Windows Azure Pack: 네트워크 토폴로지
업데이트: 2015년 8월 11일
적용 대상: Windows Azure Pack
이 장에서는 Windows Azure Pack: 사용됩니다.
배경
설치 중에 독립 실행형 Windows 파일 서버를 선택하는 경우 파일 서버 준비가 필요하지 않으며 자동화됩니다. 그러나 독립 실행형 옵션은 "개념 증명" 설치에 유용하지만 프로덕션 환경에서는 일반적으로 Windows 파일 서버 클러스터 또는 타사 NAS(Network Attached Storage) 디바이스와 같은 보다 강력한 솔루션이 필요합니다. Windows Azure 팩: 웹 사이트는 웹 사이트별 파일 공유 사용 권한에 종속되지 않으므로 NAS 디바이스와 같은 다른 유형의 파일 스토리지 구현에서 작동할 수 있습니다.
경고
Windows Azure 팩: 웹 사이트는 확장 파일 서버를 지원하지 않는 FSRM(파일 서버 리소스 관리자)을 사용합니다.
참고
업데이트 릴리스 6 현재, Microsoft Azure 팩: 웹 사이트에 인증서 공유 및 연관된 사용자가 더 이상 필요하지 않습니다. 새로 설치하는 경우에는 이러한 항목을 제공하지 않아도 됩니다. 업그레이드된 설치에 자격 증명 및 공유는 남아 있지만 사용되지 않습니다.
5가지 주요 단계
고유한 Windows 파일 서버, Windows 파일 서버 클러스터 또는 타사 NAS 디바이스를 미리 구성하려면 다음과 같은 5가지 주요 단계를 수행해야 합니다. 이러한 단계의 구현은 Active Directory 도메인 또는 작업 그룹 환경에서 작업하는지에 따라 달라집니다. 두 환경에 대한 단계가 모두 제공됩니다.
참고
타사 NAS 디바이스에 대한 구성 지침을 제공하는 것은 이 문서의 범위를 벗어나지만 일반적으로 여기에 제공된 절차를 따르고, 비 Windows 파일 클러스터 또는 NAS 디바이스에 필요한 경우 조정해야 합니다.
1. 그룹 및 계정 프로비전
2. WinRM(Windows 원격 관리) 사용
3. 콘텐츠 공유를 프로비전
4. 로컬 관리자 그룹에 FileShareOwners 그룹을 추가하여 WinRM을 사용하도록 설정
5. 공유에 대한 액세스 제어 구성
1. 그룹 및 계정 프로비전
Active Directory에서 그룹 및 계정 프로비전
다음과 같은 Active Directory 글로벌 보안 그룹을 만듭니다.
FileShareOwners
FileShareUsers
서비스 계정으로 다음과 같은 Active Directory 계정을 만듭니다. 만들 계정은 다음과 같습니다.
FileShareOwner
FileShareUser
참고
보안 모범 사례로, 이러한 계정 및 모든 웹 역할의 사용자는 서로 고유하고 강력한 사용자 이름 및 암호가 있어야 합니다. 자세한 내용은 Windows Azure Pack: Web Sites Security Enhancements항목을 참조하세요.
FileShareOwner 및 FileShareUser 암호는 다음 조건으로 설정해야 합니다.
암호 사용 기간 제한 없음 사용
사용자가 암호를 변경할 수 없음 사용
다음 로그온할 때 반드시 암호 변경 사용 안 함
다음과 같이 그룹 멤버 자격에 계정을 추가합니다.
FileShareOwners 그룹에 FileShareOwner 추가
FileShareUsers 그룹에 FileShareUser 추가
작업 그룹에서 그룹 및 계정 프로비전
작업 그룹에서 net 및 WMIC 명령을 실행하여 그룹 및 계정을 프로비전합니다.
다음 명령을 실행하여 FileShareOwner 및 FileShareUser 계정을 만듭니다. 암호를 사용자 고유의 값으로 바꿉 <있습니다.>
net user FileShareOwner <password> /add /expires:never /passwordchg:no net user FileShareUser <password> /add /expires:never /passwordchg:no
다음 WMIC 명령을 실행하여 방금 만든 계정의 암호를 만료되지 않도록 설정합니다.
WMIC USERACCOUNT WHERE "Name='FileShareOwner'" SET PasswordExpires=FALSE WMIC USERACCOUNT WHERE "Name='FileShareUser'" SET PasswordExpires=FALSE
로컬 그룹 FileShareUsers 및 FileShareOwners를 만들고 첫 번째 단계의 계정을 그룹에 추가합니다.
net localgroup FileShareUsers /add net localgroup FileShareUsers FileShareUser /add net localgroup FileShareOwners /add net localgroup FileShareOwners FileShareOwner /add
2. WinRM(Windows 원격 관리) 사용
파일 서버 역할 또는 클러스터를 사용 중인 경우 Windows 파일 서버 클러스터의 각 노드에서 관리자 권한 명령 프롬프트를 통해 다음 명령을 실행하여 WinRM을 구성합니다.
powershell.exe Enable-PSRemoting –Force
winrm.cmd set winrm/config/winrs @{MaxConcurrentUsers="10";MaxShellsPerUser="50";MaxProcessesPerShell="5000";IdleTimeout="10000"}
netsh advfirewall firewall set rule name="Windows Remote Management (HTTP-In)" new remoteip=any
%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Infrastructure /all
경고
배치 파일에서 위의 명령을 실행하지 마세요. 이렇게 하면 winrm.cmd 스크립트가 완료된 후 배치 파일이 중간에 종료됩니다.
필요에 따라 Server Core가 아닌 Windows에서 FSRM(파일 서버 리소스 관리자) 사용자 인터페이스 사용
Windows Server용 Server Core에 설치하지 않는 경우 필요에 따라 FSRM(파일 서버 리소스 관리자)에 대한 사용자 인터페이스를 사용하도록 설정할 수 있습니다.
참고
FSRM 사용자 인터페이스는 필수 사항이 아니며, Windows용 Server Core에 설치할 수 없습니다.
FSRM 사용자 인터페이스를 사용하도록 설정하려면 관리자 권한 명령 프롬프트에서 다음 명령을 실행 합니다.
%windir%\system32\dism.exe /online /enable-feature /featurename:FSRM-Management /all
3. 콘텐츠 공유를 프로비전
콘텐츠 공유에 테넌트 웹 사이트 콘텐츠가 포함되어 있습니다.
단일 파일 서버에 콘텐츠 공유를 프로비전하는 절차는 Active Directory 및 작업 그룹 환경에서 모두 동일하지만 Active Directory의 장애 조치(failover) 클러스터에서는 다릅니다.
단일 파일 서버에 콘텐츠 공유를 프로비전(AD 또는 작업 그룹)
단일 파일 서버에서 관리자 권한 명령 프롬프트를 통해 다음 명령을 실행합니다. C:\WebSites> 값을< 사용자 환경의 해당 경로로 바꿉니다.
set WEBSITES_SHARE=WebSites
set WEBSITES_FOLDER=<C:\WebSites>
md %WEBSITES_FOLDER%
net share %WEBSITES_SHARE% /delete
net share %WEBSITES_SHARE%=%WEBSITES_FOLDER% /grant:Everyone,full
장애 조치(failover) 클러스터(Active Directory)에서 콘텐츠 공유를 프로비전
장애 조치(failover) 클러스터에서 다음과 같은 UNC 클러스터 리소스를 만듭니다.
- 웹 사이트
4. 로컬 관리자 그룹에 FileShareOwners 그룹을 추가하여 WinRM을 사용하도록 설정
Windows 원격 관리가 제대로 작동하려면 로컬 관리자 그룹에 FileShareOwners 그룹을 추가해야 합니다.
Active Directory
파일 서버 또는 모든 파일 서버 장애 조치(failover) 클러스터 노드에서 관리자 권한 명령 프롬프트를 통해 다음 명령을 실행합니다. 도메인> 값을< 사용할 도메인 이름으로 바꿉습니다.
set DOMAIN=<DOMAIN>
net localgroup Administrators %DOMAIN%\FileShareOwners /add
작업 그룹
파일 서버에서 관리자 권한 명령 프롬프트를 통해 다음 명령을 실행합니다.
net localgroup Administrators FileShareOwners /add
5. 공유에 대한 액세스 제어 구성
파일 서버 또는 현재 클러스터 리소스 소유자인 파일 서버 장애 조치(failover) 클러스터 노드에서 관리자 권한 명령 프롬프트를 통해 다음 명령을 실행합니다. 기울임꼴로 표시된 값을 사용자 환경의 특정 값으로 바꿉니다.
Active Directory
set DOMAIN=<DOMAIN>
set WEBSITES_FOLDER=<C:\WebSites>
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant %DOMAIN%\FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)
작업 그룹
set WEBSITES_FOLDER=<C:\WebSites>
icacls %WEBSITES_FOLDER% /reset
icacls %WEBSITES_FOLDER% /grant Administrators:(OI)(CI)(F)
icacls %WEBSITES_FOLDER% /grant FileShareOwners:(OI)(CI)(M)
icacls %WEBSITES_FOLDER% /inheritance:r
icacls %WEBSITES_FOLDER% /grant FileShareUsers:(CI)(S,X,RA)
icacls %WEBSITES_FOLDER% /grant *S-1-1-0:(OI)(CI)(IO)(RA,REA,RD)