'Active Directory 설치'에 해당되는 글 2건

  1. 2015.04.09 [12] DNS 복습, Active Directory 설치 및 사용자, 그룹 추가
  2. 2015.03.26 Active Directory 소개 및 설치

[12] DNS 복습, Active Directory 설치 및 사용자, 그룹 추가

|


- 2015.01.20




1. DNS 복습


[초기]


SIR-NIC라는 컴퓨터가 hosts.txt 파일을 가지고 있었다.

hosts.txt에는 모든 컴퓨터의 host name 과 ip address 정보가 저장됨.

Client는 FTP를 이용해 SRI-NIC에 접근하여 hosts.txt 파일을 다운로드.



[초기의 문제점]


hosts.txt 의 내용이 많을 수록 용량이 커져 업데이트가 늦고 네트워크 트래픽이 증가.

이름 중복으로 인한 호스트 이름 생성이 어려움.

=> 호스트 이름에 계층구조를 사용하여 분산된 데이터베이스 이용 : Domain Name System



[도메인 네임 스페이스]


Road Balancing을 위하여 분산화 된 데이터베이스를 만들었다.



[DNS 레코드의 종류]


SOA (Start of Authority) : DNS zone의 기본 이름 식별     ex) naver.com  - ip 정보 x

A (Host Record) : 호스트 이름이 정의된 주 영역

             ex) www  - 10.10.10.10    => www.naver.com

                   itbank - 20.20.20.20    => itbank.naver.com

CNAME (Alias Record) : 별칭     ex) banana (= itbank)   => itbank.naver.com - 20.20.20.20

             헌데 모두 A record로 등록하면 될 것을 CNAME을 구지 사용할까?

                  => Server의 IP가 바뀔 때의 사용(수정)의 편의성

MX (Mail Exchange Record) : E-mail 서버에서 이용, E-mail 주소 송수신 시 사용되는 도메인에 대한 ip 정보



[Root HInts]


DNS 루트 서버의 IP 주소를 포함하고 있는 파일

Root Server는 전 세게적으로 13개가 있다. (10개 : 미국, 2개 : 유럽, 1개 : 아시아)



[전달자]


외부 DNS 이름에 대한 DNS 쿼리를 외부 DNS 서버에 전달.

즉, 내가 구축한 DNS 서버가 모를 때 질의하는 외부 DNS 서버

실무에서 많이 사용하진 않음



[조건부 전달자]


도메인 이름에 따라 쿼리를 전달

미리 지정한 특정 도메인에 대한 DNS 쿼리를 매핑시킨다.

내부망의 IP 주소를 보호하기 위해 구축하는 경우가 있음.



[실제 DNS 정보 질의]


ex) www.kanziw.com 질의

1) Client PC 의 hosts.txt 참조. 없으면

2) DNS 서버에 질의 -> DNS 서버의 hosts.txt 참조. 없으면

3) Root Server에 .com Server IP 질의

4) .com Server에 kanziw.com Server IP 질의

5) kanziw.com Server에 www.kanziw.com IP 질의

6) DNS Server가 알아낸 최종 IP를 Client PC에 전달



[DNS 질의 순서]


1) 기본 DNS

2) 전달자, 없으면 Root Hint 를 거쳐 질의

3) 보조 DNS

4) 보조 DNS 의 전달자





2. Active Directory


사내에서 보안정책, 사용자, 그룹을 관리하기 편하다.

1번의 계정 추가, 수정, 삭제 작업이 적용된다.




[Active Directory 설치]


▷ Server1 PC


서버 관리자 - 역할 추가 - Active Directory 도메인 서비스 - 필요 역할 추가 - 설치


시작 - dcpromo 검색(Active Directory 도메인 서비스 설치 마법사) - 고급 모드 사용 - 새 포리스트에 새 도메인 만들기

  - 포리스트 루트 도메인의 FQDN 입력 (ex. samadal.com) - 다음 - 포리스트 기능 수준 (2008 R2) - DNS 서버 체크

  - Directory 서비스 복원 모드 암호 설정 - 요약 정보 확인 해보고 다음 - 완료시 다시 시작 체크


서버관리자 - 역할 - DNS 서버에 보면 내가 만든 samadal.com 에 대한 DNS를 만들어져 있는 것을 확인할 수 있다.

이 때 ipv6 에 대한 DNS 정보는 삭제해도 된다.



[Active Directory Join]


▷ Client1 PC


Client1 PC 의 DNS를 AD 서버의 ip로 입력한다.

cmd 에서 nslookup 으로 samadal.com을 입력하면 AD 서버를 보여준다.

시작 - 컴퓨터 우클릭 - 속성 - 우측 하단의 설정변경 - 변경 - 도메인을 samadal.com 으로 변경 ( => Join 작업)

  - server1의 관리자 정보 입력 - 재시작



▷ Server1 PC


도메인에서 사용할 계정 생성

서버관리자 - 역할 - Active Directory 도메인 서비스 - Active Directory 사용자 및 컴퓨터 - samadal.com - Users

  - 우클릭 - 새로 만들기 - 사용자 - 성, 이름, 이니셜, 로그온 이름(ID) 입력 - 다음 - 암호 설정 - 비밀번호 변경 체크 해제



▷ Client1 PC


사용자 전환 - ID@samadal.com 및 비밀번호 입력하여 로그인 (samadalID 로도 로그인 가능)



▷ Server2 PC


Client1 PC 와 마찬가지로 Join 후 로그인



[Local 계정으로의 전환]


ex) server2 의 계정

로그인 시 계정 명에 server2administrator 으로 진행



[Tip]


1) AD 에서 각 계정의 홈 디렉터리는 각각 PC에 저장된다.

2) AD 관리 메뉴(서버관리자 - Active Directory 도메인)에 들어가면 Computers 안에 Join 된 PC를 확인할 수 있다.

    만약 컴퓨터를 삭제 하면 쫒아낼 수 있지만 재 가입이 안되며, 계정 사용 안 함을 이용하여 일시 정지 할 수 있다.




[ 액티브 디렉토리 도메인 서비스 문제]


1. Server1에 AD 도메인 서비스 역할 추가

 - dcpromo 실행하여 설치 진행 

 - 도메인은 itbank.com

 - DNS 서버 같이 설치

2. Server1에 itbank라는 그룹 생성(구성원 : test1)

3. Server1에 test1 이라는 사용자 추가 

4. Client1과 Server2 itbnak.com 이라는 도메인 합류 후

5. 로컬 로그인과 도메인 로그인 두가지 방법으로 로그인 시도

6. Server1에서 서버관리자에서 Server2 도메인 합류 제거 

7. Server2에서 도메인 로그인 다시 시도




And


Active Directory 소개 및 설치

|


1. Active Directory 란?

 

Active_Directory.pdf   (출처 : www.ex-em.com/web/product/md_download_file.php?no=59)

 

 


쉬운 나만의 언어로 고치자면 우리가 쓰는 Windows OS 를 중앙에서 관리하는 것이다.

아무나 컴퓨터를 쓰게 하는 것이 아니라 중앙에서 허락한 계정으로만 컴퓨터를 사용할 수 있으며

허락된 권한이 없는 행동에 대해서는 허용을 하지 않는다.


헌데 그 권한이란 것이 참으로 광범위하다.

USB를 사용 못하게 하는 것은 물론이고 새로운 프로그램의 설치도 막는다.

아니, 강제로 프로그램을 설치하게 할 수도 있다.

나아가 계정을 그룹으로 묶어 계정 로그인 시 특정 폴더를 드라이브로 마운트 시켜 웹하드화 시키도록 설정할 수도 있다.

 

 

 

2. Active Directory 설치

 

(WIndows Server 2008 R2 기준)

 

서버 관리자 - 역할 추가 - Active Directory 도메인 서비스 - 필요 역할 추가 - 설치


시작 - dcpromo (Active Directory 도메인 서비스 설치 마법사) - 고급 모드 사용 - 새 포리스트에 새 도메인 만들기

  - 포리스트 루트 도메인의 FQDN 입력 (ex. google.com) - 다음 - 포리스트 기능 수준 (2008 R2) - DNS 서버 체크

  - Directory 서비스 복원 모드 암호 설정 - 요약 정보 확인 해보고 다음 - 완료시 다시 시작 체크

 

재부팅 완료 후 서버관리자 - 역할 - DNS 서버에 보면 내가 만든 google.com 에 대한 DNS를 만들어져 있는 것을 확인할 수 있다.

이 때 ipv6 에 대한 DNS 정보는 삭제해도 된다.

 

 

 

3. Active Directory Join

 

Client Compuer가 윈도우 포맷 후 서버의 AD에서 만들어준 게정으로 AD에 접근하는 것을 Join 이라고 한다.

이 때, 계정 접속에 사용된 컴퓨터 또한 AD에 컴퓨터로 등록이 된다.

(Windows Home Version에선 Active Directory Join이 불가능하다.)


Join 하는 방법은 크게 2가지가 있다.

1) 개인이 중앙으로부터 받은 계정 정보를 갖고 Join 하는 방법

2) 관리자가 직접 컴퓨터를 Join 하는 방법

 

 

1) 개인 계정으로 Join


시스템(윈도우+Pause) - 설정 변경 - 네트워크 ID

이 후 내가 배정받은 ID 및 PW, AD의 도메인 이름 등을 입력하여 완료하면 된다.

PC 이름은 서버 관리자가 지정해 준 이름으로 하거나 개인 이름으로 하면 된다.

추 후 PC 이름을 변경할 시에는 AD에서 변경이 불가하고 해당 컴퓨터에서 이름 변경 설정을 통해 진행할 수 있다.

 


2) 관리자가 직접 Join

 

시스템(윈도우+Pause) - 설정 변경 - 변경

여기에서는 관리자의 계정 정보가 필요하나 설정이 간편하다.

 

 

And


prev | 1 | next