[Windows - Active Directory] FSMO | 자식도메인

(1) FSMO

(2) 자식도메인

---

1. FSMO (Flexible Single Master Operation)

  - Windows 2008 이후로 모든 DC가 PDC(Primary Domain Controller)로 지정되면서 특정 작업을 할 때 1개의 DC가 

    대장 역할을 하게 하는 것

 

Forest 영역

  - Schema master : Forest 전체 schema의 일관성을 유지

  - Domain naming master : Forest 전체 도메인 이름의 일관성을 유지

 

Domain 영역

  - RID Master : RID 요청을 처리

  - PDC Emulator : 사용자의 패스워드 변경 사항을 추적, 그룹 정책의 시작점, 서버의 시간 동결 담당

  - Infrastructure Master : 상호 참조하는 개체의 이름 변경 사항 추적

 

 

  - AD의 cmd창에서 확인 가능

모든 권한을 ad 서버가 가지고 있는 상태

 

---

 

<GUI 방식 실습>

 

  - 작업마스터 확인

Active Directory의 첫번째 서버에 접속한 모습

도메인 영역의 작업 마스터 확인

도메인의 RID, PCD, 인프라 작업 마스터 확인 가능

 

  - 포리스트와 도메인이 동일하기 때문에 mem1 서버에게 다섯가지 권한을 다 넘길 수 있음

권한을 넘겨 받을 사용자로 로그인

권한을 받을 mem1 서버로 변경

첫 번째 서버에서 로그인 상태로 Active Directory 사용자 및 컴퓨터만 두 번째 서버로 로그인

 

  - 도메인 영역 작업 마스터 변경

RID 마스터 변경

PDC Emulator 변경

인프라 마스터 변경

 

  - 포리스트 영역 작업 마스터 변경

  * 도메인 명명 마스터

* Active Directory 도메인 및 트러스트[W2K19-AD1.dodo.com] 우클릭 → Active Directory 도메인 컨트롤러 변경

w2k19-ad1.dodo.com에서 w2k19-mem1.dodo.com으로 서버 변경

작업 마스터

작업 마스터 변경

 

  * schema 마스터

  - dll 등록

등록 성공

  - 스냅인 추가

management console

파일 - 스냅인 추가/제거

필요한 스냅인 우측으로 이동

바탕화면에 저장

 

  - 바탕화면에 저장 된 ad 실행 후 서버 변경

Active Directory 스키마 우클릭 - 도메인 컨트롤러 변경

디렉터리 서버를 w2k19-mem1.dodo.com으로 변경

 

  - 작업 마스터 변경

작업 마스터

스키마 마스터 변경

 

  - 확인

모든 권한이 mem1 서버에게 넘어간 것을 확인

 

---

 

<CLI 방식 실습>

  - Seize 와 Transfer 

  - Seize(강제 점유) 실행 시 이전 정보 모두 삭제 됨

  - Seize 명령어를 입력해도 Transfer가 가능하다면 Transfer로 자동 진행 됨

 

- 서버 연결

  - 다시 maintenance로 올라가기

 

  - 작업 마스터 변경

RID 마스터

PDC Emulator 마스터

Infrastructure 마스터

Naming 마스터 강제 점유 시도 > Transfer 가능하기 때문에 Transfer로 진행

Schema 마스터

 

  - 확인

모두 AD1 서버가 권한을 가짐

 

 

---

 

2. 자식도메인

전체 구성도

 

  - 상위단에 부모 도메인이 존재할 때, 지역의 관리자가 존재하며 물리적인 보안을 담보할 수 있을 때, 

    출입 통제 시스템이 갖춰져서 서버를 훔쳐갈 수 없는 상황이 되었을 때 자식도메인을 생성

  - 주로 큰 지사에 적용

 

 

<도메인 명명 마스터 실습>

  - 도메인 명명 마스터의 유무의 차이를 알기 위해 서버 변경 후 진행

도메인 및 트러스트 작업 마스터

도메인 명명 작업 마스터 변경

 

  - MEM1 서버 정지

서버 일시 정지

 

1. Active Directory 설치

Active Directory 도메인 서비스 추가

설치

도메인 컨트롤러로 승격

 

2. 도메인 컨트롤러 설정

자식도메인 생성

새 도메인 생성 불가

 

  * 도메인 명명 마스터가 없으면 새 도메인 생성 불가*

 

<자식 도메인 실습>

  - 다시 도메인 명명 마스터 가져오기

 

2. 도메인 컨트롤러 설정

도메인 명명 마스터 가져온 뒤 이어서 진행 가능

부모 도메인의 DNS에 자식도메인의 위치를 알려줄 수 있음

설치

 

3. DNS 위임 확인

설치 후 AD 서버의 DNS에 busan 생성 = DNS 위임

 

4. 보조 영역 추가

  - 원활한 통신을 위해 상대방의 DNS를 자신의 보조영역으로 가지고 있는 것을 권장

  - 첫번째 서버(부모 도메인)과 세번째 서버(자식 도메인)을 서로 보조영역으로 설정

 

  - 첫번째 서버에서 세번째 서버로 영역 전송

AD 서버의 DNS 관리자

10.0.0.3으로 영역 전송 허용

 

  - 첫번째 서버에 보조영역 추가

새 영역 추가

보조 영역

보조 영역 이름

보조 영역의 마스터 서버

아직 세번째 서버가 허용하지 않았기 때문

 

  - 세번째 서버에서 첫번째 서버로 영역 전송

세번째 서버의 DNS 관리자

10.0.0.1로 영역 전송 허용

 

  - 세번째 서버에 보조영역 추가

새 영역 추가

보조 영역 추가

영역 이름

보조 영역의 마스터 DNS 서버

보조 영역 생성 완료

세번째 서버에서 새로고침

 

  * 원활한 통신을 위해 IPv6 비활성화 하기

 

 

5. 세번째 서버에서 계정 생성 (w11-1이 사용)

 

 

6. W11-1을 자식도메인에 가입

DNS를 부산서버로 설정

sysdm.cpl - 도메인 변경

사용자 aa로 로그인

 

 

<자식도메인과 부모도메인의 트러스트 관계 확인>

   (busan.dodo.com의 사용자가 dodo.com 도메인 서버로 출장을 가는 가정)

 

  - w11-1의 DNS를 부모도메인으로 설정

부모도메인 서버

 

  - 사용자 aa 로그아웃 후 다시 로그인

 

  - AD 서버에서 사용자 aa를 위한 공유폴더(Busan) 생성

공유 폴더 설정

모두에게 모든 권한

 

  - 공유 폴더 권한에 Busan(자식도메인) 사용자 추가

부산(자식도메인)의 사용자 추가 가능

Busan_aa 사용자에게 수정 권한 부여

 

  - 자식도메인 사용자가 부모도메인 공유폴더에 접속

공유폴더에 접속 및 파일 생성, 수정 가능

 

<부모도메인에서 자식도메인 사용자 생성>

  - 자식도메인으로 변경

변경

자식도메인 입력

 

  - 부모도메인은 자식도메인의 모든 권한을 가지기 때문에 사용자 생성 가능

사용자 Busan_bb 생성

 

  - 자식도메인은 부모도메인에 관해 일반 관리 작업만 가능

자식도메인 서버에서 부모도메인으로 서버 변경시 사용자 생성 불가