[Windows Server 2016] Active Directory 구현

※잘못된 내용과 오타가 있다면 덧글로 피드백주시면 감사하겠습니다.※

이 포스트는 '뇌를 자극하는 Windows Server 2012 R2' 한빛미디어 출판사의 책으로 공부한 내용을 정리한 것입니다.

 

 

목차

 

1. Active Directory 개요

 

2. Active Directory 용어

 

3. Active Directory 도메인 서비스 구현

 

4. Active Directory 관리 설정

 

 

 

 

 

 

3. Active Directory 도메인 서비스 구현

 

[그림 1]실습에서 구현할 AD DS 환경

 

 우선 kjy 주식회사는 단일 트리이므로 트리=포리스트로 보시면 됩니다. 포리스트 안에 두 개의 도메인으로 구성할 게획인데, 서울 본사를 중심으로 하는 kjy.com 부모 도메인과 부산 지사를 중심으로 하는 second.kjy.com 자식 도메인으로 구성할 것입니다. 일본 파견 사무실은 소규모이므로 별도의 도메인으로 하지 않고 서울 본사에서 관리하도록 할 것입니다.

 

 First를 kjy.com 도메인의 도메인 컨트롤러로 가장 먼저 설치할 것이므로 First는 자동으로 글로벌 카탈로그(GC) 서버가 됩니다. Second.kjy.com 도메인의 도메인 컨트롤러인 Second는 이미 First를 글로벌 카탈로그로 구성하였으므로, 글로벌 카탈로그로 구성하지 않아도 됩니다. 하지만, 만약의 부산 지사에 100명 이상의 많은 사용자가 있다고 가정한다면 부산 지사의 사용자가 로그인하기 위해서 매번 서울 본사의 글로벌 카탈로그 서버에서 정보를 가져와야하므로 네트워크 상황에 따라서 로그온 시간이 오래 걸릴 수 있습니다. 그럴 경우를 피하고자 Second도 추가로 글로벌 카탈로그 서버로 지정한 것입니다. 그러면 서울 본서까지 접속하지 않고도 Second 자체에 가지고 있는 글로벌 카탈로그에서 정보를 가져오게 되어 네트워크 트래픽이분산되는 효과를 내어 Active Directory 전체적인 성능이 향상됩니다. 일본 사무실의 경우에는 지사 직원이 별로 없다고 가정하여 별로의 도메인으로 구성하지 않았고, 본사 도메인에 소속되도록 하였습니다. 그래서 일본 사무실의 도메인 컨트롤러를 읽기 전용으로 구성하였으며, 소규모이기에 글로벌 카탈로그 서버로 구성하지도 않았습니다.

 

 

 

 

가성머신 설정

 

가상머신	IP
w2k16-AD1	10.0.0.11	서울 본사
w2k16-AD2	10.0.0.12	부산 지사
w2k16-AD3	10.0.0.13	일본 사무실

 

 

3.1 부모 도메인(서울 본사)

• AD 설치

 

 

Active Diretory 도메인 서비스를 설치합니다.

 

 

 

 

설치는 오래 걸리지 않습니다.

 

 

 

• 도메인 서비스 구성

 

기본적인 필수 요소만 설치되는 것이므로 w2k16-AD1을 도메인 컨트롤러로 만들어야 합니다.

 

 

 

 

 

• 배포 구성

 

 

[그림 1]에 나온 것처럼 kjy.com 포리스트를 새로 구성합니다. 

 

그리고 루트 도메인 이름을 입력합니다.

 

 

 

• 도메인 컨트롤러 옵션

 

 

포리스트, 도메인 기능 수준은 호환성을 위해 조절합니다. 

 

이번 실습에서는 Windows Server 2016만 사용할 것이므로 Windows Server 2016을 선택합니다.

 

 

 

첫 번째 도메인 컨트롤러는 반드시 글로벌 카탈로그 서버야 합니다. 

 

이 첫 번째 도메인 컨트롤러를 DNS 서버로 만드는 것이 좋습니다.

 

 

또한, 첫 번째 도메인 컨트롤러를 읽기 전용 도메인(RODC)로 구성할 수 없습니다. 

 

RODC는 다른 도메인 컨트롤러에게 정보를 얻어야 하기 때문에 

 

당연히 첫 번째 도메인 컨트롤러는 RODC일 수 없습니다.

 

 

 

• DNS 옵션

 

그대로 두고 넘어 갑니다.

 

 

• 추가 옵션

 

 

잠시 기다리면 NetBIOS 도메인 이름이 입력됩니다.

• 경로

 

디폴트로 두고 넘어갑니다.



별도의 디스크에 각각 지정하면 성능향상에 도움이 됩니다.
 또한, 추후 문제가 발생하면 복구도 좀 더 수월해질 수 있습니다.

 

 

 

 

 

• 검토 옵션

 

 

'kjy.com' Active Directory 도메인을 새로 생성하게 되는데, [그림 1]에 나온 것처럼 이 도메인 이름은 'kjy.com'과 동일하게 포리스트 이름도 설정됩니다. 

w2k16-AD1가 이 도메인의 첫 번째 도메인 컨트롤러가 되며 NetBIOS 이름은 'kjy' 됩니다.

 

• 필수 구성 요소 확인

 

 

경고가 몇 개 나오지만 별 문제 아니므로 무시해도 됩니다. 

 

설치가 진행되면 자동으로 재부팅이 됩니다.

 

 

 

 

• 재시작

로그인 계정은 
administrator@kjy.com 
혹은
kjy\administratorkjy.com\administator
  입니다.
kjy\administrator에서 'kjy'는 NetBIOS 이름입니다. NetBIOS는 주로 Windows 환경의 네트워크에서 사용할 수 있는 이름으로 생각하면 됩니다. 운영체제와 관계없이 일반적으로 사용하기 위해서는 E-Mail 주소와 같은 형식으로 도메인 이름이 들어간 '사용자이름@도메인이름'으로 사용하면 되는데, 이를 UPN(User Principal Name)이라고 부른다. 지금 경우에는 'administrator@kjy.com'이 UPN이 됩니다.
종종 NetBIOS로 접속에 문제가 생길 수가 있는데, 이런 경우에는 UPN으로 접속하면 됩니다. 

• 로그인 및 확인

AD 도메인 컨트롤러 설치가 정상적으로 이루어지면 DNS 관리자에서 이와같은 구성을 확인할 수 있습니다.
극한의 확율로 실패할 수 있다고 합니다. 설치가 완료되면 확인합니다.

 

 

 

• 도메인 가입(직원 PC)

• 사용자 생성

도메인 컨트롤러(w2k16-AD1)에서 사용자를 생성합니다.

• DNS 설정

직원 PC 테스트용으로 Windows 10에서 진행합니다.

DNS를 DC(도메인 컨트롤러)를 입력합니다.

• 도메인 변경

 

제어판 -> 시스템 및 보안 -> 시스템

 

컴퓨터 이름, 도메인 및 작업 그룹 설정 [설정 변경]

 

 

 

 

컴퓨터 이름/도메인 변경에서 소속 그룹을 도메인으로 변경하고 kjy(or kjy.com)를 입력합니다.

 

 

 

 

 

DC의 administrator 권한으로 가입합니다.

 

 

 

 

재시작이 필요합니다.

 

 

 

• 로그인

user@kjy.com

kjy\user
식으로 로그인 합니다.

성공적으로 로그인되었습니다.

• 확인

DC에서 로그온된 상항을 확인할 수 있습니다.

 

 

서버 관리자 -> 도구 -> AD 사용자 및 컴퓨터

 

 

 

 

 

 

'kjy.com' -> Computers에서 로그인한 컴퓨터를 확인할 수 있습니다.

 

 

 

 

 

 

 

 

3.2 자식 도메인(부산 지사)

• AD 설치 및 DNS 설정

AD 도메인 서비스를 설치합니다. 
DNS를 부모 도메인의 DC로 설정합니다.

• 자식 도메인 서비스 구성

• 배포 구성

 

기존 포리스트(kjy.com)이 있으므로 새 도메인만 추가합니다.

 

자격 증명이 필요합니다. kjy.com의 도메인 관리자인 administrator@kjy.com으로 자격 증명합니다.

 

 

 

• 도메인 컨트롤러 옵션

 

DNS와 GC를 선택 설치합니다.

 

 

포리스트 안의 모든 글로벌 카탈로그는 상호 복제가 되기 때문에, 글로벌 카탈로그를 모든 도메인 컨트롤러 마다 설치하면 전체적인 성능향상에는 도움이 됩니다. 단 주의할 점은 글로벌 카탈로그의 복제가 실시간으로 이루어지지 않을 수 있으며 네트워크 상황이 나쁘다면 더욱 복제되는 시간이 오래 걸릴 수 있습니다.

 

 

• DNS 옵션

 

그대로 두고 넘어갑니다.

 

 

 

• 추가 옵션

그대로 두고 넘어갑니다.

끝까지 기본 값으로 설정을 마무리 합니다.

 

 

• 로그인 및 확인

second.kjy.com\administrator
second\administrator
administrator@second.kjy.comadministrator@second

NetBIOS는 second 입니다. 

 

 

• AD 도메인 및 트러스트

부모 도메인(kjy.com)과 자식 도메인(second.kjy.com)을 확인 할 수 있습니다.

 

 

 

 

 

 

3.3 RODC(일본 사무실)

• AD 설치 및 DNS 설정

AD 도메인 서비스를 설치합니다. 

 

DNS를 부모 도메인의 DC로 설정합니다.

 

• RODC 도메인 서비스 구성

• 배포 구성

 

기존 도메인(kjy.com)에 새로운 도메인 컨트롤러를 추가합니다.

 

 

자격 증명은 자식 도메인에서 설명하였습니다.

 

 

• 도메인 컨트롤러 옵션

 

DNS 서버와 RODC를 체크합니다.

 

 

DNS 서버를 설치하지 않아도 되지만, 현재 가정한 상황은 w2k16-AD3이 일본에 있으므로 서울과 꽤 거리가 있습니다. 만약 DNS 서버를 설치하지 않으면, 네트워크가 원활하지 않을 경우에 일본에서 사용 중인 PC는 정상적으로 AD 도메인 서비스 및 인터넷을 사용할 수 없을 것입니다.

 

 

 

 

• RODC 옵션

RODC 옵션에서 w2k16-AD3을 관리할 사용자를 지정해야 합니다. 

 

일본 사무실에는 별도의 서버 관리자가 없어서 

본사의 관리자가 대신 관리를 네트워크 상에서 해주는 것으로 생각하면 됩니다.

 

선택을 클릭합니다.

 

 

 

고급을 클릭합니다.

 

 

 

지금 찾기를 클릭하면 아래에 리스트가 나타납니다.

 

리스트에서 관리자 사용자를 지정합니다. 

 

 

 

 

 

 

 

 

 

 

 

• 추가 옵션

 

그대로 두고 넘어갑니다.

 

 

 

• 경로

경로도 그대로 두고 넘어갑니다.

• 검토 옵션

 

설정된 내용을 확인항 후 넘어갑니다.

 

 

 

• 필수 구성 요소 확인

경고 무시하고 설치를 진행합니다.

 

 

 

 

• 로그인 및 확인

로그인 합니다.

kjy\administratorkjy.com\administrator
administrator@kjyadministrator@kjy.com
다 가능합니다.

 

• 확인

 

 

 

RODC를 확인할 수 있습니다.

 

 

 

 

 

 

 

 

 

이로써 [그림 1]의 kjy.com 포리스트 환경 구성이 완료되었습니다. 비록, VMware안에서 작동하지만, 실제 상황에서는 네트워크 트래픽 등의 몇 가지 상황만 고려한다면 동일 환경으로 실무와 동일한 환경으로 고성된 것입니다.

 

 

 

다음 포스트에는 Active Directory 관리 설정을 다루겠습니다.