close
프로필 배경
프로필 로고

IT도로롱

매일 배운 것 정리 · 2026. 5. 13. fullscreen 넓게보기

[20260513] Windows Server: Active Directory(AD) 이론 및 도메인 서비스 구축

📋 학습 요약

  • 주제: Active Directory 개념 이해 및 도메인 컨트롤러(DC), 멤버 서버, 자식 도메인 구성
  • 도구: Windows Server 2022, DNS
  • 핵심 키워드: AD DS, Domain Controller, Member Server, Child Domain, Trust

💻 1. Windows Server 운영 모드 및 AD 이론

Windows Server는 관리 방식과 도메인 참여 여부에 따라 세 가지 모드로 나뉩니다.

  1. Standalone (독립 실행형): 다른 서버와 상관관계 없이 로컬 계정으로만 로그인하는 형태입니다.
  2. Member Server (멤버 서버): 도메인에 가입되어 DC의 자원(User, Group 등)을 가져다 쓰는 서버입니다. 실제 서비스(Application) 설치를 권장하는 서버군입니다.
  3. Domain Controller (DC): 도메인 전체를 제어하며 계정과 패스워드 정보를 저장하는 중앙 집중식 서버입니다. 서비스 보안을 위해 가급적 일반 Application 설치를 지양합니다.

💻 2. Active Directory 도메인 서비스 구조

AD는 효율적인 관리를 위해 트리(Tree)와 포레스트(Forest) 구조를 가집니다.

자식 도메인 (Child Domain)

상위(Parent) 도메인 아래에 종속된 도메인으로, 대규모 지사 관리에 적합합니다.

  • 상호 Trust: 부모와 자식 간에는 자동으로 상호 신뢰 관계가 형성됩니다.
  • 통제: 부모 DC는 자식을 완벽하게 통제할 수 있지만, 자식 DC는 부모에 대해 제한적인 관리만 가능합니다.
  • 예시: a.com (부모) ➡️ busan.a.com, daejeon.a.com (자식)

RODC (Read-Only Domain Controller)

관리자가 상주하기 어렵거나 물리적 보안이 취약한 소규모 지사에 구성합니다.

  • 특징: 데이터를 읽기만 가능하며, 상위에 쓰기가 가능한 일반 DC가 반드시 존재해야 합니다.

🛠️ 3. 실습 단계 및 주요 설정

AD DS 설치 및 DNS 확인

가장 먼저 DC 역할을 수행할 서버에 AD DS(Active Directory 도메인 서비스) 역할을 추가합니다. 설치 후 DNS 관리자를 확인하면 AD가 정상적으로 동작하기 위한 필수 레코드들이 생성됩니다.

  • _msdcs: 가용한 DC를 찾기 위한 서비스 위치(SRV) 레코드가 포함된 핵심 폴더입니다.
  • SRV 레코드: 클라이언트가 도메인 로그온 시 어떤 DC로 가야 할지 알려주는 이정표 역할을 합니다.

💻 4. 서울-부산 서버 관리 권한 대행 시나리오

오늘 실습은 "부산 지사 관리자가 휴가 중일 때, 서울 본사에서 부산 서버를 어떻게 관리하는가"를 직접 구현해 본 것이었습니다.

실제 작동 원리

  • 권한의 상속: 서울(csm.local) 서버를 포레스트 루트로 구성하고 부산(busan.csm.local)을 자식으로 연결하면, 서울의 Enterprise Admins(전체 관리자) 그룹 권한이 부산 서버까지 자동으로 상속됩니다.
  • 원격 관리 실습: 부산 서버 관리자 계정이 없어도, 서울 서버의 관리자 계정으로 부산 지사의 유저 생성, 그룹 정책(GPO) 변경, 서비스 재시작 등을 수행했습니다.

🛠️ 5. 주요 실습 명령어 및 체크리스트 (AD 구축)

단계 주요 작업 내용 비고
서울(부모) 구축 AD DS 역할 설치 ➡️ 새 포레스트(csm.local) 추가 DNS 자동 설치 확인
부산(자식) 구축 AD DS 역할 설치 ➡️ 기존 포레스트에 자식 도메인 추가 부모 도메인 인증 정보 필요
권한 검증 서울 관리자 계정으로 부산 서버에 로그온 테스트 서울\Administrator 형식 사용
DNS 확인

_msdcs.csm.local 영역 내 SRV 레코드 생성 확인		 참고

 

실습 중 "Administrator라고 다 같은 관리자가 아니다"라는 강사님의 말씀이 가장 기억에 남는다. 서울 서버의 Enterprise Admins는 포레스트 전체를 다스리는 '왕'과 같고, 부산의 Domain Admins는 해당 영지만 관리하는 '영주'와 같다는 비유가 AD 구조를 이해하는 데 큰 도움이 되었다. 실무에서도 지사 관리자와 본사 관리자의 권한 범위를 명확히 나누는 설계 역량이 중요하다는 것을 깨달았다.

 

'매일 배운 것 정리' 카테고리의 다른 글

[260528] Azure 클라우드 아키텍처: VNet 피어링(Peering)을 통한 가상 네트워크 간 연동 실습  (0) 2026.05.21
[260515] Windows Server: 그룹 정책(GPO) 심화 및 로밍 프로필(Roaming Profile) 실습  (0) 2026.05.15
[260520] 모의해킹 심화: 프로토콜 취약점 분석 (DHCP Starvation, DNS Cache Poisoning, SSH 터널링) 및 Ettercap 실습  (0) 2026.05.13
[260519] 모의해킹 입문: Vi 치환 팁, Crunch 패스워드 사전 생성 및 무차별 대입 공격(Medusa/Hydra) 실습  (0) 2026.05.13
[260518] Windows Server 인프라 심화, Bastion/NAT 구축 및 모의침투 환경 설정  (0) 2026.05.13
매일 배운 것 정리 관련 글
더 보기

티스토리툴바