본문 바로가기
카테고리 없음

AD QnA 2

씨오디이abc 2025. 8. 11. 01:20
반응형

 

  • AD DS를 설치해 AD를 시작하려면 무엇부터 해야 하나요?
    → Windows Server에 Active Directory Domain Services(AD DS) 역할을 설치하고 설치 마법사를 완료합니다.
  • 새 DC를 만들 때 먼저 확인해야 할 세 가지는?
    → (1) 새 포리스트/기존 포리스트의 새 도메인(Child/Tree)/기존 도메인의 Replica 중 무엇인지, (2) DNS 도메인 이름, (3) 배치할 AD 사이트입니다.
  • DC 프로모션(승격)의 3단계는?
    → (1) ADDS 역할 설치, (2) 프로모션 시작 및 정보 입력, (3) 다른 DC로부터 데이터 복제입니다.
  • ‘Role-based or Feature-based Installation’을 선택해야 하는 이유는?
    → RDS 시나리오 설치는 AD DS를 지원하지 않으므로 역할 기반 설치를 선택해야 합니다.
  • 설치 진행 ‘Results’ 창을 너무 일찍 닫았다면 어떻게 상태를 확인하나요?
    Task Notifications / AD DS Details / Task details에서 설치 상태를 검증합니다.
  • Windows Server 2012+에서 DsRoleSvc(DS Role service)의 역할은?
    → DC 프로모션/디모션/클로닝을 담당하며 AD DS 역할 설치 시 수동 시작으로 배치됩니다(비활성화 금지).
  • Adprep 동작은 어떻게 바뀌었나요?
    스키마/도메인 준비가 DC 프로모션에 원격 자동 통합되며, 설치 사용자는 EA/SA 권한이 필요합니다.
  • 기존 포리스트 업그레이드나 쓰기 가능한 DC 추가 시 필요한 권한은?
    Enterprise AdminsSchema Admins 권한이 필요합니다.
  • DC 옵션 중 기본으로 권장되는 서비스는?
    DNS 서버Global Catalog(GC) 제공이 권장됩니다(기본 선택).
  • IFM(Install From Media)의 목적과 특징은?
    → 네트워크 복제 대신 미디어에서 데이터 로드로 대역폭 절약/속도 향상; 유효성만 확인하며 WSB/NTDSUTIL로 생성합니다.
  • 새 포리스트 생성 시 루트 도메인 이름 제약은?
    유효한 FQDN이어야 하며 single-label 도메인명은 불가합니다.
  • Child 도메인 생성 시 필수 DNS 작업은?
    → 상위 도메인에서 DNS Delegation(위임) 을 반드시 구성해야 합니다.
  • RODC의 암호 복제 정책(PRP)은 어떻게 제어하나요?
    허용/거부 계정 목록위임 관리자 계정을 지정해 RODC 로컬 관리자 권한 및 암호 복제를 제어합니다.
  • RODC 사전 준비(Pre-staging) 후 연결(attach) 절차는?
    → DSAC로 RODC 계정 사전 생성 후 Server Manager 또는 PowerShell에서 UseExistingAccount로 연결합니다.
  • 디모션에서 ‘Force removal’을 선택하면 즉시 해야 하는 일은?
    → 해당 DC가 가진 FSMO 역할을 다른 DC로 즉시 Seize 해야 합니다.
  • “Last domain controller in the domain” 디모션 시 추가 제거 옵션은?
    Ignore last DNS server for zone / Remove application partitions / Remove DNS Delegation 등을 선택해 진행합니다.
  • DISM으로 AD DS 역할만 제거하면 안 되는 이유는?
    → 디모션 없이 제거 시 서버 부팅 불가 위험이 있으므로 차단되며, DISM 제거는 권장되지 않습니다.
  • 프로모션 실패 시 가장 먼저 볼 로그 두 가지는?
    Dcpromoui.logdcpromo.log를 확인하고, 필요한 경우 ADPrep/배포 이벤트/시스템 로그를 추가 점검합니다.
  • 배포 문제 네트워크 분석에 권장되는 도구는?
    Network Monitor 3.4 / Message Analyzer, 그리고 nmcap, netsh 기반 양방향 캡처를 권장합니다.
  • 배포/트러블슈팅 실력 향상을 위한 최선의 방법은?
    테스트 랩을 구축해 정상 시나리오를 면밀히 익힌 뒤, 장애 시 비교 분석로직을 적용하는 것입니다.

1. AD DS를 설치하기 위한 첫 단계는 무엇인가요?

답변: Windows Server에서 Active Directory Domain Services(AD DS) 역할을 설치하고 설치 마법사를 완료하는 것입니다.

2. 새로운 도메인 컨트롤러를 만들 때 반드시 고려해야 할 세 가지 요소는 무엇인가요?

답변:

  1. 새로운 포리스트, 기존 포리스트의 새 도메인(Child/Tree), 또는 기존 도메인의 Replica 여부
  2. DNS 도메인 이름
  3. 도메인 컨트롤러가 속할 AD 사이트

3. DC 프로모션(Domain Controller Promotion)의 3단계는 무엇인가요?

답변:

  1. ADDS 역할 설치
  2. 프로모션 시작 및 설정 정보 제공
  3. 다른 DC로부터 데이터 복제

4. AD DS 설치 시 'Role-based or Feature-based Installation'을 선택하는 이유는 무엇인가요?

답변: AD DS는 Remote Desktop Services 기반 설치 시 지원되지 않기 때문에 역할 기반 설치를 선택해야 합니다.

5. AD DS 설치 후 'Server Manager'에서 Results 창을 너무 빨리 닫으면 어떻게 확인하나요?

답변: Task Notifications 또는 AD DS Details에서 설치 상태를 확인할 수 있습니다.

6. Windows Server 2012 이후 AD DS 배포 아키텍처에서 'DsRoleSvc' 서비스의 역할은 무엇인가요?

답변: DC 프로모션, 디모션, 클로닝 작업을 수행하는 핵심 서비스이며 AD DS 역할 설치 시 자동으로 설치되며 수동 시작 모드로 설정됩니다.

7. Windows Server 2012 이후 Adprep 실행이 어떻게 변경되었나요?

답변: Schema 확장 및 도메인 준비가 DC 프로모션 과정에 자동 통합되어 원격으로 실행됩니다. 별도 Adprep.exe 실행 없이도 가능합니다.

8. 기존 도메인에 쓰기 가능한 DC를 추가할 때 필요한 권한은 무엇인가요?

답변: Enterprise AdminsSchema Admins 그룹의 멤버여야 합니다.

9. DC 설치 시 기본적으로 선택되는 두 가지 서비스는 무엇인가요?

답변: DNS 서버Global Catalog(GC) 서비스입니다.

10. Install From Media(IFM) 기능의 목적은 무엇인가요?

답변: 원격 복제 대신 로컬 미디어에서 AD DS 데이터를 로드하여 대역폭 절약과 설치 속도 향상을 도모합니다.

11. 새로운 포리스트 생성 시 루트 도메인 이름의 제약 조건은 무엇인가요?

답변: 유효한 FQDN이어야 하며 Single-label 이름은 사용할 수 없습니다.

12. Child Domain 생성 시 반드시 필요한 DNS 구성은 무엇인가요?

답변: 상위 도메인에서 **DNS 위임(Delegation)**을 설정해야 합니다.

13. RODC(읽기 전용 도메인 컨트롤러)에서 계정 암호 복제 정책은 어떻게 구성하나요?

답변: 암호를 복제할 수 있는 계정과 복제를 금지할 계정을 각각 지정할 수 있으며, 위임 관리자 계정을 설정하여 RODC의 로컬 관리자 권한을 부여할 수 있습니다.

14. RODC를 미리 준비(Pre-staging)하는 이유는 무엇인가요?

답변: 보안과 제어를 강화하기 위해 AD DS에서 사전에 RODC 계정을 생성해 두고, 해당 계정과 연결된 서버에서 프로모션을 수행합니다.

15. DC 디모션 시 'Force removal' 옵션을 선택하면 어떤 작업이 추가로 필요한가요?

답변: 해당 DC가 보유한 FSMO 역할을 다른 DC로 즉시 마이그레이션(Seize)해야 합니다.

16. DC 디모션 시 'Last domain controller in the domain'을 선택했을 때 추가 옵션은 무엇인가요?

답변: Remove application partitionsRemove DNS Delegation 등의 제거 옵션을 구성할 수 있습니다.

17. DISM으로 AD DS 역할을 강제로 제거하면 왜 안 되나요?

답변: 서버가 부팅 불가능한 상태가 될 수 있기 때문에, 반드시 AD DS 디모션 절차를 먼저 수행해야 합니다.

18. DC 프로모션 실패 시 우선 확인해야 하는 로그 파일 두 가지는 무엇인가요?

답변: Dcpromoui.logdcpromo.log입니다.

19. AD DS 배포 문제를 네트워크 수준에서 분석할 때 권장되는 도구는 무엇인가요?

답변: Network Monitor 3.4 또는 Message Analyzer, 그리고 양방향 네트워크 캡처(nmcap, netsh)를 활용합니다.

20. AD DS 배포/트러블슈팅 역량을 향상시키는 가장 중요한 방법은 무엇인가요?

답변: 테스트 랩을 구축하여 정상 동작 환경을 철저히 분석하고, 문제 발생 시 이를 비교하여 원인을 빠르게 식별하는 것입니다.

 

반응형

티스토리툴바