1) DCPromo 대신 지금은 무엇으로 DC를 승격하나요?
A. Windows Server 2012부터 DCPromo GUI는 폐기(deprecated). 이제 Server Manager의 AD DS 구성 마법사나 PowerShell ADDSDeployment 모듈(예: Install-ADDSForest, Install-ADDSDomainController)로 승격한다. 2012에서는 한시적으로 dcpromo /unattend가 가능했지만 이후 버전에선 권장/지원되지 않는다. Microsoft Learn+2Microsoft Learn+2
2) 새 포리스트/도메인/추가 DC 설치에 쓰는 PowerShell은?
A.
- 새 포리스트: Install-ADDSForest -DomainName corp.contoso.com
- 새 도메인(트리/자식): Install-ADDSDomain
- 추가 DC: Install-ADDSDomainController
설치 전 사전검사는 Test-ADDSForestInstallation/Test-ADDSDomainInstallation/Test-ADDSDomainControllerInstallation. Microsoft Learn+1
3) DC 승격 전 필수 선행 조건 3가지는?
A. (1) DNS가 AD DNS를 가리키도록 설정(자기 자신 또는 기존 DC) (2) 시간 동기화—Kerberos 허용 오차 ±5분 (3) 네임해결·통신에 필요한 방화벽 포트 허용(특히 135/TCP, 동적 RPC). 사전검사는 위 Test-ADDS* cmdlet으로 확인. Microsoft Learn+3Microsoft Learn+3Microsoft Learn+3
4) DC 승격 후 DNS에 어떤 레코드가 생기고 어떻게 확인해요?
A. Netlogon이 SRV 레코드(_ldap._tcp.dc._msdcs.<forest> 등)를 자동 등록한다. nslookup -type=SRV로 점검하거나 KB 가이드를 따른다. 이 SRV 레코드들을 DC Locator가 사용한다. Microsoft Learn+1
5) “DC Locator”는 조인/로그온 때 어떻게 동작하죠?
A. 클라이언트가 DNS의 SRV 레코드를 질의해 가장 적합한 DC(사이트/가용성 기준)를 찾고, 필요 시 “가장 가까운 사이트”를 재탐지한다. 문제 시 전용 트러블슈팅 가이드를 따른다. Microsoft Learn+1
6) 글로벌 카탈로그(GC)는 무엇이며 언제 켜나요?
A. 포리스트 전체의 개체에 대한 부분 복제본(Partial Attribute Set)을 제공하는 검색·로그온 가속 용도. 사용자 100명 이상 사이트엔 GC 배치를 권장. Microsoft Learn+2Microsoft Learn+2
7) 도메인 조인에 필요한 대표 포트는?
A. 핵심은 135/TCP(RPC EPM) + 동적 RPC(49152–65535/TCP), 그리고 DNS(53), LDAP(389/636), Kerberos(88/464), SMB(445), NTP(123). 환경별 방화벽 가이드는 MS 포트 요구 문서를 따른다. Microsoft Learn+1
8) RODC(읽기 전용 DC)는 언제 쓰나요?
A. 물리 보안이 약한 지점 등에서 읽기 전용으로 배치해 위험을 줄인다. 암호는 기본적으로 캐시되지 않으며(정책으로 허용 가능), 사전 준비된 RODC 계정으로 스테이징 설치도 가능. Microsoft Learn+1
9) 가상 DC가 안전한 이유—VM-GenerationID란?
A. 하이퍼바이저가 제공하는 VM-GenerationID로 스냅샷/복제/이동 등 “시간 되돌림” 이벤트를 게스트 OS(DC) 가 감지한다. 변경 감지 시 InvocationID 리셋 등 보호 동작을 수행해 USN 롤백을 방지한다. Microsoft Learn+1
10) “가상 DC 클로닝”은 무엇이고, 스냅샷 복원과 뭐가 다른가요?
A. 승인된 DC를 템플릿 삼아 DCCloneConfig.xml(네트워크/이름/사이트 등 설정)로 정식 절차로 복제 부팅하는 것. 필요 시 PDC 에뮬레이터와 통신해 새 DC 개체를 만들고 부팅 후 구성 완료. 스냅샷 “되감기”와 달리 지원되는 자동화 절차다. TECHCOMMUNITY.MICROSOFT.COMMicrosoft Learn+1
11) 하이퍼바이저 스냅샷을 되돌리면 어떤 이벤트가 나와요?
A. 지원되는 환경이면 VM-GenID 변경을 감지해 트랜잭션 중단/InvocationID 변경 등 보호(예: Event 2181/1109)가 발생한다. 지원 안 되는 환경에서 DCCloneConfig.xml만 있으면 DSRM으로 부팅시켜 영향 차단. Microsoft Learn+1
12) Windows Server 2019/2022에서 FRS-SYSVOL은?
A. 지원 안 됨. FRS 사용하는 도메인엔 신규 DC 승격이 차단되고, DFSRMIG으로 SYSVOL을 DFSR로 마이그레이션해야 한다. 관련 차단 메시지/가이드가 제공된다. Microsoft Learn
13) DC를 표준 절차로 “안전하게” 내리는 방법은?
A. Server Manager 또는 PowerShell Uninstall-ADDSDomainController로 정상 강등(demotion) 후 역할 제거. DISM으로 AD DS 제거는 지원되지 않음(부팅 문제 초래). 강제 제거 시에는 메타데이터 정리가 필수. Microsoft Learn+2Microsoft Learn+2
14) 새 DC 승격 직후 건강 점검 어떻게 하나요?
A. dcdiag로 기본 테스트(시간 오차 300초=5분 포함) → DNS SRV 등록 확인 → repadmin /replsummary//showrepl로 복제 점검. Microsoft Learn+1
15) 오프라인 도메인 조인(ODJ)이 뭔가요?
A. 네트워크가 없어도 사전 프로비저닝으로 조인하는 기능. 1) 도메인에서 djoin /provision으로 컴퓨터 계정 메타데이터 생성 2) 대상 장비에 /requestODJ로 적용 후 재부팅. 지점 배치/이미징에 유용. Microsoft Learn+1
16) “누가” 컴퓨터를 도메인에 조인할 수 있나요(기본)?
A. 기본적으로 인증된 사용자도 최대 10대까지 조인 가능(도메인 속성 ms-DS-MachineAccountQuota=10). 정책 **“Add workstations to domain(SeMachineAccountPrivilege)”**로 범위를 제어하거나, OU에 위임해서 제한한다. Microsoft Learn+2Microsoft Learn+2
17) 조인 실패 시 1차 체크리스트는?
A. (1) 시간(±5분) (2) DNS가 AD DNS를 가리키는지 및 SRV 레코드 존재 (3) 포트(특히 135/49152–65535) (4) DC Locator가 올바른 사이트/DC를 찾는지. Microsoft Learn+3Microsoft Learn+3Microsoft Learn+3
18) 조인 후 보안 채널(신뢰) 문제가 날 때 복구법은?
A. 클라이언트에서 Test-ComputerSecureChannel -Repair 또는 Reset-ComputerMachinePassword로 머신 암호를 재설정해 보안 채널을 복원한다(기본 교체 주기 30일). Microsoft Learn+1TECHCOMMUNITY.MICROSOFT.COM
19) 새 DC 설치 시 DNS는 어떻게 구성되나요?
A. 새 포리스트를 Install-ADDSForest로 만들면 DNS 서버가 기본 설치된다. 추가 DC에선 -InstallDns로 함께 설치 가능. 설치 후 SRV 레코드 등록을 확인한다. Microsoft Learn+2Microsoft Learn+2
20) 가상 DC 배포 전 하드웨어/호스트에서 확인할 것?
A. 하이퍼바이저가 VM-GenerationID를 제공하는지(예: 장치 관리자 Microsoft Hyper-V Generation Counter / vmgencounter.sys 보임) 확인. 미지원 호스트에서 클론을 부팅하면 보호 모드(DSRM) 로 떨어질 수 있다. Microsoft Learn+1
A-21. Q. AD DS 승격에 쓰는 PowerShell 3종과 “사전 점검” cmdlet은?
A. Install-ADDSForest, Install-ADDSDomain, Install-ADDSDomainController이며, 각각에 대응하는 Test-ADDSForestInstallation / Test-ADDSDomainInstallation / Test-ADDSDomainControllerInstallation으로 선행 검증을 돌린다. Microsoft Learn+1
A-22. Q. DB·로그·SYSVOL 경로를 별도 볼륨에 두려면?
A. 승격 시 -DatabasePath, -LogPath, -SysvolPath 매개변수로 지정한다(ADDSDeployment). Microsoft Learn
A-23. Q. IFM(Install From Media)은 언제/어떻게 쓰나?
A. 원격지 추가 DC 초기 동기화를 줄일 때 사용. 소스 DC에서 ntdsutil → activate instance ntds → ifm → create sysvol full <path>로 미디어를 만든다. Microsoft Learn+1
A-24. Q. IFM 제약은? (무엇으로는 못 만드나?)
A. 도메인의 첫 DC는 IFM 불가, 미디어는 같은 도메인의 DC에서 만들어야 하며 GC/DC/DNS 역할을 반영하려면 해당 역할 보유 DC에서 생성한다. Mohamed Abd Elhamid
A-25. Q. SYSVOL이 FRS면 2019/2022에서 무슨 일이 생기나?
A. 새 DC 승격이 차단된다. DFSRMIG로 0→1(Prepared)→2(Redirected)→3(Eliminated) 단계로 마이그레이션해야 한다. Microsoft Learn+1
A-26. Q. DFSRMIG 진행 시 운영상 주의 1가지는?
A. Redirection 단계에서 기존 SYSVOL의 동일 용량+여유분(≈+10%) 디스크 공간이 필요하다. TECHCOMMUNITY.MICROSOFT.COM
A-27. Q. FSMO 역할 전환/장악은 무엇으로?
A. PowerShell Move-ADDirectoryServerOperationMasterRole로 전환, 장애 시 “Seize” 절차는 전용 가이드를 따른다. Microsoft Learn+1
A-28. Q. DC 정상 강등과 ‘하지 말아야 할’ 제거 방법?
A. Uninstall-ADDSDomainController 또는 서버 관리자에서 강등 후 역할 제거. DISM로 AD DS 제거는 부팅 불가를 유발하므로 미지원. Microsoft Learn
A-29. Q. 승격/강등 시 로그는 어디 보나?
A. %SystemRoot%\debug\dcpromo.log 와 dcpromoui.log*가 핵심 설치 로그다(기본 최대 상세). Microsoft Learn
A-30. Q. RODC 비밀번호 캐싱(Password Replication Policy, PRP) 핵심은?
A. RODC 컴퓨터 계정의 Allowed/Denied 목록으로 제어하며, 기본적으로 관리자 계정 등은 Denied에 들어 있다. Microsoft Learn+1
A-31. Q. RODC 사전 스테이징 설치란?
A. RODC 컴퓨터 계정을 미리 만들고 권한 위임한 뒤 대상 서버에서 해당 계정으로 승격하는 방식. PRP/암호 캐시 정책을 선설정 가능. Microsoft Learn
A-32. Q. PDC 에뮬레이터와 시간 동기 베스트 프랙티스는?
A. 포리스트 루트 PDC를 신뢰할 외부 시계원과 동기화하도록 구성하고, 도메인/멤버는 도메인 계층을 따라 PDC로부터 간접 동기화한다. Microsoft Learn+1
A-33. Q. DSRM 암호를 분실했으면?
A. 온라인 상태에서 ntdsutil → set dsrm password로 재설정 가능(표준 절차). Microsoft Learn
A-34. Q. 새 자식/트리 도메인 만들 때 DNS 위임은?
A. 마법사가 자동으로 위임을 만들며, 필요 시 대체 DNS 자격 증명을 입력해 부모 존에 기록한다. Microsoft Learn
A-35. Q. 도메인 조인 권한의 기본과 제어법은?
A. 기본 ms-DS-MachineAccountQuota=10으로 인증된 사용자가 최대 10대 조인 가능. GPO SeMachineAccountPrivilege나 사전 컴퓨터 계정 생성/OU 위임으로 제한한다. Microsoft Learn
A-36. Q. 오프라인 도메인 조인(ODJ) 핵심 명령 두 개는?
A. 도메인에서 djoin /provision ... /MACHINEOU "<OU DN>"로 메타데이터 생성 → 대상에서 djoin /requestODJ /loadfile로 반영. Microsoft Learn
A-37. Q. 특정 OU로 “온라인 조인”하려면?
A. netdom join <PC> /domain:<dns> /OU:"OU=Workstations,OU=Dept,DC=corp,DC=contoso,DC=com" 사용. Microsoft Learn
A-38. Q. 조인 직후 검증 루틴 3가지는?
A. nltest /dsgetdc:<domain>로 DC 확인, whoami /upn 및 Kerberos 티켓 확인, Test-ComputerSecureChannel로 보안 채널 점검. Microsoft Learn
A-39. Q. 서버 코어로 DC를 권장하는 이유?
A. 공격면·리소스 사용 감소와 함께 ADDS 배포/검증을 PowerShell로 완결 가능(동일 절차 지원). Microsoft Learn
A-40. Q. 설치 중 “부모 존 위임 생성 불가” 경고가 보일 때 핵심 확인?
A. 자격 증명/연결성 문제를 우선 확인하고, 자식/트리 도메인 설치 가이드를 따라 부모 존에 위임이 제대로 생성되는지 검증한다. Microsoft Learn