엑티브 디렉토리 는 무엇인가?
☞ 한마디로 말하기엔 생소할 수 있는 새로운 개념이다. 굳이 말하자면, 전화 번호책과 같다고 할 수 있다. 전화 번호는 이름과 주소와 전화번호로 이루어진 여러개의 자원이 지역별(읍, 면, 동, 시) 또는 상호등의 요소로 구분되어 있어서 번호를 알고싶을 경우 쉽게 찾을 수가 있다. 이처럼 엑티브 디렉토리도 사용자가 원하는 정보(자원)을 쉽고 빠르게 그리고 적은 관리비용(TCO절감, Total Cost of Ownership)으로 찾거나 제어할 수 있도록 자원을 관리하는 서비스의 개념이다. Windows NT는 SAM DB를 통해 자원(계정)을 관리 하였지만, 그 한계가 40MB(2만계정)밖에 되지않는다. Windows 2000은 ADS DB를 구현하므로 그 한계가 무한대로 증가 하였다. 엑티브 디렉토리의 데이터 파일은 systemroot의 NTDS디렉토리 밑에 ntds.dit라는 이름으로 존재한다.
◇ 도메인(Domain)
☞ 같은 디렉토리 데이터베이스를 사용하는 하나의 논리적인 그룹니다. 예를 들어 사용자가 도메인 컨트롤러로부터 로그온 인증을 받으면 해당 도메인에 대한 자원을 자신에게 부여된 권한에 따라 사용하게 된다. 이렇게 사용자가 최대로 사용할 수 있는 데이터베이스의 범위가 도메인의 범위라고 할 수 있다. 아래에 보이는 파란색 삼각형이 도메인에 해당된다.
◇ 조직단위(OU, Organizational Units)
☞ 도메인보다 작은단위의 논리적 그룹이다. OU에는 다른OU를 또한 포함할 수 있으며, 프린터, 사용자, 그룹, 애플리캐이션 등과 같은 것들이 OU에 속한다. 그림 오른쪽 하단의 Object들의 모임이 OU가 되며, 도메인에 포함이 된다. 조직이 세분화 된다면, 여러개의 도메인으로 나누는 것보다 OU로 조직을 구분하므로 관리의 간편함과 효율성을 이룰 수 있다.
◇ 트리(Tree)
☞ 도메인의 논리적인 집합이 트리가 된다. 오른쪽의 그림과 같이 도메인과 도메인을 연결하는 선을 통해서 서로가 자원을 공유하게 된다. 먼저 만들어진 도메인을 부모 도메인(Parent Domain)이라고 하고 그림상으로 그 아래에 만들어진 도메인을 자식 도메인(Child Domain)이라고 한다. 또한 자원을 공유하기 위해서는 트러스트라는 관계를 맺어야 하는데, 트러스트는 차후에 설명을 할 것이다.
◇ 포리스트(Forest)
☞ 트리들의 논리적인 집합을 포리스트라고 한다. 포리스트 내의 분산되어있는 도메인안의 자원들은 글로벌 카탈로그(Global Catalog)를 통해서 쉽게 엑세스할 수 있다. 예를 들면, 서로 다른 두 회사가 각 각의 트리를 구성하고 있는 상태에서 통합을 한다면, 위의 그림과 같은 구조가 되며... 통합된 전체를 포리스트라 한다.
◎ 포리스트 > 트리 > 도메인 > 조직단위(OU)
◇ 싸이트(Site)
☞ 물리적인 그룹을 의미한다. 동일한 서브넷을 또는 상대적으로 빠른 대역폭을 가지고 있는 서버들의 집합이며, 싸이트의 구분을 통해서 복제나 로그온시 빠른 통신을 할 수 있게 한다.
◇ 도메인 컨트롤러(DC, Domain Controller)
☞ 엑티브 디렉토리 서비스를 설치한 서버를 DC라고 한다. Windows NT에서는 도메인 안에 PDC와 BDC가 존재하지만, Windows 2000에서는 그 구분을 없애고 DC 하나로 사용한다. 물론 한 도메인 안의 DC 개수의 제한은 없다. 각각의 DC는 서로 멀티 마스터 복제를 통해서 복제 작업을 수행한다.
◇ 글로벌 카탈로그(GC, Global Catalog)
☞ 글로벌 카탈로그는 중앙에 정보를 저장하는 일종의 저장소이다. 사용자가 로그온시 또는 각각의 도메인의 정보를 제어하려고 할 때 빠르게 제어 할 수 있도록 경로를 파악하고 응답해주는 역활을 수행한다. 그러한 이유로 GC가 존재하지 않으면, 네트웍 로그인을 할 수 없고 로컬 로그인만 할 수 있다. 도메인상에 처음으로 생성되는 DC가 GC의 역활도 수행하며, 추가로 GC를 만들 수 있다. GC는 Site마다 두어야 트래픽을 분산시킬 수 있다.
◇ 스키마(Schema)
☞ 사용자나 그룹, 그리고 컴퓨터나 공유자원들과 같은 모든 개체들에 관한 속성 정보를 가지고 있는 것이 스키마이다. 도메인 상에서 엑티브 디렉토리 서비스를 처음으로 설치한 서버에 스키마가 생성된다.("Run"→regsvr32 schmmgmt.dll입력으로 실행)
◇ 작업 마스터(Operation Master)
☞ DC는 멀티 마스터 복제를 수행한다고 위에서 언급하였다. 설정에 따라 몇분 단위로 복제 스케쥴을 할 수 있지만, 언제나 동기화 되는 것은 아니다. 예를 들면, 사용자가 정보를 변경하거나, 수정또는 삭제를 할 때, 그에 대한 정보는 복제가 이루어 지기 전까지는 동기화가 되지 않는다. 이렇게 계정 정보나 여러가지 자원의 수정은 신속히 복제가 되어야 한다. 그래서 작업 마스터가 필요한 것이다. 작업 마스터는 크게 5가지로 나눌 수 있다.
① Schema Master : 스키마 정보의 수정이나 생성을 감지하여 갱신하는 역활을 담당한다. .......................... 포리스트
② Domain Naming Master : 포리스트에 도메인의 추가/삭제시 도메인 이름의 갱신을 담당한다. ................ 포리스트
③ RID Master : 보안ID등과 같이 유일해야하는 ID의 갱신을 담당한다. ...................................................... 도메인
④ PDC Emulator : DC가 Windows NT에서의 PDC역활을 수행하도록 돕는 일을 담당한다. .......................... 도메인
⑤ Infrastructure Master : 그룹 구성원의 변경시 사용자, 그룹 관계를 갱신하는 역활을 담당한다. ................ 도메인
트러스트 관계(Trust Relationship)
트러스트 란 무엇인가?
☞ 예를들면, 서로 다른 회사들이 정보를 공유하기 위해서는 신뢰 관계가 있어야 한다. 그래야 믿고 자원 공유를 허락할 것이다. 이처럼 도메인과 도메인 사이의 자원을 공유하기 위해서는 미리 신뢰관계, 즉 트러스트(Trust)가 맺어져 있어야한다는 말이다. 오른쪽의 그림에서 A도메인이 B도메인을 트러스트하게되면, A도메인은 Trusting Domain, B도메인은 Trusted Domain이 되며, B도메인에서 A도메인의 자원을 제어할 수 있게 된다. 트러스트와 제어의 방향이 상반되는 것에 주의해야 한다.
◇ 단방향 트러스트 (One Way Trust)
☞ 단방향 트러스트는 Windows NT와의 호환을 위해서 사용하는 것이다. Windows NT에서는 Windows 2000의 자동으로 형성되는 트러스트 관계를 인식하지 못한다. 그래서 Windows2000이 Windows NT와 트러스트 하기 위해서는 단방향 트러스트를 사용해야한다. 아래 그림에서 D도메인→ E도메인, D도메인→ F도메인이 단방향 트러스트 관계이다.
◇ 양방향 트러스트(Two Way Trust)
☞ Windows 2000 DC 를 사용하는 도메인은 자동으로 양방향 트러스트 관계를 갖게된다. Windows NT에서는 양방향 트러스트 관계를 맺을려면, 번거롭게 두 번의 트러스트 관계를 맺어줘야 한다. 하지만, 이렇게 두 번의 작업으로 서로에게 트러스트를 맺게 되면, 트러스트 관계는 전이 되지 않는다.
◇ 전이 트러스트 (Transitive Trust)
☞ 직접적인 트러스트 관계를 맺지 않았지만, 트러스트 관계가유지되는 것을 전이 트러스트라고 한다. 오른쪽의 그림에서 B도메인과 C도메인은 양방향 전이 트러스트가 된 것이다
◇ 비전이 트러스트 (Non-Transitive Trust)
B도메인과 C도메인을 양방향 비전이 트러스트로 만들려면, A, B도메인과 A, C도메인을 양방향 트러스트관계를 삭제하고 단방향 트러스트 두개로 만들면 된다.
출처 : Think I.com
Active Directory 개념 잡기
Active Directory란 무엇인가?
지난 수년간 컴퓨터 환경에서 "Directory"란 말은 많은 주목을 받아 왔다. 컴퓨팅 환경이 점차 커지고 복잡해짐에 따라, 네트워크/시스템 관리자는 네트워크 자원을 효율적으로 관리하는 데 많은 어려움을 겪게 되었고, 일반 사용자는 자신이 원하는 네트워크 자원을 쉽게 찾지 못하는 결과를 낳게 되었다. 이러한 난제를 해결하기 위해서는 정보를 체계화하고 재정립 시키면서 관리가 쉽게끔 할 필요성이 대두되게 되었는데 이를 해결하는 대안으로 "Directory"란 개념이 나타나게 되었다.
간단히 정의한다면, 디렉토리란 체계적이고도 조직적인 계획(Systematic Scheme)을 통해 정보(자원)를 질서정연하게 담은 정보 저장소(Information Storage Locatioin)라고 볼 수 있다. 마이크로소프트에서 제공하는 Active Directory (이하 AD)에서는 이러한 체계적이고도 조직적인 계획(Systematic Scheme)을 namespace라고 따로정의해 부르고 있다. 가장 일반적인 예로 전화번호부 책을 들 수 있는데, 전화 번호부 책의 모든 정보는 도시/지역, 성, 이름 에 따라 일목요연하게 정리되어 있다. 특정 도시/지역에서 특정 이름을 차례로 인텍싱하여 최종적으로 원하는 사용자의 전화번호를 얻을 수 있게 된다. 여기서 namespace는 도시/지역, 성, 이름을 말하게 된다. 원하는 namespace를 기준으로 사용자는 원하는 정보를 얻을 수 있게 되는 것이다.
따라서 디렉토리는 이러한 namespace를 사용해 정보를 조직화하여 사용자로 하여금 효과적인 방법으로 정보를 찾을 수 있게끔 해 주는 일련의 서비스를 말하는 것이다.
윈도우 NT의 경우는 써드 파티(윈도우 NT용 네트웨어)에서 제공하는 디렉토리 서비스를 이용해야 했지만, 윈도우 2000에서는 Active Directory라는 개념을 통해서 디렉토리 서비스를 기본적으로 지원하고 있다. AD는 해당 사용자의 네트워크가 거대할 수록 그 가치를 발휘하는 파워 툴이다. AD의 목적은 사용자, 공유 자원, 프린터, 애플리케이션 등등 실제 네트워크 정보(자원)을 사용자가 필요시 쉽게 찾을 수 있도록 질서정연하게 조직화 하는데 있다. AD에서 일반 사용자는 자원이 어느 서버에 있는지 프린터는 어디에 있는지 알 필요가 없다. AD가 이러한 수고를 덜 수 있게 목록화 해 주면 사용자는 이 목록을 이용만 하면 되는 것이다. 관리자 측면에서 보면, 분산되어 있는 모든 자원을 중앙에서 디자인하고 관리할 수 있게 해 준다.
ACTIVE DIRECTORY NAMESPACE
위에서 얘기한 바와 같이 AD는 namesapce에 따라 디렉토리 서비스를 한다고 했는데, 이 namespace는 DNS(Domain Name System)의 형식을 그대로 따른다. DNS는 전 세계적으로 공용으로 사용하는 표준이며, 확장성이 아주 좋은 기술이다. 인터넷을 사용하고 있다면, 이미 DNS를 사용하고 있는 것이다. DNS는 www.microsoft.com과 같은 도메인 네임을192.168.1.1과 같은 IP 주소로 해석할 수 있도록 해 준다. TCP/IP 네트워크에서는 숫자 나열의 통신 형태가 요구되고 사용자(사람) 측면에서는 이용하기 쉬운 이름 형식의 통신 형태가 요구되는 상태에서 DNS는 이 두가지 요구 사항을 모두 충족시키는 기술이다.
윈도우 2000에서의 AD는 DNS와 연동되어 운영되며, AD에서 사용하는 naming schemes은 DNS names 형식을 그대로 따른다. DNS 연동을 통해 AD는 사용자로 하여금 자신의 네트워크에서 사용하는 도메인 네임 형식을 인터넷에서 바로 적용될 수 있도록 도와 준다. 예를 들면, smithfin.com 도메인 네임을 AD에 적용시켜 Active Directory Namescace를 만들고 이를 내부 네트워크는 물론 인터넷과의 통신도 가능하도록 해 준다. 즉, smithfin.com은 internet name도 되지만 local area name되 되는 것이다. kandersion@smithfin.com은 인터넷과 연결될 때는 이메일로도 사용할 수 있고, 로컬 네트워크에서는 사용자 계정으로 사용될 수 있다. 이러한 구조로 인해 사용자는 원하는 아이템이 인터넷에 있던지내부 네트워크에 있던지 상관치 않고 원하는 것을 찾을 수 있도록 해 준다.
또한 윈도우 2000은 Dynamic DNS를 지원해 주기 때문에 DNS 서버 정보를 자동으로 업데이트 해줘 관리자의 부담을 경감 시키며, 윈도우 2000만을 사용하는 네트워크에서는 WINS(Windows Internet Naming Service)를 사용하지 않아도 되게 해 준다.
LDAP IN THE ACTIVE DIRECTORY
DNS가 AD에서 naming scheme역할을 해 준다면, LDAP(Lightweight Directory Access Protocol)는 AD로 엑세스 하는 방법에 대한 역할을 해 준다. LDAP는 뉴스그룹이나 서치 엔진에서 사용하는 인터넷 표준 프로토콜로서, X.500 표준의 한 부분이 아님을 밝혀 둔다. LDAP는 개방형 표준(Open Standard)로서, 사용자 환경에 맞는 디렉토리 서비스로 커스터마이징이 가능 하다. 또한 X.500의 경우 클라이언트 기반 서비스인데 반해 LDAP는 서버 기반 서비스다. 서버에서 LDAP 서비스가 실행되며, 정보를 LDAP를 지원하는 클라이언트에게 제공한다.
ACTIVE DIRECTORY HIERARCHY
AD는 계층 구조를 띄고 있다. AD를 인스톨하기 전에 사용자는 AD의 구조와 각 콤퍼넌트들에 대해서 잘 이해하고 있어야 효율적인 AD 디자인을 할 수 있다.
Object (오브젝트)
AD에서의 오브젝트란 네트워크 상에 위치한 물리적 아이템(Physical Object)를 뜻한다. AD 오브젝트로는 사용자, 그룹, 프린터, 공유 폴더, 애플리케이션, 데이터베이스 등등이 될 수 있다. 각 오브젝트는 사용자가 확인 가능한 유형물이며, 각 오브젝트는 속성(Attributes)을 갖고 있다. 예를 들면, 사용자 오브젝트(User Object)는 사용자 계정(Username), 실제 이름(Actual name), 전자 메일 주소와 같은 속성을 지닌다. 오브 젝트의 종류에 따라 속성이 다르며, AD에 의해정의된다. 이 속성을 통해 오브젝트를 특성화 할 수 있으며 사용자가 오브젝트를 찾는데 도우미 역할을 할 수 있다.
Organizational Unit (이하 OU)
OU는 파일 캐비넷의 파일 폴더와 같은 것이다. OU는 오브젝트를 담기 위해 디자인된 그릇으로 보면 된다. 또한 OU가 OU 자체를 담을 수도 있다. OU는 오브젝트를 담는 역할만 하지 자체적으로 어떠한 기능을 하진 않는다. 파일 폴더로서 OU는 오브젝트를 담는데 그 목적이 있는 것이다. 이름에 나타난 바와 같이 OU는 사용자로 하여금 디렉토리 구조를 조직화 하는데 도움을 준다. 예를 들면, 사용자는 Accouting이라고 불리는 OU를 만들어 Accounting Group A OU와 Accounting Group B OU를 담을 수 있다. 물론 A/B OU에는 자신들만의 사용자, 컴퓨터, 프린터 등등의 오브젝트를 담고 있을 수 있다. OU는 또한 보안과 관리의 경계선으로도 사용될 수 있고 다중 윈도우 NT 도메인 네트워크안의 도메인을 교체하는데 사용될 수 있다.
Domain (도메인)
간단하게 정의하면 도메인이란 사용자와 컴퓨터를 논리적으로 그룹화 시킨 영역을 말한다. 모든 각 도메인은 자신만의 Security Policies를 갖고 있으며, 다른 도메인과 Trust 관계를 맺을 수 있다. AD는 하나 이상의 도메인으로 구성되며, 스키마(Schema ; a set of object class instances)를 포함하고 있다. 스키마가 하는 역할은 특정 오브젝트가 AD내에서 어떻게 규정되어 있는가를 결정하는 기준점이 된다. 이 스키마는 AD내에 존재하며, 계속적으로 변이된다.
Tree (트리)
도메인, OUs, 오브젝트의 계층적 구조를 트리(Tree)라 부른다.
Domain Trees (도메인 트리)
도메인 트리는 트러스트 관계를 맺고 있고 스키마, 설정(configuration), 글로벌 카탈로그를 공유하고 있을 때 나타나게 된다. 윈도우 2000에서 트러스트 관계(Trust Relationships)는 Kerberos Security Protocol을 사용한다. Kerberos trusts는 transitve 한데, 이 말은 도메인 1이 도메인 2를 트러스트하고 도메인 2가 도메인 3을 트러스트 하면, 도메인 1도 도메인 3을 트러스트 한다는 의미다.
윈도우 200의 도메인 트리는 DNS의 Contiguous Namespace 구조를 따르고 있다.
예를 들면, 루트 도메인이 smithfin.com이라고 할 때, 하위 도메인 A와 도메인 B는 domaina.smithfin.com / domainb.smithfin.com이 된다. 도메인 A가 smithdindal.com이고 도메인 B가 smithfin.com 루트 도메인에 있다면, 이 두 도메인은 다른 contiguous namespace를 갖는다.
Fores (포레스트)
포레스트는 서로 다른 contiguous namespace를 갖고 있는 하나 이상의 도메인이 모여 만들어진 구조를 갖고 있다. 예를 들면, microsoft.com 도메인과 nortelnetworks.com 도메인은 서로 다른 contiguous namespace를 갖고 있다. microsoft.com이 nortelnetworks.com을 합병시켰고, 이 두 도메인이 서로 트러스트해야 될 경우가 생겼다면, 포레스트로 이 두 도메인을 트러스트 시켜 정보를 공유할 수 있게 할 수 있다. 포레스트 트러스트로 묶여 있는 각 도메인의 트러스트 관계는 transitive trust다.
Site (사이트)
사이트는 AD 계층적 구조와는 상관이 없는 개념이다. 하지만 AD Replication의 목적으로 사용되는 수단으로서 설정되어 사용된다. 사이트는 TCP/IP 서브넷으로 잘 연결되어 있는 AD 서버를 갖고 있는 네트워크를 지리적으로 묶을 때 유용한 기술이다. 여기서 잘 연결되어 있다라고 함은 각 AD 사이의 네트워크 연결이 아주 안정적으로 운영되어 있어 통신에 있어 문제가 일어나지 않는다라는 것을 의미한다. 관리자는 연결된 Sites를 통해 AD Replication을 서로 복제 시킨다.
ACTIVE DIRECTORY NAMES
AD에서 사용자, 그룹, 컴퓨터, 프린터와 같은 오브젝트는 고유한 이름을 갖고 있다. 각 오브젝트는4가지 종류의 이름을 갖고 있다.
첫째로 각 오브젝트는 DN (Distinguished Name)을 갖고 있는데, 이 DN은 모든 오브젝트들에 대해서 고유하며, 해당 오브젝트의 특징을 나타내 주는 모든 정보를 담고 있다. DN은 해당 오브젝트가 위치하고 있는 도메인에 대한 정보도 갖고 있으며, 해당 오브젝트의 경로에 대한 정보도 담고 있다. DN은 아래와 같은 속성을 갖고 있다.
DomainComponentName (DC)
OrganizationUnitName (OU)
CommonName (CN)
예를 들면 사용자가 특정 도메인에 위치한 Production Flow라고 불리우는 문서(오브젝트)에 엑세스 하고자 할때, DN은 아래와 같이 구정된다 :
/DC=com/DC=mycompany/OU=prod/CN=documents/CN=Production Flow
DN 정보에 따라 해당 문서를 찾기 위해 도메인의 맨 위부터 문서를 포함하고 있는 하단의 폴더까지의 찾기 과정이 시작된다.
둘째, AD는 RDN (Relative Distinguished Name)을 사용한다. RDN은 DN의 부분으로서 해당 오브젝트의 속성을 규정한다. 이 속성은 CN(Common Name)으로 불리는데, 일반 사용자가 오브젝트를 찾을 때 바로 이 속성을 이용해 오브젝트를 찾게 된다. 따라서 DN과 같은 복잡한 구조를 알 필요없이 원하는 오브젝트를 찾을 수 있게 된다.
셋째, AD는 GUID (Globally Unique IDentifiers)를 사용하는데 이 GUID는 모든 오브젝트에 대해서 고유하다. 오브젝트가 AD내에서 만들어 질때 고유한 GUID가 부여되며, 결고 변하지 않는다.
마지막으로 AD 내의 오브젝트로서 UPN(User Principal Names)이라는 게 있는데 kanderson@smithfin.com 과 같은 전자 메일 주소가 대표적인 UPN 오브젝트다.
간략히 정리한다면 AD내에는 DN, RDN, GUID, UPN이 존재하며, 이를 통해 해당 오브젝트가 고유하면서도 사용자가 찾기 쉽게끔 해 준다는 것이다.
GLOBAL CATALOG
LDAP의 목적은 네트워크 사용자로 하여금 자신들이 원하는 정보(오브젝트)를 해당 AD내에서 쉽게 찾을 수 있도록 하는데 있는데, Global Catalog라는 것을 통해 이를 실현 할 수 있다.
Global Catalog는 사용자나 애플레케이션이 AD내에서 원하는 오브젝트를 찾을 수 있게끔 해 주는데, 모든 오브젝트들의 간략 정보와 일반적인 속성 DB를 갖고 있다. 사용자가 한 특정 오브젝트를 찾는다고 할 때 Global Catalog는 이 요구에 맞는 정보를 자신의 DB에서 찾게 되고, 그 결과를 사용자에게 알려 준다. Global Catalog의 Data는 도메인 컨트롤러 사이에 Replication이 일어날때 마다 갱신된다.
SUMMARY
AD에 대한 개념과 이를 도입하는데 있어 꼭 알고 있어야 할 것들에 대해서 알아 보았다. AD는 DNS의 Naming Scheme을 그대로 따르는 디렉토리 서비스며, 모든 오브젝트들을 쉽게 찾을 수 있게 하기 위핸 LDAP를 사용한다. AD 구조는 계층적 구조를 띄고 있으며, 오브젝트, OU, 도메인, 트리, Forest로 구성된다. AD는 또한 사용자로 하여금 지리적 거리에 떨어져 있는 도메인 끼리 사이트를 통해 복제를 할 수 있게 하여 WAN 환경에서도 정보를 공유할 수 있게 해 준다. AD는 모든 오브젝트에 DN, RDN, GUID, UPN을 부여해 그 고유함을 유지시키고 어디에 위치하고 있는지를 쉽게 찾을 수 있도록 해 준다. 또한 이 모든 정보는 Global Catalog에 저장된다.
Active Directory (액티브 디렉토리)
Active Directory (이하 AD)는 Microsoft사가 개발한 디렉토리 서비스로서 경쟁 기업으로는Novell사의 NDS (Novell Directory Service)를 들 수 있다. AD는 Windows 2000 Server시리즈 제품군에서 제공하는 솔루션으로서 Windows 2000 Server, Windows 2000 Advanced Server,Windows 2000 DataCenter Server에서 제공한다. AD는 윈도우 NT 4.0 이하 버전의 Windows-based디렉토리 서비스를 개선한 확장 솔루션으로 어떠한 규모의 사이트에도 적용시킬 수 있다고 한다.
디렉토리 서비스란?
과거의 네트워크 환경을 보면 중앙에 메인 프레임이 위치하고 있었고, 더미 터미널들을 이용해 사용자들은자료를 불러오고 다시 메인 프레임에 다시 저장하는 식의 간단한 구조를 띄고 있었다. 하지만 컴퓨터 기술이발담함에 따라 대형 메인 프레임 네트워크에서 PC 서버 나아가서는 클라이언트/서버 환경이 일반화 됨에 따라사용자와 자원이 여러 곳으로 분산되어 자원을 효율적으로 이용하는데 불편함을 겪었을 뿐만 아니라 관리도 힘들게되었다. 이러한 불편함을 해소하고자 디렉토리 서비스라는 개념이 생성되게 되었는데, 예를 들면 우리가 일반적으로사용한는 윈도우 95/98의 윈도우 탐색기를 보면 디렉토리 폴더가 트리 형식으로 구조화 되어 있는 것을 볼 수 있을 것이다.이렇게 자원을 구조화 시키고 체계화 시킴으로서 자원의 관리와 효율적인 네트워크 환경을 중앙화 시켜 구축할 수 있다.디렉토리 서비스도 이렇게 유사한 구조로 네트워크 환경을 만들어 준다. 아주 구체적인 예시는 아니지면 어느 정도 감은올 것이다. 얼마나 디렉토리 구조를 잘 디자인하여 네트워크를 효율화 시키는 것이냐는 것은 사용자에게 달려 있다.모든 것이 마찬가지겠지만 계획이 틀어져 있는 사상누각식 디렉토리 서비스 구조는 차라리 없는 것 보다 못하다.
AD의 특징을 간략하게 살펴보면 아래와 같다.
- TCO (Total Coast of Ownership ; 총소유비용)를 줄일 수 있다.
AD의 그룹 정책(Group Policy)를 통해 사용자는 관리 콘솔(중앙)에서 애플리케이션을 인스톨하고 데스크탑 환경을설정할 수 있다.
- 간편해진 관리 (Simpified Administration)
AD는 사용자와 자원에 대한 정보를 단일 지역(Single Location)에서 저장 관리할 수 있어 네트워크 상의 사용자를찾고 자원을 좀 손쉽게 만들고 이용할 수 있다.
- 유연한 관리 (Flexible A\dministration)
AD는 특정 사용자나 컴퓨터에 특정 일에 대해 어드민 권한을 줌으로 해서 관리의 유연성을 높일 수 있다.
- 확장성 (Scalability)
윈도우 NT 4.0 서버는 오브젝트를 4만여개까지만 만들 수 있었지만 윈도우 2000 서버는 AD를 통해서 수백만개의오브젝트를 생성/관리가 가능하다.
- 표준 기반 프로토콜 (Standard-based protocol)
AD는 AD 정보에 대한 엑세스와 변경을 위해 LDAP (Lightweight Directory Access Protocol) 프로토콜을 사용한다.
Phil Shik Kim
---------------------------------------------------
NNCDS, NNCSS, NNCAS, MCSE
Enterprise Network Technical Support
Network Engineering Services
South Korea
email: sarancha@shinbiro.com
Web: <http://myhome.hananet.net/~sarancha>
원문 : http://odaeng.net/?mid=windows_board&sort_index=regdate&order_type=asc&document_srl=1597
'시스템 > window' 카테고리의 다른 글
| 도스 네트워크명령어 (0) | 2011.04.15 |
|---|---|
| MMC, 스냅인 (0) | 2011.03.16 |