트 하기 위해 사용한다.

2. AD의 구성

1) 논리적 구성

▷ 도메인 (Domain) 다른 네트워크를 구별짓는 보안 경계(Security boundary)로, 각 도메인은 네트워크를 관리할 관리자 계정들을 가지고 있고, 그 관리자 계정들은 도메인 전역 또는 정해진 도메인 관리를 위한 전체(full control) 권한을 할당 받을 수 있다. 도메인은 자신의 사용자들과 그룹들을 가지고 있으며 이러한 사용자들은 필요시 다른 도메인에서 권한을 부여 받을 수 있다. 도메인은 복제 목적으로도 사용된다. 도메인 안에 있는 도메인 컨트롤러(DC; Domain Controller)는 서로 복제하여 도메인 정보를 공유한다.

▷ 조직 단위 (Organization Unit) 디렉토리 내에서 객체를 구성하기 위해 사용되는 컨테이너 객체(Container Object)이다. OU들은 보통 사용자 객체와 그룹 객체를 포함하고 그밖에 컴퓨터와 다른 OU들을 포함할 수 있다. 권한의 지정은 OU 단계에서 할당되며 특정 사용자들에게 관리자적 권한을 부여하기 위해 할당된다.

▷ 트리 (Tree) 도메인은 트리 구조로 병합되며 첫번째 설치된 도메인을 루트 도메인(Root domain)이라고 한다. 트리내의 모든 도메인은 공통 스키마와 공통 글로벌 카달로그를 공유한다. 트리에서 계층 구조를 구성하는 도메인들은 인터넷 Domain 이름과 같이 사용된다. 예를 들어 "myad.local"이라고 루트 도메인을 만들고 하위에 두번째로 만들어진 "myou"라는 도메인의 전체 이름은 "myou.myad.local"이 된다.

▷ 포리스트 (Forest) 트리의 집합이며 포리스트안의 트리들은 인접 이름 공간(contiguous namespace)를 공유할 필요가 없다. 즉 트리와 같이 계층 구조의 이름을 가질 필요가 없으며 각자 루트 도메인을 유지한채 공통적인 스키마와 글로벌 카달로그를 공유한다. 이때 두 트리는 양방향 트러스트(trust) 관계를 통해 서로 합쳐진다.

▷ 글로벌 카달로그 (GC; Global Catalog) 포리스트 안에 있는 공통적으로 많이 검색되어지는 속성으로 정의된 것들의 부분을 가지고 있다. 글로벌 카달로그는 사용자가 접근 권한을 이용해 포리스트내 자원의 접근을 제어하여 원격지 도메인에 있는 도메인 컨트롤러에 접근하지 못하도록 하여 네트워크 트래픽을 감소시킬 수 있다. 그리고 윈도우 2003 네트워크가 가려지는 논리적인 구조를 만들 수 있도록 한다.

2) 물리적 구성

▷ 도메인 컨트롤러 (DC; Domain Controller) 액티브 디렉토리(AD; Active Directory) 데이터베이스의 복사본을 저장하는 윈도우 2003 네트워크 상에 있는 서버. DC는 데이터에 변화가 있을시 도메인 내의 다른 도메인에게 변경 사항을 복제해주어야 한다. 소규모 네트워크에서는 2개의 DC만 있으면 되고 결함허용 목적으로는 2대이상이 권장된다. 그리고 DC는 사용자가 네트워크에 로그인할 때 인증을 담당한다. 인증을 통해 그룹 멤버쉽(group membership)과 각 사용자에 대한 권한을 가지고 있는 보안 토큰(security token)을 할당한다.

▷ 사이트 (Site) 빠른 속도(보통 10Mbps 이상)의 링크로 연결된 하나 또는 그 이상의 IP 서브넷의 그룹으로 정의 한다. 사이트는 AD 복제 트래픽과 사용자 인증을 최적화하기 위해 네트워크 상에서 사용된다.

3. AD를 이용한 Windows 2003 Server의 관리

▷ 중앙 집중적인 관리 (Centralized management) AD는 중앙집중적으로 데이터를 저장하여 관리자로 하여금 객체 관리를 쉽게 한다. AD는 OU를 통해 객체를 그룹화하고 다중 단계(multiple level)와 상속(inheritance)을 가능하게 한다. 그룹 정책을 통해 특정 도메인 계층에 적용할 수 있으며 하위에 있는 개체들은 그 설정 내용을 상속받아 영향력이 미치게 된다.

▷ 그룹 정책 (Group Policy) 정책의 생성과 어플리케이션을 통해 사용자 환경을 중앙집중적으로 관리하게 한다. 그룹 정책은 AD내에 있는 사이트들과 도메인, 그리고 OU를 포함하는 컨테이너로 동작된다. 그룹 정책은 사용자의 로그온을 통해 적용되며 사용자가 어떤 컴퓨터에 로그인하더라도 네트워크 주변의 사용자를 따라다닌다. 결과적으로 사용자는 항상 같은 환경에서 익숙하게 작업할 수 있게 된다.

▷ 제어 위임 (Delegation of Control) 네트워크 관리자가 업무 분담을 위해 그룹의 멤버 사용자들에게 OU 단계에서 권한을 할당하여 스스로 관리할 수 있도록 한다.