류짱:Beyond MySelf

도메인 조인 된 Windows 7머신이나 서버에 Micrsoft Visio를 설치 한 후 아래  툴을 설치하면 해당 도메인에 대한 구조를  Diagram으로 확인할 수 있다.

Microsoft Active Directory Topology Diagrammer
http://www.microsoft.com/en-us/download/details.aspx?id=13380

With the Active Directory Topology Diagrammer tool, you can read your Active Directory structure through LDAP. The Active Directory Topology Diagrammer tool automates Microft Office Visio to draw a diagram of the Active Directory Domain topology, your Active Directory Site topology, your OU structure, your DFS-R topology or your current Exchange 20XX Server Organization. With the Active Directory Topology Diagrammer tool, you can also draw partial Information from your Active Directory, like only one Domain or one site. The objects are linked together, and arranged in a reasonable layout that you can later interactively work withthe objects in Microsoft Office Visio.

물론 해당 도메인에 로그온 할 때는 Domain admin 권한이 있는 계정으로 로그온을 해야 한다.

[ADTD 실행 화면]
ADTD 실행 후 Discover를 클릭하면 DC의 구성 정보를 Gathering 한다.
Domains, OUs, Sites, Exchange, Application, DFS-R, Servers 등의 정보를 Visio로 확인 할 수 있다.

Discover가 완료 된 후 아래 Draw!를 클릭하면 화면이 아래와 같이 바뀌면서 Visio에 도메인의 정보를 그려 준다.

실행 된 Visio를 통해서 현재 ryuchan.kr 도메인의 구성을 확인 할 수 있다.


감사합니다.

[참고 자료]
ADTD Not Drawing Exchange Organization
http://blogs.technet.com/b/messaging_with_communications/archive/2012/01/10/adtd-not-drawing-exchange-organization.aspx

Documenting Active Directory Infrastructure the Easy Way
http://blogs.technet.com/b/askds/archive/2007/10/12/documenting-active-directory-infrastructure-the-easy-way.aspx

저작자 표시 비영리 변경 금지
신고

Comment 0

Kerberos 인증 문제가 발생하여  클라이언트와 서버에서 인증 관련 패킷을 수집 해야 한다면 아래와 같이 사전 작업을 미리 한 후 넷몬으로 패킷을 수집하면 좋겠네요^^

1.Make sure that there are no Internet Explorer windows open, and in general close down as many applications as possible so that your network traces are as clean as possible.
2.Start the network capture utility.
3.Clear all name resolution cache as well as all cached Kerberos tickets.
To clear DNS name cache you type in:  IPConfig /FlushDNS
To clear NetBIOS name cache you type in:  NBTStat –R
To clear Kerberos tickets will need KList.exe:  KList purge
4. Launch Internet Explorer and go to the web site.
5. Once the website comes up or error messages are being displayed, go ahead and stop the network capture.

[참고 자료]
Kerberos Authentication problems – Service Principal Name (SPN) issues - Part 1
http://blogs.technet.com/b/askds/archive/2008/05/29/kerberos-authentication-problems-service-principal-name-spn-issues-part-1.aspx

 

저작자 표시 비영리 변경 금지
신고

Comment 0

Active Directory Recyle Bin
Active Directory 휴지통은 Active Directory 데이터를 백업에서 복원하거나 AD DS(Active Directory 도메인 서비스)를 다시 시작하거나 도메인 컨트롤러를 다시 부팅하지 않고도 실수로 삭제한 Active Directory 개체를 저장 및 복원할 수 있는 기능을 개선하여 디렉터리 서비스 중단 시간을 최소화합니다.

Active Directory 휴지통을 사용할 경우 삭제된 Active Directory 개체의 모든 연결된 값 특성과 연결되지 않은 값 특성이 유지되고, 개체는 삭제 바로 전과 동일하게 일관된 논리적인 상태로 복원됩니다. 예를 들어 복원된 사용자 계정은 삭제 바로 전에 도메인에서 갖고 있었던 모든 그룹 구성원 자격과 해당하는 액세스 권한을 자동으로 다시 얻게 됩니다.

기본적으로 Windows Server 2008 R2의 Active Directory 휴지통은 사용하지 않도록 설정되어 있습니다. Active Directory 휴지통을 사용하도록 설정하려면 먼저 AD DS 또는 AD LDS 환경의 포리스트 기능 수준을 Windows Server 2008 R2로 올려야 합니다.

Windows Server 2008 R2에서 Active Directory 휴지통을 사용하도록 설정하는 프로세스는 되돌릴 수 없습니다. 즉, 사용자 환경에서 Active Directory 휴지통을 사용하도록 설정하고 나면 다시 사용하지 않도록 설정을 되돌릴 수 없습니다.

[참고 자료]
Active Directory 휴지통 단계별 가이드
http://technet.microsoft.com/ko-kr/library/dd392261(v=ws.10).aspx

저작자 표시 비영리 변경 금지
신고

Comment 0

Active directory 포리스트 내 시간 동기화

구성원 서버들과 워크스테이션 서버들은 그들이 로그인 한 DC로 부터 동기화
도메인의 DC 들은 PDC 에뮬레이터 작업 마스터로 지정된 DC로 부터 동기화한다
포리스트에 하나 이상의 도메인이 있다면 각 도메인 마다 한대의 PDC 에뮬레이터가 존재, 포리스트의 첫 번째 도메인의 PDC 에뮬레이터가 원본 서버가 된다.

AD의 복제는 다중 마스터 복제 방식
즉 두개의 루프
복제는 항상 끌어오기(Pull)로 이루어진다.
로컬 복제는 매 5분 간격으로..
복제 파트너가 될 DC는 KCC(Knowledge Consistency Chekcer)에 의해 정해지며 KCC는 Lsass.exe의 일부로 작동을 한다.

경우에 따라서는 Loop가 아니라 Mesh 방식으로 복제가 진행 된다. 가령 한 도메인의 100개가 넘는 DC가 있다면...?
세홉 이상 떨어진 DC가 있을 경우 KCC는 단순히 링크를 추가하고 루프를 메시로 변환한다.

복제 토폴로지
각 도메인은 자신만의 고유한 정보를 가지는 데 일너 정보는 해당 도메인에 속하는 DC들에만 복제 되어진다. 한 도메인에서 새로운 사용자 계정이 생성 되어도 다른 도메인에서는 이것에 대해 알 필요가 없으므로 다른 도메인으로는 복제하지 않는 것이다. 단지 글로벌 카탈로그 서버에만 일부 정보가 저장된다.
하지만 포리스트 범위의 데이타인 스키마와 구성명명 콘텍스트(naming context)는 포리스트 내의 모든 DC들에 복제가 되어져야 한다. 명명 콘텍스트라는 말은 한 무리의 컴퓨터들 사이에서 복제 되어어져야 하는 데이터베이스를 의미

KCC는 글로벌 카탈로그 서버가 GC를 복제하기 위해서 사용할 복제 토폴로지도 생성

복제 충돌을 피하기 위해서 각 DC는 USN(Update Sequence Number)와 High-Water Marks)와 최신 벡터(Up-to-date vector)를 활용한다.

사이트(site)
아주 빠른 속도로 데이터 통신을 할수 있는 서브넷들의 집합
사이트 내부 복제
사이트 복제를 위해 IP나 SMTP 사용
AD 사이트는 최소 60일전후로 한 번은 복제를 해야 한다. AD는 60일 동안 사용되지 않은 개체를 제거 해 버리기 때문에 만약 한 사이트가 다른 사이트와 몇 달 동안 복제를 하지 않았다면 절대로 해당 DC를 연결해서는 안된다.

각 사이트에는 ISTG(Inter-Site Topology Generator) DC가 한 대씩 존재한다. 자동적으로 역할이 부여되며 다른 ISTG와 대화를 하고 비용 최소를 위해 어느 링크를 사용할지 결정한다.

Bridgeheads
사이트간의 복제는 브리지헤드 서버를 통해서 일어난다.

Network Ports Used by Active Directory Replication
By default, RPC-based replication uses dynamic port mapping. When connecting to an RPC endpoint during Active Directory replication, the RPC run time on the client contacts the RPC endpoint mapper on the server at a well-known port (port 135).
The server queries the RPC endpoint mapper on this port to determine what port has been assigned for Active Directory replication on the server. This query occurs whether the port assignment is dynamic (the default) or fixed. The client never needs to know which port to use for Active Directory replication.

Service Name UDP TCP
LDAP 389 389
LDAP 636(Secure Sockets Layer)
LDAP 3268(global catalog)
Kerberos 88 88
DNS 53 53




 

저작자 표시 비영리 변경 금지
신고

Comment 0