* AD (active directory)
네트워크 상에 나눠진 자원을 중앙 관리자가 통합하여 관리할 수 있도록 하는 것.
* Directory service
분산된 네트워크 자원 정보를 중앙 저장소에 통합시켜 사용자가 중앙 저장소를 통해
네트워크 자원(사용자, 그룹계정, 프린터 등) 접근이 가능함.
위와같은 디렉터리 서비스를 윈도우즈 서버에 구현한게 ad이다.
* AD의 도메인 서비스 (active directory domain service. adds)
컴퓨터 및 사용자 등 정보를 네트워크 상에 저장하면 ad 도메인 서비스는 이런 것들을
관리자가 통합하여 관리할 수 있게함.
ad의 도메인 서비스를 사용하려면 dns 서버를 설치해야함.
* 도메인 (domain)
ad의 기본 단위. 본사나 지사가 하나의 도메인임.
본사나 지사는 관리를 위한 개념이고 관리를 하기 위한 큰 단위라고 보면 됨.
본사는 부모 도메인 그 아래 소속된 지사들은 자식 도메인이다.
* 트리
트리는 도메인의 집합. 본사와 지사인 부모와 자식 도메인을 하나로 묶은것을
트리라고함.
* 포리스트
우리회사가 트리라면 다른 회사와 제휴를 맺게되면 이게 포리스트 구조.
이러한 트리가 두 개 이상으로 묶이면 포리스트가 된다.
크기는 도메인 < 트리 < 포리스트이다.
* 사이트
도메인은 논리적.
사이트는 물리적.
본사와 지사가 같은 도메인으로 묶여있지만 거리상 문제로
별도의 사이트로 구성됨.
c포리스트
a회사 - x본사 - 아래 y지사, z지사 (도메인 aaa.com)
b회사 - bb본사 - 아래 cc지사 (도메인 bbb.com)
a회사는 x본사와 y지사, z지사가 모두 도메인이 aaa.com으로 같다.
하지만 거리상 문제로 3개의 사이트로 구성된 것이다.
* 트러스트
도메인, 포리스트 사이에 신뢰할 지 여부에 대한 관계임.
동일한 포리스트 안에 도메인들은 양방향 전이 트러스트.
도메인끼리 서로 신뢰함.
한 쪽만 신뢰하는 단방향 전이 트러스트도 있음.
아니면 포리스트에서 두 개 이상 트리 구성 시에 관계가 멀리있으면
바로가기 트러스트도 가능함. (사용 안해도 무방)
* 조직 구성 단위 (OU organizational unit)
도메인 안에서 세부적인 단위로 나누는 것을 말함.
본사 안에 부서로 나눈다면 이 부서를 조직 구성 단위라함
(실무에선 부서로 나누면 안됨)
* 도메인 컨트롤러
로그인, 이용권한, 신규 사용자 등록, 암호변경 등 처리하는 서버 컴퓨터를 도메인 컨트롤러라함.
AD 구성할 때 도메인에 하나 이상의 DC를 설치해야함.
x본사, y지사, z지사가 각 도메인의 도메인 컨트롤러가 됨.
도메인 컨트롤러 전원 끈 후에 AD 도메인 서비스 계속 운영하려면 하나 도메인에
2대 이상의 도메인 컨트롤러 설치해야함. (이중화)
* 읽기전용 도메인 컨트롤러
도메인 컨트롤러는 수시로 관리자가 관리해야함. 읽기전용은 주 도메인 컨트롤러에서
ad 관련 데이터를 전송받아 저장하고 사용하지만 스스로 데이터 추가 변경은 안함.
소규모라 별도로 서버 관리자 두기 어려울 때, 주 메인 컨트롤러 부하 줄이기 위해 사용함.
* 글로벌 카탈로그
로그인 아이디나 비밀번호가 여기에 저장됨.
글로벌 카탈로그가 있는 서버가 글로벌 카탈로그 서버가 됨.
ad 구성 시에 가장 먼저 설치하는 도메인 컨트롤러가 글로벌 카탈로그 서버가 됨.
* ad 도메인 서비스
단일 트리 = 포리스트로 구성해보자
포리스트 안에 두 개의 도메인.
aaa.com x본사, y지사(y지사는 서버 관리자없이 x본사에서 관리함)
bbb.aaa.com z지사 (bbb.aaa.com 도메인에는 1개의 도메인 컨트롤러만 설치)
먼저 가상서버 하나 켜자.
aaa.com을 구성할 x본사 서버는 도메인 컨트롤러이며 글로벌 카탈로그 서버가 됨.
또한 dns 서버가 됨(첫번째 도메인 컨트롤러 서버는 무조건 글로벌 카탈로그 서버가됨)
(첫번째 dc서버를 읽기전용으로 구성할 수 없음)
z지사 bbb.aaa.com은 글로벌 카탈로그를 이미 위에서 구성해서 필요없음.
x본사 서버에서 가져오면 됨. 사람이 많거나 외부라 오래 걸리면 또 추가 구성해도 됨.
그럼 본사 접속없이도 분산되서 성능이 좋아짐.
bbb.aaa.com에 다른 도메인 컨트롤러를 추가로 설치하고 싶으면 dns 서버를 구성해야함.
y지사는 소규모고 관리자도 없어서 읽기전용 도메인 컨트롤러로 구성함.
글로벌 카탈로그 서버도 필요없음.
* ad 도메인 컨트롤러 설치 및 포리스트 구성
(aaa.com x본사와 도메인 멤버 하나 구성해보자)
서버 역할에서 ad 도메인 서비스 설치 (dns 서버가 설치되어 있어야함)
이 서버를 도메인 컨트롤러로 성격 -> 새 포리스트 추가
-> 루트 도메인이름 입력 (aaa.com)
-> 윈도우즈 서버만 사용할꺼면 windows server technical preview 선택
체크는 dns와 gc만. rodc는 첫 dc에 구성안됨
-> 넷바이오스는 그대로 입력 AAA
다 설치후에 재부팅하면 AAA\administraor로 보임.
administrator@aaa.com이 된 것임.
* netbios와 UPN 차이
넷 바이오스는 윈도우즈 환경의 네트워크에서 사용할 수 있는 이름이다.
UPN은 사용자명@도메인명이다. 넷바이오스로 접속안되면 upn으로 접속하자.
* x본사의 도메인 멤버 pc 구성
도메인 멤버의 dns 주소바꿈
내컴퓨터에서 소속그룹에 도메인을 aaa.com으로 바꿈.
administrator@aaa.com으로 로그인함.
재부팅하고 로그아웃 후에
administrator@aaa.com으로 접속할 수 있는지 테스트 해보자.
접속됐다면 이것은 도메인 멤버 pc의 관리자가 아닌
본사 x 서버의 관리자 아이디로 로그인한 것임.
ad 도메인에 가입된 컴퓨터는 어디서든지 로그온 가능함.
로컬서버를 보면 가입정보가 나옴.
로그아웃 후 다시 들어옴.
서버 관리자에서 도구 - ad 사용자 및 컴퓨터를 보면
도메인명 아래 computer에서 가입자들 확인 가능함.
* z지사 bbb.com을 구성한다.
dns 주소를 본사 메인 서버로 바꿔줌
똑같이 ad 서버 구성한다.
도메인 컨트롤러 승격 시킴.
기존 포리스트에 새 도메인 추가 체크
부모 도메인 aaa.com
새 도메인 bbb
자격증명 변경 눌러서 aaa.com 관리자 계정 로그인.
aaa.com 포리스트에 bbb.aaa.com 도메인을 만드는 것임.
z지사 서버는 도메인 컨트롤러가 됨.
똑같이 windows server technical preview 선택.
dns 서버 체크 끄기, gc만 설치.
넷바이오스 도메인 이름은 bbb0, 1, 2로 하는게 좋음.
본사 아래에 여러개 있을 수 있으므로
설치 된 후에 로그아웃하여 UPN 로그인.
administrator@bbb.aaa.com으로 접속.
뭐 동일한 접속이다.
서버 관리자에서 도구 - ad 도메인 및 트러스트를 보면
부모 도메인 aaa.com 아래 자식 도메인 bbb.aaa.com 확인 가능함.
* y지사 읽기 전용 도메인 컨트롤러 구성하기
dns 주소 변경.
서버 역할에서 ad서버 구성함.
도메인 컨트롤러로 승격.
자격증명에 administrator@aaa.com로 변경
기존 도메인에 도메인 컨트롤러를 추가한다.
GC빼고 RODC를 켜주자.
RODC 옵션에서는 관리자 계정을 선택해줘야함.
서버 관리자가 없으니 대신 관리할 사람 찾는거임..
본사 aaa\administrator로 하자.
본사 관리자로 UPN 접속해보자.
administrator@aaa.com으로 접속.
서버 관리자에서 도구 - ad 사용자 및 컴퓨터에 보면
domain controllers에서 읽기 전용인 컴퓨터를 확인하자.
ryancha9
https://blog.naver.com/7246lsy