Microsoft Active Directory 관리서버 설정 방법

 

 

Microsoft Active Directory를 만들고 나면 2개의 도메인 컨트롤러가 제공이 되지만 이에 액세스할 수가 없기에

관리서버를 만들고 이 관리서버에서 도메인에 접속하는 방식으로 관리한다.

 

Microsoft Active Directory의 자체 기능중에서, 관리서버를 간단히 만들어 주는 기능도 존재하지만,

수동으로 설정해야 하는 상황이 있을 수 있다.

 

EC2 ( Windows OS )를 만들고, 이를 관리서버로 지정하는 절차를 알아보고 남기고 싶어 이 블로그를 작성한다.

 

전제사항

- 모든 서버는 퍼블릭 서브넷에 위치

 

1. Microsoft Active Directory 생성

 

네트워킹 및 보안 탭에 보면 DNS주소가 2개 부여되어있는 것을 확인할 수 있다.

이 두개가 각각의 도메인 컨트롤러의 주소이다.

 

2. 관리서버에서 도메인 참가

 

 

2.1 EC2 rdp 접속

 

2.2 도메인 참가

 

네트워크 설정에 들어가서 현재 사용중인 이더넷의 속성을 변경한다.

IPv4의 속성을 클릭한다.

 

DNS Server의 주소란에 좀 전에 확인한 Microsoft AD의 도메인 컨트롤러의 아이피를 적자

 

뿐만아니라, DNS탭에서 Append primary and connection specific DNS suffixes를 선택

 

이 후, 도메인에 참가를 위해 컴퓨터 속성에서 도메인 변경을 클릭한 후 taehyeki.ad를 입력하자

 

Microsoft AD를 Admin과 작성하였을 때 입력한 관리자 암호를 입력하자

 

문제없이 도메인 참가가 된 것을 확인할 수 있다.

 

- EC2의 아웃바운드에 TCP만을 전체 허용하는 룰을 넣었는데 도메인 참가가 되지 않았다. 도메인 컨트롤러의 보안 그룹을 미루어 보아 아마 UDP등을 허용해야 하는 것 같기도 하다.

 

2.3 도메인 컨트롤러와 시간 동기화

 

2.2까지 마쳤다면 한번 재 시작을 해야할 필요가 있다. 재 시작 후 이번엔 Administrator가 아닌, Admin( AD 관리자 유저 )로 접속을 해보자.

 

아래의 커맨드를 사용하여 시간을 동기화 시키자.

> w32tm /config /syncfromflags:domhier /update 
> net stop w32time 
> net start w32time

 

3. AD관리툴 생성

 

서버매니저 -> 관리 -> 역할과 기능을 선택하고 기능까지는 디폴트 값을 체크.

 

그룹 폴리시 매니지먼트를 클릭

 

리모트 서버 관리 툴 클릭 후 

AD DS Tools, DNS Server Tools가 선택이 되어있어야함.

( 기본적으로 선택이 되어 있는것은 그대로 두었지만, 필요 없는 경우는 체크 빼줘야함. )

 

아래와 같은 창이 뜰 수 있는데, Add Features를 클릭

 

다음을 클릭하고 마지막 확인버튼에서 인스톨을 클릭

 

인스톨 시작

 

4. AD 관리자 툴 사용해보기

 

Active Directory  Users and Computers를 선택한다.

 

taehyeki.ad의 아래에 taehyeki에 들어가면, AD에 의해 관리되고있는 사용자, 컴퓨터를 확인할 수 있다.

Managed Microsoft AD는 도메인 관리자 권한을 주지 않고, 제한된 권한만 부여합니다.
루트 디렉터리는 AWS가 관리하며, 관리자도 읽기 전용 권한만 가집니다.
루트 아래에는 특정 이름(예: taehyeki)의 OU가 있고, 이 OU 안에서만 사용자나 컴퓨터를 생성할 수 있습니다.

 

 

 

 

DNS서버에 도메인 컨트롤러의 주소를 넣고. 포워더를 확인해보면, x.x.x.2의 아이피가 적혀있다.

 

 

 

 

 

1. 도메인에 참가하면 도메인 컨트롤러의 DNS 서버를 기본으로 사용하여 AD 관련 레코드(예: 도메인 컨트롤러 정보)를 해석합니다.

2. 도메인 컨트롤러 DNS에서 해석할 수 없는 주소(예: www.naver.com)가 들어오면, 이 요청은 포워더를 통해 외부 DNS 서버(예: x.x.x.2의 Route 53 Resolver)로 전달됩니다.

3. 외부 DNS 서버는 일반적인 인터넷 도메인에 대한 해석을 수행하고, 결과를 클라이언트에게 반환합니다.

 

이를통해 Managed Microsoft AD를 만든 후 수동으로 관리용서버에 연결하는 방법을 알아보있습니다.

 

-- 번외

그룹 폴리시 적용할 때 각 클라이언트의 방화벽

- Remote Scheduled Task Management (RPC)

- Remote Scheduled Task Management (RPC-EPMAP)

- Windows Management Instrumentation (WMI-In) 

의 인바운드 룰을 허가할 필요가 있다.

나의 경우는 Remote Scheduled Task Management를 허가 하니 폴리시 업데이트가 가능해졌다.