가상화된 사이버 보안 실험실 구축: Active Directory 및 DNS 통합

Source: Dev.to

왜 Identity Services가 중요한가

홈랩의 핵심 네트워킹 및 방화벽 레이어를 구축한 뒤, 다음 주요 단계는 실제 조직이 의존하는 Active Directory라는 정체성 기반을 만드는 것이었습니다. Windows Server 2022는 통합 DNS, 중앙 인증, 네트워크 전반에 걸친 장치 관리 기능을 갖춘 완전한 도메인 환경을 제공합니다.

이 단계는 특히 제가 Linux과 CLI에 익숙하고 개발 배경을 가지고 있음에도 불구하고 Windows 관리와 PowerShell 기술을 심화하고 싶었기 때문에 중요했습니다. CompTIA A+, Network+, Security+ 공부를 하면서 기업이 Active Directory에 얼마나 크게 의존하는지 알게 되었고, 실제 네트워크 안에서 직접 구축해 보는 것이 그 지식을 한층 더 끌어올려 줍니다. 홈랩의 이 부분을 완성하면 보안 모니터링, 탐지 엔지니어링, 공격 시뮬레이션 등 향후 프로젝트에 필요한 정체성 인프라를 갖춘 것이 됩니다.

랩 아키텍처 요약

구성을 시작하기 전에 현재 단계의 고수준 랩 설계를 다시 한 번 살펴봅니다.

현재 환경에 포함된 요소

• pfSense (라우터/방화벽)
• lab‑LAN 내부 네트워크
• Windows Server 2022 (도메인 컨트롤러 + DNS)
• Windows 11 엔드포인트
• Ubuntu Desktop 엔드포인트
• 외부 Kali ThinkPad (pfSense VPN을 통해 연결)

네트워킹이 완료되었으니, 정체성 레이어는 이 제어된 환경 위에 자리 잡게 됩니다.

Section 1 – Windows Server 2022 설치

Windows Server 2022는 Secure Boot와 TPM 요구 사항 때문에 약간의 추가 작업이 필요했습니다. 결국 virt-install 대신 Virt‑Manager를 사용해 오버라이드를 쉽게 했지만, 처음에 사용한 CLI 버전은 다음과 같습니다:

sudo virt-install \
  --name winserver2022 \
  --ram 8192 \
  --vcpus 4 \
  --disk path=/var/lib/libvirt/images/winserver2022.qcow2,format=qcow2,bus=virtio \
  --cdrom /var/lib/libvirt/boot/WindowsServer2022.iso \
  --network network=lab-lan,model=virtio \
  --os-variant win2k22 \
  --graphics spice \
  --boot uefi

Tip: VirtIO 드라이버 ISO를 첨부하세요; Windows는 설치 중 스토리지와 네트워크 장치를 감지하기 위해 이 드라이버가 필요합니다.

TPM 및 Secure Boot를 오버라이드하기 위해 몇 가지 불리언을 포함한 LabConfig 디렉터리도 만들었습니다.

정적 IP 할당 (AD 필수)

Active Directory는 다음 조건을 갖춘 서버에서 실행되어야 합니다:

• 정적 IP
• DNS가 자체를 가리키도록 설정
• 일관된 호스트명

Windows Server 내부 설정:

AD DNS는 도메인과 긴밀히 통합되므로 이 설정은 필수입니다.

Section 2 – 서버를 도메인 컨트롤러로 승격

AD DS 설치

1. Server Manager → Manage → Add Roles and Features 열기.
2. Active Directory Domain Services 를 선택하고 설치.
3. 설치가 끝나면 Promote this server to a domain controller 클릭.

도메인 만들기

1. Add a new forest 선택.
2. 루트 도메인: lab.local.
3. DSRM 비밀번호 설정.
4. 기본값을 그대로 두고 설치 후 재부팅.

재부팅이 완료되면 AD DS와 DNS가 자동으로 온라인됩니다.

AD 정상 동작 확인

PowerShell을 열고 다음을 실행:

Get-ADDomain
Get-ADForest

두 명령 모두 lab.local에 대한 정보를 반환하면 AD가 정상입니다.

Section 3 – 내부 및 외부 이름 해석을 위한 DNS 구성

DNS 포워딩이 중요한 이유

AD DNS는 내부 쿼리(예: lab.local)를 처리하지만 외부 쿼리도 받게 됩니다. 포워더가 없으면 외부 조회가 실패합니다.

pfSense에서 DNS 포워딩 설정하기

1. Services → DNS Resolver 로 이동.
2. Forwarding Mode 활성화.
3. 업스트림 DNS 서버 지정(예: 8.8.8.8).
4. 저장하고 적용.

Windows Server에서 DNS 포워딩 설정하기

1. DNS Manager 열기.
2. 서버를 우클릭 → Properties → Forwarders 선택.
3. 10.0.0.1 (pfSense LAN IP) 추가.

이렇게 하면 알 수 없는 쿼리가 pfSense로 전달되고, pfSense가 다시 업스트림 DNS 서버로 포워딩합니다.

테스트

nslookup lab.local
nslookup google.com

• lab.local 은 AD DNS를 통해 내부에서 해결됩니다.
• google.com 은 pfSense 포워더를 거쳐 외부에서 해결됩니다.

두 테스트 모두 성공해야 합니다.

Section 4 – 클라이언트를 도메인에 가입시키기

A. Windows 11을 도메인에 가입

필수 조건

• DNS가 10.0.0.25 (AD 서버)를 가리키고 있어야 함.
• AD 서버와 네트워크 연결 가능 (ping 10.0.0.25).
• 시스템 시계가 동기화돼 있어야 함 (Kerberos는 정확한 시간이 필요).

도메인 가입 절차

1. Settings → Accounts → Access work or school → Connect 로 이동.
2. Join this device to a local Active Directory domain 선택.
3. lab.local 입력.
4. 재부팅.

검증

whoami
nltest /dsgetdc:lab.local
ipconfig /all

• whoami 가 도메인 자격 증명을 표시해야 합니다.
• nltest 가 도메인 컨트롤러 정보를 반환해야 합니다.
• ipconfig /all 에 DNS 서버가 10.0.0.25 로 표시되어야 합니다.