[8][2008 Server] Acitve Directory Domain Service

## AD DS ( Active Directory Domain Service)

여러 서버의 계정을 관리하는데 용이

도메인 서버에 도메인유저 계정을 생성. 

도메인 서버에 속해있는 여러 서버에 사용 가능.

1. 서버관리리자 - IIS - FTP 추가 설치

2. 고급 보안이 포함된 Windows 방화벽 - 인바운드 규칙 - 포트 - 21번 - 

Active 접속이기 때문에 접속하고자 하는 곳에서 1024-65535 비특권포트 허용해야함.

3. IIS 관리자 - 사이트 FTP 추가 - 21번 - SSL X - 인증 기본, 모든 사용자 읽기 쓰기 - 

4. 서버관리자 - 역할추가 - Acitve Directory 도메인 서비스 추가

5. 역할 추가 완료 후 - 실행창 - depromo 실행 - 새 포리스트에 새 도메인 만들기 - 

포리스트 기능수준 (호환성 확인) , 가장 낮은 버전으로 잡아야 모두 사용 가능 -

디렉터리 서비스 복원 모드 관리자 암호(AD DS 복원모드 사용시 쓸 비밀번호 -

- 도메인 이름 입력

## 포리스트(Forest)

DC(Domain Controller) - 해당 도메인에 관련된 모든 것을 설정.

같은 그룹으로 묶을 서버들을 도메인에 가입 시킨다.

포리스트 루트 도메인 - 최상단 도메인

samsung.com 포리스트 루트 도메인에 -Domain User : aaa 라는 계정을 만들면

같은 포리스트 안 서버는 aaa 계정을 같이 사용 가능.

같은 포리스트 안 서버별 다르게 구분하고 싶을 경우 자식 도메인을 생성

자식 도메인 => 자식 도메인의 작명 규칙 busan.samsung.com 부모의 도메인 이름을 따야 한다.

busan.samsung.com [DU: bbb] 

bbb 로그온 시 해당 도메인컨트롤러한테 자격증명을 확인 받음. => ID 와 PW 존재여부와 확인을 함.

만약 자식 도메인 없이 모든 서버들이 포리스트 루트 도메인 하나밖에 없을 경우

계정들이 로그온 할 때마다 포리스트 루트 도메인의 도메인 컨트롤러한테 자격증명을 확인 받음

=> 서버의 부화, 트래픽 발생

==> 도메인을 따로 만들고, 컨트롤러를 따로 구축해야 함.  <자식 도메인>

부모 도메인과 자식 도메인은 자동으로 항상 양방향 trust 가 맺어짐.

=> 부모 도메인의 User 로 자식 도메인에 접속 가능하고,  자식 도메인의 User로 부모 도메인에 접속 가능.

포리스트 안에 있는 어떤 PC 든지 어디 서버든지 사용자 계정을 서로 가져다 사용할 수 있음.

자동, 수정 변경 불가능

=> trust 관계

전이적 trust : 자식도메인이 부모도메인을 신뢰함 -> 부모가 신뢰하는 도메인을 전부 신뢰함.

비전이적

하나의 루트 도메인으로 구성(부모와 자식도메인)된 것을 -> 하나의 트리

====================================================================================

기업이 인수합병이 되었을 경우

-> 포리스트 안에 다른 루트 도메인을 생성함. ( 이때 다른 기업은 서비스를 안하고 있다는 가정)

가장 처음에 만든 루트 도메인을 -> 포리스트 루트 도메인 이라고 부름

포리스트 안 또 다른 처음으로 루트 도메인을 만들면 ->  루트 도메인 이라고 부름

** 만약 다른 기업이 서비스하고 있는 중이라면 포리스트 끼리 신뢰관계를 맺게 함.

포리스트 끼리는 신뢰 관계를 안맺고 있음 -> 신뢰관계를 맺어주면 됨.

[포리스트 루트 도메인]과 [자식 도메인]의 관계는 

[포리스트 루트 도메인]과 [루트 도메인]과의 관계 차이는 없음

====================================================================================

DNS 서버 주소 - 도메인컨트롤러 주소로 지정해야함

DNS 서버 지정

# netsh interface ip add dnsservers "로컬 영역 연결" 100.100.100.110

도메인네임 : samsung.com

NetBIOS : samsung

AD 에 가입 시킬 서버에서 - 내 컴퓨터 속성 -  컴퓨터 이름, 도메인 및 작업 그룹설정 ->설정변경 - 

소속그룹 : 도메인 이름 - samsung.com 입력후 재시작

NetBIOS 이름을 넣어서 그룹을 가입할 수도 있음.

AD 만든 서버 관리도구 - Acitve Directory 사용자 및 컴퓨터 - 해당 도메인 - Users 폴더 - 여백에 우클릭 - 새로만들기

사용자 로그온 이름=> 로그온 할 때 쓰는 ID ->  도메인 사용자는 비밀번호 없이 생성 불가능

AD 만든 서버 관리도구 - Acitve Directory 사용자 및 컴퓨터 - 해당 도메인 - Users 폴더 - Domain Users 속성 - 구성원 탭 

Domain Users 는 Domain 계정 모두 포함

Administrators 라는 그룹은 없어짐 대신 Domain Admins 라는 그룹이 생김 -> 관리자 계정들을 포함하고 있는 그룹

ftp 접속시 도메인유저로 로그인 가능.

## 도메인 사용자로 로그온 하는방법

1. 사용자이름@DomainName

   ex) administrator@samsung.com

도메인 이름 : lg.com

1. lg\test1

2. test1@lg.com

이때 도메인 이름으로 가입이 안된다고 뜰 경우 해결방법

서버측에서 AD 설치 오류. 

해결방법 -> 해당 도메인 서버 - 시작 - 관리도구 - DNS 관리자 - 좌측 정방향 조회 영역 - 해당 도메인 -  

이 때 새호스트로 다음과 같이 2개를 추가

(1) 여백 우 클릭 - 새 호스트(A 또는 AAAA) - IP 주소에 도메인 서버의 IP 입력 호스트 추가

(2) 여백 마우스 우 클릭 - 새 호스트(A 또는 AAAA) - 

이름 : 해당 도메인 컨트롤러가 설치되어 있는 서버의 컴퓨터 이름

ip 주소 : 해당 도메인 컨트롤러의 서버 IP

위 처럼 조치를 하거나 NetBios 이름으로 바로 가입해도 가능

만약 도메인이름이 test.com 이면 test로 가입해도 가능.

2.NetBIOS\사용자이름

   ex) samsung\administrator

3. 로컬 로그온

srv200\administrator

  

HostName : Client100

NetBIOS : Client100

호스트네임과 netbios 이름은 처음 만들 때 같게 지정됨.

계정 로그온 시 administartor@samsung.com

으로 들어오면 samsung.com 에 있는 administrator 계정으로 로그온됨.

C드라이브 - 사용자 폴더 - Administrator와 Administrator.SAMSUNG 이라는 폴더 2개가 보임

도메인의 사용자로 동시접속이 가능함.

도메인사용자의 홈 디렉토리는 서로 개별적으로 생성 및 사용

도메인 사용자 로그온 시 홈디렉토리 폴더에는 .도메인이름 이라는 폴더로 안생김

생기는 이유는 이미 같은 이름 폴더가 있기 때문에 구분해주기 위해서 해당 도메인 이름으로 홈디렉토리 폴더가 생김