Active Directory 구성 실습_(1)

Active Directory 구성 실습_(1)

 

 

다른 네트워크 구성에서 실습해봐야 더 정확한 실습이 가능하지만,

여러 여건상 동일 네트워크 실습을 해보자.

W2k8-1 서버 > 1.0.0.1/24 babo.com

W2k8-2 서버 > 1.0.0.2/24 babo.com

W2k8-3 서버 > 1.0.0.3/24 busan.babo.com (자식 도메인)

W7-1 > 도메인 가입

총 4대의 가상머신을 준비한다!!

 

W2k8-1 서버의 역할은 포리스트 루트로,

첫번째 서버의 Domain Controller(DC)를 만드는 과정은 https://hy2on.tistory.com/43을 참고하자.

 

도메인 컨트롤러 추가

(W2k8-2 = W2k8-1의 쌍둥이 서버)

 

 

dcpromo >

기존 포리스트에 새 도메인이 아닌 기존 도메인에 도메인 컨트롤러 추가.

 

 

첫번째 서버에서 만들었던 포리스트 도메인 이름 적어주고

현재 도메인 관리자로 접속한 상태이므로 현재 로그온되어 있는 자격 증명 해주면 되는데,

만약 아니라면 대체 자격 증명으로 설정해주면 된다.

(현재 W2k8-2 서버는 앞서 Member Server 실습을 해보았기 때문에 도메인 관리자 로그인 상태이다.)

 

 

마찬가지로 DNS서버와 글로벌 카탈로그 둘 다 체크해준다.

 

 

 

 

원본 도메인 컨트롤러인 첫번째 서버 도메인 컨트롤러 이름을 선택해주고 다음.

 

 

Member Server가 아닌 첫번째 서버와 쌍둥이인 Domain Controller로 만들어주었으니

로컬 로그인이 안되고 도메인 로그인만 가능하다.

 

 

잘 만들어졌는지 확인하려면 DNS의 정방향 조회 영역에

위와 같이 만들어졌는지 보면 된다.

DomainDnsZones와 ForestDnsZones는 만약 안만들어졌어도 나중에 생기지만

그 외의 것들이 없다면 잘못 만들어진 것이다.

 

 

첫번째 서버와 두번째 서버는 쌍둥이이기 때문에 첫번째 서버에서 만든 사용자 계정도

두번째 서버에서 조회 가능하다.

 

자식 도메인

(W2k8-3)

 

자식 도메인 만드는 조건

1. 지역에 관리자가 존재하고

2. 물리적인 보안을 담보할 수 있으며 (출입 통제 시스템, 접근 제어 시스템)

도난 및 분실의 우려가 없는 경우 -> 자식 도메인에는 사용자 계정 등의 중요 정보 존재

3. 부모 도메인이 존재하는 경우에 만들 수 있다.

ex. 서울 본사 - 부산의 대규모 지사

ex. 싱가폴 아시아 태평양 본사 - 서울 지사

 

자식 도메인의 DNS는 1.0.0.1 또는 1.0.0.2를 바라봐야 한다.

dcpromo >

기존 포리스트에 새 도메인 만들기 선택.

밑에 체크박스까지 선택해주면 자식 도메인이 아닌 아예 새로운 도메인 트리 루트를 만드는 것이다.

 

현재 로컬 관리자로 접속되어 있기 때문에 대체 자격 증명을 선택하여

도메인 관리자의 암호를 입력해준다.

 

부모 도메인은 옆에 [찾아보기] 해줘도 되고, 직접 적어줘도 무방하다.

자식 도메인 이름은 자신이 마음에 드는 것 아무거나 입력.

다음을 클릭하면 NetBIOS는 알아서 지정된다.

 

자식 도메인 역시 DNS와 글로벌 카탈로그는 필수 선택.

 

W2k8-1 서버가 원본 도메인 컨트롤러, W2k8-2 서버는 쌍둥이이므로 W2k8-1 선택 후 다음.

 

자식 도메인이 잘 만들어졌다면 로그인 화면에 BUSAN\ 도메인명이 보일 것이다.

 

첫번째 서버의 Active Directory 도메인 및 트러스트 > 도메인의 속성을 보면

세번째 서버가 자식 도메인으로 잘 만들어져 있는 것 확인 가능하다.

 

부모와 자식 간에 도메인 변경을 자유롭게 하기 위해서는 서로의 DNS를 보조 영역으로 가지고 있어야 한다.

우선 첫번째 서버에 보조 영역을 추가한다.

 

자식 도메인 서버의 DNS를 가지고 올 것이므로 영역 이름은 자식과 동일하게 맞춰준다.

 

마스터 서버는 자식 도메인 서버인 1.0.0.3 W2k8-3

 

마스터 서버인 세번째 서버의 DNS에서 첫번째 서버로 영역 전송을 해준다.

 

그 다음 첫번째 서버에서, 영역을 받아오기 위해 '마스터에서 전송' 을 클릭해준다.

 

새로고침 후,

자식 도메인 서버의 DNS를 잘 받아온 것 볼 수 있다.

 

마찬가지 방법으로 자식 도메인 서버도 첫번째 서버의 DNS를 보조 영역으로 추가해준다.

 

서로의 DNS를 보조 영역으로 가지고 있기 때문에 첫번째 서버의 DNS가 127.0.0.1(자기 자신)을 바라봐도

nslookup으로 확인해보면 정확히 알려준다.

 

테스트를 위해 W7-1 서버를 babo.com의 멤버서버로 만들어보자.

컴퓨터 속성의 하단에 설정 변경.

 

 

'자세히' 클릭 후 아래 사진과 같이 [이 컴퓨터의 주 DNS 접미사] 에 가입할 도메인을 적어주고,

소속 그룹도 도메인으로 바꿔준다.

 

 

도메인에 가입하려면 권한이 필요하다.

도메인 관리자의 암호 입력하고 확인.

 

잘 가입이 되었다면 이러한 메시지 창이 뜬다.

 

첫번째 서버의 Active Directory 사용자 및 컴퓨터 > babo.com > Computers

W7-1서버의 컴퓨터 계정이 만들어져 있다.

 

도메인에 가입을 했으니 로컬과 도메인 모두 접속이 가능하고,

도메인 관리자가 아닌 일반 사용자로도 접속이 가능하다.

 

하지만 일반 사용자니까 사용자 계정 설정과 같은 시스템의 중요 설정에는 권한이 없어서

이러한 창이 뜨며 권한을 물어본다.

 

이번에는 자식 도메인 서버에 테스트용 계정을 생성해보자.

 

W7-1은 부모 도메인의 Member Server이므로 babo.com(부모 도메인)밖에 알지 못한다.

만약 busan\bb (자식 도메인 서버의 계정)으로 로그인하려면 자식 도메인 서버가 W7-1의

컴퓨터 계정을 가지고 있어야 하는데 자식 도메인에 가입한게 아니므로 당연히 없다.

 

하지만 부모 자식간엔 상호 트러스트 관계이기 때문에 부모가 대신 인증을 해주어 접속이 가능하다.

 

첫번째 서버에 공유폴더를 하나 생성해보자.

 

모든 사용자에게 변경 및 읽기 권한을 주고

 

그리고 busan\bb 계정에게 수정 권한까지 모두 부여한다.

첫번째 서버가 부모이기 때문에 자식 도메인까지 모두 조회 가능하다.

W7-1에서 busan\bb 계정으로 접속 후 \\1.0.0.1 공유폴더에 접속을 해보면

쓰기는 물론, 변경과 삭제까지 모두 가능한 것을 볼 수 있다.

 

마지막으로, 자식 도메인 서버에서 부모 도메인으로 연결을 할 수 있다.

Active Directory 사용자 및 컴퓨터에서 도메인 변경을 클릭 후 부모 도메인으로 변경하면 된다.

 

도메인 변경이 잘 되는 것은 DNS 보조 영역을 갖고있기 때문이다.

따라서 반드시 상대방의 DNS를 보조 영역으로 가지고 있는 것이 좋다.

 

변경은 잘 되지만 자식은 부모에 대해 권한이 없기 때문에 일반 관리밖에 안되고,

사용자 계정 추가와 같은 시스템의 중요 설정은 권한이 없어서 아예 목록에 뜨지 않는다.