⑤ 웹서비스 2
⑥ 네트워크 서비스 인프라
윈도우 2003은 윈도우 2000 기반 기술을 기반으로 IT 인프라의 투자 효율성을 증대시키며, PC와 서버의 TCO(Total Cost of Ownership)를 낮추도록 설계됐다. 윈도우 서버 2003은 ‘Do more with less’라는 비전을 고객에게 제시하고 있다. 굳이 우리말로 번역하자면, ‘최소의 투자로 최대의 효과’라는 경제 원리와 일맥상통하는 말이다. 이번 달의 목표는 바로 이것을 증명하는 것이다.
플랫폼 자동 배포
기존 윈도우가 제공했던 운영체제 자동 배포 기술을 정리해보면 (표 1)과 같다.
윈도우 서버 2003에서는 기존 버전에 비해서 향상된 배포 기술을 제공함으로써. 플랫폼 배포의 생산성과 효율성을 극대화 하고 있다. (표 2)는 윈도우 서버 2003에서 제공하는 향상된 배포 기능이다.
특히 RIS, ADS와 같이 네트워크를 통한 이미지 기반의 플랫폼 배포와 DOS를 대체해 유연한 설치 이전 작업을 제공하는 미니 플랫폼인 WinPE가 눈에 띈다. 더욱 상세한 배포 기술을 확인하려면 마이크로소프트의 홈페이지(http://www.microsoft.com/windowsserver2003/community/centers/management/table.mspx)를 참조하기 바란다.
윈도우 자원 관리
현재 기업 고객들이 도입한 클라이언트 단말의 대부분은 윈도우 기반의 운영체제라고 봐도 무방할 것이다. IT 관리자 입장에서, 이같은 단말에 대한 관리는 가장 큰 중 하나다. 님다, 코드레드, 슬래머, 블래스터 등 전세계를 강타했던 웜 바이러스에 대비한 윈도우 패치 관리, 관리자 권한으로 방치되는 사용자 시스템 영역, 자산 관리 인프라 부재 등이 대표적인 사례들이다. 윈도우 서버 2003은 이런 기업 고객들에게 최소의 관리 인력으로 효율적인 윈도우 자원 관리를 위한 기능을 제공하고 있다.
윈도우 자원 및 사용자 관리 인프라
윈도우 자원과 사용자가 자신의 역할에 맞는 시스템 영역과 데이터 영역을 제어하고, 필요한 애플리케이션을 제공받을 수 있는 그룹 정책(GPO) 기능은 더욱 확장됐다(실제 이같은 확장은 고객들의 요청에 대한 피드백이므로, GPO 기반의 관리는 실제 현장의 필요성을 최대한 반영한 것이다). 확장된 부분에서 가장 주목할 기능은 WMI 필터링을 이용한 타깃팅(원하는 조건에 맞는 시스템에만 정책을 적용한다) 기능의 추가다.
GPO는 한 명의 관리자(혹은 운영자)에 의해 수 만명의 사용자와 단말을 정책 기반으로 관리할 수 있는 윈도우 자원과 사용자 관리 인프라의 꽃이라 할 수 있다.
다만, 기존 버전의 GPO가 기업 고객들에게 그리 환영받지 못했던 이유는 모니터링 기능의 빈약함이었다. 아무리 관리와 제어가 중요하다고 하더라도, 기능 구현을 보장하지 못하는 기술은 쓸모없다는 것은 현장 엔지니어라면 누구나 공감하는 부분이다. 이를 마이크로소프트도 절감했는지 윈도우 서버 2003이 출시될 시점에 제공(www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx)된 GPMC를 통해 고객의 요구를 어느 정도 만족시켜주고 있다(화면 1). 이제 기업 고객들은 GPO 도입에 더욱 적극적일 수 있는 기술적 바탕이 마련됐다고 볼 수 있다.
윈도우 패치 관리
취약한 보안을 통해 기업이 입는 타격을 기업 이미지, 생산성, 자산 등의 금액으로 산출한다면 엄청난 부담이다. 실제 최근 필자가 작업중인 컨설팅 요구 요건중의 하나가 윈도우 패치 관리부문이며, 이를 위해 어느 정도의 비용 투자를 감수하겠다는 적극적인 자세를 보이고 있다. 이 경우 고객에게 제안하는 기술이 바로 윈도우 서버 2003 플랫폼 기반의 GPO와 SUS(Software Update Service)다. 실제 이 기능을 구현하는 사이트도 있으므로, 실전 체험을 원한다면 ‘www.microsoft.com/windowsserver2003/evaluation/demos/sims/sus/viewer.htm’로 가보도록 하자.
다만 모니터링, 타깃팅, 스케줄링 기능과 같은 고급 기능은 제공하지 않는다는 사실을 명심해야 한다. 이런 요건을 원하는 고객에게는 시스템 매니지먼트 서버 2003이 좋은 선택이 될 수 있다. 이같이 다양한 요건에 맞는 패치 솔루션을 선택하는 매트릭스는 www.microsoft.com/windows2000/windowsupdate/sus/suschoosing.asp에서 확인할 수 있다.
애플리케이션 코드 관리
패치를 통해 윈도우 단말 환경의 보안을 모두 구현할 수는 없다. 특히 관리자 권한으로 윈도우를 사용하는 사용자의 환경을 생각해보자. 수많은 애플리케이션 소스를 통해 사용자들은 애플리케이션을 획득해, 이를 설치하며 이를 실행한다. 이런 것들의 대부분이 업무와는 상관없는 부류다. 보안 공격자(해커를 포함한)들은 이같은 환경을 이용해 사용자의 단말 혹은 인트라넷 환경에 바이러스를 유포시키거나 백도어나 트로이 목마 방식의 바이러스를 심어 놓는다. 윈도우 서버 2003 기반의 서버에서는 애플리케이션 코드를 관리할 수 있는 소프트웨어 제한 정책(Software Restriction Policy)을 제공해, 애플리케이션 코드를 제어할 수 있도록 한다.
소프트웨어 제한 정책은 다음과 같은 기능을 제공한다.
- 윈도우 환경의 애플리케이션 실행 조건을 Blacklist, Whitelist 둘 중의 하나로 가정한다.
- 기본 정책의 예외 규칙을 제공한다(예 ; Blacklist 기본 환경에서 실행을 거부해야 하는 애플리케이션을 지정한다).
- 제어돼야 하는 애플리케이션의 환경(경로명, 해쉬화, 인증서, 인터넷 영역)을 기반으로 애플리케이션의 실행 여부를 제어한다.
- 제어돼야 하는 애플리케이션의 종류를 결정한다(확장자 명).
- 관리자에게 정책 적용 여부를 지정한다.
윈도우 서버 관리
실제 최근 기업들이 부분적으로 메인프레임이나 유닉스급의 서버를 윈도우로 다운사이징하면서, 메인프레임, 유닉스 기반 엔지니어들이 윈도우를 관리하고 있다. 이들이 가장 당혹해 하는 부분이 GUI 기반의 관리 도구에 대한 어색함 혹은 거부감이다. 또한 GUI 기반의 관리는 항상 관리자가 인터랙티브하게 동작해 작업을 진행해야 한다는 한계를 갖는다.
서버 관리 자동화
윈도우 서버 2003 관리 기능에서 가장 주목할 대목은 셸(Shell) 기반 관리의 대폭 강화며, 이같은 셸은 WMI 기반의 COM API를 구현한 유틸리티나 스크립트들이다. 셸 기반 관리 기능의 강화가 실제 현장에서 얼마나 유용한 것인지 필자의 현장 경험을 통해 살펴보도록 하자.
500여대 되는 윈도우 2000 서버에 6~7개의 스케줄링된 작업이 있었다. 이 서버는 고객 사이트의 보안 인프라 프로젝트 일환으로 구현되는 액티브 디렉토리 도메인에 포함돼야 했는데, 문제는 테스트 환경에서 도메인에 포함된 이 서버들의 스케줄링 작업이 모두 동작하지 않는다는 것이다. 이를 해결하기 위해 도메인에 합류한 후, 기존 스케줄링 작업을 삭제하고, 동일한 작업을 스크립트로 다시 생성하는 방향으로 해결하도록 결론지었다.
물론 필자는 태스크 스케줄러(Task Scheduler) GUI 관리 인터페이스 작업이 AT라는 셸 도구를 통해 배치화되거나, 최악의 경우라도 WSH를 통한 작업 정도는 지원될 것으로 생각하고 있었다. 그런데 어이없게도 AT는 태스크 스케줄러 GUI와는 호환되지 않았고, 스크립팅도 지원하지 않는다는 사실을 확인했다.
결국 고객에게 도메인에 합류시킨 후, 엔지니어가 일일이 서버 500여대의 스케줄링을 수동으로 삭제하고, 생성해야 한다고 통보할 수 밖에 없었다.
물론 윈도우 서버 2003 기반에서는 Schtasks라는 유틸리티를 통해 이같은 문제를 쉽게 해결할 수 있을 것이다. 마이크로소프트는 윈도우 서버 2003에 기존 윈도우 서버 2000 리소스킷이나 PSS에서만 사용하던 커맨드라인 도구와 스크립트를 포함하고 있으며, 손쉬운 사용을 위한 도움말과 풍성한 예제를 지원하고 있다. 서버 관리 자동화의 첩경은 셸을 이용한 배치 작업이나 스크립트일 것이며, 이에 부응하는 운영체제는 윈도우 서버 2003이다.
원격 관리
윈도우 서버를 원격으로 관리할 수 있는 옵션은 대략 3가지 정도다.
- Telnet : 커맨드 기반의 관리를 지원하며, 오버헤드가 가장 적은 원격 관리 방법이다. 윈도우 서버 2003에 포함된 모든 셸은 Telnet에서도 훌륭하게 동작한다.
- 웹 인터페이스 : 웹 브라우저를 통해 윈도우의 이벤트, 계정, 웹 사이트 관리를 할 수 있는 인터페이스를 제공한다.
- 터미널 서비스 : 윈도우 서버 2003은 관리를 위한 터미널 구성 요소가 기본적으로 설치돼 있으며, 데스크톱 환경을 통해 GUI 기반의 관리를 지원한다.
가장 보편적 원격 관리 솔루션인 터미널 서비스는 드라이브 매핑을 통해 서버의 데이터를 가져오거나 보낼 때 유용하게 사용할 수 있으며, 높은 컬러 수 지원을 통해 깔끔한 환경에서의 작업을 지원한다. 또한, 터미널 세션 기반이 아닌, 로컬의 콘솔 세션을 이용한 작업을 지원한다.
WMIC
WMIC(Windows Management Instrumentation Command Line)는 윈도우 서버 2003에 포함된 가장 주목할 만한 커맨드라인 도구다. WMIC는 WMI 기반 기술로 윈도우 환경(이는 엔터프라이즈 환경까지도 포함한다. 결코 한 두 대의 단말을 의미하는 것이 아니라, 수 천대 이상의 시스템을 이야기한다)을 관리하려는 관리자에게 제공하는 하나의 은총이다. WMI 기반의 관리를 위해 고객들은 실제 개발팀의 지원을 통해 관리 도구를 스크립트화하거나, 애플리케이션으로 구현해야만 했다. 하지만, 이제 WMIC 도구의 사용방법만 익히면, WMI의 이점을 이용한 윈도우 자원에 대한 손쉬운 관리가 가능해진다(화면 4).
여기서 WMIC 기반 관리의 모든 것을 이야기할 수는 없으므로, 실제 현장에서 사용될 수 있는 예제를 하나 가지고 설명하도록 하겠다.
만약 어떤 단말 혹은 서버에 설치된 서비스팩이나 핫픽스 등의 패치 정보를 리포팅해야 한다면 WMIC를 이용해 다음을 실행해 보도록 하자.
C:wmic qfe get hotfixid, servicepackineffect /format:htable:sortby=ServicePackInEffect > c:핫픽스.htm
이에 대한 결과는 (화면 5)와 같이 표시된다.
여러 단말에 대한 리포팅이 필요할 경우에는 일단 텍스트 파일을 하나 만들자. 한 줄에 모니터링해야 할 대상 시스템의 이름을 하나씩 입력한다(여기서는 C 드라이브에 Pclist.txt 라는 이름으로 저장했다). 그리고 다음과 같은 명령을 실행해 보자.
C:wmic /node:@c:pclist.txt qfe get hotfixid, servicepackineffect /format:htable:sortby=ServicePackInEffect > c:핫픽스.htm
WMIC에 대해 매력을 느낀다면 www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/datacenter/WMIC_info.asp로 가서 더욱 자세한 내용을 확인해 보기 바란다.@
이 기사는 ZDNet Korea의 자매지인 on the Net에 게재된 내용입니다.
지금 뜨는 기사
이시각 헤드라인
ZDNet Power Center
