Windows Server의 핵심은 Active Directory 입니다. 줄여서 AD라고 부릅니다.
Windows Server 2012 Ver. 이 나왔지만 이론으로 설명하기 때문에 변경사항이 없다면 Windows Server 2008 Ver.으로 설명하겠습니다.
AD는 크게 5가지 서비스로 분할 되었습니다.
Active Directory Certificate Services
Active Directory Domain Services.
Active Directory Lightweight Directory Services.
Active Directory Rights Management Services.
전체적인 Active Directory 개념을 설명하고 해당 기능에 대해서 설명하도록 하겠습니다.
Active Directory(액티브 디렉터리) 란?
Microsoft 에서 개발한 Windows 환경에서 사용하기 위한 LDAP(Lightweight Directory Access Protocol) 디렉터리 서비스이며,
디렉터리 형태의 중앙 저장소에 필요한 정보를 보관하여 자료의 공유와 접근을 위해서 만들어 졌습니다.
Windows Client 및 Server 들의 인증 서비스를 제공하며, Unix(MAC) 계열도 함께 지원됩니다.
쉽게 이해하려면 디렉터리를 이해하면 되는데 디렉터리는 객체(obeject)들의 모임이며, 이 개체들은 User, Group, Contact, OU 등으로 나뉘게 됩니다.
가장 일반적인 예로는 전화 번호부가 있는데 가나다 순의 일련의 이름을 가지고 있고, 이름마다 전화 번호와 주소가 포함되어 있습니다.
[User 사진 – 이름,주소,전화번호,이메일]
이런 기본설계로 논리, 계급방식에 의해 나뉜 객체들의 모임들은 인증을 위한 다른 서비스에 의해 자주 사용되게 됩니다.
Active Directory 의 가장 큰 장점으로는 그룹 정책 및 개발 인증에 대한 강점이 있습니다.
슈퍼관리자는 하위 관리자에게 정책을 할당하거나 권한을 위임하고, 중앙에서 전체 그룹들을 통제하며, Windows Client 및 Server들의 정책을 제어할 수 있습니다.
또한 Active Directory는 서로간의 신뢰(Trust) 설정을 통해 서로 다른 AD의 정보를 공유할 수 있으며, 하위 도메인을 가질 수 있습니다.
수많은 Windows Client를 관리하기 위해서 관리자는 AD를 사용하여 Group Policy(그룹정책)을 통해 보안을 강화할 수 있으며, 사용자 역할 별 권한을 위임할 수 있습니다.
관리업무를 하면서 쉽게 수많은 Client를 관리 할 수 있으며, 개발자 및 관리자가 편리하게 디렉터리 서비스를 이용할 수 있는 것은 AD가 있기 때문에 가능합니다.
디렉터리 서비스는 AD이외에도 많습니다.
Novell eDirectory, Sun java system Directory Server, OpenLDAP, MAC apple Open Directory, etc…
또한 하나의 논리적 관리 단위로 구성할 수 있는 디렉터리 서비스로 논리적 관리 단위는 도메인(DOMAIN)으로 명칭 합니다.
도메인에서 사용하는 디렉터리 데이터베이스를 생성하고, 관리하는 서버를 도메인 컨트롤러(Domain Controller) 라고 합니다.
Active Directory 용어 정의
* 개체(Object)
User, Group, Shared Folder, Print, etc 를 표현하는 속성(attribute)의 집합
* 컨테이너(Container)
Directory상의 개체를 포함할 수 있는 개체 또는 사용자 개체나 그룹 개체를 포함할 수 있는 조직 단위(Organization Unit : OU)
* 이름공간(Name Space)
네트워크에 존재하는 시스템과 개체들을 계층 구조의 디렉토리로 표기하는 방식
* 개체이름
개체 고유 이름(DN : Distinguished Name) : 개체를 포함하는 컨테이너 개체의 이름 및 도메인 이름과 개체의 상대 고유 이름(RDN)을 사용하여 개체의 위치와 고유함을 표시
Active Directory 구성요소
* 도메인(Domain)
Windows 에서 도메인(Domain) 이름은 TCP/IP에서 사용하는 도메인 이름과 같기 때문에 생성할 때는 InterNIC 등에 신청하여 부여 받은 도메인 이름을 사용해야 합니다.
테스트 및 내부 에서 사용할 시에는 문제가 없습니다.
* 조직 단위(OU : Organization Unit)
사용자, 그룹, 컴퓨터, 하위 조직 단위를 포함할 수 있는 AD 컨테이너 이며, 파일 시스템으로 비교하면 폴더구조라고 생각하면 됩니다.
* 도메인 트리(Domain Tree)
도메인의 계층구조로 Tree, Forest 구조는 별도로 설명하겠습니다.
* 포레스트(Forest)
도메인 트리구조와 다르게 포리스트에서는 서로 다른 이름 공간을 가지며, 하나 이상의 도메인 트리로 구성 됩니다.
포리스트이 모든 도메인 트리는 공통의 스키마 구조를 가지며, 디렉토리 데이터베이스의 구성정보와 클로벌 카탈로그(GC)를 공유합니다.
* 글로벌 카탈로그(GC: Global Catalog)
기본적으로 포리스트의 맨 처음 도메인 컨트롤러에 자동으로 생성되며, DC로 승격되면 하나의 포리스트가 생성되고, 글로벌 카탈로그가 생성
도메인에 존재하는 디렉토리 데이터베이스에 존재하는 모든 개체 정보와 포리스트에 있는 다른 도메인의 디렉토리 데이터베이스에 포함된 모든 개체의 속성 값 중 일부를 부분 복제한 정보를 가지고 있다.
* 사이트(Site)
도메인컨트롤러와 더불어 액티브 디렉토리 내에 물리적인 구조로, 하나의 서브넷에 존재하는 관리단위
사이트의 역할은 인증(Authentication)과 복제(Replication)
다음에는 트리, 포레스트 구조를 설명하고,
그 다음에는 워크그룹과 도메인에 대해서 설명하겠습니다.