2015년 4월 1일 수요일

AD 이름 매핑을 해보자. (익스체인지 연동)

'이름 매핑' 기능이 필요했더 이유는 이래서 였다.
  : 학교 내부 AD (A.local)와 외부에 위치한 학교의 익스체인지 메일서버 AD (B.local)을 연결하여 B의 계정을 별도로 인증 맏지 않고 익스체인지 (아웃룩)를 접속(연결) 하고자 함이 였다.
어차피 내부사용자 계정이나 메일 계정이나 동일한 사람이니깐...
(상황 : A.local에서 B.local 방향으로 이름을 매핑하는거다)

일단 두 AD forest 간에 trust를 맺어야 해. 그건 알아서들 하고.

매핑하는 순서는 이렇다.

>> A.local에서 B.local 로 바라보는 거니깐 B.local에서
>> 'Active Directory 사용자 및 컴퓨터'를 실행한다.
>>  매핑 하고자 하는 해당 사용자 선택
>>  마우스 오른쪽 버튼을 클릭
>>  '이름 매핑' 항목 선택
>>  X.509 인증서와 Kerberos 이름 두가지 방식이 나온다..여기서 X.509는 인증서가 있어야 되서 그냥 kerberos로 하자
>> 추가 버튼을 눌러
>> 트러스트 된 AD의 사용자명을 경로와 함께 적어 (예: a.local/A/AA/USER) >> 확인
여기까지 하면 되는 듯 한데... 한번 한뒤에 PC를 껏다 켜니깐 아웃룩에서 오류가 나더라..
>> 여기서 각각의 AD에서 해당 사용자의 속성에 들어가서
>> 계정 항목의 계정 옵션 부분에
>> '이 계정은 Kerberos AES256비트 암호화를 지원합니다.'를  체크 해줘 보안성을 높이기 위해 AES256으로 했어.

여기까지는 AD에서 설정 해줘야 할 부분이었다.

그리고, Active Directory 도메인 트러스트를 실행시켜
>> 도메인을 마우스 오른쪽 클릭을해서 '속성'으로 들어가
>> 트러스트 탭을 열어
>> 보내는 트러스트와 받는 트러스트의 속성에서
>> '다른 도메인에서 Kerberos AES 암호화 지원' 항목을 체크 해


그 다음은 오피스 아웃룩에서 설정해줘야 할 부분이야
즉, 아웃룩과 익스체인지를 연결하는 설정 부분인데......
설정변경은 두가지 경로에서 할 수 있어.
하나는 제어판 - 메일 부분으로 들어가서 하는 거고
하나는 아웃룩 - 정보 - 계정설정 부분으로 들어가서 하는 거야
로그인이 안되면 아웃룩이 정상 실행이 안되니 제어판-메일로 들어가서 설정을 변경하는 방법을 알려줄께.

>> 제어판 - 메일 실행
>> 전자메일 계정 선택
>> 익스체인지와 연결된 계정을 선택 후 변경 버튼을 눌러
>> 그리고 '기타설정'을 눌러
>> '보안' 탭을 선택해
>> 그리고 네트워크 보안 로그온 항목에서 'Kerberos 암호 인증'을 선택한 후 적용하고 나와

다시 아웃룩을 실행하면 작동 할 꺼야.



여기서 시발 난 왜 트러스트도 했고 다했는데 왜 안돼? 그러면 이부분을 확인해봐.
나 같은 경우에는 이래서 안됐어...

1. 사전 상황
      가. 인터넷 통신업체(ISP) 에서 SMB포트같은 AD가 사용해야 할 포트를 막아놨기 때문에 나는 A.local AD가 있는 방화벽이랑 B.local AD가 있는 방화벽간에 IPsec을 이용한 VPN을 설정 해놨어. A쪽은 사설IP B쪽은 공인IP야.. 원래는 B도 사설이어야 하지만 여건상 B방화벽은 공인을 사용해
      나. 트러스트 관계를 확인하던 중에 내가 B.local서버의 DNS설정(DNS관리자-속성-전달자)을 보니깐 A.local의 공인IP를 설정해놨어.. 물론 연결은 되겠지만 FQDN 값을 가지고 오지는 못했어.

2. 확인 및 조치 사항
      가. 그래서 B.local 서버의 DNS설정(DNS-관리자-속성-전달자) A.local AD의 주소를 사설 IP로 바꾸었어 그러니깐  FQDN값을 정확하고 빠르게 가지고 왔어.
      나. 그리고 내가 트러스트할 AD이외의 임의로 추가한 네임서버IP (구글8.8.8.8등)들은 삭제를 했어.
      다. 또, B.local AD의 DNS IP주소가 A.local이나 클라이언트가 접속 가능한 IP로 되어 있는지도 확인해...나같은 경우에는 B.local 쪽의 DNS 관리에 도메인이 내부랑 외부IP가 같이 있어서 계속 접근할 수없은 내부 IP로 요청하는 삽질을 하더라고...그래서 사용하지 않는 내부IP는 지웠어..

댓글 없음:

댓글 쓰기