Windows 서버에서 디렉토리 서비스 설정하기

이 문서는 Cato Cloud의 Pops가 액티브 디렉토리 도메인 컨트롤러와 통합하도록 Windows 서버에서 설정과 권한을 구성하는 방법을 설명합니다．

참고

참고：

이 문서의 스크린샷과 절차는 Windows Server 2016을 기반으로 합니다． 다른 버전에서는 세부 사항이 다를 수 있습니다．
LDAP 서비스용 Cato의 IP 주소에 대한 더 많은 정보가 필요하다면, LDAP 동기화 문제 해결을 참조하십시오 (이 문서를 보려면 Cato 지식 베이스에 로그인해야 합니다)．

디렉토리 서비스용으로 새로운 도메인 사용자 생성

귀하의 Cato 계정과 AD 도메인 간의 통합을 위해 전용 도메인 사용자를 생성하십시오．

이 사용자의 AD 비밀번호 요구 사항은 다음과 같습니다：

비밀번호가 만료되지 않음
초기 로그인 시 사용자가 비밀번호를 변경하도록 강제하는 설정 비활성화

디렉토리 서비스 사용자 생성 방법：

새로운 도메인 사용자를 생성합니다 (이 사용자는 Cato 디렉토리 서비스에만 사용됩니다)．
구성원 탭에서 해당 사용자가 도메인 사용자 그룹의 구성원인지 확인하십시오．
해당 사용자를 다음 그룹에 추가하세요：
- Distributed COM Users
- Event Log Readers
확인을 클릭하여 사용자를 생성합니다．

DCOM 설정 구성

Windows 서버에서 이러한 Distributed COM (DCOM) 설정을 구성하여 Cato Cloud의 Pops가 도메인과 원격으로 통신할 수 있도록 합니다． 구성해야 할 DCOM 설정은 다음과 같습니다：

Windows 서비스
DCOM 속성과 프로토콜
COM 보안 권한

Windows 서비스 구성

서버, 원격 레지스트리, WMI 성능 어댑터 Windows 서비스를 시작하고 Windows 서버와 함께 자동으로 시작되도록 구성하세요．

참고

참고： WMI 성능 어댑터 서비스는 다른 버전의 Windows 서버에서 WMI로 불립니다．

Windows 서비스 활성화하기：

실행 메뉴에서 services.msc를 입력하고 확인을 클릭합니다．
서비스 창에서, 서버, 원격 레지스트리, WMI 성능 어댑터 서비스가 시작되고 자동 시작으로 설정되었는지 확인하십시오．
1. 서비스 속성을 변경하려면, 서비스 이름을 마우스 오른쪽 버튼으로 클릭한 다음 속성을 클릭하십시오．
2. 시작 유형에서 자동을 선택하십시오．
3. 서비스 상태가 시작되지 않았으면 시작을 클릭하십시오．
확인을 클릭하고 서비스 창을 닫습니다．

DCOM 통신 속성과 프로토콜 구성

DCOM 속성은 서버의 인증 및 임퍼서네이션 수준을 정의합니다． 서버 인증 수준을 연결로 구성하세요, 이는 세션 키가 인증 핸드셰이크에만 사용된다는 뜻입니다.

식별 수준으로 사용자 사칭 수준을 설정하여 PoP가 Cato 디렉토리 서비스와 관련된 사용자 데이터에만 액세스할 수 있도록 합니다．

서버의 DCOM 프로토콜 순서는 서버가 네트워크를 통해 어떻게 통신하는지를 정의합니다． 디렉토리 서비스는 연결 지향적인 TCP/IP 프로토콜을 사용합니다．

디렉토리 서비스를 위한 DCOM을 구성하려면：

실행 메뉴에서 dcomcnfg를 입력하고 확인을 클릭합니다． 구성 요소 서비스 창이 열립니다．
구성 요소 서비스 > 컴퓨터 > 내 컴퓨터에서 내 컴퓨터를 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다． 내 컴퓨터 속성 창이 열립니다．
Windows 서버의 DCOM 통신 속성을 구성합니다：
1. 내 컴퓨터 속성 창에서 기본 속성 탭을 선택합니다．
2. 이 컴퓨터에서 분산된 COM 사용을 선택합니다．
3. 기본 인증 수준에서 연결을 선택합니다．
4. 기본 사용자 사칭 수준에서 식별을 선택합니다．
DCOM 프로토콜에 연결 지향적인 TCP/IP가 포함되어 있는지 확인합니다．
1. 기본 프로토콜 탭을 클릭합니다． DCOM 프로토콜에 연결 지향적인 TCP/IP가 포함되어 있으면 아래의 6단계로 계속 진행합니다．
2. 추가를 클릭합니다． DCOM 프로토콜 선택 창이 열립니다．
3. 프로토콜 순서에서 연결 지향적인 TCP/IP를 선택합니다．
4. 확인을 클릭하여 DCOM 프로토콜 선택 창을 닫습니다．
확인을 클릭합니다．
DCOM 머신의 광범위 설정을 변경하라는 메시지가 표시됩니다． 계속하려면 예를 클릭합니다．

COM 보안 권한 구성

구성 요소 서비스 창에 있는 (dcomcnfg) COM 보안 접근 권한 및 실행 및 활동 권한을 구성하여 PoP가 기본적으로 액세스할 수 있도록 설정합니다：

분산 COM 사용자
이벤트 로그 독자

디렉토리 서비스를 위한 COM 보안 권한을 구성하려면：

필요한 경우 구성 요소 서비스 > 컴퓨터 > 내 컴퓨터에서 '내 컴퓨터 속성' 창을 열고, 내 컴퓨터를 마우스 오른쪽 버튼으로 클릭한 다음 속성을 선택합니다.
COM 보안 탭을 클릭합니다.
분산 COM 사용자 및 이벤트 로그 독자를 위한 기본 접근 권한을 구성합니다:
1. 접근 권한에서 기본값 편집을 클릭합니다.
2. 그룹 또는 사용자 이름 아래에서 분산 COM 사용자를 추가하고 다음 권한으로 구성합니다：
  - 로컬 액세스 - 허용
  - 원격 액세스 - 허용
3. 이벤트 로그 판독기 그룹에 대해 이전 두 단계를 반복합니다．
4. 확인을 클릭합니다．
분산 COM 사용자와 이벤트 로그 판독기에 대한 시작 권한을 구성합니다：
1. 시작 및 활성화 권한에서 기본값 편집을 클릭합니다．
2. 그룹 또는 사용자 이름 아래에서 분산 COM 사용자를 추가하고 다음 권한으로 구성합니다：
  - 원격 시작 - 허용
  - 원격 활성화 - 허용
3. 이벤트 로그 판독기 그룹에 대해 이전 두 단계를 반복합니다．
4. 확인을 클릭합니다．
확인을 클릭하고 내 컴퓨터 속성 및 구성 요소 서비스 창을 닫습니다． COM 보안 권한이 구성되었습니다．

Windows Server WMI 구성

이 섹션에서는 PoP에서 Windows 서버로 WMI 쿼리를 보낼 수 있도록 하기 위해 WMI 권한을 구성하는 방법에 대해 설명합니다．

WMI를 구성하여 Cato 관리 애플리케이션에 연결

WMI를 사용하여 원격 컴퓨터에 연결하려면 연결을 위해 DCOM 설정 및 WMI 네임스페이스 보안 설정이 올바르게 활성화되어 있는지 확인하십시오．

Cato 관리 애플리케이션에서의 연결을 허용하기 위해 WMI 설정을 구성하는 방법에 대한 자세한 내용은 Microsoft 문서를 참조하십시오．

WMI 사용자 액세스 구성

DCOM 액세스를 위해 구성한 사용자 또는 그룹은 AD 사용자의 로그인 이벤트에 Cato 액세스를 제공하는 Windows 이벤트 로그에 액세스할 수 있는 WMI 권한도 있어야 합니다． WMI를 구성하여 분산 COM 사용자와 이벤트 로그 판독기의 원격 액세스를 허용합니다．

WMI 사용자 액세스 설정을 구성하려면：

실행 메뉴에서 wmimgmt.msc를 입력하고 확인을 클릭합니다． Windows 관리 도구 창이 열립니다．
WMI 제어(로컬)를 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다． WMI 제어(로컬) 속성 창이 열립니다．
보안 탭을 선택합니다． 네임스페이스 메뉴 트리가 나타납니다．
루트 분기를 펼치고 CIMV2를 클릭합니다．
메뉴 트리 아래의 보안을 클릭합니다． ROOT\CIMV2 보안 창이 열립니다．
분산 COM 사용자와 이벤트 로그 판독기에 대한 시작 권한을 구성합니다
1. 그룹 또는 사용자 이름 아래에서 분산 COM 사용자를 추가하고 다음 권한을 구성합니다：
  - 계정 활성화 - 허용
  - 원격 활성화 - 허용
2. 이전 단계를 이벤트 로그 리더에 대해 반복합니다．
분산 COM 사용자의 고급 설정을 구성합니다：
1. 분산 COM 사용자를 선택하고 고급을 클릭합니다． CIMV2의 고급 보안 설정 창이 열립니다．
2. 주체 열에서 분산 COM 사용자를 선택하고 편집을 클릭합니다． CIMV2의 권한 항목 창이 열립니다．
3. 적용 대상 드롭다운 메뉴에서 이 네임스페이스 및 하위 네임스페이스를 선택합니다．
확인을 클릭합니다． CIMV2의 고급 보안 설정 창을 닫습니다．
이벤트 로그 리더의 고급 설정을 구성합니다：
1. 이벤트 로그 리더를 선택하고 고급을 클릭합니다．
  
  CIMV2의 고급 보안 설정 창이 열립니다．
2. 주체 열에서 이벤트 로그 리더를 선택하고 편집을 클릭합니다． CIMV2의 권한 항목 창이 열립니다．
3. 적용 대상 드롭다운 메뉴에서 이 네임스페이스 및 하위 네임스페이스를 선택합니다．
확인을 클릭하여 CIMV2의 고급 보안 설정 창을 닫습니다．
클릭 확인하여 루트\CIMV2의 보안 및 WMI 컨트롤(로컬) 속성 창을 닫습니다．

WMI 사용자 접근 설정이 구성되었습니다．

WMI 컨트롤러 레지스트리 구성

분산 COM 사용자와 이벤트 로그 리더에 대한 읽기 권한을 부여하려면 Windows 레지스트리를 편집하십시오．

WMI 컨트롤러에 대한 레지스트리 권한을 구성하려면：

Regedit을 실행합니다．
로 이동합니다

HKEY_LOCAL_MACHINE\SYSTEM\

CurrentControlSet\

Services\Eventlog\Security
보안 폴더를 오른쪽 클릭하고 권한을 선택합니다.
다음 그룹을 읽기 권한으로 추가하고 구성합니다:
- 분산 COM 사용자
- 이벤트 로그 리더
확인을 클릭합니다．

IPsec 터널을 사용한 WMI 컨트롤러 구성

시스템 범위 내의 소스 IP를 사용하여 DC에 연결하기 때문에, Cato 소켓에 IPsec 터널을 사용하는 경우 Cato 시스템 범위에 대한 단계 2를 구성해야 합니다: 10.254.254.12．

기본 범위 대신 사용자 정의 시스템 범위를 사용하는 계정의 경우, User Awareness 동기화를 위한 고정 IP 주소를 계산하기 위해 사용자 정의 범위를 사용합니다． 고정 IP 주소는 사용자 정의 범위의 9번째입니다． 예를 들어, 사용자 정의 예약 범위가 10.10.10.0/16인 경우, 고정 IP 주소는 10.10.10.9입니다．

작은 IP 범위를 사용하는 계정의 경우에도 여전히 사용자 정의 범위의 9번째를 사용합니다． 예를 들어, 사용자 정의 예약 범위가 10.200.200.64/28인 경우, 고정 IP 주소는 10.200.200.73 (10.200.200.64 + x.x.x.9)입니다．

DCOM을 허용하도록 Windows 방화벽 구성

시스템 범위(또는 사용자 정의 범위)에 대해 고정 IP 주소의 접근을 허용하도록 Windows 또는 제3자 방화벽을 구성합니다． 시스템 및 사용자 정의 범위에 대한 자세한 내용은 위의 IPsec 터널을 사용한 WMI 컨트롤러 구성을 참조하십시오．

Windows 방화벽을 사용하는 경우, DCOM 통신을 허용하는 예외를 추가해야 합니다
Windows 서버와 Cato Network 사이에 제3자 방화벽을 사용하는 경우, 동일한 예외를 추가하십시오

DCOM 통신을 허용하도록 Windows 방화벽을 구성하려면：

실행 메뉴를 엽니다．
wf.msc를 입력하고 확인을 클릭합니다．
인바운드 규칙을 선택합니다．
작업 메뉴에서 새 규칙을 선택합니다． 새 인바운드 규칙 마법사가 열립니다．
사용자 정의를 선택하고 다음을 클릭합니다． 프로그램 창이 열립니다．
모든 프로그램을 선택하고 다음을 클릭합니다． 프로토콜 및 포트 창이 열립니다．
프로토콜 유형에서 TCP를 선택하고 다음을 클릭합니다． 범위 창이 열립니다．
이 규칙이 적용되는 원격 IP 주소에서 이 IP 주소들 옵션을 선택합니다．
추가를 클릭합니다． 이 IP 주소 또는 서브넷에 시스템 범위의 고정 IP 주소를 입력합니다: 10.254.254.12.
- 사용자 정의 범위를 사용하는 경우, 해당 범위의 고정 IP 주소를 입력합니다.
확인을 클릭한 후 다음을 클릭합니다. 작업 창이 열립니다.
연결 허용을 선택하고 다음을 클릭합니다. 프로필 창이 열립니다.
하나 이상의 규칙이 적용되는 네트워크 프로필을 선택하고 다음을 클릭하십시오． 이름 창이 열립니다．
방화벽 규칙의 규칙 이름을 입력한 후 완료를 클릭하십시오．