전용 포리스트 루트 도메인을 어떻게 생성합니까? Active Directory에 익숙하고 '고급 모드'에서 dcpromo.exe를 사용했지만 전용 포리스트 루트 도메인을 만드는 방법을 잘 모르겠습니다.
제가 여기 있는 동안 포리스트가 오프라인 상태가 되어도 포리스트의 구성원인 도메인 컨트롤러는 계속 작동합니까?
답변1
포리스트에서 생성한 첫 번째 도메인은 자동으로 포리스트 루트 도메인이 됩니다. 특별한 작업을 수행할 필요가 없습니다. DCPromo 마법사에 해당 도메인이 새 포리스트의 새 도메인이라고 알리기만 하면 됩니다.
답변2
"빈 루트" Active Directory 설계 전략을 말씀하시는 것 같습니다. 여기서는 궁극적으로 사용자나 리소스가 없고 리소스가 포함된 하위 도메인의 상위 도메인으로 사용되는 포리스트 루트 도메인을 만드는 곳입니다.
이렇게 하려면 DCPROMO를 사용하여 새 AD 배포를 위해 일반적으로 하는 것처럼 새 포리스트를 생성하면 됩니다. 그런 다음 하위 DC에 하위 도메인을 만듭니다. 포리스트 루트 도메인을 만드는 동안 수행할 특별한 작업은 없습니다.
"빈뿌리"는 오늘날의 정치적 구조일 뿐이다. "빈 루트"는 보안을 제공하지 않는 것으로 나타났습니다. 모든 하위 도메인의 "도메인 관리자"는 매우 쉽게 "엔터프라이즈 관리자"가 될 수 있습니다.
"내가 여기 있는 동안 포리스트가 오프라인이 되어도 포리스트의 구성원인 도메인 컨트롤러는 계속 작동할까요?"라고 묻는다면 "포리스트 루트 도메인 컨트롤러를 모두 잃으면 어떻게 되나요?"라고 묻는 것 같습니다. "
그것은 나쁜 것입니다. 너~할 것 같다바로 가기 신뢰를 사용하여 발생할 수 있는 Kerberos 신뢰 경로 문제를 해결할 수 있지만 일반적으로 포리스트 루트 도메인의 모든 도메인 컨트롤러를 잃고 싶지 않거나 전체 포리스트를 다시 구축하려고 합니다.그러지 마세요(tm).
편집하다:
가능하면 항상 단일 도메인을 사용하도록 노력해야 합니다. 여러 암호 정책이 필요하지 않은 한(그리고 Windows 2008 Active Directory의 세분화된 암호 정책 기능을 사용할 수 없는 경우) 단일 도메인을 고수하려고 노력하십시오.
빈 루트는 조직의 일부가 다른 사람이 포리스트 루트를 "소유"할 수 있다는 사실을 "수용"할 수 없는 정치적 상황을 제외하고는 오늘날 실제로 큰 의미가 없습니다. (심지어 기술적으로 빈 루트 전략에는 보안 "치아"가 없기 때문에 이는 단지 가짜 정치적 주장일 뿐입니다.)
다중 도메인 배포는 여러 개의 비밀번호가 필요하거나 전체 도메인 NC의 복제 범위를 제한하려는 경우(또는 SMTP 기반 AD 복제를 사용하려는 경우)에 유효합니다. 이러한 요구 사항이 없으면 실제로 다중 도메인이 필요하지 않습니다.
조직의 일부 간 격리, AD 스키마/구성 보호, 조직의 여러 부분 간의 관리 위임을 엄격하게 제한해야 한다면 아마도 다중 포리스트 인프라가 필요할 것입니다(이것이 가장 복잡하고 번거롭기는 하지만). 관리할 유형).