Active Directory 란 무엇입니까?
Active Directory 도메인 서비스는 Microsoft의 Directory Server입니다. 인증 및 권한 부여 메커니즘과 기타 관련 서비스를 배포 할 수있는 프레임 워크 (AD 인증서 서비스, AD 페더레이션 서비스 등)를 제공합니다. 객체를 포함 하는 LDAP 호환 데이터베이스입니다. 가장 일반적으로 사용되는 개체는 사용자, 컴퓨터 및 그룹입니다. 이러한 개체는 여러 논리적 또는 비즈니스 요구에 따라 OU (조직 구성 단위)로 구성 할 수 있습니다. 그런 다음 GPO (그룹 정책 개체) 를 OU에 연결하여 조직의 다양한 사용자 또는 컴퓨터에 대한 설정을 중앙 집중화 할 수 있습니다.
사람들이 "Active Directory"라고 말하면 일반적으로 "Active Directory 도메인 서비스"를 말합니다. 인증서 서비스, 페더레이션 서비스, 경량 디렉터리 서비스, 권한 관리 서비스 등과 같은 다른 Active Directory 역할 / 제품이 있다는 점에 유의해야합니다.이 답변은 특히 Active Directory 도메인 서비스를 나타냅니다.
도메인이란 무엇이며 포리스트는 무엇입니까?
숲은 보안 경계입니다. 별도의 포리스트에있는 개체는 관리자가 서로 간에 트러스트 를 만들지 않으면 서로 상호 작용할 수 없습니다 . 예를 들어, domain1.com
일반적으로 포리스트의 가장 권한이있는 계정 인에 대한 Enterprise Administrator 계정은 domain2.com
해당 포리스트가 동일한 LAN 내에 존재하더라도 트러스트가없는 한 두 번째 포리스트에서 전혀 권한을 갖지 않습니다. .
여러 개의 분리 된 사업부가 있거나 별도의 보안 경계가 필요한 경우 여러 포리스트가 필요합니다.
도메인은 관리 경계입니다. 도메인은 숲의 일부입니다. 포리스트의 첫 번째 도메인을 포리스트 루트 도메인이라고합니다. 많은 중소 규모의 조직 (및 일부 대규모 조직)에서는 단일 포리스트에서 단일 도메인 만 찾을 수 있습니다. 포리스트 루트 도메인은 포리스트의 기본 네임 스페이스를 정의합니다. 예를 들어 새 포리스트의 첫 번째 도메인 이름 domain1.com
이이면 포리스트 루트 도메인입니다. 하위 도메인 (예 : 시카고의 지점)에 대한 비즈니스 요구가있는 경우 하위 도메인의 이름을 지정할 수 있습니다 chi
. 자식 도메인 의 FQDN 은chi.domain1.com
. 자식 도메인 이름 앞에 포리스트 루트 도메인 이름이 있음을 알 수 있습니다. 이것이 일반적으로 작동하는 방식입니다. 같은 포리스트에서 분리 된 네임 스페이스를 가질 수 있지만, 다른 시간 동안 완전히 분리 된 웜 캔일 수 있습니다.
대부분의 경우 단일 AD 도메인을 갖기 위해 가능한 모든 것을 시도하고 수행하려고합니다. 관리를 단순화하고 최신 버전의 AD를 사용하면 OU를 기반으로 제어를 매우 쉽게 위임 할 수 있으므로 자식 도메인의 필요성이 줄어 듭니다.
원하는대로 도메인 이름을 지정할 수 있습니다.
실제로는 아닙니다. dcpromo.exe
DC로 서버 승격을 처리하는 도구는 바보가 아닙니다. 그것은 당신이 당신의 이름으로 잘못된 결정을 내릴 수있게합니다. 잘 모르겠다면이 섹션에주의하십시오. 편집 : dcpromo는 Server 2012에서 더 이상 사용되지 않습니다 . Install-ADDSForest
PowerShell cmdlet을 사용하거나 서버 관리자에서 AD DS를 설치 하십시오 .
우선, .local, .lan, .corp 또는 다른 쓰레기와 같은 TLD를 사용하지 마십시오. 해당 TLD는 예약되어 있지 않습니다 . ICANN은 현재 TLD를 판매하므로 귀하 mycompany.corp
가 오늘 사용하고 계신 것은 실제로 내일 누군가에게 속할 수 있습니다. 당신이 소유하고 있다면 mycompany.com
, 다음 할 수있는 스마트 것은 같은 것을 사용할 수 있습니다 internal.mycompany.com
또는 ad.mycompany.com
내부 AD 이름을. 당신이 사용하는 경우 mycompany.com
외부에서 확인할 웹 사이트로 사용자가 분할 DNS로 끝날 것이기 때문에, 당신은뿐만 아니라 내부 AD 이름으로 그 사용을 피해야한다.
도메인 컨트롤러 및 글로벌 카탈로그
인증 또는 권한 부여 요청에 응답하는 서버는 도메인 컨트롤러 (DC)입니다. 대부분의 경우 도메인 컨트롤러는 글로벌 카탈로그 사본을 보유합니다 . 글로벌 카탈로그 (GC)는 포리스트의 모든 도메인에있는 부분 개체 집합 입니다. 직접 검색 할 수 있습니다. 즉, 대상 도메인의 DC에 대한 참조가 없어도 GC에서 교차 도메인 쿼리를 수행 할 수 있습니다. 포트 3268 (SSL을 사용하는 경우 3269)에서 DC를 쿼리하면 GC가 쿼리됩니다. 포트 389 (SSL을 사용하는 경우 636)가 조회되면 표준 LDAP 조회가 사용되고 다른 도메인에 존재하는 오브젝트에 조회 가 필요할 수 있습니다 .
사용자가 자신의 AD 자격 증명을 사용하여 AD에 가입 한 컴퓨터에 로그인하려고하면 소금에 절인 해시 된 사용자 이름과 암호 조합이 사용자 계정과 로그인 한 컴퓨터 계정 모두에 대해 DC로 전송됩니다. 예, 컴퓨터도 로그인합니다. 누군가 계정을 재설정하거나 삭제하는 등 AD의 컴퓨터 계정에 문제가 발생하면 컴퓨터와 도메인간에 트러스트 관계가 존재하지 않는다는 오류가 발생할 수 있습니다. 네트워크 자격 증명은 문제가 없지만 컴퓨터는 더 이상 도메인에 로그인 할 수 없습니다.
도메인 컨트롤러 가용성 문제
"PDC (기본 도메인 컨트롤러)가 있고 BDC (백업 도메인 컨트롤러)를 설치하고 싶습니다"라는 말이 훨씬 더 자주 들립니다. PDC와 BDC의 개념은 Windows NT4와 함께 죽었습니다. PDC에 대한 마지막 요새는 여전히 NT4 DC가있을 때 Windows 2000 전환 혼합 모드 AD에있었습니다. 기본적으로 업그레이드 된 적이없는 15 년 이상 된 설치를 지원하지 않는 한 실제로는 PDC 나 BDC가 없으며 두 개의 도메인 컨트롤러 만 있습니다.
여러 DC가 서로 다른 사용자 및 컴퓨터의 인증 요청에 동시에 응답 할 수 있습니다. 하나가 실패하면 다른 하나는 NT4 일에했던 것처럼 "기본"을 만들지 않고도 인증 서비스를 계속 제공합니다. 도메인 당 DC가 2 개 이상 있는 것이 가장 좋습니다 . 이러한 DC는 모두 GC 사본을 보유해야하며 도메인의 Active Directory 통합 DNS 영역 사본을 보유하는 DNS 서버 여야합니다.
FSMO 역할
"따라서 PDC가 없다면 왜 단일 DC 만 가질 수있는 PDC 역할이 있습니까?"
나는 이것을 많이 듣는다. 가 PDC 에뮬레이터 역할은. PDC와는 다릅니다. 실제로 5 개의 FSMO (Flexible Single Master Operations) 역할이 있습니다. 이를 운영 마스터 역할이라고도합니다. 두 용어는 서로 바꿔 사용할 수 있습니다. 그들은 무엇이며 무엇을합니까? 좋은 질문! 5 가지 역할과 기능은 다음과 같습니다.
도메인 명명 마스터 -포리스트 당 하나의 도메인 명명 마스터 만 있습니다. 도메인 명명 마스터는 새 도메인이 포리스트에 추가 될 때 고유 한 도메인인지 확인합니다. 이 역할을 담당하는 서버가 오프라인 상태 인 경우 새 자식 도메인 추가와 같은 AD 네임 스페이스를 변경할 수 없습니다.
스키마 마스터 -포리스트에는 스키마 작업 마스터가 하나만 있습니다. Active Directory 스키마 업데이트를 담당합니다. DC로 작동하는 새 버전의 Windows Server 용 AD 준비 또는 Exchange 설치와 같이이 작업이 필요한 작업에는 스키마 수정이 필요합니다. 이러한 수정은 스키마 마스터에서 수행해야합니다.
인프라 마스터 -도메인 당 하나의 인프라 마스터가 있습니다. 포리스트에 단일 도메인 만있는 경우 실제로 걱정할 필요가 없습니다. 포리스트가 여러 개인 경우 포리스트의 모든 DC가 GC가 아닌 경우이 역할을 GC 보유자 인 서버 가이 역할을 보유하지 않아야합니다 . 인프라 마스터는 도메인 간 참조가 올바르게 처리되도록해야합니다. 한 도메인의 사용자가 다른 도메인의 그룹에 추가되면 문제의 도메인에 대한 인프라 마스터가 올바르게 처리되는지 확인하십시오. 글로벌 카탈로그에있는 경우이 역할이 올바르게 작동하지 않습니다.
RID 마스터-RID 마스터 (Relative ID Master)는 RID 풀을 DC에 발급하는 역할을합니다. 도메인 당 하나의 RID 마스터가 있습니다. AD 도메인의 모든 개체에는 고유 한 SID (Security Identifier)가 있습니다. 이것은 도메인 식별자와 상대 식별자의 조합으로 구성됩니다. 지정된 도메인의 모든 객체는 동일한 도메인 식별자를 가지므로 상대 식별자는 객체를 고유하게 만듭니다. 각 DC에는 사용할 상대 ID 풀이 있으므로 해당 DC가 새 개체를 만들 때 아직 사용하지 않은 RID를 추가합니다. DC에는 겹치지 않는 풀이 발급되므로 각 RID는 도메인 수명 기간 동안 고유해야합니다. DC가 풀에 남아있는 ~ 100 개의 RID에 도달하면 RID 마스터에서 새 풀을 요청합니다. RID 마스터가 오랫동안 오프라인 상태 인 경우 개체 생성이 실패 할 수 있습니다.
PDC 에뮬레이터 -마지막으로 PDC 에뮬레이터 역할이라는 가장 널리 알려진 오해의 소지가 있습니다. 도메인 당 하나의 PDC 에뮬레이터가 있습니다. 인증 시도가 실패하면 PDC 에뮬레이터로 전달됩니다. 한 DC에서 암호가 업데이트되고 다른 DC에 아직 복제되지 않은 경우 PDC 에뮬레이터는 "tie-breaker"로 작동합니다. PDC 에뮬레이터는 도메인에서 시간 동기화를 제어하는 서버이기도합니다. 다른 모든 DC는 PDC 에뮬레이터에서 시간을 동기화합니다. 모든 클라이언트는 로그인 한 DC에서 시간을 동기화합니다. 모든 것이 서로 5 분 이내에 유지되어야합니다. 그렇지 않으면 Kerberos가 중단되고이 경우 모든 사람이 울게됩니다.
기억해야 할 중요한 것은 이러한 역할이 실행되는 서버가 제대로 설정되어 있지 않다는 것입니다. 이러한 역할을 수행하는 것은 일반적으로 사소한 일이므로 일부 DC는 다른 DC보다 약간 더 많은 역할을하지만 짧은 기간 동안 다운되면 모든 것이 정상적으로 작동합니다. 오랫동안 다운 된 경우 역할을 투명하게 이전하기가 쉽습니다. NT4 PDC / BDC 일보다 훨씬 좋으므로 이전 이름으로 DC 호출을 중단하십시오. :)
음 ... DC가 서로 독립적으로 기능 할 수 있다면 어떻게 정보를 공유합니까?
물론 복제 . 기본적으로 같은 사이트에서 동일한 도메인에 속하는 DC는 15 초 간격으로 서로 데이터를 복제합니다. 이렇게하면 모든 것이 비교적 최신 상태로 유지됩니다.
즉시 복제를 트리거하는 "긴급한"이벤트가 있습니다. 이러한 이벤트는 다음과 같습니다. 로그인에 실패한 계정이 너무 많거나 도메인 암호 또는 잠금 정책이 변경되거나 LSA 암호가 변경되거나 DC의 컴퓨터 계정에서 암호가 변경되거나 RID 마스터 역할이 전송됩니다. 새로운 DC에. 이러한 이벤트는 즉시 복제 이벤트를 트리거합니다.
비밀번호 변경은 긴급한 것과 긴급하지 않은 것 사이에 있으며 고유하게 처리됩니다. 사용자의 비밀번호가 변경되고 DC01
사용자가 DC02
복제가 발생하기 전에 인증중인 컴퓨터에 로그인하려고하면 이 비밀번호가 실패 할 것으로 예상됩니까? 다행히도 그런 일은 일어나지 않습니다. 여기 DC03
에 PDC 에뮬레이터 역할을 하는 세 번째 DC가 있다고 가정합니다 . DC01
사용자의 새 비밀번호로 업데이트 되면 해당 변경 사항도 즉시 복제됩니다 DC03
. 인증 시도가 DC02
실패하면 DC02
해당 인증 시도를로 전달하여 인증 DC03
이 실제로 유효한지 확인하고 로그온이 허용되는지 확인합니다.
DNS에 대해 이야기합시다
DNS는 제대로 작동하는 AD에 중요합니다. 공식 Microsoft 당사자는 모든 DNS 서버가 올바르게 설정된 경우 사용할 수 있다는 것입니다. BIND를 사용하여 AD 영역을 호스팅하려고 시도하면 높은 수준입니다. 진심으로. AD 통합 DNS 영역 사용을 고수하고 필요한 경우 다른 영역에 조건부 또는 글로벌 전달자를 사용하십시오. 클라이언트는 모두 AD DNS 서버를 사용하도록 구성해야하므로 여기에 중복성을 두는 것이 중요합니다. DC가 두 개인 경우 모두 DNS를 실행하고 클라이언트가 이름 확인에 두 DC를 사용하도록 구성하십시오.
또한 DC가 두 개 이상인 경우 DNS 확인을 위해 먼저 DC를 나열하지 않도록해야합니다. 이로 인해 이들이 "복제 섬" 에 있고 나머지 AD 복제 토폴로지와 연결이 끊어 복구 할 수없는 상황이 발생할 수 있습니다. 두 개의 서버가있는 경우 DC01 - 10.1.1.1
와 DC02 - 10.1.1.2
, 그들의 DNS 서버 목록은 다음과 같이 구성해야합니다 :
서버 : DC01 (10.1.1.1)
기본 DNS-10.1.1.2
보조 DNS-127.0.0.1
서버 : DC02 (10.1.1.2)
기본 DNS-10.1.1.1
보조 DNS-127.0.0.1
좋아, 이것은 복잡해 보인다. AD를 전혀 사용하고 싶지 않은 이유는 무엇입니까?
당신이 무엇을하고 있는지 알게되면, 당신의 삶은 무한히 나아지기 때문입니다. AD는 사용자 및 컴퓨터 관리의 중앙 집중화와 자원 액세스 및 사용의 중앙 집중화를 허용합니다. 사무실에 50 명의 사용자가있는 상황을 상상해보십시오. 각 사용자가 각 컴퓨터에 자신의 로그인을 갖도록하려면 각 PC에서 50 개의 로컬 사용자 계정을 구성해야합니다. AD를 사용하면 사용자 계정을 한 번만 만들면 기본적으로 도메인의 모든 PC에 로그인 할 수 있습니다. 보안을 강화하려면 50 회 수행해야합니다. 악몽 같은 거지? 또한 그 사람들의 절반 만이 접근 할 수있는 파일 공유가 있다고 상상해보십시오. AD를 사용하지 않는 경우 서버에서 직접 사용자 이름과 비밀번호를 복제하여 겉보기 액세스를 제공해야합니다. d 공유 계정을 만들고 각 사용자에게 사용자 이름과 비밀번호를 제공해야합니다. 한 가지 방법은 사용자의 비밀번호를 알고 지속적으로 업데이트해야한다는 것을 의미합니다. 다른 방법은 감사 내역이 없음을 의미합니다. 좋지 않아요?
AD를 설정 한 경우 그룹 정책을 사용할 수도 있습니다. 그룹 정책은 해당 OU의 사용자 및 / 또는 컴퓨터에 대한 설정을 정의하는 OU에 연결된 개체 집합입니다. 예를 들어 500 대의 랩 PC 시작 메뉴에 "종료"가 없도록하려면 그룹 정책의 한 설정에서 수행 할 수 있습니다. 적절한 레지스트리 항목을 직접 구성하는 데 몇 시간 또는 며칠이 걸리지 않고 그룹 정책 개체를 한 번 만들고 올바른 OU에 연결 한 다음 다시 생각할 필요가 없습니다. 구성 할 수있는 수백 개의 GPO가 있으며 그룹 정책의 유연성은 Microsoft가 엔터프라이즈 시장에서 지배적 인 주된 이유 중 하나입니다.