Maystyle :
Admin : New post
Guestbook
Local
media
Catergories
Recent Articles
Recent Comments
Recent Trackbacks
Calendar
Tag
Archive
Link
Search
 
해당되는 게시물 22건
  Active Directory의 Key? Logical Patitions 
작성일시 : 2011.04.25 13:16 | 분류 : Windows Server/Active Directory

AD DS의 Physical Structure (http://maystyle.tistory.com/544) 에 이어 작성 했습니다.
개인적으로는 이전에 언급한 Physical Structure와 함께 AD 이해를 위해 가장 필수적인 요소가 아닐까 합니다.

AD DS Partitions

이전 챕터에서 언급한 것과 같이 AD DS 데이터베이스는 각 도메인 컨트롤러의 하드 디스크에 단일 파일로써 저장됩니다.

저장되는 정보는 몇개의 논리적인 파티션으로 구분되는데, 이 각각의 파티션은 각기 다른 타입의 정보를 저장합니다. AD DS 파티선은 소위 Naming contexts로 불립니다. AD DS의 파티션은 Ldp.exe 및 ADSI Edit 와 같은 툴을 통해 확인 할 수 있습니다.

Domain Directory Partition

도메인 디렉토리 파티션은 도메인의 모든 정보(유저, 그룹, 컴퓨터, Contact)를 담고 있습니다. 기본적으로 확인 하고 싶은 어떤 정보던지 ADS.msc 를 통해 확인 할 수 있습니다.

Configuration Directory Partition

Configuration 디렉토리 파티션은 전체 포레스트의 설정 정보를 담고 있습니다. 예를 들어 사이트에 대한 모든 정보 및 사이트 링크 복제 커넥션이 이 Configuration 디렉토리 파티션에 저장됩니다. 또한 특정 어플리케이션 또한 이 파티션을 이용하게 되는데, Exchange는 자신의 모든 설정 정보를 자신의 디렉토리 서비스를 이용하기 보다는 이 Configuration 파티션을 이용하여 저장합니다.

왜냐하면 이 Configuration 디렉토리 파티션은 전체 포레스트에 대한 정보이면서 전체 포레스트에 복제가 되기 때문입니다. 각각의 도메인 컨트롤러는 쓰기 가능한 Configuration 디렉토리 파티션을 가지고 있으며, 어느 도메인 컨트롤러든 해당 데이터를 변경 할 수 있습니다. 이는 Configuration 정보가 모든 도메인 컨트롤러사이에서 복제가 되게 되며, 또한 모든 도메인 컨트롤러사이에서 Configuration 정보가 복제 되게 되면 모든 도메인 컨트롤러는 같은 Configuration 정보를 지니게 됩니다.

Schema Directory Partition

스키마 디렉토리 파티션은 전체 포레스트에 대한 스키마 정보를 담고 있습니다.
스키마는 AD DS상에서 어떤 타입의 오브젝트가 생성될 수 있는가와 함께 각각의 오브젝트 타입에 대한 룰 을 기술한 룰들의 집합니다.

스키마 디렉토리 파티션역시 전체 포레스트에 복제가 되나, 스키마 마스터의 룰을 가진 하나의 도메인 컨트롤러에서만전체 포레스트에서 쓰기 가능한 스키마 디렉토리 파티션의 복제본을 갖습니다.모든 변경은 스키마 마스터에서만 가능하며 전체 포레스트에 복제 되게 됩니다.

Global Catalog Partition

글로벌 카탈로그 파티션은 이전의 파티션과는 다른 센스로 봐야하는 파티션 입니다. 글로벌 카탈로그 파티션 역시 데이터베이스 파일에 저장되기는 하나 관리자는 해당 파티션의 정보에 대한 직접 접근을 할 수 없습니다. 글로벌 카탈로그 파티션의 모든 글로벌 카탈로그 서버상에 저장되는 읽기 전용 파티션이며, 이 정보는 도메인 데이터베이스의 일부 정보를 통해 생성됩니다. 각 어트리뷰트에는 isMemberOfPartialAttributeSet 이라는 불린값이 있는데 이 값이 True인 경우 해당 어트리뷰트는 글로벌 카탈로그 정보로써 복제 되게 됩니다.

Application Directory Partition

AD DS의 마지막 파티션은 Application Directory Partition 또는 Non-Domain Naming Context (NDAC) 입니다. 어플리케이션 디렉토리 파티션은 Application-specific 정보를 저장하는데 사용됩니다. 어플리케이션 디렉토리 파티션을 이용하는 이점 중 하나는 이 파티션의 리플리케이션 범위를 조정할 수 있다는 점입니다. 즉 특정 도메인컨트롤러들을 어플리케이션 디렉토리 파티션의 복제본을 갖도록 정의함으로서 복제 트레픽을 조정할 수 있습니다. 그리고 어플리케이션 디렉토리 파티션의 복제본에 대한 복제의 범위는 해당 포레스트의 도메인이 될수도 사이트가 될수도 있습니다.

최초에는 기본적으로 어떤 어플리케이션 디렉토리도 생성 되지 않습니다. 하지만 만약 DNS 설치를 선택한 경우 해당 도메인 컨트롤러는 2개의 어플리케이션 디렉토리 (ForestDnsZone, DomainDnsZone)이 DNS 서비스를 위하여 생성되게 됩니다.

  Physical Structure (전체를 다루지는 않습니다.) 
작성일시 : 2011.02.24 16:03 | 분류 : Windows Server/Active Directory

AD DS Physical Structure

AD DS 데이터는 기본적으로 Single Database 파일에 저장됩니다.

기본적으로 각 Domain Controller는 동일한 서비스를 제공하지만, 5개의 특정 롤은 하나의 DC만이 관리할 수 있습 니다. 이러한 role을 flexible single-master operation roles 로 알려져 있습니다. 물론 그외에도 Global catalog server 및 read-only domain controller 기능 역시 활성화 할 수 있습니다.

image

The Directory Data Store

AD DS Database의 모든 데이터는 %SystemRoot%\NTDS 폴더의 Ntds.dit 와 transcation log 파일에 저장 됩니다. 이 파일에는 directory information (DC간에 공유되는) 와 Global catalog 데이터가 저장됩니다.

Interface

Client computer, administrators, 및 다른 DC들은 AD DS Database와 직접 통신을 할 수 없습니다. 대신에 아래와 같은 4개의 인터페이스를 제공 합니다.

  • LDAP : LDAPv3 는 일반적으로 Directory Client가 정보를 directory store에 locate하기 위하여 사용합니다. (Common 389, SSL 636 / GC 3268, SSL 3269 / Netlogon 과 함께 UDP 389 사용)
  • Replication (REPL) and domain controller management interface : REPL management interface는 도메인 컨트롤러 간의 Replication 동안 AD DS management tool 로써 사용됩니다. 도메인 컨트롤러에 대한 데이터를 찾고, 서로 다른 포맷을 지닌 네트워크오브젝트들의 이름을 변환하며, 서버 프린스플 네임(SPN)과 DSA를 Manipulating 합니다. 이 인터페이스는 RPC와 SMTP를 통해 접근할 수 있습니다.
  • Messaging API (MAPI) : MAPI는 Outlook과 같은 메세징 클라이언트가 Microsoft Exchange Server의 데이터를 접근할때 사용됩니다. Exchange Server 2000 이후의 버전에서는 모든 recipient 정보에 대한 저장소로써 AD DS 서비스를 이용합니다. 그리고 MAPI 인터페이스는 RPC Communication을 이용하여 Global Address List (GAL)를 사용할 수 있도록 합니다.
  • Security Account Manager (SAM) : NT4.0 및 이전 버전에서 DSA에 Connecting 하기 위해 사용하는 인터페이스로써 RPC 통신을 이용합니다.

Directory server Agent (DSA / Ntdsa.dll)

각 도메인 컨트롤러에서 동작하는 DSA는 데이터 저장소에 대한 접근 인터페이스를 제공합니다. 추가적으로 Directory semantics 을 강제하고, 스키마를 관리하며, 오브젝트의 아이덴티티를 guarantee 및 어트리뷰트의 데이터 타입을 강제 합니다. (DBMS로써의 기본 조건들을 강제합니다.)

클라이언트 및 다른 도메인 컨트롤러가 디렉토리 저장소에 접근이 필요할 경우 이들은 위의 4개 중 하나의 인터페이스를 이용하여 DSA에 연결 (바인드) 한 후 AD DS 오브젝트와 그 속성값에 대한 검색, 읽기, 쓰기를 합니다.

Database layer

Ntdsa의 모듈로써, DSA와 Directory database 간의 인터페이스를 제공합니다. DSA는 Directory Database에 직접 접근이 불가능하며, 어플리케이션은 데이터베이스 레이어를 통해서 접근이 가능합니다. 또한 데이터베이스 레이어는 디렉토리 데이터베이스에 대한 오브젝트 뷰를 제공하며, DSA가 디렉토리 데이터베이스를 Hierarchical container의 집합의 형태로 접근할 수 있도록 합니다.

데이버베이스 레이어는 각각의 레코드(Object) 및 어트리뷰트에 대한 생성, 검색 삭제를 책임집니다.

ESE (Esent.dll)

Extensible Storage Engine 은 다른 여타의 컴포넌트와 함께 AD DS에서 사용하는 윈도우즈의 컴포넌트로서 데이터베이스와의 인터페이스 역활을 합니다. ESE는 데이터베이스 파일내의 데이터에 대한 인덱싱과 데이터 입출력을 책임 집니다. 또한 데이터베이스의 열과 행을 관리합니다. 주 목적은 어플리케이션들이 데이터를 저장하고 검색을 가능케 하는 것입니다. 또한 트렌젝션관리를 책임 집니다.

Database files

데이터 저장소를 디렉토리의 정보를 단일 데이터베이스 파일에 저장합니다. 추가적으로 데이터 저장소는 트렌젝션 로그 파일을 이용하여 데이터베이스에 대한 트렌젝션을 관리할 수 있게끔 합니다.

  DNS 로 AD 조회시 IPv6가 나타난다. 
작성일시 : 2009.08.25 16:30 | 분류 : Windows Server/Active Directory

[현상]
AD 서비스에는 문제가 없으나, AD 를 못 찾는 다는 메세지가 발생
실제로 nslookup 진행 시 해당 AD 명으로 IPv6 주소가 나타남

[설명]
Windows 2008 부터는 기본적으로 IPv6를 지원 한다.
다만 사용자가 해당 기능을 Network 장비에서 지원하지 않아 Disable 했을 지라도 터널 IP는 남게 된다.

일시적으로 네트워크 장애가 발생 하는 경우 서버는 끝내 자신의 IP를 IPv4 가 아니라 IPv6로 인식하게 되는 경우가 있다. 이 경우 서버에 DNS 쿼리를 하게 되면 IPv6 주소를 쿼리하게 되고, 이로 인해 장애를 경험하게 된다.

[해결 방법]
궁극은 아니지 아래 레지스트리 값을 적용하여 IPv6의 활성화를 차단 할 수 있다.
image

  AD 정책을 이용하여 IE 8.0 자동 업데이트를 차단 하기 
작성일시 : 2009.07.08 13:27 | 분류 : Windows Server/Active Directory

Blocker 준비

1. IE8.0 Blocker을 다운 받습니다.
http://www.microsoft.com/downloads/details.aspx?FamilyID=21687628-5806-4ba6-9e4e-8e224ec6dd8c&displaylang=en
2. 해당 파일의 압축을 풀면 아래와 같은 4개의 파일을 확인 할 수 있습니다.
IE80Blocker.adm
IE80Blocker.cmd
IE80BlockerHelp.htm
IE80BlockerHelp-GPFilteringDialog.jpg

GPMC 를 이용하여 정책 적용

1. 정책을 만들고 해당 정책의 링크를 일단 Disable 시킵니다.
image

2. Edit를 클릭하여 편집을 진행 합니다.
3. 아래 그림과 같이 Add/Remove Templates를 클릭합니다.
image

4. IE80Blocker 를 추가합니다.
image

5. 아래 그림과 같이 새로운 정책이 추가 된 것을 확인 할 수 있습니다.
image

6. IE80 Block 정책을 적용합니다.
image

7. 해당 정책을 Enable 시킵니다.
image

  SYSVOL Replication이 끝났는데도 공유 되지 않으면? 
작성일시 : 2009.02.26 12:03 | 분류 : Windows Server/Active Directory

원인 규명을 위해 HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters 의 레지스트리 키를 일일히 뒤졌습니다.
확인 해 보니 SysVolReady 키 값이 0 이더군요… 이미 DC를 설치한지 약 6시간이 지난 시점에서…ㅡ,.ㅡ;;
물론 리플리케이션 모니터에서도 전혀 문제가 없었구요…

Sysvolready 는 원래 DCpromo를 실행 하는 중이나 실행이 막 끝난 상태 혹은 백업을 하는 경우에 해당 값을 0으로 셋팅합니다. 그리고 자신의 내용을 수정하는 거죠…
하지만 충분한 시간이 지난 이후에도 여전이 0 이였다면 문제가 있는 거겠죠…

전 일단 1로 수정해서 문제를 해결은 했습니다만… 언제 문제가 또 터질지 모르겠군요.
그나저나 Windows 2008은 Resourece Kit 이나 Support Tool이 없는 걸까요?
NetDiag 마져도 실행이 않되더군요…

  If you want to get a ca from web enrollment page on windows 2003 
작성일시 : 2008.12.12 11:52 | 분류 : Windows Server/Active Directory

If your computer's version is Windows 2008 or Windows Vista, I will see this Error page.
image

You can fix it simply.
Download this updates and install your Web enrollment server.

[Source]
http://support.microsoft.com/kb/922706

PS.
After install the hotfix, you may configure the SSL for access the Web enrollment.
When get a certificate on the windows 2008, it can access HTTPs only.

Update for x86 version of Windows Server 2003

http://www.microsoft.com/downloads/details.aspx?FamilyId=FFAEC8B2-99E0-427A-8110-2F745059A02D (http://www.microsoft.com/downloads/details.aspx?FamilyId=FFAEC8B2-99E0-427A-8110-2F745059A02D)

Update for x64 version of Windows Server 2003

http://www.microsoft.com/downloads/details.aspx?FamilyId=B9E1A5F2-A09C-421C-84D6-BFDDBF587D64 (http://www.microsoft.com/downloads/details.aspx?FamilyId=B9E1A5F2-A09C-421C-84D6-BFDDBF587D64)

Update for Itanium version of Windows Server 2003

http://www.microsoft.com/downloads/details.aspx?FamilyId=511014E2-9717-458E-9318-77DC38D20147

  Migration CA to a New Host 
작성일시 : 2008.11.26 17:27 | 분류 : Windows Server/Active Directory

이제 부터 영문으로 문서를 작성합니다.
제 실력이 실력이니 만큼 쉬운 영어로만 작성될 예정입니다.
너무 나쁘게 생각하지 말아주세요...^^

Migration CA to a new host.
So host name will be replaced but CA must stay the same.

* To avoid revocation checking error, new CA must be configured to publish CRLs to the old path as well as the new path.

Operation SEQ

1. Preparing the source Env
- Publishing a CRL1) with long validity period (for prohibit the Certificate revoke)
- Complete Server Backup
- CA Backup
- CA Configuration Backup

2. Migration
- Install CA on the target Server using CA backup file
- Restore CA database and configuration

3. Perform the steps for post-migration
- Update CRL distribution point and authority information access extensions
- Registry cleanup

4. Upgrading certificate templates

5. Verifying security settings
- Verify CA security settings
- Verify AD Permissions for the CA

Operation Details

Publishing a CRL with long validity period
1. certsrv.msc > Revoked certificates > Action > Properties
2. After recording it's original value. and set interval to 99 years.
3. Clear the Publish Delta CRLs check box
4. Revoked certificates > Action > All Tasks > Publish
5. Make sure that new CRL is enabled
6. certsrv.msc > Properties > Extensions
7. record the CRL distribution point extension

Performing a Complete Server Backup

Performing a CA Backup
(CA backup consists of two entities : CA database, CA certificate and keys)
1. certsrv.msc > All Tasks > Back Up CA
2. On the Items to Back Up page, select the Private key and CA certificate and Certificate database and certificate database log

Performing a Backup of the CA Configuration
1. Export follow Registry key "HKLM\SYSTEM\CurrentControlSet\Services\CertSvc"

Recording Certificate Templates
1. cmd > certutil -catemplates > templates.txt

Uninstalling the CA on the Source Server

Uninstalling the Web Enrollment Support on the Source Server

Setup CA on the Target Server
1. servermanager.msc > Roles
2. Action > Add Roles > Active Directory Certificate Services
3. On the Set Up Private Key, select Use existing private key

Restoring the CA database
1. certsrv.msc > All tasks > Restore CA

Restoring the CA Registry Configuration
1. Import follow Registry key "HKLM\SYSTEM\CurrentControlSet\Services\CertSvc"

Restoring Certificate Template Configuration
1. certsrv.msc > Right-click Certificate Templates > New > Certificate Template to Issue

Resetting the CRL Publishing Period

Verifying Security Settings
1. certsrv.msc > CA object > Action > Properties
2. dsa.msc > Ensure the Permissions that Configuration/Services/Public Key Services container

Updating CRL Distribution Point and Authority Information Access Extensions
1. certsrv.msc > Properties > Extensions
2. Add the required authority information access and CRL distribution point extensions
ldap:///CN=CATruncatedNameCRLNameSuffix,CN=OriginalServerShortName,CN=CDP,CN=Public Key Services,CN=Services,ConfigurationContainerCDPObjectClass.
3. Replace OriginalServerShortName with the short name of the original CA host.
4. With the new location highlighted, select the Publish CRLs to this location and Publish Delta CRLs to this location check boxes.

Performing Registry Updates after a host name change
1. Verify that CAServerName is a registry string value located under the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CAName\ registry key. It should be updated to represent the DNS name (for an enterprise CA or domain member CA) or the host name (for a stand-alone workgroup CA) of the new CA host.

2. Verify that CACertPublicationURLs and CRLPublicationURLs are both registry multi-string values located under the same key as CAServerName. CACertPublicationURLs indicates the authority information access extension settings, and CRLPublicationURLs indicates the CRL distribution point extension settings configured in the Certification Authority snap-in on the CA Properties Extensions tab. While these settings may have been updated as a separate step previously (see Updating CRL Distribution Point and Authority Information Access Extensions), they should be checked in the registry to ensure any hard-coded host names are reconciled with the new environment.

3. Check the remaining registry values under the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc registry key, with emphasis on any values that have been customized to ensure that they are free of data containing the old CA host name or other invalid CA settings. For example:
· Configuration\ConfigurationDirectory
· Configuration\CAName\CACertFilename

Upgrading Certificate Templates in AD DS

1) CRL (Certificate revocation list) : Information that Certificates's status (revoked, no longer valid, don't relied upon)

출처 : Active Directory Certificate Services Upgrade and Migration Guide

  Active Directory 재해 복구 
작성일시 : 2008.08.13 02:41 | 분류 : Windows Server/Active Directory

AD 재해 복구에 대한 문서를 소개해 드립니다.
꽤 도움이 되는 문서네요...^^
2000 버전이지만 2003과 변경 사항은 그리 없어 보입니다.

down 소개
down Active Directory 개요
down Active Directory 백업
down Active Directory 재해 복구 순서도
down Active Directory 복구
down 글로벌 카탈로그 서버의 복구
down 작업 마스터 복구

image

https://www.microsoft.com/korea/TechNet/win2000/win2ksrv/technote/adrecov.mspx

  만약 GC와의 연결이 어떤지 테스트를 하고 싶다면... 
작성일시 : 2008.05.06 09:27 | 분류 : Windows Server/Active Directory | 태그 : Active Directory, connection, global catalog server, Test

먼저 Windows Support Tools를 설치한 후 nltest 를 한다.
구문 : nltest /server:serverName /dsgetdc:domainName /gc /force

문제 시 다음과 같은 에러가 발생한다.
Getting DC name failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN.

참고: GC를 직접 엑세스하는 녀석들은 Domain Controller 와 Exchange Server 그리고 또 뭐가 있을까...??
http://technet2.microsoft.com/windowsserver2008/en/library/4094376f-8ff6-4366-89ba-8574794a42831033.mspx?mfr=true

  정책을 이용하여 특정 포트 컨트롤 하기 
작성일시 : 2008.05.04 15:58 | 분류 : Windows Server/Active Directory | 태그 : Control, Group Policy, windows firewall

포트 및 IP Address 를 설정해 준 후, enabled 및 disabled를 통해 구성이 가능하다.

 Prev   1   2   3   Next