인터넷 AD 안쓰는 환경에서 DNS

windows 2000 이상의 모든 시스템..(hostname 변환)
컴퓨터이름 NetBIOS => Hostname

\\컴퓨터이름 <= 형식으로

1. hostname 캐시 : ipconfig /displaydns(hosts 파일포함)
    C:\WINDOWS\system32\drivers\etc\hosts
2. dns 서버에 질의..
3. netbios 캐시 : nbtstat -c
4. wins 서버에 질의
5. 브로드캐스트...

==============================================================================
DNS 서버
1. 이름변환 = 설치.. 하면 이름변환 함.. 
    컨디셔널 forwarder : 원하는 이름만 얘한테 물어보고 나머지는 내가 알아서 하겠다.. 
    확인 : nslookup => lon-dc1.emea.woodgrovebank.com
    보조DNS는 주서버가 멈췄을때 동작하지 정보를 찾지못했을 경우에는 동작하지 않음.

2. 영역관리
    정방향조회 : 이름 => IP로 변환
    역방향조회 : IP => 이름.. 
      - nslookup
      - web서버 : 공개되지 않은 서버를 위해 필터구성할때
        : IP주소로 제한
        : 도메인 이름/컴퓨터 이름으로 제한.
          =>source IP 등을 가지고 클라이언트가 접속을 시도 
  =============
    주영역
    보조영역 : R/O 모드

    ==========
    ad통합영역
    스텁영역
   
--------------------------------------------------
연습문제
주영역/보조영역 생성
NYC-DC1 / LON-DC1

영역DB 파일

3.
LDAP =>기본..
CN : 유일한 개체, 컨테이너
OU : OU 이름앞에
DC : 도메인 이름 앞에

user1 사용자 계정
a.com - korea

www.naver.com
유니크한 이름이 가장왼쪽, 광범위한 이름이 가장 오른쪽
cn=user1,ou=korea,dc=a,dc=com
만일 sub가 있다면
cn=user1,ou=korea,dc=sub,dc=a,dc=com

cn=administrator, cn=builtin,dc=a,dc=com
"cn=server operator, cn=builtin,dc=a,dc=com"

표준
cn=user1,ou=korea,o=a,c=com

ad통합영역... =>adsiedit
파티션을 가져올때..
1. 도메인에 있는 dns 서버들에게 all 복제
   => dc=domaindnszones,dc=woodgrovebank,dc=com
2. 포리스트에 있는 dns 서버들에게 all 복제
   => dc=forestdnszones,dc=~

DNS에서 자주사용하는 레코드
A레코드 : 이름 = IP
CNAME : 여러개의 역할에 대해  별칭
MX : 메일서버
PTR : 리버스룩업에서 사용(거꾸로 찾기 영역) IP =>이름
SOA :그 영역 자체의 정보
SRV : 어떠한 서비스를 수행하는 서버가 누구다..
      => MS 2000 DNS 지원
      =>

ad 통합영역을 사용했을 경우의 장점..
1. dns db에 대한 복제를 신경쓰지 않아도 됨.   
   ad 복제가 모두 담당.
2. SRV레코드가 등록되어짐

--------------------------------
AD를 위한 영역 구성을 위한 스텝
1. woodgrovebank.com => ad 통합영역생성 (10.10.0.10)
2. w.com 도메인내의 모든 dc들의 dns서버의 ip정보를 #1에서 설정한 dns 서버로 설정
3. dc에서 netlogon 서비스를 재시작...
4. 도메인 내의 모든 pc들(클라이언트 포함) dns 서버 => 10.10.0.10으로 변경
5. 모든 pc들 (dc + 클라이언트)
    도스창 : ipconfig /registerdns =>A 레코드
자신의 컴퓨터 이름 + 자신의 IP주소


2003=>2008

1. 백그라운드 존 로딩...
a.com => 6천개..
패치 작업.. =>
재부팅
최대 2시간

2. ipv6 지원...
3. globalname zone 지원 => wins 서버를 대체
=> 단일레이블 네임
a.com / b.com
woodgrovebank => 등록.

dns 관리 : dnsmgmt.msc
===================================================
사용자 관리
1. ad 사용자 및 컴퓨터 => GUI 도구...
2. net user // 2000까지사용자등록
3. dsadd user // 2003서버부터 지원
    dsadd user user cn=user10,ou=user,ou=korea,dc=woodgrovebank,dc=com -pwd Pa$$word -tel 555-1245 -memberof administrators
4. csvde
    개체를 최초에 등록... add
    문서화 작업이나 forest를 건너가면서 계정등록할 경우
    csvde -f wood.csv -r objectclass=user -d ou=user,ou=korea,dc=woodgrovebank,dc=com
5. ldifde
    개체의 add, modify, delete

6. 스크립트
7. 파워셸...

OU작업의 목적은 관리를 세분화
1. 그룹정책
2. 관리제어 위임.

다국적기업
a.com 단일 도메인의 경우.. ou
  - 한국
     - 컴퓨터
       - 노트북
       - 데스크탑
     - 사용자 
  - 미국
  - 싱가폴
2, 3 depth 이상 권고하지 않음.
===================================================
호스트머신
1. XP, VISTA, 2008 32/64(R2는 안됨) => 메모리 2GB 이상
   hyper-v 설치된 P 안됨
2. .Net framework
3. IIS - 웹서버
4. virtual server =>영문버젼...
5. 이미지 설치. 6425AL, 5047b
6. VHD - program files\microsoft learning\base
    05D,08A,08B,08C,08D-R
===================================================
Type : 보안그룹
whoami /all : access token 정보
 gpupdate /force : 부팅안하고 정책적용

user account : Global

global group : global group를 가져올 수 있음. user도..
=> 우리회사 조직도 생성
유니버셜 : 전사직원 그룹핑
도메인로컬 : 사용자 그룹핑이 목적이 아님.
=> 권한할당..

Protocal의 옵션 지정이 가능
=> 1.0까지 에서는 Protocol의 모든 메서드를 구현하지 않으면 Warning : 실행은 가능
=> 2.0에서는 @required와 @optional을 지정해서 필수적으로 구현할것과 선택적으로 구현이 가능하도록 지정가능
    defalult는 required
   

dev-c : objective-c 1.0 기반
x-code : objective-c 2.0 기반
cocoa

2. for 구문의 변경
1) for의 (    )안에서 변수 생성이 가능(지역변수)

2) for(변수명 in 배열명)  <= nsdictionary 의 경우 key값을 리턴
=>배열의 모든 멤버가 순차적으로 변수에 하나씩 대입이 됩니다.
   이 기능을 고속 열거라고 합니다.
=>단 변수에 대입되는 멤버는 오브젝트 이어야 합니다.
    value 타입또는 일반 C 배열은 안됩니다.
=> enumerator를 반환할 수 있는 컬렉션 만이 배열명에 올 수 있습니다. 
    ex. nsarray 는 Object를 리턴

//가장 느림
NSArray * ar = 생성 ;
    int i ;
    for(i=0;i<[ar count];i++)
   {
       NSLog(@"%@",[ar ObjectAtIndex:i]);
   }

// 가장빠름, 코딩양이 많음.
NSEnumerator * it ;
    it = [ar getEnumerator];
    NSString * str;
    While((str=[it nextObject])!=nil)
    {
        NSLog(@"%@",str);
    }

//코딩양도 적고 빠름. enumerator형태로 변환되어 실행
NSString * str
    for(str in ar)
        NSLog(@"%@",str);
======================================================================
ex) for ~ in 예제
#import <foundation/foundation.h>
int main()
{
   NSAutorelease * pool = [[NSAutoreleasePool alloc]init];
   NSArray* monthName = [NSArray arrayWithObjects:@"Janurary",@"Feburary",nil];
   // NSArray 는 get Enumerator을 소유
   for(NSString * temp in monthName)
       NSLog(@"%@",temp);
   [Pool drain];
   return 0;
}
======================================================================
*잘못된 예
int ar[3]={1,2,3};
for(int n in ar)
    // n 은 Object가 아님, int 계열에는 get Enumerator가 없음.
    NSLog(@"%i",n);
======================================================================

* Property가 추가
=> 모든 멤버변수의 setter와 getter 문제 해결
예약어
@property : setter 와 getter의 선언
@synthesize : setter 와 getter의 구현
======================================================================
@interface Test:NSObject
{
    int a;
}
-(void)setA:(int)n;
-(int)a;
// 위의 두 선언은 @property int a; 로 완전히 대체
// 멤버변수와 메소드가 동일한 이름을 가져도 문제가 없다.
@property(setter=setting:)int k;
@end
======================================================================
@implementation Test
-(void)setA:(int)n
// 여기부터
{
   a=n;
}
-(int)a
{
   return a;
}
// 여기까지 => synthesize a; 로 대체
-(void)setting :(int)x
{
   k=x;
   NSLog(@"K가 초기화");
}
@end

Teste *obj = [Test new];
   [obj setk:10]; <=setter 구문을 그대로 사용가능

복사옵션지정 (property에 적용)
assign : 대입
retain : retain 메서드 호출
copy : 얕은 복사
=> NSArray * ar; 얕은 복사 문제발생 가능성 높음 // objective-c는 참조형 배열

    NSString * str ; 얕은 복사 문제 발생가능성이 적음

나중에 따로 정리예정

워크그룹 : 독립실행형...
도메인 : C/S 모델을 이야기 함.=> 중앙 디렉터리 서비스 => ADS/AD DS
         인터넷 DNS 이름을 말하는게 아님. 싱글사인온 구현 가능.

우리 조직의 부서이름 반영
NT 도메인들이 부서마다 따로따로 있었음.

2000 AD로 가면서

NT 도메인 : 부서단위
2000 AD : 회사단위..
========================================================
OS들의 특징
1. 공유레벨의 시스템 => 밀레니엄시스템 이전에 끝남.
2. 사용자 레벨의 시스템 => 강제 로그온..
SSO => 도메인 환경..
WUS
========================================================
이름/..
도메인/ 컴퓨터 이름.. =>
컴퓨터 네이밍 :
NetBIOS  => 16자리. 15자리 + 서비스코드
Hostname => 255자리. com1.sec.com.

www.naver.com:80

sec.com = sec  : netbios 명을 매핑해야 함.
suwon.sec.com = suwon
SAM :DB 파일을 관리

도메인 로그인할 경우 DC가 사용자 티켓 발급(10시간 TTL)
타시스템 이용시 유효기간, 발급서버 등 확인 (DC에서)
사용자 서비스 티켓 발급 (10시간 TTL)

Local (LSA)
ntds.dit 파일 디렉터리 DB파일
1. 스키마티션 ==> forest 레벨에서 공유
2. 구성 파티션 ==> forest 레벨에서 공유

3. 도메인파티션 => 도메인 내에서만
4. 응용프로그램 파티션 => 관리자의 선택에 따라
5. PAS(GC) ==> forest 레벨에서 공유
==> 기본적으로 Root DC에 할당됨.
==> 전체 forest의 간략한 정보를 저장하고 있는 저장소
user1 => 도메인 파티션에 저장했더니 attribute가  200개...  핵심은 => 10개 를 GC에 저장
forest 전체의 도메인에서 모든 개체들에 대한 간략한 정보를 저장해두는 저장소 => gc

adsiedit.msc

도메인 관리도구
1. ad 사용자 및 컴퓨터 : 일반세팅
2. adsiedit.msc : 고급세팅
3. ldp : 개개별 개체에 세팅되어 있는 아주 디테일한 정보. 고급세팅

스키마
1. ad 스키마 : 관리도구에 있음. 기본적으로는 나타나지 않음.
스키마 관리도구 등록 :  regsvr32 schmmgmt.dll
스탠다드 스키마의 경우 계정하나당 200K 정도 할당
보통 400K 까지도 할당될수 있음.
SAM => 40MB 를 초과할 수 없음
AD Ntds.eit... 백만개 저장할 수 있음. 
우리회사 : 사용자 계정/컴퓨터 계정 => 600KB 사이징...
도메인파티션과 스키마가 다름.

2. adsiedit.msc
========================================================

도메인 : OU(새분화해서 관리)
- 보안구성을 위한 하나의 범주
- 관리의 범위

도메인 => administrator
1학년1반 = > 담임선생님..

LG전자
lg.com (도메인)
OU : 의미있는 이름으로 생성, 체계적으로 관리
- 서울
   - 여업
   - 서비스
- 평택
   - 멀티미디어
   - PC사업부
   - CD롬 사업부
- 구미
   - 냉장고
     - 생산실
     - 연구실
   - TV

지역적인 부분으로 구분...
===============================================
LG전자는 사업부가 크게 두가지
lge.com
멀티미디어 사업본부
- PC 사업본부
- CD롬 사업본부

리빙 사업본부
- 냉장고
- TV
===============================================
조직도 ... OU => 가장 권장하지 않는 방법.

도메인 구성방법
1. Parent, client 형 도메인
서버가 많이 포함되어짐.. (돈이 많이듬)
도메인ㅂㄹ 서버관리자 필요
WAN 구간 속도저하.

2. 도메인 안에서 OU로 구분
지역별 DC중 어디에 로그인할지 알 수 없음.
복제문제

===============================================
dcpromo
1. NTDS 디렉터리 생성 => AD DB
2. SYSVOL => AD 그룹정책이 저장 =>폴더를 자동 공유. NTFS 파일시스템이 반드시 필요

2000
1. 혼합모드
2000 + NT4 백업용도...  : 디렉토리구성모드가 호환성모드로 낮추어짐.
2. 기본모드 : 2000 DC로만 구성

2003
1. 혼합모드 nt
2. 기본모드 2000 + 2003
3. 2003 기능수준레벨

2008
1. 더이상 nt 지원안함.
2. 기본모드
3. 2003 기능수준레벨
4. 2008 수준

dvanced 모드로 설치

다중마스터에서도 싱글마스터 작업 5가지
스키마마스터

AD DC가 복제를 해결할 수 있는 방법
1. 동일한 이름으로 개체가 등록되는 경우 (이론상으로 15초 delay 이후에 보냄)
    같은 랜구간에 있으면 실시간으로 됨..
    시간이 조그이라도 빠른 개체를 선택
    NYC-DC1
    DC2에서 user1??? user1%CNF%dc2의 GUID

repadmin /?
repadmin /showobjmeta nyc-dc1 cn=user1,ou=ou,dc=woodgrovebank,dc=com

2. user1이 있는 상태.
DC1에서 500-1234
DC2에서 900-1234 로 변경0
time stamp가 조금이라도 느린것 선택.

3. ou라는 ou
DC1에서는 ou에다가 user2를 추가
DC2는 ou 자체를 삭제..

싱글마스터 작업
1. 스키마 마스터 => 스키마 변경시..
;; schema
2. 도메인 네이밍 마스터 => 포리스트내 이름을 유지관리 => 포리스트내에서 도메인 추가/제거 작업시
;; trust
=====================================================================
LON DC1
3. PDC 애뮬레이터
-;; NT4 BDC에 대한 pdc로서의 역할..
-;; 이전 버전의 클라이언트들이 암호변경을 하려면  PDC
---------------------------------------------------------------------
-;; 시간서버
-;; 긴급복제, 항상 최신의 DB를 유지

4. rid 마스터 (http://www.systemtools.com) DumpSec v2.8.6 다운로드
-;; sid : user, computer, group

5. infrastructure 마스터
=> 단일 도메인 환경에서는 동작안함
=> 다중 도메인 환경에서 동작하는데, 이미 GC로 구성되었다면 역시 동작안함.
http://support.microsoft.com/kb/255504

전송 : GUI, Ntdsutil.exe
점유 : Ntdstuil.exe