본문 바로가기

반응형

IT

(79)
object management Q1. “DC=도메인 컨트롤러”의 본질과 개체 관리와의 관계는?A. DC는 AD DS를 구동하며 AD 데이터베이스 사본 보관·인증/인가 제공·복제를 수행합니다. 개체(사용자, 그룹, 컴퓨터, OU)는 이 데이터베이스에 저장·복제됩니다. Q2. AD 데이터베이스 구성 요소는?A. NTDS.DIT(DB 파일), EDB.LOG/CHK, 예약 로그, 2016+의 NTDS.JFM 등이 포함됩니다. 오프라인/온라인 조각모음, 무결성 검사, 의미론 분석 같은 유지보수 작업이 있습니다. Q3. 인증/인가와 개체 속성은 어떻게 연결되나?A. 보안 주체(사용자/컴퓨터/그룹)는 SID를 갖고, 권한 부여는 보안 설명자/ACL/ACE로 표현됩니다. 접근 토큰과 비밀번호 정책이 실효 권한을 결정합니다. Q4. 그룹 스코프..
RODC (Read-Only Domain Controller) Q1. RODC의 배치 목적은?A. 지점(브랜치)에서 로그온 가용성을 높이되, 쓰기 작업과 민감 데이터를 본사 RWDC에 둬 보안을 강화하기 위함입니다. DC는 AD 데이터베이스 사본을 보유하고 인증·인가를 제공하는 역할을 하며(RODC는 읽기 전용), 쓰기 필요 시 RWDC로 참조(Write Referral) 합니다. Q2. PRP(Password Replication Policy) 핵심 원리는?A. 허용된 계정만 RODC에 암호 검증값(해시/키)을 선별 캐시합니다. 기본적으로 고권한/민감 계정은 캐시 금지(Denied)이며, WAN 장애 시 이미 캐시된 계정만 오프라인 로그온이 가능합니다. Q3. RODC와 GC(Global Catalog)의 관계는?A. GC는 포리스트 전체 개체의 부분(읽기 전용..
DNS Q. DNS는 무엇이며, AD와 어떤 관계가 있나요?A. DNS는 “계층적(hierarchical)·분산(distributed)” 데이터베이스로, 이름을 IP로 바꿔 서비스에 연결해 줍니다. AD는 도메인 조인, 컴퓨터 부팅 시 DC 찾기, 복제 파트너 검색, 패스스루 인증 등 핵심 기능에서 DNS를 사용합니다. 즉 “DNS가 멈추면 AD도 멈춘다”에 가깝습니다. Q. DNS의 ‘논리 개념’과 ‘물리 개념’은 어떻게 다르죠?A. 논리 개념은 ‘네임스페이스(예: contoso.com, eu.contoso.com)’ 같은 트리 구조와 위임(Delegation) 관계를 말합니다. 물리 개념은 ‘존(Zone)’—특정 네임스페이스 구간의 리소스 레코드 모음—을 어디에, 어떤 방식으로 저장/복제하느냐(파일 기반/A..
lsass Q. LSASS High CPU가 “LDAP workload” 때문일 때 나타나는 대표 증상은?A. DC 응답 지연으로 애플리케이션 타임아웃/로그온 지연·자격 증명 재입력 반복·LDAP 검색 속도 저하·전반적 시스템 버벅임(+메모리 급증 동반 가능). 현장에서는 “간헐적 성공/실패” 패턴 Q. 초동 수집은 무엇을, 왜/어떻게 모을까?A. (1) 1644 이벤트 로깅(비싼/비효율 쿼리 식별) (2) AD Diagnostics Data Collector Set(ADPERF)로 성능 카운터·레포트 확보 (3) netstat -anob·tasklist /svc(과도 연결/서비스 매핑) (4) 네트워크/WPR 트레이스(지연 구간) (5) LSASS 덤프(스택 확인). 재현 구간 5–15분 단위로 모으는 게 효율적..
DNS 위임(delegation) 조건부 전달자(conditional forwarders) 차이 항목 위임 (Delegation) 조건부 전달자 (Conditional Forwarder)목적DNS 네임스페이스의 권한 자체를 자식 존으로 위임해 표준 DNS 레퍼럴 경로를 따르게 함특정 도메인 접미사 질의를 지정한 포워더로 바로 보내 해석 경로를 단축패킷 흐름(요지)로컬 재귀 DNS → (부모의 NS/Glue 참조) → 자식 존 권한 NS들로 직접 재귀 질의로컬 재귀 DNS → 전달자(지정 DNS) 1~N → 결과만 반환(전달자 내부 재귀/권한 처리)강점표준 권한 경로 보존, 다수 NS로 트래픽 분산, 대규모 하위 네임스페이스에 적합체인 단계 제거/트래픽 감소, 방화벽 경계 밖 통신 대상 축소(보안), 크로스-네임스페이스 라우팅에 유용약점부모 존의 NS 목록 수동 갱신 필요(새 권한 DNS 추가 시 놓..
AD/DNS 1) AD가 DNS에 의존하는 이유는?A. 도메인 컨트롤러(DC)는 부팅/역할 유지 중 Netlogon이 A/SRV 레코드를 DNS에 등록합니다. 클라이언트는 _ldap._tcp.dc._msdcs. 등에 질의해 DC 목록을 얻고, 이어 LDAP(UDP) ping으로 응답 가능성을 확인한 뒤 Netlogon 캐시에 보관합니다. 이 전체 DC Locator 절차가 DNS를 전제하기 때문에 DNS가 불안하면 인증·복제·GC 조회가 모두 흔들립니다. 2) DC가 등록하는 레코드와 등록 트리거는?A. 예: phoenix.contoso.com A, _ldap._tcp.contoso.com SRV, _kerberos._tcp.dc._msdcs.contoso.com SRV 등. 등록은 IP 변경/갱신, 부팅, ipc..
AD 백업 및 복구 핵심 Q&A 20 Q1: Windows Server 백업이 파일 서버 백업보다 AD 백업에 더 적합한 이유는 무엇인가요? A: Windows Server 백업은 VSS(볼륨 섀도 복사본 서비스)를 사용하여 AD 데이터베이스(ntds.dit)가 사용 중인 상태에서도 데이터의 일관성을 유지하며 백업할 수 있습니다. 또한 블록 수준(Block-level) 백업으로 변경된 부분만 백업하여 효율적입니다.Q2: '시스템 상태', '베어메탈 복구(BMR)', '전체 백업'의 차이점은 무엇인가요? A:시스템 상태: 레지스트리, AD 데이터베이스, SYSVOL 등 OS의 설정과 역할만 백업합니다.BMR: 시스템 상태를 포함하여 OS를 부팅하는 데 필요한 모든 것을 백업합니다. OS가 없는 서버에 시스템을 통째로 복원할 수 있습니다.전체 ..
ADAC(Active Directory 관리 센터)와 휴지통 ADAC는 기존의 "Active Directory 사용자 및 컴퓨터"를 대체하는 최신 GUI 도구입니다. 특히 AD 휴지통 기능과 관련하여, 복잡한 명령어 없이도 직관적으로 휴지통을 활성화하고 삭제된 개체를 복원할 수 있는 편리한 방법을 제공합니다.1. AD 휴지통 활성화AD 휴지통 기능은 ADAC를 통해 매우 간단하게 활성화할 수 있습니다.Active Directory 관리 센터(ADAC)를 실행합니다.왼쪽 탐색 창에서 관리하려는 포리스트 이름(예: corp (local))을 클릭합니다.오른쪽 '작업(Tasks)' 창에서 '휴지통 사용(Enable Recycle Bin...)'을 클릭합니다.활성화가 완료되면, 아래 이미지와 같이 도메인 파티션 아래에 이전에는 보이지 않던 'Deleted Objects'..

반응형