13. Windows : Active Directory - 8. RODC(Read Only Domain Controller) 생성

1. 자식 도메인 vs RODC

자식 도메인(Child Domain) 생성 조건

• 지역에 관리자가 있는 경우
• 물리적인 보안을 담보할 수 있을 때 (출입통제 시스템)
• 상위단에 부모도메인이 존재

RODC(Read Only Domain Controller) 생성 조건

• 지역에 관리자 부재
• 물리적인 보안을 담보할 수 없을 때
• 위 조건에도 상위단에 쓰기 가능한 DC 존재하면 생성 가능

계정 암호를 제외하고 RODC는 쓰기 가능한 도메인 컨트롤러가 보유하는 모든 Active Directory 개체 및 특성을 보유

그러나 RODC에 저장된 데이터베이스는 변경할 수 없다. 쓰기 가능한 도메인 컨트롤러에서 변경한 다음 RODC에 다시 복제해야 한다.

 

 

2. RODC 구성하기

2.1. 사용자 계정 생성

※ 도구 → Active Directory 사용자 및 컴퓨터 열기

 

※ Users → 새로만들기 → 사용자

 

※ 사용자 d 생성

 

※ PW 설정

 

※ 확인 후 생성 완료

 

 

2.2. ADDC 설치 및 DC 승격

※ 관리 → 역할 및 기능 추가

 

※ 설치 유형 선택 - 역할 기반 또는 기능 기반 설치

 

※ 대상 서버 선택 - 서버 풀에서 서버 선택 후 설치할 서버 선택

 

※ 서버 역할 선택 - Active Directory 도메인 서비스 선택 후 기능 추가

 

※ 기능선택

 

※ Active Directory 도메인 서비스 - 관련 내용 확인

 

※ 설치 선택 확인 - 확인 후 설치 진행

 

※ 도메인 컨트롤러 승격

 

※ 배포 구성

- 기존 도메인에 도메인 컨트롤러 추가

- 자격 증명 루트 도메인 컨트롤러의 Administrator로 변경

 

- 도메인 선택

 

배포 구성 확인 후 다음

 

※ 도메인 컨트롤러 옵션 - DNS, GC, RODC 체크 후 사이트 선택 및 암호 설정

 

※ RODC 옵션 - 위에서 생성한 mhan.xyz의 계정 d 선택하여 추가

 

 

- 추가된 것 확인 후 다음

 

※ 추가 옵션 - 모든 도메인 컨트롤러에서 복제하도록 선택

 

※ 경로 - 경로 설정

 

※ 검토 옵션 - 선택 옵션 확인

 

※ 필수 구성 요소 확인 - 빨간색 경고 메세지가 없다면 설치 진행

 

2.3. RODC 둘러보기

※ 루트 DC의 Administrator로그인

 

※ Active Directory 사용자 및 컴퓨터 → 도메인 컨트롤러 변경

 

※ 도메인 컨트롤러 변경 시도 - RODC이므로 변경 불가

 

※ Users의 보조 메뉴 확인해보면 쓰기 권한이 없다는 것을 확인할 수 있음

 

※ 로그아웃 진행 후 사용자 d로 로그인 시 로그인 가능

 

※ 사용자 a로 로그인 진행 시 로그인 불가 권한 없음