본문

Windows Server 2008 Active Directory 개요

Windows Server 2008을 설치할 경우 다음의 세가지로 나뉘어 구성이 될 수 있다.
1. 멤버서버 : 도메인에 참여하되 디렉터리 정보를 저장하지 않는 서버.
2. 도메인 컨트롤러 : 디렉터리 정보저장, 도메인을 위한 인증처리와 디렉터리 서비스 제공
3. 독립서버 : 도메인에 참여하지 않는 서버. 자체적인 사용자 데이터베이스를 가지고 있어서 도메인의 디렉터리 정보가 아닌 이 데이터베이스를 통해 사용자 로그온 요청을 독립적으로 처리한다.

주 도메인 컨트롤러가 마스터 원본 저장하고 백업 도메인 컨트롤러들이 마스터에 대한 복사본 저장하는 방식인 Windows NT 싱글 마스터 복제모델과 달리, Windows Server 2008에서는 다중 마스터 복제모델을 지원함으로서 모든 도메인 컨트롤러가 디렉터리 변경 가능하며 각자 변경한 내용들을 자동으로 다른 도메인 컨트롤러와 복제한다.

참고 : Data Store - 전체 디렉터리 정보 복제. 사용자, 그룹, 컴퓨터 계정 뿐 아니라 서버, 파일 프린터와 같은 공유 자원을 포함하는 개체집합을 나타내는 용어.


==================
Windows Server 2008에서는 Active Directory를 관련서비스의 집합으로 구성하였고 크게 AD CS(Active Directory 인증서 서비스), AD DS(Active Directory 도메인 서비스), AD FS(Active Directory Federation Services), AD LDS(Active Directory Lightweight Directory Services), AD RMS(Active Directory Rights Management Services)의 다섯개로 구분할 수 있다.

1. Active Directory Certificate Services(AD CS, Active Directory 인증서 서비스) : 사용자, 컴퓨터, 서버용 디지털 인증서를 발급하거나 해지하는데 필요한 기능을 제공.  인증기관(CA)는 사용자/컴퓨터의 신원을 확인한 후 컴퓨터의 신원을 확인해 주는 인증서를 발급.
가. 도메인(디렉터리 서비스): 엔터프라이즈 Root CA와 하위 CA를 갖는다.  엔터프라이즈 루트 CA는 해당 도메인에 대한 인증서 계층 구조상 가장 상위(루트)에 위치하는 인증서 서버이자 가장 신뢰된 인증서 서버를 말한다. 하위 CA는 계층구조내의 멤버로서 구성된 인증서 서버를 말한다.
나. 워크그룹 : 독립실행형 루트 CA와 하위 CA를 가진다. =>도메인이 아닌 엑스트라넷이나 인터넷이 관여된 환경.

2. Active Directory Domain Services(AD DS, Active Directory 도메인 서비스) : Active Directory라고 칭한다 : 도메인 구성위해 필수적인 디렉터리 서비스 제공. 네트워크상의 개체(사용자, 컴퓨터, 프린터와 같은 공유자원)에 관한 정보를 저장하는 데이터 저장소를 제공하고, 도메인 컨트롤러를 이용해 그 정보를 사용자들이 이용할 수 있게 해준다. 사용자가 인증과정을 통해 도메인에 로그온하게 되면 저장된 인증 정보는 네트워크상에 존재하는 다른 자원에 접근할 때에도 사용될 수 있다.

3. Active Directory Federation Services(AD FS, Active Directory 연합 서비스) : AD DS의 기능 보완하여 인증과 접근 관리 기능을 WWW로 확장시켜준다., 웹에이전트(사용자가 내부 웹 응용프로그램으로 접근할 수 있도록)와 프록시(클라이언트 접근관리) 이용,. AD FS가 구성되면 웹브라우저를 이용하여 외부에서 내부 웹 응용프로그램에 접근할 수 있게 된다.

4. Active Directory Lightweight Directory Services(AD LDS) : 디렉터리를 이용하는 응용프로그램(디렉토리 활성 응용프로그램)을 위한 데이터 저장소 제공.  -> 응용프로그램에 AD DS가 반드시 필요하지 않으며 도메인 컨트롤러 상에 배포되어야 할 필요도 없다. (물론사용할 수 있다) AD LDS는 운영체제 서비스로 작동하지 않으며 도메인과 워크그룹 환경 모두에서 사용될 수 있다. 서버상에서 실행되는 각 응용프로그램은 AD LDS를 이용해 그들만의 디렉터리 데이터 저장소를 가질 수 있다.

5. Active Directory Rights Management Services(AD RMS, Active Directory 권한 관리 서비스) : 전자메일메시지, 문서, 인트라넷 웹 페이지와 같은 조직 정보들을 허가받지 않은 접근으로부터 보호하기 위한 보안 계층 제공. AD RMS는 인증서 서비스를 이용하여 신뢰된 사용자, 그룹, 서비스를 식별하기 위해 권한계정 인증서를 발급한다. 또한 라이센싱 서비스를 이용하여 권한을 가진 사용자, 그룹, 서비스가 보호된 정보에 접근할 수 있도록 하고 로깅 서비스를 이용하여 권한 관리 서비스를 감시하고 관리한다. AD RMS를 통해 신뢰가 확보되면 권한 계정 인증서를 가진 사용자는 정보에 대한 접근, 암호화 및 권한(사용자, 작업 제어)할당이 가능하다.



*Windows Server 2008을 실행하는 모든 도메인 컨트롤러는 재시작 가능한 Active Directory(&RODC)를 지원한다.  그러므로 다음의 세가지 상태를 가질 수 있다

1. 시작 : 도메인 컨트롤러는 인증과 로그온 서비스를 도메인에 제공한다.
2. 중지 : 도메인 컨트롤러는 인증이나 로그온 서비스를 제공하지 않는다. 이상태의 도메인 컨트롤러는 멤버 서버나 디렉터리 서비스 복구 모드로 작동중인 도메인 컨트롤러가 가지는 일부 특징들을 가지게 된다. 멤버 서버와 같이 서버는 도메인에 참여되어 있는 상태이고 사용자는 캐시된 인증정보를 사용하여 대화식 로그온을 할 수 있다. 또한 사용자는 다른 도메인 컨트롤러를 이용해 네트워크상에 로그온 가능하다. 이상태의 도메인 컨트롤러는 디렉터리 서비스 복구모드(DSRM)와 같이 로컬의 Active Directory 데이터베이스(NTDS.dit)가 오프라인 상태이다.
3. 복구모드 : 관리자는 Active Directory 데이터베이스에 대한 강제/비강제 복구 수행가능.
AD DS를 중지하면 다른 종속적인 서비스도 중지된다 : .파일복제서비스(FRS). Kerberos 분배센터(KDS), 인터사이트 메시징(IM) 이들은 재시작 할 때 같이 재시작된다.


============================
실 제 위 5개의 서비스가 모두 실행되는 환경에서의 도메인 관리자가 된만큼 더욱 구성요소에 대해 종합적이고 상세한 지식을 보관하기 위해 블로그에 글을 남기기로 했다. 마이크로 소프트의 Active Directory 서비스 페이지(http://technet.microsoft.com/ko-kr/library/dd578336(WS.10).aspx)와 곁에 두고 꼭 봐야 할 Windows Server 2008 서적을 참고하며 작성하려 한다. 책에 대해 리뷰도 작성해 볼까 하는데 그건 나중으로 미뤄야지.(빨간책이랑 표지만 다른 파란책이다???-_-;;)  ..........라고 (벌써 일년전에) 네이버 블로그에 올렸었는데, 아무래도 티스토리에 다 통합하는것이 좋을것 같아 옮겨온다.

댓글

Holic Spirit :: Tistory Edition

design by tokiidesu. powerd by kakao.