트러스트
- 서로 신뢰하는 도메인 간에 사용자 인증이 자동으로 인증하며, 자원에 공유가 가능하다.
- Forest Root Domain Administrator는 포리스트 내의 모든 도메인 컨트롤러 관리가 가능하다.
- Domain Root Tree Administrator는 자신의 도메인만 관리가 가능하고 Forest Root Domain 도메인은 읽기만 가능하다.
[Window AD Trust 생성]
1.Trust 생성
1.1) Domain Root Tree 생성
- 도메인 tiene188.vm 의 도메인 컨트롤러의 역할을 담당할 Server를 지정한 뒤, Active Directory를 설치한다.
- [Active Directory 도메인 서비스 구성 마법사] 에서 [기존 포리스트에 새 도메인을 추가합니다]를 지정한다.
- tiene.vm 이라는 기존에 존재하는 도메인에 소속될 것이기 때문이다.
- 그리고, Forest 이름(tiene.vm) 과, 새 도메인 이름(tiene188.vm) 을 입력한 뒤, [변경]을 누른다.
- [변경]을 누르면, 자격 증명을 위해, Forest Root Domain의 관리자 계정을 입력한다.
- 이와 같이 등록되면 [다음]을 누른다.
- Domain Root Tree의 암호를 입력한다.
- 그 후의 작업에는 특이사항이 없기 때문에, [다음]을 계속 눌러서 설치를 완료하고 재부팅을 시작한다.
1.2) Domain Root Tree 설정
- 재부팅 후에, [Active Directory 사용자 및 컴퓨터]로 이동하면, tiene188.vm 이라는 도메인 영역이 생성되었다.
- 그리고, 재부팅하면, DNS IP가 Loopback IP로 지정되어 있기 때문에, 자기 자신의 IP로 입력해둔다.
1.2.1) DNS 전달자 설정
- 다음과 같이, DC1에서 SVR2의 Domain으로 통신해보았지만 불가하다.
- 이유는, DC1에는 tiene.vm 영역만 존재하기 때문이다. 따라서, DNS 전달자를 사용해야한다.
DNS 전달자
- 기본 DNS Server에 쿼리 요청에도 응답을 받지 못 했을 때, 해당 요청을 전달할 곳을 지정하여 요청을 받을 수 있는 설정
- [DNS] - [호스트 속성] - [전달자]으로 이동한다. [편집]을 클릭하여 Forest Root Domain이 될 Window Server의 IP를 입력하고 적용한다. 양 쪽 모두 적용한다.
- 적용 후에는 다음과 같이 ICMP 테스트가 정상적으로 이루어진다.
1.3) Domain Root Tree 구성원 설정
- Window 2003의 도메인을 Domain Root Tree의 도메인으로 변경 후, 재부팅하여 Domain Root Tree 의 구성원으로 등록한다.
1.3.1) Domain Root Tree 구성원 확인
- Domain Root Tree 의 [Active Directory 사용자 및 컴퓨터] 으로 이동하면, 재부팅된 Win2003 Server가 등록된 것을 확인할 수 있다.
- Win2003 Server 에서 Login 할 때, 3가지 Logon 대상이 출력된다.
- TIENE = Forest Root Domain
- TIENE188 = Domain Root Tree
- WIN2003 = Local
2) 전체 확인하기
2.1) Trust 확인
- DC1으로 이동하여, [Active Directory 도메인 및 트러스트] 으로 진입하면, 아래와 같이 자신 이외의 도메인 영역이 존재한다. 확인을 위해서, tiene.vm의 속성으로 진입한다.
- [속성] 창이 열리면, [트러스트] 탭에는 트러스트 관계에 있는 도메인 영역이 존재한다. tiene188.vm 을 클릭한 뒤, [속성]을 눌러서 확인해본다.
- 다음과 같이, [트러스트 방향]이 양방향이라고 표기되어 있다. 로컬 도메인의 사용자와 지정된 도메인 사용자 간 교차 인증이 가능한 양방향 트러스트로 설정되어 있다.
- tiene188.vm 도메인 속성에서 트러스트 관계에 있는 tiene.vm의 속성으로 이동하여서 확인해도 결과는 같았다.
2.2) Enterprise Admins 확인
- 오직 Forest Root Domain에만 Domain Controller를 설정할 수 있는 [Enterprise Admins] 속성이 존재한다.
- Domain Root Tree에는 [Enterprise Admins] 속성이 존재하지 않는다.
3) 도메인 변경
- DC1에서 [Active Directory 사용자 및 컴퓨터] 으로 이동하여, 트러스트 관계에 있는 도메인으로 변경을 해본다.
- 다음과 같이, Forest Root Domain 내에 있는 도메인들이 출력된다. tiene188.vm을 선택하고 변경한다.
- tiene188.vm 도메인 영역에서 사용자 및 기타 개체들이 생성가능하다.
- 반대로, Domain Root Tree에서 트러스트 관계에 있는 도메인으로 변경을 해본다. 하지만, 새로 만들 수 있는 탭이 존재하지 않다. Domain Root Tree는 Read Only Global Catalog를 가지고 있기 때문에, 쓰기 권한이 없다. 즉, 읽기전용이다.
4) Trust 해제
- Trust 해제는 Domain Controller 강등 작업을 하면 해제가 이루어진다. 자세한 내용은 아래 링크를 참고하면 된다.
- [Win2016] Window AD Domain Controller 강등 및 제거
[Win2016] Window AD Domain Controller 강등 및 제거
[Window AD Domain Controller 강등 및 제거] 1. AD Domain Controller 강등 1.1) [서버 관리자] 이동 - Active Directory 설정 변경을 위해 [역할 및 기능 제거]로 진입한다. 1.2) [역할 및 기능 제거] 마법사 - [서버 역할]
a-gyuuuu.tistory.com
- 한가지 다른 점은, 자격 증명을 제공하는 곳을 Forest Root Domain으로 변경해야한다.
'IT > ㄴ Windows' 카테고리의 다른 글
| [Win2016] Windows AD Multi Domain 구성[AD 이중화] (0) | 2023.08.24 |
|---|---|
| [Win2016] Windows AD 하위 도메인 설정하기 [Trust] (0) | 2023.08.24 |
| [Win2016] Windows AD Group의 관리자 & Domain Controller 로그인 허용 (0) | 2023.08.23 |
| [Win2016] Windows AD Group 정리 (0) | 2023.08.23 |
| [Win2016] Window AD Domain Controller 강등 및 제거 (0) | 2023.08.22 |