이제 오프라인에서도 도메인 참여가 가능해집니다. Windows 7…
Windows 환경을 사용하는 곳에서 하나의 계정으로 인증 및 허가를 가능하게 하는 SSO(Single Sign On)와 사용자의 환경을 중앙에서 손쉽게 관리하기 위해서 도메인(Domain)을 구성하여 사용하고 있습니다. 적은 숫자의 클라이언트는 작업 그룹 환경내에서도 운영이 가능하지만, 숫자가 늘어날수록 이에 대한 관리 및 보안 적용이 필수적이기 때문입니다.
클라이언트가 도메인에 참여하기 위해서는, 반드시 도메인 컨트롤러와 네트워크 연결성이 보장되어야 합니다. 이에 클라이언트 운영 체제를 집에서 다시 설치했다거나, 가상화 환경같이 많은 숫자의 머신을 새롭게 구성하는 경우, 관리자나 실제 사용자 입장에서 도메인에 참여시키는 작업은 여러 작업 순서와 계정 및 암호 입력 등, 시간이 다소 소모되는 작업이라고 생각됩니다.
Windows 7에서는 도메인 참여를 오프라인에서도 가능해집니다. 바로 Djoin.exe라는 명령어 프롬프트 도구를 이용하여 오프라인 도메인 참여를 하는데요. 오늘은 이 오프라인 도메인 참여 기능을 살펴보도록 하겠습니다.
Windows 7과 Windows Server 2008 R2에 포함된 Djoin은 오프라인 도메인 참여를 처리해줍니다. 이 명령어는 크게 두가지 범주로 나눠져 있습니다. /Provision을 이용하는, 서버쪽 구성과, /RequestODJ를 이용하는 클라이언트쪽 구성입니다. ODJ는 Offline Domain Join의 약자입니다. :) 그림이 그려지시나요?
일반적으로 온라인에서 클라이언트를 도메인에 참여시키면, 액티브 디렉터리에 컴퓨터 계정이 생성되고, 이 컴퓨터 계정에 대한 정보가 클라이언트와 상호 저장되어(정확하게 말하면 상호 신뢰된 보안 채널을 만든다고 하죠), 차후 사용자 인증 및 각종 도메인 관련 처리에 사용되게 됩니다. 이 작업을 해주는 옵션이 /Provision입니다.
Djoin /Provision /Domain <도메인이름> /Machine <참여시킬컴퓨터이름> /Savefile <차후클라이언트에서 사용할 도메인 데이터>
도메인 컨트롤러가 Windows Server 2008 R2가 아닌 경우에는 /Downlevel이라는 옵션을 추가적으로 사용하셔야 하며, 이 경우에는 도메인 참여를 처리할 머신이 이미 도메인에 참여해있어야 하고(이를 Provisioning Server라고 합니다.), 이는 Windows 7 또는 Windows Server 2008 R2여야 합니다. 그리고 해당 컴퓨터 계정이 액티브 디렉터리에 있을 경우엔 /Reuse 옵션도 사용해줘야 합니다. 여기서 생성된 메타데이터 파일을 클라이언트로 가져가서 나머지 참여 작업을 마무리하면 작업이 완료됩니다.
오프라인 도메인 참여가 가능한 클라이언트는 Windows 7 또는 Windows Server 2008 R2만 가능합니다. 도메인 컨트롤러에 대해서는 하위 호환성을 가지고 있지만, 클라이언트는 아닙니다. 클라이언트에서 이제 /RequestODJ를 이용하게 됩니다. 관리자 권한을 가진 명령어 프롬프트를 여시고..
Djoin /RequestODJ /Loadfile <메타데이터파일> /WindowsPath <Windows경로>
해당 컴퓨터가 실제 사용중인 물리적인 머신이라면 /Localos라는 옵션을 붙여줘야 하며, 이미지 형태로 차후에 사용할 경우(대표적으로 가상 머신)이라면 필요하지 않습니다.
어렵지 않죠? 이 경우 반드시 도메인 컨트롤러와 네트워크 연결이 되지 않아도 상관없습니다. 왜냐면, 도메인 참여에 관련된 데이터가 이미 데이터 파일에 들어있기 때문에, 이제 클라이언트를 다시 시작시키면, 도메인에 참여된 것과 동일한 형태로 처리되게 됩니다. 이러한 도메인 참여를 무인 설치 파일내에 반영하실 수도 있습니다. 이에 대한 정보는 여기를 참고하시면 됩니다.
도메인 참여에 대한 오프라인 모드를 지원함으로서, 클라이언트 환경이나 가상화 환경에 대해 좀더 유연한 액티브 디렉터리 환경 구성이 가능해질 것으로 예상되며, IT 관리자 역시도, 클라이언트에 대한 구성을 위해 모든 컴퓨터가 조직내 네트워크내에.. 라는 생각을 바꿀수도 있지 않을까요?