• 아티클

The Future of WindowsWindows Server "Longhorn"의 디렉터리 서비스

Byron Hynes

이 칼럼은 Windows Server(코드명 "Longhorn")의 시험판 버전을 기준으로 작성되었으며 여기에 수록된 모든 정보는 변경될 수 있습니다.

Windows Server의 다음 버전(코드명 "Longhorn")에서는 Active Directory와 관련하여 많은 기능이 향상되었습니다. 이 중 일부 변경 사항은 아주 중요하며 관리 편이성 및 효율성 측면에서 새로운 장을 열었다고 해도 과언이 아닙니다. 가장 확연하게 드러나는 Active Directory 변경 사항 중 하나는 기능의 이름입니다. ID 관리와 관련된 모든 사항은 이제 Active Directory® 배너에서 그룹화됩니다. Microsoft® Windows Server® 2003에서 Active Directory로 간주되었던 항목은 이제 ADDS(Active Directory 도메인 서비스)가 되었으며, ADFS(Active Directory Federation Services), ADLDS(Active Directory Lightweight Directory Services - 이전의 ADAM(Active Directory/응용 프로그램 모드)), ADCS(Active Directory Certificate Services), ADRMS(Active Directory Rights Management Services)를 비롯한 여러 가지 서비스가 추가되었습니다.

이러한 서비스 각각은 Windows Server "Longhorn"의 새로운 개념인 서버 역할을 나타냅니다. 한 컴퓨터를 한 서버 역할 전용으로 사용하거나 여러 서버 역할로 사용할 수 있으며 그림 1에 나타난 서버 관리자를 사용하여 서버 역할을 관리할 수 있습니다. 이 서버 관리자를 통해 역할 추가, 도움말 검색 및 기타 필요한 관리 작업을 수행할 수 있습니다.

그림 1 서버 관리자

그림 1** 서버 관리자 **(더 크게 보려면 이미지를 클릭하십시오.)

그림에서 볼 수 있는 것처럼 새 접근 방법은 일상적인 기능을 서버 관리자에서 액세스할 수 있는 논리적 그룹으로 구성합니다.

기능 수준

Windows Server "Longhorn"은 포리스트와 도메인에 대해 새로운 기능 수준을 사용합니다. Windows Server "Longhorn" 포리스트 기능 수준(출시될 때 이름이 변경될 예정임)에는 자체적으로 새로운 기능이 추가되진 않았지만, 포리스트의 모든 도메인이 Windows Server "Longhorn" 도메인 기능 수준을 갖추게 됨으로써 두 가지 면에서 새롭게 개선되었습니다. 첫 번째는 SYSVOL 공유를 위해 보다 강력하고 효율적이며 세분화된 최신 DFS(분산 파일 시스템) 복제 엔진을 사용하는 것입니다. 두 번째로 Kerberos 인증 프로토콜에 대해 256비트 AES(Advanced Encryption Service) 암호화 지원이 추가되었습니다. 최신 기능 수준을 사용하면 최상의 성능을 발휘할 수 있지만 Windows Server "Longhorn"으로 마이그레이션할 경우 하위 기능 수준에서 계속 운영될 수도 있습니다.

다양한 기능을 지원하는 여러 개의 스키마 확장도 새로 제공되는데 이들 모두 현재 사용 중인 기존 스키마와 완벽하게 호환됩니다. Windows Server "Longhorn"을 실행하는 여러 도메인 컨트롤러가 공존할 수 있으며 이들은 Windows Server 2003을 실행하는 도메인 컨트롤러와 상호 운용됩니다.

Server Core 지원

Active Directory 도메인 서비스는 Windows Server "Longhorn"의 Server Core 설치에서 작동될 서버 역할 중 하나입니다. 본 문서에서 자세히 설명할 수는 없지만 Server Core란 핵심적인 서버 기능만 보존되는 최소 설치 옵션입니다. Server Core는 Windows 셸을 설치하지 않으며 그래픽 사용자 인터페이스도 사용하지 않으므로 오버헤드를 상당히 줄입니다.

읽기 전용 도메인 컨트롤러

일부 환경에서 Windows Server "Longhorn"의 가장 중요한 ADDS 기능은 RODC(읽기 전용 도메인 컨트롤러)입니다. 이 기능을 사용하면 도메인 데이터베이스의 읽기 전용 복제본을 호스팅하는 도메인 컨트롤러를 쉽게 배포할 수 있습니다. RODC는 도메인 컨트롤러의 물리적 보안을 보장할 수 없는 곳이나 다른 응용 프로그램이 도메인 컨트롤러에서 실행되어야 하고 서버 관리자(이상적인 경우 Domain Admins 그룹의 구성원이 아님)에 의해 유지 관리되어야 하는 곳에 적합합니다. 이 두 가지 모두 지점 배포에서 일반적으로 발생하는 상황입니다.

읽기 전용 도메인 컨트롤러는 그림 2와 같이 설치 마법사에서 해당 확인란을 선택하기만 하면 설치됩니다.

그림 2 읽기 전용 도메인 컨트롤러 설치

그림 2** 읽기 전용 도메인 컨트롤러 설치 **(더 크게 보려면 이미지를 클릭하십시오.)

Windows Server "Longhorn"이 출시되기 이전에는 사용자가 다른 위치에 있는 도메인 컨트롤러를 사용하여 인증해야 할 경우 트래픽이 WAN(Wide Area Network) 링크를 통과해야 했습니다. 그러나 WAN 링크는 대개 LAN(Local Area Network) 연결에 비해 느리고 비용이 비싸며 경우에 따라 서비스 장애가 발생할 가능성이 더 큽니다. 이에 대한 한 가지 가능한 해결 방법은 DC를 원격 사이트나 지점에 배포하는 것입니다. 하지만 이 방법을 사용하면 복제 트래픽, 지점에서 DC를 통해 물리적 보안을 유지해야 하는 등의 다른 문제가 생기는데 멀리 떨어진 소규모 지점에서 이러한 문제를 해결하기에는 대개 역부족입니다. 어떤 경우에는 허브 사이트에 연결된 지점의 네트워크 대역폭이 낮아 로그온하는 데 필요한 시간이 증가하기도 합니다.

계정 암호를 제외하고(특별히 달리 구성되지 않은 경우) RODC는 쓰기 가능 도메인 컨트롤러에 포함된 Active Directory 도메인 서비스 개체와 특성을 모두 포함하고 있습니다. 그러나 RODC에 저장된 복제본의 경우 로컬에서 변경을 수행할 수 없습니다. 대신 쓰기 가능 도메인 컨트롤러에서 변경을 수행한 다음 RODC로 복제할 수 있습니다. 이렇게 하면 지점에서 수행한 변경 사항이 복제를 통해 포리스트를 감염 또는 손상시킬 가능성을 차단할 수 있으므로 공격 경로가 하나 제거되는 셈입니다.

도메인 디렉터리 정보에 대한 읽기 액세스를 요청하는 로컬 응용 프로그램은 RODC로부터 직접 액세스 권한을 얻을 수 있지만, 쓰기 액세스를 요청하는 LDAP(Lightweight Directory Access Protocol) 응용 프로그램은 LDAP 조회 응답을 수신합니다. 이 조회 응답에 의해 응용 프로그램은 허브 사이트에 있는 쓰기 가능 도메인 컨트롤러로 연결됩니다.

변경 사항은 RODC에 직접 기록되지 않기 때문에 RODC에서는 변경이 수행되지 않습니다. 따라서 복제 파트너인 쓰기 가능 도메인 컨트롤러는 RODC에서 변경 사항을 가져올 필요가 없으므로 허브에 있는 브리지헤드 서버의 작업 부하와 복제 모니터링에 필요한 작업이 줄어듭니다. RODC 단방향 복제는 ADDS 및 분산 파일 시스템(DFS) 복제 모두에 적용됩니다. RODC는 ADDS 및 DFS 복제 변경 사항에 대해 일반적인 인바운드 복제를 수행합니다.

도메인 데이터베이스에는 각 보안 사용자별로 자격 증명이라고 하는 약 10개의 암호가 저장되어 있습니다. RODC는 각 RODC에 대한 자체 컴퓨터 계정과 특수 "krbtgt" 계정(Kerberos 인증용 계정)만 저장하고 사용자 또는 컴퓨터 자격 증명은 저장하지 않습니다. RODC는 사이트(일반적으로 지점)에 대한 KDC(키 배포 센터)로 알려집니다. RODC는 TGT(허용 티켓) 요청에 서명하거나 이 요청을 암호화할 경우 쓰기 가능 도메인 컨트롤러의 KDC와는 다른 krbtgt 계정과 암호를 사용합니다.

계정에서 처음으로 RODC에 인증을 요청하면 RODC는 허브 사이트에 있는 쓰기 가능 도메인 컨트롤러로 요청을 보냅니다. 인증에 성공할 경우 RODC도 해당 자격 증명의 복사본을 요청합니다. 쓰기 가능 도메인 컨트롤러는 해당 요청이 RODC에서 비롯되었음을 인식하고 해당 RODC에 대해 유효한 암호 복제 정책을 참조합니다.

암호 복제 정책은 자격 증명에 대해 복제가 허용되었는지 그리고 자격 증명이 RODC에 저장되어 있는지 확인합니다. 확인 결과가 참이면 쓰기 가능 도메인 컨트롤러는 자격 증명을 RODC에 보내고 RODC는 "How a Read-Only Domain Controller Works(읽기 전용 도메인 컨트롤러 작동 방식)" 보충 기사에 표시된 대로 자격 증명을 캐시합니다.

자격 증명이 RODC에 캐시되면 자격 증명이 변경되기 전까지는 사용자가 로그온할 때 해당 요청이 RODC에 의해 직접 처리될 수 있습니다. TGT가 RODC의 자체 krbtgt 계정인 krbtgt로 서명되면 RODC는 자격 증명의 캐시 복사본이 있음을 인식합니다. 다른 DC가 TGT에 서명하면 RODC는 요청을 쓰기 가능 도메인 컨트롤러로 전달합니다.

RODC를 통해 인증한 사용자로만 자격 증명 캐싱을 제한하면 RODC 손상으로 인해 자격 증명이 노출될 위험도 제한됩니다.

기본적으로 사용자 암호는 RODC에서 캐시되지 않지만 이것이 반드시 가장 효과적인 시나리오는 아닙니다. 일반적으로 총 도메인 사용자 수와 비교해서 소수의 도메인 사용자만이 자격 증명을 지정된 RODC에서 캐시할 필요가 있습니다. 암호 복제 정책을 사용하여 캐싱을 고려할 수 있는 사용자 그룹을 지정할 수 있습니다. 예를 들면 RODC 캐싱을 해당 지점에 자주 연결하는 사용자로 제한하거나 관리자 같은 중요 자격 증명의 캐싱을 막음으로써 노출 가능성을 줄일 수 있습니다.

따라서 RODC를 도난 당하거나 RODC가 손상된 경우 캐시된 자격 증명만 재설정하면 되며, 그림 3에서 보는 것처럼 해당되는 계정을 정확히 알 수 있습니다.

그림 3 캐시된 계정 정보

그림 3** 캐시된 계정 정보 **(더 크게 보려면 이미지를 클릭하십시오.)

관리자 역할 분리

대부분의 지점의 경우 도메인 컨트롤러에 파일 또는 인쇄 서버 역할과 같이 수행할 서버 역할이나 작업이 제공됩니다. 어떤 경우에는 필요에 따라 비즈니스 응용 프로그램이 도메인 컨트롤러에 설치되기도 합니다. 그런데 바로 이 점 때문에 문제가 발생합니다. 이러한 응용 프로그램과 서버를 관리하기 위해서는 지점 직원이 관리 자격 증명을 가지고 있어야 하는데 한 개의 Windows Server 2003 도메인 컨트롤러를 관리할 수 있는 사람이라면 전체 도메인도 관리할 수 있습니다.

Windows Server "Longhorn"에서는 관리자에게 특정 RODC만 관리할 수 있는 권한을 부여할 수 있습니다. 다른 도메인 컨트롤러를 관리할 수 있는 액세스 권한은 부여되지 않으며 불필요하게 Domain Admins 보안 그룹의 구성원이 되지도 않습니다.

사용자 인터페이스 및 도구 향상

RODC의 기능을 지원하고 암호 복제를 쉽게 모니터링할 수 있도록 그림 4에 나타난 것처럼 Active Directory 사용자 및 컴퓨터의 도메인 컨트롤러 속성 페이지에는 새로운 Password Replication Policy(암호 복제 정책) 탭이 있습니다.

그림 4 Password Replication Policy(암호 복제 정책) 탭

그림 4** Password Replication Policy(암호 복제 정책) 탭 **(더 크게 보려면 이미지를 클릭하십시오.)

이 탭에서 Advanced(고급) 단추를 클릭하면 그림 5에서 볼 수 있는 것처럼 RODC로 전송된 암호, RODC에 저장된 암호 및 해당 RODC에서 인증된 계정을 확인할 수 있습니다. 인증된 계정은 암호 복제가 허용된 그룹에 속하지 않더라도 이 목록에 포함되므로 이 정보를 사용하여 암호 복제 정책에 포함될 그룹을 결정할 수 있습니다.

그림 5 고급 암호 복제 정책

그림 5** 고급 암호 복제 정책 **(더 크게 보려면 이미지를 클릭하십시오.)

공식적으로는 Active Directory 도메인 서비스 설치 마법사라고 알려진 뛰어난 유틸리티인 dcpromo와 관련하여 많은 사항이 변경되었습니다. 운영 체제 설치 직후에 실행되는 ICT(Initial Configuration Tasks, 초기 구성 작업) 페이지에서 역할 추가 명령을 선택하면 이 마법사를 전체 그래픽 응용 프로그램으로 시작할 수 있습니다. 서버 관리자에서 역할 추가를 선택한 다음 ADDS를 선택하거나 명령줄이나 실행 상자에서 dcpromo를 호출하십시오.

마법사를 그래픽 모드로 사용할 경우 요소와 선택 항목의 관련 항목들이 그룹화되어 보기 좋게 표시됩니다. 몇 가지 옵션도 추가되었습니다. /adv 스위치를 사용하지 않고 UI를 통해 고급 모드에 액세스하여 새 도메인 트리 만들기, 미디어를 통한 설치(WAN을 통한 초기 복제를 줄이기 위해), 초기 복제에 사용할 원본 도메인 컨트롤러 선택 등의 작업을 수행할 수 있습니다.

오류를 줄이고 작업을 간편하게 수행할 수 있도록 몇 가지 기능이 향상되었습니다. 예를 들어 마법사를 사용하여 기존 도메인이나 포리스트에 새 도메인 컨트롤러를 만들 경우 NetBIOS 이름을 입력할 필요 없이 기존 도메인을 검색하면 됩니다.

추가 옵션을 지정하고 DC를 글로벌 카탈로그 서버, DNS 서버 및 RODC로 구성할 수 있는 새로운 페이지가 추가되었습니다. 또한 마법사에서 사이트 선택 사항 구성, 기능 수준 설정, RODC에 대한 암호 복제 정책 만들기, DNS 위임 구성 등도 수행할 수 있습니다.

명령줄 도구 dcpromo는 완전히 무인 방식으로 실행할 수 있습니다. Windows Server 2003에서 이 도구를 사용할 때와는 달리, 무인 설치는 컴퓨터를 다시 시작해야 하는 등의 사용자 인터페이스 프롬프트에 응답할 필요가 없습니다. 따라서 Windows Server "Longhorn"의 Server Core 설치에서 ADDS를 보다 쉽게 사용할 수 있습니다.

ADDS 감사

Microsoft는 Windows Server "Longhorn"의 디렉터리 서비스 감사 기능에 더 많은 기능을 추가하였습니다. Windows Server 2003에서는 디렉터리 액세스에 대한 감사를 설정하거나 해제할 수는 있었지만, 전체 성공 감사가 설정되었을지라도 감사 추적에는 변경된 정보가 포함되지 않았습니다. 그러나 이제는 이 기능이 가능합니다.

Windows Server "Longhorn"에서 ADDS 감사 정책의 네 가지 하위 범주는 다음과 같습니다.

  • 디렉터리 서비스 액세스
  • 디렉터리 서비스 변경
  • 디렉터리 서비스 복제
  • 세부 디렉터리 서비스 복제

이러한 변경 사항과 관련하여 대부분의 IT 전문가가 기억해야 할 두 가지 중요한 사실이 있습니다. 첫째, 디렉터리 서비스 액세스 감사는 본질적으로 Windows Server 2003과 동일한 정보를 제공하지만 이벤트 ID가 566에서 4662로 변경되었습니다. 도구를 사용하여 보안 이벤트 로그를 구문 분석하는 경우 이 변경 내용을 기록해 두십시오. 둘째, 새로운 범주인 디렉터리 서비스 변경은 변경된 특성의 이전 값과 현재 값을 모두 기록합니다.

ADDS에서 감사를 구현하려면 글로벌 감사 정책, SACL(시스템 액세스 제어 목록) 및 ADDS 스키마를 사용하십시오. 유연하면서도 포괄적인 감사 프레임워크를 제공하기 위해 구성 요소가 함께 작동합니다.

글로벌 감사 정책은 ADDS에서 감사를 수행할지 여부를 제어합니다. 감사가 설정된 경우 글로벌 정책은 앞에 나열된 네 가지 액세스 범주 중 어떤 하위 범주를 감사할 것인지 제어합니다. 글로벌 감사 정책은 일반적으로 기본 도메인 컨트롤러 그룹 정책 개체에서 적용되므로 도메인 컨트롤러의 전체 디렉터리에 적용됩니다.

그룹 정책 도구를 사용하여 글로벌 감사 정책을 설정하거나 해제할 수 있지만 하위 범주를 확인하거나 구성하려면 Auditpol.exe 명령줄 도구를 사용해야 합니다. 하위 범주는 그래픽 사용자 인터페이스에는 표시되지 않습니다.

SACL은 개체 보안 설명자의 일부입니다. SACL의 항목을 지정하여 관심 있는 작업과 사용자(또는 보안 사용자)를 시스템에 알릴 수 있습니다. 즉, 어떤 사용자가 어떤 작업을 수행하려고 하는지를 이벤트 로그에 기록하도록 지정할 수 있습니다. 따라서 사용자 자신이 아니라 Domain Admins에 의해 수행된 사용자 개체의 변경 사항을 기록하려는 경우 SACL을 사용하여 이를 제어할 수 있습니다. SACL은 개체에 적용되며 새 개체에 대해 정의되고 컨테이너 개체로부터 상속 받을 수 있습니다.

또한 변경 감사를 특정 특성으로 제한하도록 ADDS 스키마를 구성할 수도 있습니다. SACL은 기본적으로 개체에 적용되므로 모든 특성에 대한 액세스나 변경 사항이 기록되고 이로 인해 많은 로깅 작업이 이루어지지만 모든 특성이 다 중요한 것은 아닙니다. 따라서 특성 수준에서 플래그를 설정하여 이러한 특성에 대한 변경 사항이 로그에 기록되지 않도록 할 수 있습니다.

SearchFlags는 특성을 정의하는 클래스에 정의된 특성이므로, 특성의 특성입니다. 또한 한 바이트 내의 각 비트가 서로 다른 설정/해제 설정을 나타내는 비트마스크이기도 합니다. 따라서 SearchFlags를 특성의 속성으로 생각하면 보다 쉽게 이해할 수 있습니다. Windows Server 2003에서는 이 중 7개의 값이 특성의 인덱싱 및 GC 복제와 같은 다양한 설정을 제어하는 데 사용되었습니다. Windows Server "Longhorn"에서는 8번째 비트(128의 값)가 변경 사항 기록 여부를 제어하는 데 사용됩니다. 이 비트가 설정된 경우 해당 특성이 수정될 때 ADDS에서 변경 이벤트를 기록하지 않습니다. 이는 해당 특성을 포함하는 모든 개체에 적용됩니다. 베타 2에서는 그래픽 사용자 인터페이스를 사용하여 8번째 비트를 설정할 수 없습니다.

기본적으로 Windows Server "Longhorn"에서 글로벌 감사 정책은 설정되어 있으며 디렉터리 서비스 변경은 성공적인 변경 사항을 기록하도록 설정됩니다.

재시작 가능한 ADDS

Windows Server "Longhorn"에서 ADDS는 재시작 가능한 서비스입니다. 이는 도메인 컨트롤러를 다시 부팅하지 않고도 ADDS 서비스를 중지하거나 시작할 수 있다는 단순한 의미입니다. 따라서 관리자는 디렉터리 서비스 복원 모드로 전환하지 않아도, 서비스가 실행 중인 동안에는 수행할 수 없는 기능(예: 데이터베이스의 오프라인 조각 모음)을 보다 쉽게 수행할 수 있습니다.

Windows Server "Longhorn"을 실행하는 도메인 컨트롤러에서 가능한 세 가지 상태는 ADDS Started(ADDS 시작됨), ADDS Stopped(ADDS 중지됨), Directory Services Restore Mode(디렉터리 서비스 복원 모드)입니다. 이제 각 상태에 대해 살펴 보겠습니다.

ADDS Started(ADDS 시작됨) 도메인 컨트롤러가 정상적으로 작동 중입니다.

ADDS Stopped(ADDS 중지됨) 서버가 디렉터리 서비스 복원 모드의 도메인 컨트롤러와 도메인에 가입된 구성원 서버의 특성을 모두 가집니다.

디렉터리 서비스 복원 모드와 관련하여 ADDS 데이터베이스(Ntds.dit)는 오프라인입니다. 로그온을 위해 다른 도메인 컨트롤러에 연결할 수 없는 경우 디렉터리 서비스 복원 모드 암호를 사용하여 로컬로 로그온할 수 있습니다.

구성원 서버와 관련하여 서버는 도메인에 가입되어 있습니다. 사용자는 도메인 로그온 시 다른 도메인 컨트롤러를 사용하여 네트워크를 통해 또는 대화형으로 로그온할 수 있습니다. 그러나 도메인 컨트롤러는 로그온 요청을 처리하거나 다른 도메인 컨트롤러를 사용하여 복제할 수 없기 때문에 장기간 이 상태로 남아 있어서는 안 됩니다.

Directory Services Restore Mode(디렉터리 서비스 복원 모드) 이 모드(또는 상태)는 Windows Server 2003과 동일합니다.

그림 6의 순서도는 Windows Server "Longhorn"을 실행하는 도메인 컨트롤러가 어떻게 이 세 가지 상태 사이에서 전환되는지를 보여 줍니다.

그림 6 세 가지 상태 사이에서 전환되는 Windows Server 'Longhorn'의 도메인 컨트롤러

그림 6** 세 가지 상태 사이에서 전환되는 Windows Server 'Longhorn'의 도메인 컨트롤러 **

자세한 정보

간단한 문서 하나로 Windows Server "Longhorn"의 새로운 ADDS 기능을 자세히 설명하는 것은 불가능합니다. 하지만 지금까지 살펴본 것처럼 새로운 Active Directory 기능은 이전에 해결하려고 했거나 그저 당연히 여겼던 여러 가지 문제를 해결하였습니다. 제품의 최종 버전 출시에 즈음하여 보다 자세한 정보를 원하는 사용자를 위해 추가 문서가 공개적으로 제공될 예정입니다. 현재의 베타 단계에서는 Windows Server "Longhorn" 웹 사이트(영문)에서 업데이트를 확인할 수 있습니다.

Byron Hynes는 Microsoft의 Windows Server User Assistance 그룹에 근무하고 있습니다. 이전에는 컨설턴트와 교육 담당자로 근무하였으며, 지역 인터넷 기간망 운영, 클라이언트/서버 및 웹 응용 프로그램 문제 해결, 그리고 데이터베이스 스키마, 네트워크 인프라 및 보안 모델 설계 분야에서 다양한 경력을 소유하고 있습니다. Byron의 전자 메일 주소는 bhynes@microsoft.com입니다.

© 2008 Microsoft Corporation 및 CMP Media, LLC. All rights reserved. 이 문서의 전부 또는 일부를 무단으로 복제하는 행위는 금지됩니다..