거의 정확히 20년 전인 1999년 2월 Windows 2000 Server Edition이 출시된 이래 Active Directory는 Microsoft 서버 에코시스템의 핵심 구성 요소였습니다. 주요 목적은 네트워크 리소스에 대한 정보를 유지하는 것입니다. 컴퓨터 네트워크는 다소 복잡할 수 있습니다. 결과적으로 Active Directory는 복잡한 경향이 있기 때문에 오늘 우리의 주요 목표는 Active Directory 도메인 및 포리스트에 대한 소개를 제공하는 것입니다.
Active Directory 전문가가 되기를 바라는 것은 아니지만 이 복잡한 주제에 대해 조금이나마 밝히고자 합니다. 또한 기술의 상대적으로 높은 수준의 복잡성을 감안할 때 Active Directory의 다양한 측면을 모니터링 및/또는 관리하기 위해 여러 타사 도구가 만들어졌다는 것은 놀라운 일이 아닙니다. 그래서 우리는 그들 중 일부가 당신을 위해 무엇을 할 수 있는지 살펴볼 것입니다.
다음은 Active Directory의 핵심으로의 여정을 계획하는 방법입니다. 먼저 도메인 개념과 관련하여 있을 수 있는 모든 혼란을 해소할 것입니다. AD의 핵심 요소이자 인터넷의 핵심 요소이기도 하지만 혼동해서는 안 되는 완전히 다른 두 가지 도메인 유형입니다. 그런 다음 Active Directory, 정의 및 출처에 대해 소개하겠습니다. 다음으로 AD 도메인과 해당 구조를 나타내는 데 사용하는 트리에 대해 설명합니다. 자연에서 나무의 그룹을 숲이라고합니다. 다음에 보게 될 Active Directory에서도 마찬가지입니다. Active Directory 관리 및 모니터링은 우리의 다음 업무가 될 것이며 마지막으로 이 주제에 대해 몇 가지 최고의 Active Directory 모니터링 및 관리 도구를 검토할 것입니다.
목차
혼란 피하기 – 도메인이란?
도메인은 귀하가 속한 분야에 따라 많은 것이 될 수 있습니다. 그리고 정보 기술 내에서도 도메인이라는 용어는 매우 다른 두 가지에 사용됩니다. 첫 번째 종류의 도메인은 대부분의 컴퓨터 사용자(컴퓨터 과학자가 아닌 사람도 포함)에게 친숙한 인터넷 도메인입니다. 특정 조직에 속하는 인터넷 리소스 그룹입니다. 도메인 이름은 암호화된 IP 주소가 아닌 사용자에게 친숙한(er) 이름을 사용하여 다양한 리소스에 액세스하는 데 사용됩니다. 예를 들어, wdzwdz.com은 이 웹 사이트의 도메인 이름입니다. Microsoft.com은 잘 알려진 또 다른 도메인 이름이며 수십 개 이상을 쉽게 생각할 수 있을 것입니다.
도메인이라는 용어가 널리 사용되는 다른 곳은 Active Directory와 관련이 있습니다. Active Directory 도메인은 하나의 단일 인증 데이터베이스로 처리되는 리소스 그룹입니다(이전 도메인과의 유사점에 주목하시겠습니까?). AD 도메인에 대해서는 곧 자세히 설명하겠습니다. 지금은 동일한 용어가 완전히 관련이 없는 두 개념을 정의하는 데 사용된다는 것과 완전히 동일한 것이 아니므로 혼동하지 않는 것이 중요하다는 것을 이해하는 것이 핵심입니다.
간단히 말해서 Active Directory
사람들이 일반적으로 Active Directory에 대해 묻는 첫 번째 질문은 다음과 같습니다. 정확히 무엇입니까? 대답은 간단합니다. 바로 Microsoft의 LDAP 디렉토리 서비스 구현입니다. 이 답변은 절대적으로 정확하지만 쓸모가 없을 수 있으며 답변보다 더 많은 질문을 제기합니다.
파헤쳐 봅시다. 첫째, 컴퓨터 네트워크의 맥락에서 디렉터리 서비스는 네트워크의 모든 구성 요소에 대한 정보를 포함하는 데이터베이스입니다. 구성 요소란 각 컴퓨터와 서버를 의미하지만 각 사용자나 사용자 그룹 또는 각 디렉토리도 의미합니다. 전화번호부라고 생각하시면 됩니다. 다른 리소스를 찾아야 하는 모든 리소스는 디렉터리에서 해당 리소스를 찾습니다.
초기 답변의 LDAP 부분은 Lightweight Directory Access Protocol의 약어입니다. 간단히 말해서 LDAP는 리소스에 대한 정보가 데이터베이스에 저장되는 방법과 이 정보에 액세스하는 방법을 정의합니다. 이는 불행하게도 다양한 구현이 상호 운용 가능하다는 것을 의미하지 않는 여러 공급업체에서 공유하는 산업 표준 프로토콜입니다.
Active Directory 구조는 개체의 계층적 구성입니다. 개체에는 세 가지 기본 범주가 있습니다. 리소스(예: 컴퓨터 또는 프린터), 서비스(예: 이메일) 및 사용자(사용자 계정 및 사용자 그룹)입니다. Active Directory는 개체에 대한 정보를 제공하고 개체를 구성하며 액세스 및 보안을 제어합니다. 모든 목적을 위해 이름과 속성 집합을 가진 각 항목이 있는 항목 데이터베이스입니다. 각 속성에는 이름, 유형 및 하나 이상의 값이 있습니다. 속성은 데이터베이스의 스키마에 정의됩니다.
Active Directory 데이터베이스의 계층 구조를 파일 시스템의 계층 구조로 생각할 수 있습니다. 파일 시스템에 컨테이너(디렉토리 또는 폴더라고 함)가 있는 것처럼 AD에도 컨테이너가 있습니다. 조직 단위(OU)라고 하며 관련 항목을 함께 그룹화하는 데 도움이 됩니다. 시스템 관리자는 필요에 따라 자유롭게 OU를 만들 수 있으며, 예를 들어 조직의 각 부서에 대한 개별 OU를 보는 것은 드문 일이 아닙니다.
Active Directory 도메인
이제 Active Directory가 무엇인지에 대해 모두 같은 페이지에 있으므로 도메인을 살펴보겠습니다. 흥미롭게도 도메인은 Active Directory보다 몇 년 앞서 있습니다. Microsoft가 1999년에 자체 LDAP 디렉토리 서비스를 출시하기 전에도 도메인은 Windows NT 초기부터 존재했습니다. 일반적인 Windows 서버 네트워크에서는 그 중 하나 이상(종종 두 개 이상)이 도메인 컨트롤러로 구성됩니다. 도메인 데이터베이스를 호스팅하는 서버로서 사용자를 인증하고 리소스에 대한 액세스를 제어합니다. 그들이 보유한 정보는 그들 사이에 복제됩니다. 마지막으로 중요한 것은 도메인의 개체가 계층적 방식으로 구성된다는 것입니다.
나무와 숲
트리 비유는 도메인과 같은 계층 구조를 설명하는 데 자주 사용됩니다. 그러나 Active Directory를 사용하여 Microsoft는 한 단계 더 나아가 도메인의 계층 구조를 트리라고 합니다. 도메인은 여러 가지 이유로 여러 도메인으로 구성될 수 있지만 하나의 데이터베이스가 제어하는 리소스 그룹임을 기억하십시오. 이것은 실제로 더 큰 조직에서 매우 흔한 일이며 큰 회사의 각 부서에 대해 하나의 도메인을 보는 것은 전혀 드문 일이 아닙니다. 더 큰 조직의 경우 나무를 숲으로 그룹화할 수 있습니다. 이것은 Active Directory의 최상위 요소이며 다른 모든 요소는 이 요소에서 파생됩니다.
Active Directory 관리 및 모니터링
모니터링이 전부입니다! 네트워크 또는 시스템 관리자라면 이 말을 수없이 들어봤을 것입니다. 그리고 뭔지 알아? 모든 것입니다! 모니터링은 최신 상태를 유지하는 가장 좋은 방법 중 하나입니다. 원하는 메트릭 유형을 정확하게 얻을 수 있는 다양한 유형의 모니터링 도구가 있습니다. 예를 들어 대역폭 모니터링은 네트워크의 다른 세그먼트 사용에 대해 보고하고 CPU 모니터링은 서버의 CPU 게이지를 표시합니다. 시스템 및 네트워크의 대부분의 운영 메트릭을 모니터링할 수 있습니다. 모니터링 도구를 사용하는 주요 이점은 대부분 자동이라는 것입니다. 당신은 그들을 지속적으로 볼 필요가 없습니다. 뭔가 비정상적일 때마다 모니터링 도구가 알려줍니다.
Active Directory의 경우 여러 매개변수를 모니터링할 수 있습니다. 예를 들어 도메인 컨트롤러(도메인의 데이터베이스가 저장되는 서버)는 응답 및 성능을 모니터링할 수 있습니다. 액세스 권한에 대한 변경 사항도 어느 정도 이점으로 모니터링할 수 있습니다. 로그인, 특히 실패한 로그인은 악의적인 활동을 나타낼 수 있으므로 모니터링할 가치가 있는 또 다른 매개변수입니다.
Active Directory 관리는 다른 것입니다. Microsoft는 Active Directory를 관리하는 데 도움이 되는 여러 도구를 제공합니다. 이를 통해 개체를 만들고, 권한을 할당하고, 일반적으로 AD 관리와 관련된 대부분의 일상적인 활동을 수행할 수 있습니다. 그러나 이러한 도구 중 일부는 사용하기가 다소 번거롭거나 비실용적일 수 있으며 여러 공급업체에서 Active Directory 관리 작업을 훨씬 쉽게 만들 수 있는 다양한 Active Directory 관리 도구를 제공하기 시작했습니다.
최고의 광고 도구
우리는 최고의 Active Directory 도구를 찾기 위해 시장을 샅샅이 뒤졌습니다. 오늘 우리가 제공하는 것은 모니터링 도구(일부 AD 전용 및 일부 일반)와 관리 도구가 혼합된 것입니다. 이들 모두는 Active Directory와 관련된 일상적인 작업을 수행하는 데 도움이 될 수 있으며 이것이 주요 포함 기준 중 하나였습니다. 일부는 보안 지향적이고 다른 일부는 성능 지향적입니다.
1- SolarWinds 액세스 권한 관리자(무료 평가판)
SolarWinds는 최고의 네트워크 및 시스템 관리 소프트웨어 게시자 중 하나입니다. Network Performance Monitor라는 주력 제품은 지속적으로 최고의 네트워크 대역폭 모니터링 시스템 중 하나입니다. 또한이 회사는 무료 소프트웨어로도 유명합니다. 우리는 각각 네트워크 관리자의 특정 요구 사항을 해결하는 더 작은 도구에 대해 이야기하고 있습니다. 이러한 무료 도구의 두 가지 좋은 예는 Advanced Subnet Calculator와 Kiwi Syslog Server입니다.
개체 권한만 처리한다고 믿게 만드는 다소 오해의 소지가 있는 이름에도 불구하고 SolarWinds 액세스 권한 관리자 주로 사용자 프로비저닝 및 프로비저닝 해제, 추적 및 모니터링을 쉽게 만드는 것을 목표로 합니다. 또한 불필요한 권한이 부여되지 않도록 사용자 권한을 관리하고 모니터링하는 강력하고 쉬운 방법을 제공합니다.
이 제품의 가장 큰 장점 중 하나는 다양한 파일 및 폴더에 대한 사용자 액세스를 생성, 수정, 삭제, 활성화 및 비활성화하는 데 사용할 수 있는 직관적인 사용자 관리 대시보드입니다. 사용자가 네트워크의 특정 리소스에 쉽게 액세스할 수 있도록 하는 역할별 템플릿이 있습니다.
또한 매우 흥미롭고 매우 독특합니다. SolarWinds 액세스 권한 관리자의 보고 기능입니다. 이 소프트웨어는 분쟁 또는 최종 소송의 경우 증거로 사용할 수 있는 보고서를 생성할 수 있습니다. 감사 목적 및 귀하의 비즈니스에 적용되는 규제 표준에 의해 설정된 사양 준수에 대한 자세한 보고서도 제공됩니다. 몇 번의 클릭만으로 보고서를 빠르고 쉽게 작성할 수 있습니다. 여기에는 유용한 정보가 포함될 수 있습니다. 예를 들어 Active Directory의 로그 활동과 파일 서버 액세스가 보고서에 포함될 수 있습니다. 필요에 따라 요약하거나 상세하게 작성하는 것은 사용자의 몫입니다.
공격 및/또는 데이터 유출은 폴더 및/또는 해당 콘텐츠에 액세스할 수 있는 권한이 없는 사용자가 폴더 및/또는 해당 콘텐츠에 액세스할 때 자주 발생합니다. 이는 사용자에게 폴더 또는 파일에 대한 광범위한 액세스 권한이 부여되는 일반적인 상황입니다. 그만큼 SolarWinds 액세스 권한 관리자 기밀 데이터 및 파일에 대한 이러한 유형의 누출 및 무단 변경을 방지할 수 있습니다. 관리자에게 여러 파일 서버에 대한 권한을 시각적으로 표시하고 누가 어떤 파일에 대해 어떤 권한을 가지고 있는지 쉽고 시각적으로 확인할 수 있습니다.
가격 책정 SolarWinds 액세스 권한 관리자 Active Directory 내에서 활성화된 사용자 수를 기반으로 합니다. SolarWinds 용어에서 활성화된 사용자는 활성 사용자 계정 또는 서비스 계정입니다. 제품 가격은 최대 100명의 활성 사용자에 대해 $2,995부터 시작합니다. 더 많은 사용자(최대 10,000명)의 경우 자세한 가격은 SolarWinds 영업팀에 문의하여 얻을 수 있습니다. 도구를 구입하기 전에 테스트 실행을 제공하려는 경우 무료 30일 평가판을 얻을 수 있습니다.
2- SolarWinds 서버 및 애플리케이션 모니터(무료 평가판)
그만큼 SolarWinds 서버 및 애플리케이션 모니터 관리자가 서버, 운영 매개변수, 프로세스 및 서버에서 실행 중인 애플리케이션을 모니터링하는 데 도움이 되도록 설계되었습니다. Active Directory 도메인 컨트롤러와 실행에 필요한 중요한 서비스를 모니터링하는 데 사용할 수 있는 최고의 도구 중 하나입니다. 그러나 이 도구는 일부 또는 모든 서버도 모니터링합니다. 물리적 및 가상 서버를 모두 포함하는 수백 대의 서버가 여러 사이트에 분산되어 있는 가장 작은 네트워크에서 대규모 네트워크로 쉽게 확장할 수 있습니다.
SolarWinds Server 및 Application Monitor에서 제공하는 Active Directory 성능 모니터링은 계정 생성, 비밀번호 변경 및 재설정 시도, 비활성화 및 삭제된 사용자 계정과 같은 사용자 계정과 관련된 Active Directory 문제에 대한 통찰력을 제공합니다. 또한 방화벽 설정 및 기타 시스템 변경 사항과 현재 실행 중인 서비스에 대한 통찰력을 제공하는 것처럼 도메인 및 시스템 정책 변경 및 데이터 복구에 대한 정보도 제공합니다. 이 도구는 또한 모니터링 LDAP 세션을 허용합니다. 연결된 클라이언트 수가 서버 로드에 영향을 미치면 도구는 NTDS 개체 카운터를 모니터링하여 특정 LDAP 세션에 연결된 서버 과부하를 방지합니다. 또한 소프트웨어는 LDAP 활성 스레드, 바인드 시간, 클라이언트 세션, 성공적인 바인드/초 및 검색/초와 같은 고급 통계에 대한 통찰력을 제공할 수 있습니다.
제품의 초기 구성은 2단계 자동 검색 프로세스의 도움으로 빠르고 쉽게 완료됩니다. 첫 번째 패스는 모든 서버를 검색하고 두 번째 패스는 검색된 각 서버에서 애플리케이션을 찾습니다. 이 프로세스에는 시간이 걸릴 수 있지만 검색할 특정 응용 프로그램 목록을 제공하면 속도를 높일 수 있습니다. 도구가 실행되고 나면 사용자 친화적인 GUI를 통해 쉽게 사용할 수 있습니다. 도구의 대시보드를 개인화할 수 있으며 정보를 표 또는 그래픽 형식으로 표시할 수 있습니다.
SolarWinds Server 및 Application Monitor의 가격은 2,995달러부터 시작하며 모니터링되는 구성 요소, 노드 및 볼륨의 수를 기준으로 합니다. 30일 무료 평가판을 다운로드할 수 있습니다. 제품을 구입하기 전에 제품을 시험해보고 싶다면 다운로드할 수 있습니다.
3- ManageEngine의 무료 광고 도구
ManageEngine은 시스템 및 네트워크 관리자에게 잘 알려진 또 다른 이름입니다. ManageEngine OpManager 패키지는 최고의 IT 인프라 모니터링 도구 중 하나입니다. 일부 경쟁업체와 마찬가지로 ManageEngine은 몇 가지 훌륭한 무료 도구를 만듭니다. 그리고 Active Directory와 관련하여 회사는 AD 인프라를 모니터링하고 관리하는 데 도움이 되는 15개 이상의 무료 도구를 제공합니다. 독립 실행형 프로그램과 Powershell cmdlet의 조합이 있습니다. 대부분의 도구는 단일 다운로드에 번들로 제공되므로 얻는 데 큰 문제가 없습니다. 이러한 도구 중 가장 흥미로운 것이 무엇인지 살펴보겠습니다.
광고 쿼리 도구이름에서 알 수 있듯이 Active Directory에서 필요한 모든 속성 데이터를 읽을 수 있습니다.
마지막 로그온 찾기 도메인에서 선택한 모든 도메인 컨트롤러에 있는 모든 사용자 또는 선택한 사용자의 마지막 로그온 시간을 나열하는 데 사용됩니다. 일반적으로 감사 및 정리 활동에 사용됩니다.
Active Directory 복제 관리자 관리자는 도메인의 데이터를 복제할 수 있을 뿐만 아니라 마지막 복제에 대한 포괄적인 보고서를 제공합니다.
도메인 컨트롤러 역할 보고자 도메인에서 모든 도메인 컨트롤러와 해당 역할을 나열합니다.
도메인 컨트롤러 모니터링 도구 간단하면서도 강력한 도구입니다. 도메인을 자동으로 검색하고 표시하여 CPU 사용률, 디스크 사용률 및 메모리 사용률과 같은 도메인 컨트롤러의 중요한 매개변수를 표시합니다.
비밀번호 정책 관리자 적절한 권한이 있는 경우 도메인의 암호 정책을 검색하고 보고 편집할 수 있습니다.
Active Directory 중복 찾기 관리자가 도메인의 Active Directory 속성에 대한 중복 항목을 식별할 수 있게 해주는 Powershell 유틸리티입니다.
서비스 계정 관리 몇 번의 클릭으로 관리 서비스 계정을 쉽게 생성, 편집 및 삭제할 수 있도록 설계되었습니다.
취약한 비밀번호 사용자 보고서 일반적으로 사용되는 100,000개 이상의 취약한 암호 목록과 사용자 암호를 비교하여 Active Directory에서 취약한 암호를 찾는 데 도움이 됩니다.
이는 ManageEngine에서 제공하는 많은 무료 Active Directory 도구 중 일부일 뿐입니다. 각 개별 작업에 대해 별도의 도구를 사용하는 것은 모든 기능이 내장된 통합 도구를 사용하는 것만큼 실용적이지 않을 수 있지만 이러한 도구의 가격은 만만치 않으며 확실히 고려할 가치가 있는 옵션이 될 수 있습니다.
4- 활성 관리자
목록의 마지막은 현재 Dell의 일부인 Quest 소프트웨어의 Active Administrator입니다. 이것은 완전하고 통합된 Active Directory 관리 소프트웨어 솔루션입니다. 이는 일부 Microsoft 도구가 남겨둔 격차를 해소합니다. 이는 보안 및 감사 요구 사항을 더 쉽고 빠르게 충족할 수 있는 도구입니다. AD 관리의 가장 중요한 많은 영역을 다루는 기능이 있습니다.
이 도구의 주요 기능 중 Active Administrator는 통합된 사전 관리 기능을 제공합니다. 이것은 또한 사용자 로그인 및 잠금 활동은 물론 이벤트 유형, 사용자 및 날짜별로 필터링하여 변경 사항을 빠르게 발견하고 보고할 수 있는 직관적인 보고 및 경고 기능이 있는 매우 강력한 모니터링 도구입니다. 이벤트 경고를 설정하고 경고 기반 작업을 자동으로 실행할 수도 있습니다.
Active Administrator의 가격은 Active Directory의 활성화된 사용자 계정별로 책정되며 1년 지원이 포함된 영구 라이선스의 경우 $16.37부터 시작합니다. 20개의 사용자 계정에 대한 최소 라이선스를 구매해야 합니다. 30일 무료 평가판을 다운로드할 수 있습니다.