설치
DB ... 관리
adsiedit.msc
시스템 상태 백업 반드시.. 필요..

AD 인프라 스키마 설치.. 후..
---------------------
글로벌
도메인 로컬...
유니버셜 그룹...

AD SSO/메시징.. / 특정서비스..
DHCP...클라이언트에게 IP를 할당하고 접근하게 하는 첫번째 서비스..
브로드캐스트 범위내에 있으면.. 아무한테 아무렇게나 할당가능..
192.168.100.10 => 클라이언트에게 IP 분배를 할 수 있음
2000 DHCP AD

RADIUS DC <-> RAS
=>2003 IAS


무선인증을 위해서 필요한것들..
*** NPS 안에서  *** <= 이것도 정상 서비스를 위해서는 AD 인증이 필요
NAP 구현 = 윈도서버 라우터로 쓸 수 있지만 overhead발생하기도 하고 장비가 낫다.
RADIUS 구현
라우터 / NAT 구현
VPN(SSL 지원), RAS


인증서 서비스...
=> IIS .. 필요

2003
IIS => 인증서 .. 서비스

NAC 2003

Roles는 핵심서비스 모음이다..


핵심 인프라로 인식되어지는것들..
AD인프라
WEB
인증서 서비스..

XP
adminpak.msi

vista,7 => RSAT
서버용 관리도구 패키지...

1. 터미널 ... 3389 port
2. MMC 콘솔로... 가능 - 445 port (파일/프린터 공유포트, 기본)
3.

Client(내PC)에도 administrator가 아닌 일반사용자 계정을 쓰자
일반사용자 계정
=> active X.. / 없앨 수 있다.
=> UAC

Hyper-V를 구현하는 Host 머신은 의미가 없다..
server core를 설치하는게 유리/단점은 command 관리 해야 함.
(GUI 불필요) command에 GUI가 올라가는 형식이므로 리소스를 많이 점유하게 됨...

AD를 이용해서 할 수 있는 가치
1. SSO
2. 자산관리
3. 그룹정책
4. 패치...

kdhong 도메인
=> 내 컴퓨터에 대해서는 관리자 권한..

로컬 admin
kdhong
domain admins
===================================
w2008 : 사용자가 로컬 머신의 계정을 이용해서 로그온 금지..
sid2ser.exe
user2sid.exe

c:\user2sid users
c:\s-1-5-21-xx-xx-xx-500

www.secure.pe.kr 에서 faq

인터넷 AD 안쓰는 환경에서 DNS

windows 2000 이상의 모든 시스템..(hostname 변환)
컴퓨터이름 NetBIOS => Hostname

\\컴퓨터이름 <= 형식으로

1. hostname 캐시 : ipconfig /displaydns(hosts 파일포함)
    C:\WINDOWS\system32\drivers\etc\hosts
2. dns 서버에 질의..
3. netbios 캐시 : nbtstat -c
4. wins 서버에 질의
5. 브로드캐스트...

==============================================================================
DNS 서버
1. 이름변환 = 설치.. 하면 이름변환 함.. 
    컨디셔널 forwarder : 원하는 이름만 얘한테 물어보고 나머지는 내가 알아서 하겠다.. 
    확인 : nslookup => lon-dc1.emea.woodgrovebank.com
    보조DNS는 주서버가 멈췄을때 동작하지 정보를 찾지못했을 경우에는 동작하지 않음.

2. 영역관리
    정방향조회 : 이름 => IP로 변환
    역방향조회 : IP => 이름.. 
      - nslookup
      - web서버 : 공개되지 않은 서버를 위해 필터구성할때
        : IP주소로 제한
        : 도메인 이름/컴퓨터 이름으로 제한.
          =>source IP 등을 가지고 클라이언트가 접속을 시도 
  =============
    주영역
    보조영역 : R/O 모드

    ==========
    ad통합영역
    스텁영역
   
--------------------------------------------------
연습문제
주영역/보조영역 생성
NYC-DC1 / LON-DC1

영역DB 파일

3.
LDAP =>기본..
CN : 유일한 개체, 컨테이너
OU : OU 이름앞에
DC : 도메인 이름 앞에

user1 사용자 계정
a.com - korea

www.naver.com
유니크한 이름이 가장왼쪽, 광범위한 이름이 가장 오른쪽
cn=user1,ou=korea,dc=a,dc=com
만일 sub가 있다면
cn=user1,ou=korea,dc=sub,dc=a,dc=com

cn=administrator, cn=builtin,dc=a,dc=com
"cn=server operator, cn=builtin,dc=a,dc=com"

표준
cn=user1,ou=korea,o=a,c=com

ad통합영역... =>adsiedit
파티션을 가져올때..
1. 도메인에 있는 dns 서버들에게 all 복제
   => dc=domaindnszones,dc=woodgrovebank,dc=com
2. 포리스트에 있는 dns 서버들에게 all 복제
   => dc=forestdnszones,dc=~

DNS에서 자주사용하는 레코드
A레코드 : 이름 = IP
CNAME : 여러개의 역할에 대해  별칭
MX : 메일서버
PTR : 리버스룩업에서 사용(거꾸로 찾기 영역) IP =>이름
SOA :그 영역 자체의 정보
SRV : 어떠한 서비스를 수행하는 서버가 누구다..
      => MS 2000 DNS 지원
      =>

ad 통합영역을 사용했을 경우의 장점..
1. dns db에 대한 복제를 신경쓰지 않아도 됨.   
   ad 복제가 모두 담당.
2. SRV레코드가 등록되어짐

--------------------------------
AD를 위한 영역 구성을 위한 스텝
1. woodgrovebank.com => ad 통합영역생성 (10.10.0.10)
2. w.com 도메인내의 모든 dc들의 dns서버의 ip정보를 #1에서 설정한 dns 서버로 설정
3. dc에서 netlogon 서비스를 재시작...
4. 도메인 내의 모든 pc들(클라이언트 포함) dns 서버 => 10.10.0.10으로 변경
5. 모든 pc들 (dc + 클라이언트)
    도스창 : ipconfig /registerdns =>A 레코드
자신의 컴퓨터 이름 + 자신의 IP주소


2003=>2008

1. 백그라운드 존 로딩...
a.com => 6천개..
패치 작업.. =>
재부팅
최대 2시간

2. ipv6 지원...
3. globalname zone 지원 => wins 서버를 대체
=> 단일레이블 네임
a.com / b.com
woodgrovebank => 등록.

dns 관리 : dnsmgmt.msc
===================================================
사용자 관리
1. ad 사용자 및 컴퓨터 => GUI 도구...
2. net user // 2000까지사용자등록
3. dsadd user // 2003서버부터 지원
    dsadd user user cn=user10,ou=user,ou=korea,dc=woodgrovebank,dc=com -pwd Pa$$word -tel 555-1245 -memberof administrators
4. csvde
    개체를 최초에 등록... add
    문서화 작업이나 forest를 건너가면서 계정등록할 경우
    csvde -f wood.csv -r objectclass=user -d ou=user,ou=korea,dc=woodgrovebank,dc=com
5. ldifde
    개체의 add, modify, delete

6. 스크립트
7. 파워셸...

OU작업의 목적은 관리를 세분화
1. 그룹정책
2. 관리제어 위임.

다국적기업
a.com 단일 도메인의 경우.. ou
  - 한국
     - 컴퓨터
       - 노트북
       - 데스크탑
     - 사용자 
  - 미국
  - 싱가폴
2, 3 depth 이상 권고하지 않음.
===================================================
호스트머신
1. XP, VISTA, 2008 32/64(R2는 안됨) => 메모리 2GB 이상
   hyper-v 설치된 P 안됨
2. .Net framework
3. IIS - 웹서버
4. virtual server =>영문버젼...
5. 이미지 설치. 6425AL, 5047b
6. VHD - program files\microsoft learning\base
    05D,08A,08B,08C,08D-R
===================================================
Type : 보안그룹
whoami /all : access token 정보
 gpupdate /force : 부팅안하고 정책적용

user account : Global

global group : global group를 가져올 수 있음. user도..
=> 우리회사 조직도 생성
유니버셜 : 전사직원 그룹핑
도메인로컬 : 사용자 그룹핑이 목적이 아님.
=> 권한할당..

나중에 따로 정리예정

워크그룹 : 독립실행형...
도메인 : C/S 모델을 이야기 함.=> 중앙 디렉터리 서비스 => ADS/AD DS
         인터넷 DNS 이름을 말하는게 아님. 싱글사인온 구현 가능.

우리 조직의 부서이름 반영
NT 도메인들이 부서마다 따로따로 있었음.

2000 AD로 가면서

NT 도메인 : 부서단위
2000 AD : 회사단위..
========================================================
OS들의 특징
1. 공유레벨의 시스템 => 밀레니엄시스템 이전에 끝남.
2. 사용자 레벨의 시스템 => 강제 로그온..
SSO => 도메인 환경..
WUS
========================================================
이름/..
도메인/ 컴퓨터 이름.. =>
컴퓨터 네이밍 :
NetBIOS  => 16자리. 15자리 + 서비스코드
Hostname => 255자리. com1.sec.com.

www.naver.com:80

sec.com = sec  : netbios 명을 매핑해야 함.
suwon.sec.com = suwon
SAM :DB 파일을 관리

도메인 로그인할 경우 DC가 사용자 티켓 발급(10시간 TTL)
타시스템 이용시 유효기간, 발급서버 등 확인 (DC에서)
사용자 서비스 티켓 발급 (10시간 TTL)

Local (LSA)
ntds.dit 파일 디렉터리 DB파일
1. 스키마티션 ==> forest 레벨에서 공유
2. 구성 파티션 ==> forest 레벨에서 공유

3. 도메인파티션 => 도메인 내에서만
4. 응용프로그램 파티션 => 관리자의 선택에 따라
5. PAS(GC) ==> forest 레벨에서 공유
==> 기본적으로 Root DC에 할당됨.
==> 전체 forest의 간략한 정보를 저장하고 있는 저장소
user1 => 도메인 파티션에 저장했더니 attribute가  200개...  핵심은 => 10개 를 GC에 저장
forest 전체의 도메인에서 모든 개체들에 대한 간략한 정보를 저장해두는 저장소 => gc

adsiedit.msc

도메인 관리도구
1. ad 사용자 및 컴퓨터 : 일반세팅
2. adsiedit.msc : 고급세팅
3. ldp : 개개별 개체에 세팅되어 있는 아주 디테일한 정보. 고급세팅

스키마
1. ad 스키마 : 관리도구에 있음. 기본적으로는 나타나지 않음.
스키마 관리도구 등록 :  regsvr32 schmmgmt.dll
스탠다드 스키마의 경우 계정하나당 200K 정도 할당
보통 400K 까지도 할당될수 있음.
SAM => 40MB 를 초과할 수 없음
AD Ntds.eit... 백만개 저장할 수 있음. 
우리회사 : 사용자 계정/컴퓨터 계정 => 600KB 사이징...
도메인파티션과 스키마가 다름.

2. adsiedit.msc
========================================================

도메인 : OU(새분화해서 관리)
- 보안구성을 위한 하나의 범주
- 관리의 범위

도메인 => administrator
1학년1반 = > 담임선생님..

LG전자
lg.com (도메인)
OU : 의미있는 이름으로 생성, 체계적으로 관리
- 서울
   - 여업
   - 서비스
- 평택
   - 멀티미디어
   - PC사업부
   - CD롬 사업부
- 구미
   - 냉장고
     - 생산실
     - 연구실
   - TV

지역적인 부분으로 구분...
===============================================
LG전자는 사업부가 크게 두가지
lge.com
멀티미디어 사업본부
- PC 사업본부
- CD롬 사업본부

리빙 사업본부
- 냉장고
- TV
===============================================
조직도 ... OU => 가장 권장하지 않는 방법.

도메인 구성방법
1. Parent, client 형 도메인
서버가 많이 포함되어짐.. (돈이 많이듬)
도메인ㅂㄹ 서버관리자 필요
WAN 구간 속도저하.

2. 도메인 안에서 OU로 구분
지역별 DC중 어디에 로그인할지 알 수 없음.
복제문제

===============================================
dcpromo
1. NTDS 디렉터리 생성 => AD DB
2. SYSVOL => AD 그룹정책이 저장 =>폴더를 자동 공유. NTFS 파일시스템이 반드시 필요

2000
1. 혼합모드
2000 + NT4 백업용도...  : 디렉토리구성모드가 호환성모드로 낮추어짐.
2. 기본모드 : 2000 DC로만 구성

2003
1. 혼합모드 nt
2. 기본모드 2000 + 2003
3. 2003 기능수준레벨

2008
1. 더이상 nt 지원안함.
2. 기본모드
3. 2003 기능수준레벨
4. 2008 수준

dvanced 모드로 설치

다중마스터에서도 싱글마스터 작업 5가지
스키마마스터

AD DC가 복제를 해결할 수 있는 방법
1. 동일한 이름으로 개체가 등록되는 경우 (이론상으로 15초 delay 이후에 보냄)
    같은 랜구간에 있으면 실시간으로 됨..
    시간이 조그이라도 빠른 개체를 선택
    NYC-DC1
    DC2에서 user1??? user1%CNF%dc2의 GUID

repadmin /?
repadmin /showobjmeta nyc-dc1 cn=user1,ou=ou,dc=woodgrovebank,dc=com

2. user1이 있는 상태.
DC1에서 500-1234
DC2에서 900-1234 로 변경0
time stamp가 조금이라도 느린것 선택.

3. ou라는 ou
DC1에서는 ou에다가 user2를 추가
DC2는 ou 자체를 삭제..

싱글마스터 작업
1. 스키마 마스터 => 스키마 변경시..
;; schema
2. 도메인 네이밍 마스터 => 포리스트내 이름을 유지관리 => 포리스트내에서 도메인 추가/제거 작업시
;; trust
=====================================================================
LON DC1
3. PDC 애뮬레이터
-;; NT4 BDC에 대한 pdc로서의 역할..
-;; 이전 버전의 클라이언트들이 암호변경을 하려면  PDC
---------------------------------------------------------------------
-;; 시간서버
-;; 긴급복제, 항상 최신의 DB를 유지

4. rid 마스터 (http://www.systemtools.com) DumpSec v2.8.6 다운로드
-;; sid : user, computer, group

5. infrastructure 마스터
=> 단일 도메인 환경에서는 동작안함
=> 다중 도메인 환경에서 동작하는데, 이미 GC로 구성되었다면 역시 동작안함.
http://support.microsoft.com/kb/255504

전송 : GUI, Ntdsutil.exe
점유 : Ntdstuil.exe