1탄: ‘Active Directory: 도메인 컨트롤러 무작정 설치하기‘에 이어 이번엔 2대를 연결해봅시다…!

DC(도메인 컨트롤러) 두 대 만들어 연결하기

• AD는 클러스터링이 아니라 여러 대를 둔다!

첫번째 도메인 컨트롤러 만들기!

▲ 새 가상 머신 만들기

▲ VM을 만들 때부터 네이밍 규칙에 신경 쓰기.

네이밍 방법에도 道가 있다능… 관련 문서 찾아보기.

실무에서 먹히는 네이밍을 하자.

기관명-서버역할+순번

-> 일단은 이렇게 이해하고 있음.

▲ 세대 선택

1,2세대 차이?

• 가상 하드 디스크 파일의 확장명이 다름(VHD, VHDX)
• 위에서 설명하는 대로 좀 더 간결한 모던 PC 형태의 가상 컴퓨터가 만들어 지는 듯
• 2세대는…
  • UEFI – Secure Boot 지원
  • SCSI – Hot swap 지원
  • PXE boot 지원
  • 최소 Windows Server 2012 or Windows 8(64-bit) OS가 필요

▲ 메모리는 얼마나 할당할 것인가?

추후 변경 가능하지만 일단은 OS 설치에 필요한 양을 넣어봐야 할 듯. 개인적으로 2GB정도가 알맞다고 생각하지만, 전체 메인 메모리의 용량(울집 데스크탑은 8GB가 꽂혀 있다)을 생각하면 그리 여유롭지도 않은 듯. 1500 정도로 할당했다. VM 실습을 하려면 최소 16GB RAM 정도는 있어야 할 듯…

다이나믹 메모리는 익숙치 않아 고정으로 설정.

▲ 일단 DC끼리만 통신할 것이므로 Private로 설정. 추후 수정 가능. 외부망과 통신하지 않음

외부(External) – 밖으로 나가는 것

내부(Internal) – VM끼리, 호스트와 통신

개인(Private) – VM끼리만

▲ VHD 파일 크기 결정.

▲ 이미지 파일(ISO) 선택

▲ 만들어질 VHD 파일의 정보

▲ VM을 시작해서 설치에 들어감.(체험판 다운로드는 이곳에서)

▲ 설치완료. Local Account로 로그인

▲ 컴퓨터 이름 정하기. 최대한 짧게 해당 머신에 대한 설명이 가능한 이름을 붙인다.

▲ 시스템 다시 시작

▲ DC01번 서버의 IP와 서브넷을 정해줌. DNS 서버는 자신을 가리키도록 설정.

지금은 IP나 DNS에 대해 어떻게 구성해야 하는지 잘 모르겠다 ;; 후니의 시스코 책을 빨리 읽어봐야 할 듯…

▲ AD Domain Services 설치

설치 후 Domain Controller로 서버를 Promote하는데, Windows Server 2012 이전에는 DCPROMO 명령으로 실행했다고 함.

▲ Forest 이름 정하기.

보통은 .com이나 .net 등 인터넷(외부망)에 연결되는 주소로 입력하는 줄 알았으나, .(comma) 뒤의 이름을 일반적인 public domain name과 다르게 입력하는 것으로 Exchange Server를 효율적으로 구축하는 데 도움이 된다고 한다. 실무에서는 어떤 식으로 이름을 붙이는지 많이 살펴보는 것이 좋을 것 같다.

▲ 포레스트 기능 수준 정하기.

일반 기업에서 2003 서버를 아직도 많이 쓰고 있어서 2008로 업그레이드 해서 쓰는 경우가 많다고 함. 가장 하위에서 지원하는 2008 수준으로 Forest 기능 수준을 낮춰서 설치해봄.

▲ 없는 줄 알았는데 포리스트 수준을 낮추니 하단의 Domain functional level도 함께 낮출 수 있었음.

그 밑에 있는 DSRM(Directory Services Restore Mode) 비밀번호는 AD를 내리게 될 때(AD에 심각한 문제가 발생했을 때) 사용하게 될 듯. ‘회사가 문닫는 경우? ㅎㅎ’ 관리자 비밀번호와 동일하게 설정함.

▲ ‘DNS 서버가 실행되고 있지 않으므로 기존 DNS 인프라와 통합한다면 archmond.local 외부에서 DNS 서버에 대한 위임을 수동으로 만들어야 합니다’ 라고 함. 무슨 뜻인지 잘 이해되지 않음.

▲ 자동으로 NETBIOS에서 사용 가능한 길이로 줄여줌.

TLD(Top Level Domain; 여기서는 .local이 해당됨)명을 제외한 이름. \\archmond(NETBIOS 이름)\계정명 으로 로그인 가능

▲ 데이터베이스, 로그 파일 및 SYSVOL 폴더의 위치 지정.

위 설정대로면 기본적으로 Database 및 Log 파일은 C:\Windows 하위에 저장됨. Administrator 권한이 없으면 접근 불가능. 운영체제에 문제가 생겨 C 드라이브에 이상이 생기면 손실될 수 있다는 생각도 듬. 로그 파일은 보안이나 관리에 중요한 역할을 하므로 중요하다는 이야기를 들음.

SYSVOL 폴더는 사용자 로그인 시 공지를 보여주거나 정책을 내려보낼 수 있는 듯.(이 폴더의 권한을 인사관리팀 등 다른 사람에게 부여하면 관리가 좀 더 편해질 가능성)

(일단은 잘 모르니 기본값으로…)

▲ 필수 구성 요소 확인.

▲ View script 결과는 다음과 같다.

▲ Windows NT 4.0 지원을 하지 않는다는 메시지와 Windows DNS 서버가 실행되지 않고 있어 이 DNS 서버에 대한 위임을 만들 수 없다는 메시지가 나타남.

▲ 자동 재부팅(조금 기다려야 함)

▲ NETBIOS명\Administrator 로그인

Workgroup을 벗어나면 긴장된다…

▲ 잘 로그인 되었다.

▲ AD Users and Computers 제어판을 보니 DC01이 Domain Controllers에 나타난다.

▲ AD까지 딱 설치했을 때 8.87GB를 사용하고 있다.

▲ %windir%\NTDS 폴더를 보니 로그 및 데이터베이스 파일이 위치하고 있음. 총 72MB. edb가 데이터베이스라는 느낌만 옴.

(뭐가 로그인지 모르겠음… 살펴봐야 알 듯)

▲ %windir%\SYSVOL에는 domain, staging, staging areas, sysvol 총 4개 폴더가 보임. 각각 무슨 역할을 하는지는 아직 미지수…(정책을 저장하고 있나??)

두번째 도메인 컨트롤러 만들기!

▲ 이번에는 2세대 VM으로…

두 번째 도메인 컨트롤러의 Administrator 계정(기본 Workgroup) 비밀번호는 1번 DC와 다르게 설정했다.

▲ 컴퓨터 이름을 DC02로 명명. 시스템 다시 시작.

▲ DC02의 IP 주소와 서브넷 마스크 입력.

여전히 잘 모르겠지만… 일단 DC의 IP대역에서 다음 번 주소로 IP를 설정, DNS 서버는 DC01을 따라감.

▲ 아직은 AD01에 ping이 가지 않는다. 직접 100.0.0.1을 입력했을 때는 반응이 있음.

AD를 설치하자…

▲ AD 서비스를 설치하고 도메인 컨트롤러로 승격할 때 그냥 Select 단추를 누르면 아무 것도 나타나지 않았다.

▲ 그래서 하단의 Change 단추를 눌러 archmond\Administrator 계정으로 로그인을 시도. OK.

▲ 이제 select를 누르니 archmond.local 이라는 AD Forest가 나타났다. 휴~

▲ 재밌게도 select를 다 하고 나니 archmond 에서 archmond.local이라고 도메인 입력이 바뀜. NETBIOS 명만 입력해도 큰 문제가 없는 듯?

▲ GC는 DC02에도 부여해야 하는 기능인 것은 알겠는데, DNS server를 체크하면 01번과 함께 DNS 서버 기능을 수행하게 되는 건가? 좀 헷갈린다.(DNS 서버 기능을 중복해서 실행할 수 있는가?)

그리고 Site name은 Default-First-Site-Name이라는 DC01의 형식을 따라가는 듯 하다.

DSRM 비밀번호도 DC01에서 입력했던 것과는 좀 다르게 입력해봤다.

▲ 요 화면도 DC01과 동일하게 나타난다.

▲ IFM 옵션은 뭐지? +_+

복제(Replication) 옵션을 선택할 때 모든(의미가 정확한지는 모르겠다) 도메인 컨트롤러로부터 복제하는 옵션이 하나 있고, 하나는 특정 DC에서만 복제해오는 것 같다.

옵션별로 구체적으로 로그나 데이터베이스나 글로벌 카탈로그를 어디서 얼만큼 나눠서 가지고, 복제를 하게 되는지 궁금하다.

일단은 Any domain controller로 설정.

네트웍 상에서 broadcast 255번으로 확인한다고 함.

▲ 로그, 데이터베이스, SYSVOL 폴더 위치 선택.

▲ View script 단추를 눌러 파워쉘 스크립트 확인. DC01과 어떤 차이가 있는가?

▲ 참고: DC01의 스크립트.

▲ DC01에서의 경고 문구와 동일하다.

▲ AD 마무리 도중 ping을 DC01로 쏴보니 제대로 응답.

▲ IPv4 형태로 출력도 해봄. 제대로 되는구나!

ping hostname -4

▲ 자동으로 다시 시작.

▲ 재부팅하고 오면 DC02도 archmond\Administrator 계정이 자동으로 입력되어 있음.

▲ DC02.archmond.local 로 잡힘.

▲ DC02의 NTDS 폴더. 76MB 만큼 파일이 들어 있음.

ntds.dit 파일이 20,496KB에서 24,592KB로 크기가 증가한 듯.

▲ DC01의 NTDS 폴더. 여전히 72MB 크기.

• 차이는 ntds.dit 파일에서 나온다.
  • DC01의 ntds.dit: 20,496KB
  • DC02의 ntds.dit: 24,592KB

▲ SYSVOL 폴더도 동일한 모양인 듯.

▲ AD Users and Computers에 보니 Domain Controllers 하위에 DC01, DC02가 나란히 배치되어 있다.

▲ DC02의 설정을 보면 NTDS Settings를 눌러 Global Catalog 포함 여부를 선택할 수 있다.

어제 했던 연습은 여기까지. 각 DC들은 3시간마다 복제를 한다고 함.

익스체인지 서버 설치를 해봐야 하는데… DC 설치하는 데만 해도 시간이 꽤나 걸리는 듯…

thanks to 김병진 이사님