'Windows/AD'에 해당되는 글 10건

  1. 2017.06.19 AD join시 로그온 대상 제한 숫자
  2. 2014.12.03 AD OU 백업하기
  3. 2014.10.16 AD 정책 확인하기
  4. 2014.10.15 AD GPO 백업
  5. 2014.07.23 AD 계정별 Policy 설정
  6. 2014.04.18 AD 그룹 정책 관리
  7. 2014.01.17 AD 장애
  8. 2014.01.06 AD join시 Open Port
  9. 2013.08.28 AD 설정 1. 계정 2.로그인 대상
  10. 2013.04.11 AD 구성
posted by 은이종 은이종 2017. 6. 19. 18:03

AD 계정에 로그온 대상 서버의 갯수가 64대가 넘지 않았는데

아래와 같이 알람이 발생하고 추가가 되지 않는다


확인해본 결과


https://support.microsoft.com/en-us/help/938458/error-message-when-you-try-to-add-more-than-64-logon-workstations-this-property-is-limited-to-64-values


This problem occurs because the User-Workstations attribute has a Range-Upper value of 1,024 characters. When you enter the NetBIOS computer names by using Active Directory Users and Computers, the NetBIOS name has a maximum length of 16 characters. Therefore, you can store only 64 logon workstation entries.



'Windows > AD' 카테고리의 다른 글

AD join시 로그온 대상 제한 숫자  (0) 2017.06.19
AD OU 백업하기  (0) 2014.12.03
AD 정책 확인하기  (0) 2014.10.16
AD GPO 백업  (0) 2014.10.15
AD 계정별 Policy 설정  (0) 2014.07.23
AD 그룹 정책 관리  (0) 2014.04.18

댓글을 달아 주세요

posted by 은이종 은이종 2014. 12. 3. 11:25

 

기존에 GPO 백업을 포스팅하였습니다.

http://eun2jong.com/entry/AD-GPO-%EB%B0%B1%EC%97%85

 

이번엔 OU를 백업하는 방법을 포스팅합니다.

 

1.csvde 명령어를 이용한 단순 백업

OU 내보내기

csvde -f c:\user.txt

OU 가져오기

csvde -i -f c:\user.txt

c:\ 밑에 user.txt라는 파일이 생성됩니다.

 

문제는 OU 가져올 때,

시스템에 관련된 계정들(administrator 등)이 오류가 발생하므로, 가져올때는 제외하고 가져오기 해야합니다.

 

 

 

2. ntdsutil 을 이용한 스냅샷

Ntdsutil snapshot "activate instance ntds" create quit quit

 

참고)

http://technet.microsoft.com/en-us/library/cc753609%28WS.10%29.aspx



3. Windows Backup을 이용한 AD백업 (추천)

관리도구 - Windwos Server 백업을 통한 백업


참고)

http://technet.microsoft.com/ko-kr/library/cc754843(v=ws.10).aspx


세부내역은 추후 포스팅하겠습니다. 

'Windows > AD' 카테고리의 다른 글

AD join시 로그온 대상 제한 숫자  (0) 2017.06.19
AD OU 백업하기  (0) 2014.12.03
AD 정책 확인하기  (0) 2014.10.16
AD GPO 백업  (0) 2014.10.15
AD 계정별 Policy 설정  (0) 2014.07.23
AD 그룹 정책 관리  (0) 2014.04.18

댓글을 달아 주세요

posted by 은이종 은이종 2014. 10. 16. 10:31


현재 적용되어있는 AD정책 확인 명령어이다.

cmd창에서 

 gpresult /H 파일명.html

을 실행하면 현재 적용되어있는 정책이 파일명으로 저장된다.

저장된 파일을 열면 확인 가능
 

'Windows > AD' 카테고리의 다른 글

AD join시 로그온 대상 제한 숫자  (0) 2017.06.19
AD OU 백업하기  (0) 2014.12.03
AD 정책 확인하기  (0) 2014.10.16
AD GPO 백업  (0) 2014.10.15
AD 계정별 Policy 설정  (0) 2014.07.23
AD 그룹 정책 관리  (0) 2014.04.18

댓글을 달아 주세요

posted by 은이종 은이종 2014. 10. 15. 11:18

GPO 백업 방법

(1) GUI

그룹 정책 개체에서 '모두 백업'으로 전체 백업이 가능하며,
각각 그룹에서 따로 백업이 가능하다.

전체 백업을 하려면 '도메인'에서 백업 가능
 


(2) CMD 로

GPO파일의 폴더는

%SystemRoot%/Sysvol/Domain/Policies

이다

각 정책이 GPO ID로 폴더로 생성되어있다.

이 부분을 백업하면 된다.







 

'Windows > AD' 카테고리의 다른 글

AD OU 백업하기  (0) 2014.12.03
AD 정책 확인하기  (0) 2014.10.16
AD GPO 백업  (0) 2014.10.15
AD 계정별 Policy 설정  (0) 2014.07.23
AD 그룹 정책 관리  (0) 2014.04.18
AD 장애  (0) 2014.01.17

댓글을 달아 주세요

posted by 은이종 은이종 2014. 7. 23. 17:17

AD 운영하다보면 실제로 여러가지 계정을 사용하는데
그 계정마다 설정하고픈 Policy가 다르게 설정하는 방법


1. '그룹 정책 관리' 에서
 OU를 하나 추가한다. 간단히 Test로 생성



2. GPO도 생성


필요한 정책은 설정에서 넣어주시면 됩니다.

다 넣으셨으면 GPO 연결사용 및 GPO상태를 사용으로 바꿔주시면 됩니다.



3. 새로 생성한 OU인 Test에 필요한 서버들은(Computers) 'AD 사용자 및 컴퓨터' 넣어주시면 됩니다.






'Windows > AD' 카테고리의 다른 글

AD 정책 확인하기  (0) 2014.10.16
AD GPO 백업  (0) 2014.10.15
AD 계정별 Policy 설정  (0) 2014.07.23
AD 그룹 정책 관리  (0) 2014.04.18
AD 장애  (0) 2014.01.17
AD join시 Open Port  (0) 2014.01.06

댓글을 달아 주세요

posted by 은이종 은이종 2014. 4. 18. 17:32

 일반적으로 AD 그룹정책은 

 'Default Domain Policy' 정책에 적용하는 방법이 있고,
 새로 Policy를 만들어서 추가 하는 방법이 있다.
 
 후자로 한번 해보았는데, 정책 관리하는 부분에서 헷가리는 경우가 많아서....
 필자는 단순해서.. 전자를 사용하는 중이다.


1. 그룹 정책 관리

가. 컴퓨터 구성



계정, 로컬 정책 부분은 기본적으로 다 설정하리라 믿고,
추가적인 부분만  설명하겠다.

ㅇ 시스템 종료:가상 메모리 페이지 파일 지움

시스템 종료시 Pagefile.sys 파일을 0으로 채워서 파일을 Clear 하고 종료하는데
이 과정이, 파일 크기가 많은경우, 시스템 종료에 많은 시간이 소요 (30분이상도 봄...)

보안상,
멀티OS를 사용하지 않는 상태면 큰 이슈는 없다 (실제 Windows 서버에서 멀티OS사용하시는 경우가 ....ㅎㄷㄷ)

TechNet 참고링크)

http://technet.microsoft.com/ko-kr/library/cc740219(v=ws.10).aspx

 



ㅇ Windows 방화벽 OFF
구조상 상단에 물리F/W이 있어서, 실제 윈도우 서버에선 Windows방화벽을 Off하여 운영중이다.
구지 정책에 포함한 이유는

AD Join 후 Windows 방화벽이 올라가는 경우가 발생하기 때문에
AD 정책에 추가하였다.




추가적으로
그룹 정책 새로 고침 간격과, 로그인 시 기타 프로그램 띄우는걸 사용안함 처리하였다.


아래 내역은 시스템 트레이에 모든 알람표시 설정이다.
트레이에 이것저것 감춰있는게 많이 귀찮아서...




 AD join된 서버들에 Reg들을 배포할수 있는데,

언어관련 표시줄을 없애는 Reg이다.



"값 데이터의 세부내역이니 참고"

HKEY_CURRENT_USER\Software\Microsoft\CTF\LangBar


the ShowStatus value becomes 0 when we select the option "Floating on desktop"

the ShowStatus value becomes "4" when set to "docked on the taskbar"

the ShowStatus value becomes "3" when set to "hidden" which is the default.


기타 설정해두면 편리한 옵션이다.


 

 

'Windows > AD' 카테고리의 다른 글

AD GPO 백업  (0) 2014.10.15
AD 계정별 Policy 설정  (0) 2014.07.23
AD 그룹 정책 관리  (0) 2014.04.18
AD 장애  (0) 2014.01.17
AD join시 Open Port  (0) 2014.01.06
AD 설정 1. 계정 2.로그인 대상  (0) 2013.08.28

댓글을 달아 주세요

posted by 은이종 은이종 2014. 1. 17. 13:05


AD관련해서 로그 확인하는 명령어

1.  dcdiag

디렉터리 서버 진단

 

초기 설치를 수행하는 중:

   홈 서버를 찾는 중...

   홈 서버 = XH2-AD2

   * 확인된 AD 포리스트입니다.

   초기 정보 수집이 완료되었습니다.

 

초기 필수 테스트를 수행하는 중

 

   서버를 테스트하는 중: Default-First-Site-Name\호스트명-AD2

      테스트 시작 중: Connectivity

         ......................... 호스트명-AD2() Connectivity 테스트를 통과했습니다.

 

기본 테스트를 수행하는 중

 
...  

======================================================================

AD 운영에 필요한 기본적인 내용을 점검한다.



2.  repadmin

AD1과 AD2는 서로간의 정보를 복제하는데, 해당 내역을 확인하는 명령어

/repadmin /showrepl


Repadmin: 전체 DC localhost에 대해 /showrepl 명령을 실행합니다.
Default-First-Site-Name\호스트명-AD2
DSA 옵션: IS_GC
사이트 옵션: (none)
DSA 개체 GUID: 쏼라 쏼라 쏼라 쏼라 쏼라
DSA 호출 ID: 쏼라 쏼라 쏼라 쏼라 

==== 인바운드 인접 라우터 ======================================

DC=ad-rskp,DC=com
    Default-First-Site-Name\호스트명-AD1(RPC)
        DSA 개체 GUID: 쏼라 쏼라 쏼라
        마지막 시도 @ 2014-01-17 11:08:15이(가) 성공했습니다.

CN=Configuration,DC=ad-rskp,DC=com
    Default-First-Site-Name\호스트명-AD1(RPC)
        DSA 개체 GUID: 쏴랄 쏼라 솰라
        마지막 시도 @ 2014-01-17 10:49:58이(가) 성공했습니다.




3. nltest

nltest /sc_verify:도메인명
 
플래그: b0 HAS_IP  HAS_TIMESERV
트러스트된 DC 이름 \\쏼라 쏼라 쏼라 쏼라 
트러스트된 DC 연결 상태 Status = 0 0x0 NERR_Success
트러스트 확인 Status = 0 0x0 NERR_Success
명령을 완료했습니다.


I_NetLogonControl failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
Error 발생시, 

"nltest /dsgetdc:example.com /gc"
으로 체크



4. SID 확인
최근에 많이 사용하는 VM 장비들중에
sysprep /일반화를 하지 않아서 SID가 동일한 경우가 있따.

whoami /user로 확인



 


'Windows > AD' 카테고리의 다른 글

AD 계정별 Policy 설정  (0) 2014.07.23
AD 그룹 정책 관리  (0) 2014.04.18
AD 장애  (0) 2014.01.17
AD join시 Open Port  (0) 2014.01.06
AD 설정 1. 계정 2.로그인 대상  (0) 2013.08.28
AD 구성  (0) 2013.04.11

댓글을 달아 주세요

posted by 은이종 은이종 2014. 1. 6. 11:21

 도메인 조인 관련 포트


Protocol Port 설명
TCP 25 SMTP
TCP UDP 53 DNS
TCP UDP 88 Kerberos
TCP 135 RPC
UDP 137 NetBios
UDP 138 NetBios
TCP 139 NetBios
TCP UDP 389 LDAP
TCP UDP 445 Microsoft-DS (SMB)
TCP 636 LDAP SSL
TCP 3268 GC (글로벌 카탈로그)
TCP 3269 GC (글로벌 카탈로그) SSL
TCP "49152
~65535" EPM


TechNet URL 참조
http://technet.microsoft.com/ko-kr/library/dd772723(v=ws.10).aspx 
 

'Windows > AD' 카테고리의 다른 글

AD 계정별 Policy 설정  (0) 2014.07.23
AD 그룹 정책 관리  (0) 2014.04.18
AD 장애  (0) 2014.01.17
AD join시 Open Port  (0) 2014.01.06
AD 설정 1. 계정 2.로그인 대상  (0) 2013.08.28
AD 구성  (0) 2013.04.11

댓글을 달아 주세요

posted by 은이종 은이종 2013. 8. 28. 20:25


1. 계정생성 시, 소속되는 기본 그룹이다.





Domain Users 권한은 아래와 같은 권한을 갖는다

=> 네트워크 설정, 원격접속 및 User(프로그램 실행 권한, 시스템 변경은 불가)



AD 계정으로 서비스를 운영하기엔 부족한 권한으로 추가적인 권한을 넣는다

Domain Admins
해당 계정은  Administrator 권한을 보유한다.


Domain Users+ Domain Admins  두개의 권한이 있으면
기본적인 서비스가 가능한 AD 계정이라고 볼 수 있다.

=====================================================================================================

2. 로그인 대상 서버 설정

기본적으로 계정을 생성하면
그 계정은 AD join 이 되어있는 서버들에 접근이 가능하다.
보안상 취약함으로, 필요한 서버들만 접근이 가능하게 수정해야한다.

해당 계정에 우클릭 후 속성으로 들어가서 해당 쪽의 수정을 해주면 된다.






'Windows > AD' 카테고리의 다른 글

AD 계정별 Policy 설정  (0) 2014.07.23
AD 그룹 정책 관리  (0) 2014.04.18
AD 장애  (0) 2014.01.17
AD join시 Open Port  (0) 2014.01.06
AD 설정 1. 계정 2.로그인 대상  (0) 2013.08.28
AD 구성  (0) 2013.04.11

댓글을 달아 주세요

posted by 은이종 은이종 2013. 4. 11. 17:46

1. Active Directory 란 ?

Active Diretory(이하 AD)란  디렉토리 서비스이다. 디렉토리 서비스는 네트워크 리소스(사용자 및 컴퓨터, 그룹 등)와 같은 데이터를 저장하고, 네트워크 상에서 필요할 때마다 정보를 검색할 수 있게 해주는 서비스이다.

AD는 네트워트상의 모든 리소스에 관한 정보를 논리적 계층 구조로 저장하여 클라이언트들이 인증을 통해서 언제 어디서라도 그 리소스에 액세스 할 수 있게 해 준다.

① DNS와 통합

AD는 DNS(Domain Name System)를 사용한다. 계정에 대한 정보 등 DNS계정을 통하여 관리 진행이 된다.

② 확장성

관리자가 새로운 클래스를 스키마에 추가 하거나 기존의 크래스에 새로운 속성을 추가 할 수 있다. 스키마는 디렉토리에 저장할 수 있는 각 개체 클래스의 정의와 클래스의 속성을 말한다.

③ 정책을 기반으로 하는 관리

그룹 정책은 사용자나 컴퓨터가 처음 초기화될 때 적용되는 환경 설정이며 그룹 정책 개체(GPO)에 저장하며, GPO에는 디렉토리 개체와 도메인 자원에 접근할 때 적용되는 모든 권한이 설정되어 있다.

④ 정보 보안

AD의 보안 기능은 사용자 인증과 접근 권한 제어이며. 사용자 인증은 중앙에서 관리 하며 접근 권한 제어는 AD의 각 개체뿐 아니라 각 속성에서도 정의가 가능하다.

2. AD 설치 (DC서버 설치)

보통 DC는 DC1서버, DC2서버로 구성한다. (Active-Active)

DC1,2 서버에 AD서비스를 설치한다.

(1)  DC1번 서버에 AD도메인 서비스  서버 역할 추가.

실행창에 "dcpromo"를 입력하여 Active Directory 도메인 설치 마법사를 시작

2. 기존 포리스트에 추가하는 방법과 새 포리스트에 새 도메인을 만들 수 있습니다.

DC1에서는 새 포트리스에 새 도메인 만들기로 설치합니다.

추후 설치될 DC2에서는 기존 포트리스로 설치진행합니다. 자세한 부분은 밑에서 다시 설명하겠습니다.

4. 도메인 이름을 지정합니다.

5. 포리스트 기능 수준을 설정합니다. 사용하는 환경에 맞게 선택해 주시고 [다음]을 클릭합니다.

(제가 설치 진행 OS버전은 W2K8 R2 STD 입니다.)

6. 도메인 기능 수준을 설정합니다. 사용하시는 환경에 맞게 선택해 주시면 될 것 같습니다. [다음]을 클릭합니다.

7. 첫 번째 도메인 컨트롤러일 경우에는 DNS 서버 설치를 권장합니다. [다음]을 클릭하여 DNS 서버를 설치합니다.

주의점으로 DNS가 설치가되는 DC1는 TCP/IP 구성에서 반드시 자기 자신에게 DNS IP 구성을 설정해 주시기 바랍니다.

추가될 DC2번 IP도 미리 할당해 놓으면, 더 편하겠죠?


8. Active Directory 데이터베이스 저장경로를 지정합니다. 디폴트 설정으로 놓고 ㄱㄱ

9. 디렉터리 서비스 복원 모드 관리자 암호를 설정합니다.

10. 설정을 확인한 후 [다음]을 클릭합니다.

11. 서비스를 구성중입니다. 서버 스펙이 따라 차이가 있는데 보통 10~30여분정도 소요됩니다.

12. 설치가 완료되었습니다.

3. DC2 구성

DC를 이중화하여 구성하겠습니다.

시작하기에 앞서서 기본 DNS주소를 DC의 IP주소로 셋팅해 줍니다.

기존의 DC에서 이미 DNS서비스가 실행되고 있으므로 DNS서버의 주소를 DC의 주소로 셋팅하는 과정입니다.

차후 멤버서버가 도메인에 가입을 할 때에도 반드시 선행되어야 하는 과정입니다.

(이 과정을 거치지 않으면 설정 중간에 DC를 찾지못해 오류가 발생합니다.)

당연히 각 서버들과 통신이 잘되고 있는지 핑테스트를 합니다.

cmd 창에서 dcpromo를 입력한 후 마법사가 시작되면

'고급 모드 설치 사용'에 체크하고 다음으로 넘어갑니다.

두번째 DC도 DNS서버의 역할을 수행해야 하므로 체크박스에 체크를 하고 다음으로 넘어갑니다.

이 부분이 중요한 부분입니다.

'새 포리스트에 새 도메인 만들기'가 아닌

'기존 포리스트'-'기존 도메인에 도메인 컨트롤러 추가'를 선택하고 다음으로 넘어갑니다.

기존 도메인에 DC가 있는데 추가로 하나의 DC를 더 생성하는 과정이기 때문에 위와같은 단계를 거치게 됩니다.

'기존 포리스트에 새 도메인 만들기'의 경우는

지금은 하나의 포리스트에 하나의 도메인만 생성하지만

도메인을 여러개 만들고 싶을때 선택합니다

기존에 구성되었던 포리스트의 도메인 이름을 입력하면 됩니다.

이전 포스트에서 도메인 이름을 'lee'로 지정하였으므로, 해당 도메인 이름을 입력합니다.

또한 '현재 로그온되어 있는 자격증명'이 아닌

'대체 자격 증명'을 선택한 후 설정을 클릭합니다.

그러면 위와같은 인증화면이 나오는데

기존 도메인(lee)의 관리자 계정정보를 입력합니다.

정상적으로 입력을 하였다면 위와같이 기존에 생성되었던 도메인이 보여집니다.

하나밖에 나오지 않으므로 다음을 클릭합니다.

추가 옵션에 대한 선택화면입니다. 위와같이 설정한 후 다음으로 넘어갑니다.

지금부터는 기존 DC를 구성할때와 똑같이 진행됩니다.

'예'를 선택하고 넘어갑니다.

기존 DC의 데이터와 똑같은 데이터를 가지고 있어야 합니다.

네트워크로 연결이 되어있으므로

'네트워크를 통해 기존 도메인 컨트롤러에서 데이터복제'를 선택하고 다음으로 넘어갑니다.

어떤 도메인 컨트롤러에서 정보를 가져올 지 선택합니다.

현재 네트워크에는 DC가 한대밖에 존재하지 않으므로 하나만 나타납니다.

선택하고 다음으로 넘어갑니다.

각종 설정파일의 보관위치 설정입니다.

마지막으로 설정한 내용에 대한 요약화면이 나오고

다음을 누르면 DC구성이 시작됩니다.

완료 후 재부팅이 시작됩니다.

주 DNS주소는 기존 DC의 주소인 10.10.10.10

보조 DNS주소는 두번째 DC,즉 방금 구성한 서버의 주소인 10.10.10.11 ( 혹은 127.0.0.1 ) 을 넣어줍니다.

이렇게 되면 두번째 DC의 설정도 완료됩니다.

4. AD를 구성하는 각 서버들의 AD클라이언트 설정

도메인 조인을 합니다. 여전히 재 부팅은 필요하네요..

'Windows > AD' 카테고리의 다른 글

AD 계정별 Policy 설정  (0) 2014.07.23
AD 그룹 정책 관리  (0) 2014.04.18
AD 장애  (0) 2014.01.17
AD join시 Open Port  (0) 2014.01.06
AD 설정 1. 계정 2.로그인 대상  (0) 2013.08.28
AD 구성  (0) 2013.04.11

댓글을 달아 주세요