[14][2008 Server] 포리스트 도메인

## 같은 포리스트의 도메인, 서로 다른 포리스트의 도메인

** 같은 포리스트의 도메인

[포리스트 루트 도메인]

DC : SRV100

도메인 : kakao.com

CL100 [users:aaa]

[루트 도메인]

DC : SRV200

도메인 : daum.com

CL200 [users:bbb]

포리스트 기능 수준 : Windows Server 2008 R2

가장 처음에 만드는 도메인은 포리스트 루트 도메인

그 후에 만드는 도메인은 루트 도메인

하나의 포리스트안에서는 신뢰관계를 맺기 때문에 서로의 계정 사용가능

자식 도메인 생성 

=> 기존 포리스트 - 기존 포리스트에 새 도메인 만들기 

새 자식 도메인 대신 새 도메인 트리 루트 만들기(체크 해제)

새로운 트리 생성

고급모드 설치 -  기존 포리스트 - 

기존 포리스트에 새 도메인 만들기 - 새 자식 도메인 대신 새 도메인 트리 루트 만들기(체크)

SRV200의 DNS IP는 SRV100의 IP로 설정해주어야 한다

=> 같은 포리스트이기 때문

** 서로 다른 포리스트의 도메인

[포리스트 루트 도메인]

DC : SRV100

도메인 : kakao.com

CL100 [users:aaa]

[포리스트 루트 도메인]

DC : SRV200

도메인 : daum.com

CL200 [users:bbb]

자식도메인의 유저 CCC

이 부부분을 서로 다른 포리스트 끼리 설정 해주어야 한다.

cmd - netsh interface ip add dnsservers "로컬 영역 연결" 상대방 IP

=> 관리도구 - Active Directory 도메인 및 트러스트 - 만든 도메인 우클릭 속성 - 새 트러스트 - 트러스트 이름에 상대방 도메인을 입력 후 다음

(1)

다음과 같이 만들 트러스트 종류 2가지가 나온다.

1. 외부 트러스트(비전이적)

외부 트러스트는 도메인과 포리스트 밖에 있는 다른 도메인 사이의 비전이적 트러스트 입니다.

비전이적 트러스트에서의 관계는 도메인으로 제한됩니다.

2. 포리스트 트러스트(전이적)

포리스트 트러스트는 두 포리스트 사이의 전이적 트러스트입니다.

전이적 트러스트에서는 사용자가 한 포리스트의 도메인 중 어느 도메인에 있든지 다른 포리스트의 모든 도메인에서 인증할 수 있습니다.

전이적-> CL100에서 ccc 계정 사용 가능

비전이적- > 사용 불가능

서로 다른 도메인의 사용자 계정으로 로그인 불가

(2)

트러스트 방향

양방향 : 지정한 도메인, 영역 또는 포리스트에서 이 도메인에 있는 사용자를 인증할 수 있으며,

이 도메인에서 지정한 도메인, 영역 또는 포리스트에 있는 사용자를 인증할 수 있습니다.

단방향(받는 트러스트) : 지정한 도메인, 영역 또는 포리스트에서 이 도메인에 있는 사용자를 인증할 수 있습니다.

단방향(보내는 트러스트) : 이 도메인에서 지정한 도메인, 영역 또는 포리스트에 있는 사용자를 인증할 수 있습니다.

(3)

트러스트 파트너

- 이 도메인만 : 이 옵션은 로컬 도메인에 트러스트 관계를 만듭니다.

- 이 도메인과 지정한 도메인 모두 : 이 옵션은 로컬 도메인 및 지정한 도메인에서 트러스트 관계를 만듭니다.

지정한 도메인에 트러스트를 만들 수 있는 권한이 있어야 합니다. => 계정과 비밀번호를 알아야 함.

(4)

전체도메인 인증(체크)    :  내가 가지고 있는 모든 사용자 사용 가능

로컬 도메인에 있는 모든 리소스에 대해 지정된 도메인에서 사용자를 자동으로 인증합니다.

두 도메인이 같은 조직에 속하는 경우 이 옵션을 사용하는 것이 좋습니다.

선택 인증                     :  사용가능한 계정을 지정

로컬 도메인에 있는 리소스에 대해 지정된 도메인에서 사용자를 자동으로 인증하지 않습니다.

이 마법사를 마친 다음 지정된 도메인의 사용자가 사용할 수 있게 할 각 서버에 대해 개별 액세스 권한을 부여하십시오.

도메인이 다른 조직에 속하는 경우 이 옵션을 사용하는 것이 좋습니다.

다른 도메인 계정으로 접속 가능

[DNS 서버 서로 설정 하지 않아도 서로 트러스트 맺을 수 있도록 설정 하는 방법]

=>

서버 - 관리자 - DNS 관리자 - 좌측 서버 우클릭 속성 - [전달자] 탭 - 편집 - 상대방 포리스트의 IP 입력후 확인 적용

이 설정을 반대쪽 서버에서 동일하게

서로 양쪽에서 설정해야 함.