ADDS, Active Directory Domain Service #

1.2 ADDS Install #

서버 매니저에서 Roles을 선택후 Add Roles를 누릅니다.
추가할 Roles중 ADDS를 선택후 다음을 누릅니다.

---

설치전 알림내용을 읽어보자, DNS가 네트워크내에 없으면 설치해야하고, DFS에 대한 언급도 하는군요.
dcpromo를 실행해야 Full DC가 된다고 합니다.
가볍게 Next를 누릅시다.

---

Install버튼위에 다시한번 dcpromo에 대한 애기를 합니다. (설치가 완료된후 체크 박스가 있어 Flish를 누르면 자동으로 dcpromo를 실행할수 있습니다.)

---

아래 화면은 dcpromo화면 입니다.
(시작->실행 dcpromo.exe 엔터)

---

위에서 체크한 어드밴스 모드시 추가되는 마법사 페이지 내용입니다.
(여기서도 어드밴스 모드로 설치를 진행하겠습니다.)

---

새로 포리스트를 만들것인지 기존 포리스트를 확장할것인지 묻는 페이지이네요.
기존 포리스트가 없기 때문에 새포리스트를 선택후 Next를 누릅니다.

---

포리스트의 도메인 이름을 지어줍시다. 전 hahn1.net으로 하였습니다^^

---

Netbois이름을 지정해 줍니다. 도메인 이름과 같이 주는게 좋습니다. hahn1이렇게 입력후 Next

---

설치해야할 서비스인데 제일 처음 도메인 컨트롤러는 GC(Global Catalog)가 무조건 설치되야하고, RODC는 될수 없다 하네요. 참고로 DC 이외의 머신에서 DNS를 관리하면 장애가 발생할 확률이 높습니다. DC에 같이 설치해주시길 권장합니다.

---

포리스트 레벨과 도메인 레벨을 지정하는 페이지 입니다. 2008 모드시 새로운 기능인 DFS서비스를 사용할수 있습니다. 호환성을 위해선 2003모드가 좋겠지요^^;

---

도메인 레벨 2003모드

- universal groups
- group nesting
- group type conversion
- SID history
- Constrained delegation, which an application can use to take

advantage of the secure delegation of user credentials by

means of the Kerberos authentication protocol.

- lastLogonTimestamp updates: The lastLogonTimestamp attribute is

updated with the last logon time of the user or computer, and it is
replicated throughout the domain.

- The ability to set the userPassword attribute as the effective

password on inetOrgPerson and user objects.

- The ability to redirect the Users and Computers containers

to define a new well-known location for user and computer accounts

도메인 레벨 2008모드

- universal groups
- group nesting
- group type conversion
- SID history
- Constrained delegation, which an application can use to take

advantage of the secure delegation of user credentials by

means of the Kerberos authentication protocol.

- lastLogonTimestamp updates: The lastLogonTimestamp attribute is

updated with the last logon time of the user or computer, and it is
replicated throughout the domain.

- The ability to set the userPassword attribute as the effective

password on inetOrgPerson and user objects.

- The ability to redirect the Users and Computers containers

to define a new well-known location for user and computer accounts.

- Distributed File System Replication support for SYSVOL, which

provides more robust and granular replication of SYSVOL contents.

- Advanced Encryption Services (AES 128 and 256) support for the

Kerberos protocol.

- Last Interactive Logon Information, which displays the time of

the last successful interactive logon for a user, the number of failed logon
attempts since the last logon, and the time of the last failed logon.

- Fine-grained password policies, which make it possible for

password and account lockout policies to be specified for users and
global security groups in a domain.

NTDS.dit 파일의 데이터베이스와 로그, 그룹정책과 스크립트를 배포할 SYSVOL의 위치를 지정합니다.
여기서는 기본 디렉토리 선택후 Next를 누릅니다.

---

디렉토리 복원 모드에서 사용할 관리자 암호를 저정하는건데요. 혼동되면 않되는게 이 암호는 디렉토리 복원 모드의 administrator에만 쓰인다는 겁니다!

---

수고하셨습니다. 기존 구성을 파일로 저장하여 마법사를 통하지 않고 미리 설정된 값에 따라 설치를 진행할수 있습니다.

dcpromo answer simple.txt 옵션은 미리 지정되어 있지만 마법사를 확인하며 진행되며 변경 가능

dcpromo unattend simple.txt 미리 지정된 옵션으로 바로 설치 진행 

그룹정책으로 할수 있는 작업

1. 소프트웨어 배포하기
2. 사용자 권한 설정
3. Windows server 2003시스템의 설정 제어
4. 로그온, 로그오프, 시스템의 시작과 종료 스크립트 설정하기
5. 일반적인 데스크탑 제한 사항

사용자 정책은 로그온시에 적용됨

컴퓨터 정책은 부팅시에 적용됨

자동 정책 적용 타임90+오프셋

바로 적용하는 방법 gpupdate /force

Windows XP는비 동기식으로 로그인하여 빠르다. 로그인후 정채적용

예외 스크립트와 보안정책(도메인단위로 구성해야함) 은 동기식으로 바로 적용됨

RSOP.MSC 를 통해 현재 제공받고 있는 정책을 확인할수 있음

GPMC툴 설치

관리 템플릿 추가하기

adm확장자로 제공됨

보안 정책 템플릿 변경하기

inf확장자로 제공됨

그룹정책 복제시 클라이언트는 netlogin 서비스

DC간은 복제는 FRS서비스

사용자 및 서비스를 인증하기 위해 이 컴퓨터와 도메인 컨트롤러 사이에 보안된 채널을 유지합니다. 서비스를 중지하면 컴퓨터에서 사용자 및 서비스를 인증할 수 없고 도메인 컨트롤러에서 DNS 레코드를 등록할 수 없게 됩니다. 서비스를 사용하지 않도록 설정하면 관련된 모든 서비스를 시작할 수 없습니다.

PDC에물레이터가 그룹정책을 관리함

    PDC의 역활

암호, 시간동기화, 정책관리, NT의 BDC역활, 도메인간의 보안채널 생성 및 관리

*그룹정책의 경우 꼭 PDC가 관리하지 않아도 됨(기본값은 PDC)

    PDC 에뮬레이터 다운시 클라이언트

    /netdom reset , /netpdc

    *보안채널 초기화 방법 참고

GPO는 2개로 분류됨

GPC (AD개체)-> DNS를 통해 RPC 프로토콜로 복제함

GPT (sysvol)->Netbios를 통해 RPC프로토콜로 복제함

사이트->도메인->OU->로컬정책으로 적용받음

복제 간격

AD는 5분에 한번씩 복제함(FRS서비스를 통해서) 단 보안 정책은 바로 적용됨

저속연결문제점

500,kbps이하일 경우 정책 적용이 제한됨

레지스트리 기반 설정 :설정

Internet explorer유지 관리 설정 :해제

소프트웨어 설치 설정 :해제

폴더 재지정 설정 :해제

스크립트 설정 :해제

보안 설정 :설정

IP 보안 설정 :해제

EFS 복구 설정 :설정

디스크할당량 설정 :해제

루프백 처리

바꾸기 모드 : 컴퓨터에 적용되는 GPO만 처리

병합 모드 : 사용자개체를 우선 적용

AD 복제 소개

• 내결함성 도메인 컨트롤러를 사용할 수 없는 경우 Active Directory를 사용하기 위해 도메인 컨트롤러를 교체하지 않아도 된다. 도메인 내에 동일한 정보를 가진 도메인 컨트롤러가 있기 때문에 내결함성을 사용할 수 없다.
• 트래픽 분산 도메인 컨트롤러는 네트워크 전체에 분산될 수 있으며 여러 실제 사이트에 배치될 수 있다. 즉 조직의 직원들이 출근하여 동시에 접속하는 경우 특정 도메인 컨트롤러에만 접속하지 않고 라운드 로빈 방식을 이용하여 트래픽을 분산시킬 수 있다.

사이트 설정시 AD끼리 복제간격 최소 15분(기본은 5분)(기본 설정 180분)

 복제 충돌 해결

버전번호(USN) : 1부터 시작하여 업데이트마다 값이 1씩 증가한다 USN넘버가 높은 계체로 교체

시간 스탬프 : 시간 스탬프는 업데이트가 수행된 도메인 컨트롤러의 시스템 시계에 따른 업데이트의 시작 시간 및 날짜

서버 GUID: 업데이트가 수행된 도메인 컨트롤러의 구별하는 시작 DSN

충돌 되었을 경우 LostAndFound디렉토리에 보관됨 (AD사용자및 컴퓨터)

NTDS.DIT (디렉토리 데이터 저장소)

디렉토리 파티션

Domain ->사용자및 컴퓨터

Configuration ->사이트및 서비스

Schema->모든개체의 정의 포리스트마다 스키마가 하나씩만 있을 수 있다.

참고: 홈 폴더의 네트워크 경로를 지정하려면 먼저 네트워크 공유를 만들고 사용자 액세스를 허용하는 사용 권한을 설정해야 합니다. 이 작업은 서버 컴퓨터의 컴퓨터 관리에서 공유 폴더를 사용하여 수행할 수 있습니다.

도메인 사용자에 홈 폴더를 할당하려면 다음과 같이 하십시오.

도메인 이름 바꾸기(Domain Name Rename)

Active Directory Domain Rename 을 위한 관련 문서와 제반 사항에 관련된 내용입니다.

첨부해 드리는 문서는 Domain rename tool의 소개와 step-by-step으로 rename 과정을 설명한 문서입니다. 첨부한 문서를 잘 읽어봐 주시기 바랍니다.

[주의사항]

그리고 Known Issues로 Exchange Server가 설치되어 있는 경우에, Microsoft Exchange Server 2003 SP1이나 그 이후 버전이 설치된 Forest에서만 지원합니다.

그 이전의 버전에서는 사용하실 수 없습니다.

Known Issues

Domain rename does not work in a forest with Pre-SP1 installations of Microsoft Exchange Server.

Domain rename is only supported in a forest in which only Microsoft Exchange Server

2003 SP1 (or later) servers are deployed. The domain rename tool will detect and

report an error if Exchange servers prior to Exchange Server 2003 SP1 are deployed

in the forest in which the domain rename operation is being carried out.

Domain 이름을 변경하기 위해서는 두가지 도구(gpfixup.exe, remdom.exe)가 필요합니다.

Windows Server 2003 Domain Rename Tool

http://www.microsoft.com/windowsserver2003/downloads/domainrename.mspx

두가지 도구는 Windows Server 2003 CD 의 \VALUEADD\MSFT\MGMT\DOMREN 폴더 안에 위치하고 있습니다.

또한 위의 웹사이트에서 다운로드 받으셔서 사용하셔도 됩니다.

도메인의 이름을 변경하기 위해서는 최소한 10단계를 진행하셔야 합니다.

Microsoft KB 에서는 최소 2주간 도메인 이름 변경을 위한 테스트를 권고하고 있습니다.

아래는 TEST.COM 을 NewTEST.COM 으로 변경하는 방법입니다.

1. 먼저 새 도메인 이름(NewTEST.COM)에 대한 SRV Record 를 적용할 수 있도록 NewTEST.COM 이란 이름으로 DNS 에 영역을 생성합니다.

NewCluster.COM 이란 이름으로 정방향 조회영역에 영역을 생성하고 동적 업데이트가 가능하도록 설정합니다.

2. 포리스트가 2003 기능 수준에 있는지 확인합니다.

Active Directory 도메인 및 트러스트 를 열고 도메인에서 마우스 오른쪽 버튼을 클릭하여 "속성" 을 선택하고, 포리스트 기능 수준이

"Windows Server 2003" 인지 확인합니다.

"Windows Server 2003" 아니라면 Active Directory 도메인 및 트러스트 의 도메인 에서 마우스 오른쪽 버튼을 클릭 후

"도메인 기능 수준 올리기" 를 선택 후 도메인 기능 수준을 "Windows Server 2003" 으로 변경합니다.

포리스트 기능 수준 올리기도 "Windows Server 2003" 으로 변경합니다.

3. DFS 공유가 있는지 확인합니다. 분산 파일 시스템이라고 하며 사용하지 않는다면 확인할 필요가 없습니다.

4. Domain 의 Administrator 계정으로 로그온한 후 \VALUEADD\MSFT\MGMT\DOMREN 폴더 안의 Rendom.exe 와 Gpfixup.exe 를 도메인 이름을 변경할 서버로 복사해 임의의 폴더에 복사합니다.

(Ex : C:\DomRen\ 안에 복사)

5. CMD 에서 Rendom.exe 와 Gpfixup.exe 가 복사된 폴더로 이동합니다.

"rendom.exe /list" 라고 입력 후 엔터..아래와 같이 표시됩니다.

D:\rendom.exe /list

The operation completed successfully.

D:\rendom.exe /list 명령을 적용하면 rendom.exe  가 실행된 폴더에 Domainlist.xml 파일이 생성됩니다.

아래와 같은 구조이며 제가 사용하는 도메인 이름은 Cluster.com 입니다.

 <?xml version="1.0" ?>

- <Forest>

- <Domain>

- <!--  PartitionType:Application   -->

  <Guid>1f7baa9f-c98c-4c22-99b5-a76074459c51</Guid>

  <DNSname>ForestDnsZones.test.com</DNSname>

  <NetBiosName />

  <DcName />

  </Domain>

- <Domain>

- <!--  PartitionType:Application   -->

  <Guid>d6e8e481-1fe5-4311-826e-e042af12c420</Guid>

  <DNSname>DomainDnsZones.test.com</DNSname>

  <NetBiosName />

  <DcName />

  </Domain>

- <Domain>

- <!--  ForestRoot   -->

  <Guid>a8911b2d-ca47-4760-80b1-594b2e6fd5b3</Guid>

  <DNSname>test.com</DNSname>

  <NetBiosName>TEST</NetBiosName>

  <DcName />

  </Domain>

  </Forest>

각 태그에 <Domain>, <DNSname>, <NetBiosName> 과 같은 사항을 확인할 수 있습니다.

DNS Name 이 test.com 입니다. NetBios Name 은 TEST 입니다.

이 파일의 내용을 변경하여 rendom.exe 를 사용하여 도메인 이름을 변경할 수 있습니다.

Cluster.com 을 NewClister.com 으로 변경하겠습니다.

<DNSname>test.com</DNSname>

  <NetBiosName>TEST</NetBiosName>

위 값을

<DNSname>newtest.com</DNSname>

  <NetBiosName>NEWTEST</NetBiosName>

위와 같이 Notepad 를 사용하여 XML 파일을 직접 편집합니다.

그리고 rendom.exe /showforest 를 적용하면 newtest.com 으로 변경된 것을 확인할 수 있습니다.

아래 변경 전 rendom.exe /showforest

D:\1>D:\1\rendom.exe /showforest

test.com [ForestRoot Domain, FlatName:TEST]

        DomainDnsZones.test.com [PartitionType:Application]

        ForestDnsZones.test.com [PartitionType:Application]

The operation completed successfully.

아래 변경 후 rendom.exe /showforest

D:\1>D:\1\rendom.exe /showforest

DomainDnsZones.test.com [PartitionType:Application]

ForestDnsZones.test.com [PartitionType:Application]

newtest.com [ForestRoot Domain, FlatName:NEWTEST]

The operation completed successfully.

위에서 newtest.com 으로 변경된 것이 확인됩니다.

6. "rendom.exe /upload" 를 실행합니다. dclist.xml 파일이 생성됩니다. 그리고 수정할 D.C 의 목록이 나타납니다.

7. "rendom /prepare" dclist.xml 파일을 읽어 도메인 이름을 변경하기 위한 준비를 합니다.

8. "rendom /execute" 를 실행합니다.

9. 도메인의 대분분이 변경됩니다. D.C 에 가입된 모든 Member Server 과 Computer 를 다시 시작하여야 합니다.

10. Rendom.exe 를 사용하여 도메인 이름을 변경하면  D.C 에 가입된 모든 Member Server 과 Computer 의 도메인 접미사를 자동으로 변경하지만 D.C 자신의 도메인 접미사를 변경하지는 못합니다.

수동으로 직접 변경해야하며 변경 방법은 바탕화면 - 내 컴퓨터 속성 - 컴퓨터 이름 - 변경 - 확인 - 자세히 를 누르고 변경된 도메인 이름으로 도메인 접미사를 변경해줍니다.

11. 위 사항이 정확하게 구성이 되었다면 그룹 정책을 수정하여야 합니다. 그룹정책은 gpfixup.exe 를 사용하여 진행하여 아래와 같은 구문을 가집니다.

gpfixup /olddns:oldname /newdns:newname /oldnb:oldNetbiosName /newnb:newNetbiosName /dc:name-of-pdc-emulator

olddns 와 newdns 는 변경하기전 그리고 변경 후의 DNS 형식의 도메인이름을 뜻하며, oldnb 와 newnb 는 변경 전 후 의 Netbios Name 을 말합니다.

name-of-PDC-emulator 는 변경된 도메인에서 FSMP 로 동작하는 D.C 을 뜻합니다.

gpfixup /olddns:test.com /newdns:newtest.com /oldnb:test /newnb:newtest /dc:pipe.newtest.com 위와 같이 입력합니다.

12. 기존 Demotion 한 Win2000 Server를 Win2003으로 Clean 설치 하여 Re-Join 또는 Up-Grade후 Re-Join을 진행합니다.


참고 문서

Domain-Rename-Intro.doc

Domain-Rename-Procedure.doc

domainrename.ex_

단계1. 사전준비 단계

1.     아래 KB를 참고하여 모든 Domain Controller에서 NTBackup 도구로 “System State”를 백업을 진행합니다.

[참고KB]

Windows 2000 백업 프로그램을 사용하여 시스템 상태를 백업 및 복원하는 방법

http://support.microsoft.com/kb/240363/KO/

단계2. “디렉터리 복원 모드” 암호 변경 작업

1.     디렉터리 복원 모드의 암호가 확인이 되지 않으시면 아래 KB를 참고하여 “디렉터리 서비스 복원 모드”의 Administrator에 대한 암호를 변경합니다.

: 복구 콘솔을 사용할 때나 F8 키를 눌러 디렉터리 서비스 복원 모드를 시작할 때 사용하는 관리자 암호는 로컬 컴퓨터의 Registry 기반 보안 계정 관리자(SAM)에 저장됩니다.

SAM은 %SystemRoot%\System32\Config 폴더에 있습니다. SAM 기반 계정과 암호는 특정 컴퓨터에 적용되며 도메인의 다른 도메인 컨트롤러에 복제되지 않습니다.

[참고KB]

HOWTO: Windows Server 2003에서 디렉터리 서비스 복원 모드 관리자 계정 암호 재설정

http://support.microsoft.com/kb/322672/ko

단계3. 삭제된 Active Directory 개체 복원하기

: 최신 System State가 존재할 경우 “정식 복원”, 복구할 개체수가 적은 경우 “Adrestore” 사용합니다.

방법1. 도메인 컨트롤러에 대한 “정식 복원” 수행

1.     DC중 1대를 재 부팅 한 후 F8키를 누른 후 "디렉터리 복원 모드" 선택하여 부팅합니다.

2.     단계2에서 지정한 Administrator 계정에 대한 암호를 입력 하고 로그 인을 합니다.

3.     백업도구를 실행하여 "System state" 복원합니다.

4.     시작->실행->cmd 입력 후 확인을 누릅니다.

5.     ntdsutil 입력 후 엔터를 누릅니다.

6.     Authoritative restore 입력 후 엔터를 누릅니다.

7.     restore subtree ou=”ou이름”, dc= blizzard,dc=com 입력 후 엔터를 누릅니다.

8.     “이 정식 보원을 수행하시겠습니까?”라는 “대화 상자”가 표시되면 “예”를 선택합니다.

9.     아래와 같이 USN(특성 버전 번호)번호가 100000 증가 됩니다.

10.   시스템을 재 시작 합니다.

11.   Active Directory 사용자 및 컴퓨터에 해당 개체가 복구 되었는지 확인합니다.

[참고자료]

Active Directory에서 삭제된 사용자 계정 및 해당 그룹 구성원을 복원하는 방법

http://support.microsoft.com/kb/840001/ko

Windows 2000에서 도메인 컨트롤러에 대한 정식 복원을 수행하는 방법

http://support.microsoft.com/kb/241594/

재해 복구: Active Directory 사용자 및 그룹

http://www.microsoft.com/technet/technetmag/issues/2007/04/ADRecovery/default.aspx?loc=ko

방법2. AdRestore Tool을 이용한 복원

: 복구할 개체수가 적은 경우 및 아래와 같은 제한사항을 확인하신 후 사용하시기 바랍니다.

제한사항 1. AdRestore는 단지 개체를 부분적으로 복구합니다.

제한사항 2. OU 하위 에 개체가 저장되어 있었을 경우 OU가 우선 복구 되어야 합니다.

제한사항 3. 컴퓨터 및 사용자 계정은 복구 후 “계정 사용 안 함”으로 되어 있습니다.

제한사항 4. 그룹에 대한 “구성원”은 복원되지 않습니다.

1.     아래 사이트에서 Adrestore를 다운로드 받습니다.

AdRestore v1.1

http://www.microsoft.com/technet/sysinternals/utilities/adrestore.mspx?wt.svl=related

2.     Domain Controller에서 시작->실행->cmd 입력 후 확인을 누릅니다.

3.     Adrestore가 저장된 폴더로 이동합니다.

4.     Adrestore > adrestore.txt를 입력하여 삭제된 개체정보를 txt 파일로 저장합니다.

5.     Adrestore –r ou명을 입력 하여 우선 복구를 진행합니다.

TIP. adrestore.txt에 Export한 항목 중 cn: 항목이 없는 항목이 “조직 구성 단위”입니다.

6.     이후 Adrestore –r “복구할 개체 명”을 입력하여 복구를 진행합니다.

7.     복구된 컴퓨터 및 사용자 개체를 “계정 사용”으로 변경합니다.

[참고자료]

반드시 가지고 있어야 할 5가지 AD 도구들

http://www.microsoft.com/korea/technet/columns/outside/0411_04.mspx

Active Directory 삭제 표시 개체 다시 애니메이션

http://www.microsoft.com/technet/technetmag/issues/2007/09/Tombstones/default.aspx?loc=ko/

[원인]

DC에 Netlogon.dns파일이 손상되어 “Netlogon Service” 재 시작 해도 SRV Record가 DNS에 등록되지 않아 발생된 문제

[해결방법]

단계1. 사전준비 단계

1.     아래 KB를 참고하여 Domain Controller에서 NTBackup 도구로 “System State”를 백업을 진행합니다.

[참고KB]

Windows 2000 백업 프로그램을 사용하여 시스템 상태를 백업 및 복원하는 방법

http://support.microsoft.com/kb/240363/KO/

단계2. 조치 단계

1.     DC에 Win2000 CD를 삽입합니다.

2.     X:\SUPPORT\TOOLS\setup.exe를 설치합니다.

X는 CD-ROM Drive Letter

3.     시작->실행->cmd 입력 후 확인을 누릅니다.

4.     netdiag /fix 입력 후 엔터를 누릅니다.

5.     DNS Server에 DC에 대한 SRV Record가 정상 등록되어 있는지 확인합니다.

[참고KB]

Active Directory와 DNS를 구현한 후에 SRV 레코드가 사라진다

http://support.microsoft.com/kb/241505/ko

Netdiag /fix 스위치의 설명

http://support.microsoft.com/kb/219289/ko

Windows 2000 DNS 및 Windows Server 2003 DNS에 대한 질문과 대답

http://support.microsoft.com/kb/291382/ko

단계3. 추가문제 조치사항.

1.     Server “Metadata Cleanup”

: 강제 삭제된 DC 정보 중 “Active Directory 사이트 및 서비스”에 남아 있는 정보 삭제합니다.

1-1. 아래 KB를 참고하여 Metadata Cleanup 작업을 진행합니다.

[참고KB]

도메인 컨트롤러의 수준 내리기 실패 후 Active Directory에서 데이터를 제거하는 방법

http://support.microsoft.com/kb/216498/ko

1-2. 시작->실행->adsiedit.msc 입력 후 “확인”을 누릅니다.

1-3. Configuration->CN=Sites->CN=Default-First-Site-Name->CN=Servers으로 이동합니다.

1-4. CN=DC 정보를 삭제합니다.

2.      복구가 불가능한 DC Server “Active Directory” Demotion 및 OS 재설치 후 Promotion

: DC의 경우 Virus로 인하여 다수의 문제가 발생되고 있다면 재설치합니다.

2-1. 아래 문서의 “도메인 컨트롤러에서 Active Directory 제거”절을 참고하여 Leeko 서버에서 Active Directory를 제거합니다.

[참고KB]

HOWTO: Windows 2000에서 도메인 컨트롤러 수준 올리기 및 내리기

http://support.microsoft.com/kb/238369/ko

2-2. 위의 과정이 정상적으로 진행이 되지 않는다면 아래의 문서를 참고하여 Active Directory 제거 및 Active Directory에서 데이터를 제거를 진행합니다.

[참고KB]

Windows Server 2003 및 Windows 2000 Server에서 Active Directory 설치 마법사를 사용하여 강제로 도메인 컨트롤러의 수준을 내리면 수준이 성공적으로 내려가지 않는다

http://support.microsoft.com/kb/332199/ko

도메인 컨트롤러의 수준 내리기 실패 후 Active Directory에서 데이터를 제거하는 방법

http://support.microsoft.com/kb/216498/ko

2-3. Active Directory가 제거된 Leeko Server를 Format후 Windows2000 재설치 합니다.

주의: 해당 작업은 중요한 Data 백업 후 진행합니다.

2-4. Virus Vaccine 설치 후 백신 업데이트를 진행합니다.

2-4. Win2000 서비스 팩 및 롤업 설치, Windows Update를 진행합니다.

IT 전문가용 Windows 2000 서비스 팩 4 네트워크 설치

http://www.microsoft.com/downloads/details.aspx?familyid=1001AAF1-749F-49F4-8010-297BD6CA33A0&displaylang=ko

Windows 2000 SP4용 업데이트 롤업 1

http://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=B54730CF-8850-4531-B52B-BF28B324C662

Windows Update 사이트에 접속하여 나머지 Windows Update를 진행합니다.

2-5. 아래 문서의 “기존 도메인을 위한 추가 도메인 컨트롤러 설치”절을 참고하여 Leeko 서버에서 Active Directory를 제거합니다.

[참고KB]

HOWTO: Windows 2000에서 도메인 컨트롤러 수준 올리기 및 내리기

http://support.microsoft.com/kb/238369/ko

단계1. 사전작업

1.     Migration 조건확인

1-1. OU 경로를 유지한 상태에서 계정과 그룹이 복사되어야 한다.

1-2. 계정의 경우 “성, 이름, 표시 이름, 사용자 로그온 이름”정보가 유지된 상태에서 복사되어야 한다.

1-3. 그룹의 경우 “그룹 구성원”이 그대로 유지된 상태에서 복사되어야 한다.

2.     아래 KB를 참고하여 NTBackup 도구로 “System State” 백업을 진행합니다.

[참고KB]

Windows 2000 백업 프로그램을 사용하여 시스템 상태를 백업 및 복원하는 방법

http://support.microsoft.com/kb/240363/KO/

3.     Migration작업 전 Virtual System에서 사전 모의 Test를 권장합니다.

단계2. OU, Account, Group 정보 Export

* 단 Password는 Export 되지 않습니다.

1.     각각의 Script를 실행하여 개체 종류별로 export 시킵니다. 순서는 OU, Group, User순으로 하는 것이 좋습니다.

OU 개체를 export 하기

C:\>ldifde -f ou.ldf -d "dc=PFKR,dc=NET" -r "(&(objectClass=organizationalUnit))" -l "dn,objectCategory,objectClass,ou,name" -u

Group 개체를 export 하기

C:\>ldifde -f group.ldf -d " dc=PFKR,dc=NET" -r "(&(objectClass=group))" -l "dn,cn,groupType,instanceType,member,name,objectClass,sAMAccountName" -u

User 개체를 export 하기 / “성, 이름, 표시 이름, 사용자 로그온 이름” 포함

C:\> ldifde -f user.ldf -d " dc=PFKR,dc=NET" -r "(&(objectClass=user)(objectCategory=person))" -l "sn,givenName,displayName,userPrincipalName,dn,cn,instanceType,name,objectClass,objectCategory,sAMAccountName,sn,userAccountControl" –u

단계3. New Domain 구축 및 Import를 위한 사전 작업

1.     Domain Controller를 새로 설치하시고, 새로운 도메인(여기서는 new.net)을 구성하십시오.

2.     시작->제어판->관리도구->”도메인 보안 정책”->보안 설정->계정 정책->암호 정책->“최소 암호 길이”->”사용 안함”을 선택합니다.

3.     “최소 암호 길이”는 “0”을 설정 / “암호는 복잡성을 만족해야 함”은 “사용 안함”을 선택합니다.

4.     수정된 정책 적용을 위하여 시작->실행->cmd 입력 후 “확인”->gpupdate /force 입력 후 엔터를 누릅니다.

단계4. Export한 정보 수정작업

:

1.     Export 시킨 모든 ldf file을 “메모장”이나 “워드패드”로 오픈 하셔서 기존 dc=PFKR,dc=NET를 dc=new,dc=net으로 변경합니다.

2.     user.ldf 파일을 import 후 “계정을 사용” 할 수 있도록 하기 위하여 userAccountControl 값이 512로 수정되어 있는지 확인 후 수정합니다. (Default=512)

3.     user.ldf 파일에서 “userprincipalName”을 변경하기 위하여 @PFKR.NET를 @new.net으로 변경합니다.

4.     ou.ldf를 오픈 하셔서 “new.net” Domain Controller에 이미 생성되어 있는 ou를 삭제합니다.

Tip. new.net에서 “OU 개체를 export”한 정보를 비교하여 삭제하시면 편리하게 작업할 수 있습니다.

5.     user.ldf를 오픈 하셔서 “new.net”에 이미 생성되어 있는 중복 계정을 삭제합니다.

6.     group.ldf를 오픈 하셔서 “new.net”에 이미 생성되어 있는 중복 그룹을 삭제합니다.

단계5. OU, Account, Group 정보 Import

1.     Export후 수정한 모든 ldf file을 이동형 저장장치에 복사합니다.

2.     꼭 OU, User, Group 순으로 import 합니다.

OU 개체를 import하기

ldifde -i -f ou.ldf

User 개체를 import하기

ldifde -i -f user.ldf

Group 개체를 import하기

ldifde -i -f group.ldf

3.     불필요한 OU, 계정 및 그룹을 삭제합니다. 상위 OU를 삭제하시면 하위에 포함된 모든 OU 및 그룹, 계정은 같이 삭제됩니다.

4.     시작->제어판->관리도구->”도메인 보안 정책”->보안 설정->계정 정책->암호 정책을 재 설정 합니다.

*. 암호정책 설정 후 로그인할 사용자에게 “암호 정책” 공지가 필요합니다.

5.     수정된 정책 적용을 위하여 시작->실행->cmd 입력 후 “확인”->gpupdate /force 입력 후 엔터를 누릅니다.

6.     해당 계정으로 로그인 하시면 계정에 대한 암호 변경을 요청하게 됩니다.

* Import한 계정은 Default로 “다음 로그온 할 때 반드시 암호 변경”이 체크되어 있습니다.

[추가정보]

Using LDIFDE to import and export directory objects to Active Directory

http://support.microsoft.com/kb/237677/en-us

LDIFDE - Export / Import data from Active Directory

http://support.microsoft.com/kb/555634/en-us

1 작업 마스터 역할

Active Directory는 한 도메인 내의 모든 도메인 컨트롤러가 본질적으로 피어가 되도록 도메인에 있는 모든 도메인 컨트롤러 간에 디렉터리 데이터 저장소의 멀티마스터 복제를 지원합니다. 하지만 어떤 변경 작업은 멀티마스터 복제 사용 시 수행하기에 부적절하므로 이러한 종류의 변경 작업 각각에 대해 작업 마스터라고 하는 도메인 컨트롤러 하나가 그러한 변경 작업에 대한 요청을 받아들입니다.

모든 포리스트에는 하나 이상의 도메인 컨트롤러에 할당되는 작업 마스터 역할이 최소한 5개 이상 있습니다. 포리스트 차원의 작업 마스터 역할은 모든 포리스트에서 하나만 나타나야 합니다. 도메인 차원의 작업 마스터 역할은 포리스트의 모든 도메인에서 하나만 나타나야 합니다.

참고

2 포리스트 차원의 작업 마스터

모든 포리스트에는 다음과 같은 역할이 있어야 합니다,

이러한 역할은 포리스트에서 고유성을 유지해야 합니다. 이는 전체 포리스트에 걸쳐 스키마 마스터 및 도메인 명명 마스터가 각각 하나씩만 존재할 수 있다는 뜻입니다,

2.1스키마 마스터

스키마 마스터 도메인 컨트롤러는 스키마에 대한 모든 업데이트와 변경 내용을 제어합니다. 포리스트의 스키마를 업데이트하려면 스키마 마스터에 액세스할 수 있어야 합니다. 전체 포리스트에 걸쳐 스키마 마스터가 하나만 존재할 수 있습니다.

2.2도메인 명명 마스터

도메인 명명 마스터 역할을 맡은 도메인 컨트롤러는 포리스트에 도메인을 추가하거나 제거하는 것을 제어합니다. 전체 포리스트에 걸쳐 도메인 명명 마스터가 하나만 존재할 수 있습니다.

참고

3도메인 차원의 작업 마스터

포리스트의 모든 도메인에는 다음과 같은 역할이 있어야 합니다.

이러한 역할은 각 도메인에서 고유성을 유지해야 합니다. 이는 포리스트에 있는 각 도메인이 RID 마스터, PDC 에뮬레이터 마스터 및 인프라 마스터를 각각 하나씩만 가질 수 있다는 뜻입니다.

3.1 RID 마스터

RID 마스터는 일련의 RID(상대 ID)를 자기 도메인에 있는 각 도메인 컨트롤러에 할당합니다, 포리스트의 각 도메인에서 RID 마스터로 작동하는 도메인 컨트롤러는 언제나 하나만 존재할 수 있습니다.

도메인 컨트롤러가 사용자, 그룹 또는 컴퓨터 개체를 만들 때마다 개체에 고유 SID(보안 식별자)를 할당합니다. SID는 해당 도메인에서 만들어진 모든 SID에 동일한 도메인 SID와 해당 도메인에서 만들어진 각 SID에 고유한 RID로 구성됩니다.

Movetree.exe를 사용하여 도메인 간에 개체를 이동하려면 현재 개체를 포함하고 있는 도메인의 RID 마스터로 작동하는 도메인 컨트롤러에서 이동을 시작해야 합니다,

3.2 PDC 에뮬레이터 마스터

도메인에 Windows 2000 또는 Windows XP Professional 클라이언트 소프트웨어 없이 작동하는 컴퓨터가 있거나 Windows NT BDC(백업 도메인 컨트롤러)가 있는 경우에는 PDC 에뮬레이터 마스터가 Windows NT 주 도메인 컨트롤러로 작동합니다. PDC 에뮬레이터는 클라이언트의 암호 변경을 처리하고 BDC에 업데이트를 복제합니다. 포리스트의 각 도메인에서 PDC 에뮬레이터 마스터로 작동하는 도메인 컨트롤러는 언제나 하나만 존재할 수 있습니다.

기본적으로 PDC 에뮬레이터 마스터는 도메인 전체의 모든 도메인 컨트롤러에서 시간을 동기화하는 역할도 맡고 있습니다. 도메인의 PDC 에뮬레이터는 자신의 시간을 부모 도메인에 있는 임의 도메인 컨트롤러의 시간으로 설정합니다. 부모 도메인에 있는 PDC 에뮬레이터는 외부 시간 원본과 동기화되도록 구성해야 합니다. "net time" 명령을 다음 구문과 함께 실행하면 PDC 에뮬레이터의 시간을 외부 서버와 동기화할 수 있습니다.

net time \\ServerName/setsntp:TimeSource

마지막에는 전체 포리스트에서 Windows Server 2003 또는 Windows 2000을 실행하는 모든 컴퓨터의 시간이 몇 초만 차이가 납니다.

PDC 에뮬레이터는 도메인에 있는 다른 도메인 컨트롤러가 변경한 암호를 우선적으로 전달받습니다. 최근에 암호가 변경된 경우 어느 정도 시간이 지나야 도메인의 모든 도메인 컨트롤러에 변경 내용이 복제됩니다. 잘못된 암호 때문에 다른 도메인 컨트롤러에서 로그온 인증이 실패하는 경우 도메인 컨트롤러는 로그온을 거부하기 전에 PDC 에뮬레이터에 인증 요청을 전달합니다.

PDC 에뮬레이터 역할을 갖도록 구성된 도메인 컨트롤러는 다음 두 가지 인증 프로토콜을 지원합니다.

3.3 인프라 마스터

각 도메인에서 인프라 마스터로 작동하는 도메인 컨트롤러는 언제나 하나만 존재할 수 있습니다. 인프라 마스터는 자기 도메인에 있는 개체의 조회를 다른 도메인에 있는 개체로 업데이트하는 역할을 합니다. 인프라 마스터는 자신이 가지고 있는 데이터와 글로벌 카탈로그의 데이터를 비교합니다. 모든 도메인에 있는 개체의 업데이트가 복제를 통해 글로벌 카탈로그에 주기적으로 전달되기 때문에 글로벌 카탈로그 데이터는 언제나 최신 상태를 유지합니다. 인프라 마스터는 오래된 데이터를 발견하면 글로벌 카탈로그에 업데이트된 데이터를 요청합니다. 그런 다음 업데이트된 데이터를 도메인에 있는 다른 도메인 컨트롤러로 복제합니다.

중요

인프라 마스터는 그룹의 구성원이 변경되거나 이름이 바뀔 때마다 그룹과 사용자 간 조회를 업데이트하는 역할도 담당합니다. 이동하거나 이름을 바꾼 그룹 구성원이 작업 중인 그룹의 도메인이 아닌 다른 도메인에 속해 있는 경우 그룹에는 일시적으로 구성원이 없는 것으로 표시됩니다. 그룹이 속해 있는 도메인의 인프라 마스터는 구성원의 새 이름이나 위치를 알 수 있도록 그룹을 업데이트해야 합니다. 따라서 사용자 계정의 이름을 바꾸거나 이동하더라도 이 사용자 계정과 관련된 그룹 구성원 자격이 손실되지 않습니다. 인프라 마스터는 멀티마스터 복제를 통해 업데이트를 배포합니다.

구성원의 이름을 바꾸고 그룹을 업데이트하는 동안 보안에는 어떠한 영향도 미치지 않습니다. 해당 그룹 구성원을 모니터링하는 관리자만 일시적으로 일치하지 않는 문제를 인식할 수 있습니다.

방법1 기존 Windows 2000 도메인 컨트롤러에 새로운 Windows 2003을 추가 도메인 컨트롤러로 설치

STEP1. WIN2KDC에서 WIN2K3 R2의 Schema/ Domain업데이트

STEP2. WIN2K3을 WIN2KDC에 추가DC로 설치

STEP3. FSMO 이동

STEP4. DNS 및 GC 설정

STEP5. Support Tool및 AD 유틸리티 사용해서 WIN2K3 DC 정상여부 확인.

STEP6. WIN2K3DC로 Client들이 정상적으로 로그인 가능한지 확인.

STEP7. 일정기간 Monitoring이후, WIN2KDC Demote

작업전 준비 사항

작업이전에 WIN2K-DC의 System State Backup을 진행합니다.

WIN2000DC를 재 시작 하셔서 이상유무를 확인후 진행합니다.

STEP1. R2스키마 업데이트 진행.

WIN2K3 R2는 스키마가 31버전이기 때문에, WIN2K Domain에서 WIN2K3 R2가 바로 연결할 수 없으며 먼저 다음과 같이 WIN2KDC에서

스키마 업데이트를 진행하셔야 합니다.

1. WIN2K에 WIN2K3 R2의 2번째 시디를 넣습니다.

2. 다음 명령을 실행해서 스키마 업데이트와 도메인 업데이트를 진행합니다.

CD Drive:\CMPNENTS\R2\ADPREP\adprep.exe /forestprep

CD Drive:\CMPNENTS\R2\ADPREP\adprep.exe /domainprep

3. 완료후 다시 시작합니다.

참고 자료-

Windows Server 2003 도메인 컨트롤러를 Windows 2000 도메인 또는 포리스트에 추가할 때 Adprep.exe 유틸리티가 수행하는 작업

http://support.microsoft.com/kb/309628/ko

Error message when you run the Active Directory Installation Wizard: "The version of the Active Directory schema of the source forest is not compatible with the version of Active Directory on this computer"

http://support.microsoft.com/kb/917385/en-us

STEP2. WIN2K3을 WIN2KDC에 추가DC로 설치합니다.

1. WIN2K3의 기본DNS를 WIN2KDC의 IP로 설정해줍니다.

2. WIN2K3 시디를 넣은후, 실행창에서 Dcpromo명령을 사용해서 추가 DC로 설치합니다.

자세한 내용은 다음 사이트를 참고 합니다.

사설 사이트 참고- 도메인의 추가 도메인 컨트롤러 설치 (Replica)

http://www.secure.pe.kr/default.aspx?tabid=1&module=LectureView&id=2233&code=7

STEP3. FSMO 역할을 기존 WIN2KDC에서 WIN2K3DC로 이동합니다.

FSMO는 DC에서의 5가지 중요한 역할을 말합니다. 다음의 방법으로 WIN2K DC에서 WIN2K3 DC로 이동시킵니다.

다음 KB의 방법을 사용해서 이동합니다.

Windows Server 2003에서 FSMO 역할을 보고 전송하는 방법

http://support.microsoft.com/kb/324801/ko

참고 자료 –

Windows 2000 Active Directory FSMO 역할

http://support.microsoft.com/kb/197132/ko

Ntdsutil.exe를 사용하여 FSMO 역할을 점유하거나 도메인 컨트롤러에 전송

http://support.microsoft.com/kb/255504/ko

STEP4. DNS및 GC의 이동.

1. WIN2K DC에서 AD통합 영역을 사용하고 있는지 확인합니다.

1) 시작 – 관리도구 – DNS – 도메인명존 선택후 우측버튼을 눌러 등록정보에서 현재 종류가 Active Directory 통합 영역인지 확인해봅니다.

2) 주 영역일 경우, 우측의 변경을 눌러 Active Directory 통합 영역을 선택후 확인을 누릅니다.

2. WIN2K3 DC에서 DNS를 설치합니다.

1) 시작 – 제어판 – 프로그램 추가/제거 - Windows구성요소 추가제거 – 네트워크 서비스 - DNS체크 후 확인합니다.

2) 아래 방법을 사용해서 정방향 조회 영역을 기존의 도메인 이름으로 만들어 줍니다.

(만약, ABC.COM도메인 이시라면 ABC.COM으로 만듭니다.)

HOWTO: Windows Server 2003에서 DNS 서버에 새 영역 만들기

http://support.microsoft.com/kb/323445/ko

참고 자료 - HOWTO: Active Directory 사용 환경에서 기존 DNS 인프라와 Windows 2000 DNS 통합

http://support.microsoft.com/kb/301191/ko

3) 다음 방법을 사용해서 GC를 WIN2K3에서 설정해줍니다.

a. 시작 –실행 – dssite.msc – SITE 확장 – Default-First-Site-Name 확장 – Servers 확장 – WIN2K3서버이름 확장

b. NTDS Settings에서 우측버튼 속성을 누릅니다.

c. 아래의 글로벌 카탈로그를 체크합니다.

HOWTO: Windows Server 2003에서 글로벌 카탈로그를 만들거나 이동하기

http://support.microsoft.com/kb/816105/ko

STEP5. Support Tools을 설치 이후, DC 상태 점검합니다.

1. WIN2K3시디의 다음경로에서 suptools.msi 파일을 실행해서 설치해줍니다.

CD Drive:\SUPPORT\TOOLS\

2. 실행 후, 시작 – 실행 – CMD를 실행해서 명령 프롬프트 창에서 다음을 실행후, Fail또는 Warning 오류가 있는지 확인해봅니다.

Dcdiag

Netdiag

Repadmin /showreps

3. DSA.MSC (AD사용자 및 컴퓨터)및 DOMAIN.MSC (AD 도메인 및 트러스트)에서 WIN2K DC와 WIN2K3 DC의 정보가 일치 하신지

확인해봅니다.

4. 명령창에서 Netdom query fsmo를 실행후, FSMO가 WIN2K3으로 이동되었는지 확인해봅니다.

STEP6. WIN2KDC를 네트워크에서 분리후, Client들이 WIN2K3 DC에 정상적으로 로그인 되는지 확인해봅니다.

STEP5작업에서 이상이 없으시다면, WIN2K3으로 정상적으로 로그인 되는지 확인해봅니다.

Clinet에서 Domain login후 시작 – 실행 – CDM창에서 SET명령어 결과 확인후, LOGONSERVER가 WIN2K3으로 보이는지 확인해보시면 됩니다.

STEP7. 일정기간 Monitoring하신후, WIN2KDC Demote

1. DC를 제거할 때도 설치시와 마찬가지로 Dcpromo명령을 사용합니다.

2. WIN2K3이 안정화 되었다면 WIN2K을 DCRPOMO명령을 사용해서 내립니다.

3. 시작 – 실행 – Dcpromo – 다음을 눌러 제거합니다.

('이 서버가 도메인의 마지막 도메인 컨트롤러입니다' 옵션은 체크하지 않습니다.)

참고

HOWTO: Windows Server 2003에서 Dcpromo.exe 도구를 사용하여 Active Directory 제거

http://support.microsoft.com/kb/816108/ko

참고사항

HOWTO: Windows Server 2003에서 외부 트러스트 만들기

http://support.microsoft.com/kb/816301/ko

Active Directory 도메인 및 트러스트에 대한 유용한 정보

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ko/library/ServerHelp/339cad3c-0fcc-4240-8c78-4046148000a9.mspx?mfr=true

방법2 기존 Windows 2000 도메인 컨트롤러에 다른 Windows 2003을 도메인 컨트롤러와 연결하는 방법

Virtual Machine에서 Test를 진행하신 후, 서버에서 진행하시기 바랍니다.

서버에서 작업 전에 System State Backup또는 Full Backup등 충분한 백업을 양쪽 DC에서 하신 후 작업 시작하시기 바랍니다.

제가 Virtual machine상에서 테스트를 해본 결과,

(1) Password migration을 위한 작업.
1. 양방향 명시적 트러스트를 구성합니다. 우선 DNS에서 두 도메인에 대한 DNS 복제 영역(Secondary 영역)을 구성하여 이름풀이를 가능하게 해야 합니다.
2. 두 도메인의 Builtin container의 Administrators 그룹에 양쪽 도메인의 관리자 계정을 포함시켜 줍니다. 로그온 하는
계정이 상대 도메인에 대한 Administrator 권한이 있어야 합니다.
3. sourcedomain이름$$$ 라는 이름의 원본 도메인에 새 도메인 로컬 그룹을 만듭니다. 이 그룹에는 구성원이 없어야 합니다.

(SID 기록을 가능하게 하기 위한 설정)
4. 대상 도메인이 반드시 기본모드(Native Mode) 상태이어야 합니다.
5. 두 도메인의 도메인 컨트롤러에서 계정 관리 감시를 설정합니다.
Active Directory User and Computer에서 Domain name을 오른쪽 클릭 - 등록정보 - 그룹정책 탭 선택 - 편집 -
컴퓨터 구성 - Windows 설정 - 보안 설정 - 로컬 정책 - 감사 정책 - 계정관리 감사를 선택하시고 성공, 실패를 모두 체크 하시기
바랍니다.

6. 대상 도메인과 원본 도메인의 암호 정책을 동일하게 맞춰 줍니다.

(2) ADMT v3 설치 및 암호화 키 생성/복사
1. W2k3 server Domain admin으로 로그인 하시고 ADMT v3를 설치 합니다. (아래의 링크에서 다운로드 전에 필요한 사항을
확인합니다.)
<http://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=6F86937B-533A-466D-A8E8-AFF85AD3D212>
2. 새로 암호화 key를 생성 하셔야 합니다. W2k3 server 에서 먼저 암호화 key를 만드십시오.
① 새로 구성한 W2k3 server (Target Server: SKME 도메인)에서 암호화 key를 생성합니다.
admt key /option:create /sourcedomain:SourceDomain /keyfile:KeyFilePath
/keypassword:{password|*}
사용예: c\windows\ADMT>admt key /opt:create /sd:"skc.com" /kf:"c:\key" (암호화키의 파일명을 key로 설정)
② 암호화 키를 만든 후 원본 도메인(SKC)의 도메인 컨트롤러에 PES 서비스를 구성합니다.
원본 도메인(SKC도메인)에 암호화 key를 복사합니다.(예: c:\admt\key폴더로 복사)
ADMT가 설치된 Target Server의 C:\WINDOWS\ADMT\PES 폴더 전체를 원본 도메인으로 복사(c:\admt\PES로 복사)한
후,
원본 도메인(Source Domain)에서 PwdMig.exe를 실행하여 PES 서비스를 구성 합니다.
③ 설치가 완료되면 도메인 컨트롤러를 다시 시작합니다.
④ 도메인 컨트롤러가 다시 시작된 후 PES 서비스를 시작 하려면 시작, 모든 프로그램,관리 도구를 차례로 가리킨 후 서비스를 클릭합니다. 세부 정보
창에서 암호 내보내기 서버 서비스를 마우스 오른쪽 단추로 클릭한 다음 시작을 클릭합니다.
참고 : 암호를 마이그레이션할 때만 PES 서비스를 실행합니다. 암호 마이그레이션을 완료한 후에는 서비스를 중지합니다.

http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/usermigr.mspx

Migrating Files and Settings: A Step-by-Step Guide

http://www.microsoft.com/korea/windowsxp/pro/techinfo/deployment/filesettings/related.asp

Windows XP Professional의 사용자 상태 마이그레이션 도구에 대한 설명

http://support.microsoft.com/default.aspx?scid=kb;ko;321197

[기술문서]

326480 Active Directory 마이그레이션 도구 버전 2를 사용하여 Windows 2000에서 Windows Server 2003으로

마이그레이션하는 방법

http://support.microsoft.com/?id=326480

How to Troubleshoot Inter-Forest Password Migration with ADMTv2

http://support.microsoft.com/kb/322981/en-us

How to configure the Active Directory Migration Tool to migrate user passwords from

a Windows NT 4.0 domain to a Windows Server 2003 domain

http://support.microsoft.com/default.aspx?scid=kb;en-us;832221

326480 How to Use Active Directory Migration Tool Version 2 to Migrate from Windows

2000 to Windows Server 2003 (25)

http://support.microsoft.com/?id=326480

325851 How To Set Up ADMT for a Windows NT 4.0-to-Windows Server 2003 Migration

(23)

http://support.microsoft.com/?id=325851

260871 HOW TO: Set Up ADMT for Windows NT 4.0 to Windows 2000 Migration (14)

http://support.microsoft.com/?id=260871

832221 How to configure the Active Directory Migration Tool to migrate user

passwords from a Windows NT 4.0 domain to a Windows Server 2003 domain (2670)

http://support.microsoft.com/?id=832221

237677 Using LDIFDE to Import and Export Directory Objects to Active Directory

http://support.microsoft.com/?id=237677

238394 How to Use the MoveTree Utility to Move Objects Between Domains in a

http://support.microsoft.com/?id=238394

295758 HOWTO: Use Visual Basic Script to Clear SidHistory

http://support.microsoft.com/?id=295758

317846 ADMT: "Could Not Verify Auditing and TcpipClientSupport on Domains"

http://support.microsoft.com/?id=317846

322981 How to Troubleshoot Inter-Forest Password Migration with ADMTv2

http://support.microsoft.com/?id=322981

322970 How to Troubleshoot Inter-Forest sIDHistory Migration with ADMTv2

http://support.microsoft.com/?id=322970

Windows Server Migration newsgroup

http://www.microsoft.com/windowsserver2003/community/newsgroups/dgbrowser/en-us/default.mspx?dg=microsoft.public.windows.server.migration

Downloads ADMT 2.0

http://www.microsoft.com/downloads/details.aspx?FamilyID=788975b1-5849-4707-9817-8c9773c25c6c&DisplayLang=en

USMT

http://www.microsoft.com/windows2000/techinfo/reskit/tools/new/usmt-o.asp

How to use Csvde to import contacts and user objects into Active Directory

http://support.microsoft.com/kb/327620/en-us

Active Directory 개념
스터디 자료

소개

개념

Active Directory는 네트워크에서 공유하며 사용되는잘 정리된 자원의 정보를, 디렉토리 서비스를 통해저장하고, 사용자들이 요청할 경우 자원에 대한 정보를 제공하고, 로그온 인증및 디렉토리 개체에 대한 액세스 제어를 통해 통합 관리하는 것

이런한 정보를 저장하는곳를 도메인 컨트롤러의 특정 파일 데이터 베이스로 다른 도메인 컨트롤러에게 복사본을 전송하여 사용자들이 동일한 정보를 얻을수 있고 가용성, 안정성이 높다.

데이터 베이스의 데이터를 엑세스 하기위해 사용되는 통신 프로토콜은 LDAP을 사용한다.

단일 디렉토리와 범용 디렉토리로 구분되며 불필요한 중복을 막기위해 하나의 디렉토리로 만든게 범용 디렉토리이다.

목표

각각의 분산형 응용 프로그램으로 하여금 표준화된 방법으로 정보를 저장하고 검색할 수 있도록 한다

사용 가능 제품

Windows 2000 Server 이상

Active Directory 개체

개체 네트워크 자원을 표현하는 특성 집합의 명확한 이름으로 사용자, 그룹 컴퓨터, 프린터 그리고 보안 정책 같은 네트워크 자원을 말한다.그리고 개체는 개체 특성은 디렉토리에서의 개체특징이다

Active Directory 스키마

스키마는 정보를 디렉토리에 저장하는데 사용하는 모든 개체에 대한 정보를 정의하는 정의 모음이다

Class-Schema

클래스와 별도로 정의되며 한번만 정의 되고 여러 곳에서 사용가능하다

Attribut-Schema

특성의 집합으로 만들수 있는 디렉토리 개체를 설명한다.

*예 User 클래스는 Network Address, Home Directory등과 같은 특성으로 구성됨

스키마 확장하기

도메인 컨트롤러는 같은 개체의 스키마(정의)를 가지고 있어야 하기때문에 서로 다른 버전의 Windows로 구성시 스키마를 맞추어 주어야 할 필요성이 있음

Active directory스카마를 확장 도구 ADprep

Windows CD    \Support\Adprep

Active Drectroy 도메인 스키마 확장
상위 버전 OS를 추가 도메인 컨트롤러 구성시

    adprep /domainprep
상위 버전 OS를 포리스트로 연결 구성시
    adprep /forestprep

• Exchange 구성시에도 Exchange 스키마 업데이트를 해주어야 한다.
  http://support.microsoft.com/kb/822589/ko
• Windows 2003 SP1에서 스키마가 변경되여 Windows 2003 R2는 스키마 버전이 Windows 2003 보다 높기 때문에 구성시 스키마 버전을 맞추어야 한다.

ADSIEDIT

Active Directory 스키마 수정하는 툴

Windows CD    SUPPORT\TOOLS

X.500 & OID

X.500표준 자체는 조직내의 개별 개체 클래스가 특별한 식별 프로세스를 이용하여 고유하게 정의될수 있음을 명시하였는데, X.500표준은 각 개체를 유일하게 식별할 수 있는 개체 식별자(OID)

OID는 특정 디렉토리 또는 디렉토리 조합 내의 개체 클래스나 특성을 명확하게 식별해 주는 숫자이다
십진수로 표현하고, 점으로 구분 함

스키마 개체 종류

구조 사용자와 그룹 클래스, AD에 직접 만들수 잇음

추출 다른 클래스에서 상속 받고 자신의 속성을 갖고 있지만 인스턴스를 직접 만들 필요가 없는 클래스

보조 다른 개체가 상속받을 수 있는 속성 집합을 저장하는데 사용

스키마 스냅인등록방법

시작    실행    regsvr32 schmmgmt.dll을 입력한 후, 성공했다는 메세지가 뜨면 MMC를 이용 Active Directory Schema를 실행한다

스키마 마스터 변경하기

스키마 스냅인 등록    MMC를 통해 스냅인 추가    Active Directory 스키마에서 마우스 오른쪽 메뉴에서 "도메인 컨트롤러 변경"

Lightweight Directory Access Protocol (LDAP)

LDAP는 AD를 쿼리하고 업데이트하는데 사용하는디렉토리 서비스 프로토콜로써, X.500의 기반을 둔 DAP의 단순화 버전이다.

다른 디렉토리 서비스와의 상호 운용성

LDAP v2에서 디텍토리 데이터 베이스의 내용을 읽을수 있지만 LDAP v3에서는 사용자와 응용프로그램이 디렉토리 데이터 베이스를 읽고 쓸수 있다

AD는 LDAP v3 및 NSPI와 같은 표준 디렉토리 엑세스 프로토콜에 기반하고 있기 때문에 이러한 프로토콜을 사용하는 다른 디렉토리 서비스와 상호 운용 할 수 있다.

LDAP과 상호 운용성

LDAP는 개방형 인터넷 표준으로 , Active Directory을 LDAP을 사용하여 다른 디렉토리 서비스와의 상호 운용이 가능하다. AD는 공급자 개체를ADSI의 일부를 포함하여 지원한다.

ADSI는 인터넷 표준 RFC1823에 규정된 LDAP용 C바인딩 응용 프로그래밍 인터페이스를 지원하므로 다른 디렉토리 서비스 응용 프로그램도 AD의 정보에 액세스할 수 있도록 수정할 수 있다.

고유 이름
도메인과 개체의 전체 경로를 식별
CN=Jun Chul, OU=sales, DC=mcp, DC=net

상대고유이름
주어진 컨테이너 안에서는 유일해야함

LDAP URL

Black.mcp.net에 쿼리하여 도메인 mcp.net의 sales컨테이너에서 일반 이름 Jun Chul을 사용하는 개체를 찾는 쿼리

LDAP://black.mcp.net/CN=Jun Chul/CN=sales/DC=mcp/DC=net

Active Directory의 구조

논리적 구조

네트워크 리소스 구성

자원을 논리적으로 그룹화 함으로써 물리적 위치가 아닌 이름으로 자원을 찾을 수 있도록 한다.

도메인

공용 디렉토리 데이터베이스를 공유하는 핵심적 논리적 단위

• 도메인은 고유한 이름을 갖는다
• 자체 보안 정책과 다른 도메인과의 보안 경계가 된다.
• 복제의 단위로 동일 도메인의 모든 도메인 컨트롤러는 AD에 있는 정보를 복제한다.

조직단위(OU)

사용자,그룹,컴퓨터 및 다른 조직 단위를 배치할수 있는 컨테이너

• 그룹정책 적용이나 관리권한을 위임할수 있는 최소 범위,단위

조직단위 구조 계획 수립

• 조직 단위는 도메인에서 디렉토리 개체를 좀 더 간략하게 표시할것
• 이들을 좀더 쉽게 관리 할수 있도록 관리 제어를 각 조직 단위에게 위임
• 소속 조직은 운영구조나 업무구조를 반영하여 조직 단위 생성

조직단위 관리

조직 단위는 관리 권한을 위임할 수 있는 최소 범위
사용자 및 리소스에 대한 로컬 관리를 위임

정책 및 보안

조직 단위에서 그룹 정책 설정을 지정할 수 있는 최소 범위
모든 자식 조직 단위 및 개체에 대한 액세스, 구성, 사용을 제어 가능

GPMC

*OU와 그룹의 차이점

그룹은 동일한 일을 하는 사람을 관리하거나 네트워크자원에 접근 허가권을 주기 위해서 사용자를 묶는 작업이고
OU는 작업위임이나 그룹 정책을 하기 위한 단위임

도메인, 조직 단위 분할

• 관리해야할 사용자및 리소스가 관리자마다 뚜렷하게 구분되는 분산 조직의 경우 네트워크를 멀티 도메인으로 구성
• 네트워크의 두 부분을 연결하는 링크가 너무 느리기 때문에 그 링크에 전체 복제 트래픽이 발생하는 것을 원하지 않으면 네트워크를 개별 도메인으로 분할
• 발생 빈도가 좀 더 낮은 복제 트래픽을 처리할 수 있는 저속 링크의 경우 여러 사이트가 있는 단일 도메인으로 구성
• 소속 조직의 구조를 반영하려면 도메인을 조직 단위로 분할한다.
• 좀더 작은 사용자, 그룹, 리소스 그룹에 대한 관리 제어를 위임하려면 도메인을 조직 단위로 분할한다. 사용자 만들기 및 암호 변경과 같은 전체 관리 권한 또는 인쇄 대기열 유지와 같은 제한된 관리 권한을 허용 할 수 있다.
• 회사의 특정 조직 구조가 나중에 변경될 가능성이 있는 경우 도메인을 조직 단위로 분할 한다. 가능하면 이후에 자주 이동하거나 분할하는 일이 없도록 도메인을 구성

트리

인접한 이름 공간을 공유하는 Windows 2003 도메인의 개층 구조

기존 트리에 도메인을 추가하면 새 도메인이 기존 부모 도메인의 자식 도메인이 됨

양방향 이행성 트러스트
도메인에 연결된 도메인 컨트롤러는 직접 트러스트 관계게 없어도 간접 트러스트 관계를 가지고 서로 트러스트 하므로 완벽한 트러스트 관계를 같는다.

포리스트

하나이상의 트리가 모인것으로 인접한 이름 공간을 공유하지 않는다.

• 공통 스키마를 공유
• 공통 글로벌 카탈로그를 공유
• 도메인과 도메인 트리 사이에는 양방향 전이 트러스트 관계
• 포리스트 내의 트리는 다른 이름 구조를 갖음

글로벌 카탈로그

AD의 모든 개체 특성의 일부를 포함하는 정보 저장소
개체를 생성할때 GUID생성하는데 GUID가 항상 글로벌 카탈로그에 색인됨
    주) 데이터 베이스는 없음

주요 역활

• 로그온 프로세스가 초기화되면 도메인 컨트롤러에 유니버설 그룹 구성원 정보를 제공함으로써 네트워크 로그온을 가능하게 함
• 포리스트 내의 모든 개체들의 위치 정보를 가지고 있어서 관리자나 사용자들이 자원의 정확한 이름을 모르더라도 쉽게 자원을 찾고 쓸 수 있도록 도와준다
• 로그인 과정에 주어진 UPN에 해당하는 개체를 찾고 인증하기 위해서도 글로벌 카탈로그 사용
• 모든위치에 있는 개체에 대한 사용자 쿼리 및 프로그램 쿼리에대해 최고 속도와 최소 네트워크 트래픽으로 응답하도록 되어 있음
• 사이트마다 하나씩 배치 가능
  물리적 구조에서 나옴

글로벌 카탈로그를 사용할수 없으면 로컬 컴퓨터에만 로그온 할수 있으나 Domain Admin그룹의 구성원인 경우 글로벌 카탈로그를 사용할수 없을때도 네트워크에 로그온 가능

글로벌 카탈로그 없는 로그온(GC-less logon-유니버설 그룹 캐싱)

Windows Server 2003에서 새로 추가된 기능으로써 GC-less-logon을 활성하면글로벌 카달로그에 존재하는 유니버설 그룹을 미리 캐싱하여 글로벌 카탈로그에 연결하지 않고도 로그온 처리를 해줍니다.

글로벌 카탈로그 변경하기

Active Directory 사이트 및 서비스    글로벌 카탈로그를 설정할 도메인 컨트롤러 서버의 NTDS Settings 등록정보    글로벌 카탈로그 체크

물리적 구조

네트워크 트래픽 구성

사이트 와 도메인 컨트롤러가 있음

사이트

안정적이고 빠른 연결을 가진 하나 이상의 IP서브넷의 집합

• 복제 트래픽 최적화
• 사용자의 로그온 트래픽 최적화

주의

• 네트워크의 물리적 구조와 해당 도메인 구조간의 상화 관계가 필요없다.
• AD를 통하여 하나의 사이트내에 다중 도메인을 만들수 있고 반대로 단일 도메인 내에 다중 사이트를 만들수 있다.
• 사이트와 도메인 이름 공간간에 상호 관계가 필요 없다.

도메인 컨트롤러

Windows Server 2003을 실행하는 컴퓨터로 Dcpromo를 통해서 디렉토리 복사본(Replica)을 저장

• 디렉토리 데이터를 저장
• 디렉토리 검색
• 디렉토리 정보의 변경 내용을 다른 도메인 컨트롤러에서 복제
• 멀티 마스터 복제 모델로 서로 쓰기가 가능하면 동기화 함
• 사용자 로그온 인증(Authentication) 및 확인(Authorization)

주의

중요한 작업을 수행하는 단일 마스터 작업 역활은 특정 도메인 컨트롤러만 해당

Active Directory 클라이언트

Windows 2000 Professional

Windows Xp Professional

Windows 95,98, NT 4.0도 사용 가능하나 커버로스, 그룹정책, SPN, 상호 인증을 지원하지 못한다

맴버서버

Windows 2000 Server, Windows 2003 Server로 도메인에 참여는 하였지만 도메인 컨트롤러는 아닌 다른 목적으로 사용되는 서버를 맴버서버라고 함

맴버서버의 보안은 다음에 영향을 받음

• 사이트, 도메인, 조직 단위에 정의된 그룹 정책의 영향을 받는다
• 자신의 계정 데이터베이스(SAM)을 가지고 사용할 수 있다
• 맴버 서버 사용자 권한을 할당 받을 수 있다.

Windows 2003의 AD 새로운 특징

사용자 개체의 동시 선택

사용자 계정을 동시에 선택하여 그룹에 추가하기, 계정 비활성화, 이동, 홈페이지 열기, 메일보내기를 한번에 가능

드래그앤 드롭기능

AD에서 여러 컨테이너로 부터 다른 컨테이너로 드래그 앤 드롭을 이용해 이동가능

향상된 개체 찾기

명령어를 사용하여 개체를 찾을수 있어 네트워크 트래픽 감소

저장된 쿼리

AD사용자 및 컴퓨터에서 자주 사용되는 쿼리를 자장하여 사용할수 있음

ADMT v2.0

AD마이그레션 도구로 NT4.0에서 Windows 2000이나 Windows 2003도메인으로 또는 Windows 2000에서 Windows 2003도메인으로 마이그레이션 하는 작업을 쉽게 할수 있게 도와주는 툴 제공

GPMC관리도구

GPO에 관한 설정 및 관리를 한꺼번에 처리할 뿐만 아니라 그룹 정책의 설정 사항을 웹브라우저 형식으로 출력하여 보고서를 만뜰때 유용한 도구

Active Directory 명령어

Dsadd : 컴퓨터, 사용자, 그룹, 조직 단위(OU),연락처 등의 개체를 추가하는 명령

Dsmod : 컴퓨터, 사용자, 그룹, 조직 단위(OU),연락처 등의 개체를 수정하는 명령

Dsquery : 명시된 기준에 따라 AD에 질의하여 개체를 찾는 명령

Dsmove : 하나의 개체를 도메인 내에서 다른 위치로 이동시킬 수 있는 명령

Dsrm : 개체를 삭제하는 명령

DSget : 컴퓨터, 연락처, 그룹, 조직단위, 서버, 사용자의 특성을 선택하여 보여주는 명령

CSVDE : 콤마로 구분된 데이터를 AD 데이터로 내보내기/가져오기를 할 수 있는 명령

LDIFDE : AD개체를 삭제, 수정, 만드는 명령

InetOrgPerson클래스

비 Microsoft LDAP와X.500 Directory Services를 사용하는 사람들을 위해 2003에서 추가된 기능

Application directory partitions

특정 애플리케이션 데이터의 복제 범위를 구성할 수 있음 (DNS)

백업파일을 사용하여 추가 도메인 컨트롤러 만들기

추가 도메인 컨트롤러를 구성할때 백업파일을 이용하여 설치 시간과 복제 트래픽을 줄일수 있다.

유니버설 그룹의 구성원 캐싱

인증된 도메인 컨트롤러에 유니버설 그룹의 구성원을 저장시켜 느린 네트워크 구간을 통하여 글로벌 카탈로그에 접근하는 인증 방식을 피해 좀 더 빠른 계정 처리가 가능

도메인 컨트롤러 이름 바꾸기

도메인 제거하지 않아도 도메인 컨트롤러의 이름을 다시 설정할 수 있다.

도메인 이름 바꾸기

운영하는중 자식도메인, 부모도메인, 트리나 포리스트 루트 도메인의 NetBIOS,이나 DNS이름을 바꿀수 있다.

포리스트 트러스트

양방향 전이 트러스트를 사용할여 만들수 있음

포리스트 재구성

운영중 도메인을 도메인 계층내의 다른 위치로 이동시킬 수 있는 기능이 추가되었음

스키마 개체 소멸

더이상 불필요한 클래스나 특성을 삭제할수 없으며 비활성화는 가능함Windows 2003에서는 비활성화하여 OID를 재사용할 수 있다

글로벌 카탈로그 복제 튜닝

글로벌 카탈로그에 저장되는 서브셋을 관리자가 임의로 확장할 때 동기화 상태를 유지하여 변화된 특성만 복제 시키는 기능