[Win2016] Windows AD 하위 도메인 설정하기 [Trust]

[구성도]

 

[Windows AD 하위 도메인 설정하기]

---

1. 하위 도메인 영역 설치

1.1) AD 설치하기

- [역할 및 기능 추가]로 이동하여, [Active Directory 도메인 서비스 구성 마법사]를 실행한다.

- 하위 도메인 영역을 추가할 예정이기 때문에, 도메인 유형을 [자식 도메인]으로 지정한다.

- 부모 도메인의 이름과 자식 도메인의 이름을 지정한다.

- 부모 도메인으로부터의 자격을 증명 받기 위해, [변경] 을 눌러, 부모 도메인의 관리자 계정을 입력한다.

 

- 하위 도메인 영역의 관리자 암호를 설정한다.

 

 

- DNS 위임 옵션을 지정한다. 기본값으로 체크가 되어있다.

DNS 위임(Delegation)은 하위 도메인의 DNS 존을 다른 DNS 서버로 위임하는 과정을 말합니다. 이를 통해 특정 도메인의 하위 도메인에 대한 DNS 쿼리를 다른 DNS 서버에서 처리하도록 설정할 수 있습니다. DNS 위임은 보다 복잡한 DNS 구조에서 사용되며, 예를 들어 도메인을 여러 조직 간에 나누어 관리할 때 유용합니다. # 참고 : ChatGPT

 

 

- [다음]을 누르고, 최종 설치를 마무리하면 재부팅이 자동으로 이루어진다.

 

 

2. 하위 도메인 컨트롤러 확인

2.1) Active Directory 사용자 및 컴퓨터

- 재부팅 후, Administrator로 Login 하여, 하위 도메인 컨트롤러의 역할을 하고 있는지 확인한다.

- [Active Directory 사용자 및 컴퓨터] 로 이동하여, 확인해보면, 위에서 입력한 하위 도메인 영역이 정상적으로 설정되었다.

 

 

 

 

2.2) DNS 관리자

- [DNS 관리자]로 이동하여, 하위 도메인 영역을 확인해본다. [전달자]에는 상위 도메인 영역인 DC1의 IP주소가 설정되어있다. 

 

 

- 반대로, DC1에서 확인한 결과, son.tiene.vm에 대한 전달자가 존재하지 않더라도, 위임 권한을 주었기 때문에 NS Server가 생성되어있다. 따라서, 하위 도메인 영역에 대한 전달자가 존재하지 않더라도,  하위 도메인 영역으로 ICMP를 보냈을 때, 응답을 받을 수 있었다. ICMP 요청 및 응답이 정상적으로 이루어졌지만, 한번 더 확실하게 DNS 전달자를 등록한다.

 

 

2.3) Trust 관계 확인

- 상위-하위(부모-자식) 관계를 살펴본다. 각각의 도메인 컨트롤러에서 [Active Directory 도메인 및 트러스트] 으로 진입한다. 도메인의 속성으로 진입하여 Trust 관계에 있는 도메인의 관계를 살펴본다. 자식과 부모로 정상적으로 등록되었다.

 

3. Domain 구성원 추가

3.1) Forest Root Domain 구성원 추가

- SVR2를 구성원으로 추가하였다.

 

3.3) 하위 도메인 영역 구성원 추가

- Win2003 Server를 구성원으로 추가하였다.

 

 

- 부팅 후에는 Login 할 수 있는 옵션이 3개가 주어진다. [ 부모(TIENE) / 자식(SON) / Local]

 

- 하위 도메인 컨트롤러에서도 확인가능하다.

 

 

 

 

4. Trust 관계 확인(부모-자식)

4.1) Domain Controller 별 사용자 계정 생성

- DC1(부모)에서는 tiene01 이라는 사용자 계정을 생성한다.

- SVR1(자식)에서는 tiene02 이라는 사용자 계정을 생성한다.

- 그리고, 각자 보유하고 있는 Domain 구성원에서 교차 Login을 테스트한다.

 

4.2) 각기 다른 도메인 영역으로 Login

- SVR2(부모 도메인 구성원)에서 자식 도메인 컨트롤러로 Login을 시도한다.  로컬 도메인의 사용자와 지정된 도메인 사용자 간 교차 인증이 가능하기 때문에, 정상적으로 접속이 가능하다.

 

---