이 문서에서는 AD DS(Active Directory 도메인 Services) 및 PAM(Privileged Access Management)용 MIM(Microsoft Identity Manager 2016)을 배포할 때의 고가용성 및 재해 복구에 대한 고려 사항을 설명합니다.
기업은 Windows Server, SQL Server 및 Active Directory의 워크로드에 대한 고가용성 및 재해 복구에 집중합니다. 그러나 Privileged Access Management를 위한 요새 환경의 안정적인 가용성도 중요합니다. 사용자가 관리 역할을 맡기 위해 구성 요소와 상호 작용하기 때문에 요새 환경은 조직의 IT 인프라에서 중요한 부분입니다. 일반적으로 고가용성에 대한 자세한 내용은 Microsoft 고가용성 개요 백서를 다운로드할 수 있습니다.
고가용성 및 재해 복구 시나리오
고가용성 및 재해 복구를 계획할 때 다음 질문을 고려합니다.
- 중단으로 인해 영향을 받을 수 있는 함수는 무엇입니까?
- IT 운영에 중요한 비즈니스 및/또는 중요한 함수는 무엇입니까?
- 이러한 시스템의 중단으로 이어질 수 있는 위험은 무엇인가요?
이러한 고려 사항의 범위는 배포 및 운영에 대한 총 비용에 영향을 주므로 조직은 특정 함수의 우선 순위를 다른 함수보다 높게 지정하고 우선 순위가 낮은 함수에 대한 일시적인 중단 위험을 허용할 수도 있습니다. 다음 표에서는 조직에서 사용할 수 있는 한 가지 잠재적 우선 순위에 대해 간략하게 설명합니다.
| Bastion 숲 함수 | 복구 중 상대 우선 순위 | 함수를 사용할 수 없는 경우 완화 |
|---|---|---|
| 신뢰 구축 | 낮음 | 요새 환경이 복원될 때까지 기다립니다. |
| 사용자 및 그룹 위험 완화 | 낮음 | 요새 환경이 복원될 때까지 기다립니다. |
| MIM 관리 | 낮음 | 요새 환경이 복원될 때까지 기다립니다. |
| 권한 있는 역할 활성화 | 중간 | 관리 그룹에 사용자를 수동으로 추가하는 전용 스마트 카드 지원 계정 |
| 리소스 관리 | 높음 | 관리 그룹에 사용자를 수동으로 추가하는 전용 스마트 카드 지원 계정 |
| 기존 포리스트 환경의 사용자 및 그룹 모니터링 | 낮음 | 요새 환경이 복원될 때까지 기다립니다. |
이제 이러한 バスティオン 포리스트 기능 각각을 차례로 살펴보겠습니다.
신뢰 구축
기존 숲의 도메인과 요새 환경의 숲 간에 숲 신뢰가 있어야 합니다. 이렇게 하면 요새 환경에 인증하는 사용자가 기존 포리스트의 리소스를 관리할 수 있습니다. 예를 들어 이전 버전의 Windows Server에서 기존 도메인에서 사용자를 마이그레이션할 수 있도록 하려면 추가 구성이 필요할 수 있습니다.
트러스트를 설정하려면 기존 포리스트 도메인 컨트롤러뿐만 아니라 요새 환경의 MIM 및 AD 구성 요소도 온라인 상태가 되어야 합니다. 트러스트를 수립하는 동안 이러한 중단이 발생하는 경우 중단이 해결되면 관리자가 다시 시도할 수 있습니다. 가동 중단 후 기존 포리스트 도메인 컨트롤러 또는 요새 환경이 복구된 경우, MIM에는 PowerShell cmdlet Test-PAMTrust 및 Test-PAMDomainConfiguration이 포함되어 있으며, 이를 사용하여 트러스트가 여전히 유지되는지 확인할 수 있습니다.
사용자 및 그룹 마이그레이션
신뢰가 설정되면 요새 환경에서 섀도 그룹을 만들 수 있을 뿐만 아니라 해당 그룹 및 승인자의 구성원에 대한 사용자 계정을 만들 수 있습니다. 이렇게 하면 해당 사용자가 권한 있는 역할을 활성화하고 효과적인 그룹 멤버 자격을 다시 얻을 수 있습니다.
사용자 및 그룹 마이그레이션을 위해서는 기존 포리스트 도메인 컨트롤러뿐만 아니라 요새 환경의 MIM 및 AD 구성 요소도 온라인 상태가 되어야 합니다. 기존 포리스트 도메인 컨트롤러에 연결할 수 없는 경우 요새 환경에 추가 사용자 및 그룹을 추가할 수 없지만 기존 사용자 및 그룹은 영향을 받지 않습니다. 마이그레이션 중에 구성 요소 중 중단이 발생하면 가동 중단이 해결되면 관리자가 다시 시도할 수 있습니다.
MIM 관리
사용자 및 그룹이 마이그레이션되면 관리자는 MIM에서 사용자를 역할로 활성화할 후보로 연결하는 역할 할당을 추가로 구성할 수 있습니다. 승인을 위해 MIM 정책을 구성할 수도 있습니다.
MIM 관리에는 요새 환경의 MIM 및 AD 구성 요소가 온라인 상태가 되어야 합니다.
권한 있는 역할 활성화
사용자가 권한 있는 역할을 활성화하려는 경우 요새 환경 도메인에 인증하고 MIM에 요청을 제출해야 합니다. MIM에는 POWERShell 및 웹 페이지의 사용자 인터페이스뿐만 아니라 SOAP 및 REST API도 포함됩니다.
권한 있는 역할 활성화를 사용하려면 요새 환경의 MIM 및 AD 구성 요소가 온라인 상태가 되어야 합니다.
리소스 관리
사용자가 역할에 성공적으로 활성화되면 도메인 컨트롤러는 기존 도메인의 도메인 컨트롤러에서 사용할 수 있는 Kerberos 티켓을 생성하고 사용자의 새 임시 그룹 멤버 자격을 인식할 수 있습니다.
리소스 관리를 위해서는 리소스 도메인에 대한 도메인 컨트롤러뿐만 아니라 요새 환경의 도메인 컨트롤러도 온라인 상태여야 합니다. 사용자가 활성화되면 Kerberos 티켓을 발급해도 MIM 또는 SQL이 요새 환경에서 온라인 상태가 될 필요가 없습니다. 이를 위해서는 MIM PAM 및 Windows Server가 요새 환경의 기능 수준으로 Windows Server 2016 이상을 사용해야 AD DS가 임시 멤버 자격을 제거할 수 있습니다.)
기존 포레스트의 사용자 및 그룹 모니터링
MIM에는 기존 도메인의 사용자 및 그룹을 정기적으로 확인하고 그에 따라 MIM 데이터베이스 및 AD를 업데이트하는 PAM 모니터링 서비스도 포함되어 있습니다. 이 서비스는 역할 활성화 또는 리소스 관리 중에 온라인 상태일 필요가 없습니다.
모니터링하려면 기존 포리스트 도메인 컨트롤러뿐만 아니라 요새 환경의 MIM 및 AD 구성 요소도 온라인 상태여야 합니다.
배포 옵션
환경 개요는 고가용성을 위한 것이 아닌 기술을 학습하는 데 적합한 기본 토폴로지를 보여 줍니다. 이 섹션에서는 단일 사이트가 있는 조직뿐만 아니라 기존 사이트가 여러 개 있는 조직에 대해 고가용성을 제공하기 위해 해당 토폴로지를 확장하는 방법을 설명합니다.
네트워킹
요새 환경의 컴퓨터 간 네트워크 트래픽은 다른 물리적 네트워크 또는 가상 네트워크를 사용하는 등 기존 네트워크와 격리되어야 합니다. 요새 환경에 대한 위험에 따라 컴퓨터 간에 독립적인 물리적 상호 연결이 필요할 수도 있습니다. 특정 장애 조치(failover) 클러스터 기술에는 네트워크 인터페이스에 대한 추가 요구 사항이 있습니다.
Active Directory 도메인 Services를 호스팅하는 컴퓨터와 요새 환경에서 MIM 서비스를 호스팅하는 컴퓨터는 다음을 위해 기존 포리스트의 리소스에 양방향 연결이 필요합니다.
- 사용자가 PRIV 포리스트 도메인 컨트롤러에 의해 인증됨
- 활성화를 요청하는 사용자
- 사용자가 기존 포리스트 내 리소스에서 Kerberos 티켓을 소비할 수 있도록 합니다.
- MIM이 기존 포리스트 도메인을 모니터링함.
- MIM은 기존 포리스트에 있는 메일 서버를 통해 전자 메일을 보냅니다.
최소 고가용성 토폴로지
조직은 다음 제약 조건을 사용하여 고가용성이 필요한 요새 환경의 함수를 선택할 수 있습니다.
- 배스천 환경에서 제공하는 모든 함수의 고가용성을 위해서는 두 개 이상의 도메인 컨트롤러가 필요합니다.
- 정품 인증 요청에 대한 고가용성을 위해서는 MIM 서비스를 호스트하는 컴퓨터가 두 대 이상 필요하며 SQL Server에 대한 고가용성도 필요합니다.
- 장애 조치(failover) 클러스터가 있는 SQL Server 고가용성을 사용하려면 SQL Server를 제공하는 서버가 두 개 이상 필요하며 도메인 컨트롤러와 동일할 수 없습니다.
- 각 서버의 공격 노출 영역을 최소화하기 위해 MIM 서비스를 도메인 컨트롤러에 설치해서는 안 됩니다.
배스천 환경의 모든 함수에 대한 가장 작은 고가용성 토폴로지 4개 이상의 서버와 공유 스토리지로 구성됩니다. 두 개의 서버를 도메인 컨트롤러로 구성하여 Active Directory 도메인 서비스를 제공해야 합니다. 다른 두 서버는 SQL Server를 제공하는 장애 조치(failover) 클러스터로 구성하고 MIM 서비스를 제공할 수 있습니다.
또한 요새 환경의 일반적인 배포에는 이러한 서버 관리를 위한 권한 있는 관리 워크스테이션과 모니터링 구성 요소도 포함됩니다.
다음 다이어그램에서는 한 가지 가능한 아키텍처를 보여 줍니다.
부하 조건에서 더 높은 성능을 제공하거나 다음 섹션에 설명된 대로 지리적 중복성을 위해 이러한 각 함수에 대해 추가 서버를 구성할 수 있습니다.
여러 사이트를 지원하는 배포
여러 사이트에 배포된 리소스에 적합한 배포 토폴로지를 선택하는 것은 다음 세 가지 요인에 따라 달라집니다.
- 고가용성 및 재해 복구를 위한 목표 및 위험
- 배스천 환경을 호스팅하기 위한 하드웨어 기능
- 각 사이트에 대한 관리 작업 모델입니다.
가장 간단한 방법 중 하나는 특정 사이트에서 요새 환경을 호스트하는 것입니다. 정상적인 조건에서 사용자는 해당 사이트의 요새 환경에서 MIM 배포에 연결하고 활성화를 요청하며 활성화는 각 사이트의 리소스에 영향을 줍니다. 네트워크 링크가 끊어지거나 요새 환경을 호스팅하는 사이트를 사용할 수 없는 경우 네트워크가 다시 연결될 때까지 임시 관리를 수행하기 위해 다른 사이트에서 오프라인 자격 증명에 액세스할 수 있습니다. 이 방법은 지점과 같은 특정 사이트의 로컬 관리가 드물고 해당 사이트를 조직의 나머지 네트워크에 다시 연결하도록 제한되는 상황에 적합할 수 있습니다.
사이트 간 고가용성 및 재해 복구의 경우 각 사이트에 요새 환경의 구성 요소를 배포하고 공통 PRIV 디렉터리와 공통 SQL 데이터베이스를 공유할 수도 있습니다. 이 토폴로지에서 네트워크 링크가 끊어질 경우 각 사이트의 사용자는 독립적으로 계속 작동할 수 있습니다.
이 배포 방법의 한 가지 제약 조건은 SQL Server에 배포가 복잡할 수 있는 두 사이트에 걸쳐 있는 클러스터가 필요하다는 것입니다. 이 경우, 요새 환경의 Active Directory(PRIV 포리스트)만 복제하는 것을 대안으로 고려하십시오. 사이트 간에 네트워크 중단이 있는 경우 이전에 권한 있는 역할을 이미 활성화한 사이트 B의 사용자는 사이트 B에서 리소스를 관리하기 위해 계속 작동할 수 있습니다.
각 사이트가 별도의 관리 경계를 나타내는 경우 여러 개의 독립적인 요새 환경을 배포할 수도 있습니다. 각 요새 환경에는 동일한 소프트웨어가 있지만 각 데이터베이스의 도메인 이름은 다르며 각 요새 환경의 디렉터리와 데이터베이스 간에는 공통성이 없습니다. 특정 사이트의 리소스를 관리하려는 사용자는 해당 사이트의 요새 환경에서 사용자 계정을 활성화합니다.
마지막으로, 여러 요새 환경을 독립적으로 구성하여 특정 도메인의 리소스를 관리할 수 있으므로 더 복잡한 배포가 가능합니다.
호스트된 배스천 환경
일부 조직에서는 기존 사이트와는 별도로 배스천 환경을 설정하는 방안도 고려하고 있습니다. Bastion 환경 소프트웨어는 조직의 네트워크 내 또는 외부 호스팅 공급자에서 가상화 플랫폼에서 호스트할 수 있습니다. 이 방법을 평가할 때는 다음 사항에 유의하세요.
- 기존 도메인에서 발생하는 공격으로부터 보호하기 위해 요새 환경의 관리는 기존 도메인의 관리 계정에서 격리되어야 합니다.
- 요새 환경에서는 기존 도메인의 도메인 컨트롤러에 대한 TCP/IP 연결이 필요합니다. 포트 목록은 도메인 및 트러스트에 대한 방화벽을 구성하는 방법에서 찾을 수 있습니다.
- Active Directory 도메인 Services의 가상화된 배포에는 가상화된 도메인 컨트롤러 배포 및 구성에 설명된 대로 가상화 플랫폼의 특정 기능이 필요합니다.
- MIM 서비스용 SQL Server의 고가용성 배포에는 SQL Server 데이터베이스 스토리지 섹션에 설명된 특수 스토리지 구성이 필요합니다. 현재 모든 호스팅 공급자가 SQL Server 장애 조치(failover) 클러스터에 적합한 디스크 구성으로 Windows Server 호스팅을 제공할 수 있는 것은 아닙니다.
배포 준비 및 복구 절차
요새 환경의 고가용성 또는 재해 복구 준비 배포를 준비하려면 Windows Server Active Directory, SQL Server, 공유 스토리지에 데이터베이스, MIM 서비스 및 해당 PAM 구성 요소를 설치하는 방법을 고려해야 합니다.
Windows Server
Windows Server에는 고가용성을 위한 기본 제공 기능이 포함되어 있어 여러 컴퓨터가 장애 조치(failover) 클러스터로 함께 작동할 수 있습니다. 클러스터형 서버는 물리적 케이블 및 소프트웨어로 연결됩니다. 클러스터 노드 중 하나 이상에 장애가 발생하면 다른 노드에서 서비스를 제공하기 시작합니다. 이 프로세스를 장애 조치(failover)라고 합니다. 자세한 내용은 장애 조치 클러스터링 개요에서 확인할 수 있습니다.
요새 환경의 운영 체제 및 애플리케이션이 보안 문제에 대한 업데이트를 수신하는지 확인합니다. 이러한 업데이트 중 일부는 서버를 다시 시작해야 할 수 있으므로 확장된 중단을 방지하기 위해 서버 간에 업데이트가 적용되는 시간을 조정합니다. 한 가지 방법은 Windows Server 장애 조치(failover) 클러스터의 서버에 대해 클러스터 인식 업데이트를 사용하는 것입니다.
요새 환경의 서버는 도메인에 가입되고 도메인 서비스에 종속됩니다. DNS와 같은 서비스에 대한 특정 도메인 컨트롤러에 대한 종속성으로 실수로 구성되지 않았는지 확인합니다.
Bastion 환경의 Active Directory
Windows Server Active Directory 도메인 Services는 기본적으로 고가용성 및 재해 복구에 대한 지원을 포함합니다.
준비
권한 있는 액세스 관리의 일반적인 프로덕션 배포에는 요새 환경에 두 개 이상의 도메인 컨트롤러가 포함됩니다. 요새 환경에서 첫 번째 도메인 컨트롤러를 설정하기 위한 지침은 배포 문서 인 PRIV 도메인 컨트롤러 준비의 2단계에 포함되어 있습니다.
추가 도메인 컨트롤러를 추가하는 절차는 기존 도메인에 복제 Windows Server 2012 도메인 컨트롤러 설치(수준 200)에서 찾을 수 있습니다.
참고
Hyper-V와 같은 가상화 플랫폼에서 도메인 컨트롤러를 호스트하는 경우 가상화된 도메인 컨트롤러 배포 및 구성의 주의 사항을 검토합니다.
복구
가동 중단 후 다른 서버를 다시 시작하기 전에 요새 환경에서 하나 이상의 도메인 컨트롤러를 사용할 수 있는지 확인합니다.
도메인 내에서 Active Directory는 Operations Masters 작동 방식에 설명된 대로 FSMO(유연한 단일 마스터 작업) 역할을 도메인 컨트롤러에 분산합니다. 도메인 컨트롤러가 실패한 경우 해당 도메인 컨트롤러가 할당된 [도메인 컨트롤러 역할] 중 하나 이상을 전송해야 할 수 있습니다.
도메인 컨트롤러가 프로덕션으로 반환되지 않도록 확인한 후에는 해당 도메인 컨트롤러에 할당된 역할이 있는지 확인하고 필요에 따라 다시 할당해야 합니다. 지침은 현재 작업 마스터 역할 소유자 보기 및 관련 문서에서 찾을 수 있습니다.
또한 요새 환경에 조인된 컴퓨터의 DNS 설정과 해당 도메인 컨트롤러와 트러스트 관계가 있는 CORP 도메인의 도메인 컨트롤러를 확인하여 해당 도메인 컨트롤러 컴퓨터의 IP 주소에 대한 종속성으로 하드 코딩되지 않도록 하는 것이 좋습니다.
SQL Server 데이터베이스 스토리지
고가용성 배포에는 SQL Server 장애 조치(failover) 클러스터가 필요하며, SQL Server 장애 조치(failover) 클러스터 인스턴스는 데이터베이스 및 로그 스토리지에 대한 모든 노드 간의 공유 스토리지에 회신합니다. 공유 스토리지는 Windows Server 장애 조치 클러스터링의 클러스터 디스크, 스토리지 영역 네트워크(SAN)의 디스크 또는 SMB 서버의 파일 공유 형식일 수 있습니다. 요새 환경 전용이어야 합니다. 요새 환경 외부의 다른 워크로드와 스토리지를 공유하는 것은 요새 환경의 무결성을 위태롭게 할 수 있으므로 권장되지 않습니다.
SQL Server
MIM 서비스에는 요새 환경에서 SQL Server를 배포해야 합니다. 고가용성을 위해 FCI(장애 조치(failover) 클러스터 인스턴스)를 사용하여 SQL을 배포할 수 있습니다. 독립 실행형 인스턴스와 달리 FCI에서 SQL Server의 고가용성이 FCI에 중복 노드가 있으면 보호됩니다. 오류 또는 계획된 업그레이드의 경우 리소스 그룹 소유권이 다른 Windows Server 장애 조치(failover) 클러스터 노드로 이동됩니다.
재해 복구에 대한 지원만 필요하지만 고가용성이 아닌 경우 장애 조치(failover) 클러스터링 대신 로그 전달, 트랜잭션 복제, 스냅샷 복제 또는 데이터베이스 미러링을 사용할 수 있습니다.
준비
요새 환경에 SQL Server를 설치하는 경우 CORP 포리스트에 이미 있는 SQL Server와 독립적이어야 합니다. 또한 SQL Server는 도메인 컨트롤러와는 별개로 전용 서버에 배포하는 것이 좋습니다. 자세한 내용은 AlwaysOn 장애 조치(failover) 클러스터 인스턴스에 대한 SQL Server 가이드에 설명되어 있습니다.
복구
로그 전달을 사용하여 재해 복구를 위해 SQL Server를 구성한 경우 복구 중에 SQL Server를 업데이트하기 위한 조치를 취해야 합니다. 또한 각 MIM 서비스 인스턴스를 다시 시작해야 합니다.
SQL Server가 실패했거나 SQL Server와 MIM 서비스 간의 연결이 끊어지면 SQL Server가 복원된 후 각 MIM 서비스를 다시 시작하는 것이 좋습니다. 이렇게 하면 MIM 서비스가 SQL Server에 대한 연결을 다시 설정합니다.
MIM 서비스
MIM 서비스는 활성화 요청을 처리하는 데 필요합니다. 정품 인증 요청이 계속 수신되는 동안 유지 관리를 위해 MIM 서비스를 호스팅하는 컴퓨터를 중지할 수 있도록 여러 MIM 서비스 컴퓨터를 배포할 수 있습니다. 사용자가 그룹에 추가된 후에는 MIM 서비스가 Kerberos 작업에 포함되지 않습니다.
준비
PRIV 도메인에 가입된 여러 서버에 MIM 서비스를 배포하는 것이 좋습니다. 고가용성을 위해 장애 조치(failover) 클러스터링 하드웨어 요구 사항 및 스토리지 옵션 및 Windows Server 2012 장애 조치(failover) 클러스터 만들기에 대한 Windows Server 문서를 참조하세요.
여러 서버에서 프로덕션 배포의 경우 NLB(네트워크 부하 분산)를 사용하여 처리 부하를 분산할 수 있습니다. 하나의 일반 이름이 사용자에게 노출되도록 단일 별칭(예: A 또는 CNAME 레코드)도 있어야 합니다.
중요한
Windows Server 2012 R2 이상에서 NLB 기능 이외의 부하 분산 기술을 사용하는 경우 솔루션이 한 세션을 임의 서버가 아닌 동일한 서버로 리디렉션해야 합니다.
다중 서버 MIM 배포에서 각 MIM 서비스에는 외부 호스트 이름, 서비스 이름 및 서비스 파티션 이름이 있습니다. 서비스 이름의 기본값은 컴퓨터 이름이며, MIM 서비스 서버 주소를 요청하는 화면에 MIM 서비스를 설치하는 동안 외부 호스트 이름 및 서비스 파티션 이름의 기본값이 구성됩니다. 이 세 가지 이름은 %ProgramFiles%\Microsoft Forefront Identity Manager\Service\Microsoft.ResourceManagementService.exe.config 파일에서 externalHostName 구성 노드의 특성 serviceName, servicePartitionName, resourceManagementService로 저장됩니다.
MIM 서비스가 요청을 받으면 서비스 파티션 이름이 해당 요청에 대한 특성으로 저장됩니다. 그 후 동일한 서비스 파티션 이름을 가진 다른 MIM 서비스 설치만 해당 요청과 상호 작용할 수 있습니다. 따라서 PAM 시나리오에 수동 승인 또는 기타 수명이 긴 요청 처리가 포함된 경우 각 MIM 서비스에 해당 구성 파일의 동일한 servicePartitionName 특성이 있는지 확인합니다.
복구
가동 중단 후 MIM 서비스를 다시 시작하기 전에 요새 환경에서 하나 이상의 Active Directory 도메인 컨트롤러 및 SQL Server를 사용할 수 있는지 확인합니다.
워크플로 인스턴스는 이를 시작한 MIM 서비스 서버와 동일한 서비스 파티션 이름 및 서비스 이름을 가진 MIM 서비스 서버에서만 완료할 수 있습니다. 요청을 처리하는 MIM 서비스를 호스트하는 동안 특정 컴퓨터가 실패하고 해당 컴퓨터가 서비스로 반환되지 않는 경우 새 컴퓨터에 MIM 서비스를 설치해야 합니다. 설치 후 새 MIM 서비스에서 resourcemanagementservice.exe.config 파일을 편집
MIM PAM 구성 요소
MIM 서비스 및 포털 설치 관리자는 PowerShell 모듈과 두 서비스를 포함한 추가 PAM 구성 요소도 통합합니다.
준비
MIM 서비스가 설치되는 요새 환경의 각 컴퓨터에 Privileged Access Management 구성 요소를 설치해야 합니다. 나중에 추가할 수 없습니다.
복구
중단에서 복구한 후 MIM 서비스가 하나 이상의 서버에서 실행되고 있는지 확인합니다. 그런 다음 , 를 사용하여 net start "PAM Monitoring service"MIM PAM 모니터링 서비스도 해당 서버에서 실행 중인지 확인합니다.
요새 환경 포리스트 기능 수준이 Windows Server 2012 R2에 없는 경우 명령을 net start "PAM Component service"사용하여 MIM PAM 구성 요소 서비스도 해당 서버에서 실행 중인지 확인합니다.