Windows DC 구성 스크립트 이해

소개

 이 문서에서는 도메인 컨트롤러 컨피그레이션 스크립트에서 변경한 Windows 환경에 대해 설명합니다. 

• 기본 전제 조건은 Insights 문서를 참조하십시오. 
  https://docs.umbrella.com/deployment-umbrella/docs/2-prerequisites
• 이러한 권한을 수동으로 설정하는 방법에 대한 자세한 내용은 다음 문서를 참조하십시오. 
  OpenDNS_Connector 사용자에 필요한 권한.

DC 구성 스크립트 개요

각 도메인 컨트롤러에는 Umbrella API/Dashboard에 대한 1회 등록이 필요합니다. 이 DC 컨피그레이션 스크립트는 다음 기능과 함께 이 기능을 시작합니다.

1. 필요한 권한 및 방화벽 규칙이 구성되었는지 확인
2. (선택 사항) 이러한 권한을 자동으로 구성합니다
3. (선택 사항) 이러한 검사가 성공한 경우에만 Umbrella API/Dashboard에 도메인 컨트롤러를 등록합니다.
   

   참고: 도메인 컨트롤러 목록은 Umbrella 지원에서 수동으로 등록할 수도 있습니다.  이 기능은 도메인 컨트롤러에 대해 API/인터넷 액세스가 불가능한 시나리오에서 일반적으로 유용합니다. 그러나 설명된 권한 변경은 여전히 구성해야 하므로 컨피그레이션 스크립트를 실행하는 것이 좋습니다.

    

스크립트를 처음 실행할 때는 환경이 변경되지 않습니다.  스크립트는 필요한 모든 권한이 있는지 확인합니다.  문제가 있는 경우 변경 여부를 묻는 메시지가 (Y/N) 표시됩니다. 

등록 스크립트가 완료되면 도메인 컨트롤러 자체에서 소프트웨어를 실행할 필요가 없습니다. 그러나 OpenDNS Connector 서비스는 하나 이상의 컴퓨터에 설치해야 합니다(예: 도메인 컨트롤러 또는 구성원 서버).

1단계 - 테스트

스크립트는 처음에 다음 정보를 수집합니다.

• OS 버전 및 포리스트 기능 수준 확인
• 스크립트가 관리자로 실행 중인지 확인합니다.
• 서버 IP 주소, 호스트 이름 및 도메인 이름 정보를 가져옵니다.
• Windows 방화벽을 사용하도록 설정했는지, 기본 제공 '원격 관리' 규칙이 허용되는지 확인
• 필요한 도메인 사용자 계정 'OpenDNS_Connector'를 확인합니다.

참고: OpenDNS_Connector 사용자가 없는 경우 스크립트는 결과를 인쇄하고 중단합니다.  스크립트를 실행하기 전에 이 도메인 사용자를 수동으로 만들어야 합니다. OpenDNS_Connector 계정이 있는 경우 스크립트는 이러한 검사를 진행합니다.

• OpenDNS_Connector 사용자에게 root\cimv2 WMI 네임스페이스의 'Remote Enable' 및 'Read Security'에 대한 권한이 있는지 확인합니다.
• OpenDNS_Connector 계정에 Active Directory'Replicating Directory Changes' 권한이 있는지 확인합니다. 이 권한은 일반적으로 Enterprise Read-Only Domain Controllers 그룹의 멤버십에 의해 부여됩니다.
• OpenDNS_Connector 계정이 'Event Log Readers' 그룹의 구성원인지 확인합니다
• OpenDNS_Connector 계정이 'Distributed COM Users' 그룹의 구성원인지 확인합니다
• RSOP(정책 결과 집합)를 검사하여 그룹 정책을 통해 '로그온 이벤트 감사'가 활성화되었는지 확인합니다.
• RSOP(정책 결과 집합)를 검사하여 OpenDNS_Connector 계정에 '감사 및 보안 로그 관리' 권한이 할당되었는지 확인합니다

1b 단계 - 테스트 결과

 컨피그레이션 스크립트에서 인쇄하는 결과는 OS 버전에 따라 다릅니다. 

서버 2003 이상에서는 다음 결과가 표시됩니다.

 AD User Exists:                true/false
 WMI Permissions Set:           true/false
 DCOM Permissions Set:          true/false
 RDC Permissions Set:           true/false
 Audit Policy Set:              true/false
 Manage Event Log Policy Set:   true/false
 Distributed COM MemberOf:      true/false

Server 2008 이상에서는 포리스트 기능 수준이 2008+인 경우에만 이 정보가 표시됩니다.  이 그룹은 이전 버전에 없습니다.

Event Log Readers MemberOf:     true/false

2단계 - 자동 구성 변경

이 검사가 실패할 경우 "Do you want us to auto configure this Domain Controller (y or n)?"라는 메시지가 표시됩니다. 변경할 수 있습니다. 

다음과 같이 변경됩니다.

• 필요한 경우 기본 제공 '원격 관리' Windows 방화벽 규칙 사용
• 루트\cimv2 WMI 네임스페이스에서 'OpenDNS_Connector' 계정 'Remote Enable' 및 'Read Security' 권한을 명시적으로 부여합니다.
• 'OpenDNS_Connector' 계정에 '디렉터리 변경 복제' 권한을 명시적으로 부여합니다
• 'OpenDNS_Connector' 계정을 'Distributed COM users' 그룹에 추가합니다

2008년+ 이 변경도 수행됩니다.

• 'OpenDNS_Connector' 계정을 'Event Log Readers' 그룹에 추가합니다

참고: 자동 컨피그레이션이 거부되거나 이러한 변경이 실패할 경우 스크립트는 등록을 진행하지 않습니다.

2b 단계 - 자동 컨피그레이션 경고

그룹 정책 설정이 올바르게 구성되지 않은 경우 스크립트에서 경고를 생성합니다.  스크립트에서 이러한 문제를 수정할 수 없습니다. 

모든 운영 체제:

• 스크립트는 그룹 정책에서 '로그온 이벤트 감사' 설정이 올바르게 구성되지 않았지만 그룹 정책을 수정하지 않을 경우 경고합니다.

2003년 및 2003년 기능 수준:

• 스크립트는 '감사 및 보안 로그 관리' 권한이 그룹 정책에서 올바르게 구성되지 않았지만 그룹 정책을 수정하지 않을 경우 경고합니다.

참고: 이 문제를 수동으로 수정하고 구성 스크립트를 다시 실행하십시오. 스크립트는 수정될 때까지 등록을 진행하지 않습니다.

3단계 - 등록

스크립트는 Umbrella에 도메인 컨트롤러를 등록하기 전에 "이 도메인 컨트롤러(y 또는 n)를 등록하시겠습니까?"라는 메시지를 표시합니다.이 정보는 Umbrella로 전송됩니다.

• 도메인 컨트롤러 호스트 이름/레이블
• 도메인 이름
• IP 주소
• Umbrella Organization에서 DC를 고유하게 식별하는 고유한 조직 ID 및 토큰(스크립트에 포함)입니다.

등록은 https://api.opendns.com을 통해 안전하게 이루어집니다.