1. SPN 추가 파워쉘에서 해당 SPN추가 PS C:\Windows\system32> Set-ADComputer -Identity ad2 -ServicePrincipalNames @{add="msserverclustermgmtapi/ad2.corona.com"} 2. 컴퓨터 개체 보호 AD사용자 및 컴퓨터에서 해당 OU 및 하위 서버개체에 대한 개체 보호 설정
Windows/Active Directory
1. 그룹 정책 개체 생성 작업위치 : PDC(AD1 : 192.168.137.10) >> 도메인 >> 그룹 정책 관리 >> 그룹정책 개체 우클릭 >> 새로 만들기 2. 새로 생성한 그룹 정책 개체 편집 3. DNS서버 설정 4. DNS서버 IP주소 추가 (AD1 : 192.168.137.10, AD2 : 192.168.137.12) 5. 그룹정책 개체 연결 >> 그룹 정책을 적용시킬 도메인 우클릭 후 위에서 생성한 그룹 정책 개체 연결 6. 적용된 정책 확인 >> AD1 : 192.168.137.10(왼쪽)과 AD2 : 192,168.137.12(오른쪽)에 적용된 DNS서버의 IP주소
이슈. AD구성 후 부모도메인의 First서버와 자식도메인의 Second서버로 구성된 경우 First서버관리에 Second서버가 추가되었지만 오류가 발생하는 경우 Kerberos인증으로 인해 오류가 발생할 수 있다. Kerberos인증을 사용하려면 DC간의 시간이 동기화되어야하므로 각 DC의 시간을 동기화해주면 된다. 일반 DC와 PDC간의 동기화명령 w32tm /config /syncfromflags:domhier /update
개요 AD에서는 DC간의 정보복사를 통해 시스템의 안정성과 가용성을 보장하며 정보를 복원하고 사용자로그인을 지원한다. 1. 고가용성 : 하나의 DC가 고장났을 때 다른 DC가 계속해서 서비스를 제공할 수 있다. 2. 복원 : 시스템장애나 오류 등을 정보가 손상되었을 때 해당 정보를 복원할 수 있다. 3. 전역대기시간(GMT)동기화 : DC간의 시간이 동일하도록 유지 ※전역대기시간 : AD에서는 Kerberos인증 프로토콜은 서버와 클라이언트간 시간이 일치해야만 작동한다 DC간의 정보를 복사하면 서로의 시간을 확인하여 동기화하는데 이를 통해 GMT가 유지되며 Kerberos인증 프로토콜이 정상적으로 작동한다. 4. 사용자 로그인처리 : 사용자가 로그인할 때 DC의 정보를 참조하는데 DC간 정보복사를 통해 ..
1 FSMO(Flexible Single Master Operations)란? Active Directory에서 포리스트내의 특정 작업을 담당하는 DC에 할당되는 역할. 모든 도메인 컨트롤러들은 대부분 동일한 기능을 수행하지만, FSMO역할은 특정 DC에서만 수행될 수 있도록 제한된다. FSMO 역할은 특정 작업에 대한 마스터 역할을 담당하며, 해당 작업을 수행할 수 있는 단일 DC를 의미한다. 2 FSMO역할 FSMO역할에는 총 5개가 있으며 포리스트별 역할과 도메인별 역할로 구분된다. 기본적으로 AD는 포리스트에 생성된 첫 번째 DC에 모든 작업 마스터 역할을 할당한다. FSMO 역할은 가능하면 모두 동일한 도메인 컨트롤러에 있어야 한다. 그렇지 않으면 동기화 문제가 발생할 가능성이 있어 AD의 안정..
1 인증서 2 인증서 서비스 설치 *사설인증서를 구성하는 경우 인증서요청을 한 서버에서 인증서요청완료까지 해야한다. ecp에 접속시 인증서오류가 뜬 것을 볼 수 있다. 인증서가 적용된 것을 볼 수 있다.
1 DSRM(디렉터리 서비스 복원 모드)란 DSRM은 AD데이터베이스복원과 같은 다양한 관리작업을 수행하기 위한 윈도우 서버의 특수부팅모드. DSRM에서 도메인 컨트롤러가 시작되면 최소한의 드라이버 및 서비스 집합으로 실행되고 일반 AD데이터베이스에 대한 액세스가 사용되지 않도록 설정된다. DSRM환경에서 도메인 컨트롤러를 시작하려면 컴퓨터를 다시 시작하고 부팅 프로세스 중에 F8 키를 눌러 고급 부팅 옵션 메뉴에 액세스해야 한다. 여기서 DSRM에서 도메인 컨트롤러를 시작하는 옵션을 선택할 수 있다. DSRM은 AD의 도메인 컨트롤러(DC)에만 적용할 수 있으며 DC마다 하나의 DSRM패스워드가 있다. 2 DSRM패스워드의 중요성 DSRM 패스워드는 다른 관리 계정과 마찬가지로 규칙적으로 변경해 주어야..
What is Active Directory(AD)? 윈도우 서버에서 사용자, 컴퓨터 등을 포함한 여러 IT자원을 쉽게 관리할 수 있도록 하는 윈도우서버기능입니다. AD는 디렉터리라고 하는 저장소에 AD에 대한 정보를 저장하고 있고 관리자가 사용자, 컴퓨터와 같은 개체에 대한 정보에 액세스하여 관리하고 로그인 및 리소스인증을 진행합니다. - Windows네트워크의 기본적인 인증과 보안의 기반. - Windows2000에서 표준기능으로 구현됨. - Active Directory 데이터베이스 파일위치는 C : \ Windows \ NTDS 가 기본설정입니다. * 파일 위치는 Active Directory설치 중에 쉽게 변경할 수 있고 운영체제파티션(보통 C:)이 아닌 다른 하드디스크파티션에 저장하는게 좋습니..
