BA

WSUS 이어서 설명

설치과정

1. WSUS 역할 설치 (IIS등이 함께 설치)
2. 사후 조치 작업
3. 설정 작업 수행 (도구 실행시 자동 설정 시작)
4. 업스트림 서버 설정 (마이크로소프트 업데이트서버 or 다른 WSUS 서버)
참고. 업스트림 서버를 마이크로소프트 업데이트 서버로 지정하려면 http://www.update.microsoft.com 사이트 접속여부를 확인할 것
5. 네트워크 정보 등 입력
6. 업데이트 정보 확인
7. 언어/제품군/업데이트종류 선택
8. 업데이트 정보 동기화
9. 업데이트 승인
10. 다운로드

업데이트 적용을 위한 그룹 정책 설정
업데이트 설정을 적용한 컴퓨터에 적용될 정책에
컴퓨터구성-정책-관리템플릿-Windows구성요소-Windows업데이트-인트라넷 업데이트 위치 설정, 인터넷 위치 업데이트 연결 안함

======================================

윈도우 서버 보안

계정과 관련된 암호정책

도메인 환경에서 암호정책은 Default Domain Policy 암호 정책만 적용
-> 윈도우 2008 이후에서 '패스워드 설정 개체'를 통해 암호를 개별적으로 설정

Fine-Grained Password Policy
- 개별 사용자/그룹에 대한 세부 패스워드 정책
- 대상이 사용자/그룹

ADSI 편집 도구를 실행 (Windows Ser 2008에서 사용)
연결대상 - 기본값
도메인의 system - Password Setting Container
패스워드 개체 생성 후 적용
생성시 항목의 값을 입력
개체 생성 후 개체의 속성 - msds_PSOAppliedTo 항목에서 적용 대상 지정

AD 관리센터(Windows Server 2012 이후에 사용가능)
도메인에서 system - Password Setting Container
개체 생성 - GUI 기반으로 항목 설정 및 적용대상 지정

======================================

윈도우 인증 메커니즘

로컬 계정 - SAM(Security Account Manager)
도메인 계정 - Kerberos V5

Kerberos 인증 방식
1. 클라이언트가 인증 정보를 KDC에 제출
KDC : Key Distribution Center
2. KDC는 인증정보를 확인하고 TGT를 발급
Ticket-Granting Ticket
3. 클라이언트는 TGT를 TGS에 제출
TGS : Ticket Grant Server
4. TGS는 TGT를 확인하고 Service Ticket을 발급
5. 클라이언트는 인증시 Service Ticket을 사용하여 인증

윈도우의 Kerberos 의 특징
KDC + TGS = Domain Controller

=====================================

SAM : Security Account Manager

NTLM, NTLMv2, LMHash 등의 형태로 암호화된 패스워드

=====================================

인증

인증 방식
1. ID/PW - 알고 있는 것...
2. 개인의 것 - 지문, 망막, 얼굴인식...
3. 개인이 소유하고 있는 것 - USB, 스마트 카드...
4. 행동양식 - 타이핑 리듬, 음성...

=====================================

암호화

대칭키 : 공통된 키를 가지고 암호화 - 키를 가지고 복호화
	키 교환이 어려움
	키 길이가 짧고, 속도가 빠름
비대칭키 : 개인키 + 공개키
	공개키로 암호화 -> 개인키로 복호화
	개인키로 암호화 -> 공개키로 복호화
	키 길이가 길고, 속도가 느림
대칭키+비대칭키 : 비대칭키 방식으로 키를 교환
	교환한 키를 가지고 대칭키 방식으로 통신
	SSL, TLS...

=====================================

데이터 보안 (데이터 암호화)
=> BitLocker, EFS

BitLocker : 볼륨 단위로 암호화. 기본적으로 TPM Chip의 키를 사용하여 암호화. TPM칩이 없을 경우 소프트웨어 암호화 사용. BitLocker 관련 기능을 설치하여야 사용가능
EFS(Encrypting File System) : 파일/디렉토리 단위로 암호화. 인증서를 통한 암호화. NTFS파일시스템 기본 기능으로 별도의 설치 없이 사용가능. 인증서를 사용하지만, 인증서가 없을 경우 자체적으로 인증서를 발급하여 사용

======================================

BitLocker

TPM Chip : Trusted Platform Module. 내장된 키를 통해 다양한 응용프로그램에서 암호화 가능
=> TPM 칩이 없을 경우 소프트웨어 기반 암호화 사용가능
48자리의 복구 키를 생성하고, 그 키를 통해 암호화

고정데이터 디스크 암호화 : 암호 입력을 사용한 암호화 해제
운영체제 디스크 암호화 : 시작키를 저장한 USB를 통한 암호화 해제

실습
1. BitLocker 암호화 기능 설치 후 시스템 재부팅
2. 그룹 정책 설정

- 고정데이터 디스크 : 컴퓨터구성 - 정책 - 관리템플릿 - Windows 구성요소 - BitLocker - 고정데이터 디스크
	고정 데이터 드라이브에 대한 하드웨어 암호화 사용 

- 운영체제 디스크 : 컴퓨터구성 - 정책 - 관리템플릿 - Windows 구성요소 - BitLocker
	운영체제 드라이브에 대한 하드웨어 암호화 사용 구성
	시작시 추가 인증 요구
3. 그룹 정책 편집 후 연결하여 적용 (gpupdate /force)
4. 적용되지 않을 경우 재부팅
5. BitLocker 켜기 사용하여 고정 데이터 디스크 암호화 실습
	암호 설정
	복구키 저장 (암호화 할 디스크 이외의 위치에)
	전체 디스크 / 사용한 부분만 암호화
6. 암호화 진행 후 재부팅하여 암호화가 되어 있는지 확인
7. 암호 입력 / 복구 키 입력으로 암호화 해제

8. 운영체제 디스크 암호화 실습을 위해 가상컴퓨터 종료 후 플로피디스크 추가
9. 재부팅 후 플로피디스크 포맷
10. cmd에서 C:\Windows\system32 경로로 이동하여 다음 명령을 실행
cscript manage-bde.wsf -on C: -rp -sk A:
강사PC의 복구키 : 407792-678810-371602-626670-144716-390533-504625-710985
11. 재부팅 후 암호화 진행
12. 다시 재부팅 후 정상 작동 및 암호화 작동 확인
13. 플로피 디스크 제거 후 부팅하여 복구키를 통한 암호화 해제 확인

======================================

EFS실습

1. 파일 속성 - 고급 - 암호화 옵션 체크
	=> 암호화 적용
2. 파일 속성 - 고급 - 암호화 옵션 옆의 '자세히'
	=> 암호화 한 인증서 정보 확인가능
3. certmgr.msc => 파일시스템 암호화를 위해 만들어진 인증서 확인 및 내보내기 가능
4. 인증서 내보내기시 '개인 키 포함' 및 암호 적용
5. 암호화 한 인증서 및 복구 에이전트(Administrator)의 인증서를 내보내기 하여 파일 열람 가능여부 확인

======================================

Windows Backup
Windows Deployment Service - 윈도우 배포 서비스
Windows Server Update Service- 업데이트 서버

=====================================

Windows 백업

백업 : 문서, 사진... 등의 데이터를 보관

서버 백업 : 서버 - 서비스를 제공 => 이미징 형태 백업

일반적으로 Acronis, Symantec 등의 제품을 사용하여 이미징 형태의 백업 사용
=> 윈도우 백업도 이미징 형태의 백업 지원

=======================================

백업 위치
로컬 저장소 : 사용중인 드라이브에 데이터를 백업
	백업이 진행될 경우 사용중인 저장소 성능 크게 저하
백업 전용 저장소 : 디스크를 별도로 지정하여 백업 전용 사용
	일정 백업에서만 사용가능
CD/DVD 등 미디어 : '한번 백업' 에서만 사용할 수 있음
네트워크 저장소 : 공유저장소 위치에 백업 데이터를 저장
	최종 백업만 남아있게 됨

한번 백업 : 사용자가 백업을 수행하는 시점에 백업
일정 백업 : 사용자가 일정을 지정하여 지정한 시점에 자동으로 백업

일정 백업으로 백업 수행시 최초에는 백업 용량 만큼의 디스크 공간을 차지하지만, 이후 백업부터는 변경사항을 체크하여 변경된 부분만을 백업하므로, 백업 용량이 줄어들게 됨
=> 증분 백업

완전 백업을 수행할 경우, 백업 데이터를 통해 시스템 상태를 완전하게 복구할 수 있음

======================================

윈도우 배포 서비스 (Windows Deployment Service)
- 윈도우를 네트워크로 설치

일반적인 윈도우 운영체제 설치 방법
1. CD등의 미디어를 통해 운영체제 설치
2. USB 미디어를 사용하여 운영체제 설치
3. 운영체제가 설치되어 있는 이미지를 통해 운영체제 설치
4. 네트워크를 통해 설치 이미지를 배포하여 설치

WDS => 네트워크를 통해 부팅 이미지 / 설치 이미지 배포

배포서버 : 부팅이미지/설치 이미지 관리
전송서버 : 이미지 전송

WDS에서 사용하는 이미지 : WIM 이미지

WIM 이미지의 특징 : 커스터마이징 가능
	윈도우 설치시 오피스 함께 설치
	자동설치(무인설치)

윈도우 배포 서비스를 사용하여 윈도우를 설치할 수 있는 조건
1. DHCP,DNS 서비스가 네트워크에 있어야 함
2. 클라이언트가 PXE부트를 지원하여야 함
  PXE : Pre-boot eXecution Environment

전송서버의 전송 방식
=> 멀티캐스트 방식을 사용하여 복수의 클라이언트에게 이미지를 전송
=> UDP(User Datagram Protocol), TFTP프로토콜

윈도우 배포 서비스 작동 순서
1. 배포 서비스가 동작
2. 클라이언트가 DHCP요청
3. 배포서버가 DHCP 요청을 접수 PXE Offer
4. 클라이언트는 PXE Offer 요청정보를 사용하여 부팅 이미지 전송 요청
5. 전송서버에서 세션을 연결하고 부팅 이미지 전송
6. 부팅 이미지로 부팅하여 설치과정 진행
7. 설치 이미지를 전송받고 설치 진행


윈도우 배포 서비스 실습
1. 서버 관리자 - 관리 - 역할 및 기능 추가 - 역할 - Windows 배포 서비스 설치
2. 배포서버 / 전송서버 모두 설치
3. Windows 배포 서비스 도구 실행
4. 서버 구성 - 배포 파일 저장 위치 등 설정
5. 서버 구성 완료 후 부팅 이미지 추가
6. 설치 이미지 그룹 추가 후, 설치 이미지 추가
7. 전송 설정
   자동 캐스트 - 요청이 들어오면 즉시 전송 시작
   예약된 캐스트 - 클라이언트 수가 지정된 수에 도달하거나, 지정된 시점에서 전송을 시작하도록 설정
8. DHCP 및 DNS 설정 확인
9. 새로운 가상 컴퓨터를 추가하여 부팅 - F12를 눌러 네트워크 부팅 실행
10. 설치 과정은 기본적인 설치와 동일하고, 도메인 사용자 정보를 입력하여 승인

윈도우 배포 서비스의 장점
- 설치 미디어 제작의 불편 감소
- 관리자의 관리 부담 경감

=====================================

Windows Server Update Service (WSUS)
- 업데이트를 한꺼번에 받아와서 배포하는 서버
- 마이크로소프트 다양한 제품군

WSUS를 사용하는 이유
1. 업데이트에 의한 네트워크/성능 자원 소모 감소
2. 업데이트에 대한 관리를 관리자가 수행할 수 있도록

업스트림서버/다운스트림서버
업스트림서버 : 업데이트를 받아오는 서버
다운스트림서버 : 업데이트를 받아가는 서버

규모에 따라 소규모일 경우 : 단일 WSUS
규모가 커질경우 : 중앙 WSUS, 지역 WSUS

Disconnected WSUS : 수동으로 다른 업데이트 서버에서 데이터를 복사하여 업데이트 서버 구성

IIS 서비스를 기반으로 동작
	IIS : Internet Information Service, 웹 서버
HTTP 8530포트, HTTPS 8531 포트를 사용

WSUS 서비스 사용시 데이터베이스 설치
1. 내장 데이터베이스
	%SystemRoot%\wid\data\SUBDB.mdf
	단일 WSUS 구성
2. SQL Server
	계층적 WSUS 구성시 사용

WSUS 서비스를 위한 필요사양
1. 윈도우서버 2012, 2012R2, 2008 SP1, 2008R2 이상
2. IIS 6.0 이상
3. MMC 3.0 이상
4. (Optional) SQL Server 2012, 2008, 2005 SP2 이상
5. 30GB 이상의 저장공간

파일 공유 - 권한에 주의 

UNC 경로를 사용하여 공유 자원에 접근
(Universal Naming Convention)

\\[호스트]\[경로]
ex) \\DC\share
     \\192.168.8.10\share
     \\192.168.8.10
     \\DC

http://서버주소/경로

SMB 프로토콜을 사용하여 데이터 교환
(Server Message Block)

====================================

파일 공유시 권한설정

FAT32 파일시스템의 경우 파일시스템에서 권한 설정을 할 수 없기 때문에, 공유권한에 따라 공유 디렉토리의 권한이 결정됨

NTFS 파일시스템의 경우 파일 공유시 권한은 공유권한과 NTFS 권한의 조합으로 결정됨

파일 공유시 권한 결정 방법
1. 공유권한과 공유권한의 충돌
   NTFS권한관 NTFS권한의 충돌
ex) 수강생 그룹 - 읽기
     허준 사용자 - 읽기/쓰기
     => 더 높은 권한인 읽기/쓰기 권한이 적용

2. 거부는 우선적으로 적용
ex) 수강생 그룹 - 읽기/쓰기
     허준 - 모든 권한 거부
    => 거부가 적용됨

3. 공유권한과 NTFS 권한의 충돌
ex) 공유권한 - 수강생 그룹 - 읽기/쓰기
     NTFS권한 - 수강생 그룹 - 읽기
     => 더 낮은 권한이 적용됨

일반적으로는 공유권한은 모든 사용자에게 모든 권한 할당
=> NTFS권한으로 세부 권한을 설정

공유권한 => 파일 공유시에 적용
NTFS권한 => 파일 공유시에도 적용되고, 로컬 컴퓨터에서도 적용

     
=====================================

숨김공유 - 공유를 하지만, 공유중인 자원이 보이지 않도록 설정

공유방법 - 공유이름+'$'

기본적으로 생성되는 숨김공유
ADMIN$ = %SystemRoot%
IPC$ = Null Session
C$, D$... = 로컬 디스크의 공유
PRINT$ = 프린터

net share 명령어로 공유중인 숨김공유 목록 확인

======================================

액세스 기반 열거
- 권한이 없는 공유폴더를 보이지 않도록 설정

======================================

상위 디렉토리에 설정되어 있는 권한은 하위 디렉토리로 상속됨
-> 하위 디렉토리에서 별도의 권한을 설정하기 위해서는 권한 상속을 하지 않도록 설정하여야 함

======================================

DFS (분산 파일 시스템, Distribution File System)

DC : 역할 및 기능 추가 - 역할 - 파일 및 저장소 서비스 - 파일 및 iSCSI 서비스 - DFS 네임스페이스, DFS복제

SVR : 역할 및 기능 추가 - 역할 - 파일 및 저장소 서비스 - 파일 및 iSCSI 서비스 - DFS복제

설치할 것

DFS 네임스페이스 : NetBIOS형태의 가상디렉토리를 생성하고, 공유 디렉토리를 모아놓는 역할

DFS 네임스페이스 구성
1. 네임스페이스 서버 지정
2. 네임스페이스 이름 설정
3. 네임스페이스 서버 형태 지정(도메인 / 독립실행형)
4. 생성된 네임스페이스에 폴더 생성 및 공유폴더 지정

DFS 복제
1. 네임스페이스에 폴더 생성은 위와 동일
2. 공유폴더 지정시 2개 이상의 서버를 지정하여 폴더 구성
3. 폴더 구성이 완료된 후 DFS 복제 구성
4. 구성내용 확인 및 주 서버 선택, 복제 토폴로지(허브 및 스포크, 풀 메시), 복제 일정 선택 후 설정 저장
5. 정상적으로 네임스페이스 내에 공유폴더가 생성되었는지 확인하고, 테스트
======================================

FSRM (File Server Resource Manager)

파일 서버 관리
- 할당량(Quota)
- 파일 확장자에 따라 차단 기능
- 파일 분류

서버관리자 - 관리 - 역할 및 기능 추가 - 역할 - 파일 및 저장소 서비스 - 파일 및 iSCSI 서비스 - 파일 서버 리소스 관리자 설치

할당량관리 - 용량에 따른 제한

하드 할당량 관리 - 지정한 용량 이상 사용불가
소프트 할당량 관리 - 지정한 용량 이상 사용 가능, 모니터링용

사용량에 따른 알림 방법 - 이메일, 이벤트로그, 명령실행, 보고서

빈 파일 생성(크기 지정)
fsutil file createnew [파일명] [파일크기]

======================================

파일 차단 관리 - 파일 확장자를 통해 파일을 관리

파일 그룹 : 비슷한 형태의 파일 확장자를 등록하여 일괄 차단
	사용자가 새로운 파일 그룹 지정 가능

적극적 파일 차단 : 파일 차단에 설정되어 있는 파일을 기록할 수 없도록 차단 (하드 할당량관리와 비슷)
소극적 파일 차단 : 파일 차단에 설정되어 있는 파일을 기록허용 (소프트 할당량 관리와 같이 모니터링 용도)

======================================

NTFS 할당량관리

FSRM의 할당량관리는 특정 폴더에 대한 용량제한을 설정할 수 있으나, 사용자 별 할당량 관리를 하기 어려움

NTFS의 할당량 관리는 사용자별로 할당량을 관리할 수 있으나, NTFS 파일시스템을 사용하는 전체 볼륨 단위로 할당량 설정

Administrator 사용자는 할당량 관리의 제한을 받지 않음.


=======================================

Volume Shadow Copy (섀도우 복사본)
=> NTFS 파일시스템의 스냅샷 기능을 사용하여, 파일의 이전 데이터를 저장

특징 : 데이터의 입출력이 적은 디스크에서 효율적으로 사용가능

NTFS 디스크 속성 -> 섀도우 복사본에서 기능 설정

일정을 지정하여 정기적으로 섀도우 복사본 생성 가능

DNS (Domain Name Service,System)
도메인이름 => IP로 변경 : 정방향조회
IP => 이름 : 역방향조회

FQDN(Full Qualified Domain Name)
= host name + Domain name

ex) dc + steacher.com = dc.steacher.com
www + naver.com = www.naver.com

https://216.58.221.131/board/index.php?gws_rd=ssl#newwindow=1&q=%EC%9B%94%EC%9A%94%EB%B3%91
=> URL (Uniform Resouce Locator)

https:// => 프로토콜(http, https, ftp)
www.google.co.kr => FQDN
/board/index.php => 해당 호스트 내에서 자원의 경로
?gws_rd=ssl#newwindow=1&q=%EC%9B%94%EC%9A%94%EB%B3%91 => 파라미터


많이 사용되는 DNS서버
168.168.63.1~2 : KORNET DNS서버
164.124.121.2 : LG Uplus DNS
8.8.8.8, 8.8.4.4 : Google DNS

이름 확인 순서
1. hosts
리눅스 - /etc/hosts
윈도우 - %SystemRoot%\System32\drivers\etc

2. DNS 캐시
한번 요청한 DNS 정보를 일정 기간동안 보유
조회 ipconfig /displaydns
삭제 ipconfig /flushdns

3. DNS 쿼리
DNS서버에 요청한 FQDN에 대한 IP를 요청
=> 재귀 Query (Recursive)

재귀 질의(Query), 순환 질의(Query)
재귀 : 요청 -> 응답
순환 : DNS서버 -> Root Hint DNS -> Top Level DNS -> Second Level DNS -> ....

. : Root Hint DNS - Top Level DNS 서버의 주소
kr : Top Level DNS - Second Level DNS
co : Second Level DNS - Third Level DNS(google, naver)
google : google 내부의 호스트에 대한 정보를 가지고 있는 DNS서버

레코드 종류
A : IPv4 IP주소 레코드
AAAA : IPv6 IP주소 레코드
CNAME : 별칭(Alias)
MX : Mail Exchange. 메일 서버
SOA : Start Of Authorization. (권한의 시작)
NS : Name Server
SRV : Service (gc, ldap, kerberos...)
PTR : 역방향조회

======================================

DNS 서비스 설치
1. Active Directory Domain Service 설치시 함께 설치
2. 서버관리자 - 역할 및 기능 추가 - 역할 - DNS서버


DNS 영역 생성
1. 주 영역 - 자신이 관리하는 영역을 생성
2. 보조 영역 - 다른 DNS 서버에서 서비스하는 영역을 복제
3. Stub 영역 - 다른 DNS 서버에서 서비스하는 레코드 중 SOA, NS, 일부 A레코드를 복제하여 서비스 (네임서버 연결)

보조/Stub 영역 복제시는 해당 영역에 대한 권한을 가지고 있는 주 DNS 서버에서 영역 전송 설정을 해 주어야 함

영역 전송 대상
아무 서버로 - 모든 DNS 영역 복제 요청에 복제 허용
	보안상 문제 발생 가능
네임 서버로 - 네임 서버로 등록되어 있는 서버들로만 복제 허용
지정된 서버로 - 복제를 허용할 서버의 IP를 등록하여 해당 서버로만 복제를 허용


Zone File - DNS 레코드를 저장하고 있는 파일
%SystemRoot%\system32\dns 위치에 저장
[도메인이름].dns 형태로 파일 생성
영역에 대한 SOA, NS등의 정보 및 일련번호, 갱신주기 등의 정보와 서비스하는 레코드에 대한 정보가 저장됨


Active Directory 통합영역
Active Directory Database (SYSVOL) 에 DNS 레코드를 저장하여, 도메인컨트롤러간의 동기화시 DNS 레코드도 함께 동기화됨 => DFS복제 기능을 사용하여 복제됨


전달자
전달자가 지정되어 있을 경우 자신이 서비스하고 있는 영역을 제외한 다른 레코드에 대한 요청을 받으면, 직접 Root Hint DNS 로부터 순환질의를 시행하지 않고, 전달자로 지정된 DNS 서버로 해당 레코드에 대한 요청을 전달.
전달자로 지정된  DNS 서버에서 받은 응답을 요청한 클라이언트에게 전달함
전달자 기능을 사용하여 DNS 캐싱 서버를 지정하여 운영


조건부전달자
전달자와 비슷하지만, 특정 도메인에 대한 요청만을 지정된 전달자에게 전달함


라운드로빈
같은 호스트이름을 사용하는 여러개의 A레코드가 있을 경우, 요청을 받을 때 마다 순서를 변경하여 레코드에 응답.
부하분산의 효과를 기대할 수 있음.

splitdns.pdf

======================================

DNS 분리 (Split DNS)
- Active Directory Domain Controller 에 포함되어 있는 DNS 서버를 외부 서비스용으로 사용하지 말고, 외부 서비스 용 DNS 서버를 분리할 것

왜? 
해킹의 기본 - 정보수집
ADDS 에 있는 DNS 서버를 통해 외부 DNS 서비스를 제공할 경우, gc, ldap, kerberos, dc, 모든 호스트의 네트워크 정보

RAID (Redundant Array of Independent/Inexpensive Disks)

RAID를 사용하는 이유?
1. 용량 증가
2. 성능 향상
3. 안정성(고가용성) Falut Tolerant

RAID - H/W, S/W
H/W : 성능 우수, 시스템 자원 소모하지 않음, 다양한 기능 지원
S/W : 별도의 하드웨어 구입 비용이 발생되지 않음


S/W RAID 구성 도구
윈도우 : Veritas 디스크 관리자, 저장소 풀(윈도우 서버 2012 R2)
리눅스 : LVM
유닉스(솔라리스) : 솔라리스 볼륨 매니저
......

윈도우 Veritas 디스크 관리자 : RAID-0, RAID-1, RAID-5, 스팬

RAID방식에 따른 특징 (용량,성능,안정성, n개 연결시)
RAID-0 : 용량-n배 	성능-n배 	 에러복구가능개수- 0개
RAID-1 : 용량-1배 	성능-1배 	 에러복구가능개수- n-1개
RAID-5 : 용량-n-1배	성능-n-1배 에러복구가능개수- 1개
RAID-6 : 용량-n-2배 성능-n-2배 에러복구가능개수- 2개

RAID-1+0 : RAID-1 구성 후 해당 RAID-1을 RAID-0으로 연결
RAID-0+1 : RAID-0 -> RAID-1
RAID-5+0 : RAID-5 -> RAID-0
...

======================================

RAID 구성 시 규칙
1. RAID로 연결할 디스크 크기 : 같은 크기로 통일
2. 윈도우 : 동적 디스크 구성 - 같은 크기의 볼륨

스팬 볼륨의 특징
서로 다른 크기의 동적 디스크의 볼륨을 연결하여 단일 볼륨 생성
스트라이프와 비슷하게 용량은 증가하지만, 성능상의 장점은 없음.

RAID-0 
동적디스크 변경 후 '새 스트라이프 볼륨' 을 실행하여 스트라이프 볼륨 구성
서로 다른 크기의 동적 디스크에서 동일한 크기의 볼륨을 연결하여 스트라이프 구성 (용량은 전체 볼륨 크기의 합)
연결된 동적 디스크 볼륨 중 1개라도 이상이 발생할 경우 사용불가/복구불가

RAID-1
동적디스크 변경 후 '새 미러 볼륨' 을 실행하여 미러 볼륨 구성
서로 다른 크기의 동적 디스크에서 동일한 크기의 볼륨을 연결하여 미러 구성 (용량은 1개의 볼륨 크기로 생성)
윈도우 디스크 관리자에서 미러 볼륨은 2개의 디스크로만 생성 가능
연결된 동적 디스크 볼륨중 1개가 손상될 경우에도 정상적으로 사용가능 / 새로운 디스크를 통해 복구 가능

RAID-5 
동적 디스크 변경 후 '새 RAID-5볼륨'을 실행하여 볼륨 구성
동일한 크기의 동적디스크 3개 이상으로 RAID-5 구성 가능
(용량은 각 볼륨의 크기 X n-1)
1개의 손상 복구를 지원하므로, 1개 손상시 정상 사용 / 복구 가능


======================================

가상디스크 (VHD, VHDx)

디스크관리자 - 동작 - VHD 생성, 연결 메뉴 사용

VHDx : Windows Server 2012 R2에 새롭게 도입된 가상디스크 형식. 동적 디스크 사용이 권장됨(사용량에 따른 파일크기 증가). 로그 생성 후 디스크에 R/W 적용으로 에러 발생시 복구용이

======================================

저장소 풀 (Storage Pool)
- LVM과 비슷한 개념

LVM : PV -> VG -> LV
저장소풀 : 디스크 -> 디스크 풀 -> 가상디스크

저장소 풀 관리도구
서버관리자 - 파일 및 저장소 서비스 - 볼륨 - 저장소 풀

Primordial : 원시적인...


프로비저닝 옵션
씬(Thin) : 가상디스크를 사용하듯 디스크 크기를 임의로 지정
고정(Thick) : 현재 저장소 풀 구성상 사용가능한 최대 크기를 계산하여, 최대 크기 이하로 디스크 생성

======================================

DAS / NAS / SAN

DAS : Direct Attached Storage
NAS : Network Attached Storage
SAN : Storage Area Network

DAS : 시스템에 직접 연결되는 인터페이스를 사용하여 연결된 저장소(SATA, SCSI, SAS...)
NAS : 네트워크(Ethernet)을 사용한 데이터 전송
   TCP/IP기반의 네트워크 사용
SAN : 광통신을 사용하여 데이터 저장소 연결
   별도의 네트워크 (Fibre Channel Switch)

DAS의 특징
1. 저렴 - 디스크만 있으면 사용가능
2. 성능 - 로컬 시스템에서 사용시 우수
3. 데이터 공유시 - 호스트 시스템을 통하여 공유

NAS
1. 저렴 - 기존 네트워크에 NAS를 연결
2. 다양한 프로토콜 등을 지원
3. 데이터 공유시 네트워크 부하 발생

SAN
1. 매우 비쌈 - 별도의 네트워크 시설/장비 필요
2. 별도의 저장소 공유 네트워크를 구성하여 기존 네트워크에 부하발생 X / 성능 우수

===============================

윈도우 서버를 통한 네트워크 인프라 구축
- DHCP, DNS


===============================

DHCP - Dynamic Host Configuration Protocol

1. IP를 할당
2. 네트워크 설정 정보 전달

DHCP의 필요성/장단점
1. 편리함
2. 설정 오류 방지
3. IP를 효율적 관리

4. 보안상의 문제
5. 설정 오류시 네트워크 장애발생

DHCP IP임대과정
1. DHCP Discover (클라이언트->DHCP서버)
2. DHCP Offer (DHCP서버 -> 클라이언트)
3. DHCP Request (클라이언트->DHCP서버)
4. DHCP Ack (DHCP서버 -> 클라이언트)

1. DHCP Discover
Broadcast로 발송
Source IP : 0.0.0.0
Source MAC : 자신의 MAC Address
Destination IP : 255.255.255.255
Destination MAC : FF:FF:FF:FF:FF:FF

2. DHCP Offer
Broadcast로 발송
Source IP : DHCP서버 IP
Source MAC : DHCP서버 MAC
Destination IP : 255.255.255.255
Destination MAC : FF:FF:FF:FF:FF:FF
전송되는 내용
대여해 줄 IP : ex) 192.168.8.200
대여를 신청한 클라이언트의 MAC Address
네트워크 정보 (Gateway, 서브넷마스크, DNS, WINS 정보 등)
대여기간

3. DHCP Request
Source IP : 0.0.0.0
Source MAC : 자신의 MAC Address
Destination IP : 255.255.255.255
Destination MAC : FF:FF:FF:FF:FF:FF
보내는 내용
자신의 MAC address
대여를 해 주기로 전송한 DHCP서버 주소
대여받을 IP

4. DHCP Ack
Broadcast로 발송
Source IP : DHCP서버 IP
Source MAC : DHCP서버 MAC
Destination IP : 255.255.255.255
Destination MAC : FF:FF:FF:FF:FF:FF
2번(DHCP Offer)와 동일한 내용을 발송

==============================

연장과정
- DHCP임대과정의 3,4번을 유니캐스트로 전송

1. 임대기간이 50% 남았을 때
2. 임대기간이 87.5% 남았을 때
3. 임대기간이 만료되면 다시 임대과정

=====================================

DHCP 실습
1. 서버관리자 - 관리 - 역할 및 기능 추가 - DHCP 역할 추가
2. 역할 설치 후 DHCP Administrators, DHCP Users 그룹 추가하는 과정 수행
3. DHCP 관리도구 실행
4. IPv4에서 새 범위 추가
5. 할당할 IP범위 및 네트워크 정보를 입력하여 DHCP설정구성
6. WinXP 클라이언트에서 DHCP 작동 확인
  ipconfig /release : ip 반환
  ipconfig /renew : ip 임대
7. 제외범위를 입력하고 XP에서 확인
8. 예약을 등록하고 XP에서 확인

DHCP 서버 이중화(Failover)구성
1. SVR 서버에 DHCP 역할 추가
2. DC서버의 IPv4 항목에서 장애조치(Failover)구성 실행
3. SVR서버의 이름 또는 IP를 입력하여 장애조치 구성 설정
4. DC 서버를 종료한 후, XP에서 DHCP 서버 기능 수행 확인
5. DC 서버에서 장애조치 구성 삭제 후 SVR에서 확인

조직구성단위 (OU, Organizational Unit)

1. 기본적으로 도메인 내의 개체들을 분류하는 용도로 사용
2. 정책 적용의 최소범위
3. 위임(Delegation)의 범위

제어 위임 : 특정 OU에 대한 구성원 추가/삭제, 속성변경 등의 작업을 수행할 수 있는 권한을 부여

사용자 추가 실습
1. Rollback 후 DC,SVR부팅
2. DC에서 테스트용 OU 및 사용자 생성
3. SVR에서 관리 - 역할 및 기능 추가 - 기능 - 원격 서버 관리도구 - 역할 도구 - ADDS 및 ADLDS도구 - ADDS 도구 설치
4. SVR에서 2번에서 생성한 사용자로 로그인
5. dsadd명령어를 사용하여 사용자 추가 시도
dsadd user "CN=newuser,OU=managedOU,OU=testOU,DC=steacher,DC=com" -samid newuser -pwd Pa$$w0rd
6. 사용자 추가 실패를 확인한 후 DC에서 해당 OU에 제어위임 설정
7. 제어위임 설정 후 다시 동일한 명령어를 사용하여 사용자 추가

제어위임의 사용목적
- 도메인 전체 관리자의 관리부담 경감

===================================

그룹 정책 (Group Policy)
- 그룹에 적용되는 정책이 아님
- OU에 적용되는 정책

그룹 정책 관리도구
서버관리자 - 도구 - 그룹 정책 관리

GPO(그룹 정책 개체, Group Policy Object)
- 그룹 정책 개체 항목에서 생성/편집 가능

그룹 정책 편집
- 그룹 정책 개체 - 개체 선택 후 우클릭 - 편집
=> 그룹 정책 관리 편집기 실행

컴퓨터 구성 : 컴퓨터 개체에 적용되는 정책
사용자 구성 : 사용자 개체에 적용되는 정책

정책 : 강제성이 있음
기본설정 : 강제성은 없음

그룹 정책 생성 및 적용 순서
GPO생성 - GPO편집 - GPO연결 - GPO모니터링

=====================================

그룹정책 즉시적용
gpupdate /force

자동업데이트 간격
일반항목 : 90분간격
보안관련 항목 : 16시간

사용자 로그인시점에 정책 업데이트
컴퓨터 부팅시점에 정책 업데이트

======================================

그룹정책 적용 실습
사용자 구성 - 정책 - 관리 템플릿 - 제어판 - Prohibit.....
=> 제어판 접근 차단 정책

사용자 정책이므로 OU 안에 있는 사용자 계정에 적용되는 정책

======================================'

그룹정책 적용규칙
1. 상위 OU의 정책은 하위 OU로 상속된다.
2. 상위 OU의 정책과 하위 OU의 정책이 충돌할 경우, 하위 OU의 정책이 적용된다.
3. 상속차단 : 하위 OU에 상속 차단을 설정할 경우, 상위 OU의 정책을 상속받지 않는다.
4. 적용(Enforcement) : 상위OU의 정책과 하위OU의 정책이 충돌하고, 상위OU에 적용이 설정되어 있을 경우, 상위OU의 정책이 강제로 설정된다.
5. 상속차단과 적용이 충돌할 경우 : 적용은 상속차단을 무시

상속차단 예

상위OU : TestOU1
하위OU : TestOU2

상위OU : GPO1 연결
하위OU : GPO2 연결

GPO1 : A-사용, B-사용
GPO2 : B-사용안함, C-사용안함

기본상태 적용되는 정책
TestOU1 : A-사용, B-사용
TestOU2 : A-사용, B-사용안함, C-사용안함

TestOU2에 상속차단 설정하였을 때 정책
TestOU2 : B-사용안함, C-사용안함

GPO1에 적용설정 하였을 때 정책
TestOU2 : A-사용, B-사용, C-사용안함

======================================

Folder Redirection
사용자별로 바탕화면, 내문서, 사진, 비디오 등등.... 기본 폴더들을 공유저장소 위치로 이동

그룹정책을 통하여 설정
=> 사용자 구성 - 정책 - Windows 설정 - 폴더 리디렉션

공유폴더 생성
DC의 로컬 디스크에서 폴더 생성 - 공유설정 (Everyone - 읽기/쓰기)

재부팅하여 Folder Redirection 정책 적용

DC의 로컬디스크의 공유폴더에 Folder Redirection 정책이 적용된 사용자 이름의 폴더가 생성된 것을 확인
- 생성된 폴더는 해당 사용자만 열람 가능
- 'administrator' 계정도 접근 불가능하고, 'system' 계정만 접근 가능

-------------------------------------------------------------------

Folder Redirection 정책을 사용한 기능의 장점
1. 도메인 내의 어떤 PC에서 접속하여도 동일한 작업환경 제공
2. 백업이 용이

단점
1. 공유저장소를 운영 / 네트워크 부하
2. 로컬디스크 사용시보다 성능 저하

=======================================

디스크 관리

윈도우 부팅순서

전원 - POST(Power On Self Test) - MBR을 확인하고 부팅 가능한 파티션 확인 - GRUB/LILO(리눅스), bootmgr(윈도우Vista 이후버전), ntldr(윈도우XP이전) : 부트프로그램
- winload.exe .....

디스크 종류
물리적 분류 : HDD(Hard Disk Drive), SSD(Solid State Drive), Hybrid(HDD+SSD), USB RAID, RAM Drive, Tape, DAT
인터페이스 : IDE(P-ATA), S-ATA, SCSI, SA-SCSI(SAS)

IDE : 핫플러깅 지원하지 않음
SATA, SCSI, SAS : 핫 플러깅 지원

======================================

디스크 인식 순서

연결
디스크 초기화(파티션)
파일시스템
마운트-드라이브 문자 할당

======================================

MBR / GPT

MBR 특징
파티션 개수 : 4개 + 확장파티션으로 파티션 추가 가능
전체 디스크 크기 : 2 TB까지 사용가능
MBR 파티션 테이블
MBR영역 : 512byte = 440byte(boot code) + 64byte(파티션 테이블) +8byte(서명 등)
개별 파티션 테이블은 16 byte, 디스크 섹터 주소는 32bit

GPT 특징
파티션개수 : 128개
전체 디스크 크기 : 개별 파티션 테이블이 128byte 
	전체 파티션 테이블 : 16384 byte
	디스크 섹터 주소를 64bit로 관리
 	=> 이론상 8ZB까지 사용가능

GPT를 사용할 수 있는 조건
1. 데이터 저장용 : 운영체제가 GPT디스크를 지원(Vista이후)
2. 운영체제용 : EFI 펌웨어 지원 (Extensible Firmware Interface)

=====================================

파일시스템 - FAT/NTFS/ReFS

FAT (File Allocation Table)
NTFS (New Tech... File System)
ReFS (Resilient File System)

FAT - 마이크로소프트
FAT뒤에 붙은 숫자 : 클러스터 주소 크기
FAT12 : 12bit로 클러스터 주소 관리 (4096개 주소)
	최대 디스크 사용가능 크기 32 MB
	파일명 8자까지 지원
FAT16 : 16bit로 클러스터 주소 관리
	최대 디스크 크기 : 2GB
FAT32 : 32bit로 클러스터 주소 관리
	단일 파일 크기 제한 : 4GB
FAT64(exFAT) :  64bit로 클러스터 주소 관리
	
NTFS : Windows NT와 함께 발표
	다양한 기능 지원 : 압축 저장, 에러 복구, 파일 암호화, 권한설정...
	최근 Microsoft 운영체제 기본 파일시스템
	볼륨 크기 확장/축소 가능

ReFS : Windows Server 2012에 처음 도입
	NTFS보다 개선된 오류체크, 복구등 기능 지원
	NTFS에서 지원하는 기능 대부분 사용가능
	부팅용 운영체제 디스크의 파일시스템 사용불가
	볼륨 크기 확대는 가능 / 축소 불가능

=======================================

Installing and Configuring Windows Server 2012.vol1.egg

Installing and Configuring Windows Server 2012.vol2.egg

Installing and Configuring Windows Server 2012.vol3.egg

실습전 도메인 구성완료 시점(DC:도메인컨트롤러, SVR:도메인 가입만 되어있는 상태)로 Rollback 후 실습

RODC 설치

RODC : Read Only DC

특징
1. DC를 추가할 필요가 있지만, 지리적 위치상 관리할 인력이 없거나, 전문지식을 가진 사람이 없을 경우 사용
2. 읽기전용 - RODC에서 도메인의 정보를 변경 할 수 없음
3. 패스워드 등 중요 정보 제외하고 복제 가능

실습
실습전 도메인 구성완료 시점(DC:도메인컨트롤러, SVR:도메인 가입만 되어있는 상태)로 Rollback 후 실습

1. SVR에서 ADDS 역할 설치
2. 도메인 컨트롤러 승급
	RODC 옵션
	패스워드 복제 허용 그룹 설정
	패스워드 복제 불허 그룹 설정
3. 설치 완료 후 DC의 'Active Directory 사용자 및 컴퓨터' 도구에서 Domain Controller 카테고리에서 SVR서버가 '읽기 전용' 표시되어 있는지 확인

실습완료 후 DC, SVR Rollback.
SVR에서 도메인컨트롤러 복제를 진행 (일반 복제, IFM 복제 상관없음)

======================================

FSMO (Flexible Single Master Operation)

실습전 SVR도 도메인 컨트롤러로 구성 
(RODC로 구성하지말것)

액티브 디렉토리에서 DC는 수평적 관계

Single Master Operation : 한 개의 DC에서만 수행되어야 하는 작업

SID 확인
cmd에서 wmic useraccount get name,sid

SID 할당을 여러개의 DC에서 각각 하게 된다면?

RID Master : SID를 할당해 주는 역할
Infrastructure Master : 도메인 인프라 구조의 변경 체크
PDC Emulator : NT디렉토리서비스에서 사용되던 PDC의 기능을 수행. 시간 동기화의 기준

역할 가져오기 기능을 통해 Single Master Operation 기능을 수행하는 서버 변경가능 
- 원래 Single Master Operation을 수행하던 도메인 컨트롤러가 정상 작동중일경우

Single Master Operation을 가지고 있는 도메인컨트롤러가 작동중지된 경우 SMO 가져오기
cmd 에서 ntdsutil 명령 실행
roles 
connections
connect to server [서버이름]
q
seize [Single Master Opearation]

역할 점유 완료 후 AD 사용자 및 컴퓨터 도구에서 작업 마스터 현황 확인


======================================

Active Directory 사용자, 컴퓨터, 그룹, 조직구성단위(OU)

로컬 계정 관리도구 : lusrmgr.msc

액티브디렉토리 사용자 등 개체 관리도구
1. AD 사용자 및 컴퓨터
2. AD 관리 센터 (윈도우서버 2012에서 새로 생김)
3. MMC (Microsoft Management Console)
	메뉴 - 파일 - 스냅인 추가 - 사용자 및 컴퓨터
	불러온 스냅인 모음을 저장하여 재사용가능 (.msc)
4. cmd 에서 사용하는 명령어 (ds...)
5. PowerShell 에서 사용하는 명령어 (....-ADUser)
6. csvde, ldifde 등의 명령어를 사용하여 사용자 관리

사용자 및 개체 이름 표기 방법
1. NetBIOS 방식
	도메인NetBIOS이름\사용자이름
2. UPN(User Principal Name)
	사용자이름@도메인이름
3. DN (Distinguished Name)
	CN=testuser,OU=testou,DC=steacher,DC=com
4. RDN (Relative Distingushed Name)
	CN=testuser

CN : Common Name
OU : Organizational Unit
DC : Domain Component

======================================

액티브 디렉토리 사용자 추가 실습

1. GUI 기반의 사용자 추가
AD 사용자 및 컴퓨터(MMC), AD 관리센터
	트리 형태의 도메인 구조에서 개체 생성 가능
	AD사용자 및 컴퓨터 : 기본정보 입력하여 개체 생성 후 상세정보 입력가능
	AD관리센터 : 개체 생성시 상세정보 입력하여 개체생성가능

2. CLI(Command Line Interface) 기반의 사용자 추가
CMD, PowerShell

dsadd 명령어
dsadd user "CN=test3,OU=testou,DC=steacher,DC=com" -samid test3 -pwd Pa$$w0rd

dsrm "CN=test3,OU=testou,DC=steacher,DC=com"

New-ADUser 명령어

PS C:\Users\Administrator> New-ADUser "test4" -AccountPassword(Read-Host -AsSecureString "Enter Password") -Path "OU=testou,DC=steacher,DC=com"

Remove-ADUser "CN=test4,OU=testou,DC=steacher,DC=com"

======================================

csvde, ldifde 명령어 사용법

csvde : comma(,)로 구분되어 있는 항목
ldifde : 각 항목이 한 줄

개체 정보 파일로 만들기
csvde -d "OU=testou,DC=steacher,DC=com" -f "c:\csvde.txt"

csvde 명령어를 사용하여 개체 추가
샘플 데이터 (파일로 저장)

DN,objectClass,SAMAccountName,userPrincipalName,displayName
"CN=test5,OU=testou,DC=steacher,DC=com",user,test5,test5@steacher.com,테스트5

cmd에서
csvde -i -f "c:\csvdetest.txt"

ldifde 도 파일형식만 다를뿐 사용법은 동일

csvde, ldifde 명령 실행하여 사용자 계정 생성시 특징
1. 계정 생성시 암호 지정 불가능
2. 계정 잠금 상태로 생성

======================================

컴퓨터 개체

개체 생성 : Active Directory 가입을 통해 개체 생성

컴퓨터 개체의 필요성
1. 인증 : AD인증을 할 수 있는 컴퓨터는 도메인 가입되어 있는 컴퓨터
2. 정책 적용 : 그룹 정책 등을 통해 컴퓨터에 소프트웨어 설치, 업데이트 적용, 실행환경

======================================

그룹(Group) / 조직 구성 단위(Organizational Unit)

공통점 : 사용자/컴퓨터/그룹 등을 구성원으로 포함 가능

차이점
1. 그룹 : 도메인 트리 구조에 표시되지 않음.
   조직구성단위 : 도메인 트리 구조에 표시됨
2. 그룹 : 동일한 사용자가 중복 가입할 수 있음
   조직구성단위 : 개체는 1개의 조직구성단위에 소속됨
3. 그룹 : 권한 설정을 하는 용도 사용
   조직구성단위 : 정책을 적용, 위임(Delegation)을 설정.

======================================

그룹의 분류

종류
보안그룹 : 일반적으로 사용되는 그룹. 권한 설정에 사용할 수 있는 그룹.
배포그룹 : 이메일 배포 등의 용도로 사용되는 그룹. 권한설정에 사용할 수 없음.

범위
글로벌그룹 : 해당 그룹과 같은 도메인에서 구성원을 받아서, 전체 포리스트의 자원에 권한 설정
도메인로컬그룹 : 전체 포리스트 + 트러스트 관계에 있는 도메인에서 구성원을 받아서 도메인로컬그룹이 소속되어 있는 도메인의 자원에 권한을 설정
유니버설 그룹 : 전체 포리스트에서 구성원을 받아서, 전체 포리스트에 권한 설정을 할 수 있음

유니버설 그룹으로 통일해서 사용하면 안되는 이유
=> 유니버설 그룹의 정보는 GC(Global Catalog)에 저장이 되고, GC끼리 동기화.


=====================================

그룹 범위 테스트

1. DC와 SVR을 별도의 도메인으로 구성하고 같은 포리스트로 구성 (같은 포리스트의 트리 도메인으로 선택)
2. DC와 SVR의 각 도메인에 테스트용 사용자 및 테스트용 그룹(글로벌, 유니버설, 도메인로컬)을 각각 생성
3. DNS설정 - 조건부 전달자 설정
ex) DC에서 steacher2.com에 대한 DNS 요청은 SVR로 전달
SVR에서 steacher.com에 대한 DNS 요청은 DC로 전달
4. 각각 글로벌그룹, 도메인로컬그룹, 유니버설 그룹에서 다른 도메인의 사용자를 구성원으로 추가할 수 있는지 확인
글로벌 : 자신의 도메인만 구성원으로 추가가능
도메인로컬 : 다른 도메인도 가능
유니버설 : 다른 도메인도 가능
5. 각 그룹에 대하여 권한설정 가능여부 확인
글로벌 : 다른 도메인의 글로벌그룹에 권한설정 가능
도메인로컬 : 다른 도메인의 도메인로컬그룹에 권한설정 불가
유니버설 : 다른 도메인의 유니버설 그룹에 권한설정 가능
6. 각 그룹별 그룹 중첩 가능여부 확인
글로벌그룹 : 글로벌그룹만 구성원으로 소속가능
도메인로컬 : 글로벌,도메인로컬,유니버설 구성원으로 소속가능
유니버설 : 글로벌, 유니버설 구성원으로 소속가능

AGDLP
Account - Global - Domain Local - Permission
도메인의 계정은 전체 포리스트에 권한설정할 수 있는 Global 그룹에 소속
권한을 설정할 도메인의 Domain Local그룹에서는 해당 Global 그룹을 구성원으로 포함시킴
공유자원은 해당 Domain Local 그룹에 권한 할당

======================================

==================================

윈도우 서버

마이크로소프트 : Bill Gates 

마이크로 소프트 최초의 운영체제 : DOS
DOS : Disk Operation System

MS-DOS : 판매용
PC-DOS : IBM-PC 번들

DR-DOS : Novell 에서 만든 DOS
J-DOS : 일본어폰트 호환, 메모리문제

DOS의 흔적은 윈도우에서 CMD로 남아있음

6.x 까지 발표되고 단종

==================================

마이크로소프트 최초의 GUI기반 운영체제
- IBM OS/2 

IBM과 결별 후 만들어낸 GUI 운영체제
- 윈도우

윈도우1.0 - 윈도우 2.0 - 윈도우3.0 - 윈도우3.1

개인용 윈도우 운영체제의 성공요인 : 오피스 
Lotus 123 -> Excel
dBase -> Access
Powerpoint
Word

=> 이때까지의 윈도우는 운영체제라고 보기 어려움
: DOS를 실행하고 DOS에서 실행되는 프로그램에 가까움

윈도우95 - 윈도우98 - 윈도우ME
: 윈도우로 부팅되는 운영체제의 시초
: 하지만 DOS 기반
: 현재 사용중인 윈도우 GUI가 거의 완성
: 안정성 부족(DOS기반)

윈도우XP - 윈도우Vista - 윈도우7 - 윈도우8 - 윈도우8.1 - 윈도우10
: NT커널 기반

윈도우NT : 1992년경 윈도우 NT3.1
NT : New Tech....
개인용보다는 업무용, 서버용을 목적으로 개발된 운영체제
윈도우NT3.1 -> 윈도우NT3.51 -> 윈도우NT4.0 (IIS)

윈도우NT 운영체제의 특징
: 네트워킹을 기본적으로 제공

윈도우2000 - 윈도우2003 - 윈도우2008 - 윈도우2008R2 - 윈도우2012 - 윈도우2012R2 - 윈도우2016
윈도우서버2008 R2 - 64bit 운영체제만 지원

윈도우 서버 운영체제는 비슷한 시점의 개인용 운영체제와 커널을 공유

윈도우서버2003 - 윈도우XP와 커널을 공유
윈도우서버2008 - 윈도우Vista
윈도우서버2008R2 - 윈도우7
윈도우서버2012 - 윈도우8
윈도우서버2012R2 - 윈도우8.1

===================================

윈도우 설치

Active Directory

Domain Controller 구성

===================================

윈도우서버 2012R2 에디션

Foundation
Essential
Standard
DataCenter

윈도우서버 운영체제 에디션 별 특징
Foundation -> Datacenter 로 이동하면서
더 많은 기능을 지원.
더 높은 사양의 하드웨어를 지원
DataCenter에디션은 무제한의 VM라이센스 지원

Small Business Server : 소규모 사무실용 서버
Hyper-V Server : 가상화용 서버
Storage Server : NAS 구축용 서버
Multipoint Server : 교육용 등의 목적으로 사용하는 서버

===================================

DC의 Administrator 암호
P@ssw0rd1
Pa$$w0rd1

SVR의 Administrator 암호
P@ssw0rd2
Pa$$w0rd2

================================

네트워크 설정

DC : 192.168.xxx.10
SVR : 192.168.xxx.20

==================================

기본 윈도우 명령어

ipconfig /all
ipconfig /displaydns
ipconfig /flushdns
arp -a
netstat -ano
route print
ping 
tracert

====================================

Server Core
: 윈도우서버에서 GUI요소를 배제하고 설치 - CMD만 실행

Server Core의 필요성
1. 성능상의 이점
2. 보안상의 이점
3. 취약 요소가 제거

=> 관리자는 CMD, Powershell 명령어 등을 잘 알아야 함

PowerShell : cmd보다 강력한 기능을 가진 Shell
	윈도우 서버 2008부터 탑재
	cmdlet 명령어 문법 사용 (동사-명사)

sconfig.cmd : 기본적인 서버 설정을 수행할 수 있는 대화형 CLI(Command Line Interface)도구

==================================

Active Directory

작업그룹(Workgroup)
동일한 작업그룹 이름을 사용하는 호스트끼리 네트워크 구성
IP 또는 NetBIOS 이름을 사용하여 통신
각 호스트에 접속시 인증 : 각 호스트의 로컬 계정 정보로 인증
각 호스트가 가지고 있는 자원 : 각 호스트에 직접 연결후 확인

액티브 디렉토리(Active Directory)
윈도우NT : NT Directory Service 
	=> 윈도우2000 : Active Directory
도메인 단위로 호스트를 연결
IP, NetBIOS이름 사용가능
DNS서비스를 사용하여 호스트 확인
각 호스트에 접속할 때 인증 : 윈도우 시스템 로그온 시 인증을 통해 같은 도메인 내 호스트 연결시 인증정보 사용
자원관리 : 디렉터리 서비스-전화번호부. 어떤 호스트가 어떤 자원을 가지고 있는지 디렉터리 서비스를 통해 간단하게 조회 가능

규모에 따라
소규모 : 작업그룹이 유리 (별도의 서버 필요하지 않음, 간편하게 구성 가능)
대규모 : Active Directory 가 유리 (초기 구성은 복잡하나, 인증, 자원관리 측면에서 훨씬 유리)

======================================

DC : Domain Controller
액티브 디렉토리로 구성된 도메인을 통제하는 기능

서버관리자 - 관리 - 역할 및 기능 추가
역할 - Active Directory Domain Service 역할 선택
함께 추가되는 관리도구도 포함
기본값으로 설치 진행

윈도우서버2008 이전버전 : dcpromo.exe 를 실행하여 도메인 컨트롤러 승격 진행
윈도우서버 2012 : 서버관리자 상단의 아이콘을 클릭하여 도메인컨트롤러 승격 진행

액티브 디렉토리 관련 용어 설명
도메인 : 도메인 컨트롤러가 관리하는 단위
	같은 도메인 이름을 사용
	ex) naver.com

트리 : 부모도메인 + 자식도메인
	ex) 부모도메인 : fruit.com
	     자식도메인 : pineapple.fruit.com

포리스트 : 트리 + 트리
	서로 다른 도메인 트리를 트러스트 관계로 연결

도메인 생성시 단일 도메인 - 단일 트리 - 단일 포리스트

적절한 도메인 이름을 선택하여 진행 : DNS서비스를 통해 이름 기반 통신 수행

======================================

도메인 로그인 시 사용자 이름

로컬계정 로그온 : 사용자이름만. ex) administrator
도메인계정 로그온 : 사용자이름+도메인정보

NetBIOS이름 형태 : 도메인의NetBIOS이름\사용자이름
ex) steacher\administrator
UPN(User Principal Name) : 사용자이름@도메인이름
ex) administrator@steacher.com

======================================

SVR 서버 도메인 가입
1. SVR서버의 네트워크 정보 변경
DNS 서버 : DC의 IP주소 입력
2. 서버관리자 - 로컬 서버 - 작업그룹
소속될 도메인 정보 입력
도메인에 가입시킬 수 있는 도메인의 계정 정보를 입력
3. 재부팅 후 로그인 사용자 이름 확인
SVR\administrator : SVR 서버의 로컬 administrator 계정

도메인 환경에서 자원 접근시 인증 확인
SVR에서 \\DC 실행하여 DC서버의 공유자원에 접근
=> 별도의 인증과정이 발생되지 않음
=> 윈도우 로그인시 도메인 인증을 수행하여, 도메인 인증정보를 통해 자원에 접근하므로 재인증 불필요.
SSO(Single Sign On)

Domain Controller 서버에는 일반 사용자 계정은 로그인 불가
- Domain Controller에는 관리자 계정 등 일부 계정만 로그인할 수 있도록 정책이 설정되어 있음.

======================================

Domain Controller 복제
- 부하분산, 장애극복을 구현하기 위하여 DC 이중화

실습내용
1. DC 복제
2. IFM미디어 생성하여 DC복제
3. RODC 복제

=====================================

1. DC 복제
1) SVR에 ADDS 역할 설치
2) 도메인 컨트롤러 승격 진행

복제된 도메인 컨트롤러는 동등한 기능 수행
윈도우NT때 사용되던 NT Directory Service는 PDC, BDC로 구분
PDC : Primary Domain Controller
BDC : Backup Domain Controller

윈도우2000 이후의 Active Directory 에서는 동등한 DC 구조로 변경
- FSMO (Flexible Single Master Operation)

======================================

2. IFM미디어 생성하여 DC복제

DC에서 백업 생성
ntdsutil
activate instance ntds
ifm
create sysvol full c:\ifm
종료

SVR에서
net use z: \\dc\c$\ifm : 네트워크 드라이브 연결
robocopy z: c:\ifm_copy /copyall /s
복사 확인 후 SVR에서 AD DS 설치