Active Directory - 2. ADDS + Domain Contorller 설치

Windows Server는 크게 3가지의 유형으로 나뉩니다.

1. Standalone Server

 1.1. Only Local Logon만 가능

 1.2. Windows Server이 기본적인 유형

 1.3. 상호 협업이 불가능함으로 Windows Server의 모든 기능을 활용할 수 없다.

 

2. Member Server

 2.1. Local Logon과 Domain Logon 모두 가능

 2.2. Domain Controller에 가입(Join)한 Server

 2.3. DC의 자원(사용자, 그룹, 컴퓨터 개체등)을 가져다 쓰기 위해 사용

 2.4. 대부분의 App을 이 Member Server에 설치해서 사용함. 

 

3. Domain Controller

 3.1. Domain 환경을 제어하는 Server

 3.2. 오로지 Domain Logon만 가능

 3.3. 보안상 관리자 권한이 없는 일반사용자는 접근 불가

 

 

ADDS와 Domain Controller를 만들기 위해서 반드시 사전에 Domain을을 확보 또는 결정해 놓으세요.

 

4. ADDS 설치

 4.1. Domain Controller를 설치하기 전 반드시 ADDS를 먼저 설치하셔야 합니다.

 4.2. 우측 상단 "관리" -> "역할 및 기능 추가" 클릭

역할 및 기능 추가

 4.3. 시작하기 전

  4.3.1. 고정 IP 주소 설정.

  4.3.2. 강력한 패스워드 등이 설정되어 있는지 확인

  4.3.3. 경우에 따라 최신 업데이트 설치가 필요한 경우 존재

시작 전

 4.4. 설치 유형

  4.4.1. 역할 or 기능 기반 설치

설치 유형

 4.5. 서버 선택

  4.5.1. 설치를 진행할 서버 선택 

  4.5.2. 해당 서버에 다른 서버가 연결되어 있지 않다면 해당 서버 선택 됨.

서버 선택

 4.6. 서버 역할

  4.6.1. 20가지 이상의 역할 중 필요 역할 선택

  4.6.2. 세번째 항목의 Active Directory 도메인 서비스 체크박스 체크

서버 역할

 4.7. 기능

  4.7.1. 필요한 추가 기능이 없음으로 그냥 "다음" 

기능

 4.8. AD DS

  4.8.1. 처음 설치이니 AD DS에 대한 소개 내용 흩어보기.

AD DS 설명

 4.9. 확인

  4.9.1. 모든 사항 확인 후 "설치" 클릭하면 설치가 진행 됩니다.

  4.9.2. 바로 이어서 .....

확인

 

5. Domain Controller

 5.1. ADDS  설치 후 DC로 승격시키기.

  5.1.1. ADDS 설치 후 결과 창 중앙의 "이 서버를 도메인 컨트롤러로 승격" 클릭

결과 : DC로 승격시키기

 5.2. 배포 구성 

  5.2.1. 항상 포리스트가 먼저 만들어 져야 한다는 점 잊지 마세요

  5.2.2. 가상 먼저 생성이 되는 도메인은 포리스트의 이름이며 포리스트 Root Domain일 됩니다.

  5.2.3. 한마디로 포리스트 전체를 아우르는 대빵 Domain 입니다.

  5.2.4. 따라서 해당 DC의 Administrator은 "Schema Admin, Enterprise Admin"을 추가로 갖습니다.

배포 구성

 5.3. 도메인 컨트롤러 옵션

  5.3.1. 포리스트가 먼저 만들어지기에 도메인은 포리스트와 최소 같은 기능수준이거나 높아야 합니다.

  5.3.2 기능 수준은 자기 자신을 포함한 하위 5개 버젼입니다.

  5.3.3. 이 말은 곧 W2k8 버젼의 DC를 별도의 절차없이 업그레이드만으로 W2k16 버젼으로 UP 가능의미

  5.3.4. 단 Schema등의 업데이트는 필요합니다.

  5.3.5. DNS의 경우 별도의 언급이 없는한 모든 Domain Controller에 설치합니다.

  5.3.6. GC의 경우 DC에서 자주 사용하는 개체의 사본(ID, Password)을 저장하기에 실제 인증은 GC가 담당

  5.3.7. 따라서 GC가 고장날 경우 일반 사용자는 Logon불가하고 Administrator만 Logon되는 현상이 발생

  5.3.8. 복제 트레픽을 아끼지 위해서 모든 DC는 GC 역할을 할 것을 Microsoft에서는 권장합니다.

  5.3.9. 모든 DC가 GC라면 DC끼리만 복제 해도 되기 때문에 GC의 복제 트레픽을 아낄 수 있습니다.

DC Option

 5.4. DNS 옵션

  5.4.1. 포리스트에 처음 만들어지는 DC이기에 부모 도메인이 없음으로 위임도 없음.

DNS 옵션

 5.5. 추가 옵션

  5.5.1. Windows Server는 아직도 Netbios를 더 중요시 합니다.

  5.5.2. 1차 or 2차 도메인 접미사를 떼어네고 Netbios 이름을 생성합니다.

추가 옵션

 5.6. 경로 

  5.6.1. ADDS도 DB로 구성이 됩니다. 단 별도의 콘솔(AD 사용자및 컴퓨터등)로만 접근가능합니다.

  5.6.2. DB와 LOG 파일은 별도의 Block Storage로 분리하는게 좋습니다.

  5.6.3. LOG 파일을 이용하여 DB 복구가 가능하기 때문입니다.

  5.6.4. SYSVOL폴더는 DC끼리 복제하는 폴더입니다. DC끼리 파일 공유가 필요할 경우 사용합니다.

경로

 5.7. Review

  5.7.1. 요약 정보를 보고 내용 확인

검토 옵션

 5.8. 필수 구성 요소 확인

  5.8.1. 빨간색 경고 메세지만 없으면 설치 가능합니다.

필수 구성 요소 확인

 5.9. 설치 완료 후 Logon

  5.9.1. DC로 승격이 완료되고 나면 자동으로 재부팅이 이루어지며 Logon화면이 나타납니다.

  5.9.2. DC는 Domain Logon만 가능합니다.

DC Logon

 5.10 설치 후 확인 - 1

  5.10.1. 서버 매니저 -> 좌측 상단 -> AD DS와 DNS 서비스 확인

  5.10.2. 속성 -> 도메인 :  설정도메인  확인 

설치 확인 - 1

 5.11. 설치 확인 - 2

  5.11.1. 사실 5.10. 보다 더 중요한것의 DNS의 정상 설치여부입니다.

  5.11.2. ADDS는 철저하게 DNS에 의존합니다. 이름 풀이등의 모든 과정이.

  5.11.3. 따라서 DNS의 안정화가 AD DS의 안정화에 큰 역할을 차지합니다.

  5.11.4. DC 승격후의 DNS는 아래와 같은 구조를 띄어야 합니다.

  5.11.5. 단 응용프로그램 디렉토리 파티션인 DomainDnsZones과 ForestDnsZones를 없어도 무방합니다.

설치 확인 - 2

6. 설치 후

 6.1. 설치 후 반드시 확인할 사항이 있습니다.

  6.1.1. IPv6의 DNS가 활성화 되기 때문에 nslookup 조회 시 약간의 문제(?)가 발생합니다.

  6.1.2. DNS조회의 우선 순서가 IPv6가 높기 때문에 이 부분을 수정해 주셔야 합니다.

 6.2. DNS 서버 설치 정상 여부 확인

  6.2.1. 반드시 아래 빨간 박스 항목처럼 생성이 되어야 DC 정상 동작합니다.

DNS 서버

 6.3. CMD

  6.3.1. cmd창에서 nslookup조회

  6.3.2. IPv6의 DNS로 조회됨.

IPv6

 6.4. IPv6 비활성화

  6.4.1. IPv6설정을 아래와 같이 "자동으로 DNS 서버 주소 받기"로 변경

IPv6 설정

 6.5. IPv4

  6.5.1. IPv4의 DNS 서버 설정 역시 "127.0.0.1"을 서버의 IP주소로 변경합니다.

  6.5.2. 물론 Loopback주소로도 조회는 문제가 없지만 나중에 DC끼리 복제 시 상황을 감안해서 수정합니다.

IPv4 설정

 6.6. cmd

  6.6.1. cmd창에서 nslookup 조회

  6.6.2. domain에 대한 정상 조회 여부 확인

nslookup

 

힘든 내용은 아니지만 조금 내용이 길었네요!

1. AD를 통한 인증

2. 그룹정책을 통한 Client관리는 Windows Server를 사용하는 이유입니다.

헌데 너무 막강해서 에게하실 필요는 없습니다.

그만큼 중요합니다.