AD 이름 매핑을 해보자. (익스체인지 연동)

'이름 매핑' 기능이 필요했더 이유는 이래서 였다.
  : 학교 내부 AD (A.local)와 외부에 위치한 학교의 익스체인지 메일서버 AD (B.local)을 연결하여 B의 계정을 별도로 인증 맏지 않고 익스체인지 (아웃룩)를 접속(연결) 하고자 함이 였다.
어차피 내부사용자 계정이나 메일 계정이나 동일한 사람이니깐...
(상황 : A.local에서 B.local 방향으로 이름을 매핑하는거다)

일단 두 AD forest 간에 trust를 맺어야 해. 그건 알아서들 하고.

매핑하는 순서는 이렇다.

>> A.local에서 B.local 로 바라보는 거니깐 B.local에서
>> 'Active Directory 사용자 및 컴퓨터'를 실행한다.
>>  매핑 하고자 하는 해당 사용자 선택
>>  마우스 오른쪽 버튼을 클릭
>>  '이름 매핑' 항목 선택
>>  X.509 인증서와 Kerberos 이름 두가지 방식이 나온다..여기서 X.509는 인증서가 있어야 되서 그냥 kerberos로 하자
>> 추가 버튼을 눌러
>> 트러스트 된 AD의 사용자명을 경로와 함께 적어 (예: a.local/A/AA/USER) >> 확인
여기까지 하면 되는 듯 한데... 한번 한뒤에 PC를 껏다 켜니깐 아웃룩에서 오류가 나더라..
>> 여기서 각각의 AD에서 해당 사용자의 속성에 들어가서
>> 계정 항목의 계정 옵션 부분에
>> '이 계정은 Kerberos AES256비트 암호화를 지원합니다.'를  체크 해줘 보안성을 높이기 위해 AES256으로 했어.

여기까지는 AD에서 설정 해줘야 할 부분이었다.

그리고, Active Directory 도메인 트러스트를 실행시켜
>> 도메인을 마우스 오른쪽 클릭을해서 '속성'으로 들어가
>> 트러스트 탭을 열어
>> 보내는 트러스트와 받는 트러스트의 속성에서
>> '다른 도메인에서 Kerberos AES 암호화 지원' 항목을 체크 해


그 다음은 오피스 아웃룩에서 설정해줘야 할 부분이야
즉, 아웃룩과 익스체인지를 연결하는 설정 부분인데......
설정변경은 두가지 경로에서 할 수 있어.
하나는 제어판 - 메일 부분으로 들어가서 하는 거고
하나는 아웃룩 - 정보 - 계정설정 부분으로 들어가서 하는 거야
로그인이 안되면 아웃룩이 정상 실행이 안되니 제어판-메일로 들어가서 설정을 변경하는 방법을 알려줄께.

>> 제어판 - 메일 실행
>> 전자메일 계정 선택
>> 익스체인지와 연결된 계정을 선택 후 변경 버튼을 눌러
>> 그리고 '기타설정'을 눌러
>> '보안' 탭을 선택해
>> 그리고 네트워크 보안 로그온 항목에서 'Kerberos 암호 인증'을 선택한 후 적용하고 나와

다시 아웃룩을 실행하면 작동 할 꺼야.



여기서 시발 난 왜 트러스트도 했고 다했는데 왜 안돼? 그러면 이부분을 확인해봐.
나 같은 경우에는 이래서 안됐어...

1. 사전 상황
      가. 인터넷 통신업체(ISP) 에서 SMB포트같은 AD가 사용해야 할 포트를 막아놨기 때문에 나는 A.local AD가 있는 방화벽이랑 B.local AD가 있는 방화벽간에 IPsec을 이용한 VPN을 설정 해놨어. A쪽은 사설IP B쪽은 공인IP야.. 원래는 B도 사설이어야 하지만 여건상 B방화벽은 공인을 사용해
      나. 트러스트 관계를 확인하던 중에 내가 B.local서버의 DNS설정(DNS관리자-속성-전달자)을 보니깐 A.local의 공인IP를 설정해놨어.. 물론 연결은 되겠지만 FQDN 값을 가지고 오지는 못했어.

2. 확인 및 조치 사항
      가. 그래서 B.local 서버의 DNS설정(DNS-관리자-속성-전달자) A.local AD의 주소를 사설 IP로 바꾸었어 그러니깐  FQDN값을 정확하고 빠르게 가지고 왔어.
      나. 그리고 내가 트러스트할 AD이외의 임의로 추가한 네임서버IP (구글8.8.8.8등)들은 삭제를 했어.
      다. 또, B.local AD의 DNS IP주소가 A.local이나 클라이언트가 접속 가능한 IP로 되어 있는지도 확인해...나같은 경우에는 B.local 쪽의 DNS 관리에 도메인이 내부랑 외부IP가 같이 있어서 계속 접근할 수없은 내부 IP로 요청하는 삽질을 하더라고...그래서 사용하지 않는 내부IP는 지웠어..

Active Directory 에 Join 된 서버 또는 PC가 이유 없이 리부팅 되는 원인

AD에 Join된 서버가 이유없이 리부팅 되는 경우와 해결 방법을 알아보자.





일단 전제 조건이 있다.



1. 이전에 join 된 컴퓨터를 AD에서 탈퇴 하였다.

2. AD에서 컴퓨터 이름을 삭제 하지 않았다.

3. 이전에 join 된 컴퓨터 이름과 같은 컴퓨터 이름을 AD에 join 하였다.



자, 이렇게 하면 나중에 join 된 컴퓨터는 알수없는 리부팅을 간헐적으로 반복 한다.







리부팅 전에 이러한 이벤트로그를 발생 시킨다.



* 원본(Source) : LSA (LasSrv)

* 이벤트ID (EventID) : 40961

* 내용 : 보안 시스템에서 ldap/[ad.domain]/[ad.domain]@[ad.domain] 서버로의 보안된 연결을 설정하지 못했습니다. 사용 가능한 인증 프로토콜이 없습니다.









해결 방법은...



이것 저것 찾아 봤지만 명쾌하지 않다... 그래서 이렇게 해봤다.





1. join된 컴퓨터를 탈퇴 시킨다. 즉, WORKGOUP으로 변경한다.

2. AD서버에서 join 된 컴퓨터를 삭제한다.

3. 다시 컴퓨터를 join 한다.





끝...





이런 개소리 집이치우자.........



확인결과 서버 펌웨어가 깨져서 그랬다..

그래서 지혼자 지랄 리부팅하고 했던거다.



다행이 펌웨어를 업데이트 하고 나서는 증상이 없어졌다.

끝.

Active Directory Computer 관리에 연결이 안되는 경우

액티브 디렉토리의 사용자 및 컴퓨터에서 컴퓨터의 관리 항목에 접속이 지연되거나 안될 때 확인해야 하는게 있지..

조인된 컴퓨터의 방화벽을 함 살펴 봐봐.. 이넘 때문에 연결이 안되서 그런거야. 해당 포트를 열어주던지 방화벽을 해제 하던지 하면 해결 됨.

AD OU 삭제시 보호 오류

액티브 디렉토리 OU삭제시 "삭제할 충분한 권한이 없거나 개체가 실수로 삭제되지 않도록 보호되어 있습니다" 라고 경고 메시지가 나올경우

메뉴-보기-고급 기능을 체크하고 OU의 속성으로 들어가면 개체탭에 "실수로 삭제되지 않도록 개체 보호"가 생기는데 이항목의 체크표시를 끄고 삭제하면 된다.