본문 바로가기
ОКБ (실험 설계국)/Trouble Shooting

11. [Window Server 2012] 도대체 Active Directory란 무엇인가? (3) - AD 사용을 위한 추가 설정 및 로그인 확인

by Rosmary 2020. 11. 15.
728x90
반응형

 

 

 

 

 

 

지난 포스팅에서, Window Server를 가상머신에 설치하는 방법에 대해 알아보았다(혹시라도 AD가 무엇인지 개념이 애매모호하게 잡히는 분들은, 이곳에서 필자가 나름대로 정리한 AD의 존재 이유에 대해 확인할 수 있다).

 

이번 포스팅에서는, 설치한 Window Server가 AD서버로 역할을 할 수 있도록 만들어보고, 다른 윈도우 PC에서 AD 서버에 존재하는 계정으로 로그인이 가능한지 여부를 확인까지 해보려 한다.

 

 

1. AD 서버 추가를 위한 설정 절차

 

 

(1) 컴퓨터 이름 변경

 

먼저, 설치한 Window Server에 접속한다. 접속이 되었다면, 우리가 설치한 PC의 이름부터 알아보기 쉽게 바꾸도록 하자. 서버 관리자를 열고, 왼쪽의 로컬 서버를 클릭하면, 현재 Window server에 대한 기본적인 정보가 쭉 표시된다. 

 

 

서버를 구성함에 있어서, 컴퓨터 이름은 목적에 맞게 알아보기 쉬운 이름으로 바꾸려고 한다. 사실, 지금은 한 대의 Window 서버에 AD 기능만 추가하기 때문에 큰 문제가 되지 않으나, 네트워크 내부 구성이 조금 복잡해질 경우, 어떤 이름을 가진 컴퓨터가 어떤 서비스를 제공하는지 알기 힘들어지기 때문이다. 창에 나타나 있는 컴퓨터 이름을 클릭하면 다음과 같이 창이 열린다. 

 

 

필자는 컴퓨터 설명에도 본 컴퓨터의 이름으로 지정할 내용을 담아 두었다. "컴퓨터 설명" 입력이 완료되었다면(빈 값이어도 상관없다), 아래의 변경을 누른 뒤, 컴퓨터 이름을 변경하고 확인 -> 적용을 누르자. 그럼 다음과 같이 자동으로 재부팅을 권고하는 알림창이 나타나게 된다. 재부팅을 클릭하도록 하자.

 

 

 

재부팅이 완료되면 컴퓨터 이름은 우리가 입력한 이름으로 변경된다.

 

 

 

(2) AD 및 DNS 기능 추가

 

이제 본격적으로 Window Server에서 제공하는 AD와 DNS 서비스를 설치해보도록 하자. 서버 관리자 창에서 우측 상단의 "관리(M)->역할 및 기능 추가"를 선택한다. 

 

스크린 샷을 잘못찍었는데, 왼쪽에 AD DS와 DNS는 이미 설치가 완료되어 나타난 것이다. 아직까지는 저 두 항목이 나타나면 안된다.

 

버튼을 누르면 아래와 같은 화면이 나타나는데, 기능 추가 절차에 대해 설명하는 부분이다. 내용을 확인하고 다음을 클릭하여 넘어가자

 

 

다음으로는 서비스 설치 유형을 선택하는 창이 나타난다. 우리가 설치한 서버에 직접 기능을 추가 구성할 것이기 때문에 "역할 기반 또는 기능 기반 설치"를 선택하고 다음을 클릭한다.

 

 

다음으로는 어떤 서버에 기능을 추가할 것인지 묻는 화면이 나온다. 우리가 설치한 것은 가상 머신에 등록한 Window Server 하나밖에 없다. 해당 서버는 조금 전 우리가 변경한 이름으로 화면에 표시된다. 선택하고 다음을 클릭.

 

 

다음으로, 우리가 추가 구성을 진행하려는 서버에 어떤 기능(서비스)를 추가할 것인지 선택하는 화면이 나온다. 우리는 AD 서버에 대해 알아보려고 하는 것이니, "Active Directory Domain Service"와 이 서비스가 동작할 수 있도록 "Domain Service"를 선택해준다. 혹시라도 DNS에 대해 잘 모르시는 분들이라면 이곳에서 확인하도록 하자.

 

 

다음을 클릭하면, 우리가 선택한 기능에 대해 간략한 설명들이 나온다. 내용을 확인하고 다음을 클릭하여 넘어오면, 마지막에 설치 내용을 최종 확인하는 창이 뜨는데, 내용을 확인하고 설치를 눌러, 우리가 선택한 기능을 설치하면 된다.

 

 

설치는 대략 5분 내외로 마무리된다. 설치가 마무리되면 다음과 같이 설치가 완료되었다는 문구와 함께, "이 서버를 도메인 컨트롤러로 승격"이라는 문구가 활성화된다. 이 문구를 클릭하여 서버를 도메인 컨트롤러로 승격하는 과정을 진행하자.

 

 

클릭하면, 다음과 같이 배포 작업 선택과, 루트 도메인을 설정하는 부분이 나온다. AD 서버를 최초로 만드는 경우라면 "새 포리스트를 추가합니다"를 선택하고, 루트 도메인에 자신이 원하는 도메인 명을 넣으면 된다. 단, 실제 인터넷에 존재하는 사이트 주소와 중복되지 않도록 하자. 필자는 test.comS(오타가 있었다...)로 지정했다.

 

 

다음을 클릭하면, 도메인 컨트롤러의 옵션을 설정하는 부분이 나온다. 크게 건드릴 부분은 없고, DSRM 암호를 입력하는 부분만 임의로 설정해주고 다음을 클릭하자.

 

 

 

DNS 옵션에서는 위임 옵션을 설정하는 부분이 있는데, 아직까지 생성된 도메인 영역이나 DNS가 없기 때문에 큰 의미가 있는 설정 내용은 아니다. 다음을 클릭하고 나타나는 추가 옵션도 마찬가지로 우리가 입력한 루트 도메인의 값을 참조하여 NetBIOS 이름을 기본으로 생성해준다. 다음을 클릭하고 넘어가자.

 

 

다음으로 AD 서비스가 참조하는 DB, 로그 파일, SYSLOG 폴더의 위치를 지정하는 화면이 나타나는데, 기본값으로 두고 설정을 진행하되, 대략적인 위치가 어디에 있는지만 확인하도록 하자. 

 

 

기타 검토 옵션과 필수 구성 요소 확인은 크게 살펴볼 만한 내용이 없다. 서버의 도메인 컨트롤러 승격에 앞서 지금까지의 구성 내용을 확인하는 부분이라고 보면 된다. 필수 구성 요소 확인까지 도달했다면, 설치를 진행하자.

 

 

설치가 완료되면 서버가 자동으로 재부팅된다. 재부팅되고 로그인 창이 떴을 때, 다음과 같이 [NetBIOS이름]\[계정명]으로 계정 정보가 나타난다면 정상적으로 도메인 컨트롤러 승격까지 완료된 것이다.  

 

 

로그인을 하고, 서버 관리자를 실행했을 때, 왼쪽 서버 항목에 AD DS와 DNS가 추가되어 있는지 확인하자. 여기까지 확인이 되었다면 Active Directory를 사용하기 위한 기본 설정은 모두 끝난 것이다.

 

 

 

 

 

2. Window 10 PC에서 AD 서버 계정으로의 로그인 확인

 

우리가 일반 PC나 서버에서 AD 서버의 계정만으로 로그인 하기 위해서는 두 가지 작업이 필요하다. 우선 AD 서버에 사용할 계정을 생성하는 일이 첫 번째이고, 남은 하나는 일반 PC를 AD 서버의 도메인(test.comS)에 연결되도록 만드는 과정이다. 먼저 사용자 계정부터 추가해보도록 하자.

 

 

(1) AD 서버에 계정 생성

 

윈도우 '서버 관리자' 창의 우측 상단을 보면 '도구' 메뉴가 있는데, 클릭해서 열어보면 'Active Directory 사용자 및 컴퓨터'와 'Active Directory 사용자 및 서비스'라는 항목이 있다. 이 두 항목이 필자가 위에서 그린 그림 중, 보라색 테두리의 '사용자 및 컴퓨터', 그리고 '사이트 및 서비스'라고 보면 된다. AD로 계정 관련된 내용을 확인하기 위해, 우선 'Active Directory 사용자 및 컴퓨터 항목'을 클릭해보자.

 

 

 

클릭하면, 다음과 같은 창이 팝업된다. 왼쪽을 보면 사용자 및 컴퓨터와 관련된 구성 내용을 확인할 수 있는데, 우리가 설치한 window server는 test.comS라는 도메인을 관리하는 서버(Domain Controller)이며, 이 서버 아래에 관리 대상의 컴퓨터(computer)와 사용자(user)를 정의하는 폴더가 보인다. 이들 폴더 중, 우선 Users의 내용을 먼저 확인해보자. 

 

 

Users 폴더는 window 서버가 test.comS 도메인에서 관리하는 계정 정보를 모아둔 폴더라고 보면 된다. 기본값으로 위와 같이 Administrator 계정을 포함한 여러 그룹이 정의되어 있다. Users 폴더 우클릭을 한 뒤, 새로 만들기 -> 사용자를 클릭하면 다음과 같이 새 계정을 생성하기 위한 설정 창이 나타난다.

 

 

기본적인 NetBIOS 이름과 도메인 이름은, 우리가 AD 서버를 설치하기 위한 설정 과정에서 넣어주었던 값이 기본값으로 나타난다. 여기서 성, 이름, 전체이름은 새 계정의 보유자에 대한 정보를 작성하면 되고, 사용자 로그온 이름에는 실제 컴퓨터에 접속할 계정명(ID)를 입력해주면 된다. 

 

 

다음으로 넘어가면, 새로 만들 계정의 암호를 설정하는 화면이 나타난다. 암호 사용 기간, 변경 관련한 기타 설정 내용들이 보이는데, 추후 이 설정을 변경하는 것도 가능하니 필자는 '암호 사용 기간 제한 없음'만 클릭하고 다음을 눌러, 계정을 생성하려 한다.

 

 

계정 생성이 완료되면, 위와 같이 'Active Directory 사용자 및 컴퓨터' -> Users 폴더에 김철수의 계정이 포함된 것을 확인할 수 있다. 이제 필자는 김철수 외에도 몇 개의 계정을 더 만들어 놓으려 한다.

 

 

필자가 처음 그림에서 나타낸 것과 동일하게 계정 생성을 완료했다. 계정 생성은 크게 어려운 과정이 없다. 이제 Window PC 하나를 AD 서버에 연결하여, 위 계정으로 로그인이 가능한지 확인해보려 한다. 모든 계정의 비밀번호는 P@ssw0rd로 통일했다. Administrator의 비밀번호와는 다른 비밀번호다. 

 

 

 

(2) Window 일반 PC를 AD 서버의 도메인에 연동

 

** AD 서버에 연동하기 위해, windows는 pro 및 enterprise 에디션을 사용하야 한다. home 에디션의 경우, AD 서버와의 연동을 위한 도메인 추가 작업을 진행할 수 없기 때문이다.

 

 

필자는 windows 10 enterprise 버전 하나를 가상 머신에 설치했다. 설치를 마친 뒤, 가장 먼저 DNS는 AD 서버의 IP를 입력해주도록 하자. 그래야 windows 10에서 AD 서버로의 연동이 가능해진다.

 

 

그리고 "내 PC" -> 설정 -> "이 PC의 이름 바꾸기"를 클릭하여, PC 이름을 변경하는 동시에 이 PC를 AD 서버의 도메인인 test.comS에 추가했다. Window Server 2012와 마찬가지로, Enterprise 버전 역시 이 설정을 진행하면 자동으로 재부팅이 진행된다.

 

 

모든 설정이 제대로 되었다면, 확인을 눌렀을 경우 다음과 같이 AD 서버의 계정으로 접속할 수 있는 창이 뜨게 된다.

 

 

필자는 이 PC에서 도메인 가입을 위해 김철수의 계정인 user1 / P@ssw0rd를 사용하였다. 계정 정보가 AD 서버에 등록한 계정 정보와 일치한다면 재부팅 과정이 진행된다. 재부팅이 진행된 뒤, AD 서버에서 "Active Directory 사용자 및 컴퓨터" 창에서 Computers 폴더를 확인해보면, 아래와 같이 windows 10 PC의 이름이 자동 등록된 것을 확인할 수 있다.

 

만약 재부팅이 되었는데도 안나타난다면 F5를 눌러 창을 새로고침 해보자.

 

 


 

 

만약 설정이 잘못된 경우, 아래와 같이 'Active Directory 도메인 컨트롤러에 연결하지 못했습니다"라는 경고창이 아래와 같이 뜰 수 있다.

 

 

이 경우, cmd 창을 열어 nslookup으로 AD 서버의 도메인을 찾아보도록 하자. 만약 결과를 제대로 찾지 못한다는 문구가 나타난다면, 우리가 설정한 DNS 서버의 IP가 AD 서버로 지정되지 않은 것이니 이를 수정해주면 된다.

 

PC의 도메인 주소가 AD 서버가 아닌 다른 서버(168.126.63.1)로 지정이 되어 있어 test.comS를 찾을 수 없기에 나타난 결과다.

 

*** DNS에 대해 알고 싶으신 분들은 이곳을 클릭하자.

 

 


 

 

재부팅이 진행되고 나면, 로컬 계정으로의 로그인을 진행하지 말고 기타 사용자를 클릭해보자. 그럼, 우리가 AD 서버에 생성했던 도메인으로 로그인을 한다는 문구가 보일것이다. 김철수의 계정으로 로그인을 시도하면 다음과 같이 정상적으로 로그인 되는 것을 확인할 수 있다.

 

김철수 외에도, 김개발과 김영희의 계정 역시 로그인이 가능하다. 

 

 

만약, AD 서버 관리자가 김철수의 계정 사용일을 1999년으로 설정한다면, 김철수의 계정으로는 더 이상 로그인이 진행되지 않는 것을 확인할 수 있다.

 

 

 

 


 

이번 포스팅에서는 Window Server에 Active Directory, DNS 기능을 추가하고, 계정 생성과 일반 PC 연동을 통해 AD의 계정만으로 일반 PC의 로그인 가능 여부를 확인해보았다. 위의 테스트를 통해, 일반 PC가 AD 서버와 연동만 잘 되어 있다면, AD 서버 관리자가 네트워크 상에 있는 모든 서버, PC에 대한 계정 관리가 한결 수월해짐을 확인할 수 있었다.

 

다음 포스팅에서는, AD 연동과 관련된 추가적인 내용에 대해 포스팅을 진행하고, AD 연동과 관련된 글을 마무리하려 한다.

 

 

 

Fin.

반응형

댓글