Windows Server 2016 소개와 주요 기능

Windows Server 2016

 

Windows Server 2016은 Microsoft에서 개발한 서버 운영 체제(OS)이다.

Windows 10을 기반으로 하며 2016년 10월에 출시되었다.

 

 

Windows Server 2016은 클라우드 네이티브 운영체제로 설계되었으며, 컨테이너, 클라우드 네이티브 앱 및
Azure와의 통합을 포함한 여러 클라우드 기능을 제공한다. Windows Server 2016은 또한 보안 및 규정 준수 기능을
강화했으며 Windows Defender Advanced Threat Protection 및 Azure Active Directory와 같은 여러 새로운 보안 기능을 제공한다. 이는 기업 환경에서 사용되는 다양한 기능의 제공으로 IT 인프라를 구성하는 데 유용하다.

 

물건을 보관하는 창고나 창고처럼 큰 공간을 관리하는 관리자가 있다고 가정해 보자.
이 관리자는 다양한 물건을 보관하고 있으며, 이를 효율적으로 관리하기 위해 컴퓨터와 네트워크 시스템을 사용한다.

이 때, Windows Server 2016은 이 관리자가 사용하는 컴퓨터 운영체제(OS) 중 하나이다.
Windows Server 2016은 이 관리자가 다양한 물건을 효율적으로 보관하고 관리할 수 있도록 도와준다.
예를 들어, 물건을 카테고리별로 분류하여 보관할 수 있고, 각 물건의 정보를 데이터베이스에 저장하여 검색과관리를 용이하게 할 수 있다.

또한, Windows Server 2016은 컨테이너라는 기술을 제공하여, 이 관리자가 물건을 더욱 효율적으로 보관할 수 있게 한다.
컨테이너는 창고 내에 작은 공간을 만들어서 물건을 보관하는 것과 같이, 가상화된 공간 내에서 앱과 서비스를실행할 수 있도록 도와준다. 이를 통해 더 많은 앱과 서비스를 실행하고, 보다 쉽게 배포 및 관리할 수 있게 된다.

마지막으로, Windows Server 2016은 보안 기능을 강화하여, 이 관리자가 보관하는 물건과 데이터를 안전하게 보호한다.
이를 통해 물건과 데이터의 유출 및 해킹과 같은 위협으로부터 보호된다.

---

Windows Server 2016 의 주요  기능

 

• 보안 기술:
  
  Windows Server 2016은 Windows Defender Advanced Threat Protection 및 Azure Active Directory와 같은
  다양한 보안 기능을 제공하여 IT 인프라와 애플리케이션을 보호할 수 있다.
  
  
  • Windows Defender Advanced Treat Protection(Windows Defender ATP):
    Windows 운영 체제를 실행하는 장치에서 보안 위협 및 악성 소프트웨어를 감지하고 대응하는 기능을 제공하는
    보안 솔루션이다. Windows Defender ATP는 머신러닝과 데이터 분석을 사용하여 악성 코드 및 위협 패턴을
    식별하고 조직에서 발생하는 보안 문제를 해결하는 데 도움이 된다.
    
    
  • Azure:
    Azure는 Microsoft에서 제공하는 클라우드 컴퓨팅 플랫폼이다.
    이 플랫폼 사용 시 Infrastructure, Platform 및 Software Service를 클라우드 상에서 구축, 배포 및 관리할 수 있다.
    Azure 를 사용하면 클라우드 환경에서 Web Application, Web Site, Database, Storage 및 기타 서비스를
    구축하고 관리할 수 있으며, 피요에 따라 클라우드 서비스를 확장하거나 축소할 수 있다.
    또한 Azure는 사용한 만큼만 지불하므로 비용을 절감할 수 있다. Azure는 인프라를 프로비저닝하고 관리하는데
    필요한 일부 또는 모든 부분을 마이크로소프트가 처리해준다.
    
    
  • Azure Active Directory(Azure AD):
    Microsoft에서 제공하는 클라우드 기반의 ID 관리 서비스로, Azure를 비롯한 다양한 클라우드 서비스에서
    사용자의 인증 및 권한 부여를 담당한다. Azure AD는 Azure 서비스와의 연동을 강화하여 클라우드에서
    기업의 IT 인프라를 운영하는 데 있어서 보안성을 강화하고 효율성을 높일 수 있는 솔루션이다.
    Azure AD는 다음과 기능을 제공한다.
    
    
    1. Single Sign-On(SSO):
       다양한 클라우드 서비스 및 응용 프로그램에서의 사용자 로그인을 통합 관리할 수 있으며,
       사용자가 Azure AD에 한번 로그인하면 다른 서비스에도 자동으로 로그인 된다.
       
       
    2. Multi-Factor Authentication(MFA):
       사용자 로그인 시 추가 보안 인증 절차를 적용하여 보안을 강화할 수 있다.
       
       
    3. Application Management:
       사용자가 사용하는 클라우드 서비스 및 응용 프로그램을 중앙에서 관리하고 배포할 수 있다.
       
       
    4. Identify Management:
       사용자의 IDENTIFY 정보를 관리하고 그룹, 역할, 권한 등을 관리할 수 있다.
       
       
    5. Reporting and Monitoring:
       사용자 로그인 이력, 서비스 사용 이력 등을 모니터링하고 보고서를 생성할 수 있다.
       
       
  • EFS(Encrypting File System):
    Windows OS 상의 파일이나 폴더를 암호화하여 데이터를 안전하게 보호하는 기능으로 Windows Server 에서
    제공되는 BitLocker와 같은 암호화 기능이다.
    EFS는 파일 단위로 암호화를 수행하며, 암호화된 파일은 암호화를 수행한 사용자만 볼 수 있다.
    또한 EFS는 Active Directory와 통합되어 사용자 계정을 기반으로 파일 및 폴더에 대한 액세스 권한을 제어 한다.
    하지만 EFS는 사용자 계정의 비밀번호 분실 및 암호화 키 손실 등으로 인해 데이터가 영구적으로
    손실 될 수 있는 위험이 있다. 따라서 EFS를 사용할 경우 반드시 백업 및 복구 계획을 수립하고,
    데이터를 안전하게 보호하기 위해 적절한 보안 조치를 취해야 한다.
    
    
  • 케베로스(Keberos):
    네트워크 인증 프로토콜 중 하나로 사용자와 서버 간의 인증 및 인가를 위한 인증 프로토콜이다.
    주로 Windows 서버 운영체제에서 사용되며 일반적으로 Client에서 로그인을 시도할 때, 케르베로스 인증
    프로토콜이 사용되어 Client의 로그인 정보를 검증하고, 유효한 사용자인 경우 티켓을 발행하여
    Client와 Server 간의 통신에 사용된다.
    
    
  • TLS(Transport Layer Security):
    인터넷 상에서 데이터를 안전하게 전송하기 위한 프로토콜 중 하나이다.
    기존의 SSL(Secure Socket Layer) 프로토콜을 대체하기 위해 개발된 것으로, HTTPS를 비롯한 다양한
    프로토콜에서 사용된다. TLS는 대칭키 암호화와 공개키 암호화를 조합하여 사용하며 데이터의
    기밀성, 무결성, 인증 등을 보장한다. Client 와 Server 간에 SSL/TLS Handshake를 수행하여 상호 인증하고
    데이터 전송 시 암호화된 통신 채널을 생성한다.
    
    
  • SAM(Security Account Manager):
    Windows 운영체제에서 소형 네트워크용 보안 계정 관리자이다.
    P2P 또는 클라이언트 대 클라이언트의 수평 구조로 이루어져 상대 컴퓨터의 인증 정보를 거치면
    해당 컴퓨터 자원에 접근할 수 있다.
    
    
  • SID(Security IDentifier):
    사용자나 그룹에게 부여되는 고유 보안 식별자이다. 각각의 SID는 유일한 값을 가지며 보안 개체의
    ID로 사용된다.  
    
    
  • NAC(Network Access Control):
    네트워크에 연결되는 디바이스들의 접근을 제어하는 기술로, 네트워크 보안 강화를 위해 사용된다.
    NAC는 일반적으로 다음과 같은 기능을 수행한다.
    
    
    1. 디바이스 검증:
       네트워크에 연결되는 디바이스가 인증된 디바이스인지 확인한다.
       
       
    2. 접근 제어:
       인증된 디바이스에게만 네트워크 자원에 접근할 수 있는 권한을 부여한다.
       
       
    3. 보안 정책 적용:
       네트워크 보안을 강화하기 위한 다양한 정책들을 적용한다.
       
       
• 가상화 기술:
  
  
  • Hyper-V(Hypervisor):
    Hyper-V는 Microsoft에서 개발한 하이퍼바이저(Hypervisor) 가상화 기술이다.
    하이퍼 바이저는 호스트 OS 위에서 동작하며, 각각의 게스트 OS를 가상 머신으로 생성하여 동작하도록 한다.
    이를 통해 물리적인 서버를 가상화하여 하나의 물리적인 서버에서 여러 개의 가상 머신을 동시에 운영할 수 있다.
    
    Hyper-V를 사용하면 가상 머신에 할당하는 CPU, 메모리, 디스크 등의 자원을 동적으로 유연하게 조정할 수 있다.
    또한 가상 머신 간의 자원 격리를 통해 각각의 가상 머신이 독립적으로 운영되어 안정성과 보안성이 높아진다.
    
    Hyper-V는 Windows Server 운영체제에 기본적으로 포함되어 있으며, PowerShell을 통해 가상 머신을 관리할 수 있다. 또한 System Center Virtual Machine Manager(SCVMM)와 같은 도구를 사용하여 가상 머신을 중앙 집중적으로 관리할 수도 있다.
    
    
  • 컨테이너:
    Windows Server 2016은 Docker와 Kubenetes와 같은 컨테이너 런타임을 지원한다.
    이를 이용하면 서버의 자원을 효율적으로 활용하며, 가상 머신보다 빠르고 가볍게 애플리케이션을
    배포할 수 있다.
    
    

---

• Active Directory(액티브 디렉터리)
  
  Windows Server 2016의 Active Directory(AD)는 Microsoft의 인증 및 권한 부여 서비스이며,
  기업에서 사용자, 그룹, 컴퓨터 등의 자원을 중앙 집중적으로 관리할 수 있도록 해준다.
  이를 통해 사용자 계정의 로그인, 자원의 액세스 권한, 그룹 정책 등을 효과적으로 관리할 수 있다.
  
  Windows Server 2016의 AD는 다음과 같은 기능을 제공한다.
  
  
  1. 사용자, 그룹, 컴퓨터 등의 객체 생성 및 관리:
     AD를 통해 기업에서 필요로 하는 사용자, 그룹, 컴퓨터 등의 객체를 생성하고 관리할 수 있다.
     
     
  2. 인증 및 권한 부여:
     AD를 통해 사용자 계정의 로그인 인증 및 자원의 액세스 권한을 부여할 수 있다.
     
     
  3. 중앙 집중적인 그룹 정책 관리:
     AD를 통해 그룹 정책을 중앙 집중적으로 관리하고 적용할 수 있다.
     
     
  4. 통합 인증 서비스:
     AD를 통해 다른 인증 서비스와의 통합이 가능하다. 예를 들어 사용자 계정을 AD에 등록하면
     해당 사용자는 Exchange, SharePoint, Skype for Business 등의 서비스에도 로그인할 수 있다.
     
     
  5. 다양한 보안 기능 제공:
     AD를 통해 사용자 계정의 암호 정책, 계정 잠금 정책 등 다양한 보안 기능을 제공한다.
     
     
  6. 복제 및 백업 기능:
     AD를 통해 다른 도메인 컨트롤러와의 복제가 가능하며, 백업 및 복구도 가능하다.

일반 디렉터리는 파일을 저장하는 폴더의 계층 구조를 관리하는 운영체제의 구성 요소이다.
반면에 액티브 디렉터리(Active Directory)는 기업 내에서 중앙 집중식 네트워크 관리를 위해 사용되는
디렉터리 서비스이다.

액티브 디렉터리는 기업 내에서 사용자, 그룹, 컴퓨터 등의 오브젝트를 저장하고 관리하는 중앙 집중식
네트워크 관리 도구이다. 이를 통해 사용자 계정, 권한, 그룹, 정책 등을 중앙에서 관리하고 배포할 수 있다.
또한 인증, 권한 부여, 인터넷 정보 서비스(IIS) 등 다양한 서비스와 연동하여 사용자 인증 및 권한 관리 등의
작업을 수행한다.

액티브 디렉터리는 네트워크 환경에서도 사용 가능하며, 여러 도메인과 트리, 포리스트 구조를 지원한다.
이를 통해 각 도메인 간의 관리 및 사용자 정보 공유 등을 용이하게 한다. 또한 액테브 디렉터리는 보안 기능도
제공하여 기업의 보안 강화에도 도움이 된다.

 

• Active Directory 구성 요소
  
  
  1. 개체(Object):
     Active Directory의 개체는 네트워크 상에 존재하는 사람, 컴퓨터, 프린터, 애플리케이션 등의 모든 객체를
     의미한다. 이러한 모든 객체를 일반적으로 디렉터리 객체라고 부르며 디렉터리 객체는 각각의 고유한 이름을
     가지고 있다.
     
     
  2. 개체 클래스(Object Class):
     객체를 생성할 때는 해당 객체의 클래스를 지정해야 한다.
     클래스는 Active Directory에서 객체를 정의하기 위한 틀로 객체에 대한 속성들을 지정한다.
     예를 들어 유저클래스는 이름, 이메일 주소, 비밀번호 등의 속성을 지니고 있으며,
     컴퓨터 클래스는 이름, IP 주소, 운영 체제 등의 속성을 지니고 있다.
     
     
  3. 스키마(Schema):
     Active Directory의 스키마는 디렉터리 객체와 그 객체가 지닌 속성의 정보를 정의하는데 사용된다.
     스키마는 Active Directory의 디렉터리 Database에서 데이터의 구조와 유효성을 유지하기 위해
     중요한 역할을 한다. 스키마는 디렉터리 객체의 클래스, 속성, 형식, 구조, 제약조건, 논리적 관계 등을
     포함한다.
     
     
  4. 도메인(Domain):
     도메인은 Active Directory 의 가장 기본적인 단위로 도메인은 일반적으로 조직의 보안 및 인프라 관리를
     위한 단위로 사용된다. AD의 각 도메인은 고유한 이름을 가지고 있으며, 일반적으로 조직의 이름과
     유사한 이름을 가지고 있다.
     
     
  5. 도메인 컨트롤러(Domain Controller):
     도메인 컨트롤러는 AD에서 도메인에 대한 인증 및 권한 부여를 담당하는 서버 역할을 수행한다.
     도메인 컨트롤러는 도메인의 모든 객체 정보를 유지하고 관리하며, 도메인의 보안 정책과 권한 부여를 관리한다.
     
     
  6. 컨테이너(Container):
     컨테이너는 객체를 저장하는 논리적인 단위로, 일종의 폴더라고 생각할 수 있다.
     컨테이너는 다른 컨테이너나 OU 내부에 존재할 수 있으며, 객체들이 컨테이너 내부에 생성되면
     해당 컨테이너의 보안 권한과 정책이 적용된다.
     
     
  7. 조직구성단위(OU: Organization Unit):
     컨테이너와 OU는 AD 내에서 객체를 논리적으로 구분하여 관리할 수 있도록 도와준다.
     컨테이너는 보안 권한과 정책을 적용할 수 있으며, OU는 조직적으로 객체를 그룹화하여 관리할 수 있다.
     
     
• 논리적 구조
  
  
  1. 트리(Tree):
     트리 구조는 하나 이상의 도메인(domain)이 서로 상호 관련되어 있는 구조이다.
     도메인은 트리 구조에서 하나의 가지(branch) 역할을 한다. 각 도메인은 유일한 이름을 가지며,
     이름은 도메인의 위치와 구성에 대한 정보를 포함한다. 이러한 트리 구조는 조직의 관리와 구성을
     단순화하고, 보안성을 높이기 위해 도메인 간의 경계를 설정할 수 있다.
     
     
  2. 포레스트(Forest):
     포레스트는 하나 이상의 트리 구조를 포함하는 가장 큰 AD의 논리적 구성요소이다.
     포레스트는 모든 도메인 간에 공유되는 공통 스키마와 구성을 가지며, 보안 및 인증을 통합적으로
     관리 할 수 있다. 또한 포레스트 간의 트러스트 관계를 설정하여, 다른 포레스트의 도메인과
     인증 및 자원 공유가 가능하다.
     
     
  3. 글로벌 카탈로그(Global Catalog):
     글로벌 카탈로그는 AD의 논리 구조에서 중요한 역할을 한다.
     각 도메인 컨트롤러(Domain Controller)에서 해당 도메인의 정보 뿐만 아니라, 다른 도메인 및 포레스트의
     일부 정보를 저장하는 글로벌 카탈로그 서비스가 있다. 이를 통해 다른 도메인이나 포레스트의 객체에 대한
     조회나 인증 요청을 별도의 서버를 거치지 않고 처리할 수 있다. 따라서 글로벌 카탈로그는 전체 AD의
     성능을 향상시키는 역할을 한다.
     
     

■ 경량 디렉터리 접근 프로토콜(LDAP, Lightweight Directory Access Protocol):

인터넷 프로토콜 스택 상에서 디렉터리 서비스를 위한 응용 계층 프로토콜 중 하나이다.

LDAP는 일반적으로 디렉터리 정보를 읽고 검색하는데 사용되며, TCP/IP 프로토콜 위에서 동작한다.
LDAP는 간단하고 확장 가능한 프로토콜로 다양한 디렉터리 서비스 및 클라이언트 애플리케이션에서 사용된다.

LDAP는 주로 기업환경에서 사용되며, Active Directory와 같은 디렉터리 서비스에서 사용된다.
LDAP는 디렉터리 객체를 계층적으로 구성하고, 객체를 식별하는 DN(Distinguished Name)을 사용한다.
또한 LDAP는 다양한 인증 방식을 지원하고, 보안 프로토콜인 LDAPS(LDAP over SSL)를 통해 안전한 통신이 가능하다.