설치
DB ... 관리
adsiedit.msc
시스템 상태 백업 반드시.. 필요..

AD 인프라 스키마 설치.. 후..
---------------------
글로벌
도메인 로컬...
유니버셜 그룹...

AD SSO/메시징.. / 특정서비스..
DHCP...클라이언트에게 IP를 할당하고 접근하게 하는 첫번째 서비스..
브로드캐스트 범위내에 있으면.. 아무한테 아무렇게나 할당가능..
192.168.100.10 => 클라이언트에게 IP 분배를 할 수 있음
2000 DHCP AD

RADIUS DC <-> RAS
=>2003 IAS


무선인증을 위해서 필요한것들..
*** NPS 안에서  *** <= 이것도 정상 서비스를 위해서는 AD 인증이 필요
NAP 구현 = 윈도서버 라우터로 쓸 수 있지만 overhead발생하기도 하고 장비가 낫다.
RADIUS 구현
라우터 / NAT 구현
VPN(SSL 지원), RAS


인증서 서비스...
=> IIS .. 필요

2003
IIS => 인증서 .. 서비스

NAC 2003

Roles는 핵심서비스 모음이다..


핵심 인프라로 인식되어지는것들..
AD인프라
WEB
인증서 서비스..

XP
adminpak.msi

vista,7 => RSAT
서버용 관리도구 패키지...

1. 터미널 ... 3389 port
2. MMC 콘솔로... 가능 - 445 port (파일/프린터 공유포트, 기본)
3.

Client(내PC)에도 administrator가 아닌 일반사용자 계정을 쓰자
일반사용자 계정
=> active X.. / 없앨 수 있다.
=> UAC

Hyper-V를 구현하는 Host 머신은 의미가 없다..
server core를 설치하는게 유리/단점은 command 관리 해야 함.
(GUI 불필요) command에 GUI가 올라가는 형식이므로 리소스를 많이 점유하게 됨...

AD를 이용해서 할 수 있는 가치
1. SSO
2. 자산관리
3. 그룹정책
4. 패치...

kdhong 도메인
=> 내 컴퓨터에 대해서는 관리자 권한..

로컬 admin
kdhong
domain admins
===================================
w2008 : 사용자가 로컬 머신의 계정을 이용해서 로그온 금지..
sid2ser.exe
user2sid.exe

c:\user2sid users
c:\s-1-5-21-xx-xx-xx-500

www.secure.pe.kr 에서 faq

NPKI (민간 최상위 인증기관)

---------------
GPKI (공공 최상위 인증기관)

NT 도메인은 부서단위

1user / 1account

상호신뢰관계 성립 (Trust)
out going / in comming
단방향 / 양방향
리소스를 주는쪽에서 받는쪽을 Trusting(신뢰)줘야 함
--------------------------
upgrade
1. 공존 :
2. 마이그레이션

support tool 설치 : movetree, cla
1. adsiedit
2. ldp
3. 복제모니터링 [replmon]

도메인간의 개체 이동작업
1. movetree => sid 유지, support 별도 설치
2. admt => MS 다운받아 설치
==============================================
유니버셜그룹의 정보는 GC에 저장됨

cached logon  기능지연 => xp 이상

xp => 빠른 로그온
=> 도메인 가입하면 느린 로그온

dnsmgmt.msc

Lesson 1: Maintaining the AD DS Domain Controllers
NTDS:
ntds.dit => 12MB

c:\windows\ntds => db이동 하기 위해서는.. 정지해야 함
2003 정상모드에서는 이동이 불가능

DC=> f8...
디렉터리 서비스 복원모드 => DSRM 모드
=> SAM 에 계정로그인

SYSVOL : NTFS 파일 시스템이어야 함.
FRS 복제
2003 R2부터 DFS-R

2003까지 SYSVOL FRS (복제알고리즘)
2008 SYSVOL DFS-R
=======================================
백업
NT백업
=> 수동으로 설치안해도 됨.
=> 파일단위의 백업을 진행
시스템 상태 데이터
=> 개개별 머신마다 상태데이터 백업을 별도 유지..

WS백업
=> 수동으로 설치해야됨.
=> 이미지 단위의 백업
=> DVD, USB 외장디스크(메모리 불가), 테잎장치는 직접 백업 기능지원불가

삭제된 개체 쉽게 살려낼 수 있음
LDP
modify:
distinguishedname
iddeleted => delete

dc1=dc2
user1 삭제
1. dc1, dc2에 모두 user1이 있는 상태
2. dc1, dc2의 백업 데이터
3. user1을 dc1에서 삭제
4. dc1, dc2에서 모두 user1이 삭제됨
도스창...띄우고..
 

dsrm 모드로 부팅해서 dc1의 시스템 상태 데이터를 복원.
6. 그냥부팅하면 복원해도 다시 dc2에서 복제되기 때문에 삭제되어 버림.
7. dsrm 모드에서.. cmd 도스창..
    ntdsutil
    authoritative restore.. user1 사용자 개체에 대한 정식복원

인터넷 AD 안쓰는 환경에서 DNS

windows 2000 이상의 모든 시스템..(hostname 변환)
컴퓨터이름 NetBIOS => Hostname

\\컴퓨터이름 <= 형식으로

1. hostname 캐시 : ipconfig /displaydns(hosts 파일포함)
    C:\WINDOWS\system32\drivers\etc\hosts
2. dns 서버에 질의..
3. netbios 캐시 : nbtstat -c
4. wins 서버에 질의
5. 브로드캐스트...

==============================================================================
DNS 서버
1. 이름변환 = 설치.. 하면 이름변환 함.. 
    컨디셔널 forwarder : 원하는 이름만 얘한테 물어보고 나머지는 내가 알아서 하겠다.. 
    확인 : nslookup => lon-dc1.emea.woodgrovebank.com
    보조DNS는 주서버가 멈췄을때 동작하지 정보를 찾지못했을 경우에는 동작하지 않음.

2. 영역관리
    정방향조회 : 이름 => IP로 변환
    역방향조회 : IP => 이름.. 
      - nslookup
      - web서버 : 공개되지 않은 서버를 위해 필터구성할때
        : IP주소로 제한
        : 도메인 이름/컴퓨터 이름으로 제한.
          =>source IP 등을 가지고 클라이언트가 접속을 시도 
  =============
    주영역
    보조영역 : R/O 모드

    ==========
    ad통합영역
    스텁영역
   
--------------------------------------------------
연습문제
주영역/보조영역 생성
NYC-DC1 / LON-DC1

영역DB 파일

3.
LDAP =>기본..
CN : 유일한 개체, 컨테이너
OU : OU 이름앞에
DC : 도메인 이름 앞에

user1 사용자 계정
a.com - korea

www.naver.com
유니크한 이름이 가장왼쪽, 광범위한 이름이 가장 오른쪽
cn=user1,ou=korea,dc=a,dc=com
만일 sub가 있다면
cn=user1,ou=korea,dc=sub,dc=a,dc=com

cn=administrator, cn=builtin,dc=a,dc=com
"cn=server operator, cn=builtin,dc=a,dc=com"

표준
cn=user1,ou=korea,o=a,c=com

ad통합영역... =>adsiedit
파티션을 가져올때..
1. 도메인에 있는 dns 서버들에게 all 복제
   => dc=domaindnszones,dc=woodgrovebank,dc=com
2. 포리스트에 있는 dns 서버들에게 all 복제
   => dc=forestdnszones,dc=~

DNS에서 자주사용하는 레코드
A레코드 : 이름 = IP
CNAME : 여러개의 역할에 대해  별칭
MX : 메일서버
PTR : 리버스룩업에서 사용(거꾸로 찾기 영역) IP =>이름
SOA :그 영역 자체의 정보
SRV : 어떠한 서비스를 수행하는 서버가 누구다..
      => MS 2000 DNS 지원
      =>

ad 통합영역을 사용했을 경우의 장점..
1. dns db에 대한 복제를 신경쓰지 않아도 됨.   
   ad 복제가 모두 담당.
2. SRV레코드가 등록되어짐

--------------------------------
AD를 위한 영역 구성을 위한 스텝
1. woodgrovebank.com => ad 통합영역생성 (10.10.0.10)
2. w.com 도메인내의 모든 dc들의 dns서버의 ip정보를 #1에서 설정한 dns 서버로 설정
3. dc에서 netlogon 서비스를 재시작...
4. 도메인 내의 모든 pc들(클라이언트 포함) dns 서버 => 10.10.0.10으로 변경
5. 모든 pc들 (dc + 클라이언트)
    도스창 : ipconfig /registerdns =>A 레코드
자신의 컴퓨터 이름 + 자신의 IP주소


2003=>2008

1. 백그라운드 존 로딩...
a.com => 6천개..
패치 작업.. =>
재부팅
최대 2시간

2. ipv6 지원...
3. globalname zone 지원 => wins 서버를 대체
=> 단일레이블 네임
a.com / b.com
woodgrovebank => 등록.

dns 관리 : dnsmgmt.msc
===================================================
사용자 관리
1. ad 사용자 및 컴퓨터 => GUI 도구...
2. net user // 2000까지사용자등록
3. dsadd user // 2003서버부터 지원
    dsadd user user cn=user10,ou=user,ou=korea,dc=woodgrovebank,dc=com -pwd Pa$$word -tel 555-1245 -memberof administrators
4. csvde
    개체를 최초에 등록... add
    문서화 작업이나 forest를 건너가면서 계정등록할 경우
    csvde -f wood.csv -r objectclass=user -d ou=user,ou=korea,dc=woodgrovebank,dc=com
5. ldifde
    개체의 add, modify, delete

6. 스크립트
7. 파워셸...

OU작업의 목적은 관리를 세분화
1. 그룹정책
2. 관리제어 위임.

다국적기업
a.com 단일 도메인의 경우.. ou
  - 한국
     - 컴퓨터
       - 노트북
       - 데스크탑
     - 사용자 
  - 미국
  - 싱가폴
2, 3 depth 이상 권고하지 않음.
===================================================
호스트머신
1. XP, VISTA, 2008 32/64(R2는 안됨) => 메모리 2GB 이상
   hyper-v 설치된 P 안됨
2. .Net framework
3. IIS - 웹서버
4. virtual server =>영문버젼...
5. 이미지 설치. 6425AL, 5047b
6. VHD - program files\microsoft learning\base
    05D,08A,08B,08C,08D-R
===================================================
Type : 보안그룹
whoami /all : access token 정보
 gpupdate /force : 부팅안하고 정책적용

user account : Global

global group : global group를 가져올 수 있음. user도..
=> 우리회사 조직도 생성
유니버셜 : 전사직원 그룹핑
도메인로컬 : 사용자 그룹핑이 목적이 아님.
=> 권한할당..

나중에 따로 정리예정

워크그룹 : 독립실행형...
도메인 : C/S 모델을 이야기 함.=> 중앙 디렉터리 서비스 => ADS/AD DS
         인터넷 DNS 이름을 말하는게 아님. 싱글사인온 구현 가능.

우리 조직의 부서이름 반영
NT 도메인들이 부서마다 따로따로 있었음.

2000 AD로 가면서

NT 도메인 : 부서단위
2000 AD : 회사단위..
========================================================
OS들의 특징
1. 공유레벨의 시스템 => 밀레니엄시스템 이전에 끝남.
2. 사용자 레벨의 시스템 => 강제 로그온..
SSO => 도메인 환경..
WUS
========================================================
이름/..
도메인/ 컴퓨터 이름.. =>
컴퓨터 네이밍 :
NetBIOS  => 16자리. 15자리 + 서비스코드
Hostname => 255자리. com1.sec.com.

www.naver.com:80

sec.com = sec  : netbios 명을 매핑해야 함.
suwon.sec.com = suwon
SAM :DB 파일을 관리

도메인 로그인할 경우 DC가 사용자 티켓 발급(10시간 TTL)
타시스템 이용시 유효기간, 발급서버 등 확인 (DC에서)
사용자 서비스 티켓 발급 (10시간 TTL)

Local (LSA)
ntds.dit 파일 디렉터리 DB파일
1. 스키마티션 ==> forest 레벨에서 공유
2. 구성 파티션 ==> forest 레벨에서 공유

3. 도메인파티션 => 도메인 내에서만
4. 응용프로그램 파티션 => 관리자의 선택에 따라
5. PAS(GC) ==> forest 레벨에서 공유
==> 기본적으로 Root DC에 할당됨.
==> 전체 forest의 간략한 정보를 저장하고 있는 저장소
user1 => 도메인 파티션에 저장했더니 attribute가  200개...  핵심은 => 10개 를 GC에 저장
forest 전체의 도메인에서 모든 개체들에 대한 간략한 정보를 저장해두는 저장소 => gc

adsiedit.msc

도메인 관리도구
1. ad 사용자 및 컴퓨터 : 일반세팅
2. adsiedit.msc : 고급세팅
3. ldp : 개개별 개체에 세팅되어 있는 아주 디테일한 정보. 고급세팅

스키마
1. ad 스키마 : 관리도구에 있음. 기본적으로는 나타나지 않음.
스키마 관리도구 등록 :  regsvr32 schmmgmt.dll
스탠다드 스키마의 경우 계정하나당 200K 정도 할당
보통 400K 까지도 할당될수 있음.
SAM => 40MB 를 초과할 수 없음
AD Ntds.eit... 백만개 저장할 수 있음. 
우리회사 : 사용자 계정/컴퓨터 계정 => 600KB 사이징...
도메인파티션과 스키마가 다름.

2. adsiedit.msc
========================================================

도메인 : OU(새분화해서 관리)
- 보안구성을 위한 하나의 범주
- 관리의 범위

도메인 => administrator
1학년1반 = > 담임선생님..

LG전자
lg.com (도메인)
OU : 의미있는 이름으로 생성, 체계적으로 관리
- 서울
   - 여업
   - 서비스
- 평택
   - 멀티미디어
   - PC사업부
   - CD롬 사업부
- 구미
   - 냉장고
     - 생산실
     - 연구실
   - TV

지역적인 부분으로 구분...
===============================================
LG전자는 사업부가 크게 두가지
lge.com
멀티미디어 사업본부
- PC 사업본부
- CD롬 사업본부

리빙 사업본부
- 냉장고
- TV
===============================================
조직도 ... OU => 가장 권장하지 않는 방법.

도메인 구성방법
1. Parent, client 형 도메인
서버가 많이 포함되어짐.. (돈이 많이듬)
도메인ㅂㄹ 서버관리자 필요
WAN 구간 속도저하.

2. 도메인 안에서 OU로 구분
지역별 DC중 어디에 로그인할지 알 수 없음.
복제문제

===============================================
dcpromo
1. NTDS 디렉터리 생성 => AD DB
2. SYSVOL => AD 그룹정책이 저장 =>폴더를 자동 공유. NTFS 파일시스템이 반드시 필요

2000
1. 혼합모드
2000 + NT4 백업용도...  : 디렉토리구성모드가 호환성모드로 낮추어짐.
2. 기본모드 : 2000 DC로만 구성

2003
1. 혼합모드 nt
2. 기본모드 2000 + 2003
3. 2003 기능수준레벨

2008
1. 더이상 nt 지원안함.
2. 기본모드
3. 2003 기능수준레벨
4. 2008 수준

dvanced 모드로 설치

다중마스터에서도 싱글마스터 작업 5가지
스키마마스터

AD DC가 복제를 해결할 수 있는 방법
1. 동일한 이름으로 개체가 등록되는 경우 (이론상으로 15초 delay 이후에 보냄)
    같은 랜구간에 있으면 실시간으로 됨..
    시간이 조그이라도 빠른 개체를 선택
    NYC-DC1
    DC2에서 user1??? user1%CNF%dc2의 GUID

repadmin /?
repadmin /showobjmeta nyc-dc1 cn=user1,ou=ou,dc=woodgrovebank,dc=com

2. user1이 있는 상태.
DC1에서 500-1234
DC2에서 900-1234 로 변경0
time stamp가 조금이라도 느린것 선택.

3. ou라는 ou
DC1에서는 ou에다가 user2를 추가
DC2는 ou 자체를 삭제..

싱글마스터 작업
1. 스키마 마스터 => 스키마 변경시..
;; schema
2. 도메인 네이밍 마스터 => 포리스트내 이름을 유지관리 => 포리스트내에서 도메인 추가/제거 작업시
;; trust
=====================================================================
LON DC1
3. PDC 애뮬레이터
-;; NT4 BDC에 대한 pdc로서의 역할..
-;; 이전 버전의 클라이언트들이 암호변경을 하려면  PDC
---------------------------------------------------------------------
-;; 시간서버
-;; 긴급복제, 항상 최신의 DB를 유지

4. rid 마스터 (http://www.systemtools.com) DumpSec v2.8.6 다운로드
-;; sid : user, computer, group

5. infrastructure 마스터
=> 단일 도메인 환경에서는 동작안함
=> 다중 도메인 환경에서 동작하는데, 이미 GC로 구성되었다면 역시 동작안함.
http://support.microsoft.com/kb/255504

전송 : GUI, Ntdsutil.exe
점유 : Ntdstuil.exe