Active Directory - 14. RODC(Read Only Domain Controller) 만들기

Child DC의 경우 아래의 세가지 요건을 충족해야만 만들 수 있습니다. 물론 강제는 아닙니다만......

1. 지역에 ADDS 관리자 존재

2. 물리적 보안(접근통제 등(을 담보할 수 있을때

3. 상위단에 부모 DC가 있을 때 

입니다.

 

그러나 Read Only Domain Controller(이하 RODC)는 이런 제약에서 비교적 자유롭습니다.

1. 지역에 ADDS 관리자가 없어도

2. 물리적인 보안을 담보할 수 없어도 

3. 상위단에 쓰기 가능한 DC만 존재하면 생성할 수 있습니다.

왜냐 사용자 계정과 패스워드 저장하지 않고 쓰기가능한 DC에서 읽어오기 때문입니다.

즉 분실하거나 망실해도 문제가 없다는 점이 장점입니다.

 

자! 그럼 이제부터 RODC를 생성해 보도록 하겠습니다.

제가 좋아라 하는 전체 구성도 중 RODC 영역입니다.

전체 구성도

 

1. RODC 관리자 계정생성

2. RODC 설치

3. RODC Test 

순서로 진행하겠습니다.

 

 

 

1. RODC 관리자 계정생성

 1.1. 우선 Main DC에서 RODC의 관리자 계정을 생성하도록 하겠습니다.

  1.1.1. 말이 관리자지 드라이버 설치등의 권한 밖에 없습니다.

  1.1.2. 계정 생성등의 권한은 없으니 안심하시고 3. RODC Test를 확인하세요.

사용자 계정 생성

 1.2. 계정 생성

  1.2.1. Display name(전체이름) : ReadOnly_Test

  1.2.2. ID : readadmin 으로 계정 생성.

계정 생성

 1.3. 패스워드 입력

  1.3.1. 암호 : 임의의 패스워드 입력

  1.3.2. DC 이기 때문에 7글자 이상, 대문자 소문자 숫자 특수기호 4가지중 3가지 만족해야 합니다.

패스워드 생성

 1.4. Riew 정보

  1.4.1. 모든 설정에는 항상 요약 정보가 제공되니 확인하세요.

요약정보

 1.5. 계정 생성 확인

  1.5.1. 계정의 생성되었는지 꼭 확인하시기 바랍니다.

  1.5.2. ID가 아닌 Display name(전체이름)이 표시되니 유념하세요.

생성 계정 확인

 

 

지금부터는 RODC가 될 새로운 서버에서 작업하셔야 합니다.

2. RODC 설치

 2.1. ADDS 설치

  2.1.1. 이전 서버들과 마찬가지로 ADDS 설치 작업을 진행합니다. 내용은 생략합니다.

ADDS 설치

 2.2. Domain Controller로 승격시키지

  2.2.1. RODC도 DC임으로 ADDS설치후 DC로 승격시키는 작업을 수행합니다.

DC 승격

  2.2.2. 배포작업 : 기존 도메인에 도메인 컨트롤러 추가 

  2.2.3. 도메인 : 선택을 클릭해서 Main DC의 자격 증명을 입력합니다.

자격 증명

  2.2.4. Main DC의 도메인을 선택하면 저절로 자격증명까지 제공됩니다.

Main DC 선택

  2.2.5. 모두 완료된 화면입니다.

   2.2.5.1. 배포 작업 : 기본 도메인에 도메인 컨트롤러 추가

   2.2.5.2. 도메인 : Main Domain 지정

   2.2.5.3. 자격 증명 : Main Domain의 관리자

배포 구성

  2.2.6. 도메인 컨트롤러 옵션

   2.2.6.1. RODC 선택

RODC 선택

  2.2.7. RODC 옵션

   2.2.7.1. 위임된 관리자 계정 : Main Domain DC에 생성한 계정 찾기 

RODC 옵션

   2.2.7.2. 고급 -> 지금 찾기 -> Main Domain DC에 생성한 계정 선택

계정 찾기

 

   2.2.7.3. Main Domain DC 생성한 계정 선택 후 확인

계정 선택

   2.2.7.4. 위임된 관리자 계정 찾기가 완료된 RODC 구성 화면

RODC 옵션 완료

  2.2.8. 추가 옵션

   2.2.8.1. 복제 대상 선택 : Main Domain DC 선택

복제 옵션

  2.2.9. 경로 옵션

   2.2.9.1. DB, Log, SYSVOL 경로 : 기본값 그대로 사용

경로 옵션

  2.2.10. 검토 옵션

   2.2.10.1. 요약 정보 확인

검토 옵션

  2.2.11. 필수 구성 요소 확인

   2.2.11.1. 빨간색의 오류만 없으면 정상적으로 설치됩니다.

필수 구성 요소 확인

  2.2.12. 설치 중

설치

  2.2.13. 설치 완료 후 재부팅

설치 완료 후 재부팅

 

3.  RODC Test

 3.1. 권한 확인

  3.1.1. 구성 완료 후 Main Domin DC 계정으로 Logon

LogOn

  3.1.1. AD 사용자 및 컴퓨터 확인

   3.1.1.1. AD 사용자 및 컴퓨터 관리 콘솔에서 Logon된 Host 확인

   3.1.1.2. Main Domain DC Host

DC 확인

  3.1.2. DC 변경

   3.1.2.1. AD 사용자 및 컴퓨터 우클릭 -> 도메인 컨트롤러 변경 선택

DC 변경하기

   3.1.2.2. 변경 할 DC 선택

변경 DC 선택

   3.1.2.3. 변경할 DC선택 후 '쓰기 작업 수행 불가' 메세지 확인

읽기전용 경고 메세지 확인

   3.1.2.4. 읽기 전용 메세지와 쓰기 작업 권한 없음 확인

DC 전환 후 권한 확인

 3.2. Main Domain DC에 생성한 계정 Logon 여부 및 권한 확인

  3.2.1. 기존 Main Domain DC 관리자 계정 Logout

   3.2.1.1. 시작(윈도우 아이콘) -> 사용자 -> 로그아웃 

LogOut

  3.2.2. readadmin 계정으로 Logon 

   3.2.2.1. Main Domain DC에서 새로 생성한 readadmin 계정으로 Logon 시도

readadmin LogOn

  3.2.3. 서버관리자 DashBoard 확인

   3.2.3.1. 서버 관리자 DashBoard는 관리자 계정만 Open 가능 

서버 관리자

  3.2.4. DC 권한 확인

   3.2.4.1. DC에서 일반 관리 권한 확인

   3.2.4.2. 계정 생성등의 쓰기 작업 불가능

DC 권한 확인

드디어 DC 승격시 선택할 수 있는 옵션은 모두 실습을 해보았습니다.

하나하나의 과정과 권한 실습 방법은 반드시 기억해 두셔야 합니다.

또한 child domain과 RODC의 구성 요건 역시 각인시켜 두세요!

그럼 다음시간에는 Tree Root Domain 자원 접근 권한 실습을 진행해 보도록 하겠습니다.

 

Have a nice day!