Active Directory 7. 자식 도메인의 생성과 작업마스터, DNS 보조영역

2024. 1. 20. 21:43Window Server

이전에 Domain Controller의 이중화를 해보았다.

이번 시간엔 도메인에 Child Domain 즉, 자식 도메인을 만들어 보겠다.

 

하위 도메인은 자식 도메인 외에  RODC (읽기 전용 도메인 컨트롤러)도 존재한다.

그래서 하위 도메인을 만들때 조건을 확인하고 만들어야 한다.

 

1. 자식 도메인 - Child Domain

   -. 지역에 ADDS 관리자가 존재할때

   -. 물리적인 보안이 보장될때 (접근통제등)

   -. 상위에 부모 도메인이 존재할때.

 

2. 읽기전용DC - RODC

   -. 지역에 ADDS 관리자가 없을때

   -. 물리적인 보안을 보장할 수 없을때

   -. 상위에 쓰기 가능한 DC가 존재할때

 

W2K19-DC       -(도메인 컨트롤러)

W2K19-MEM1  -(도메인 컨트롤러)

W2K19-MEM2  -(자식 도메인(예정))

 

 

Forest의 구성도

위 그림의 Domain Tree1을 구현해보려 한다.

 

일단 먼저 작업마스터의 확인, 비활성화, 활성화 조작으로 작업마스터의 역할을 알아보겠다.

 

mmc로 관리 콘솔 실행 > 스냅인 추가 제거

 

위 사진과 같이 스냅인 추가 제거 창에서 스키마 마스터가 뜨지 않으면 다음과 같이 해주면 된다.

cmd창에 명령어 입력

regsvr32 schmmgmt.dll을 입력해준다.

위와 같은 안내가 뜨면 성공

다시 스냅인 제어창을 보면 스키마가 표시된다.

상위 4개의 AD 스냅인을 모두 추가 해준다.

그럼 위와 같이 표시된다.

스키마에 오른쪽 클릭 후 작업마스터를 선택해준다.

그럼 위와 같은 창이 뜬다. 

보다시피 현재 스 마 마스터는 첫번째DC로 확인할 수 있다.

이번엔 AD사용자 및 컴퓨터의 도메인 컨트롤러를

두번째 DC(MEM1)로 바꿔주겠다. 그런뒤 mmc의 상단 표시줄을 보면 주소가 바뀌어있다.

다시 작업마스터를 들어간다. (사용자 및 컴퓨터)

 

그리고 위 사진에서 변경을 눌러주면

작업 마스터 역할 전송

역할의 전송이 가능하다 (DC -> MEM1 전송)

세가지 모두 전송해준뒤  

 

스키마, 도메인 및 트러스트 스냅인들도 모두 작업 마스터를 변경해주자!

 

그다음 cmd 창에서 netdom query fsmo 를 입력해주자

netdom query fsmo

성공적으로 전송 했다면 위 사진처럼 작업 마스터가 모두 MEM1으로 표시된다!

(위의 과정을 cmd창에서  ntdsutil 명령어로 전송할 수도 있다!)

 

연습으로 다시 위와같이 출력되도록 작업 마스터를 전송해보기도 하자.

 

 

작업마스터의 역할!!

Forest영역

-.스키마 마스터 > 개체들의 스키마들을 일관되게 유지하는 역할
-.도메인네이밍마스터 > 도메인들의 이름을 고유성을 유지하는 역할

Domain영역

-.RID 마스터 >  도메인 영역에서 계정의 개수를 관리하는 역할 
-.PDC 에뮬레이터 >  도메인 컨트롤러 간의 시간 동기화, 패스워드 , 그룹 정책 관리
-.인프라 스트럭쳐 마스터 >  상호참조 하는 개체의 이름 변경사항 추적

 

 

 

이제 자식 도메인을 만들어보겠다.

MEM2 PC의 IP 설정

IP를 알맞게 설정한 뒤에 ADDS를 설치해준다.

설치완료!

 

설치를 완료했다면 잠시 내버려두고 VMware의 DC-PC를 pause 해두자

일시정지

다시 MEM2 PC에서 승격 버튼을 눌러준다.

새 도메인 이름은 busan으로 입력해주자

위 사진처럼

도메인네임마스터가 포함된

DC-PC가 일시정지 상태이므로

자식 도메인 생성이 불가능해진다.

 

 

이처럼 각 도메인마스터의 역할이 굉장히 중요한 것을 알 수 있다...

 

똑같이 설치해주고 다시 시작하자

자식 도메인 설치후 재미있는 사실을 알수가 있는데

Domain Controller와 Child Domain의 Administrator 소속 그룹을 확인해보면

DC쪽의 Admin은  엔터프라이즈 Admin, 스키마 Admin 에 소속 되어있는 걸 알 수 있다.

이처럼 최상위 루트 도메인의 admin의 권한이 더 상위인 것도 알 수 있다.

 

 

 

마지막으로 자식 도메인을 DNS보조 영역으로 만들어보겠다.

DC-PC의 DNS 관리자에서 새 보조영역을 추가한 뒤에 busan. 도메인을 입력해준다

busan 도메인의 IP를 입력해준다

보조 DNS영역이 만들어졌으나 아직 로드가 되진 않았다.

MEM2 PC 에서 DNS 관리자의 영역전송을 허용해준다

 

MEM2- PC에서도 영역전송 허용 및  DNS 보조영역 을 만든다.

이제 NSLOOKUP 후 자식 도메인을 입력해도 DNS 정보를 가지고 있다.(DNS 서버에는 10.0.0.3이 없다.)

 

 

자식 도메인에서 부모 도메인으로

부모 도메인에서 자식 도메인으로

서로가 도메인을 변경해 원격지에서도 접속이 가능해졌다.

 

하지만 당연히 부모 자식간에 차이가 있다.

관리의 차이다.

DC에서는 BUSAN 도메인으로 변경 후 사용자 생성이 가능하지만

BUSAN에서는 DC 도메인으로 변경후 사용자 생성이 불가능하다.

 


부모 도메인 > 자식 도메인에 모든 통제 관리 가능
자식 도메인 > 부모 도메인에 일반 관리만 가능

 

위의 차이점이 존재한다.