이제 오프라인에서도 도메인 참여가 가능해집니다. Windows 7…

이제 오프라인에서도 도메인 참여가 가능해집니다. Windows 7…

  • Comments 5
  • Likes

Windows7_h_rgb

Windows 환경을 사용하는 곳에서 하나의 계정으로 인증 및 허가를 가능하게 하는 SSO(Single Sign On)와 사용자의 환경을 중앙에서 손쉽게 관리하기 위해서 도메인(Domain)을 구성하여 사용하고 있습니다. 적은 숫자의 클라이언트는 작업 그룹 환경내에서도 운영이 가능하지만, 숫자가 늘어날수록 이에 대한 관리 및 보안 적용이 필수적이기 때문입니다.

클라이언트가 도메인에 참여하기 위해서는, 반드시 도메인 컨트롤러와 네트워크 연결성이 보장되어야 합니다. 이에 클라이언트 운영 체제를 집에서 다시 설치했다거나, 가상화 환경같이 많은 숫자의 머신을 새롭게 구성하는 경우, 관리자나 실제 사용자 입장에서 도메인에 참여시키는 작업은 여러 작업 순서와 계정 및 암호 입력 등, 시간이 다소 소모되는 작업이라고 생각됩니다.

Windows 7에서는 도메인 참여를 오프라인에서도 가능해집니다. 바로 Djoin.exe라는 명령어 프롬프트 도구를 이용하여 오프라인 도메인 참여를 하는데요. 오늘은 이 오프라인 도메인 참여 기능을 살펴보도록 하겠습니다.

image

Windows 7과 Windows Server 2008 R2에 포함된 Djoin은 오프라인 도메인 참여를 처리해줍니다. 이 명령어는 크게 두가지 범주로 나눠져 있습니다. /Provision을 이용하는, 서버쪽 구성과, /RequestODJ를 이용하는 클라이언트쪽 구성입니다. ODJ는 Offline Domain Join의 약자입니다. :) 그림이 그려지시나요?

일반적으로 온라인에서 클라이언트를 도메인에 참여시키면, 액티브 디렉터리에 컴퓨터 계정이 생성되고, 이 컴퓨터 계정에 대한 정보가 클라이언트와 상호 저장되어(정확하게 말하면 상호 신뢰된 보안 채널을 만든다고 하죠), 차후 사용자 인증 및 각종 도메인 관련 처리에 사용되게 됩니다. 이 작업을 해주는 옵션이 /Provision입니다.

Djoin /Provision /Domain <도메인이름> /Machine <참여시킬컴퓨터이름> /Savefile <차후클라이언트에서 사용할 도메인 데이터>

image

도메인 컨트롤러가 Windows Server 2008 R2가 아닌 경우에는 /Downlevel이라는 옵션을 추가적으로 사용하셔야 하며, 이 경우에는 도메인 참여를 처리할 머신이 이미 도메인에 참여해있어야 하고(이를 Provisioning Server라고 합니다.), 이는 Windows 7 또는 Windows Server 2008 R2여야 합니다. 그리고 해당 컴퓨터 계정이 액티브 디렉터리에 있을 경우엔 /Reuse 옵션도 사용해줘야 합니다. 여기서 생성된 메타데이터 파일을 클라이언트로 가져가서 나머지 참여 작업을 마무리하면 작업이 완료됩니다.

image

오프라인 도메인 참여가 가능한 클라이언트는 Windows 7 또는 Windows Server 2008 R2만 가능합니다. 도메인 컨트롤러에 대해서는 하위 호환성을 가지고 있지만, 클라이언트는 아닙니다. 클라이언트에서 이제 /RequestODJ를 이용하게 됩니다. 관리자 권한을 가진 명령어 프롬프트를 여시고..

Djoin /RequestODJ /Loadfile <메타데이터파일> /WindowsPath <Windows경로>

해당 컴퓨터가 실제 사용중인 물리적인 머신이라면 /Localos라는 옵션을 붙여줘야 하며, 이미지 형태로 차후에 사용할 경우(대표적으로 가상 머신)이라면 필요하지 않습니다.

image

어렵지 않죠? 이 경우 반드시 도메인 컨트롤러와 네트워크 연결이 되지 않아도 상관없습니다. 왜냐면, 도메인 참여에 관련된 데이터가 이미 데이터 파일에 들어있기 때문에, 이제 클라이언트를 다시 시작시키면, 도메인에 참여된 것과 동일한 형태로 처리되게 됩니다. 이러한 도메인 참여를 무인 설치 파일내에 반영하실 수도 있습니다. 이에 대한 정보는 여기를 참고하시면 됩니다.

도메인 참여에 대한 오프라인 모드를 지원함으로서, 클라이언트 환경이나 가상화 환경에 대해 좀더 유연한 액티브 디렉터리 환경 구성이 가능해질 것으로 예상되며, IT 관리자 역시도, 클라이언트에 대한 구성을 위해 모든 컴퓨터가 조직내 네트워크내에.. 라는 생각을 바꿀수도 있지 않을까요?

Comments
  • 좋은 자료 감사합니다.

    혹시 XP를 클라이언트로 오프라인도메인가입하는 방법도 존재 하나요?

  • 엄마손파이님 // 안녕하세요~ 오프라인 도메인 가입 기능은 Windows 7부터 지원하는 기능으로, XP는 지원하지 않습니다. 감사합니다. :)

  • 답변 감사드립니다.

    오프라인도메인가입은 정말 좋은 기능이라고 생각되는데 XP클라이언트 지원이 되지 않아 좀 안타깝습니다.  

    한가지 더 여쭙고 싶은것이있는데

    가령 VM과 AD를 이용하는 가상화서버 환경에서 동일한 VM이미지의 대량 배포를 위한 목적으로 사용할때 오프라인도메인가입 기능을 이용하면 SID 변경을 위한 SYSPREP 절차는 생략해도 문제가 없는 것인지도 궁금합니다.

    테스트를 해본 결과 오프라인도메인가입을 수행하면 원본이 되는 VM 이미지의SID와  복사 후 오프라인도메인가입을 수행한 VM의 SID는 동일 하였으나 AD그룹정책을 내려받고 사용자 인증을 처리하는데에 있어서는 아무 문제가 없는듯 보였습니다.

    혹시 어떤 문제가 있을 수 있는지 궁금합니다. ^^

  • 엄마손파이님 // 안녕하세요~ 오프라인 도메인 가입 기능은 운영 체제 릴리즈 이후에 지원할 수 있는 부분이 아니라, 개발 당시부터 설계가 필요한 부분이기에, 출시 이후, 나온 기술을 입히기가 쉬운 것이 아닐 것으로 사료됩니다.

    VM 이미지의 대량 배포는 시스템의 SID는 반드시 변경되어야 합니다. 그룹 정책을 내려받고, 인증이 되는 형태로 파악하셨으나, 제 생각엔 두 시스템에 이벤트 로그에는 보안 채널 및 컴퓨터 계정인증에 대한 부분이 오류가 나고 있을 것으로 사료됩니다. 이에 SYSPREP 절차가 포함되어야 합니다. 이는 오프라인 형태던 온라인 형태던 동일합니다.

    제가 드리는 권장 방법은 Windows 7 이후 운영 체제의 경우에는 Install.WIM 파일이 설치 미디어내에 있는데, 이를 VHD로 바로 변경하시면, 이미징이 SYSPREP된 상태가 되어 올리실 수 있으며, 이에 대해서는 convert-windowsimage라는 PowerShell 스크립트를 이용하시면 좋습니다. (검색엔진을 통해 찾으실 수 있습니다.)

    만약 별도의 추가 프로그램등이 필요하여, 마스터 이미지를 만드셨을 경우에도 SYSREP 일반화 모드로 종료하셔서, 이를 활용하셔야겠죠.

    꽤 예전에 저 역시 VHD를 복사해서 사용한 경험이 있습니다. 워크 그룹으로 서로 인증이 필요하지 않는 경우엔 큰 문제가 없지만.. AD와 같이 사용자 및 컴퓨터를 SID로 처리하는 경우에는 변경이 필수라고 생각합니다 ^^;;

    감사합니다!

  • 답변 감사드립니다.

    제가 SID를 변경하지 않아도 문제가 되지 않을까하고 생각한 가장 큰이유는 Citrix 데스크톱 가상화 솔루션인 XenDesktop의 MCS기능 때문이었습니다. MCS는 마스터 이미지를 도메인에 가입시킨 이후에 SYSPREP 절차 없이 마스터이미지에서 복제된 VM을 생성하여 도메인에 가입 시켜 줍니다.

    제가 확인 해본 결과 MCS기능을 통해 배포된 VM은 원본 마스터 이미지의 SID와 동일하였습니다.

    AD에 머신개체를 먼저생성하고 진행되는 등의 MCS의 구조나 작업흐름이 오프라인도메인가입과 비슷하여

    오프라인도메인가입을 하게되면 SID변경이 필요없지 않나 하고 생각했는데

    Citrix MCS기능은 SID변경없이도 안정적으로 사용가능하도록 개발된 것 같습니다. ^^;

    다시한번 자세한 답변 감사드립니다.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment