Active Directory 도메인 및 포리스트 소개
액티브 디렉토리(Active Directory) 도메인 및 포리스트 상세 안내
1999년 2월 윈도우 2000 서버 에디션 출시 이후, 액티브 디렉토리는 마이크로소프트 서버 생태계의 핵심 요소로 자리매김했습니다. 네트워크 자원에 대한 정보를 유지하는 것이 주요 목적이며, 컴퓨터 네트워크가 복잡해짐에 따라 액티브 디렉토리 역시 복잡해지는 경향이 있습니다. 이 글에서는 액티브 디렉토리 도메인 및 포리스트에 대한 기본적인 소개를 제공하고자 합니다.
우리는 액티브 디렉토리 전문가를 양성하려는 것이 아니라, 이 복잡한 주제를 조금이나마 이해하기 쉽게 만들고자 합니다. 또한, 액티브 디렉토리의 다양한 측면을 모니터링하고 관리하기 위해 여러 타사 도구들이 개발되었다는 점은 놀라운 일이 아닙니다. 따라서 이 글에서는 그러한 도구들이 제공하는 기능들을 살펴볼 것입니다.
이 글에서는 먼저 도메인 개념에 대한 혼란을 해소하고, 액티브 디렉토리의 정의와 기원에 대해 알아보겠습니다. 그런 다음 액티브 디렉토리 도메인과 그 구조를 표현하는 데 사용되는 트리를 설명하고, 여러 트리가 모여 숲을 이루는 것처럼 액티브 디렉토리에서도 포리스트라는 개념이 어떻게 적용되는지 살펴보겠습니다. 마지막으로 액티브 디렉토리 관리 및 모니터링에 대해 알아보고, 액티브 디렉토리 모니터링 및 관리에 유용한 도구들을 검토할 것입니다.
혼란을 피하기 – 도메인이란 무엇인가?
도메인은 당신이 속한 분야에 따라 여러 가지 의미를 가질 수 있습니다. 정보 기술 분야 내에서도 '도메인'이라는 용어는 매우 다른 두 가지 의미로 사용됩니다. 첫 번째는 대부분의 컴퓨터 사용자에게 친숙한 인터넷 도메인입니다. 이는 특정 조직에 속하는 인터넷 리소스 그룹을 의미하며, 도메인 이름은 IP 주소 대신 사용자가 이해하기 쉬운 이름으로 리소스에 접근하는 데 사용됩니다. 예를 들어, wdzwdz.com은 이 웹사이트의 도메인 이름입니다.
두 번째 의미는 액티브 디렉토리와 관련된 도메인입니다. 액티브 디렉토리 도메인은 하나의 통합 인증 데이터베이스로 관리되는 리소스 그룹을 의미합니다. (이전 도메인과의 유사성에 주목해 주십시오.) AD 도메인에 대해서는 곧 자세히 설명하겠지만, 지금은 동일한 용어가 완전히 다른 두 개념을 정의하는 데 사용된다는 점, 즉 서로 혼동해서는 안 된다는 점을 이해하는 것이 중요합니다.
액티브 디렉토리, 간단히 말해서
사람들이 액티브 디렉토리에 대해 가장 먼저 묻는 질문은 "정확히 무엇인가?"입니다. 간단히 말해, 액티브 디렉토리는 마이크로소프트의 LDAP 디렉토리 서비스 구현입니다. 이 답변은 정확하지만, 실제로는 더 많은 질문을 야기할 수 있습니다.
좀 더 자세히 살펴보겠습니다. 컴퓨터 네트워크 환경에서 디렉토리 서비스는 네트워크의 모든 구성 요소에 대한 정보를 담고 있는 데이터베이스를 의미합니다. 여기서 구성 요소는 각 컴퓨터와 서버는 물론 사용자, 사용자 그룹, 디렉토리 자체까지 포함합니다. 마치 전화번호부와 같다고 생각하면 됩니다. 다른 리소스를 찾아야 하는 모든 리소스는 이 디렉토리에서 해당 리소스를 찾습니다.
초기 답변에서 LDAP는 Lightweight Directory Access Protocol의 약자입니다. LDAP는 리소스에 대한 정보가 데이터베이스에 저장되는 방식과 이 정보에 접근하는 방식을 정의합니다. 이는 여러 공급업체가 공유하는 산업 표준 프로토콜이지만, 안타깝게도 다양한 구현들이 서로 호환되지 않는다는 의미이기도 합니다.
액티브 디렉토리 구조는 객체의 계층적 구성입니다. 객체는 크게 세 가지 범주로 나눌 수 있습니다. 리소스(컴퓨터, 프린터 등), 서비스(이메일 등) 및 사용자(사용자 계정 및 사용자 그룹)입니다. 액티브 디렉토리는 이러한 객체에 대한 정보를 제공하고, 객체를 구성하며, 접근 및 보안을 제어합니다. 모든 객체는 이름과 속성 집합을 가진 항목 데이터베이스입니다. 각 속성은 이름, 유형 및 하나 이상의 값을 가지며, 데이터베이스 스키마에 정의됩니다.
액티브 디렉토리 데이터베이스의 계층 구조를 파일 시스템의 계층 구조와 비교할 수 있습니다. 파일 시스템에 컨테이너(디렉토리 또는 폴더)가 있는 것처럼, 액티브 디렉토리에도 컨테이너가 있습니다. 조직 단위(OU)라고 불리며 관련 항목들을 함께 그룹화하는 데 사용됩니다. 시스템 관리자는 필요에 따라 자유롭게 OU를 생성할 수 있으며, 예를 들어 조직의 각 부서에 대한 개별 OU를 만드는 경우가 흔합니다.
액티브 디렉토리 도메인
이제 액티브 디렉토리에 대한 기본적인 이해가 되었으므로, 도메인을 자세히 살펴보겠습니다. 흥미롭게도 도메인은 액티브 디렉토리보다 먼저 등장했습니다. 마이크로소프트가 1999년에 자체 LDAP 디렉토리 서비스를 출시하기 전에도, 도메인은 윈도우 NT 초기부터 존재했습니다. 일반적인 윈도우 서버 네트워크에서는 하나 이상의 도메인 컨트롤러로 구성됩니다. 도메인 컨트롤러는 도메인 데이터베이스를 호스팅하고 사용자를 인증하며, 리소스 접근을 제어합니다. 이들이 보유한 정보는 서로 복제되며, 도메인의 객체는 계층적인 방식으로 구성됩니다.
트리와 포리스트
트리 비유는 도메인과 같은 계층 구조를 설명하는 데 자주 사용됩니다. 액티브 디렉토리에서 마이크로소프트는 한 단계 더 나아가 도메인의 계층 구조를 '트리'라고 부릅니다. 도메인은 여러 가지 이유로 여러 개의 도메인으로 구성될 수 있지만, 하나의 데이터베이스에서 제어되는 리소스 그룹입니다. 이는 대규모 조직에서 흔히 볼 수 있으며, 큰 회사의 각 부서마다 하나의 도메인을 두는 것은 일반적인 일입니다. 더 큰 조직의 경우, 트리를 '포리스트'로 그룹화할 수 있습니다. 포리스트는 액티브 디렉토리의 최상위 요소이며, 다른 모든 요소는 여기에서 파생됩니다.
액티브 디렉토리 관리 및 모니터링
모니터링이 전부입니다! 네트워크 또는 시스템 관리자라면 이 말을 수없이 들어봤을 것입니다. 그리고 사실입니다! 모니터링은 시스템을 최신 상태로 유지하는 가장 좋은 방법 중 하나입니다. 원하는 메트릭을 정확하게 얻을 수 있는 다양한 유형의 모니터링 도구가 있습니다. 예를 들어, 대역폭 모니터링은 네트워크의 다양한 세그먼트 사용량을 보고하고, CPU 모니터링은 서버의 CPU 사용률을 표시합니다. 시스템 및 네트워크의 거의 모든 운영 메트릭을 모니터링할 수 있습니다. 모니터링 도구를 사용하면 대부분의 작업이 자동화된다는 이점이 있습니다. 지속적으로 모니터링할 필요 없이, 비정상적인 상황이 발생하면 도구가 알려줍니다.
액티브 디렉토리의 경우, 도메인 컨트롤러(도메인의 데이터베이스가 저장된 서버)의 응답 및 성능을 모니터링할 수 있습니다. 또한 접근 권한 변경 사항, 로그인 시도(특히 실패한 로그인 시도)도 모니터링해야 합니다. 실패한 로그인은 악의적인 활동의 징후일 수 있기 때문에 특히 주의해야 합니다.
액티브 디렉토리 관리는 또 다른 문제입니다. 마이크로소프트는 액티브 디렉토리 관리를 돕기 위한 여러 도구를 제공합니다. 이를 통해 객체 생성, 권한 할당, 기타 AD 관리와 관련된 일상적인 활동을 수행할 수 있습니다. 하지만 이러한 도구 중 일부는 사용하기에 다소 번거롭거나 실용적이지 않을 수 있으며, 여러 공급업체에서 액티브 디렉토리 관리 작업을 훨씬 쉽게 만들 수 있는 다양한 AD 관리 도구를 제공하기 시작했습니다.
최고의 액티브 디렉토리 도구
우리는 시장에서 최고의 액티브 디렉토리 도구를 찾아봤습니다. 여기서 소개하는 것은 모니터링 도구(AD 전용 및 일반)와 관리 도구가 혼합된 형태입니다. 이들 도구는 액티브 디렉토리 관련 일상 작업을 수행하는 데 도움이 될 수 있으며, 이것이 주요 포함 기준 중 하나였습니다. 일부는 보안에 중점을 두고 있고, 다른 일부는 성능에 중점을 두고 있습니다.
1 – SolarWinds 접근 권한 관리자 (무료 평가판)
SolarWinds는 최고의 네트워크 및 시스템 관리 소프트웨어 개발사 중 하나입니다. Network Performance Monitor는 최고의 네트워크 대역폭 모니터링 시스템 중 하나로 꾸준히 평가받고 있으며, 무료 소프트웨어로도 유명합니다. SolarWinds는 각각 네트워크 관리자의 특정 요구 사항을 해결하는 작은 도구들을 제공합니다. Advanced Subnet Calculator와 Kiwi Syslog Server가 좋은 예입니다.
SolarWinds 접근 권한 관리자는 이름과는 달리 사용자 프로비저닝 및 해제, 추적 및 모니터링을 용이하게 하는 데 중점을 둡니다. 또한, 불필요한 권한이 부여되지 않도록 사용자 권한을 관리하고 모니터링하는 강력하고 쉬운 방법을 제공합니다.
이 제품의 가장 큰 장점 중 하나는 직관적인 사용자 관리 대시보드입니다. 이 대시보드를 통해 다양한 파일 및 폴더에 대한 사용자 접근 권한을 생성, 수정, 삭제, 활성화 및 비활성화할 수 있습니다. 또한, 역할 기반 템플릿을 사용하여 사용자가 네트워크의 특정 리소스에 쉽게 접근할 수 있도록 설정할 수 있습니다.
SolarWinds 접근 권한 관리자의 보고 기능은 매우 흥미롭고 독특합니다. 이 소프트웨어는 분쟁 또는 소송 시 증거로 사용할 수 있는 보고서를 생성할 수 있습니다. 또한 감사 목적 및 규정 준수를 위한 상세 보고서도 제공합니다. 몇 번의 클릭만으로 보고서를 빠르고 쉽게 생성할 수 있으며, 여기에는 액티브 디렉토리 로그 활동과 파일 서버 접근 정보가 포함될 수 있습니다. 보고서의 세부 수준은 사용자가 선택할 수 있습니다.
공격 및 데이터 유출은 종종 폴더 및 해당 콘텐츠에 접근 권한이 없는 사용자가 접근할 때 발생합니다. 사용자에게 폴더 또는 파일에 대한 광범위한 접근 권한이 부여되는 일반적인 상황입니다. SolarWinds 접근 권한 관리자는 이러한 유형의 유출 및 무단 변경을 방지하는 데 도움을 줄 수 있습니다. 이 도구를 사용하면 관리자가 여러 파일 서버에 대한 권한을 시각적으로 표시하고, 누가 어떤 파일에 대해 어떤 권한을 가지고 있는지 쉽게 확인할 수 있습니다.
SolarWinds 접근 권한 관리자의 가격은 액티브 디렉토리 내 활성화된 사용자 수를 기준으로 합니다. SolarWinds에서 활성화된 사용자는 활성 사용자 계정 또는 서비스 계정을 의미합니다. 제품 가격은 최대 100명의 활성 사용자에 대해 $2,995부터 시작하며, 더 많은 사용자(최대 10,000명)에 대한 가격은 SolarWinds 영업팀에 문의해야 합니다. 도구를 구매하기 전에 무료 30일 평가판을 사용해 볼 수 있습니다.
2 – SolarWinds 서버 및 응용 프로그램 모니터 (무료 평가판)
SolarWinds 서버 및 응용 프로그램 모니터는 관리자가 서버, 운영 매개변수, 프로세스 및 서버에서 실행 중인 응용 프로그램을 모니터링하는 데 도움이 되도록 설계되었습니다. 액티브 디렉토리 도메인 컨트롤러와 해당 컨트롤러 실행에 필요한 중요 서비스를 모니터링하는 데 사용할 수 있는 최고의 도구 중 하나입니다. 이 도구는 물리적 및 가상 서버를 모두 포함하여 수백 대의 서버가 여러 사이트에 분산된 소규모에서 대규모 네트워크까지 쉽게 확장할 수 있습니다.
SolarWinds 서버 및 응용 프로그램 모니터에서 제공하는 액티브 디렉토리 성능 모니터링은 계정 생성, 비밀번호 변경 및 재설정 시도, 비활성화 및 삭제된 사용자 계정과 같은 사용자 계정 관련 액티브 디렉토리 문제에 대한 통찰력을 제공합니다. 또한, 방화벽 설정 및 기타 시스템 변경 사항, 현재 실행 중인 서비스, 도메인 및 시스템 정책 변경, 데이터 복구에 대한 정보도 제공합니다. 이 도구는 LDAP 세션 모니터링도 지원합니다. 연결된 클라이언트 수가 서버 부하에 영향을 줄 경우, NTDS 객체 카운터를 모니터링하여 특정 LDAP 세션에 연결된 서버 과부하를 방지합니다. 또한 LDAP 활성 스레드, 바인딩 시간, 클라이언트 세션, 성공적인 바인딩/초 및 검색/초와 같은 고급 통계에 대한 통찰력을 제공할 수 있습니다.
제품 초기 구성은 2단계 자동 검색 프로세스를 통해 빠르고 쉽게 완료할 수 있습니다. 첫 번째 단계는 모든 서버를 검색하고, 두 번째 단계는 검색된 각 서버에서 응용 프로그램을 찾습니다. 이 프로세스는 다소 시간이 걸릴 수 있지만, 검색할 특정 응용 프로그램 목록을 제공하면 속도를 높일 수 있습니다. 도구가 실행되면 사용자 친화적인 GUI를 통해 쉽게 사용할 수 있습니다. 도구의 대시보드를 개인화할 수 있으며, 정보를 표 또는 그래프 형식으로 표시할 수 있습니다.
SolarWinds 서버 및 응용 프로그램 모니터 가격은 $2,995부터 시작하며, 모니터링되는 구성 요소, 노드 및 볼륨의 수를 기준으로 합니다. 구매 전에 30일 무료 평가판을 다운로드하여 사용해 볼 수 있습니다.
3 – ManageEngine의 무료 액티브 디렉토리 도구
ManageEngine은 시스템 및 네트워크 관리자에게 잘 알려진 또 다른 이름입니다. ManageEngine OpManager 패키지는 최고의 IT 인프라 모니터링 도구 중 하나입니다. 다른 경쟁업체와 마찬가지로 ManageEngine은 여러 가지 훌륭한 무료 도구를 제공합니다. 특히 액티브 디렉토리와 관련하여, AD 인프라 모니터링 및 관리에 도움이 되는 15개 이상의 무료 도구를 제공합니다. 이 도구들은 독립 실행형 프로그램과 Powershell cmdlet의 조합으로 제공되며, 대부분 단일 다운로드 패키지에 포함되어 있습니다. 이러한 도구 중 흥미로운 몇 가지를 살펴보겠습니다.
- AD Query Tool: 이름에서 알 수 있듯이 액티브 디렉토리에서 필요한 모든 속성 데이터를 읽을 수 있습니다.
- Last Logon Finder: 도메인 내 모든 사용자 또는 선택한 사용자의 마지막 로그온 시간을 나열합니다. 주로 감사 및 정리 활동에 사용됩니다.
- Active Directory Replication Manager: 도메인 데이터를 복제할 수 있을 뿐만 아니라, 마지막 복제에 대한 포괄적인 보고서를 제공합니다.
- Domain Controller Role Reporter: 도메인 내 모든 도메인 컨트롤러와 해당 역할을 나열합니다.
- Domain Controller Monitoring Tool: 간단하지만 강력한 도구로, 도메인을 자동으로 검색하고 표시하여 CPU 사용률, 디스크 사용률 및 메모리 사용률과 같은 도메인 컨트롤러의 중요한 매개변수를 표시합니다.
- Password Policy Manager: 도메인의 암호 정책을 검색, 보고 및 편집할 수 있습니다(적절한 권한 필요).
- Active Directory Duplicate Finder: 관리자가 도메인 액티브 디렉토리 속성에 대한 중복 항목을 식별할 수 있도록 지원하는 Powershell 유틸리티입니다.
- Service Account Manager: 몇 번의 클릭만으로 관리 서비스 계정을 쉽게 생성, 편집 및 삭제할 수 있도록 설계되었습니다.
- Vulnerable Password User Report: 일반적으로 사용되는 100,000개 이상의 취약한 암호 목록과 사용자 암호를 비교하여 액티브 디렉토리에서 취약한 암호를 찾는 데 도움이 됩니다.
이는 ManageEngine에서 제공하는 여러 가지 무료 액티브 디렉토리 도구 중 일부에 불과합니다. 각 개별 작업에 대해 별도의 도구를 사용하는 것은 모든 기능이 통합된 도구를 사용하는 것만큼 실용적이지 않을 수 있지만, 이러한 도구는 무료이므로 고려해 볼 가치가 있습니다.
4 – Active Administrator
이 목록의 마지막 항목은 현재 Dell의 일부인 Quest Software의 Active Administrator입니다. 이는 완전하고 통합된 액티브 디렉토리 관리 소프트웨어 솔루션입니다. 일부 마이크로소프트 도구가 제공하지 못하는 기능을 제공하여 보안 및 감사 요구 사항을 쉽고 빠르게 충족할 수 있도록 돕습니다. AD 관리의 많은 중요한 영역을 다루는 기능이 있습니다.
Active Administrator의 주요 기능 중 하나는 통합된 사전 관리 기능입니다. 또한, 사용자 로그인 및 잠금 활동, 이벤트 유형, 사용자 및 날짜별로 필터링하여 변경 사항을 빠르게 발견하고 보고할 수 있는 직관적인 보고 및 경고 기능이 포함된 강력한 모니터링 도구이기도 합니다. 이벤트 경고를 설정하고 경고 기반 작업을 자동으로 실행할 수도 있습니다.
Active Administrator의 가격은 액티브 디렉토리에서 활성화된 사용자 계정별로 책정되며, 1년 지원이 포함된 영구 라이선스의 경우 $16.37부터 시작합니다. 최소 20개의 사용자 계정에 대한 라이선스를 구매해야 합니다. 30일 무료 평가판을 다운로드하여 사용해 볼 수 있습니다.