액티브 디렉터리(Active Directory) 그리고 사무실 나스(NAS) - (3) 조인(Join)? 가입? ㅋㅋ

본격적으로 AD를 활용해보기 위해서는 조인(join, 가입)이란 절차를 통해 클라이언트 컴퓨터를 AD에 등록 시켜야 한다. 우선은 가볍게 같은 네트워크 선상에 있는 컴퓨터들을 묶어 내는 작업 부터 해보기로 했는데, 이것 또한 특별한 절차가 필요하다. 

가입 절차는 OS 마다 다르며, 기본적인 개념은 대동소이하다.

가입(join) 절차

앞서 AD를 설치하면서 시놀로지의 DNS 를 설치 했었는데 이 부분이 가입에 있어서 가장 중요

"AD에 가입하기 위한 모든 기기들의 네트워크 DNS 를 AD로 바라보게 할 것"

따라서 네트워크 장치 설정 상에서, 특히 윈도우 네트워크 어뎁터 설정 창에서 DNS 를 AD의 IP주소로 수동으로 바꿔주어야 한다.

이해하기 쉽게 첨언을 해보자면,

우리가 인터넷을 사용하기 위해 무선랜이나 유선랜으로 네트워크에 접속하게 될 때, 우리의 네트워크 카드에는 대략 3가지의 주요정보가 갱신된다.

1. IP 주소

2. 게이트 웨이

3. 도메인 네임 서버(DNS)

IP 주소는 사용하고 있는 네트워크 기기가 고유 위치를 지정 받거나 지정한(수동/자동) 개별 객체(여행자) 이고, 게이트 웨이는 그 IP 주소를 통괄하거나 하는 시작점을 얘기한다. 버스 터미널 쯤 되겠다. DNS 는 IP 주소가 외부에 데이터를 빠르게 찾아보기 위해 가보는 고속도로 중앙의 만남의 광장 쯤 된다고 생각하면 된다.

이 모든 정보는 DHCP 라는 서버를 통해 자동으로 정보를 갱신하게 되는데, 이 중 DNS 는 수동으로 바꿔서 민자 고속도로로 가느냐 도로공사 고속도로로 가느냐를 정해 줄 수가 있다. 이런 방법을 이용해 DNS 의 주소를 AD 로 바라 보게 해서 민자 고속도로 행을 하면 된다.

방법은 간단하다.

DNS 주소를 바꾸고, 네트워크 ID 설정으로 가입(Join) 이라는 이 두 가지의 절차를 마쳐 주면 된다.

DNS 주소 바꾸기

우선 "제어판 > 네트워크 및 인터넷 > 네트워크 연결"을 열고(윈도우키 + R > ncpa.cpl) 네트워크엔 연결된 디바이스 속성을 선택한뒤 IPv4 내용을 확인하고 내용 중 DNS 부분에 "다음 DNS 서버 주소 사용" 을 선택하고 직접 DNS 주소를 입력한다.

네트워크 ID 로 조인의 절차를 마친다.

제어판\시스템 및 보안\시스템 을 열어(윈도우키 + Pause/Break 키) 컴퓨터 이름, 도메인 및 작업 그룹 설정의 "설정 변경(윈도우키 + R > sysdm.cpl)" 을 눌러 만들어 놓은 AD 도메인 이름을 넣는다.

가입 하는 방법에는 2가지가 있다.

- 네트워크 ID 변경

- 도메인 변경

네트워크 ID 변경은 AD에 가입하고자 하는 컴퓨터에 계정을 미리 지정하고, 그 계정이 컴퓨터에 가지는 권한(예를 들어 관리자 또는 사용자) 까지 지정하는 형태이고, 도메인 변경(그냥 변경 이라 나옴)은 컴퓨터만 AD에 가입 하는 형태로서 나중에 AD에서 지정한 정책대로의 권한만 가진 사용자로 로그인 해서 사용하는 방식을 말한다. 물론 나중에 사용자로 별도 로그인 하더라도, 컴퓨터에서 권한지정이 가능하다.

참고 : 해당 컴퓨터에 대한 관리자 권한이 없는 윈도우 계정이라는게 알다시피 뭐 하나 설치/변경 할 때 마다 관리자 계정으로 인증 해야하기 때문에 상황에 따라서는 불편한 시스템일 수 있다.

이 가이드(?) 에서는 도메인 변경의 방식을 택하고, 나중에 해당 계정의 권한 상승 방법을 설명 하도록 한다.

변경을 클릭하고.

1. 소속 그룹에 작업 그룹으로 되어 있는 것을 도메인으로 바꿔 준 뒤

2. 도메인 네임을 적고

3. 확인을 누른다.

이후에 AD 도메인 관리자의 ID(시놀로지 NAS의 기본 AD 도메인 관리자 ID 는 Administrator) 와 비밀번호를 요구하는데 이를 입력하고 정상 처리 되면 컴퓨터를 재부팅 하라고 나온다. 여기까지 과정이 컴퓨터를 AD 에 가입"만" 시키는 과정

To be continue...

사족 :

네임서버 주소를 AD 도메인 서버로 향하게 한다는 기초 개념은 도메인 서버가 공인IP 선상에 있을 때 내부 네트워크 뿐만 아니라 외부 네트워크에서도 AD에 가입이 가능하다는 얘기가 된다. 실제로 가상 네트워크(VPN)를 구축하고 컴퓨터를 부팅 전에 가상네트워크 선상에 올려두고 여기서부터 AD에 가입하는 방식을 취하면 가능하다.

도메인 네임서버가 신호를 받을 수 있도록  방화벽을 열어주거나 포트포워딩 처리를 해주고, 클라이언트에서 네임서버를 찾을 수 있게 되면 AD 서버에 접속 할 수 있는 방화벽이나 포트포워딩이 또 필요하게 되는데 여기서 부터는 포트가 명료하지 않아 직접적으로 접속하는게 어려웠는데, VPN을 통해서 해결 할 수 있었다.