구성 작업에는 3가지가 있습니다 

1. 기존 도메인 에 도메인 컨트롤러를 추가합니다.
기존 도메인 컨트롤러에 백업 도메인 컨트롤러를 추가하는 것입니다. 도메인 컨트롤러는 전사적인 자원을 관리하는 보안 체계입니다. 이 도메인에는 사용자 계정, 컴퓨터 등의 자원과 각종 응용프로그램의 설정 정보 등이 저장됩니다. 만약 불의의 사고로 도메인 컨트롤러를 사용하지 못하게 되는 큰일이 아닐 수 없습니다. 그럴 때를 대비하여 즉각 대응 가능한 백업 도메인 컨트롤러를 만드는 작업입니다. 간단한 작업으로 백업 도메인 컨트롤러는 주 도메인 컨트롤러로 승격 시킬 수 있습니다.
2. 기존 포리스트에 새 도메인을 추가합니다.
기존 포리스트에 새 도에인 추가는 포리스트 트리의 주 하단부에 도메인을 추가하는 것입니다. 포리스트는 www.innobitlab.kr 이면 주 포리스트는 innobitlab.kr 이 되는 거지요 만약 대규모 도메인을 전계하는 경우 지역적으로 구분하면 innobitlab.kr 밑에 서울이나, 부산이라는 하부 도메인을 추가할 수 있습니다.
이럴 경우 도메인 명은 seoul.innobitlab.kr 과 같은 레벨의 busan.innobitlab.kr 과 같은 하부 도메인이 됩니다. 하부 도메인을 주 도메인 innobitlab.kr 의 정보를 내려 받을 수 있으나 하부도메인의 정보는 별도의 작업이 없이는 상위로 올라가지 않습니다. 대기업 및 글로벌 환경에 적합한 다중 환경입니다.
물로 추가하기 위해서는 innobitlab.kr 이라는 기존 포리스트가 존재해야 합니다.
3. 새 포리스트를 추가합니다. 입니다.
새 포리스트 추가는 아무것도 없는 무(none)의 상태입니다. 여기서 신규 포리스트 및 새 주 도메인 컨트롤러를 설치하는 것입니다. 우리는 처음으로 도메인 컨트롤러를 구성하는 것이므로 3번을 선택합니다. 

새로운 포리스트 명은 루트 도메인 명과 같습니다. 여기에 루트 도메인을 입력합니다.
입력되는 명은 인터넷 도메인 명으로 합니다. 물로 이는 소규모 도메인의 전제로 합니다. 대규모 도메인의 경우 인터넷 도메인 명이 아닌 도메인.local 과 같은 내부 용으로 이름을 정합니다.
중소규모 innobitlab.kr , 대규모 innobitlab.local 

다음 화면 에서는 포리스트 및 도메인의 기능 수준을 지정합니다.
기능 수준이란 도메인 컨트롤러의 보안 레벨이라고 이해하면 됩니다. 각 서버 버전에 따라 AD 의 암호화 Bit 수준과 레벨이 달라 집니다. 즉 높으면 높을수록 좋다는 얘기지요 하지만 1단계 레벨이 올라갈 때 마다 네트워크상에 데이터 량이 늘어나고 또한 낮은 레벨에서는 높은 레벨로의 접근 문제가 생길 수 있습니다. 기능 수준은 도메인 네트워크 상의 가장 낮은 서버 버전으로 하시면 됩니다. 맘에 안 들면 낮은 레벨의 서버를 업그레이드 하시면 됩니다.
이전의 도메인 서버가 없는 관계로 Windows Server 2016 으로 하면 됩니다.
다음은 도메인 컨트롤러 기능을 지정합니다.
GC 는 기본적으로 체크되어 있습니다. GC 는 Global Catalog 의 약자 입니다. 전체적인 목록 같은 뜻입니다. 즉 모든 서버와, 클라이언트 들이 이 서버에서 AD 정보를 받아간다는 뜻이지요 그러니 단연히 기본 체크 입니다.
특이점은 DNS 의 선택 유무 인데요 DNS 는 인터넷 환경을 위한 것입니다. AD 는 인터넷 환경 없이도 사용이 가능합니다. NETBIOS 만 사용하는 경우 인데요 이런 경우는 굳이 DNS 서버를 설치할 필요가 없겠지요 그럴 때 체크를 해제해도 됩니다. 하지만 인터넷에서 무언가를 해야할 경우에는 반드시 체크를 해야합니다.
체크 불가인 RODC 는 읽기전용 도메인 컨트롤러로서 글로벌 환경에서 네트워크 장애 또는 인터넷 장애로서 본사 Main AD 에 접근이 어려울 경우 나 VPN 상의 과도한 로그인 트래픽을 해소하기 위한 용도입니다. 그러니 당연히 주 도메인이 있는 경우에만 체크가 되겠지요

다음은 DSRM 액티브 디렉토리 복원 모드 암호 지정입니다.
AD 가 손상되어 정상적을 AD 로그인이 불가할 경우 복구 모드 암호로 로그인 하여 AD 를 복구하기 위한 용도의 로그인 암호를 지정하는 것입니다. 보안 적으로 매우 중요하므로 잘 기억할 수 있는 암호를 지정합니다.

DNS 위임에 대한 경고 창이 뜹니다. 이는 외부 쪽 즉 InterNIC 나 KRNIC 에서 DNS 네임 서버가 설치중인 서버를 지정하지 않아서 뜨는 경고이니 무시해도 됩니다. 추후 DNS 네임서버 주소 및 IP 주소를 설치중인 서버의 외부 IP 로 지정하면 됩니다. 

NETBIOS 용 도메인 이름을 지정합니다. 여기서 앞에서 말한 인터넷 도메인 주소와 동일하게 지정해도 되고 또는 다른 명칭으로 지정해도 됩니다. 

이제 AD 용 데이터베이스 및 로그, Sysvol (공유 디렉토리) 의 저장 경로를 지정합니다. 일반적으로 기본값인 Windows 하부 폴더로 지정하는 것을 권합니다. Windows 의 하부 폴더에 대한 보안이 가장 높을 뿐만 아니라 장애 복구 시 유리하기 때문입니다. 별도의 경로를 지정해도 되나 대규모 사이트가 아닐 경우 과도하게 용량이 늘어날 경우는 없으니 기본값을 권장합니다. 
 

모든 준비가 끝났습니다. 우측하단의 스크립트는 이러한 일련의 과정의 자동화하기 위한 설정 입니다. 필요한 경우 저장합니다. 

구성 정보를 검증합니다.

상당히 다양하게 경고를 띄웁니다. 대체적으로 일반적인 알림 이므로 읽어보고 진행합니다. 

설치를 누르고 진행합니다. 

설치가 진행되고 있습니다. 

시간이 좀 소요됩니다. Windows 폴더를 비롯하여 모든 폴더와 파일에 대하여 암호화가 진행 됩니다. 

완료되고 나면 자동으로 재부팅 되며 이전과 달리 로그인 ID 앞에 도메인 명이 자동으로 등록됩니다. 

도메인 컨트롤러는 로컬 사용자 계정이 무시 되며 이후로 도메인 로그인만 허용 됩니다.


 

서버 관리자에 도메인컨트롤러에 대한 새로운 기능들이 추가 되었습니다.
 

제어판 - > 관리 도구에도 많은 항목들이 생성 되었습니다. 

오늘 연제는 여기까지 다음은 AD 관리 도구에 대해 알아보겠습니다.