목차
1. Member Server
2. Domain Join
3. Local Logon VS Domain Logon
4. DC에서 Computer Account 삭제
1. Member Server
1.1. Standalone Server가 Domain에 가입한 상태
1.2. Domain Logon과 Local Logon 모두 가능
1.3. DC의 자원(user, group, Computer 등) 즉, 개체를 가져다 쓰기 위해서 사용
1.4. 대부분의 Application을 설치
1.5. DC에 설치시 사용자가 직접 Domain을 관리하는 서버에 접속하는 보안상의 허점을 방비
- DC는 중요한 정보들이 많기 때문에 사용자들의 Logon을 지양한다.
- App에 Logon하는 사용자들에게 DC 자원을 가져다 쓸 수 있도록 Member Server를 생성하여 App을 설치하여 사용한다.
- Member Server는 DC join이라는 표현으로도 사용한다.
(현재 AD DS와 DC 설치는 완료되어 있다고 가정한다.)
두번째 서버에서 작업한다.
2. Domain Join
2.1 두번째 서버에서 DC에 Join하기 위해 DNS 조회 확인을 한다.
- 두번째 서버의 DNS를 DC의 IP 주소로 지정한다.(AD DS는 DNS에 의존하기 때문이다.)
- DC의 DNS 조회시 해당 IP가 정상 출력하는지 확인한다.
- 시스템 속성 -> 컴퓨터 이름 -> 변경 -> 소속 그룹 -> DC DNS 작성 (IP를 작성할 수 없기 때문에 반드시 DNS를 생성해야 한다.) -> Domain Join
- 두번째 서버에서 Domain Join을 한다.
- DC의 DNS명과 함께 도메인 시작이라는 화면이 보이면 Domain join에 성공한 것이다.
DC에서 확인
3. Local Logon VS Domain Logon
- DC의 AD 사용자 및 컴퓨터에서 'Computers'를 확인해보면 위와 같이 두번째 서버 컴퓨터가 등록된 것을 확인 할 수 있다.
- 위에서 설명한 것과 같이 Member Server는 Domain Logon과 Local Logon 둘 다 가능하다.
- 우선 Local Logon을 한다.
- Local Administrator로 로그인 하여 찾을 위치를 DC로 하여 접근하게 되면 자격 증명을 요구하게 된다.
- Local Administrator는 DC에 관하여 아무런 권한이 없다.
DC에서 작업
- DC에서 계정을 하나 생성한다.
- Local Logon에서 로그아웃 한 다음으로 Domain Logon을 한다.
- Domain Logon의 경우 DC의 Administrator는 Domain Admins 그룹에 속해 있고 해당 그룹은 Local Administrator의 멤버이다.
- Local Administrator의 그룹 소속에 Domain Admins(DC의 Administrator가 속한 그룹)이 있기 때문에 DC 접근시 별도의 자격 증명을 요구하지 않는다.
- 만약 DC에서 생성한 사용자를 Local Administrators 그룹에 추가하게 되면 DC에서 생성한 사용자 a가 Member Serverd의 컴퓨터에서 Administrator의 권한을 가지게 된다.
4. DC에서 Computer Account 삭제
DC에서 작업
- DC에서 Computers에 속해있던 Member Server에 해당하는 컴퓨터를 삭제한다.
- Domain Logon을 시도하게 되면 다음과 같은 오류 메세지와 함께 Logon이 불가능 해진다.
-> DC에 현재 컴퓨터의 계정이 소속되어 있지 않기 때문이다.
- 하지만 Local Logon은 어디에도 소속되어 있지 않고 Standalone이기 때문에 Logon이 가능하다.
- 다시 DC에 Domain Join을 하려하면 이전에 한번 등록했었던 기록이 남아 DC 도메인 접속이 안되는 것을 볼 수 있다.
- Domain Join을 다시 하는 방법에는 두가지가 있다.
1. 작업 그룹을 WORKGROUP으로 설정했다가 다시 시작한 다음 다시 도메인 등록
-> 번거롭다
2. Netbios로 재가입
-> Windows는 아직 Netbios를 중요시 하기 때문에 Netbios를 사용하면 번거롭지 않게 다시 Domain Join을 할 수 있다.
- 위와 같이 Netbios명을 이용하여 Domain Join을 한다.
- DC의 AD 'Computers'에 다시 Member Server 컴퓨터가 등록된 것을 확인 할 수 있다.
- DC에 등록된 후 다시 Domain Logon이 가능하다.
- DC와 Member Server는 상호 보완 관계를 갖는다.
'Network > WindowsServer' 카테고리의 다른 글
| WindowsServer 2019 - AD (FSMO(Flexible Single Master Operation)) (0) | 2022.04.28 |
|---|---|
| WindowsServer 2019 - AD (Root Domain에 Domain Controller 추가) (0) | 2022.04.28 |
| WindowsServer 2019 - AD (DC 수준 내리기 및 System 초기화) (0) | 2022.04.27 |
| WindowsServer 2019 - AD (ADDS, Domain Contorller 설치) (0) | 2022.04.27 |
| WidowsServer2019 - AD(Active Directory) 개요 (0) | 2022.04.26 |