# 양방향 전이 트러스트는 포리스트의 모든 도메인에서의 단일 계정을 이용한 로그온, 자원 공유, 중앙 화 된관리를 제공
# 트러스트 받는 DomainA(갑)가 DomainB(을) 트러스트 하게 되면 트러스트 받는 DomainB 의 사용자들은 DomainA의 컴퓨터에서 로그온 하거나 네트워크 를 통해 DomainA에 있는 서버들의 공유 자원을 사용
# DomainA 사용자들고 DomainB 구성원 컴퓨터로 로그온 할려면 구성원B 서버의 공유자원을 사용할려면 A와 B간의 트러스트 설정이 필요하다
# 부모 도메인과 자식 도메인 사이에서는 양방향 트러스트가 자동 생성
#1 AD이중화 서버(실습)매우 중요
dcpromo
설정(s) 눌러 인증 해준다
설치 하고 재부팅 하고나서 ...
# DC에서 itbank 만들고 DNS 192.168.1.10
# SRV1 에서 ibbank 계정만 들고 DNS 192.168.1.20
만들고 나서 계정 복제 되는지 확인 한다 안 만들어 졌다면 AD사이트 및 서비스에서 Server에서 DC,SRV1에 들어간다 계정이 안만들어진곳에서 그곳에서 서비스 가 뜨는게 거기시 지금 복제 하면 바로 생성됨
#2 이중화 제거
1. 실행 -> dcpromo -> AD 도메인 설치 마법사 -> 기존 포리스트 체크 : 기존 도메인에 도메인 컨트롤러추가 체크 ->네트워크 자격 증명 : 도메인 이름 : a.com 대체 자격 증명 : 설정 클릭 : administrator 암호 : 암호1234. -> 도메인 선택 다음 -> 사이트 선택 : 다음 ->DNS 서버, 글로벌 카탈로그 선택 -> 다음(IPV6 동적 프로토콜 TCP/IP 에서 해제)->나머지는 기본 진행으로 설치 ->완료시 다시 시작 체크 ->마침..
2. nyc-svr1에서 a\administrator로 로그인... 관리도구 -> DNS ->a.com ->_tcp ->_gc nyc-dc1과 nyc-svr1 두군데 있는거 확인
nyc-dc1
관리도구 -> DNS ->a.com ->_tcp ->_gc nyc-dc1과 nyc-svr1 두군데 있는거 확인
3. DNS 간에 전달자를 이용해서 통신이 가능하도록 설정
NYC-DC1 ->관리도구 -> DNS -> NYCP-DC1 전달자 : 192.168.1.10 지정
기본 dns 10.10.0.10 NYC-svr1 ->관리도구 -> DNS -> NYCP-svr1 전달자 : 192.168.1.20지정
기본 dns 192.168.1.10
4. nyc-dc1에서 사용자 Test계정 생성 nyc-svr1에서도 생성이 되었는지 확인
5. nyc-svr1에서 조직 구성 단위 생성 Marketing 생성 후 nyc-dc1에서도 생성이 되었는지 확인
6. 글고벌 카탈로그 수동으로 복제 nyc-dc1
관리도구 -> AD 사이트 및 서비스 -> Sites 확장 -> Default-First-Site-Name 확장 ->Servers : nyc-dc1과 nyc-svr1 -> NTDS-Settings -> 속성 : 글로벌 카탈로그체크 NTDS Settings : 자동생성됨 : NYC-SVR1연결이 설정 -> 오른쪽 클릭 -> 지금 복제 : NYC-DC1에서 NYC-SVR1으로 글로벌 카탈로그 복제
7. NYC-DC1 서비스 중지 : 확인 NYC-CL1에서 도메인 사용자로 로그인
#3 응용문제
# dcpromo
# 루트 도메인 트리 도메인 #도메인 주소
# 복구 패스워드
# 이중화 서버
# ibbank.vm 으로 하고 대체 자격을 administrator 로 인증 받음
# DNS주 192.168.1.10
# DNS보 192.168.1.20
# ibbank.vm 으로 선택
# win2003 에서 cloud\s 로 로그인 되면 됨
2)사용자 계정 생성 / 복제
# # SRV01 에서 s1계정 생성 하여 SRV02에 계정 s1복제 되어야 한다
# 이것도 마찬가지로 SRV02에서 S 조직단위 생성 하면 SRV01에도 복제 가 되어야 한다
# 기존의 nyc-srv1 네트워크 사용으로 한 다음 nyc-srv2 이중화 서버에서 해제 후 도메인 구성원으로 강등 되는 지 확인
# SRV02에서 dcpromo으로 제거 하고 나서 재부팅 후 SRV01에서 AD사용자 및 컴퓨터에서 Domain Controllers 에 SRV02가 Computers 에 강등 되면 됨
#4 Forest Trust
# SRV02에서 dcpromo
# 전달자 SEV02에서 192.168.1.10
# 전달자 DC1에서 192.168.1.30 으로 설정해준다
# win2003 에서 ibbank.vm으로 도메인 편입 해준다
# DC에서 도메인 및 트러스트 에 cloud.vm 우클릭해서 속성에서 트러스트에서 새트러스트 눌러 설치
# ibbank.vm
# 제거
# DC1 AD사용자 및 컴퓨터에서 도메인 변경
# itbbank.vm으로 연결은 되나 추가 삭제 수정은 되지 않는다
# administrator 안에 s1 계정 넣고 로그오프로 확인 해봄 (계정은 SRV02 에서 net use s1 암호1234 /add 로 만듬
포리스트 트러스트 설정.. 1. nyc-dc1 관리도구 -> AD 도메인 및 트러스트 ->a.com ->속성 ->트러스트 -> 새 트러스트 클릭 -> 새 트러스트 마법사 -> 트러스트 이름 : b.com -> 포리스트 트러스트 체크 -> 트러스트 방향 : 양방향 -> 트러스트 파트너 : 이 도메인과 지정한 도메인 모두 체크(전이가 가능) -> b.com 관리자 인증 : administrator 암호 입력-> 전체 포리스트 인증 체크 -> 로컬 포리스트 : 전체 포리스트 인증 체크 -> 나머지는 기본으로 진행 -> 마침
2. london-dc1에서도 트러스트가 전이가 되었는지 확인..b.com -> 속성->트러스트 -> 확인
3. nyc-dc1 선택적 인증으로 전환.. nyc-dc1 관리도구 -> AD 도메인 및 트러스트 ->a.com-> 속성 -> 트러스트 ->b.com 클릭 : 속성 클릭 ->인증 -> 선택인증 으로 체크 하고 확인
4. nyc-svr1 특정 사용자가 자원에 접근 가능하도록 설정.. 관리도구 -> AD 사용자 및 컴퓨터 ->보기 -> 고급 기능 체크 ->Computers -> NYC-SVR1 속성 -> 보안탭 클릭 -> 추가->a.com-> b.com 위치 변경->test2@b.com 사용자 : 모든 권한 체크 -> 확인
