Microsoft/Active Directory 21

[Active Directory] Active Directory 도메인 컨트롤러와 클라이언트 컴퓨터 간에 사용하는 네트워크 포트

도메인 컨트롤러가 Windows Server 2008 이상이고 클라이언트 컴퓨터가 Windows 7 이상인 경우, 아래와 같은 포트를 사용합니다. Client Port(s) Server Port Service 49152 -65535/UDP 123/UDP W32Time 49152 -65535/TCP 135/TCP RPC Endpoint Mapper 49152 -65535/TCP 464/TCP/UDP Kerberos password change 49152 -65535/TCP 49152-65535/TCP RPC for LSA, SAM, Netlogon (*) 49152 -65535/TCP/UDP 389/TCP/UDP LDAP 49152 -65535/TCP 636/TCP LDAP SSL 49152 -65535/..

[Active Directory] Active Directory는 Pull 복제 방식을 사용합니다.

Active Directory는 Pull 복제 방식을 사용합니다. 자세한 내용은 아래의 링크에 나와 있습니다. Pull Replication : https://technet.microsoft.com/en-us/library/cc961794.aspx What is the Active Directory Replication Model ? : https://technet.microsoft.com/en-us/library/cc737314(v=ws.10).aspx Pull 방식을 사용하는 가장 큰 이유는 복제 트래픽 때문입니다. Push 방식을 사용할 경우, 원본 도메인 컨트롤러는 대상 도메인 컨트롤러에서 필요로하는 정보가 무엇인지 알 수 없기 때문에, 대상 도메인 컨트롤러가 필요치 않는 정보까지 보내 대상 도메..

[Active Directory] Windows Server 2008 R2 Adprep.exe 실행 결과 확인 방법

Windows Server 2003 Active Directory 환경에서 Windows Server 2008 R2 도메인 컨트롤러를 추가하기 위해서는 스키마를 확장해야 합니다. 스키마 확장 후 결과를 확인하는 방법을 아래 링크에서 확인할 수 있습니다. Windows Server 2008 R2: Appendix of Changes to Adprep.exe to Support AD DS https://technet.microsoft.com/en-us/library/dd378876(v=ws.10).aspx Windows Server 2008 R2: Forest-Wide Updates (https://technet.microsoft.com/en-us/library/dd378805(v=ws.10).aspx) T..

Windows Server 2012 R2 도메인 컨트롤러 제거 절차

Windows Server 2012 도메인 컨트롤러 제거 절차입니다. Windows Server 2008 R2 까지는 시작 - 실행에서 dcpromo 명령을 실행해서 도메인 컨트롤러 역할을 제거 했습니다. 그런데 Windows Server 2012 부터는 dcpromo 가 없어졌습니다. 참고로 Windows Server 2012 R2 도메인 컨트롤러에서 dcpromo 를 실행하면 아래와 같은 메시지가 표시됩니다. 도메인 컨트롤러를 제거하기 전에 글로벌 카톨로그 역할 부터 제거해야 합니다. 글로벌 카탈로그 제거는 Active Directory 사이트 및 서비스 관리 콘솔(dssite.msc)에서 제거하고자 하는 도메인 컨트롤러의 NTDS Settings 속성으로 들어간 후, 글로벌 카탈로그 체크 박스를 해..

Active Directory에서 일정 기간 동안 사용되지 않은 컴퓨터들을 특정 OU로 옮기는 방법

Active Directory를 오랫동안 관리하다 보면 가비지 컴퓨터 개체들을 따로 관리할 방법이 필요합니다. 아래 명령을 사용하면 10주 동안 사용되지 않은 컴퓨터 개체들을 특정 OU로 옮길 수 있습니다. for /f "Tokens=*" %s in ('dsquery computer -inactive 10 -limit 0') do DSMOVE %s -newparent "컴퓨터 개체가 위치할 OU의 distinguishedName" 예를 들어, 도메인 명이 Contoso.com 이고 가비지 컴퓨터들이 위치할 OU가 inactiveComputers 라면 아래와 같이 사용할 수 있습니다. for /f "Tokens=*" %s in ('dsquery computer -inactive 10 -limit 0') d..

DirectAccess 역할 삭제 관련

DirectAccess 역할 삭제 시 아래와 같은 오류가 발생한다면, DirectAccess가 xxxx에 구성되어 있습니다. Remote Access 역할을 제거하기 전에 xxxx에서 DirectAccess 구성 설정을 제거하십시오. 원격 액세스 관리 콘솔을 실행 후, 구성 설정 제거를 클릭하여 아래와 같이 구성을 제거합니다. 그 후에 다시 DirectAccess 역할을 제거하면 정상적으로 제거됩니다. 추가적으로 그룹 정책에서 DirectAccess 관련 그룹 정책을 삭제해 줍니다. -끝-

클라이언트 컴퓨터에서 DirectAccess 수동 제거 방법 (DirectAccess 장애 시 임시 조치 방법)

DirectAccess를 사용하는 경우, DirectAccess 서버에 장애가 발생하는 경우 클라이언트 컴퓨터가 정상 동작하지 않는 문제가 발생합니다. (DNS 쿼리 실패, DC 연결 실패 등등) 이러한 경우 클라이언트 컴퓨터에서 DirectAccess 관련 레지스트리를 지우면 임시로 문제를 해결할 수 있습니다. 자세한 내용은 아래 블로그에 나와 있습니다. http://virot.eu/manually-remove-direct-access-from-a-client/ ◾Make sure you have administrative rights ◾Remove all keys below HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DnsClient\Dns..

그룹 정책 개체(GPO)의 구조

그룹 정책 개체(GPO)의 구조 그룹 정책 개체는 그룹 정책 컨테이너(GPC)와 그룹 정책 템플릿(GPT)으로 구성되어 있습니다. GPC GPC는 Active Directory에 저장되어 있고(ADUC - System - Policies) 그룹 정책의 사용자와 컴퓨터 노드와 관련된 특정 정보(그룹 정책 이름, GPT 위치, 그룹 정책을 처리하기 위한 CSE 목록 등)를 담고 있습니다. GPT GPT는 SYSVOL 공유 폴더 하위에 저장되어 있으며 실제로 적용될 정책 내용을 담고 있습니다. SYSVOL 폴더의 실제 경로는 %windir%\SYSVOL\sysvol 이며, 하위 폴더에 도메인명\Policies 폴더에 GUID의 형태로저장되어 있습니다. 각 GUID 폴더는 하나의 정책과 연결되며, Machine..

Active Directory란? (개념, 용도와 활용, 고려 사항등)

제 블로그에 Active Directory나 그룹 정책에 대한 글들이 많은데, 정작 Active Directory가 무엇인지 설명하는 글은 없었네요. 가능한 쉽게 설명해보려 하는데, 제 생각대로 될지 모르겠습니다. Active Directory란 무엇인가? Active Directory는 회사 직원들의 계정 정보(ID, Password)와 컴퓨터에 대한 정보, 그리고 회사에서 강제하고자 하는 정책들(예를 들어 패스워드를 최소 8자리에 30일 마다 변경한다 든지, 컴퓨터를 5분이상 사용하지 않으면 화면 보호기가 실행된다 든지 등)에 대한 정보를 저장하고 있는 일종의 데이터베이스라고 생각하시면 됩니다. 데이터베이스라고 하면 대부분 MSSQL이나 MySQL과 같은 것을 생각하십니다. Active Directo..

[DirectAccess] DirectAccess의 개념과 사용을 위한 요구 사항

1. DirectAccess란? DirectAccess는 Windows Server 2008 R2 부터 추가된 기능으로, 클라이언트 컴퓨터에 별도의 VPN 프로그램 설치 없이, 회사 외부 네트워크(집, 카페, 고객사 등)에서 회사 내부 네트워크로 연결시켜 주는 기능입니다. 예를 들어, 회사 영업부 직원이 사무실에서 사용하던 노트북을 가지고 외근을 나갔는데, 어쩌다 보니 회사 파일 서버에 접속을 해야 할 상황이라면, 일반적인 환경이라면 VPN 클라이언트 프로그램을 실행하고 ID와 PW를 입력해서 VPN으로 파일 서버에 연결합니다. DirectAccess를 사용하는 환경이라면 그런 부수적인 작업(VPN 클라이언트 프로그램 실행 등)들이 필요 없습니다. 그냥 노트북을 켜고 인터넷(보통 Wi-Fi)에 연결만하면..