Maystyle :
Admin : New post
Guestbook
Local
media
Catergories
Recent Articles
Recent Comments
Recent Trackbacks
Calendar
Tag
Archive
Link
Search
 
해당되는 게시물 9건
  만약 GC와의 연결이 어떤지 테스트를 하고 싶다면... 
작성일시 : 2008.05.06 09:27 | 분류 : Windows Server/Active Directory | 태그 : Active Directory, connection, global catalog server, Test

먼저 Windows Support Tools를 설치한 후 nltest 를 한다.
구문 : nltest /server:serverName /dsgetdc:domainName /gc /force

문제 시 다음과 같은 에러가 발생한다.
Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN.

참고: GC를 직접 엑세스하는 녀석들은 Domain Controller 와 Exchange Server 그리고 또 뭐가 있을까...??
http://technet2.microsoft.com/windowsserver2008/en/library/4094376f-8ff6-4366-89ba-8574794a42831033.mspx?mfr=true

신고
  GPMC 
작성일시 : 2008.04.22 11:53 | 분류 : Windows Server/Active Directory | 태그 : Active Directory, gpmc, Group Policy

GPMC is very useful tool when we manage The Group Policy.
You can create, modify, delete and backup the Group Policy Object easily and quckly with GPMP.

Download : http://www.microsoft.com/downloads/details.aspx?FamilyID=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en

You can excute only type in run
 

If you are administrator of Windows 2000, 2003 based Active Directory.
You must using GPMC.

신고
  도메인 재조인하기 
작성일시 : 2008.04.10 11:43 | 분류 : Windows Server/Active Directory | 태그 : Active Directory, Join, rejoin

도메인 재조인하기

1. 먼저 TCP/IP 속성에서 DNS 서버 주소로 DC 가 설정되어 있는지 확인 한다.
내 내트워크 환겅 > 속성 > 로컬 영역 연결 > 속성 > TCP/IP 속성

2. 해당 머신 WorkGroup로 구성하기
내 컴퓨터 > 속성 > 컴퓨터 이름 > Change

권한을 물어보는 경우 도메인 administrator 계정과 암호를 입력한다.

3. 서버 재부팅

4. 도메인 참가 하기
내 컴퓨터 > 속성 > 컴퓨터 이름 > Change

권한을 물어보는 경우 도메인 administrator 계정과 암호를 입력한다.

신고
  DN 리스트가 저장된 Text 파일을 읽어 그룹에 등록시키는 스크립트 
작성일시 : 2008.02.21 17:35 | 분류 : Windows Server/Active Directory | 태그 : Active Directory, Group, roop, VBS

이전 포스트(http://maystyle.tistory.com/274)에서 작성된 text 파일을 읽어서 그룹에 추가하는 스크립트 입니다.

On Error Resume next

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objFile = objFSO.OpenTextFile("c:\userlist.txt", 1)

Do Until objFile.AtEndOfStream
    strLine = objFile.ReadLine
    Const ADS_PROPERTY_APPEND = 3

    Set objGroup = GetObject _
        (LDAP://cn=그룹명, cn=Users, dc=xxx, dc=xxx, dc=xxx)
    objGroup.PutEx ADS_PROPERTY_APPEND, _
        "member", Array (strLine)
    objGroup.SetInfo

Loop

objFile.Close
WScript.Echo ("Script Completed")

실제로 응용하자면

    Const ADS_PROPERTY_APPEND = 3

    Set objGroup = GetObject _
        (LDAP://cn=그룹명, cn=Users, dc=xxx, dc=xxx, dc=xxx)
    objGroup.PutEx ADS_PROPERTY_APPEND, _
        "member", Array (strLine)
    objGroup.SetInfo

위의 부분에 각종 작업을 넣어 줄 수 있습니다.
전 사용자를 등록하는 작업을 넣었습니다.
즉 각 라인인 str 라인으로 하는 모든 작업이 가능해 집니다.

신고
  특정 OU의 사용자 리스트를 파일로 추출하는 스크립트 
작성일시 : 2008.02.21 16:55 | 분류 : Windows Server/Active Directory | 태그 : Active Directory, ou, script, user list

특정 OU의 사용자 (User) 의 리스트를 저장하는 스크립트 입니다. DN 으로 저장됩니다.

StrOU = InputBox("Please Enter in the name of the OU that you wish to query, this needs to be in the format OU=")
Set objRootDSE = GetObject("LDAP://rootDSE")
strADsPath = "LDAP://" & strOU & "," & objRootDSE.Get("defaultNamingContext")
Set objDomain = GetObject(strADsPath)
objOutputFile = InputBox("c:\abc.txt")
Dim objConn, objRecordSet

Set objFileSystem = CreateObject("Scripting.fileSystemObject")
Set objOutputFile = objFileSystem.CreateTextFile(objOutputFile, TRUE)
Set objCommand =   CreateObject("ADODB.Command")

Set objConn = CreateObject("ADODB.Connection")
objConn.Open "Provider=ADsDSOObject;"

Set objCommand.ActiveConnection = objConn

objCommand.CommandText = "SELECT distinguishedName FROM " + "'" + strADsPath + "'" + " WHERE objectCategory = 'CN=Person,CN=Schema,CN=Configuration,DC=xxx,DC=xxx,DC=xxx'"
-- 사용자만 추출하기 위한 부분
objCommand.Properties("searchscope") = 2
objCommand.Properties("Page Size") = 1000
Set objRecordSet = objCommand.Execute

While Not objRecordSet.EOF
objOutputFile.Write(objRecordSet.Fields("distinguishedName") & VBCRLF)
objRecordSet.MoveNext
WEnd

objOutputFile.Close

Set objFileSystem = Nothing
objConn.Close
WScript.Echo("Script Has Completed?")

이번에는 바로 소스코드에 파일 등을 박아 넣어서 돌리도록 변경하였습니다.

Set objRootDSE = GetObject("LDAP://rootDSE")
strADsPath = "LDAP://ou=개인, "& objRootDSE.Get("defaultNamingContext")
Set objDomain = GetObject(strADsPath)
Dim objConn, objRecordSet

Set objFileSystem = CreateObject("Scripting.fileSystemObject")
Set objOutputFile = objFileSystem.CreateTextFile("c:\userlist.txt", TRUE)
Set objCommand =   CreateObject("ADODB.Command")

Set objConn = CreateObject("ADODB.Connection")
objConn.Open "Provider=ADsDSOObject;"

Set objCommand.ActiveConnection = objConn

objCommand.CommandText = "SELECT distinguishedName FROM " + "'" + strADsPath + "'" + " WHERE

objectCategory = 'CN=Person,CN=Schema,CN=Configuration,DC=xxx,DC=xxxDC=xx"
objCommand.Properties("searchscope") = 2
objCommand.Properties("Page Size") = 1000
Set objRecordSet = objCommand.Execute

While Not objRecordSet.EOF
objOutputFile.Write(objRecordSet.Fields("distinguishedName") & VBCRLF)
objRecordSet.MoveNext
WEnd

objOutputFile.Close

Set objFileSystem = Nothing
objConn.Close
WScript.Echo("Script Has Completed?")

신고
  Active Directory 방화벽 설정 하기 
작성일시 : 2008.02.18 10:30 | 분류 : Windows Server/Active Directory | 태그 : Active Directory, firewall, 방화벽 설정, 포트, 포트 설정

Active Directory 의 Domain Contorller 간에는 보통 모든 포트를 다 열어달라고 요청을 하는 경우가 대부분입니다.
솔직히 엔지니어 입장에서도 편하기도 하구요...^^v

하지만 위의 상황이 여의치 않을때는 Active Directory에서 사용하는 포트를 지정해서 열어줘도 됩니다. 하지만 RPC 포트 및 SMB 포트를 개방해야 하므로 ( 135 / 445 / 1024 ~ 65534 ) 개별 포트로 오픈한다는 것 자체가 무의미해 보입니다.

로컬 보안 기관

DFS (정책 SYSVOL 공유를 위해 사용합니다.)

DNS

커버로스 키 인증 센터 (Windows 2003 부터는 인증을 Kerberos 인증을 사용합니다.

Netlogon

신고
  Active Directory 세미나 후기 
작성일시 : 2008.01.08 10:31 | 분류 : Windows Server/Kernel | 태그 : Active Directory, windows 2008

이번 주 부터 2월 초까지는 준상이랑 준규 대리님이 GERP 프로젝트 때문에 빠지게 됐습니다.
ㅜㅜ 당분간 간략하게 세미나를 나가도록 하겠습니다.

[수업 내용]
Acitve Directory (Windows 2008 변경 내용 포함)
내용에 보니... 2008에서 변경 된 AD 백업 관련 부분이 미비합니다.
2008에서는 Critical Volume Backup 내에 AD 정보가 위치하게 됩니다.
관련 정보 : http://maystyle.tistory.com/197 참고하세요.

[진행]
민성

[참석]
민우 형님, 동조씨

신고
  Active Directory FSMO 작업을 쉽게하기. 
작성일시 : 2007.12.26 02:52 | 분류 : Windows Server/Active Directory | 태그 : Active Directory, FSMO Role Seize, FSMO Role Transfer, FSMO-RX.EXE

AD에서 FSMO Role을 Transfer 하거나, SEIZE 할 경우 불편함을 느끼셨을 껍니다. 특히 commad 창에서 행하는 Seize 작업은 손떨림의 연속이죠...^^

그래서 좋은 툴을 소개 해드립니다. "http://wishy.net/" 블로그에서 찾았는데 꽤 효율적일 꺼 같네요...^^ 아참 Seize 한 후 해당 DC는 절대 도메인에서 Online 되면 않된다는 점 명심하셔야 합니다.

 

출처 : http://wishy.net/forum/?mid=story&document_srl=2470&rnd=2711

Note :  이 UI파일은 실행시 Netdom.exe와 NTDSUtil.exe 화일을 필요로 합니다. verifiy = NETDOM QUERY FSMO 명령의 결과와 동일합니다.

신고
  Active Directory 개념 한번 잡아보자. 
작성일시 : 2007.07.22 03:16 | 분류 : Windows Server/Active Directory | 태그 : Active Directory, AD

얼마전에 Active Directory에 대한 교육을 실시했습니다.
그날 약속한대로 주석을 달아서 블로그에 남깁니다.

너무 기존의 자료들이 어려운거 같아서 제 마음대로 제가 이해하고 있는 형식으로 AD를 설명해 봅니다...^__________^
사용자 삽입 이미지
AD는 간단하게 1대 1대 이루어지던 컴퓨터 및 기타 IT Object의 관리를 관리용 컴퓨터 (Domain Controller를 두고 통합 관리하는 솔루션입니다.
그리고 이 범위는 동일한 이름 공간을 사용하는 녀석들로 제한하죠...^^
사용자 삽입 이미지
그럼 어떻게 무엇을 관리한다는 걸까요?
모든 프로그램이 그렇겠지만, 간단하게 말씀드리자면 Windows 역시 File들과 Configuration들의 집합입니다. 즉 한대 한대 File들과 Configuration들을 관리했다면, AD에서는 통합적으로 관리한다는 것이고, 이들을 관리하기 위한 방법이 DCAL(Unix의 r-w-x 와 비슷한 파일에대한 접근 관리) 와 Policy(환경 및 설정 관리) 입니다.
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
그림이 잘못됐네요...;; 저기 OU 그림 OU가 아니고 컨테이너 예요... 실수했습니다...;;
암튼 실제 AD는 논리적으로 보자면 최하단의 사용자 및 컴퓨터같은 Object에서 부터 이들을 논리적으로 묶은 OU와 그룹 그리고 이들이 모인 도메인 그리고 Tree 및 Forest로 이루어 집니다.
그리고 간단하게 DCAL은 그룹에, Policy는 OU에 적용된다고 보시면 됩니다. 물론 그룹은 특수한 권한 (Administrator등등) 의 권한 템플릿용으로도 사용됩니다만...^^;; 그렇게 보면 Policy도 AD Policy 뿐 아니라 Exchange, IAS (2008의 NAP) 등등 아주 복잡해지니깐 설명하기 쉽게 말씀드리겠습니다.
그룹을 통해서 사용자의 파일 엑세스를 관리하고 Policy(정책)을 통해서 사용자 환경을 관리할 수 있습니다.
사용자 삽입 이미지
그럼 물리적으로는 어떻게 나뉠까요?
간단하게 Network 대역 폭의 차이에 따라 Site로 나눠 관리 할 수 있습니다.
실제 Domain Controller들 사이에서는 Replication이 일어나는데 이 트레픽도 줄여보고, 클라이언트들이 도메인에 접속할때 자기랑 가까운데 있는 Domain Controller를 바라보자는 거죠...ㅋ
뭐 Site는 Subnet을 가지고 관리합니다...^^ 즉 Subnet 을 묶어서 Site로 관리하는 거죠...^^
사용자 삽입 이미지
거의 마지막인데... DNS 애기를 하지 않을 수 없습니다.
실제 클라이언트들이 로그인 할때는 DNS 쿼리를 통해서 자신의 도메인 컨트롤러를 찾습니다. 찾는 순서는 위와 같구요...^^ 로그인이 너무 느리면 위 목록을 보고 한번 찾아보세요.
아 DNS는 자신의 DC를 찾을 때 등에 이용합니다. 실제 AD에서 Object를 찾는데는 LDAP을 사용하구요...^^;; (첨에 무지 햇갈렸었음)
사용자 삽입 이미지
AD 상의 DC들은 Multi Master Replication을 하는데, 유독 FSMO Role (작업 마스터)만 싱글 마스터 복제를 합니다. 즉 한놈이 해당 롤을 가지고 있다는거죠...ㅋ
실제 object가 추가된다거나 스키마에 변경이 일어나거나 할때 사용되는 겁니다.
위의 Role은 문제가 생겼을때 이전 한다거나 심지어는 뺏을 수도 있습니다.
물론 object가 추가되지 않는 이상 크게 문제는 없지만 PDC 에뮬레이터의 경우에는 시간을 맞춰주는 역활을 하는데 이 시간이 차이가 나면 클라이언트들이 떨어져 나가는 수가 있긴 합니다...;;
그럼 손이 아파서 이만...^___________^v


신고
 Prev   1   Next 

티스토리 툴바