22.04.27

 

   목차   

 

1. FSMO 옮기기(GUI 방식)

 - 옮기는 이유

 - RID, PDC, INFRA Master 옮기는 방법

 - Domain Naming Master 옮기는 방법

 - Schema Master 옮기는 방법

2. FSMO 옮기기(CLI 방식)

3. 자식 도메인 만들기

 - 자식 도메인 정리

 - 설치 방법 및 Domain Naming Master의 필요성

4. 부모 도메인과 자식 도메인 관계

5. 자식 도메인 초기화 방법

---

 

   FSMO 옮기기(GUI 방식)   

 

netdom query fsmo로 확인이 가능

    - 5개 마스터 모두 첫번째 서버에 있는 것을 확인

    - PDC가 없으면 바꾼게 확 티가남!
        - 사용자들 패스워드는 무지하게 바꾸므로 티가 매우남
    - 스키마 마스터 : exchange server 설치할때 정도뺴곤 없어 고장나도 잘모름
    - 도메인 네이밍 마스터 : 다 구성하면 굳이 쓸 이유가없어서 모름
    - RID 마스터 : 처음 만들때는 사용자를 대규모로 만들지만 나중에는 별로 안쓰임
    - 인프라 마스터 : 이름을 자주 안바꾸므로 고장나도 모름

 

   옮기는 이유   

 - FSMO를 가진 첫번째 서버가 장기간 수리를 보내야할 때 대체 서버에 보통 옮긴다

 - 포리스트, 도메인이 동일하므로 FSMO의 5개 마스터들을 모두 넘길 수 있다

 

   RID, PDC, INFRA Master 옮기는 법   

 

Active Directory 사용자 및 컴퓨터 - 우클릭 - 모든 작업 - 작업 마스터

 

현재 RID, PDC, INFRA의 작업 마스터가 어느 서버인지 확인

 

Active Directory 사용자 및 컴퓨터 - 우클릭 - 도메인 컨트롤러 변경

 

도메인 컨트롤러를 2번째 서버로 변경

    - FSMO를 가지고 있는 서버에 넘기고 싶은 서버로 접속

 

작업 마스터에서 변경 클릭

    - RID, PDC, INFRA 모두 진행

    - 작업 마스터의 역할을 2번째 서버로 넘기게 된다

 

netdom qurey fsmo로 확인

    - PDC, RID, INFRA 모두 2번째 서버로 넘어간 것을 확인

 

   Domain Naming Server 옮기는 법   

 

Active Directory 도메인 및 트러스트 - 우클릭 - DC 변경

 

DC를 2번째 서버로 변경

 

작업 마스터에서 2번째 서버로 변경

 

netdom query fsmo로 확인

    - 도메인 네이밍 마스터가 2번째 서버로 넘어간 것을 확인

 

   Schema Master 옮기는 법   

 

실행 - mmc(매니지먼트 콘솔) 접속

    - 파일에서 스냅인 추가/제거 클릭

 

스냅인에 AD 스키마가 없는 것을 확인

 

스키마 관리도구 레지스터리 등록

 

성공 메세지 확인

 

전과는 다르게 AD 스키마 관리도구가 생긴 것을 확인

    - AD 관련 스냅인 4개를 전부 추가

 

설정한 것을 다른 이름으로 바탕화면에 저장

 

해당 아이콘으로 바탕화면에 생성됨

 

추가된 것이 저장된 것을 확인

 

AD 스키마 우클릭 - AD DC 변경 클릭

 

지금까지와 똑같이 DC를 2번째 서버로 변경

 

작업 마스터에서 2번째 서버로 마스터를 변경

 

netdom query fsmo로 확인

    - 5개 마스터 모두 2번째 서버로 넘어간 것을 확인

 

 

   FSMO 옮기기(CLI 방식)   

 - transfer, seize 방식이 존재

    - seize는 강제 점유이기 때문에 이전 정보가 다 날아가므로 좋은 방식 x

 

CMD창에서 ntdsutil 명령어 사용

 

ntdsutil의 명령 중 Roles 사용

 

roles에서 사용할 수 있는 명령 확인

    - 먼저 Connections를 통해 연결 후, FSMO를 넘긴다

 

Connections에서 사용할 수 있는 명령 확인

    - Connect to server %s를 사용해 서버 이름을 통해 연결 시도

 

다시 1번째 서버에 넘겨주기 위해 첫번째 서버의 서버 이름을 통해 연결

 

한 단계 위에서 RID Master 넘기기

 

RID 마스터를 넘기는지 확인 메세지 확인

 

RID 마스터가 1번째 서버로 넘어간 것을 확인

 

PDC, INFRA도 transfer을 사용하여 1번째 서버로 넘김

 

seize를 통해 naming master을 1번째 서버로 넘김

    - seize를 사용하여도 transfer 방식으로 적용되는 것을 확인

 

schema master 또한 traansfer 방식으로 1번째 서버로 넘김

 

netdom query fsmo로 확인

    - 모두 다 1번째 서버로 넘어간 것을 확인

 

 

   자식 도메인 만들기   

 

구성도

    - 오늘은 어제 만들었던 쌍둥이 DC 아래 자식 도메인을 만들어 볼께요!

 

   자식 도메인 정리   

 - 지역에 관리자가 존재할 때 사용
 - 물리적인 보안을 담보할 수 있을 때 사용
    - 즉, 전산실 같은 것들이 존재할 때
 - 상위단에 부모 도메인이 존재
    - 주로 큰 지사에 많이 적용되어있음

 

   Domain Naming Master의 필요성   

 

테스트를 위해 도메인 네이밍 마스터만 2번째 서버로 넘겨준다

 

자식 도메인으로 사용할 3번째 서버에서 ADDS 설치 진행

    - 기존 포리스트가 존재하므로 2번째 배포작업 선택

        - 자식 도메인은 도메인을 공유하긴 하나 새로운 도메인이다

    - 도메인 유형 선택 및 부모 도메인, 새 도메인 이름 설정

    - 포리스트의 루트 도메인 컨트롤러로 자격 증명 제공해야 설치가 가능

 

도메인 네이밍 마스터가 없어 설치가 진행이 안되는 것을 확인

 

   설치 방법 및 테스트   

 - 다시 Domain Naming Master 가져온 후, 설치 진행

 

DC 옵션 설정

    - 무조건 DNS 서버는 설치

    - GC도 복제 트래픽을 줄이기 위해 설치

 

부모 도메인이 존재 하기 때문에 DNS 위임이 가능한 것을 확인

    - 원할한 통신이 가능해지기 위해 DNS 위임을 진행

 

NetBIOS 이름 확인

 

설치 진행

 

설치 완료 후, AD에의 DNS에서 busan이 생긴 것을 확인

 

자식 도메인 로그인

 

부모와 자식 도메인간 원활한 통신을 위해 영역 전송 허용 진행

 

자식 도메인을 보조 영역에 추가

 

자식 도메인에서도 부모 도메인에 영역 전송 허용

 

부모 도메인을 보조 영역으로 설정

 

W11-1에서 DNS 서버를 3번째 서버(자식 도메인)의 DNS 서버로 변경

 

W11-1을 자식 도메인에 가입

 

세번째 서버에서 W11-1이 가입된 것을 확인

 

세번째 서버에서 사용자 생성

 

생성한 사용자인 aa로 접속이 가능해진다

 

 

   부모 도메인과 자식 도메인 관계   

 

부모와 자식은 전이 트러스트 관계 확인

 

W11-1의 DNS을 부모 도메인(1번째 서버)의 DNS 서버로 변경

    - 여기서 10.0.0.1(부모)에 10.0.0.3인 자식이 Login이 가능

    - 예를 들어, 부산 DC가 서울 DC에 출장을 와서 서울에 접속하는 경우

    - DNS가 10.0.0.1로 설정 되어있는 PC에 접속하게 되면 접속이 가능하다는 것

 

임의의 공유폴더 생성하여 자식 도메인의 사용자인 aa에게 권한 부여

 

자식 도메인에 가입되어있는 W11-1에서 부모 도메인에서 공유한 폴더에서 모든 권한 행사 가능

 

부모 도메인에서 자식 도메인으로 변경

 

부모 도메인에서 자식 도메인으로 변경

 

부모 도메인에서 자식 도메인에 사용자 생성도 가능

    - 부모는 자식에 대한 모든 권한을 가지고 있어 계정 생성이 가능

 

자식 도메인에서 부모 도메인으로 도메인 변경

    - 자식 도메인은 부모 도메인에 대해 일반 관리작업만 가능하다

 

 

   자식 도메인 초기화 방법   

 

관리 - 역할 및 기능 제거 - ADDS 제거 진행

    - 먼저 도메인 컨트롤러 수준을 내린 후 진행

 

AD의 도메인에도 자식 도메인이 추가된 것을 확인

 

자식 도메인이긴 하나 하나의 도메인 이므로 마지막 DC이다

    - Root DC의 Administrator로 자격증명 변경

        - 부산의 Administrator로는 AD에 존재하는 부산에 관련된 것들을 지울 수 없다

            - Domain, Site, TCP, Forestdnszone 등

            - 이런 것들이 메타 데이터이다

            - 강제 제거를 진행하면 메타데이터들을 수동 삭제해야함

                - 내일 포스팅때 다룰께요!

 

자식 도메인의 Administrator 권한 확인

    - Root DC의 Administrator와 비교

 

자격 증명을 Root DC의 Administrator로 변경

    - 제거 옵션을 모두 선택해야 제거 진행된다

    - Administrator라고 다 똑같은 Administrator가 아닌 것을 기억하자!

 

수준 내리기 진행

 

자식 도메인으로 사용하던 세번째 서버에 DNS에 zone이 존재한다면 삭제

 

ADDS, DNS 서버 삭제 진행

 

DNS 접미사 삭제

 

AD의 DNS에서 busan이 사라진 것을 확인

 

TCP에서도 사라진 것을 확인

 

Site에서도 NTDS Setting이 사라진 것을 확인

    - 초기화 전에는 서버 삭제가 안되었지만, 지금은 삭제가 가능

 

부모 도메인 밑에 자식 도메인이 사라진 것을 확인

    - 초기화 이후, 다시 똑같은 이름으로 만들어도 문제가 없어야 초기화가 잘된 것이다

    - 연습 후, 다시 자식 도메인 생성 진행