Network/WindowsServer

WindowsServer 2019 - AD (RODC(Read Only Domain Controller) 생성 및 확인)

잇(IT) 2022. 4. 29. 14:01

목차

1. RODC(Read Only Domain Controller)

2. RODC 설치 (사용자 생성)

   2.1 RODC DC로 확인

   2.2 RODC 전용 계정으로 확인


1. RODC(Read Only Domain Controller)

 

1.1 지역에 관리자 부재

1.2 물리적인 보안을 담보할 수 없을 때

1.3 상위단에 쓰기 가능한 DC 존재

     -> 사용자 계정과 패스워드를 저장하지 않고 쓰기 가능한 DC에서 읽어오기 때문에 분실하거나 망가져도 문제가 발생하지 않는다.

 


2. RODC 설치 (사용자 생성)

 

- RODC를 설치하기 이전 RODC 전용 사용자를 미리 생성한다.(RODC 설치 중간에 사용자를 추가해야 하기 때문이다.)

 

- 자세한 설치 사항은 이전 포스팅들을 참고한다.

 

- '기존 도메인에 도메인 컨트롤러를 추가합니다' 체크

- '도메인' 및 자격 증명 Forest Root Domain 지정

 

- '도메인 컨트롤러 옵션'에서 'RODC'를 체크해준다.

- site는 Forest Root DC에서 미리 생성한 site다.


Forest Root DC에서 작업

- Forest Root DC에서 RODC 전용 사용자를 생성해준다.


다시 RODC 설치 화면

- '위임된 관리자 계정'과 'RODC로 암호를 복제하도록 허용된 계정'에 Forest Root DC에서 생성한 RODC 전용 사용자를 추가해준다.

 

- '추가 복제 옵션 지정'은 DC가 여러개가 아니라면 '모든 도메인 컨트롤러'를 사용해도 무방하고 직접 선택하여 지정해도 된다.

 

- RODC 설치를 마치게 되면 자동으로 재시작이 되고 다음과 같이 Domain Logon 화면이 나오게 된다.


2. RODC 확인

 

2.1 RODC DC로 확인

 

- RODC 설치가 완료된 다음 기존의 DC와 비교하여 RODC가 어떻게 다른지 확인해 볼 것이다.

 

- '도메인 컨트롤러 변경'을 통해 RODC가 설치된 DC를 선택하게 되면 선택한 도메인 컨트롤러가 읽기 전용이므로 쓰기 작업을 수행할 수 없습니다.'라는 경고 문구가 뜨게 된다.

- 즉, 읽기 전용이라는 말이다.

 

- RODC가 설치된 DC로 변경한 뒤 사용자를 생성하기 위해서 확인해보면 사용자를 추가 및 삭제할 수 있는 목록이 사라진 것을 확인 할 수 있다.

 

2.2 RODC 전용 계정으로 확인

 

- RODC를 사용하기 위해 만든 사용자 계정으로 로그인하여 확인해 볼 것이다.

 

- Forest Root DC에서 생성한 RODC 전용 사용자 계정으로 Logon 한다.

 

- 마찬가지로 RODC 전용 사용자 계정이기 때문에 사용자 추가 및 제거를 할 수 없는 것을 볼 수 있다.


​- RODC는 DC의 설정 변경은 불가능하고 확인만 가능하다.

728x90