Module 2 Active Directory Domain Services 소개

Module 2 Active Directory Domain Services 소개

개요 AD DS 개요 도메인컨트롤러개요 도메인컨트롤러설치

Lesson 1: AD DS 개요 AD DS 개요 AD DS 도메인 OU 란? AD DS 포리스트란? AD DS 스키마란?

AD DS 개요 AD DS 는물리적, 논리적구성요소로이루어져있음 물리적구성요소 데이터저장소 도메인컨트롤러 글로벌카탈로그서버 읽기전용도메인컨트롤러 (RODC) 논리적구성요소 파티션 스키마 도메인 도메인트리 포리스트 사이트 조직구성단위 (OUs)

AD DS 도메인 AD DS 는하나이상의도메인컨트롤러가필요함 모든도메인컨트롤러는지속적으로동기화되는도메인데이터베이스의복사본을가지고있음 도메인은사용자, 그룹, 컴퓨터가생성되는컨텍스트 복제바운더리 개체를구성하고관리하기위한관리센터 도메인의모든도메인컨트롤러는로그온을인증할수있음

OU 란? 조직구성단위 (Organizational Units) 개체 OUs 사용자 컴퓨터 도메인에서개체를그룹화하기위해사용되는컨테이너 OU 를만드는이유 : 관리권한을위임하기위해 그룹정책을적용하기위해

AD DS 포리스트란? Forest Root Domain Tree Root Domain adatum.com fabrikam.com atl.adatum.com

AD DS 스키마란? Active Directory 스키마는아래와같은속성과개체클래스를정의하여 AD DS 를위한청사진으로작동함 : 개체 objectsid samaccountname location manager department 클래스 User Group Computer Site

Lesson 2: 도메인컨트롤러개요 도메인컨트롤러란? 글로벌카탈로그란? AD DS 로그온프로세스 작업마스터란?

도메인컨트롤러란? 도메인컨트롤러 AD DS 역할을수행하는서버 : Active Directory 데이터베이스 (NTDS.DIT) 와 SYSVOL 을가지고있음 ( 도메인컨트롤러간복제됨 ) Kerberos KDC 서비스가인증을수행 다른 Active Directory 서비스 Best practices: 가용성 : 도메인에적어도 2 대이상 보안 : Server Core, RODC 와 BitLocker

글로벌카탈로그란? Schema Schema Configuration Domain A 글로벌카탈로그 : 포리스트의다른도메인을위한부분적인속성집합 (partial attribute set) 을호스트 포리스트전체에걸처객체를위한쿼리지원 Configuration Schema Domain A Domain B 글로벌카탈로그서버 Schema Configuration Domain B Configuration Domain B 다중도메인포리스트에서모든도메인의모든개체에대한검색가능한속성을포함하고있는분산데이터베이스 멀티도메인환경에서 Infrastructure master 는글로벌카탈로그서버역할을할수없음

AD DS 로그온프로세스 AD DS 로그온프로세스 : 1. DC1 에서사용자계정이인증됨 2. DC 는 Ticket Granting Ticket (TGT) 을클라이언트에게돌려줌 3. 클라이언트는 WKS1 에액세스하기위해 TGT 를사용 4. DC 는 WKS1 에액세스를허용 5. 클라이언트는 SVR1 에액세스하기위해 TGT 를사용 6. DC 는 SVR1 에액세스회신 WKS1 SVR1 DC1 필요한 SRV 레코드는 Net Logon 서비스를재시작하여다시등록할수있음

작업마스터란? 모든 multimaster 복제토폴로지에서특정 operation 은반드시 single master 여야함 AD DS 에서 single master operation 에사용되는다양한용어 Operations master ( 혹은 operations master roles) Single master roles Operations tokens FSMOs 역할 포리스트 Domain naming Schema 도메인 RID : 도메인의각도메인컨트롤러에 RID 의블록을할당 Infrastructure 멀티도메인포리스트에서 Infra master 는다른도메인의 SID 를조회 Infra master 역할은글로벌카탈로그서버를함께할수없음 Infra master 가 GC 로구성되면 Infra 서비스는 diable 됨 PDC Emulator

Lesson 3: 도메인컨트롤러설치 GUI를사용하여도메인컨트롤러설치 Windows Server 2012의 Server Core에도메인컨트롤러설치 도메인컨트롤러업그레이드 IFM을사용하여도메인컨트롤러설치

GUI 를사용하여도메인컨트롤러설치

Windows Server 2012 의 Server Core 에도메인컨트롤러설치 dcpromo /unattend: D:\answerfile.txt 명령을사영하여무인설치수행응답파일에대한예제는아래와같음 : [DCINSTALL] UserName=<The administrative account in the domain of the new domain controller> UserDomain=<The name of the domain of the new domain controller> Password=<The password for the UserName account> SiteName=<The name of the AD DS site in which this domain controller will reside> This site must be created in advance in the Dssites.msc snap-in. ReplicaOrNewDomain=replica ReplicaDomainDNSName=<The fully qualified domain name (FQDN) of the domain in which you want to add an additional domain controller> DatabasePath="<The path of a folder on a local volume>" LogPath="<The path of a folder on a local volume>" SYSVOLPath="<The path of a folder on a local volume>" InstallDNS=yes ConfirmGC=yes SafeModeAdminPassword=<The password for an offline administrator account> RebootOnCompletion=yes

도메인컨트롤러업그레이드 Windows Server 2012 로 AD DS 업그레이드를위한옵션 : In place upgrade (Windows Server 2008 혹은 Windows Server 2008 R2 에서 ) 이점 : 사전요구사항을확인할필요가없으며, 모든파일과프로그램은그대로있음. 이에대한추가작업이필요하지않음 주의할점 : 레거시파일과 DLL 을제거해야할수있음 도메인에새로운 Windows Server 2012 를설치하고이를 DC 로 promote 일반적으로많이사용되는시나리오 장점 : 기존파일이나설정이없는새로운서버제공 주의할점 : 사용자파일과프로필설정을마이그레이션하기위한추가작업이필요할수있음 두옵션모두 Windows Server 2012 수준의스키마가필요함 Adprep /domainprep /gpprep

IFM 을사용하여도메인컨트롤러설치