AD(Active Directory)란?
: Active Directory는 마이크로소프트가 Windows 환경에서 사용하기 위해 개발한 *LDAP **디렉토리 서비스(Directory Service)의 기능.
- 사용자가 공유된 자원의 위치(IP주소나 포트 등)와 해당 서버의 로컬 사용자 계정 정보를 모두 알고 있지 않아도,
중앙에서 Admin이 사용자 인증 및 권한 부여 처리가 가능하도록 하여, 기업 내의 자원 및 권한 관리에 용이.
- 관리를 위한 별도의 콘솔(***MMC)를 사용.
* LDAP(Lightweight Directory Access Protocol) : TCP/IP 위에서 디렉토리 서비스를 조회하고 수정하는 응용 프로토콜.
** 디렉토리 서비스(Directory Service) : 분산된 네트워크 환경에서 네트워크의 사용자와 네트워크 자원에 대한 정보를 중앙의 저장소에 통합하고 조직 및 관리하는 응용 소프트웨어. 사용자와 공유된 자원 사이에서 추상 계층으로 동작.
- 디렉토리 서비스 안에서 관리되고 있는, 이름이 있는 객체에 대한 정보를 가지고 있는 DB를 말하는 '디렉토리' 그 자체와 혼동 X
*** MMC(Microsoft Managemnet Console) : Windows의 구성 요소로, 시스템 관리자 및 고급 사용자에게 시스템을 관리하고 구성할 수 있도록 도와주는 유연한 인터페이스 제공.
- 장치 관리자, 디스크 조각 모음, 인터넷 정보 서비스(IIS), 디스크 관리, 이벤트 뷰어, 로컬 사용자 및 그룹, 공유 폴더 등의 도구를 포함.
- 컴퓨터 관리는 다른 윈도우 컴퓨터와 함께 구성될 수 있으며, 로컬 컴퓨터에서 사용자가 접근하려는 다른 컴퓨터를 감시하고 구성할 수 있게끔 도와줌.
AD 관련 용어
- 도메인(Domain)
- AD에서 기본이 되는 관리 대상 단위
- AD가 설치된 윈도우 서버가 하나의 도메인으로 보면 됨.
- 도메인이 여러개 있을 경우, 부모 도메인과 자식 도메인으로 구분 - 트리(Tree) 및 포리스트(Forest)
- 트리 : 도메인의 집합. (물리적으로 존재한다기보단 논리적인 개념)
- 포리스트 : 트리의 집합 - 사이트(Site)
- 논리적 구조인 Domain/Forest가 물리적으로 구성된 환경.
- 도메인 컨트롤러 간에 Replication 구성시 사용. (하나의 도메인에 여러개의 도메인 컨트롤러 구성 가능.)
=> 도메인 컨트롤러들은 AD 정보(Object, 구성, 설정 등)에 대하여 상호간 복제하여
연속성, 분산처리 등의 기능을 수행.
- Site Link는 WAN을 통하여 Domain Controller 간의 복제와 분산처리를 가능하게 하는 역할.
- 부모도메인이 'ictsec.com' 이라고 가정하고 자식 도메인을 생성할 경우, 'seoul.ictsec.com', 'busan.ictsec.com' 처럼 각각 다른 사이트로 구성할 수 있음.
- 사이트는 지리적으로 떨어져 있을 수 있으며, 이때 각각의 IP 주소는 대개 다름. - 트러스트(Trust)
- 도메인 간에 설정한 관계로, 한 도메인의 사용자가 다른 도메인의 컨트롤러에서 인증될 수 있도록 한 관계.
- 포리스트 내 도메인 간 AD 트러스트는 모두 전이적(transitive) 양방향 트러스트임.
ex) 도메인 A -> 도메인 B 를 트러스트하고, 도메인 B -> 도메인 C 를 트러스트한다면,
별다른 설정이 없을 경우 도메인 C가 도메인 A의 리소스에 액세스 가능. - 조직구성 단위(OU, Organizational Unit)
- 도메인 내부에서 사용되는 일종의 폴더와 같은 개념.
- 권한 위임 및 그룹 정책을 적용할 수 있는 최소한의 단위. - 도메인 컨트롤러(Domain Controller)
- 로그인, 이용권한 확인, 새로운 사용자 등록, 암호 변경 등을 처리하는 기능을 하는 서버 컴퓨터.
- 하나의 도메인에 하나 이상의 도메인 컨트롤러를 설치해야 함. - 글로벌 카탈로그(Global Catalog)
- AD 트러스트 내의 도메인들에 포함된 개체에 대한 정보들이 수집되어 저장되는 통합 저장소.
- 사용자의 경우 이름, 아이디, 비밀번호 등의 정보가 여기에 저장됨.
- 한 도메인에서 오브젝트를 찾을 때, 해당 오브젝트가 그 도메인에 없다면, 도메인이 속한 포리스트 내부의 다른 도메인에서도 오브젝트를 찾아야 하는데, 이를 가능하게끔 하는 것이 통합 저장소인 글로벌 카탈로그이다.
=> 만약, 오브젝트를 오브젝트가 속한 해당 도메인에서만 찾게끔 하려고 한다면,
오브젝트 속성에서 Global Catalog 옵션을 제거하면 된다.
AD 도입 시 고려사항
- Windows Server, Client, 각종 Device들이 Active Directory Domain에 가입되어야 함.
=> PC A에서 로그인 하던 계정을 PC B에서 계정생성 없이 기존에 사용하던 그대로의 환경을 가지고 로그인하고 싶다면 PC A와 PC B 모두 Active Directory Domain에 가입되어 있어야 한다. - AD Domain에 가입하려면 Windows Server, Client, 각종 Device들의 DNS 서버를 Active Directory 서버로 변경해야 함.
(AD에는 DNS 기능이 포함되어 있으며, 별도의 DNS 서버도 구축 가능.) - AD에는 무수히 많은 Service가 연결되므로, AD에 장애가 생길 경우 그만큼 많은 Service에 영향을 미칠 수 있음.
=> 여러 AD Domain을 구성하여 Service와 역할을 나누어 관리할 필요가 있음.
참고
https://peemangit.tistory.com/68
https://ossian.tistory.com/47?category=757844
'OS > Windows' 카테고리의 다른 글
[Windows] SMTP 서버의 개념 / 구축 및 테스트 (Windows Server 2019 기준) (0) | 2022.04.07 |
---|---|
[Windows] AD (2) - FSMO Role (0) | 2022.01.24 |
최근댓글