5 최고의 Active Directory 도구 및 관리 소프트웨어
액티브 디렉토리(Active Directory, AD)는 마이크로소프트에서 자체 개발한 LDAP 디렉터리 서비스입니다. 윈도우 서버 2000부터 도입되어 윈도우 서버의 기존 도메인 관리 기능을 대체했습니다. 사용자 및 장치를 인증하고, 위치를 파악하며, 접근 권한을 제어하는 복잡한 서비스입니다. 이러한 복잡성 때문에 많은 개발자들이 액티브 디렉토리 관리를 간소화하는 도구를 개발하려 노력해 왔습니다. 본문에서는 인터넷에서 찾을 수 있는 최고의 액티브 디렉토리 도구들을 소개합니다.
먼저, 디렉터리 서비스의 개념, 목적, 그리고 유용성에 대해 간략히 설명하고 몇 가지 예시를 제시하겠습니다. 그 다음으로 디렉터리 서비스와 관련된 두 가지 표준 프로토콜인 LDAP와 X.500에 대해 이야기하겠습니다. 그리고 마이크로소프트 디렉터리 서비스의 발전에 대한 개요를 제공하고, 이를 통해 최고의 액티브 디렉토리 도구에 대한 논의로 이어가겠습니다. 각 도구에 대한 간략한 리뷰도 제공할 것입니다.
디렉터리 서비스의 정의
위키피디아에 따르면, 디렉터리 서비스는 "네트워크 리소스의 이름과 해당 네트워크 주소 간의 매핑"입니다. 간단히 말해, 이것이 디렉터리 서비스의 본질입니다. 그렇다면 DNS(Domain Name System)도 디렉터리 서비스일까요? 답은 "예"입니다. 하지만 그렇다면 액티브 디렉토리는 왜 이렇게 복잡할까요?
대부분의 최신 디렉터리 서비스처럼 액티브 디렉토리는 단순히 이름을 주소에 매핑하는 것 이상의 훨씬 많은 기능을 수행합니다. 네트워크 보안의 핵심 요소로서 사용자(사용자 계정) 및 리소스에 대한 상세 정보를 포함하고, 대부분의 네트워크에서 접근 제어 메커니즘의 중심 역할을 합니다. 현대적인 디렉터리 서비스는 네트워크, 리소스, 사용자 관련 정보 대부분이 저장되는 데이터베이스입니다.
디렉터리 서비스는 계층적 데이터베이스 구조로, 각 객체는 서로 다른 엔터티를 나타냅니다. 일부 객체는 사용자를 나타내고, 일부는 컴퓨터나 네트워크 공유와 같은 사용 가능한 리소스를 나타냅니다. 다른 객체들은 객체의 컨테이너 역할을 합니다. 계층 구조는 단일 객체를 쉽게 찾을 수 있게 하고, 객체가 상위 객체로부터 권한을 상속받아 권한 관리를 용이하게 합니다.
이 글의 목적은 여러분을 디렉터리 서비스 전문가로 만드는 것이 아니라, 액티브 디렉토리가 무엇이며 어디에서 왔는지 더 잘 이해할 수 있도록 충분한 배경 정보를 제공하는 것입니다. 이제 과거와 현재 디렉터리 서비스의 실제 사례를 살펴보겠습니다.
디렉터리 서비스의 몇 가지 예
DNS: 가장 초기 디렉터리 서비스 중 하나로, 1980년대 초에 등장했습니다. 호스트 이름을 IP 주소로 변환하는 단일한 목적을 가졌으며, 현재까지도 인터넷의 핵심 기반 기술 중 하나로 널리 사용되고 있습니다.
네트워크 정보 서비스 (NIS): 선 마이크로시스템즈에서 유닉스 환경을 위해 개발한 DNS와 유사한 이름 서비스입니다.
노벨 디렉토리 서비스 (NDS): 나중에 eDirectory로 불리게 된 노벨 넷웨어 네트워크의 디렉터리 서비스입니다. 오늘날의 액티브 디렉토리와 유사하게 이름 확인뿐 아니라 인증 및 접근 제어에도 사용되는 포괄적인 시스템이었습니다.
넷인포: 넥스트에서 개발되었으며, 애플이 해당 회사를 인수하면서 맥 OS의 디렉터리 서비스인 오픈 디렉토리로 발전했습니다.
NT 도메인: 액티브 디렉토리의 조상 격인 또 다른 디렉터리 서비스입니다. 주로 접근 제어 및 인증 목적으로 사용되었습니다.
X.500 및 LDAP, 두 가지 디렉터리 서비스 표준
정보화 시대에는 상호 운용성이 매우 중요해지면서 모든 분야에서 표준이 등장하고 있으며, 디렉터리 서비스 분야도 예외는 아닙니다. LDAP와 X.500은 두 가지 주요 표준입니다.
X.500 표준, 또는 더 정확히 말하면 X.500 표준 시리즈는 전자 디렉터리 서비스의 다양한 측면을 다루는 ITU-T의 사양 그룹입니다. 최초 버전은 1988년에 발표되었지만, 오늘날에도 여전히 널리 사용되고 있습니다.
X.500에서 제안한 표준 프로토콜 세트의 목표 중 하나는 상호 운용성을 보장하고 서로 다른 공급업체의 시스템이 상호 작용할 수 있도록 하는 것입니다. X.500은 실제로 9개의 개별 프로토콜 세트로 구성되어 있습니다.
LDAP(Lightweight Directory Access Protocol)는 IP 네트워크를 통해 분산된 디렉터리 정보 서비스에 접근하고 유지 관리하기 위한 개방형 벤더 중립적 산업 표준 응용 프로그램 프로토콜입니다. 현재 마이크로소프트의 액티브 디렉토리를 포함한 대부분의 디렉터리 서비스 구현은 LDAP와 호환됩니다.
LDAP는 원래 단순한 TCP/IP 프로토콜 스택을 통해 X.500 디렉터리 서비스에 액세스하기 위한 경량 대체 프로토콜로 고안되었습니다. 따라서 X.500과 LDAP는 상호 배타적인 관계가 아니라 보완적인 관계에 있습니다. 예를 들어, LDAP 사양은 디렉터리 서비스 데이터베이스의 구조가 X.500과 호환되어야 한다고 명시하고 있습니다.
LDAP 클라이언트는 디렉터리 서비스 데이터베이스에 있는 객체의 속성을 읽을 뿐만 아니라 수정할 수도 있습니다. 물론 이는 LDAP가 무단 수정으로부터 안전하게 보호할 수 있는 인증 메커니즘을 제공해야 함을 의미합니다.
NT 도메인에서 액티브 디렉토리로
앞서 언급했듯이, 윈도우 NT 도메인은 마이크로소프트 생태계에서 디렉터리 서비스의 첫 번째 형태였습니다. 1993년 윈도우 NT와 함께 처음 등장했으며, 주로 사용자 인증을 담당하는 도메인 컨트롤러에 있는 중앙 집중식 데이터베이스를 기반으로 했습니다. 데이터베이스는 중복성을 위해 여러 도메인 컨트롤러에 복제될 수 있었으며, 대규모 다중 사이트 네트워크에서 로컬로 사용자를 인증할 수 있었습니다.
마이크로소프트는 윈도우 2000에서 액티브 디렉토리를 출시했습니다. 오랜 기간 사용되어 온 기존 도메인에 대한 개선이 절실히 필요했기 때문입니다. 액티브 디렉토리는 다양한 서비스를 제공합니다. 그중 가장 중요한 것은 도메인 서비스입니다. 이는 윈도우 네트워크의 핵심으로, 장치 및 사용자를 포함한 도메인 구성원에 대한 정보를 저장하고, 자격 증명을 확인하며, 인증 및 접근 권한을 정의합니다.
액티브 디렉토리의 다른 중요한 서비스로는 로컬 공개 키 인프라를 제공하는 인증서 서비스가 있습니다. 이를 통해 조직은 내부적으로 사용하기 위한 공개 키 인증서를 생성, 검증 및 취소할 수 있습니다. 이러한 인증서는 파일, 이메일, 네트워크 트래픽을 암호화하는 데 사용할 수 있습니다. 액티브 디렉토리에서 제공하는 기타 서비스에는 페더레이션 서비스, 싱글 사인온 메커니즘, 권한 관리 서비스 등이 있습니다.
최고의 액티브 디렉토리 도구
액티브 디렉토리의 주요 특징은 규모가 크고 복잡하다는 것입니다. 이러한 복잡성은 관리상의 어려움을 초래합니다. 다행히도, 여러 서드파티 개발자들이 액티브 디렉토리 관리 부담을 줄여주는 도구를 개발했습니다. 이 섹션에서는 우리가 조사한 도구 중 최고의 도구들을 소개합니다. 도구의 수가 너무 많기 때문에 이 목록이 모든 것을 포괄하지는 않음을 미리 밝힙니다.
1. SolarWinds 서버 및 애플리케이션 모니터 (무료 평가판)
솔라윈즈(SolarWinds)는 최고 수준의 네트워크 및 시스템 관리 도구를 개발하는 회사로 잘 알려져 있습니다. 예를 들어, 최고의 SNMP 모니터링 도구나 최고의 NetFlow 수집기 및 분석기를 평가할 때 솔라윈즈 제품을 수없이 추천했습니다. 솔라윈즈는 또한 관리자를 위한 작업별 무료 도구로도 유명합니다.
따라서 솔라윈즈 서버 & 애플리케이션 모니터가 이 목록에 포함된 것은 놀라운 일이 아닙니다. 소박한 이름 때문에 액티브 디렉토리 도구라고 생각하지 않을 수도 있지만, 광범위한 기능을 통해 액티브 디렉토리 모니터링 및 관리에 매우 유용한 도구입니다.
솔라윈즈 서버 및 애플리케이션 모니터가 어떻게 AD 관리를 도울 수 있는지 살펴보겠습니다. 우선, 이 도구는 다양한 작동 매개변수를 모니터링하는 도메인 컨트롤러 모니터링 기능을 제공합니다. CPU 사용률이 너무 높아지거나 사용자 계정이 잠기거나 로그인 문제가 발생할 때 알림을 제공합니다.
이 소프트웨어는 또한 NTDS 객체 카운터를 모니터링하여 서버 과부하를 줄이는 데 도움이 됩니다. 또한 LDAP 활성 스레드, 바인드 시간, 클라이언트 세션, 성공적인 바인드 및 초당 검색을 포함한 여러 LDAP 통계에 대한 통찰력을 제공합니다.
솔라윈즈 서버 및 애플리케이션 모니터는 디렉토리 서버가 복제에 실패할 경우 알림을 전송할 수 있습니다. 이는 사용자가 폴더 및 파일에 접근할 수 없게 되는 상황을 초래할 수 있습니다. 또한 분산 파일 시스템, DFS 복제, 사이트 간 메시징, DNS 클라이언트, 윈도우 시간, RPC, 서버 및 워크스테이션 서비스, 액티브 디렉토리 도메인 서비스와 같은 디렉터리 서비스와 관련된 자세한 성능 통계를 제공합니다.
그러나 이름에서 알 수 있듯이 이 도구는 액티브 디렉토리 서비스뿐만 아니라 서버 자체와 해당 서버에서 실행되는 애플리케이션도 모니터링합니다. 이 완전한 패키지는 가장 작은 네트워크에서부터 수백 대의 물리적 및 가상 서버가 있는 대규모 다중 사이트 네트워크에 이르기까지 확장할 수 있습니다. 또한 아마존 웹 서비스 및 마이크로소프트 애저와 같은 클라우드 환경의 서버도 모니터링할 수 있습니다.
솔라윈즈 서버 및 애플리케이션 모니터는 처음에는 네트워크에서 호스트 및 장치를 자동으로 검색합니다. 그다음 두 번째 검색 스캔을 통해 각 서버에서 실행 중인 애플리케이션을 검색합니다. 일단 실행되면 직관적인 사용자 인터페이스 덕분에 이 도구를 사용하기가 훨씬 더 쉬워집니다. 예를 들어, 노드 세부 정보를 클릭하면 노드의 성능 및 상태 정보가 표시됩니다.
솔라윈즈 서버 및 애플리케이션 모니터의 가격은 2,995달러부터 시작하며, 30일 무료 평가판을 다운로드할 수 있습니다.
2. ManageEngine 액티브 디렉토리 무료 도구
매니지엔진(ManageEngine)은 시스템 및 네트워크 관리자들 사이에서 또 다른 유명한 이름입니다. 최고의 IT 인프라 모니터링 도구 중 하나로 평가받는 OpManager를 개발한 회사입니다. 솔라윈즈와 마찬가지로 매니지엔진도 훌륭한 무료 도구를 제공합니다. 실제로 15개 이상의 무료 액티브 디렉토리 도구를 제공하여 AD 인프라를 모니터링하고 관리할 수 있도록 돕습니다. 일부는 독립 실행형 프로그램이고, 다른 일부는 파워쉘(PowerShell) cmdlet입니다. 이 툴킷의 장점 중 하나는 대부분의 도구가 단일 다운로드로 제공된다는 것입니다. 이 도구들 중에서 가장 흥미로운 것들을 살펴보겠습니다.
AD 쿼리 도구는 사용자 객체의 이름, 성, 전화번호, 주소 등과 같이 액티브 디렉토리에서 필요한 모든 속성 데이터를 읽을 수 있습니다. 또한 이 유틸리티를 사용하여 액티브 디렉토리 그룹 및 컴퓨터 객체를 쿼리할 수도 있습니다.
CSV 생성기 도구는 사용자 지정 액티브 디렉토리 속성 및 해당 값의 사용자 지정 배열이 포함된 CSV 파일(이름 그대로!)을 생성합니다. 생성된 파일은 대량 액티브 디렉토리 관리에 사용할 수 있습니다.
마지막 로그온 찾기 도구는 도메인에서 선택한 모든 도메인 컨트롤러에 있는 모든 또는 선택된 사용자의 마지막 로그온 시간을 나열하는 데 사용됩니다. 일반적으로 감사 및 정리 활동에 사용됩니다.
터미널 세션 관리자는 도메인에서 여러 터미널 세션을 식별하고 관리하는 데 사용할 수 있는 파워쉘 cmdlet입니다. 이를 통해 도메인의 여러 사용자에 대한 터미널 세션을 관리하거나 연결을 끊거나 로그오프할 수 있습니다.
액티브 디렉토리 복제 관리자는 관리자가 도메인 또는 전체 포리스트에 있는 데이터를 강제로 복제할 수 있도록 합니다. 또한 두 도메인 컨트롤러 간의 데이터 복제를 허용하고 마지막 복제에 대한 포괄적인 보고서를 제공합니다.
DMZ 포트 분석기는 관리자가 액티브 디렉토리와 함께 작동하는 서드파티 애플리케이션에 필요한 포트 상태를 확인할 수 있도록 합니다. 방화벽에서 적절한 포트를 여는 데 사용할 수 있습니다.
도메인 컨트롤러 역할 보고자는 도메인에 있는 모든 도메인 컨트롤러와 해당 역할을 나열합니다. 관리자가 도메인 컨트롤러의 연결된 역할을 식별하는 데 도움이 됩니다.
로컬 사용자 관리자는 관리자가 도메인 내에서 사용자 계정을 관리하는 데 도움이 됩니다. 로컬 사용자 계정에 대한 정보를 제공하고, 편리한 사용자 인터페이스를 사용하여 이러한 계정을 관리할 수 있습니다.
도메인 컨트롤러 모니터링 도구는 도메인을 자동으로 검색하고 표시하는 간단한 도구입니다. CPU 사용률, 디스크 사용률, 메모리 사용률과 같은 도메인 컨트롤러의 다양한 매개변수를 표시합니다. 또한 초당 페이지 읽기, 초당 페이지 쓰기, 파일 읽기, 파일 쓰기 등과 같은 다른 매개변수도 볼 수 있습니다.
비밀번호 정책 관리자는 모든 사용자가 도메인의 비밀번호 정책을 검색하고 볼 수 있도록 합니다. 또한 관리 권한이 있는 사용자가 도메인 비밀번호 정책을 편집할 수 있습니다.
이름에서 알 수 있듯이, 빈 비밀번호 사용자 보고서 도구는 비밀번호 필드가 null로 설정된 사용자 계정을 찾는 데 사용되어 관리자가 보안 관련 문제를 방지할 수 있도록 합니다.
액티브 디렉토리 중복 찾기는 관리자가 도메인의 액티브 디렉토리 속성에 대한 중복 항목을 식별할 수 있도록 해주는 파워쉘 유틸리티입니다. 중복 항목이 편리하게 나열되어 관리자가 중복 없는 액티브 디렉토리를 보장할 수 있습니다.
DNS 리포터는 네트워크의 DNS 인프라와 관련된 정보를 얻는 데 도움이 됩니다. 도메인 이름을 입력하기만 하면 사용 가능한 DNS 레코드의 세부 정보, 해당 레코드 유형, IP 주소 및 서비스 세부 정보를 표시할 수 있습니다.
서비스 계정 관리는 몇 번의 클릭만으로 관리 서비스 계정을 쉽게 생성, 편집 및 삭제할 수 있도록 설계되었습니다. 이 도구는 이러한 작업을 수행하는 데 사용되는 일반적인 도구인 파워쉘에 대한 지식이 필요하지 않습니다.
취약한 비밀번호 사용자 보고서는 일반적으로 사용되는 100,000개 이상의 취약한 비밀번호 목록과 사용자 비밀번호를 비교하여 액티브 디렉토리에서 취약한 비밀번호를 찾는 데 도움이 됩니다. 그런 다음 약한 비밀번호를 가진 사용자가 다음에 로그온할 때 비밀번호를 변경하도록 강제할 수 있습니다.
3. 이나우 컴퍼스
컴퍼스는 이나우 소프트웨어(ENow Software)의 솔루션으로, 환경이 손상되기 전에 숨겨진 문제를 식별하는 데 도움이 됩니다. 액티브 디렉토리 및 모든 도메인 컨트롤러의 실시간 네트워크 모니터링이 가능합니다. 컴퍼스는 DFS/FRS 복제를 모니터링하여 액티브 디렉토리가 정상인지 확인합니다. 또한 DNS 이름 확인 문제를 찾아 문제 있는 애플리케이션을 해결하여 AD가 원활하게 실행되도록 할 수 있습니다.
컴퍼스는 도메인 관리자 그룹 감사, 비활성 사용자 계정 식별 및 제거, FSMO 역할 식별을 포함하여 50개 이상의 보고서를 제공합니다. 이 도구는 설치가 빠르고 사용하기 쉽습니다. 문제가 발생하기 전에 문제를 조기에 식별하는 데 도움이 되는 직관적이고 사용하기 쉬운 대시보드를 제공합니다.
컴퍼스에 대한 자세한 가격 정보는 이나우 영업팀에 문의하거나 14일 무료 평가판을 신청하여 확인할 수 있습니다.
4. 안투리스 액티브 디렉토리 모니터
액티브 디렉토리 관리 작업의 절반은 모든 서비스가 원활하게 실행되고 있는지 확인하는 것이며, 안투리스(Anturis)의 액티브 디렉토리 모니터가 바로 이러한 기능을 제공합니다. 이 도구는 이메일, SMS 또는 음성 통화 알림을 통해 비정상적인 상황을 경고할 수 있습니다. 또한 액티브 디렉토리 서버 및 복제 구조에 대한 성능 기준을 설정하여 성능 추세를 파악하고 병목 현상이 AD 성능에 부정적인 영향을 미치기 전에 병목 현상의 위험을 줄이는 데 도움이 됩니다.
액티브 디렉토리 모니터는 서버 및 LDAP 세션을 표시하고 경고 임계값을 설정합니다. 또한 초당 Kerberos 및 NTLM 인증을 표시하여 일반적인 서버 부하에 대한 아이디어를 제공합니다. 또한 복제가 액티브 디렉토리의 가장 중요한 측면 중 하나이므로 복제 상태, DRA 보류 중인 복제 동기화 및 DRA 보류 중인 복제 작업과 같은 복제 성능 메트릭도 모니터링합니다.
액티브 디렉토리 모니터는 클라우드 기반 서비스이며, 10개의 모니터에 대해 월 10달러에서 1000개의 모니터에 대해 월 650달러까지 다양한 구독 요금제를 제공합니다. 무료 버전도 사용할 수 있지만 5개의 모니터로 제한됩니다. 모든 유료 플랜에는 30일 무료 평가판이 제공됩니다.
5. 퀘스트 액티브 관리자
이 목록의 마지막은 퀘스트(Quest)의 액티브 관리자입니다. 이것은 완전하고 통합된 액티브 디렉토리 관리 소프트웨어 솔루션으로, 마이크로소프트 도구가 남겨둔 격차를 해소합니다. 이 도구를 사용하면 감사 및 보안 요구 사항을 더 쉽고 빠르게 충족할 수 있습니다. AD 관리의 많은 중요한 영역을 다루는 기능을 제공합니다.
이 도구의 주요 기능 중 하나는 통합된 사전 관리 기능을 제공하는 것입니다. 또한 직관적인 보고 및 경고 기능을 통해 이벤트 유형, 사용자, 날짜, 사용자 로그인 및 잠금 활동을 필터링하여 변경 사항을 신속하게 모니터링하고 보고할 수 있습니다. 이벤트 경고를 설정하고 경고 기반 작업을 자동화할 수도 있습니다.
액티브 관리자의 가격은 AD에서 활성화된 사용자 계정별로 책정되며, 1년 지원이 포함된 영구 라이선스의 경우 16.37달러부터 시작합니다. 최소 20개의 사용자 계정에 대한 라이선스를 구매해야 합니다. 30일 무료 평가판을 다운로드할 수 있습니다.