13장. Active Directory의 개념과 설치
Download
Report
Transcript 13장. Active Directory의 개념과 설치
서버운영체제
13장. Active Directory 개념과 설치
2012년도 2학기 12주차
Active Directory 개요 [P535]
네트워크 상으로 나눠져 있는 여러 자
원 (Resource)을 중앙의
관리자가 통합하여 관리하기 위해
Windows Server에서 구현하는 기술
Active Directory를 구현하면 본사 및
지사의 직원들은 자신의 PC에 모든 정
보를 보관할 필요가 없어짐
타 지사에 출장을 가서도 자신의 아이
디로 로그인만 하면 타인의 PC가 자신
의 PC 환경과 마찬가지로 변경됨
PC가 있는 장소와 무관하게 회사의
어디서든지 회사 전체 자원을 편리하
게 사용
Active Directory 용어 (1) [P536]
Directory Service
분산된 네트워크 관련 자원 정보를 중앙의 저장소에 통합
시켜 놓은 환경. 즉, 사용자는 중앙의 저장소를 통해서 원
하는 네트워크 자원에 대한 정보를 '자동으로' 취득하여
그 자원에 접근할 수 있게 됨.
Active Directory(약자로 AD)
Directory Service를 Windows Server에서 구현한 것
Active Directory 도메인 서비스(Active Directory
Domain Service, 약자로 AD DS)
Active Directory를 도메인상에서 지원해주는 서비스
참고) 디렉터리 서비스와 AD 정의
디렉터리
사용자, 컴퓨터 파일 등과 같은 개체에 대한 정보
단일 컴퓨터의 파일 시스템의 디렉터리
디렉터리에 파일관련 정보가 저장됨
네트워크 환경에서는 디렉터리
네트워크에 분산되어 있는 컴퓨터, 프린터 및 다른 사용자에 대한 정보가 디
렉터리 데이터베이스에 저장됨
디렉터리 서비스
사용자가 검색하고자 하는 개체의 특성 중 일부를 제공하면 네트워크에서
해당 개체를 찾을 수 있도록 해주는 서비스
Active Directory
Windows 기반의 디렉터리 서비스
사용자는 한번 로그인하면 Active Directory를 이용해 네트워크에서 사용자
에게 허용된 모든 자원에 접근가능
네트워크 관리자는 네트워크의 모든 개체를 한곳에서 관리 가능함
4
Active Directory 용어 (2) [P537]
도메인 (Domain)
Active Directory의 가장 기본이 되는 단위로 관리를 위한 범위
트리(Tree)와 포리스트(Forest)
트리는 도메인의 집합. 포리스트는 두 개 이상의 트리로 구성.
도메인 < 트리 ≤ 포리스트
Active Directory 용어 (3) [P538]
사이트(Site)
도메인이 논리적인 범주라면, 사이트는 물리적인 범주.
사이트는 지리적으로 떨어져 있으며, IP 주소대가 다른
묶음 정도로 보면 됨.
트러스트(Trust)
도메인 또는 포리스트 사이에 신뢰할지 여부에 대한 관계
를 나타내는 의미로 사용
조직 구성 단위(Organizational Unit, 약자로 OU)
한 도메인 내의 세부적인 조직 단위 (예로 부서 단위)
Active Directory 용어 (4) [P539]
도메인 컨트롤러 (Domain Controller, 약자로 DC)
로그인, 이용 권한 확인, 새로운 사용자 등록, 암호 변경 그룹 등을 처
리하는 기능을 하는 서버 컴퓨터. 도메인에 하나 이상의 DC를 설치.
도메인 안에는 하나 이상의 도메인 컨트롤러가 있어야 함.
읽기 전용 도메인 컨트롤러(Read Only Domain Controller,
약자로 RODC)
주 도메인 컨트롤러로부터 데이터를 전송받아서 저장한 후 사용하지
만 스스로 데이터를 추가하거나 변경하지는 않음.
소규모로 운영되어서 별도의 서버 관리자를 두기가 어려울 경우 유
용
글로벌 카탈로그(Global Catalog, 약자로 GC)
트러스트 내의 도메인들에 포함된 개체에 대한 정보를 수집하여 저
장되는 통합 저장소
Active Directory 도메인 서비스 구현 [P540]
실습에서 구현할 AD DS 환경
<실습1> Active Directory 도메인 서비스 설치 [P541]
Brain Server, Second, Third, WinClient 초기화
Vmware에서 기존의 Brain Server, Second, Third,
WinClient 삭제
Lecture 폴더에서 Brain Server, Second, Third, WinClient
압축풀기
알집이 깔려있으면 알집을 삭제하여 쓰지 말것 (알집은 속도가
느림)
Windows에서 기본으로 제공하는 압축풀기로 풀기
Vmware에 새로 압축을 푼 Brain Server, Second, Third,
WinClient 등록
<실습1> Active Directory 도메인 서비스 설치 [P541]
4대의 관리자 암호를 서로 다르게 아래처럼 변경
Brain Server – p@ssw0rd1
Second – p@ssw0rd2
Third – p@ssw0rd3
WinClient – p@ssw0rd4
암호 변경법: 컴퓨터관리 – 로컬사용자및그룹 – 사용자 –
Administrator 마우스 우클릭 - 암호설정
<실습1> Active Directory 도메인 서비스 설치 [P541]
새 암호 입력
Administrator 우클릭 – 속성 – 일반탭 암호 변경할 수 없음, 암
호사용기간 제한 없음으로 지정
<실습1> Active Directory 도메인 서비스 설치 [P541]
[Brain Server] Active Directory 도메인 서비스 설치하고,
hanbit.com 부모 도메인 및 포리스트 구성하기
[관리도구]-[서버관리자]-[역할]-[역할추가]
[시작하기전] 통과
[서버역할선택]에서 ‘Active Directory 도메인 서비스’ 체크
나머지는 그대로 진행해 설치
<실습1> Active Directory 도메인 서비스 설치 [P541]
Windows 의 [시작]-[실행] 후 ‘dcpromo.exe’ 입력해 Active Directory
도메인 서비스 설치 마법사 실행
[Active Directory 도메인 서비스 설치 마법사 시작]에서 ‘고급 모드 설
치 사용’이 체크되지 않은 상태에서 <다음> 클릭
<실습1> Active Directory 도메인 서비스 설치 [P541]
[운영체제 호환성] 통과
[배포구성선택]에서 ‘새 포리스트에 새 도메인 만들기’ 선택
<실습1> Active Directory 도메인 서비스 설치 [P541]
[포리스트 루트 도메인 이름 지정] – 포리스트 루트 도메인 이름을
‘hanbit.com’으로 지정
[포리스트 기능 수준 설정] - Windows Server 2008만 사용
<실습1> Active Directory 도메인 서비스 설치 [P541]
[추가 도메인 컨트롤러 옵션] – ‘DNS 서버’ 선택
(참고) 이 이후에 [DNS 위임 만들기]가 나온다면 ‘아니오, DNS 위임
을 만들지 않습니다’ 선택
<실습1> Active Directory 도메인 서비스 설치 [P541]
[데이터베이스, 로그 파일 및 SYSVOL 위치] – 디폴트 값 사용
<실습1> Active Directory 도메인 서비스 설치 [P541]
[디렉터리 서비스 복원 모드 관리자 암호] – 문제발생시 복원모드에
접속할 때 쓸 관리자 암호를 ‘passw0rd’로 지정
<실습1> Active Directory 도메인 서비스 설치 [P541]
[요약] 에서 지금까지 입력한 내용 확인하고 <다음> 진행
<실습1> Active Directory 도메인 서비스 설치 [P541]
설치가 진행되면 ‘완료시 다시 시작’ 체크해서 자동 재부팅이 되도록
함
<실습1> Active Directory 도메인 서비스 설치 [P541]
재부팅후 로그인 화면이 ‘HANBIT\Administrator’로 나옴
암호로 ‘passw0rd1’를 입력하고 로그온
<실습1> Active Directory 도메인 서비스 설치 [P541]
[WinClient] WinClient 를 서울 본사의 도메인 멤버
PC로 설정하기
DNS 서버를 Brain Server 주소인 192.168.111.10으로 지
정
<실습1> Active Directory 도메인 서비스 설치 [P541]
[제어판]-[시스템]-[설정변경]-[시스템속성]-[변경]을 통해
hanbit.com 도메인 가입하고 재부팅
도메인 가입시
계정이름과 암호는
도메인 컨트롤러
(Brain Server)의
관리자 계정이름
(Administrator)과
패스워드
(p@ssw0rd1) 입력
<실습1> Active Directory 도메인 서비스 설치 [P541]
재부팅하면 로그온 창이 나옴 (전에는 나오지 않았음)
p@ssw0rd4를 입력해 로그온 이 계정은 WinClient의
Administrator 계정임
[시작]-[▶]-[로그오프]
[사용자 전환]-[다른사용자]
<실습1> Active Directory 도메인 서비스 설치 [P541]
Hanbit.com 도메인의 관리자로 로그온
<실습1> Active Directory 도메인 서비스 설치 [P541]
지금 WinClient에서 로그온한 관리자는 WinClient의 관리
자가 아니라 Brain Server의 관리자임. ‘로그온 시 이 콘솔
을 표시안함’에 체크하고 서버 관리자 창 닫기.
<실습1> Active Directory 도메인 서비스 설치 [P541]
다시 WinClient의 관리자로 접속해보기
<실습1> Active Directory 도메인 서비스 설치 [P541]
Brain Server에서 도메인에 가입한 컴퓨터 확인
[관리도구]-[Active Directory 사용자 및 컴퓨터]
WinClient 일시정지
Capture
<실습1> Active Directory 도메인 서비스 설치 [P541]
[Second] Second를 second.hanbit.com이라는 자식
도메인으로 구성하기
DNS 서버를 Brain Server 주소로 지정하기
<실습1> Active Directory 도메인 서비스 설치 [P541]
[시작]-[실행]–“dcpromo.exe”
[Active Directory 도메인 서비스 설치 마법사 시작] 통과
[운영체제 호환성] 통과
[배포구성선택] – 기존포리스트-기존포리스트에 새 도메
인 만들기 선택
<실습1> Active Directory 도메인 서비스 설치 [P541]
[네트워크 자격 증명] – hanbit.com 포리스트 입력
계정이름과 암호는
포리스트(Brain Server)의
관리자 계정이름
(Administrator)과
패스워드
(p@ssw0rd1) 입력
<실습1> Active Directory 도메인 서비스 설치 [P541]
[새 도메인 이름 지정] – second.hanbit.com으로 지정
<실습1> Active Directory 도메인 서비스 설치 [P541]
[도메인 NetBIOS 이름] – 그대로 유지 (경고창에 예)
[사이트 선택] – 그대로 유지
<실습1> Active Directory 도메인 서비스 설치 [P541]
[추가 도메인 컨트롤러 옵션] – DNS 서버는 안하고 글로
벌 카탈로그에 체크
<실습1> Active Directory 도메인 서비스 설치 [P541]
[데이터베이스, 로그파일 및 SYSVOL 위치] – 그대로 유
지
[디렉터리 서비스 복원 모드 관리자 암호] – p@ssw0rd
[요약]
‘완료시 다시 시작’ 체크해서 설치 후 자동 재부팅
<실습1> Active Directory 도메인 서비스 설치 [P541]
재부팅 후 로그온 창 – 사용자전환 – 다른사용자를 통해
관리자의 UPN(User Principle Name)으로 로그온
<실습1> Active Directory 도메인 서비스 설치 [P541]
[관리도구]-[Active Directory 도메인 및 트러스트]로 부모
도메인 ‘hanbit.com’과 자식 도메인 ‘second.hanbit.com’
확인
Capture
Second 일시 정지
<실습1> Active Directory 도메인 서비스 설치 [P541]
[Third] Third를 hanbit.com의 추가 읽기 전용 도메
인 컨트롤러로 만들기
DNS 서버를 192.168.11.10으로 지정
[시작]-[실행]–“dcpromo.exe”
[Active Directory 도메인 서비스 설치마법사 시작] 통과
[운영체제 호환성] 통과
[배포구성선택] – 기존포리스트-기존도메인에 도메인 컨
틀러 추가
<실습1> Active Directory 도메인 서비스 설치 [P541]
[네트워크자격증명]
계정이름과 암호는
포리스트(Brain Server)의
관리자 계정이름
(Administrator)과
패스워드
(p@ssw0rd1) 입력
<실습1> Active Directory 도메인 서비스 설치 [P541]
[도메인 선택] – hanbit.com 선택
[사이트 선택]- 통과
[추가 컨트롤러 도메인 옵션]
<실습1> Active Directory 도메인 서비스 설치 [P541]
[RODC 설치 및 관리 위임] – Third를 관리할 사용자지정
[사이트 선택]- 통과
[추가 컨트롤러 도메인 옵션]
<실습1> Active Directory 도메인 서비스 설치 [P541]
[데이터베이스, 로그파일 및 SYSVOL] 통과
[디렉터리 서비스 복원 모드 관리자 암호] – p@ssw0rd
[요약]
<실습1> Active Directory 도메인 서비스 설치 [P541]
설치 진행시 자동으로 재부팅하도록 체크
<실습1> Active Directory 도메인 서비스 설치 [P541]
재부팅후 자동으로 hanbit.com 관리자로 접속하도록 설
정됨
자동으로 나타나는 [서버관리자] 창은 종료
<실습1> Active Directory 도메인 서비스 설치 [P541]
[관리도구]-[Active Directory 사용자 및 컴퓨터]를 통해
Brain DC, Third RODC 확인
Capture
Third 일시 정지
<실습2> 서울 본사에서 부산 지사의 서버를 관리 [P559]
[Second] Brain Server에서 접속할 수 있도록 Second의 방
화벽 설정
[제어판]-[Windows방화벽]
<실습2> 서울 본사에서 부산 지사의 서버를 관리 [P559]
[Brain Server] Brain Server에서 MMC 구성
[시작]-[실행]-MMC
[파일]-[스냅인 추가/제거]
<실습2> 서울 본사에서 부산 지사의 서버를 관리 [P559]
[콘솔1창]-[파일]-[다른이름으로 저장]
<실습2> 서울 본사에서 부산 지사의 서버를 관리 [P559]
[시작]-[모든 프로그램]-[관리도구]에서 방금 저장한 이벤
트뷰어(second) 확인하고 실행
<실습2> 서울 본사에서 부산 지사의 서버를 관리 [P559]
Brain Server에서 Second의 이벤트를 확인할 수 있음
Capture
이벤트 뷰어(Second) 종료. 저장은 안함.
<실습2> 서울 본사에서 부산 지사의 서버를 관리 [P559]
[Second] Brain Server에서 원격접속할 수 있도록
Second를 설정
[제어판]-[시스템]-[원격설정]
<실습2> 서울 본사에서 부산 지사의 서버를 관리 [P559]
[Brain Server] Brain Server에서 Second로 원격접
속 시도
[시작]-[모든프로그램]-[보조프로그램]-[원격데스크톱연결
]
second.hanbit.com 입력
<실습2> 서울 본사에서 부산 지사의 서버를 관리 [P559]
[사용자 자격증명]
원격접속 성공 확인 후 접속 종료
<실습2> 서울 본사에서 부산 지사의 서버를 관리 [P559]
[Brain Server] Second에서 Brain Server의 C 드라
이브를 사용할 수 있도록 설정하기
[시작]-[모든프로그램]-[보조프로그램]-[원격데스크톱연결
]-<옵션>
[원격데스크톱 연결]-로컬리소스 C드라이브선택후연결
연결 암호는 p@ssw0rd2
<실습2> 서울 본사에서 부산 지사의 서버를 관리 [P559]
Brain Server와 Second 간에 파일 주고 받기 가능
Capture