Active Directory 란?
Active Directory란 Windows 2000이 사용하는 directory service를 말한다. Directory service란 네트워크 자원에 관한 정보가저장되어 있는 database와 이를 각 사용자와 application program에게 보내주는 service 부분으로 이루어 지는 데, Active Directory는 이것 이 외에 해당 자원에 액세스(access)를 통제할 수 있는 관리 기능까지 제공한다.
Active Directory의 구성요소
- Active Directory는 네트워크 자원에 관한 정보를 다음과 같은 구성요소로 정리하여 저장한다.
1. 논리적 구조
- 논리적 구성요소는 도메인, OU, 트리, 포리스트로 나타낸다.
1) 도메인(Domain)
수 만개의 객체를 저장할 수 있다. 즉 네트워크를 사용하는 회사의 구성원들이 자주 사용하는 프린터, 문서, 이메일 주소, 데이터베이스에 대한 정보만을 저장하고 Active Directory는 하나 혹은 그 이상의 도메인으로 구성되어 있다. 도메인은 하나 이상의 물리적 위치에 걸쳐 존재할 수 있다.
2) OU(Organizational Units)
도메인 내에서 객체로 조직화하기 위해 사용되는 컨테이너, 논리적으로 관리 대상 그룹이다. 다른 object를 수용하면서 스스로 object가 된다.
OU는 사용자 계정, 그룹, 컴퓨터, 프린터, 응용프로그램, 파일 공유 및 동일 도메인의 다른 OU등을 포함할 수 있다. 한 도메인 내에서 OU계층은 다른 도메인의 OU계층 구조와 독립적이다. 그러므로 각각의 도메인은 고유의 OU 계층 구조를 가진다.
관리 권한을 위임할수 있는 가장 작은 대상이 바로 OU인데 OU를 활용해서 사용자 및 자원에 대한 관리 권한을 위함하는 것이다.
3) 트리(Tree)
트리는 기존 부모 도메인에 하나 혹은 그 이상의 자식 도메인을 추가함으로써 생성되는 하나 혹은 그 이상의 Windows 2000 도메인의 계층적 묶음이다. 트리에서 도메인은 인접한 도메인과 이름 공간을 공유한다.
4) 포리스트(Forest)
포리스트는 하나 혹은 그 이상의 완전히 독립된 도메인 컨트롤러의 묶음 혹은 계층적 배열이다.
포리스트는 다음과 같은 특징을 가진다.
포리스트 내의 모든 트리는 공통 스키마를 공유한다.
포리스트 내의 개별 트리는 서로 다른 이름 구조를 가진다.
포리스트내의 모든 도메인은 공동 글로벌 카탈로그를 공유한다.
포리스트 내의 도메인은 독립적으로 운영되지만 개별 도메인간의 의사 소통이 가능하다.
도메인과 도메인 트리간에는 전이적 양방성 트러스트가 존재한다.
2. 물리적 구조
- 물리적 구성 요소는 사이트와 도메인 컨트롤러이다.
1) 사이트
Active Directory server가 물리적으로 위치하는 장소 정도로 이해하면 된다. Administrators는 신뢰성 있고 아주 빠른 LAN 네트워크 망에 있는 여러 서버들을 묶어서 Site를 만든다. 여기서 신뢰성 있고 아주 빠른 LAN 네트워크가 필요한 까닭은 Site내의 서버 끼리 일어나는 복제 작업에 따른 네트워크 트래픽을 감당해야 하기 때문이다. Site는 서버나, 컴퓨터, 프린터, 팩스 등과 같은 하드웨어를 포함한다. IP 네트워크의 서브 넷을 Site로 만들게 되면 관리자가 Active Directory를 설정하거나 관리하기가 용이해진다.
도메인간의 업데이트 트래픽을 최대한 줄여준다
2) 도메인 컨트롤러
도메인 디렉터리 데이터 베이스의 복제본을 저장하는 Windows 2000 Server 컴퓨터이다. 도메인은 하나 이상의 도메인 컨트롤러가 있을 수 있으며, 모든 개별 도메인 컨트롤러는 도메인 디렉터리의 완전한 복제본을 가지고 있다.
도메인 컨트롤러의 기능
각각의 도메인 컨트롤러는 해당 도메인 Active Directory 데이터베이스의 복제본을 저장하고 변경을 관리하며, 도메인 내부의 다른 도메인 컨트롤러로 변경 사항을 복제한다.
도메인 내의 도메인 컨트롤러는 서로 도메인 내 모든 객체를 자동으로 보제한다. 사용자가 Active Directory를 업데이트하는 것은 실제로는 도메인 컨트롤러 중 하나를 변경하는 것에 불과하다도메인 컨트롤러의 변경 사항은 도메인 내 다른 모든 도메인 컨트롤러로 복제될 것이다. 복제 시간 간격 및 복제 데이터 양을 지정함으로써 네트워크 내 도메인 컨트롤러 간의 복제 트래픽을 조정할 수 있다.
도메인 컨트롤러는 사용자 계정과 같은 중요한 변경 사항은 즉시 복제한다.
Active Directory는 멀티마스터 복제를 사용한다. 그러므로 어떤 도메인 컨트롤러도 마스터 도메인 컨트롤러가 될 수 없다. 도메인 내 모든 도메인 컨트롤러는 동등하며 각각의 도메인 컨트롤러는 쓰기 가능한 Active Directory 데이터베이스의 복사본을 저장한다. 모든 도메인 컨트롤러가 Active Directory의 변경 내용을 동기화하기 전까지의 짧은 기간 동안 도메인 컨트롤러는 서로 다른 정보를 가질 수 있다.
도메인 컨트롤러는 Active Directory 객체 위치, 사용자의 유효한 로그인 시도 등과 같은 사용자, 도메인의 모든 상호 작용을 관리한다.
문제 1)
- 각각의 질문을 보고 도메인 컨트롤러 디자인을 구성하라!!
전체 컴퓨터 2500대
서울 : 1000대, 대전 : 500대, 미국(LA : 500대, 뉴욕 : 100대(LA지사))
전체 관리는 서울에서 한다.
각각의 사무실에는 지역단위 관리를 하고 자원 사용
대전은 개발부가 존재하고 독립적으로 운영하기를 원함.
300대당 하나의 도메인 컨트롤러가 필요하다.
3) 트러스트
- 트러스트 서로 완전히 다른 도메인끼리 정보를 교환 ◆ 단방향 트러스트
- 이전 win nt 도메인의 트러스트
- 전혀 다른 포리스트의 도메인간의 트러스트 ◆ 전이 트러스트
- 트리 내의 도매인 간의 트러스트
- 이전 win nt 도메인의 트러스트
- 전혀 다른 포리스트의 도메인간의 트러스트 ◆ 전이 트러스트
- 트리 내의 도매인 간의 트러스트
◆ 차이점
- 단방향 트러스트는 정보를 받은 도메인만 볼 수 있다.
- 전이 트러스트는 정보를 받은 도메인 뿐만 아니 업데이트시 하부 조직까지 모두 볼수 있다.
Active Directory 의 장점
- 중앙관리의 용이성: 모든 objects에 관한 정보가 중앙에서 관리된다.
- 검색의 용이성: 사용자나 관리자가 Active Directory를 통해서 컴퓨터나 사용자, 그리고 프린터 등을 각 object 의 속성별로 쉽게 검색해 낼 수가 있다.
