[Windows - Active Directory] Member Server | 기존 Domain에 DC 추가

(1) Member Server

(2) 기존 Domain에 DC 추가

---

1. Member Server

 1. Standalone Server가 Domain에 가입한 상태
 2. Domain Logon과 Local Logon 모두 가능
 3. DC의 자원(user, group, Computer 등) 즉 개체를 가져다 쓰기 위해서 사용
 4. 대부분의 Application을 설치
 5. DC에 설치시 사용자가 직접 Domain을 관리하는 서버에 접속하는 보안상의 허점을 방비

 

  - w2k19-mem1을 도메인에 가입

작업그룹 클릭

도메인 변경

권한을 가진 계정으로 로그인

변경 완료

 

  - AD 서버에서 컴퓨터 등록 확인

 

 

1. Local login

Local 사용자로 로그인

 

  - Local 사용자로 로그인 시 Domain의 자원을 쓸 수 없음

Administartors 그룹에 사용자 추가 시도

Domain에서 찾기

자격 증명 요구

 

  - Local에 있는 사용자는 가능

 

 

2. Domain Login

  - 특별한 이유가 없다면 멤버 서버는 항상 도메인 로그인

도메인명 + 사용자

 

  - 계정 생성

도구 - Active Directory 사용자 및 컴퓨터

사용자 a 생성

 

  - member server에서 사용자 a를 administrator로 설정 가능

  * 실행창에서 compmgmt.msc(컴퓨터 관리) 입력

그룹 - Administrator 우클릭 - 속성

 

  - 도메인의 Administrator로 로그인 했기 때문에 도메인에서 찾을 때 자격증명을 물어보지 않음

추가 - coco.com에서 찾기 - DC_a - 추가 확인

 

  - 사용자 a는 Local Server의 관리자 권한을 가지게 됨

관리자만 실행 가능한 서버 관리자 창

 

3. AD 복구

부팅 - 안전 부팅 - AD 복구

다시 시작

  - 재부팅 후 Domain Administrator 로그인 불가

도메인 사용 불가

  - 관리자 권한을 가진 사용자 a로 로그인 시도

도메인 + 사용자 a

  - 일반 사용자는 콘솔로 로그인 불가

도메인 사용 불가

 

  - AD 복원모드에서 생성한 로컬 사용자로 로그인

숨겨진 Local Administrator 계정 사용

  - 디렉토리 서비스 복원 모드는 사용자 및 컴퓨터 접근 불가

  - Administrator도 다 같은 Administrator X

 

 

4. Member Server 제거

Domain Administrator 로그인

서버 관리자 - 도메인 클릭

변경 - 소속 그룹 - 작업 그룹 WORKGROUP

 

 

5. AD 제거

  - 도메인 컨트롤러 수준 내리기

역할 및 기능 제거 - Active Directory 도메인 서비스 제거

유효성 문제 발생 - 도메인 컨트롤러 수준 내리기

도메인의 마지막 도메인 컨트롤러

DNS 서버와 글로벌 카탈로그는 제거해야 진행 가능

도메인 Administrator만 진행 가능

암호 작성

수준 내리기

 

  - 자동으로 재부팅 후 Local Login

 

 

6. AD 삭제

AD DS 제거

DNS 서버 제거

제거

재부팅 시 제거 완료

  - DNS 접미사 제거

작업 그룹

변경 - 자세히

주 DNS 접미사 삭제

 

 

7. 등록된 컴퓨터가 삭제되었을 때 Member Server 가입 방법

  - dodo.com 도메인 새로 생성 후 진행

AD 서버에서 w2k19-mem1 컴퓨터 삭제

member server에서 도메인 로그인 불가

도메인이 이미 설정되어있어서 새로 등록 불가

  - 윈도우는 Net BIOS 이름을 중요

NetBIOS 이름만 입력

도메인이 있으니 사용자만 입력

도메인 시작

AD에 다시 등록된 컴퓨터 확인 가능

 

 

8. Client 가입

  - 도메인 컨트롤러가 존재하면 클라이언트도 도메인에 가입해서 사용

client 서버 dns를 ad로 맞춤

dns 조회 확인

시스템 속성 - 변경 - 도메인 변경

  - 도메인 컨트롤러에 생성한 사용자 a

도메인 시작

AD에서 w10-1 컴퓨터 등록 확인 가능

  - 사용자 a로 로그인

  * 사용자 a는 일반사용자이기 때문에 없는 권한이 많음

 

  - IP 변경 시도

속성 클릭

권한 요구

 

  - 도메인에 있는 사용자 a를 client의 컴퓨터 관리자로 설정 (Local 컴퓨터의 Administrator 그룹에 추가)

추가를 위해 도메인의 administrator로 로그인

compmgmt.msc - 로컬 사용자 및 그룹 - 그룹 - administrators 속성

사용자 추가 - 고급 - 도메인 선택 후 지금 찾기 - 사용자 a 추가 - 추가 확인

 

  - DC의 a로 로그인 시 관리자 권한 갖게 됨

DC의 a로 로그인

IP 변경 가능

 

  * 도메인 컨트롤러에서 사용자 a를 adminstrators 그룹에 추가시키면 사용자 a는 모든 컴퓨터에서 관리자 권한을

    갖게 됨으로 주의해야함 *

 

---

 

2. 기존 도메인에 도메인 컨트롤러 추가

  - Member Server도 생성 가능

  - 쌍둥이 개념

  - 동일한 도메인내에서는 복수 개 이상의 도메인 컨트롤러 운영을 권장 (고장 대비, 로드 밸런싱)

전체 구성도

 

---

 

Local administrator 로그인

Active Directory 추가

설치

도메인 컨트롤러로 승격

 

  - 기존 도메인에 도메인 컨트롤러 추가

포리스트의 root 계정만 추가 가능

DNS, GC / DSRM 비밀번호 작성

네트워크를 이용한 복제 / 모든 도메인 컨트롤러에서 복제

Domain Administrator 로그인

기존 서버에서 복사해 온 DC_a

 

  - AD에서 사용자 생성

도구 - Active Directory 사용자 및 컴퓨터 - Users - 새로만들기 - 사용자

사용자 b 생성

mem1 서버에서도 동일하게 생성됨