Windows Server 2012 R2 Hyper-V 설치

목차

1. 참고 사이트

2. Hyper-V 설치 전 준비 사항


3. Hyper-V 설치

 3-1. 서버 관리자 에서 설치

 3-2. Powershell 에서 설치

 

4. Hyper-V 설치 후 확인

1. 참고 사이트

 Hyper-V 역할 설치 및 가상 시스템 구성

https://technet.microsoft.com/ko-kr/library/hh846766.aspx

 


2. Hyper-V 설치 전 준비 사항

1. 시스템의 최신 상태 유지를 위해 Windows 업데이트 실행 후, 업데이트 확인 을 클릭 합니다.

 

2. 업데이트 설치 를 클릭 하여 Windows 업데이트 를 진행 합니다.

 


​3. Hyper-V 설치

3-1. 서버 관리자 에서 설치


1. Windows 바탕 화면에서 Windows 작업 표시줄의 서버 관리자 를 클릭 합니다.


2. 서버 관리자 창에서, 역할 및 기능 추가 를 클릭 합니다.

3. 역할 및 기능 추가 마법사 의 시작하기 화면에서, 다음 을 클릭 합니다.

4. 설치 유형 선택 화면에서, 다음 을 클릭 합니다.

5. 대상 서버 선택 화면에서, 다음 을 클릭 합니다.

6. 서버 역할 선택 화면에서, Hyper-V 에 체크 합니다.

 

7. 역할 및 기능 추가 마법사 창에서, 기능 추가 를 클릭 합니다.

​cf) Hyper-V 관리 도구 및 Powershell 구성 요소 설치 창 입니다. 처음 설치하는 Hyper-V 라면 반드시 설치 해야 하지만 원격 컴퓨터에서만 관리할 예정이라면 설치 하지 않아도 무방합니다.


8. 다음 을 클릭 합니다.

9. 기능 선택 화면에서, 다음 을 클릭 합니다.

10. Hyper-V 화면에서, 다음 을 클릭 합니다.

11. 가상 스위치 만들기 화면에서, 다음 을 클릭 합니다.

​cf) 가상 컴퓨터와 호스트가 사용할 네트워크 설정을 구성 할 수 있으며, 현재 호스트에 장착된 네트워크 인터페이스 카드 목록이 보입니다. 가상 스위치에 대해서는 차후 포스팅에서 자세히 다루도록 하겠습니다.


12. 가상 컴퓨터 마이그레이션 화면에서, 다음 을 클릭 합니다.

 

13. 기본 저장소 화면에서, 다음 을 클릭 합니다.

 

​cf) 기본 저장소는 가상 하드 디스크 파일과 가상 컴퓨터 구성 파일이 기본적으로 저장될 장소를 의미 합니다.

가상 하드 디스크 파일과 가상 컴퓨터의 구성 파일의 저장 위치는 가상 컴퓨터를 생성 혹은 가상 하드 디스크를 생성 할때 다른 경로로 지정이 가능합니다.

관리자의 취향에 맞게끔 다른 경로로 변경하거나 기본 위치 그대로 사용 가능 합니다.

14. 설치 선택 확인 화면에서, 설치 를 클릭 합니다.

15. 설치 진행률 화면에서, 닫기 를 클릭 합니다.

3-2. Powershell 에서 설치

1. Powershell 실행 후 다음 명령어 를 입력 합니다.

Install-WindowsFeature –Name Hyper-V -IncludeManagementTools -Restart

 


4. Hyper-V 설치 후 확인


1. 서버 관리자 실행 후, 좌측에 Hyper-V 항목 이 새로 생성 되였음을 확인 합니다.

2. 도구 클릭 후 서비스 를 클릭 합니다.

3. 서비스 실행 후, Hyper-V 관련 서비스 들이 추가 되었음을 확인 합니다.

4. 시작 버튼에서 우클릭 후 명령 프롬프트(관리자) 를 클릭 합니다.

5. 관리자: 명령 프롬프트 창에서, bcdedit 명령어를 입력 하여 hypervisorlaunchtype 값이 Auto 임을 확인 합니다.

Hyper-V NAT 설정

 

​목차

1. 개요

2. Host Machine 설정

 

3. Guest Machine 확인

 

 

 

 

1. 개요

 

서버 운영 및 테스트를 위해 Hyper-V 를 사용하다보면 공인IP 가 부족한 문제에 부딪히곤 합니다.

​이를 해결 하기 위한 방법으론 Host Machine 의 External NIC 를 공유하여 Internal NIC를 사용하는 Guest Machine 에서 외부 네트워크와 연결되는 NAT 기능을 사용하는 방법을 소개 해 드립니다.

cf) 아래 내용을 이해하기 위해서는 Hyper-V 가상 스위치 (외부 네트워크, 내부 네트워크) 에 대한 이해가 필요합니다.

2. Host Machine 설정


1. Hyper-V 관리자 창에서, 서버 에서 우클릭 후 가상 스위치 관리자 를 클릭 합니다.


2. 가상 스위치 관리자 창에서, 관리 운영 체제에서 이 네트워크 어뎁터를 공휴할 수 있도록 허용 에 체크가 되여 있는지 확인 합니다.


3. 네트워크 연결 창에서, External 어뎁터 에서 우클릭 후 속성 을 클릭 합니다.

​​

 

4. External 어뎁터 속성 창에서, 공유 탭으로 이동 후 다른 네트워크 사용자가 이 컴퓨터의 인터넷 연결을 통해 연결할 수 있도록 허용 에 체크 합니다.

5. 확인 을 클릭 합니다.

6. 로컬 네트워크 창에서, 예 를 클릭 합니다.


7. 네트워크 연결 창에서, Internal 어뎁터 에서 우클릭 후 속성 을 클릭 합니다.


8. Internal 어뎁터 속성 창에서, Internet Protocol Version 4 (TCP/IPv4) 클릭 후 속성 을 클릭 합니다.


9. 다음과 같이 192.168.137.1 IP 로 자동 등록이 되여 있음을 확인할 수 있습니다.


cf) 반드시 192.168.137.X 대역을 사용해야 하는 것은 아닙니다.

 

 

3. Guest Machine 확인

 

1. Guest Machine 의 IP 를 192.168.137.X 로 설정하고 기본 게이트웨이 를 Internal 어뎁터의 IP 로 설정을 합니다.


2. 네트워크 에 정상 연결됨을 확인할 수 있습니다.

Windows Server 2008 R2 에서 추가 Domain Controller 설치하기

목차

1. 참고 사이트

2. Domain Controller 설치를 위한 사전 준비

 

3. 추가 Domain Controller 설치하기

4. Domain Controller 설치 확인

1. 참고 사이트

추가 도메인 컨트롤러 설치

http://technet.microsoft.com/ko-kr/library/cc733027(v=ws.10).aspx

2. Domain Controller 설치를 위한 사전 준비

1. 추가 Domain Controller 역할을 설치할 서버를 해당 도메인에 가입 시킵니다.

 

2. 기본 설정 DNS 서버 주소는 자기 자신으로, 보조 DNS 서버는 Primary Domain Controller 로 설정 합니다.

3. 추가 Domain Controller 설치하기

1. 실행 창에서, dcpromo 입력 후 확인 을 클릭 합니다.

2. Active Directory 도메인 서비스 설치 마법사 창에서, 다음 을 클릭 합니다.

3. 운영 체제 호환성 화면에서, 다음 을 클릭 합니다.

4. 배포 구성 선택 화면에서, 기존 포리스트 - 기존 도메인에 도메인 컨트롤러 추가 선택 후 다음 을 클릭 합니다.

 

5. 네트워크 자격 증명 화면에서, 다음 을 클릭 합니다.

6. 도메인 선택 화면에서, 다음 을 클릭 합니다.

7. 다음 을 클릭 합니다.

8. 다음 을 클릭 합니다.

 

9. Active Directory 도메인 서비스 설치 마법사 창에서, 예 를 클릭 합니다.


 

10. 데이터베이스, 로그 파일 및 SYSVOL 위치 화면에서, 데이터베이스, 로그 파일 및 SYSVOL 폴더 위치 지정 후 다음 을 클릭 합니다.

cf) 시스템 성능을 고려하여 시스템 드라이브가 아닌 다른 드라이브로 설정을 권장 합니다.​

11. 디렉터리 서비스 복원 모드 관리자 암호 화면에서, 디렉터리 서비스 복원 모드 관리자 암호 입력, 암호 확인 을 위한 암호 재입력 후 다음 을 클릭 합니다.

12. 요약 화면에서, 다음 을 클릭 합니다.

13. Active Directory 도메인 서비스 설치 마법사 완료 화면에서, 마침 을 클릭 합니다.

14. Active Directory 도메인 서비스 설치 마법사 창에서, 지금 다시 시작 을 클릭 합니다.

4. Domain Controller 설치 확인​

1. Active Directory 사용자 및 컴퓨터 콘솔에서, Domain Controller 컨테이너에 추가 Domain Controller 가 정상 추가 되여 있음을 확인 합니다.

2. Active Directory 사이트 및 서비스 콘솔에서, Sites - "Default-First-Site-Name" - Servers - DC01 - NTDS Setting 클릭 후 자동 생성됨 에서 우클릭 후 지금 복제 를 클릭 합니다.

3. 지금 복제 창에서, 확인 을 클릭 합니다.

4. DC02 - NTDS Setting 클릭 후 자동 생성됨 에서 우클릭 후 지금 복제 를 클릭 합니다.

5. 지금 복제 창에서, 확인 을 클릭 합니다.

6. DNS 관리자 콘솔에서, 정방향 영역에 도메인이 정상 추가 되였음을 확인 합니다.

Active Directory Migration Tool (ADMT) 사용 방법

목차

1. 참고 사이트

2. ADMT 사용을 위한 준비

 ​2-1. 도메인 트러스트

 2-2. 권한 추가​

 2-3. Windows Server 2008 R2 서버 준비​

 2-4. SQL 서버 준비​

3. ADMT 설치​

​ 3-1. ADMT 설치

 3-2. PSE 설치​

4. ADMT 사용 방법​

​ 4-1. 사용자 계정 마이그레이션

 4-2. 그룹 마이그레이션​

 

1. 참고 사이트

ADMT Guide: Migrating and Restructuring Active Directory Domains

http://technet.microsoft.com/ko-kr/library/cc974332(v=ws.10).aspx

​Migrating Domain Objects Between Active Directory Domains

http://technet.microsoft.com/ko-kr/library/cc974431(v=ws.10).aspx

Windows Server 2012 ADMT 3.2 및 PE 3.1 설치 오류

http://support.microsoft.com/kb/2753560/ko

​Active Directory Migration Tool version 3.2

http://www.microsoft.com/en-us/download/details.aspx?id=8377

Active Directory Migration Tool (ADMT) Guide: Migrating and Restructuring Active Directory Domains

http://www.microsoft.com/en-us/download/details.aspx?id=19188

2. ADMT 사용을 위한 준비

​2-1. 도메인 트러스트​

ADMT 사용을 위해서는 도메인간의 트러스트 설정을 해야 합니다. 도메인 트러스트 설정 방법은 다음 포스팅을 참고 하시기 바랍니다.

http://hope.pe.kr/187

​​

2-2. 권한 추가​

원본 도메인과 타겟 도메인의 administrators 그룹에 서로간의 domain admins 그룹을 추가 합니다.​

1. 원본 DC에서 원본 도메인의 administrators 그룹에 타겟 도메인의 domain admins 그룹을 추가 하기 위하여 시작 - 실행 창에서, dsa.msc 입력 후 확인 을 클릭 합니다.

 

 

2. Active Directory 사용자 및 컴퓨터 창에서, Builtin 클릭 후 Administrators 에서 우클릭 후 속성 을 클릭 합니다.

3. Administrators 속성 창에서, 추가 를 클릭 합니다.

4. 사용자, 연락처, 컴퓨터, 서비스 계정 또는 그룹 선택 창에서, 위치 를 클릭 합니다.

5. 위치 창에서, target.com 도메인 클릭 후 확인 을 클릭 합니다.

6. domain admins 입력 후 확인 을 클릭 합니다.

7. 확인 을 클릭 합니다.

​​

8. 타겟 DC에서 타겟 도메인의 administrators 그룹에 원본 도메인의 domain admins 그룹을 추가 하기 위하여 시작 - 실행 창에서, dsa.msc 입력 후 확인 을 클릭 합니다.

9. Active Directory 사용자 및 컴퓨터 창에서, Builtin 클릭 후 Administrators 에서 우클릭 후 속성 을 클릭 합니다.

10. Administrators 속성 창에서, 추가 를 클릭 합니다.

11. 사용자, 연락처, 컴퓨터, 서비스 계정 또는 그룹 선택 창에서, 위치 를 클릭 합니다.

12. 위치 창에서, source.com 도메인 클릭 후 확인 을 클릭 합니다.

 

 

13. domain admins 입력 후 확인 을 클릭 합니다.

14. 확인 을 클릭 합니다.

​​

2-3. Windows Server 2008 R2 준비

ADMT 3.2 버전은 Windows Server 2008 R2 버전에서만 정상 동작 합니다. ADMT 사용을 위한 별도의 Windows Server 2008 R2 서버가 필요 합니다.

cf1) Windows Server 2012 에서 ADMT 설치 시 다음 오류가 발생 합니다.

 

cf2) Windows Server 2008 에서 ADMT 설치 시 다음 오류가 발생 합니다.

2-4. SQL Server 준비

ADMT 를 사용하기 위해서는 별도의 SQL 서버가 있어야 합니다.

SQL 서버가 없을 시 ADMT 설치를 위해 준비한 Windows Server 2008 R2 머신에 다음 SQL Server Express Edition 서비스 팩 4 다운로드 사이트 에서 무료로 다운로드 받아 설치 하시면 됩니다.

Microsoft SQL Server 2005 Express Edition 서비스 팩 4 ​

http://www.microsoft.com/ko-KR/download/details.aspx?id=184

SQL Server 2005 Express Edition 서비스 팩 4 설치 방법은 다음 포스팅을 참고 하시기 바랍니다.​

http://hope.pe.kr/190

3. ADMT​ 설치

3-1. ADMT 설치

1. admtsetup 32 파일 에서 우클릭 후 관리자 권한으로 실행 을 클릭 합니다.


2. Active Directory Migration Tool Installation Wizard 창에서, 다음 을 클릭 합니다.

3. License Agreement 화면에서, I Agree 선택 후 다음 을 클릭 합니다.

4. Customer Experience Improvement Program 화면에서, 다음 을 클릭 합니다.

5. Database Selection 화면에서, Database 지정 후 다음 을 클릭 합니다.

cf) 별도의 SQL 서버 없이 Local 에 SQL Server 2005 Express SP4 를 설치한 경우에는 .\SQLEXPRESS 를 입력 합니다.​

6. Database Import 화면에서, 다음 을 클릭 합니다.

 

7. The Active Directory Migration Tool Version 3.2 has been successfully installed. 화면에서, 마침 을 클릭 합니다.

3-2. PSE 설치

1. 명령 프롬프트 창에서, 다음 명령어로 암호화 키를 생성 합니다.

admt key /opt:create /sd:"소스 도메인 이름" /keyfile:"암호화 키 저장 경로\암호화 키 파일 이름" /keypassword:password​

2. en-US pwdmig 파일에서 우클릭 후 설치 를 클릭 합니다.

 

3. AMT Password Migration DLL Setup 창에서, Next 를 클릭 합니다.

4. End-User License Agreement 화면에서, I accept the terms in the License Agreement 에 체크 후 Next 를 클릭 합니다.

5. Encryption file 화면에서, Browse 를 클릭 합니다.

6. 열기 창에서, 1번 과정에서 생성한 암호화 파일 선택 후 열기 를 클릭 합니다.

7. Next 를 클릭 합니다.

8. PES 파일 생성시 지정한 패스워드 입력 후 OK 를 클릭 합니다.

9. Ready to install ADMT Password Migration DLL 화면에서, Install 을 클릭 합니다.

 

10. ADMT Password Migration DLL 창에서, Log on as 선택 후 target 도메인 관리자 계정 정보 입력 후 OK 를 클릭 합니다.

 

11. 확인 을 클릭 합니다.

12. Finish 를 클릭 합니다.

13. Yes 를 클릭 하여 서버를 재부팅 합니다.

14. 서버 재부팅 완료 후 실행 창에서, services.msc 입력 후 확인 을 클릭 합니다.

15. 서비스 창에서, Password Export Server Service 에서 우클릭 후 속성 을 클릭 합니다.

16. Password Export Server Service 속성(로컬 컴퓨터) 창에서, 시작 유형 을 자동 으로 변경 후 확인 을 클릭 합니다.

17. Password Export Server Service 에서 우클릭 후 시작 을 클릭 합니다.

18. Password Export Server Service 서비스가 정상 시작됨을 확인 합니다.

4. ADMT 사용 방법

Active Directory Migration Tool (ADMT) 은 AD 의 마이그레이션을 도와주는 도구로서 ADMT 로 마이그이션할 수 있는 항목은 다음과 같습니다.

Domain Local Groups, Workstations and Member Servers, Local User Profiles, User Accounts, Service Accounts, Groups​

 

4-1. 사용자 계정 마이그레이션

1. 시작 - 관리 도구 - Active Directory Migration Tool 에서 우클릭 후 관리자 권한으로 실행 을 클릭 합니다.

 

2. migrator 창에서, Active Directory Migration Tool 에서 우클릭 후 User Account Migration Wizard 를 클릭 합니다.

3. User Account Migration Wizard 창에서, 다음 을 클릭 합니다.

 

4. Domain Selection 화면에서, Source 도메인, Target 도메인의 Domain 이름 을 입력 하면 Domain Controller 를 선택 할 수 있습니다. Domain Controller 선택 후 다음 을 클릭 합니다.

​​

cf) 도메인 트러스트 설정에 문제가 있을 경우 다음 화면과 같이 Target 도메인의 Domain Controller 를 찾을 수 없습니다.

​무시하고 다음 을 클릭 하여도 "지정한 도메인이 없거나 연결할 수 없습니다." 에러창이 발생하여 더이상 진행되지 않습니다.


​5. User Selection Option 화면에서, 다음 을 클릭 합니다.

6. User Selection 화면에서, Add 를 클릭 합니다.


7. 사용자 선택 창에서, 고급 을 클릭 합니다.

8. 지금 찾기 를 클릭 합니다.

9. 마이그레이션을 진행 할 사용자 선택 후 확인 을 클릭 합니다.

 

cf) ​특정 OU 안의 사용자를 선택 하려면 위치 를 클릭 하여 해당 OU 를 지정 하면 됩니다.

 

10. 확인 을 클릭 합니다.

​11. 다음 을 클릭 합니다.


12. Organizational Unit Selection 화면에서, Browse 를 클릭 합니다.

​13. Browse for Container 창에서, Target 도메인의 사용자를 마이그레이션 할 OU 선택 후 확인 을 클릭 합니다.

14. 다음 을 클릭 합니다.

15. Password Options 화면에서, Migrate passwords 선택 후 Password migration source DC 선택 후 다음 을 클릭 합니다.

16. Account Transition Options 화면에서, Migrate user SIDs to target domain 에 체크 후 다음 을 클릭 합니다.

17. 오류 창에서, 예 를 클릭 합니다.

18. 오류 창에서, 예 를 클릭 합니다.

​19. 오류 창에서, 예 를 클릭 합니다.

20. User Account 화면에서, 소스 도메인의 계정 정보 입력 후 다음 을 클릭 합니다.

21. User Options 화면에서, Update user rights, Fix users group membership 에 체크 후 다음 을 클릭 합니다.

22. Object Property Exclusion 화면에서, 다음 을 클릭 합니다.

​23. Conflict Management 화면에서, 다음 을 클릭 합니다.

24. Completing the User Account Migration Wizard 화면에서, 마침 을 클릭 합니다.

25. Migration Progress 창에서, Status 가 Completed 됨을 확인 후 Close 를 클릭 합니다.

cf) 소스 도메인의 특정 사용자가


타켓 도메인으로 정상 마이그레이션 되였음을 확인 합니다.

26. 타겟 도메인의 Active Directory 사용자 및 컴퓨터 창에서, 마이그레이션이 완료된 사용자에서 우클릭 후 속성 을 클릭 합니다.

27. 속성 창에서, 다음 로그온 시 사용자가 반드시 암호를 변경해야 함 에 체크 되여 있음을 확인할 수 있습니다.

28. 기존 패스워드를 그대로 사용하기 위해 다음 로그온 시 사용자가 반드시 암호를 변경해야 함 에 체크 해제 후 확인 을 클릭 합니다.

cf) 여러 사용자를 다중 선택 후 설정도 가능 합니다. 앞의 체크 박스에 체크 후 뒤의 체크 박스에 옵션 사용 여부를 체크 또는 언체크 하면 됩니다.

4-2. 그룹 마이그레이션

소스 도메인의 특정 사용자의 소속 그룹​ 화면 입니다.

타겟 도메인의 특정 사용자의 소속 그룹​ 화면 입니다.

 

1. migrator 창에서, Active Directory Migration Tool 에서 우클릭 후 Group Account Migration Wizard 를 클릭 합니다.

 

2. Group Account Migration Wizard 창에서, 다음 을 클릭 합니다.

 

3. Domain Selection 화면에서, Source 도메인, Target 도메인의 Domain 이름 을 입력 하면 Domain Controller 를 선택 할 수 있습니다. Domain Controller 선택 후 다음 을 클릭 합니다.

 

4. Group Selection Option 화면에서, 다음 을 클릭 합니다.


5. Group Selection 화면에서, Add 를 클릭 합니다.


​6. 그룹 선택 창에서, 고급 을 클릭 합니다.


7. 지금 찾기 를 클릭 합니다.

 

8. 마이그레이션을 진행 할 그룹 선택 후 확인 을 클릭 합니다.

 

​​cf) ​특정 OU 안의 그룹을 선택 하려면 위치 를 클릭 하여 해당 OU 를 지정 하면 됩니다.

 

​9. 확인 을 클릭 합니다.


​10. 다음 을 클릭 합니다.


​11. Organizational Unit Selection 화면에서, Browse 를 클릭 합니다.


​​12. Browse for Container 창에서, Target 도메인의 그룹을 마이그레이션 할 OU 선택 후 확인 을 클릭 합니다.


​13. 다음 을 클릭 합니다.

 

​14. Group Options 화면에서, Upate user rights, Fix membership of group, Migrate group SIDs to target domain 에 체크 후 다음 을 클릭 합니다.


15. User Account 화면에서, 소스 도메인의 계정 정보 입력 후 다음 을 클릭 합니다.


16. Object Property Exclusion 화면에서, 다음 을 클릭 합니다.

 

17. Conflict Management 화면에서, 다음 을 클릭 합니다.

 

18. Completing the Group Account Migration Wizard 화면에서, 마침 을 클릭 합니다.

 

19. Migration Progress 창에서, Status 가 Completed 됨을 확인 후 Close 를 클릭 합니다.

 

cf) 소스 도메인의 그룹이

 

타켓 도메인으로 정상 마이그레이션 되였음을 확인 합니다.

도메인 및 포리스트 기능 수준 내리기

 

 

 

 

 

 

 

목차

1. 참고 사이트

2. 도메인 및 포리스트 기능 수준 확인

3. 도메인 및 포리스트 기능 수준 내리기​

1. 참고 사이트

​AD DS 기능 수준 이해

http://technet.microsoft.com/ko-kr/library/understanding-active-directory-functional-levels(v=ws.10).aspx

다음과 같이 Windows Server 2012 또는 Windows Server 2012 R2 에서 Active Directory 도메인 서비스 설치 시 포리스트 및 도메인 기능 수준을 Windows Server 2012 이상으로 설정 하였을 경우

 

​추가 DC 설치를 Windows Server 2008 R2 이하 버전으로 설치 하면 다음과 같이 도메인 또는 포리스트의 기능 수준이 운영 체제와 호환되지 않는다는 에러 메세지가 발생하면서 더 이상 설치가 진행되지 않습니다.


 

Widnows Server 2012 R2 도메인 및 트러스트 기능 수준을, Windows Server 2008 도메인 및 트러스트 기능 수준으로 내리는 방법에 대해 알아보겠습니다.​

 

2. 도메인 및 포리스트 기능 수준 확인

도메인 및 포리스트 기능 수준 내리기는 Active Directory 사용자 및 컴퓨터 콘솔 및 Active Directory 도메인 및 트러스트 콘솔에서는 드롭다운 메뉴가 사라져 더이상 작업이 불가능 합니다.

1. 시작 화면의, ​Windows PowerShell 에서 우클릭 후 관리자 권한으로 실행 을 클릭 합니다.

2. Windows PowerShell 창에서, AD Module 을 Import 하기 위해 다음 명령어를 입력 합니다.

Import-Module -Name ActiveDirectory​

 

3. 다음 명령어로 도메인 기능 수준을 확인 합니다.

Get-ADdomain | Format-Table name, domainmode ​

cf) Active Directory 사용자 및 컴퓨터 콘솔에서도 현재 도메인 기능 수준을 확인할 수 있습니다.​

4. 다음 명령어로 포리스트 기능 수준을 확인 합니다.

Get-ADForest | Format-Table name, foresetmode ​

cf) Active Directory 도메인 및 트러스트 콘솔에서도 현재 포리스트 기능 수준을 확인할 수 있습니다.​

3. 포리스트 기능 수준 내리기​

1. Windows PowerShell 창에서, 다음 명령어로 도메인 기능 수준을 Windows Server 2008 로 변경 합니다.

Set-ADDomainMode -Identity "domain name" -DomainMode Windows2008Domain ​

2. 다음 명령어로 포리스트 기능 수준을 Windows Server 2008 로 변경 합니다.

Set-ADForestMode -Identity "domain name" -ForestMode Windows2008Forest ​

3. 다음 명령어로 도메인 기능 수준이 Windows Server 2008 로 정상 변경 되였음을 확인 합니다.

Get-ADdomain | Format-Table name, domainmode ​

cf) Active Directory 사용자 및 컴퓨터 콘솔에서도 도메인 기능 수준이 Windows Server 2008 로 정상 변경 되였음을 확인할 수 있습니다.

 

4. 다음 명령어로 포리스트 기능 수준이 Windows Server 2008 로 정상 변경 되였음을 확인 합니다.

Get-ADForest | Format-Table name, forestmode ​

cf) Active Directory 도메인 및 트러스트 콘솔에서도 포리스트 기능 수준이 Windows Server 2008 로 정상 변경 되였음을 확인할 수 있습니다.​

 

Widnows Server 2012 R2 도메인 및 트러스트 기능 수준을, Windows Server 2008 도메인 및 트러스트 기능 수준으로 내리는 작업이 정상 완료 되었습니다.

도메인 트러스트 구성하기

목차

1. 참고 사이트

2. 도메인 트러스트 준비

​ 2-1. Windows Server 2008 R2 준비

 2-2. Windows Server 2012​ 준비

3. 도메인 트러스트 설정

 3-1. Windows Server 2008 R2 설정

 3-2. Windows Server 2012​ 설정

 

4. 도메인 트러스트 확인

 4-1. Windows Server 2008 R2 확인

 4-2. Windows Server 2012 확인

 

1. 참고 사이트

트러스트 이해

http://technet.microsoft.com/ko-kr/library/cc731335.aspx

검사 목록: 포리스트 트러스트 만들기

http://technet.microsoft.com/ko-kr/library/cc770907.aspx

도메인 및 트러스트를 위한 방화벽을 구성 하는 방법

http://support.microsoft.com/kb/179442/ko

​​

2. 도메인 트러스트 준비

Windows Server 2008 R2 버전의 Domain 과 Windows Server 2012 버전의 Domain 사이에 트러스트 구성 방법에 대해 알아보도록 하겠습니다.

2-1. Windows Server 2008 R2 준비​

​1. 시작 - 실행 창 에서, dnsmgmt.msc 입력 후 확인 을 클릭 합니다.​

 

2. DNS 관리자 창에서, 도메인 에서 우클릭 후 속성 을 클릭 합니다.

3. 도메인 속성 창에서, 전달자 탭의 편집 을 클릭 합니다.

4. 전달자 편집 창에서, 트러스트 를 설정할 도메인의 Domain Controller IP 입력 후 확인 을 클릭 합니다.

​5. 확인 을 클릭 합니다.

2-2. Windows Server 2012 준비

​1. 시작 - 실행창 에서, dnsmgmt.msc 입력 후 확인 을 클릭 합니다.

2. DNS 관리자 창에서, 도메인 에서 우클릭 후 속성 을 클릭 합니다.

3. 도메인 속성 창에서, 전달자 탭의 편집 을 클릭 합니다.​

 

4. 전달자 편집 창에서, 트러스트 를 설정할 도메인의 Domain Controller IP 입력 후 확인 을 클릭 합니다.

5. 확인 을 클릭 합니다.

 

 

3. 도메인 트러스트 설정

3-1. Windows Server 2008 R2 설정

1. 시작 - 실행 창에서, domain.msc 입력 후 확인 을 클릭 합니다.

 

2. Active Directory 도메인 및 트러스트 창에서, 도메인 에서 우클릭 후 속성 을 클릭 합니다.

3. 도메인 속성 창에서, 트러스트 탭의 새 트러스트 를 클릭 합니다.

4. 새 트러스트 마법사 창에서, 다음 을 클릭 합니다.

5. 트러스트 이름 화면에서, DNS 이름 입력 후 다음 을 클릭 합니다.

 

6. 트러스트 종류 화면에서, 다음 을 클릭 합니다.

​​cf) 트러스트 종류 화면에서, 트러스트를 구성할 도메인을 확인하지 못하는 경우가 발생할 수 있습니다.

​에러 발생시 다음 테크넷 사이트를 참고 하시기 바랍니다.

Active Directory 도메인 및 트러스트 문제 해결

https://technet.microsoft.com/ko-kr/library/cc770264.aspx

위 테크넷 사이트로도 해결되지 않을 경우 덧글 남겨 주시면 도움 드리도록 하겠습니다.

7. 트러스트 방향 화면에서, 다음 을 클릭 합니다.

8. 트러스트 파트너 화면에서, 다음 을 클릭 합니다.

9. 보내는 트러스트 인증 수준 화면에서, 다음 을 클릭 합니다.

10. 트러스트 암호 화면에서, 다음 을 클릭 합니다.

 

11. 트러스트 선택 완료 화면에서, 다음 을 클릭 합니다.

 

12. 트러스트 만들기 완료 화면에서, 다음 을 클릭 합니다.

 

13. 보내는 트러스트 확인 화면에서, 다음 을 클릭 합니다.

 

14. 받는 트러스트 확인 화면에서, 다음 을 클릭 합니다.

 

15. 새 트러스트 마법사 완료 화면에서, 마침 을 클릭 합니다.

 

16. Active Directory 도메인 서비스 창에서, 확인 을 클릭 합니다.

 

17. 확인 을 클릭 합니다.

 

 

3-2. Windows Server 2012 설정​

1. 시작 - 실행 창에서, domain.msc 입력 후 확인 을 클릭 합니다.

2. Active Directory 도메인 및 트러스트 창에서, 도메인 에서 우클릭 후 속성 을 클릭 합니다.

3. 도메인 속성 창에서, 트러스트 탭의 새 트러스트 를 클릭 합니다.​

 

4. 새 트러스트 마법사 창에서, 다음 을 클릭 합니다.​

 

5. 트러스트 이름 화면에서, DNS 이름 입력 후 다음 을 클릭 합니다.​

 

6. 트러스트 종류 화면에서, 다음 을 클릭 합니다.

7. 트러스트 방향 화면에서, 다음 을 클릭 합니다.​

 

8. 트러스트 파트너 화면에서, 다음 을 클릭 합니다.

9. 보내는 트러스트 인증 수준 화면에서, 다음 을 클릭 합니다.​

 

10. 트러스트 암호 화면에서, 다음 을 클릭 합니다.

11. 트러스트 선택 완료 화면에서, 다음 을 클릭 합니다.​

 

12. 트러스트 만들기 완료 화면에서, 다음 을 클릭 합니다.

13. 보내는 트러스트 확인 화면에서, 다음 을 클릭 합니다.

14. 받는 트러스트 확인 화면에서, 다음 을 클릭 합니다.

15. 새 트러스트 마법사 완료 화면에서, 마침 을 클릭 합니다.

16. Active Directory 도메인 서비스 창에서, 확인 을 클릭 합니다.

17. 확인 을 클릭 합니다.

​​

4. 도메인 트러스트 확인

4-1. Windows Server 2008 R2 설정

1. 시작 - 실행 창에서, dsa.msc 입력 후 확인 을 클릭 합니다.

​2. Active Directory 사용자 및 컴퓨터 창에서, Active Directory 사용자 및 컴퓨터 에서 우클릭 후 도메인 변경 을 클릭 합니다.

3. 도메인 변경 창에서, 트러스트 설정을 완료한 도메인 입력 후 확인 을 클릭 합니다.

4. 트러스트 설정이 정상 완료 되었음을 확인할 수 있습니다.

4-2. Windows Server 2012 설정​

1. 시작 - 실행 창에서, dsa.msc 입력 후 확인 을 클릭 합니다.​

 

2. Active Directory 사용자 및 컴퓨터 창에서, Active Directory 사용자 및 컴퓨터 에서 우클릭 후 도메인 변경 을 클릭 합니다.

3. 도메인 변경 창에서, 트러스트 설정을 완료한 도메인 입력 후 확인 을 클릭 합니다.

 

4. 트러스트 설정이 정상 완료 되었음을 확인할 수 있습니다.

Account Lockout and Management Tools - LockoutStatus

 

Account Lockout and Management Tools 에 포함되어 있는 LockoutStatus Tool 을 사용하여 계정 잠김 현상에 대해 한눈에 살펴보는 방법에 대해 살펴보도록 하겠습니다.

 

 

목차

1. 참고 사이트

2. ​LockoutStatus

1. 참고 사이트

 

Account Lockout Tools

http://technet.microsoft.com/en-us/library/cc738772.aspx

 

Account Lockout and Management Tools

http://www.microsoft.com/downloads/details.aspx?FamilyId=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en

 

2. LockoutStatus

 

1. LockoutStatus 파일 에서 우클릭 후 관리자 권한으로 실행 을 클릭 합니다.

 

2. LockoutStatus 콘솔창에서, File 클릭 후 Select Target... 을 클릭 합니다.

 

3. Select Target & Credentials 창에서, Target User Name 과 Target Domain Name 입력 후 OK 를 클릭 합니다.

4. 해당 계정의 User State, Bad Pwd Count, Last Bad Pwd, Pwd Last Set, Lockout Time, Orig Lock 에 대해 확인할 수 있습니다.

​​​

5. View 클릭 후 User Password Status 를 클릭 합니다.

 

6. Password Status 창에서, Max password age, Current password age, Password remains valid 값에 대해서도 확인할 수 있습니다.

7. 결과값에서 우클릭 하면 Unlock Account, Reset User's Password 기능 및 Open Netlogon Log, Set Netlogon Logging 등 여러 부가기능을 확인할 수 있습니다.

Account Lockout and Management Tools - Acctinfo.dll

 

Account Lockout and Management Tools 에 포함되어 있는 AcctInfo.dll Tool 을 사용하여 Active Directory 사용자 및 컴퓨터 콘솔에서 확장된 속성 탭을 추가하는 방법에 대해 살펴보도록 하겠습니다.

 

 

 

 

목차

 

1. 참고 사이트

 

2. Acctinfo.dll

 2-1. 기본 Active Directory 사용자 및 컴퓨터 콘솔의 User Objects

 2-2. Acctinfo.dll 등록

 2-3. 확장된 Active Directory 사용자 및 컴퓨터 콘솔의 User Objects

 2-4. 바로가기 등록

 

 

 

 

1. 참고 사이트

 

Account Lockout Tools

http://technet.microsoft.com/en-us/library/cc738772.aspx

 

Account Lockout and Management Tools

http://www.microsoft.com/downloads/details.aspx?FamilyId=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en

 

Using Acctinfo.dll on a 64 bit Platform

http://social.technet.microsoft.com/wiki/contents/articles/5027.using-acctinfo-dll-on-a-64-bit-platform.aspx

 

 

2. Acctinfo.dll

 

2-1. 기본 Active Directory 사용자 및 컴퓨터 콘솔의 User Objects

 

1. 실행 창에서, dsa.msc 입력 후 확인 을 클릭 합니다.

 

2. Active Directory 사용자 및 컴퓨터 창에서, 사용자 에서 우클릭 후 속성 을 클릭 합니다.

 

3. 기본 사용자의 속성 창은 다음과 같습니다.

 

 

2-2. Acctinfo.dll 등록

 

Account Lockout and Management Tools 설치 과정은 http://hope.pe.kr/220113041228 를 참고 하시기 바랍니다.

 

1. acctinfo.dll 파일 에서 우클릭 후 복사 를 클릭 합니다.

 

2. C:\Windows\SysWOW64 폴더에서 우클릭 후 붙여넣기 를 클릭 합니다.

 

3. acctinfo.dll 파일이 정상 붙여넣기가 됨을 확인 합니다.

 

4. 명령프롬프트 창에서, C:\Windows\SysWOW64 경로로 이동 후 regsvr32 acctinfo.dll 을 입력 합니다.

 

5. RegSvr32 창에서, acctinfo.dll 정상 등록 여부를 체크 후 확인 을 클릭 합니다.

 

2-3. 확장된 Active Directory 사용자 및 컴퓨터 콘솔의 User Objects

 

1. 실행 창에서, dsa.msc -32 입력 후 확인 을 클릭 합니다.

 

2. Active Directory 사용자 및 컴퓨터 창에서, 사용자 에서 우클릭 후 속성 을 클릭 합니다.

 

3. 사용자 속성창에서, Additional Account Info 탭이 추가 되였음을 확인할 수 있습니다.

cf) 추가된 속성 탭에서 해당 계정의 패스워드 정책을 한눈에 살펴볼 수 있습니다.

4. Domain PW Info... 을 클릭 합니다.

5. Domain Password Policy 창이 팝업되며, 적용된 도메인 보안 정책을 확인할 수 있습니다.

​​

2-4. 바로가기 등록

​1. 확장된 Active Directory 사용자 및 컴퓨터 콘솔의 바로가기 등록을 위해 바탕화면에서 우클릭 후 새로 만들기 - 바로 가기 를 클릭 합니다.

 

2. 바로 가기 만들기 창에서, 항목 위치 입력에 dsa.msc -32 입력 후 다음 을 클릭 합니다.

 

3. 바로 가기의 이름을 지정하십시오. 화면에서, 바로 가기에 사용할 이름 입력 후 마침 을 클릭 합니다.

 

4. 다음과 같이 바로 가기 가 등록 되였습니다.

Account Lockout and Management Tools - EventCombMT

Active Directory 환경에서 계정 잠김 현상이 빈번하게 발생 하는 경우가 있습니다. 이 문제를 해결하기 위해서는 계정 잠김 현상의 원인 부터 찾아내야 합니다.

원인을 찾기 위해 이벤트 로그의 보안 로그를 필터링 후 일일이 살펴 봐야 하나 이는 너무나 비효율적인 일이 아닐 수 없습니다. 이벤트 로그를 쉽게 필터링 하여 검색하기 위해 EventCombMT Tools 을 사용하는 방법에 대해 알아보겠습니다.​

목차

1. 참고 사이트

2. Account Lockout and Management Tools

 2-1. Account Lockout and Management Tools 설치

​ 2-2. 로그 저장 폴더 생성

 2-3. EventCombMT 사용하기​

1. 참고 사이트

Account Lockout Tools

http://technet.microsoft.com/en-us/library/cc738772.aspx

 

Account Lockout and Management Tools

http://www.microsoft.com/downloads/details.aspx?FamilyId=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en

 

EventCombMT 유틸리티를 사용하여 이벤트 로그에서 계정 잠금을 검색하는 방법

http://support.microsoft.com/kb/824209/ko

 

Account Lockout Status (LockoutStatus.exe)

http://www.microsoft.com/en-us/download/details.aspx?id=15201#Overview

 

2. Account Lockout and Management Tools

2-1. Account Lockout and Management Tools 설치

 

1. http://www.microsoft.com/downloads/details.aspx?FamilyId=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en 사이트 에서 다운로드 를 클릭 합니다.

 

cf) System Requirements 를 확인하면 Windows 2000, Windows NT, Windows Server 2003 입니다. 본 포스팅에서 Windows Serve 2008 R2 버전에서 테스트 해보니 정상적으로 동작 합니다.

2. 다운로드 받은 ALTools 파일 에서 우클릭 후 관리자 권한으로 실행 을 클릭 합니다.

3. ALTools 창에서, Yes 를 클릭 합니다.

4. Browse 를 클릭 합니다.

5. 폴더 찾아보기 창에서, 압축을 해재 할 폴더 클릭 후 확인 을 클릭 합니다.

6. OK 를 클릭 합니다.

7. 압축을 해재한 폴더 화면 입니다.

 

2-2. 로그 저장 폴더 생성

 

1. 폴더의 빈화면에서 우클릭 후 새로 만들기 - 폴더 를 클릭 합니다.


2. 로그 저장을 위한 폴더 가 생성된 화면 입니다.​

​​

2-3. EventCombMT 사용하기​​

 

여러가지 Tools 중에서 EventCombMT 를 사용하여 여러 컴퓨터의 이벤트 로그를 필터하여 검색 후 텍스트 파일로 추출할 수 있습니다.

 

1. eventcombMT 파일 에서 우클릭 후 관리자 권한으로 실행 을 클릭 합니다.

​​

2. EventCombMT 창에서, Searches 클릭 후 Built In Searches - Account Lockouts 을 클릭 합니다.

 

3. 다음 그림과 같이 서버, Choose Log Filtes to search 항목, Event ID 가 자동으로 입력 됩니다.

cf) Event ID 529, 644, 675, 676, 681는 Windows Server 2003 이하 버전의 Account Lockout 관련 이벤트 입니다.

본 포스팅의 OS는 Windows Server 2008 R2 이기 때문에 로그 검색 결과가 나오지 않습니다.

4. 시간 범위를 지정하기 위해, Options 클릭 후 Set Date Range 를 클릭 합니다.

5. Set Event Range 창에서, 로그 검색을 위한 시간 범위 지정 후 OK 를 클릭 합니다.

6. 로그 저장 폴더 지정을 위해, Options 클릭 후 Set Output Directory 를 클릭 합니다.

7. 폴더 찾아보기 창에서, 로그 저장 폴더 지정 후 확인 을 클릭 합니다.

8. 로그 검색을 위한 설정이 완료 되었으면, Search 를 클릭 합니다.

9. 로그 검색이 완료 되면 자동으로 로그 저장 폴더가 팝업 됩니다. 생성된 로그 파일 에서 우클릭 후 열기 를 클릭 합니다.

10. Account Lockout 로그 파일 화면 입니다.

​​

11. Windows Server 2008 R2 에 해당하는 조건으로 필터를 적용하기 위해 Searches 클릭 후 Clear Search 를 클릭 합니다.​

12. Select To Search/Right Click To Add 에서, 우클릭 후 Get DCs in Domain 을 클릭 합니다.

13. 자동 입력된 DC 를 클릭 합니다.

14. Choose Log Files to search에 Security, Failure Audit 체크 후 Event IDs 에 4625 입력 후 Search 를 클릭 합니다.

15. 로그 검색이 완료 되면 자동으로 로그 저장 폴더가 팝업 됩니다.​

 

16. EventCombMT 파일은 기존 파일이 덮어쒸여 지기가 됩니다.​

17. DC-Security_Log 파일을 보면 Event ID 4625 내용이 Text 파일로 추출 되었습니다.

Active Directory 환경에서 공유 폴더의 사용을 제한하는 정책 설정 방법

목차

1. 참고 사이트

2. 공유 폴더의 사용을 제한하는 정책 설정 방법​

1. 참고 사이트

​그룹 정책 관리 콘솔

http://technet.microsoft.com/ko-kr/library/cc753298.aspx

​​

관리 템플릿 정책 설정 편집

http://technet.microsoft.com/ko-kr/library/cc771479.aspx

 

 

 

2. 공유 폴더의 사용을 제한하는 정책 설정 방법

 

Windows Server 2008 R2 OS의 Activie Directory 환경에서 공유 폴더의 사용을 제한하는 정책 설정 방법에 대해 알아보도록 하겠습니다.​

​moon_special-28

1. 실행창에서, gpmc.msc 입력 후 확인 을 클릭 합니다.

 

2. 그룹 정책 관리 창에서, 포리스트 - 도메인 - 도메인 이름 에서 우클릭 후 편집 을 클릭 합니다.

3. 그룹 정책 관리 편집기 창에서, 사용자 구성 - 정책 - 관리 템플릿 - 공유 폴더 선택 후 공유 폴더의 게시를 허용 에서 우클릭 후 모든 작업 - 편집 을 클릭 합니다.

4. 공유 폴더의 게시를 허용 창에서, 사용 안 함 선택 후 확인 을 클릭 합니다.

5. 명령 프롬프트 창 실행 후, gpupdate /force 를 입력 하여 정책을 바로 적용 시킵니다.

+ Recent posts

티스토리 툴바