윈도우 서버 AD Domain Tree

윈도우 서버 AD의 도메인 트리에 대해 알아보겠습니다.

AD에서 Forest는 검색을 위한 일반 GC를 공유하고 Forest내의 모든 도메인간의 트러스트를 공유합니다.

Tree는 동일한 네임스페이스를 갖는 부모, 자식 관계를 만들며 자식 도메인은 부모 도메인에 Name Space를 추가합니다. 

자식 도메인을 만들며 알아보도록 하겠습니다.

테스트 OS는 윈도우 서버 2008 R2이며 테스트 진행 전 AD DC를 2대 설치해둔 상태입니다.

새로운 윈도우 서버에서 AD DC를 설치하도록 하겠습니다. 자식 도메인을 사용해야 하므로 기존 포리스트에 새 도메인 만들기로 설치를 진행하겠습니다.

포리스트 루트 도메인을 확인하는 과정입니다. 이미 설치해둔 AD DC의 도메인은 gsk.com이고 대체자격 증명으로 DC의 관리자 계정으로 자격증명을 해야합니다.

현재 AD는 자식도메인을 만드는 설치과정입니다. 먼저 AD DC의 부모도메인을 넣어주고 현재 윈도우 서버가 사용할 자식도메인을 넣어서 자식도메인과 부모도메인이 합쳐진 새로운 도메인이 나오게 됩니다.

계속 기본값으로 설치과정을 진행하면 위와 같이 DC옵션을 설정하는 부분이 나오게 되는데 저는 GC도 같이 설치하도록 하겠습니다.

현재 테스트 환경에는 DC가 2대 설치되어있습니다. 최초에 만들어두었던 DC를 사용하도록 하겠습니다. 이 다음부터는 AD의 설치과정과 똑같습니다. 완료 시 다시시작을 체크해주고 설치가 완료될때까지 기다려주시면 됩니다.

재부팅하고 로그온창을 보면 자식도메인 관리자 계정인걸 알수있습니다.

ksg.gsk.com 자식도메인은 부모도메인과 DNS의 상대방 영역을 자신의 보조영역으로 가지는 편이 안전합니다. DNS설정에서 부모도메인이 있는 AD DC서버에게 정방향 조회 영역을 만들어주도록 합니다.

DNS를 보조영역으로 만들기 위해서는 꼭 상대의 DNS의 허락이 필요합니다. 최초의 AD DC서버에서 자식도메인을 만든 AD DC서버에게 영역전송을 허용해야만 보조영역으로의 사용이 가능합니다.

사용자전환에서 다른 Member Server에서도 ksg자식도메인의 일반계정으로도 접속이 가능하게 됩니다. 부모자식 도메인이기 떄문에 가능합니다.

AD의 도메인 트리 기능을 이용하여 서로다른 네트워크간에 통신도 가능합니다.