» 윈도우 서버+가상화 » Active Directory: 도메인 컨트롤러 무작정 설치하기(윈도우 서버 2012 R2 한글판)

Active Directory: 도메인 컨트롤러 무작정 설치하기(윈도우 서버 2012 R2 한글판)

스크린샷 설명: 아무것도 설치되지 않은 깨끗한 Windows Server 2012 R2액티브 디렉터리 도메인 컨트롤러 설치 ~ 클라이언트 1대(Windows 8.1) 로그인까지. 액티브 디렉터리 구축의 기초 .

관련 포스트: [노트] Windows Server Active Directory 기초(꼬알라 공부방)

1. Active Directory Domain Services 설치

ws2012r2_dns_dhcp_ad_setup_02
먼저, 컴퓨터 이름을 변경한다
AD수업01_0
서버 IP와 DNS를 변경한다.

▲ 최초의 도메인 컨트롤러가 될 서버의 IP와 DNS를 다음과 같이 변경.

  • IP 주소: 100.0.0.1
  • 서브넷 마스크: 255.255.255.0
  • 기본 설정 DNS 서버: 100.0.0.1 (자기 자신)

메모:

  • DNS
    • MS에 뭐가 잘 안 된다는 문의의 70% 이상이 DNS 문의라고 함
    • Computer name -> ip로 바꿔줌(lookup) – 일반적으로 많이 사용
    • Ip를 Computer name으로 바꿈(forward)
      • 클라이언트가 DNS 주소를 168.126.63.1 (KT DNS)를 가리키면? DC를 못 찾을 것임
      • AD가 세팅된 DNS를 바라봐야 정상적으로 작동함
ws2012r2_dns_dhcp_ad_setup_08
다음으로 로컬 서버에 ‘Active Directory 도메인 서비스’를 추가한다.
AD설치_01
관련된 기능들이 한꺼번에 설치된다.

2. 서버를 Domain Controller로 승격

도메인 컨트롤러 기능이 설치되면 알림 깃발을 눌러 '도메인 컨트롤러로 승격'을 누른다
도메인 컨트롤러 기능이 설치되면 알림 깃발을 눌러 ‘도메인 컨트롤러로 승격’을 누른다

▲ 옛날에는 Domain Controller를 내리려면 OS를 삭제해야 했다. 그래서 옛날 명령어가 dcpromo라고…(지금은 사용 불가능한 명령) 이제는 기능을 OS에 올리고 내리는 컨셉이 적용되었다고 한다.

루트 도메인 이름에는 원하는 도메인 명을 넣어도 된다. 기존에 보유한 도메인을 나중에 연결할 수도 있을 것 같다.
루트 도메인 이름에는 원하는 도메인 명을 넣어도 된다. 기존에 보유한 도메인을 나중에 연결할 수도 있을 것 같다.

▲ 메모:

  • 도메인(Domain)?
    • DC가 영향을 미칠 수 있는 범위
    • 중앙에서 인증하는 방식(AD의 주 역할)
AD설치_04
AD(Active Directory)의 기능 범위를 정하고, DSRM(디렉터리 서비스 복원 모드) 암호를 입력한다.

▲ 포리스트 및 복원 암호를 입력한다. 먼저 AD(Active Directory)의 기능 수준을 정하자. Microsoft는 보통 하위 2개 제품까지 호환성을 보장하기 때문에

  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

위 4개 중에서 하나를 선택해서 진행 가능했다. 그리고 DSRM(Directory Services Restore Mode)은 AD가 깨졌을 때 쓸 암호로, 옛날 방식이라고 한다.

AD설치_05
DNS 옵션이 나타난다. 알림 메시지가 뜨지만 무시하면 된다.

▲ ‘권한 있는 부모 영역이 없거나 권한 있는 부모 영역에서 Windows DNS 서버가 실행되고 있지 않고 있으므로 이 DNS 서버에 대한 위임을 만들 수 없습니다. 기존 DNS 인프라와 통합하는 중이면 “archmond.com” 도메인 외부에서 이름 확인을 신뢰할 수 있도록 이 DNS 서버에 대한 위임을 수동으로 만들어야 합니다. 그렇지 않으면 아무 작업도 필요하지 않습니다.’ 라는 메시지가 나타난다.

이야기가 너무 복잡하게 되어 있고 한국어인지 의심이 가는 문장인 것 같다. 추후 DNS 서비스를 설치해서 직접 운영해봐야겠다. 그러면 이해가 가겠지… ;;

AD설치_06
‘NetBIOS 도메인 이름’에 처음에 입력했던 도메인에서 .com이나 .net 등의 최상위 도메인(TLD; Top Level Domain) 명을 제외한 이름이 자동으로 입력되어 있다.

▲ 메모:

  • 컴퓨터 이름 길이를 몇 자 이내로 해야 하는 이유?
    • NETBIOS 때문
      • 옛날에는 NetBbeui를 사용했음. 이젠 NetBIOS 이름이 hostname이 됨
AD설치_08
‘검토 옵션’에서는 지금까지 선택했던 옵션들의 확인을 거친다.
AD설치_07
AD DS(Active Directory Domain Services)의 데이터베이스, 로그 파일 및 SYSVOL 위치를 지정한다. 기본 값으로 진행.

▲ 메모:

  • AD는 데이터베이스
    • 검색 가능
    • LDAP – Database 표준 방식
    • 주소록을 쿼리 하는 것
AD설치_09
‘필수 구성 요소 확인’ 문제 없으면 다음으로~
AD설치_10
내가 알 수 없는(?) AD 설치 과정이 지나간다. Virtual Machine에서 실행해서 그런지 조금 시간이 걸렸다.
AD설치_11
Active Directory Domain Services가 설치되었기 때문에 컴퓨터를 다시 시작한다.

휴, 이제 일단락되었다.

AD설치_12
다시 시작하고 나면 ‘NetBIOS 도메인명Administrator’ 이름으로 로그인하게 된다.

3. 클라이언트를 AD에 가입시키기

윈도우 8.1에서 AD에 가입하기

AD설치_15
IP 주소와 DNS를 적절히 입력한다.

▲ AD에 클라이언트를 연결하기 위해 다음과 같이 설정했다.

AD설치_16
시스템 속성에서 ‘컴퓨터 이름/도메인 변경/을 통해 AD에 가입한다.
AD설치_17
도메인 컨트롤러 서버의 아이디와 비밀 번호로 로그인한다.

 

AD설치_18
클라이언트 컴퓨터의 AD 조인 완료!

 

이것도 살펴보세요!

Azure Cloud Shell(Linux Bash)

에헹? Azure Portal에서 Linux Bash가? 콘솔 버튼이 생겼다! 아마 Bash or PowerShell로 적용 가능할 것 …

20 댓글

  1. 저도 윈도우서버 배워야 하는데 윈도우 서버 설치 파일을 구해야 하는데, 윈도우 서버 2012R2한글판은 어디서 구하나요? 마이크로소프트 홈페이지에 없더라구요.

  2. 우와.. 좋은자료 감사합니다^^

  3. 윈도우 8.1에서 AD서버에 계정을 가입할 경우에 UAC를 반드시 활성화해야 매트로 앱이 실행되는 문제가 있더군요. 이 부분에 대해서 질문을 드리고 싶습니다.

  4. 안녕하세요 아크몬드님, 서버2012 ad 구성과 클라이언트 pc에서 조인 하는 것과 관련하여 궁금한게 있습니다.

    질문1> 서버 2012 에서 컴퓨터 이름과 아이피 주소를 꼭 수동(static)으로 잡아주어야 하나요?? 그냥 DHCP 방식으로 할당되는 아이피는 안되는 건지요?? (어차피 가상머신이라 192.168 대역으로 잡힐 텐데 말이죠)

    질문2> 먼저 버추얼 박스에서 서버2012의 네트워크 구성을 NAT으로 설정하고 AD를 설치하고 구축하면 클라이언트 PC에서 왜 조인을 하지 못할까요?? NAT으로 안되서 버추얼 박스 네트워크 설정을 브리지 어댑터로 변경하고 클라이언트 PC에서 조인시 조인이 되었습니다.

    질문3> 서버2012 에서 서버를 구축하고 난 후 서버 도메인 컨트롤러로 승격시키고 나서 해당 도메인에 몇 명의 유저를 제가 추가 시켰습니다. 해당 유저를 추가 시키면서 암호를 정할 때 아래 옵션에 첫 로그온 시 암호 변경 하도록 체크가 되어있는데. 이걸 체크 한 상태로 유저를 추카 시켜 놓으면. 해당 클라이언트 PC에서
    도메인 조인할 시 도메인 에 가입 하는 동안 다음 오류가 발생했습니다. 로그인 하기 전에 사용자 암호를 변경해야 합니다. 라고 뜨면서 조인이 안되더라구요. 물론 서버에서 이 옵션을 체크 해제 하면 조인이 문제가 없는데. 반드시 체크 해제 해야만 하는건가요?? 체크를 해두는 상태로 도메인 조인 할 수 있는 방법이 있는지 알고 싶습니다.

    • 안녕하세요.
      1> (저도 초짜라..ㅎ) DC의 DNS를 ‘유일하게’ 바라보도록 설정해야 다른 DNS와 충돌이 없을 것이며, 조직에 대한 DNS 정보를 불러들일 수 있을 것이기 때문에, 최초 DNS를 꼭 정적인 DNS로 적어줘야 하는 것 같습니다.

      2>DC(DNS)의 IP를 어댑터의 DNS에 넣고, ping 명령어 등으로 서로간 통신이 되면 OK입니다.(궁금증님의 네트워크 환경을 잘 몰라 구체적인 답변은 못 드리겠습니다만…)

      3> 도메인에 조인하는데만 사용하는 전용 계정을 만들어 보심이 어떨까요? 사용자 계정은 그 다음 이야기(로긴 화면에서 ‘다른 사용자 계정으로 로그인’)로 치부하셔도 좋을 것 같습니다.
      아마 비밀번호를 첫 로그인 시에 변경하도록 설정했는데, 도메인 조인 시에는 변경이 되지 않은 상태다 보니 그런 현상이 나는 것 같습니다.(제가 질문을 제대로 이해했나요? ㅎ)

      감사합니다.

    • 아, 그리고 참고로 ‘오프라인 도메인 조인’이라는 것이 있습니다.

      오프라인 도메인 조인
      • 클라이언트가 DC와 통신하지 않고도 도메인 조인 상태를 얻을 수 있다.
      • 바로 보안 채널이 생성되지는 않음. 최초로 네트워크로 연결될 때 보안 채널이 생김.
      • 특별한 요구 사항은 없음
      ○ 클라이언트는 윈도우 7 이상

      http://archmond.net/?p=2592 참고하세요.

  5. 안녕하세요 네트워크를 공부하고 있는사람입니다.

    windows server 2012 r2 를 사용중인데요.

    A서버와 B서버(Router로 사용하고있습니다.)가 있을때, A서버는 AD와 내부DHCP를 동시에 구성했고

    B서버는 외부 DHCP를 구성했습니다. 문제는 B서버에서 권한오류가 생기는데 B서버는 도메인에 가입하지 않습니다.

    이럴때는 어떻게 해야할까요??

  6. 클라이언트에서 AD 가입 시에는 무조건 Administrator 계정으로만 가입할 수 있나요?
    관리자 계정에 암호가 노출되면 보안상에 문제가 되지는 않는지??

  7. 원래 아무런 방화벽 설정 없이 도메인에 조인이 가능한가요?
    핑조차 날아가지 않는데 상관없는건가요? 계속 가입이 안되네요… 계정입력 창 또한 뜨질 않네요.

  8. 안녕하세요?
    궁금한게 있어서 이렇게 남깁니다.
    웹티즌에서 제가 사용중인 도메인이 있는데요.
    제가 만든 DNS 서버에서 웹티즌 네임서버에 대한 설정 작업이 필요한게 있나요?
    웹티즌에 제가 만든 DNS 서버를 등록만 하면 되는건지 궁금 합니다.

  9. 안녕하세요? 한 가지만 여쭤보려고 합니다. 혹시 포티게이트라는 방화벽과 AD 서버를 연동해보신적 있으신가요?

  10. 안녕하세요 MS 엔지니어로 이직한 풍류서생이라고 합니다.
    예전에 VMware 카페에서 봤던 분인거 맞나요?

  11. 국내에 MS 윈도우 서버나 인스체인지 관련 테크 블로그가 많지 않은데
    자세한 스크린 샷 포함한 정성스런 아티글들 덕분에 많인 도움 되었습니다.
    앞으로도 좋은 글들 기대합니다~

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.