목차
1. Windows Server 유형
2. ADDS 설치
3. Domain Controller 설정
4. Windows Server 설정
1. Windows Server 유형
1. Standalone
1.1. 기본 상태의 서버
1.2. 오로지 Local Logon만 가능
1.3. 상호 협업이 불가능함으로 Windows Server의 모든 기능을 활용할 수 없다.
2. Member Server
2.1. Standalone Server가 Domain에 가입한 상태
2.2. Domain Logon과 Local Logon 모두 가능
2.3. DC의 자원(user, group, Computer 등) 즉, 개체를 가져다 쓰기 위해서 사용
2.4. 대부분의 Application을 설치
2.5. DC에 설치시 사용자가 직접 Domain을 관리하는 서버에 접속하는 보안상의 허점을 방비
3. Domain Controller
3.1. ADDS(Active Directory Domain Service) 설치 후 Domain 관리
3.2. 오로지 Domain Logon만 가능
3.3. 보안상 관리자 권한이 없는 일반 사용자는 접근 불가
2. ADDS 설치
2.1. Domain Controller를 설치하기 전 ADDS를 먼저 설치해야 한다.
- 현재 10.0.0.1의 IP를 가진 Windows Server 2019에서 작업
- ADDS를 설치하기 위해 해당 서버 역할을 체크해야 한다.
- 설치가 완료된 후 해당 ADDS를 Domain Controller로 설정해야 한다.
3. Domain Controller 설정
- ADDS를 Domain Controller로 승격 시키는 작업을 해야한다.
- 가장 먼저 포리스트가 생성되어야 한다.
- 가장 먼저 생성되는 도메인은 생성되는 포리스트의 이름이며, 포리스트 Root Domain이 된다.
- 전체 포리스트의 최상위 Domain이다.
- 해당 DC의 Administrator는 "Schema Admin, Enterprise Admin"을 가지게 된다.
- 포리스트 기능 수준 =< 도메인 기능 수준
- 기능 수준은 자기 자신을 포함 하위 5개 버전이 있다.
-> Windows Server 2008 버전의 DC를 업그레이드만으로 Windows Server 2016 버전으로 업그레이드가 가능하다.
-> 단, Schema등의 업데이트는 필요하다.
- DNS의 경우 별도의 요구사항이 없는 한 모든 Domain Controller에 설치한다.
- GC의 경우 DC에서 자주 사용하는 개체의 사본(ID, Password)을 저장하기에 실제 인증은 GC가 담당한다.
-> GC가 고장날 경우 일반 사용자는 Logon이 불가능하고 Administrator만 Logon이 되는 현상이 발생한다.
- 복제 트래픽을 아끼기 위해서 모든 DC는 GC 역할을 할 것을 Microsoft에서는 권장한다.
- 모든 DC가 GC라면 DC끼리만 복제해도 되기 떄문에 GC의 복제 트래픽을 아낄 수 있다.
- 포리스트의 첫 DC이기 때문에 부모 도메인이 따로 없기 때문에 위임도 없다.
- Windows Server는 현재까지도 Netbios를 더 중요시 한다.
- 1차 or 2차 도메인 접미사를 떼어내고 Netbios 이름을 자동으로 생성한다.
- ADDS도 DB로 구성된다. 단, 별도의 콘솔(AD 사용자 및 컴퓨터 등)로만 접근이 가능하다.
- DB와 Log 파일은 별도의 Block Storage로 분리하는 것이 좋다.
-> Log 파일을 이용하여 DB 복구가 가능하기 때문이다.
- SYSVOL 폴더는 DC끼리 복제하는 폴더다. DC끼리 파일 공유가 필요할 경우 사용한다.
- 설정 요약 정보 확인
- 별도의 오류가 없다면 설치한다.
4. Windows Server 설정
- ADDS와 Domain Controller 설치가 완료된 후 마지막으로 Windows Server에서 확인 및 설정 할 것들이 있다.
- DC로 승격이 되고 재부팅이 된 이후 로그인 화면을 보게 되면 Domain Logon 상태인 것을 볼 수 있다.
- DC는 Domain Logon만 가능하다.
- 위 사진과 같이 AD DS와 DNS 서비스가 설치 된 것을 확인 할 수 있다.
- IPv6가 IPv4보다 DNS 조회의 우선 순위가 높다. 때문에 최초 IPv6의 DNS가 활성되어 nslookup 조회 시 문제가 발생한다.
- IPv4를 사용할 것이기 때문에 IPv6를 위와 같이 수정해준다.
- IPv4를 사용자 설정에 맞게, AD DS를 DNS서버로 설정한다.
- 항상 cmd에서 nslookup으로 AD DS의 DNS가 조회 되는지 확인한다.
- AD DS는 모든 과정이 DNS에 의존한다. 따라서 DNS의 안정화가 AD DS의 안정화에 큰 역할을 차지한다.
- DC 승격 이후 DNS는 위의 빨간색 네모 박스와 같은 구조를 반드시 생성해야 한다. 그래야 DC가 정상 작동한다.
(DomainDnsZones와 ForestDnsZones는 없어도 무방하다.)
- Window Server를 사용하는 이유
1. AD를 통한 인증
2. 그룹 정책을 통한 Client 관리
'Network > WindowsServer' 카테고리의 다른 글
| WindowsServer 2019 - AD (Member Server & Computer Account) (0) | 2022.04.27 |
|---|---|
| WindowsServer 2019 - AD (DC 수준 내리기 및 System 초기화) (0) | 2022.04.27 |
| WidowsServer2019 - AD(Active Directory) 개요 (0) | 2022.04.26 |
| Windows - DNS (/etc/hosts) (0) | 2022.04.07 |
| WindowsServer 2019 - Mail (0) | 2022.04.04 |