본문 바로가기
Windows

[ Active Directory ] 자식 도메인

by Nirah 2022. 11. 24.

Child Domain

지역에 관리자가 존재

물리적인 보안을 담보 (출입통제 시스템) 할 수 있을때

상위단에 부모 도메인이 존재

 

RODC (Read Only Domain Controller)

지역에 관리자가 없을 때

물리적인 담보를 하지 않아도 됨 (부실해도 괜찮다는 이야기)

상위단에 쓰기 가능한  DC 존재

 

 

 

 

<< 자식 도메인 구성 >>

 

w2k19-1 에 새로 AD 기능 설치 하고 승격할 때 자식도메인을 고른다.

 

넷 바이오스 이름은 부산으로 한다.

부산(자식)도메인은 서울(부모)한테 DNS를 상속받는다.

별 다른 선택지 변경 없이 설치하고 재부팅 해준다.

 

 

 

 

 

 

<< 부모-자식 DNS 보조영역 등록 >>

 

기존 부모 도메인 컨트롤러의 DNS 창으로 들어가면 자식 도메인에 대한 존 파일이 자동으로 들어가있다.

하지만 추가로 서로 상대방의 주영역에 자신의 보조영역을 등록하면 통신이 잘된다 (권고 사항)

반대로 등록을 안 하면 조회같은게 잘 안되고 삭제 시에도 완전한 삭제가 불가능해지는 등 문제가 생긴다.

 

 

-부모 도메인 설정-

 

DNS 관리 - 정방향 조회 영역 우측버튼 - 새 영역

보조도메인

busan.shrshr.shop

마스터 서버 10.0.0.11 (자식도메인 주소)

생성된 busan.shrshr.shop 존 파일에 마우스 오른쪽 클릭 - 영역 전송 허용 - 10.0.0.11

아래와 같이 자식이 갖고있는 부산 존파일의 껍데기를 만들어준다.

부모는 자기 자신의 shrshr.shop을 자식이 복사해 가는 것이 가능하게 영역전송 허용을 해준다는 의미.

안 받아와 진다고 F5를 누르지 말고 그냥 DNS 관리자 창을 x 눌러서 나갔다 다시 들어와보자.

 

 

 

 

-자식 도메인-

 

정방향 조회 우측버튼

보조도메인

영역이름 shop.shrshr

마스터 서버 10.0.0.11

영역 전송 허용 DNS영역에 10.0.0.11

 

 

 

 

 

아래와 같이 도메인 및 트러스트 관리 창에서는

부모 자식 간에 신뢰관계가 형성돼있기 때문에 상호인증이 가능한 것을 확인할 수 있다.

그것이 부모-자식 트러스트 관계이다.

 

 

 

 

 

================================================================================

 

<< 자식 도메인 제거 >>

 

상대방의 DNS를 자기 자신의 보조 도메인에 갖고 있어야지 잘 지워진다.

앞선 존파일 설정을 잘 한뒤 지우자.

 

 

 

삭제할 땐 

관리 -역할및 기능제거

수준 내리기 작업 도중에 자격증명 부분에서 '변경' 눌러서 필히 부모 도메인의 도메인컨트롤러 자격으로 로그인 하자.

왜냐하면 부모 도메인에도 자식 도메인의 메타데이터가 남아있는데, 이를 지우는 권한은 부모가 갖고있기 때문.

안그러면 삭제가 안되는 부분이 생기게 된다.

부산(자식)의 컨트롤러는 이게 유일하므로 마지막으로 체크하고 다음으로 간다.

 

재부팅이 되고 나면

접미사를 제거한다. 저런 흔적이 남아있으니 칸을 비워놓고 확인을 누르자.

만약 소속 그룹 란이 WORKGROUP 이 아니라면 바꿔줘서 stand alone 모드로 바꿔주자.

 

 

마지막으로 완벽한 삭제를 위해 다시 역할 및 기능제거 가서 AD도메인과 DNS 체크된걸 해제하고 삭제한다.

 

 

잘 지워졌는 지 확인법

 

1.부모도메인 컨트롤러에서 트러스트 항목에 자식 도메인이 안보이는 지 확인.

아까확인한 tcp들 내에 부산이 없는 지 확인한다.

 

2. 사이트 및 서비스의 디폴트 사이트 네임 아래에 지운 서버 껍데기가 있는 지 확인한다.

 

3. 잘 지워야지 해당 열려있는 하위 tcp마다 내에 있는 모든 busan 관련이 다 사라진다.

아래의 화면은 아직 삭제 전에 busan 관련 존 파일들이 남아있는 장면이다.

4. 도구 - AD 사용자 및 컴퓨터 - Users - Administrator - 속성의 소속그룹 탭

각 항목의 AD 도메인 서비스 폴더가 어디로 지정돼 있는지 확인한다.

자식 도메인을 삭제하기 전에는 자식 도메인 (busan.shrshr.shop) 쪽 폴더로 지정돼있지만,

삭제가 완벽하게 되면 부모 도메인 (shrshr.shop) 쪽 폴더로 바뀐다.

 

 

 

 

 

 

'Windows' 카테고리의 다른 글

[ Active Directory ] 도메인 Sites & Subnet  (0) 2022.11.25
[ Active Directory ] 부모-자식 도메인 Trust 관계  (0) 2022.11.24
[ Active Directory ] Windows Computer의 도메인 가입  (0) 2022.11.24
[ Active Directory ] FSMO  (0) 2022.11.24
[ Active Directory ] 설치 및 구성 ( Domain+Member )  (0) 2022.11.23

관련글

티스토리툴바