2단계 - PRIV 도메인 컨트롤러 준비

 

적용 대상: Microsoft Identity Manager

이 단계에서는 새 권한 있는 액세스 관리 포리스트에 대해 새 도메인을 만듭니다.

Windows Server 2012 R2 설치

소프트웨어가 설치되지 않은 또 하나의 가상 컴퓨터에 Windows Server 2012 R2를 설치하여 "PRIVDC" 컴퓨터를 만듭니다.

  1. Windows Server의 사용자 지정(업그레이드되지 않음) 설치를 수행하려면 선택합니다. 설치할 때 Windows Server 2012 R2 Standard(GUI 포함 서버) x64를 지정합니다. 데이터 센터 또는 Server Core를 선택하지 마세요.

  2. 사용 조건을 검토하고 이에 동의합니다.

  3. 디스크가 비어 있으므로 사용자 지정: Windows만 설치를 선택하고 초기화되지 않은 디스크 공간을 사용합니다.

  4. 운영 체제 버전을 설치한 후 이 새 컴퓨터에 새 관리자로 로그인합니다. 제어판에서 컴퓨터 이름을 "PRIVDC"로 설정하고 가상 네트워크의 고정 IP 주소를 지정한 다음 DNS 서버를 이전 단계에서 설치한 도메인 컨트롤러의 DNS 서버가 되도록 구성합니다. 이 경우 서버를 다시 시작해야 합니다.

  5. 서버가 다시 시작되면 관리자로 로그인합니다. 제어판에서 업데이트를 확인하도록 컴퓨터를 구성하고 필요한 업데이트를 설치합니다. 이 경우 서버를 다시 시작해야 할 수 있습니다.

역할 추가

AD DS(Active Directory 도메인 서비스) 및 DNS 서버 역할을 추가하고 서버의 수준을 새 포리스트의 도메인 컨트롤러로 올립니다.

참고: 이 문서에서 이름 priv.contoso.local은 새 포리스트의 도메인 이름으로 사용됩니다. 포리스트의 이름은 중요하지 않으며 조직의 기존 포리스트 이름에 종속될 필요가 없습니다. 그러나 새 포리스트의 도메인 및 NetBIOS 이름은 모두 고유해야 하며 조직에 있는 다른 도메인의 경우와 고유해야 합니다.

  1. 관리자로 로그인한 상태에서 PowerShell을 시작합니다.
  2. 다음 명령을 입력합니다.

import-module ServerManager

Install-WindowsFeature AD-Domain-Services,DNS –restart –IncludeAllSubFeature -IncludeManagementTools

$ca= get-credential

Install-ADDSForest –DomainMode 6 –ForestMode 6 –DomainName priv.contoso.local –DomainNetbiosName priv –Force –CreateDNSDelegation –DNSDelegationCredential $ca

  1. 팝업이 표시되면 CORP 포리스트 관리자에 대한 자격 증명(예: 1단계의 사용자 이름 CONTOSO\Administrator 및 해당 암호)을 입력합니다. 그러면 사용할 안전 모드 관리자 암호를 입력하라는 메시지가 PowerShell 창에 표시됩니다. 새 암호를 두 번 입력합니다. DNS 위임 및 암호화 설정에 대한 경고 메시지가 표시되지만 이는 정상입니다.

포리스트 만들기가 완료되면 서버가 자동으로 다시 시작합니다.

사용자 및 서비스 계정 만들기

사용자 및 서비스 계정을 만듭니다. 이 계정은 MIM 서비스 및 포털 설정 작업 중 priv.contoso.local의 사용자 컨테이너에서 필요합니다.

  1. 다시 시작한 후 PRIVDC에 도메인 관리자(PRIV\Administrator)로 로그온합니다.

  2. 다음 명령을 입력합니다.

import-module activedirectory

$sp = ConvertTo-SecureString "Pass@word1" –asplaintext –force

New-ADUser –SamAccountName MIMMA –name MIMMA

Set-ADAccountPassword –identity MIMMA –NewPassword $sp

Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMMonitor –name MIMMonitor -DisplayName MIMMonitor

Set-ADAccountPassword –identity MIMMonitor –NewPassword $sp

Set-ADUser –identity MIMMonitor –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMComponent –name MIMComponent -DisplayName MIMComponent

Set-ADAccountPassword –identity MIMComponent –NewPassword $sp

Set-ADUser –identity MIMComponent –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMSync –name MIMSync

Set-ADAccountPassword –identity MIMSync –NewPassword $sp

Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName MIMService –name MIMService

Set-ADAccountPassword –identity MIMService –NewPassword $sp

Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SharePoint –name SharePoint

Set-ADAccountPassword –identity SharePoint –NewPassword $sp

Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName SqlServer –name SqlServer

Set-ADAccountPassword –identity SqlServer –NewPassword $sp

Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1

New-ADUser –SamAccountName BackupAdmin –name BackupAdmin

Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp

Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1

New-ADUser -SamAccountName MIMAdmin -name MIMAdmin

Set-ADAccountPassword –identity MIMAdmin -NewPassword $sp

Set-ADUser -identity MIMAdmin -Enabled 1 -PasswordNeverExpires 1

Add-ADGroupMember "Domain Admins" SharePoint

Add-ADGroupMember "Domain Admins" MIMService

감사 및 로그온 권한 구성

  1. 도메인 관리자(예:PRIV\Administrator)로 로그온되어 있는지 확인합니다.

  2. 시작 » 관리 도구 » 그룹 정책 관리로 이동합니다.

  3. 포리스트: priv.contoso.local » 도메인 » priv.contoso.local » 도메인 컨트롤러 » 기본 도메인 컨트롤러 정책으로 이동합니다. 경고 메시지가 나타납니다.

  4. 기본 도메인 컨트롤러 정책을 마우스 오른쪽 단추로 클릭하고 메뉴에서 편집을 선택합니다.

  5. 그룹 정책 관리 편집기 콘솔 트리에서 컴퓨터 구성 » 정책 » Windows 설정 » 보안 설정 » 로컬 정책 » 감사 정책으로 이동합니다.

  6. 세부 정보 창에서 계정 관리 감사를 마우스 오른쪽 단추로 클릭하고 메뉴에서 속성을 선택합니다. 이 정책 설정 정의를 클릭하고 성공 확인란을 선택한 후 실패 확인란을 클릭하고 적용, 확인을 차례로 클릭합니다.

  7. 세부 정보 창에서 디렉터리 서비스 액세스 감사를 마우스 오른쪽 단추로 클릭하고 메뉴에서 속성을 선택합니다. 이 정책 설정 정의를 클릭하고 성공 확인란을 선택한 후 실패 확인란을 클릭하고 적용, 확인을 차례로 클릭합니다.

  8. 컴퓨터 구성 » 정책 » Windows 설정 » 보안 설정 » 계정 정책 » Kerberos 정책으로 이동합니다.

  9. 세부 정보 창에서 사용자 티켓 최대 수명을 마우스 오른쪽 단추로 클릭하고 메뉴에서 속성을 선택합니다. 이 정책 설정 정의를 클릭하고 시간을 1로 설정한 후 적용, 확인을 차례로 클릭합니다. 창의 다른 설정도 변경됩니다.

  10. 그룹 정책 관리 창에서 기본 도메인 정책을 선택하고 마우스 오른쪽 단추를 클릭하여 편집을 선택합니다. 그룹 정책 관리 편집기 창이 나타납니다.

  11. 컴퓨터 구성 » 정책 » Windows 설정 » 보안 설정 » 로컬 정책을 확장하고 사용자 권한 할당을 선택합니다.

  12. 세부 정보 창에서 일괄 작업으로 로그온 거부를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

  13. 이 정책 설정 정의 확인란을 선택하고 사용자 또는 그룹 추가를 클릭한 다음 사용자 및 그룹 이름priv\mimmonitor; priv\MIMService; priv\mimcomponent를 입력하고 확인을 클릭합니다.

  14. 확인을 클릭하여 일괄 작업으로 로그온 거부 속성 창을 닫습니다.

  15. 세부 정보 창에서 원격 데스크톱 서비스를 통한 로그온 거부를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

  16. 이 정책 설정 정의 확인란을 클릭하고 사용자 또는 그룹 추가를 클릭한 다음 사용자 및 그룹 이름priv\mimmonitor; priv\MIMService; priv\mimcomponent를 입력하고 확인을 클릭합니다.

  17. 확인을 클릭하여 원격 데스크톱 서비스를 통한 로그온 거부 속성 창을 닫습니다.

  18. 그룹 정책 관리 편집기 창 및 그룹 정책 관리 창을 닫습니다.

  19. 관리자로 PowerShell 창을 시작하고 다음 명령을 입력하여 그룹 정책 설정에서 DC를 업데이트합니다.

gpupdate /force /target:computer

잠시 후 "컴퓨터 정책 업데이트가 완료되었습니다."라는 메시지와 함께 완료됩니다.

SID 기록 마이그레이션에 필요한 레지스트리 설정을 구성합니다.

PowerShell을 시작하고 SAM(보안 계정 관리자) 데이터베이스에 대한 RPC(원격 프로시저 호출) 액세스를 허용하도록 원본 도메인을 구성하는 다음 명령을 입력합니다.

`New-ItemProperty –Path HKLM:SYSTEM\\CurrentControlSet\\Control\\Lsa –Name TcpipClientSupport –PropertyType DWORD –Value 1`  

PRIVDC에서 DNS 이름 전달 구성

PRIVDC에서 PowerShell을 사용하여 DNS 이름 전달을 구성합니다. DNS 도메인에 대해 contoso.local을 지정하고 마스터 서버의 IP 주소로 CORPDC 컴퓨터의 가상 네트워크 IP 주소를 지정합니다.

  1. PowerShell을 시작하고 다음 명령을 입력하여 IP 주소를 "10.1.1.31"에서 CORPDC 컴퓨터의 가상 네트워크 IP 주소에 해당하는 주소로 변경합니다.

Add-DnsServerConditionalForwarderZone –name "contoso.local" –masterservers 10.1.1.31

  1. PowerShell을 사용하여, SPN을 추가하여 Kerberos 인증이 SharePoint 및 PAM REST API와 MIM 서비스에서 사용되도록 설정합니다(SharePoint는 아래 3단계에서 구성).

setspn -S http/pamsrv.priv.contoso.local PRIV\\SharePoint

setspn -S http/pamsrv PRIV\\SharePoint

setspn -S FIMService/pamsrv.priv.contoso.local PRIV\\MIMService

setspn -S FIMService/pamsrv PRIV\MIMService

참고: 이 가이드에서는 테스트 목적으로 단일 시스템에 MIM 2016 서버 구성 요소를 설치하는 방법을 설명합니다. 여기에 설명된 것처럼 고가용성을 위해 여러 시스템에 MIM 2016 서버 구성 요소를 설치하려면 추가 Kerberos 구성이 필요합니다.

위임을 구성합니다.

  1. Active Directory 사용자 및 컴퓨터를 시작합니다.

  2. 도메인 priv.contoso.local을 마우스 오른쪽 단추로 클릭하고 제어 위임을 선택합니다.

  3. 선택한 사용자 및 그룹 탭에서 추가를 클릭합니다.

  4. 사용자, 컴퓨터 또는 그룹 선택 창에 mimcomponent; mimmonitor; mimservice를 입력하고 이름 확인을 클릭합니다. 이름에 밑줄이 표시되면 확인을 클릭하고 다음을 클릭합니다.

  5. 일반 작업 목록에서 사용자 계정 만들기, 삭제 및 관리그룹의 구성원 자격 수정을 선택한 후 다음을 클릭하고 마침을 클릭합니다.

  6. 도메인 priv.contoso.local을 마우스 오른쪽 단추로 클릭하고 제어 위임을 선택합니다.

  7. 선택한 사용자 및 그룹 탭에서 추가를 클릭합니다.

  8. 사용자, 컴퓨터 또는 그룹 선택 팝업에 MIMAdmin을 입력하고 이름 확인을 클릭합니다.

  9. 이름에 밑줄이 표시되면 확인을 클릭하고 다음을 클릭합니다.

  10. 사용자 지정 작업을 선택하고 일반 사용 권한을 사용하여 이 폴더에 적용합니다.

  11. 사용 권한 목록에서 읽기, 쓰기, 모든 자식 개체 만들기, 모든 자식 개체 삭제, 모든 속성 읽기, 모든 속성 쓰기SID 기록 마이그레이션을 선택합니다. 다음을 클릭하고 마침을 클릭합니다.

  12. 다시 도메인 priv.contoso.local을 마우스 오른쪽 단추로 클릭하고 제어 위임을 선택합니다.

  13. 선택한 사용자 및 그룹 탭에서 추가를 클릭합니다.

  14. 사용자, 컴퓨터 또는 그룹 선택 팝업에 MIMAdmin을 입력하고 이름 확인을 클릭합니다.

  15. 이름에 밑줄이 표시되면 확인을 클릭하고 다음을 클릭합니다.

  16. 사용자 지정 작업을 선택하고 이 폴더에 적용한 다음 사용자 개체만을 클릭합니다.

  17. 사용 권한 목록에서 암호 변경암호 다시 설정을 선택합니다. 그런 후 다음을 클릭하고 마침을 클릭합니다.

  18. Active Directory 사용자 및 컴퓨터를 닫습니다.

  19. 이러한 변경 내용이 적용되도록 PRIVDC 서버를 다시 시작합니다.

표시: