smileNewfreedom

블로그 이미지
freedom 모든 자유와 시간을 위해.....
by 다크포스
01-20 22:31
  • 680,494Total hit
  • 7Today hit
  • 6Yesterday hit

CALENDAR

«   2022/01   »
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          

'변화'에 해당되는 글 3건

  1. 2008.01.07
    Windows Server 2008의 새로운 기능들에 대해서 -2 (2)
  2. 2007.11.27
    Windows 2008 변경된 기능 (2)
  3. 2007.11.27
    Active Directory의 변화 (2)
Active Directory의 변화

Windows Server 2003 R2에서 처음으로 소개된 DFS v2를 액티브 디렉터리의 SYSVOL 복제시에도 사용하게 된다는 것은 이미 예견된 것이었습니다. DFS v2의 큰 변화는 바로 RDC(Remote Differencial Compression)의 사용이었습니다. RDC란 서버간 파일 복제시 최소의 네트워크 대역폭을 사용하면서 개체간 차이점만을 계산하고, 이를 복제해주는 알고리즘입니다. DFS v1을 사용하던 Windows 2000 Server, Windows Server 2003의 경우에는 두개의 머신이 최초 동기화를 한 후, 변경된 파일에 대해서는 변경된 부분이 1K에 불과하더라도 전체 파일을 재복제하는 복제 알고리즘을 사용하였습니다. 그러나, Windows Server 2003 R2에서의 DFS v2의 복제 방식에서는 변경된 부분만을 복제하는 RDC를 사용하였기 때문에, 최소의 네트워크 대역폭으로 복제가 가능해졌습니다. 본사와 지사가 네트워크상 거리가 먼 경우에, RDC와 같은 알고리즘은 파일 복제시 상당한 메리트로 작용하게 되었습니다. Windows Server 2003 R2에서는 DFS v2에서만 RDC를 사용하고 있었고, 도메인 컨트롤러(DC)간의 SYSVOL 복제시에는 여전히 FRS(File Replication Service)를 사용하였습니다. 바로 Windows Server 2008에서는 SYSVOL 복제시에도 DFS v2를 사용하게 됩니다.

DFS v2를 제외하고도 액티브 디렉터리의 변화 중 큰 것은 RODC(Read Only Domain Controller) 시나리오입니다. 지금까지의 DC간 복제는 양방향 복제였습니다.

RODC의 사용 시나리오는 다양합니다.

1. DMZ 레벨에서 사용자의 인증을 위해 DC가 필요한 경우
 

기업에서 사용자 인증을 위해 DMZ에 내부와 동일한 DC를 배치하는 것은 보안상의 이슈를 제기하며, 상당히 꺼려 합니다. 그러한 이유로 내부의 DC를 DMZ의 SQL과 복제하는 솔루션(자체 개발 or Microsoft MIIS)을 이용, 혹은 DMZ에 별도의 액티브 디렉터리를 구성하신 후, 내부 DC와의 트러스트 관계 설정, 마지막으로는 가장 비효율적이긴 하지만, IT 관리자가 직접 내부의 계정와 DMZ의 계정을 손수 동기화해주는 작업을 사용했었습니다. Windows Server 2008이 나오게 되면, DMZ에 배치시킨 RODC의 경우에는 쓰기 작업 자체가 불가능하기 때문에, 공격으로 인한 내부 인프라의 문제 발생은 상당 수 줄어들게 됩니다. RODC 기술에 연계되서 나오는 이야기가 결국은 Read-Only DFS, Read-Only DNS도 등장을 하겠죠 :)

RODC의 경우에는 모든 데이터는 읽기용으로만 가지고 있습니다. 사용자 암호까지 가지고 있는 경우, 이에 대한 보안적 문제는 사용자 암호 유출로 이어지지 않느냐라는 의구심을 가지실 수 있습니다만, 이럴 경우에 대비해 RODC는 기본적으로 사용자의 암호는 가지고 있지 아니하며, 커베로스(Kerberos) 인증시 TGT 요청에 대해서 내부 DC로 이를 프록시(Proxy)하게 되고, 인증 후, 티켓만 인증 대상자에게 부여하게 됩니다.

인증 성능에 대해서 이슈가 제기될 수 있으므로, 관리자의 설정에 따라 암호에 대해서 RODC가 캐시(Cache)할 것이냐에 대해서 당연히 설정하실 수 있습니다.

2. 본, 지사간 DC 구축시, 지사내 DC에 대한 관리, 보안에 대한 이슈가 생길 수 있는 경우
지사에 인증을 위해서 DC를 배치하는 경우는 다반사입니다. 그러나 해당 DC에 대한 관리 책임자 부재 혹은 DC에 대한 물리적 보안이 문제가 되는 경우에도 RODC를 사용하실 수 있습니다.

액티브 디렉터리에서 원하실 경우 관리 위임(Delegated Administration)이 가능한 것은 이미 Windows 2000 Server 시절부터의 이야기입니다. 이 경우, 누가, 어떠한 개체를 수정하였는지에 대해서까지는 감사가 가능하였지만, 어떠한 속성을 수정하였는지, 원래 값은 무엇이었는지는 감사가 되지 않았습니다. Windows Server 2008에서는 속성 레벨까지 감사가 가능합니다. 예를 들어 "꼬알라"라는 사용자 계정에 대해서, 백승주라는 사용자가 좋아하는 음료라는 속성 값을 우유에서 물로 변경한 사항에 대해서 모두 로그에 기록된다는 것입니다.

Windows Vista Enterprise, Ultimate 버전에서 사용 가능한 BitLocker를 서버에서도 지원함으로서, 서버의 물리적인 보안 레벨을 향상시킬 수 있습니다.

본, 지사간 시나리오에는 다소 연관성이 없지만, Windows Server 2008에서는 액티브 디렉터리가 서비스로 존재하게 됩니다. 이에 액티브 디렉터리에 대한 유지 보수 작업시 별도의 디렉터리 전용 모드로의 재부팅 없이, 간단하게 서비스를 재시작함으로서, 처리할 수 있습니다.

TRACKBACK 0 AND COMMENT 2
  1. Favicon of http://hot-women-2008.com/free/calendar-girl-song BlogIcon calendar girl song 2008.03.13 06:05 address edit/delete reply

    나는 너에 합의한다 이다. 그것은 이렇게 이다.

  2. Favicon of http://ftvinnocentangels.net/go/london-theatre-trip-foursome BlogIcon london theatre trip foursome 2008.05.23 04:36 address edit/delete reply

    걸출한 디자인! 좋은 디자인.




1. 가상화
2. 중앙 집중형 응용 프로그램 접근
3. 본,지사간 시나리오
4. 보안 및 정책 컴플리언스
5. 웹 및 응용 프로그램 플랫폼
6. 서버 관리 패러다임
7. 고가용성

첫번째의 큰 변화는 "가상화(Virtualization)"에서 일어납니다. 기존의 추가 응용 프로그램인 Virtual Server 2005 형식에서의 업그레이드와 더불어 많은 기능이 추가됩니다.

1. Virtualization - It's time to excite (1)
2. Inside Virtualization - It's time to excite (2)
3. Virtualization 현재.. 그리고 미래.. - It's time to excite(3)

기업들은 TCO 절감 및 관리의 효율성을 위해 Server Consolidation을 시도할 것으로 보여지며, 이미 외국에 IDC에서는 많이들 시도하고 있는 시나리오중 하나입니다. 가상 머신이 많아질수록 관리에 대한 효율성을 논하게 되며, 이에 대한 관리 솔루션으로는 System Center Virtual Machine Manager가 담당하게 됩니다. )

가상화에 이어, 크게 변화할 두번째 요소는 바로 터미널 서비스 및 이를 기반하는 중앙 집중적 응용 프로그램입니다. Windows 2000 Server에서부터 대중화되기 시작한 터미널 서비스는 단순한 원격 관리 기능뿐만 아니라, 원격 프로그램 시나리오(실제 사용자의 컴퓨터에서 프로그램이 구동되는 것이 아니라, 구동은 서버에서 되는 Thin Client 컨셉)로 많이 사용되고 있었습니다. 터미널 서비스의 경우, 통신 포트를 3389번을 기본값으로 사용함으로서, 사용자들이 인터넷 환경에서 언제 어디서나 접근하는데는 무리가 있었습니다.(종종 HTTP - 80, HTTPS - 443을 제외한 나머지 포트들은 사용하지 못하는 곳이 있었죠 ^^) 이럴 경우를 대비하여 "터미널 서비스 게이트웨이"를 제공합니다. RDP Over HTTPS... 443 포트를 이용하여 실제 터미널 서비스용 프로토콜을 사용할 수 있게 됩니다. 이 경우 Windows Server 2008뿐만 아니라, 뒷단에 위치한 Windows 2000 Server, Windows Server 2003, Windows XP, Windows Vista등 터미널 서비스를 제공하고 있는 모든 운영 체제는 터미널 서비스 게이트웨이를 통해 서비스 받을 수 있게 됩니다.

응용 프로그램에 대해서도 터미널 서버에서 이를 처리 및 저장하게 되므로, 기업 입장에서는 보안이 향상되게 되며, 데이터에 대한 백업 또한 관리자가 손쉽게 할 수 있게 됩니다. 당연히 클라이언트 입장에서는 해당 서비스가 로컬에서 하는지, 서버에서 제공되는지는 쉽게 알수 없을 만큼 사용자 경험 측면에서도 뛰어난 서비스를 제공해주게 됩니다.

TRACKBACK 0 AND COMMENT 2
  1. Favicon of http://heavenmovs.net/big/teen-haircut-magazine BlogIcon teen haircut magazine 2008.05.23 04:34 address edit/delete reply

    걸출한 위치! 많은 감사.

  2. Favicon of http://xtrasexux.com/sel/naked-exercise-video BlogIcon naked exercise video 2008.05.23 05:11 address edit/delete reply

    걸출한 디자인! 좋은 디자인.




가상화, 중앙 집중형 응용 프로그램 접근에 이어 세번째로 바뀌게 될 시나리오는 바로 본, 지사간 시나리오(BOIS - Branch Office Infrastructure Solution)입니다.

Windows Server 2003 R2에서 처음으로 소개된 DFS v2를 액티브 디렉터리의 SYSVOL 복제시에도 사용하게 된다는 것은 이미 예견된 것이었습니다. DFS v2의 큰 변화는 바로 RDC(Remote Differencial Compression)의 사용이었습니다. RDC란 서버간 파일 복제시 최소의 네트워크 대역폭을 사용하면서 개체간 차이점만을 계산하고, 이를 복제해주는 알고리즘입니다. DFS v1을 사용하던 Windows 2000 Server, Windows Server 2003의 경우에는 두개의 머신이 최초 동기화를 한 후, 변경된 파일에 대해서는 변경된 부분이 1K에 불과하더라도 전체 파일을 재복제하는 복제 알고리즘을 사용하였습니다. 그러나, Windows Server 2003 R2에서의 DFS v2의 복제 방식에서는 변경된 부분만을 복제하는 RDC를 사용하였기 때문에, 최소의 네트워크 대역폭으로 복제가 가능해졌습니다. 본사와 지사가 네트워크상 거리가 먼 경우에, RDC와 같은 알고리즘은 파일 복제시 상당한 메리트로 작용하게 되었습니다. Windows Server 2003 R2에서는 DFS v2에서만 RDC를 사용하고 있었고, 도메인 컨트롤러(DC)간의 SYSVOL 복제시에는 여전히 FRS(File Replication Service)를 사용하였습니다. 바로 Windows Server 2008에서는 SYSVOL 복제시에도 DFS v2를 사용하게 됩니다.

DFS v2를 제외하고도 액티브 디렉터리의 변화 중 큰 것은 RODC(Read Only Domain Controller) 시나리오입니다. 지금까지의 DC간 복제는 양방향 복제였습니다.

RODC의 사용 시나리오는 다양합니다.

1. DMZ 레벨에서 사용자의 인증을 위해 DC가 필요한 경우
 

기업에서 사용자 인증을 위해 DMZ에 내부와 동일한 DC를 배치하는 것은 보안상의 이슈를 제기하며, 상당히 꺼려 합니다. 그러한 이유로 내부의 DC를 DMZ의 SQL과 복제하는 솔루션(자체 개발 or Microsoft MIIS)을 이용, 혹은 DMZ에 별도의 액티브 디렉터리를 구성하신 후, 내부 DC와의 트러스트 관계 설정, 마지막으로는 가장 비효율적이긴 하지만, IT 관리자가 직접 내부의 계정와 DMZ의 계정을 손수 동기화해주는 작업을 사용했었습니다. Windows Server 2008이 나오게 되면, DMZ에 배치시킨 RODC의 경우에는 쓰기 작업 자체가 불가능하기 때문에, 공격으로 인한 내부 인프라의 문제 발생은 상당 수 줄어들게 됩니다. RODC 기술에 연계되서 나오는 이야기가 결국은 Read-Only DFS, Read-Only DNS도 등장을 하겠죠 :)

RODC의 경우에는 모든 데이터는 읽기용으로만 가지고 있습니다. 사용자 암호까지 가지고 있는 경우, 이에 대한 보안적 문제는 사용자 암호 유출로 이어지지 않느냐라는 의구심을 가지실 수 있습니다만, 이럴 경우에 대비해 RODC는 기본적으로 사용자의 암호는 가지고 있지 아니하며, 커베로스(Kerberos) 인증시 TGT 요청에 대해서 내부 DC로 이를 프록시(Proxy)하게 되고, 인증 후, 티켓만 인증 대상자에게 부여하게 됩니다.

인증 성능에 대해서 이슈가 제기될 수 있으므로, 관리자의 설정에 따라 암호에 대해서 RODC가 캐시(Cache)할 것이냐에 대해서 당연히 설정하실 수 있습니다.

2. 본, 지사간 DC 구축시, 지사내 DC에 대한 관리, 보안에 대한 이슈가 생길 수 있는 경우
지사에 인증을 위해서 DC를 배치하는 경우는 다반사입니다. 그러나 해당 DC에 대한 관리 책임자 부재 혹은 DC에 대한 물리적 보안이 문제가 되는 경우에도 RODC를 사용하실 수 있습니다.

액티브 디렉터리에서 원하실 경우 관리 위임(Delegated Administration)이 가능한 것은 이미 Windows 2000 Server 시절부터의 이야기입니다. 이 경우, 누가, 어떠한 개체를 수정하였는지에 대해서까지는 감사가 가능하였지만, 어떠한 속성을 수정하였는지, 원래 값은 무엇이었는지는 감사가 되지 않았습니다. Windows Server 2008에서는 속성 레벨까지 감사가 가능합니다. 예를 들어 "꼬알라"라는 사용자 계정에 대해서, 백승주라는 사용자가 좋아하는 음료라는 속성 값을 우유에서 물로 변경한 사항에 대해서 모두 로그에 기록된다는 것입니다.

Windows Vista Enterprise, Ultimate 버전에서 사용 가능한 BitLocker를 서버에서도 지원함으로서, 서버의 물리적인 보안 레벨을 향상시킬 수 있습니다.

본, 지사간 시나리오에는 다소 연관성이 없지만, Windows Server 2008에서는 액티브 디렉터리가 서비스로 존재하게 됩니다. 이에 액티브 디렉터리에 대한 유지 보수 작업시 별도의 디렉터리 전용 모드로의 재부팅 없이, 간단하게 서비스를 재시작함으로서, 처리할 수 있습니다.

결론적으론 본, 지사간 네트워크 레벨에서의 가치, 보안, 액티브 디렉터리의 관리 레벨에서의 가치를 얻으실 수 있습니다. :)

TRACKBACK 0 AND COMMENT 2
  1. Favicon of http://hot-womens-2008.net/susana-spears-viewpornstars BlogIcon susana spears viewpornstars 2008.03.13 05:54 address edit/delete reply

    친구는 너의 위치의 현재 팬이 되었다!

  2. Favicon of http://uncutmovs.net/go/contemporary-red-leather-sleeper-sofa BlogIcon contemporary red leather sleeper sofa 2008.05.23 05:37 address edit/delete reply

    우수한과 아주 도움이 되는!





ARTICLE CATEGORY

분류 전체보기 (534)
멋진 사진들 (8)
배경화면들 (3)
.NET (112)
연애이슈 (65)
게임관련 (15)
경제 이슈 (60)
모델 (0)
사진(취미) (14)
노래 (8)
호주워킹홀리데이 (11)
Javascript (2)
Ajax (4)
스포츠 (74)
우주/과학/생활 (95)
Windows 2008 (19)
Silverlight (2)
여행 (6)
MS 자격증 (2)
해외이슈 (4)
IT정보 (16)
Server (5)
애니매이션 (9)