smileNewfreedom

블로그 이미지
freedom 모든 자유와 시간을 위해.....
by 다크포스
01-20 22:31
  • 680,494Total hit
  • 7Today hit
  • 6Yesterday hit

CALENDAR

«   2022/01   »
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          

'ad'에 해당되는 글 7건

  1. 2008.01.07
    Windows Server 2008의 새로운 기능들에 대해서 -2 (2)
  2. 2008.01.04
    Active Directory의 새로운 기능 - Windows Server 2003 R2
  3. 2007.12.20
    Sysvol을 유지 관리하는 가장 좋은 방법 (2)
  4. 2007.11.27
    Active Directory 구조 및 저장소 기술
  5. 2007.11.27
    Active Directory의 변화 (2)
  6. 2007.11.26
    Active Directory 소개 (Windows 2003) (2)
  7. 2007.11.20
    OCS 설치시 AD 사용자 활성화(Windows 2003 64bit) (2)
Active Directory의 변화

Windows Server 2003 R2에서 처음으로 소개된 DFS v2를 액티브 디렉터리의 SYSVOL 복제시에도 사용하게 된다는 것은 이미 예견된 것이었습니다. DFS v2의 큰 변화는 바로 RDC(Remote Differencial Compression)의 사용이었습니다. RDC란 서버간 파일 복제시 최소의 네트워크 대역폭을 사용하면서 개체간 차이점만을 계산하고, 이를 복제해주는 알고리즘입니다. DFS v1을 사용하던 Windows 2000 Server, Windows Server 2003의 경우에는 두개의 머신이 최초 동기화를 한 후, 변경된 파일에 대해서는 변경된 부분이 1K에 불과하더라도 전체 파일을 재복제하는 복제 알고리즘을 사용하였습니다. 그러나, Windows Server 2003 R2에서의 DFS v2의 복제 방식에서는 변경된 부분만을 복제하는 RDC를 사용하였기 때문에, 최소의 네트워크 대역폭으로 복제가 가능해졌습니다. 본사와 지사가 네트워크상 거리가 먼 경우에, RDC와 같은 알고리즘은 파일 복제시 상당한 메리트로 작용하게 되었습니다. Windows Server 2003 R2에서는 DFS v2에서만 RDC를 사용하고 있었고, 도메인 컨트롤러(DC)간의 SYSVOL 복제시에는 여전히 FRS(File Replication Service)를 사용하였습니다. 바로 Windows Server 2008에서는 SYSVOL 복제시에도 DFS v2를 사용하게 됩니다.

DFS v2를 제외하고도 액티브 디렉터리의 변화 중 큰 것은 RODC(Read Only Domain Controller) 시나리오입니다. 지금까지의 DC간 복제는 양방향 복제였습니다.

RODC의 사용 시나리오는 다양합니다.

1. DMZ 레벨에서 사용자의 인증을 위해 DC가 필요한 경우
 

기업에서 사용자 인증을 위해 DMZ에 내부와 동일한 DC를 배치하는 것은 보안상의 이슈를 제기하며, 상당히 꺼려 합니다. 그러한 이유로 내부의 DC를 DMZ의 SQL과 복제하는 솔루션(자체 개발 or Microsoft MIIS)을 이용, 혹은 DMZ에 별도의 액티브 디렉터리를 구성하신 후, 내부 DC와의 트러스트 관계 설정, 마지막으로는 가장 비효율적이긴 하지만, IT 관리자가 직접 내부의 계정와 DMZ의 계정을 손수 동기화해주는 작업을 사용했었습니다. Windows Server 2008이 나오게 되면, DMZ에 배치시킨 RODC의 경우에는 쓰기 작업 자체가 불가능하기 때문에, 공격으로 인한 내부 인프라의 문제 발생은 상당 수 줄어들게 됩니다. RODC 기술에 연계되서 나오는 이야기가 결국은 Read-Only DFS, Read-Only DNS도 등장을 하겠죠 :)

RODC의 경우에는 모든 데이터는 읽기용으로만 가지고 있습니다. 사용자 암호까지 가지고 있는 경우, 이에 대한 보안적 문제는 사용자 암호 유출로 이어지지 않느냐라는 의구심을 가지실 수 있습니다만, 이럴 경우에 대비해 RODC는 기본적으로 사용자의 암호는 가지고 있지 아니하며, 커베로스(Kerberos) 인증시 TGT 요청에 대해서 내부 DC로 이를 프록시(Proxy)하게 되고, 인증 후, 티켓만 인증 대상자에게 부여하게 됩니다.

인증 성능에 대해서 이슈가 제기될 수 있으므로, 관리자의 설정에 따라 암호에 대해서 RODC가 캐시(Cache)할 것이냐에 대해서 당연히 설정하실 수 있습니다.

2. 본, 지사간 DC 구축시, 지사내 DC에 대한 관리, 보안에 대한 이슈가 생길 수 있는 경우
지사에 인증을 위해서 DC를 배치하는 경우는 다반사입니다. 그러나 해당 DC에 대한 관리 책임자 부재 혹은 DC에 대한 물리적 보안이 문제가 되는 경우에도 RODC를 사용하실 수 있습니다.

액티브 디렉터리에서 원하실 경우 관리 위임(Delegated Administration)이 가능한 것은 이미 Windows 2000 Server 시절부터의 이야기입니다. 이 경우, 누가, 어떠한 개체를 수정하였는지에 대해서까지는 감사가 가능하였지만, 어떠한 속성을 수정하였는지, 원래 값은 무엇이었는지는 감사가 되지 않았습니다. Windows Server 2008에서는 속성 레벨까지 감사가 가능합니다. 예를 들어 "꼬알라"라는 사용자 계정에 대해서, 백승주라는 사용자가 좋아하는 음료라는 속성 값을 우유에서 물로 변경한 사항에 대해서 모두 로그에 기록된다는 것입니다.

Windows Vista Enterprise, Ultimate 버전에서 사용 가능한 BitLocker를 서버에서도 지원함으로서, 서버의 물리적인 보안 레벨을 향상시킬 수 있습니다.

본, 지사간 시나리오에는 다소 연관성이 없지만, Windows Server 2008에서는 액티브 디렉터리가 서비스로 존재하게 됩니다. 이에 액티브 디렉터리에 대한 유지 보수 작업시 별도의 디렉터리 전용 모드로의 재부팅 없이, 간단하게 서비스를 재시작함으로서, 처리할 수 있습니다.

TRACKBACK 0 AND COMMENT 2
  1. Favicon of http://hot-women-2008.com/free/calendar-girl-song BlogIcon calendar girl song 2008.03.13 06:05 address edit/delete reply

    나는 너에 합의한다 이다. 그것은 이렇게 이다.

  2. Favicon of http://ftvinnocentangels.net/go/london-theatre-trip-foursome BlogIcon london theatre trip foursome 2008.05.23 04:36 address edit/delete reply

    걸출한 디자인! 좋은 디자인.




Active Directory 서비스는 전체 인프라를 대상으로 단일 로그온 기능과 중앙 리포지토리를 제공하여 사용자 및 컴퓨터 관리를 크게 단순화하고 네트워크 리소스에 대한 탁월한 액세스를 제공합니다. 이 문서에서는 Windows Server 2003에서 Active Directory가 갖는 이점과 새로운 기능 및 향상된 기능에 대해 간략적으로 설명합니다.

 Active Directory의 향상된 기능은 중/대규모 기업에 중요한 전략적 이점을 제공하여 관리자와 사용자의 생산성을 높여줍니다. Windows 2000을 토대로 하여 발전된 Windows Server 2003 Active Directory의 다기능성, 관리 효율성, 신뢰성을 개선했습니다. 조직에서는 기업의 다양한 요소들을 공유하고 관리하는 데 대한 효율성을 높이는 한편 비용은 더욱 큰 폭으로 절감하는 효과를 얻을 수 있습니다.

이점

설명

뛰어난 유연성

Active Directory는 새롭고 중요한 기능을 도입하여 오늘날 시장에서 가장 유연한 디렉터리 구조 중 하나입니다. 디렉터리 기능의 응용 프로그램이 갈수록 더욱 확산되기 때문에 조직에서는 Active Directory의 기능을 활용하여 매우 복잡한 엔터프라이즈 네트워크 환경을 관리할 수 있습니다. 인터넷 데이터 센터에서 널리 분산된 지사들로 구성된 기업에 이르기까지 Windows Server 2003이 제공하는 향상된 기능은 관리의 단순화하고 성능 및 효율성을 증대시켜 매우 다재다능한 솔루션이 되었습니다.

절감된 총 소유 비용(TCO)

Active Directory는 기업의 총 소유 비용(TCO)과 운영 비용을 절감할 수 있도록 개선되었습니다. 모든 수준의 제품에 다기능성을 확대하고 관리를 단순화하고 신뢰성을 높일 수 있는 새로운 기능과 향상된 기능이 제공되었습니다.


Windows Server 2003 R2의 새로운 기능

Windows Server 2003 R2에서 Active Directory는 유연한 추가 배포 옵션을 제공하고 UNIX 환경에 대한 상호 운용성을 지원하며 엑스트라넷 응용 프로그램 배포, 도메인 간 ID 연합 및 분산 응용 프로그램 디렉터리 배포 기능을 지원합니다.

이점

설명

Active Directory Federation Services (ADFS)

ADFS Windows Server 환경을 위한 웹 기반 엑스트라넷 인증/권한 부여, SSO(single sign-on) 및 연합 ID 서비스를 제공하며 B2C 엑스트라넷, 회사 간(다중 포리스트) 연합 및 B2B 인터넷 연합과 관련된 시나리오에서 기존 Active Directory 배포의 가치를 향상시켜 줍니다.

Active Directory Application Mode (ADAM)

이전에 웹 다운로드로 제공되던 ADAM(Active Directory Application Mode)이 현재는 Windows Server 미디어에 포함되었습니다. 인프라 기능이 없는 Active Directory의 독립 모드인 ADAM은 응용 프로그램에 디렉터리 서비스를 제공합니다. 독립 실행형 데이터 저장소로 작동하거나 Active Directory 도메인 컨트롤러와 상호 작용하는 ADAM의 유연성을 통해 관리자는 로컬 제어/자동화 또는 공유 서비스 수준에 맞게 자신의 디렉터리 서비스 인프라를 세부적으로 조정할 수 있습니다.

UNIX ID 관리

UNIX 통합 기능으로 AD 도메인 컨트롤러에서 마스터 NIS 서버 역할을 수행하고 UNIX Windows 환경에서 사용자 암호를 동기화함으로써 운영 체제 간의 중단 없는 사용자 액세스 및 효율적인 네트워크 리소스 관리 환경을 구성할 수 있습니다.

'.NET' 카테고리의 다른 글

Service Oriented Architecture(SOA) 란?  (0) 2008.01.25
여자친구 관리  (1) 2008.01.17
Active Directory의 새로운 기능 - Windows Server 2003 R2  (0) 2008.01.04
Team Foundation Server -2  (1) 2007.12.27
Team Foundation Server  (1) 2007.12.27
Team Foundation Server 설치 3 - WSS, TFS  (0) 2007.12.26
TRACKBACK 0 AND COMMENT 0



시스템 볼륨(Sysvol)은 도메인 전체에 걸쳐 공통으로 액세스할 수 있도록 공유해야 하는 파일의 기본 Active Directory 위치를 제공합니다. 도메인 컨트롤러의 Sysvol 폴더에는 다음 항목이 포함되어 있습니다.
일반적으로 Windows 2000 기반이 아닌 네트워크 클라이언트 컴퓨터의 로그온 스크립트와 정책 개체를 호스팅하는 Net Logon 공유
Windows 2000 Professional 기반 클라이언트와 Microsoft Windows 95, Microsoft Windows 98 또는 Microsoft Windows NT 4.0을 실행 중인 클라이언트의 사용자 로그온 스크립트
Windows 2000 그룹 정책
도메인 컨트롤러 간에 사용 가능하면서 동기화되어야 하는 파일 복제 서비스(FRS) 준비 폴더 및 파일
파일 시스템 연결
파일 시스템 연결은 NTFS 파일 시스템 3.0의 기능으로, Sysvol 구조에서 널리 사용됩니다. 연결 지점이 존재한다는 것과 이러한 연결 지점이 Sysvol 구조 수정 시 발생할 수 있는 데이터 손실이나 손상을 피할 수 있게 작동하는 방식을 알아야 합니다.

추가 정보

Sysvol은 재분석 지점(디렉터리 연결 및 볼륨 탑재 지점)이라고도 하는 연결 지점을 사용하여 단일 인스턴스 저장소를 관리합니다. 다음 다이어그램은 Windows 2000 기반 도메인 컨트롤러의 일반 Sysvol 구조를 보여주는 예입니다.
\Sysvol 
 |
 |____<도메인>
 |   |____Policies
 |   |____Scripts
 |
 |____Enterprise
 |   |____Policies
 |   |____Scripts
 |
 |____Staging
 |   |____Domain
 |   |____Enterprise
 |
 |____Staging Areas
 |   |____Enterprise                           연결> = Sysvol\Staging\Enterprise
 |   |____<Windows2000_domain.microsoft.com>   연결> = Sysvol\Staging\Domain
 |    
 |____Sysvol
 |   |____Enterprise                          연결> = Sysvol\Enterprise
 |   |____<Windows2000_domain.microsoft.com>  연결> = Sysvol\Domain
|
단일 인스턴스 저장소에서는 물리적 파일이 파일 시스템에 한 번만 존재합니다. 하지만 Sysvol에서는 물리적 파일이 다음 위치에 있습니다.
Sysvol\Domain 및 Sysvol\Staging\Domain

-또는-
Sysvol\Enterprise 및 Sysvol\Staging\Enterprise
추가 폴더 구조는 파일 입/출력을 원래 위치로 리디렉션하는 재분석 지점입니다. 다음 표는 Sysvol에서 연결 지점과 이러한 연결 지점이 확인되는 위치를 포함하는 폴더를 보여줍니다.
Sysvol 폴더 연결 지점 위치
Staging Areas\Enterprise Staging\Enterprise
Staging Areas\ DNS_domain_name Staging\Domain
Sysvol\Enterprise Enterprise
Sysvol\ Windows2000_domain .microsoft.com Domain
이 구성은 데이터 집합 인스턴스가 하나만 존재하도록 하여 데이터 일관성을 유지합니다. 또한 이 구성은 데이터 집합의 액세스 지점을 둘 이상 허용합니다. 예를 들어, 이 문서 앞부분의 예에서 설명한 Sysvol\Domain 또는 Sysvol\Sysvol\Windows2000_domain.microsoft.com의 경우 중복은 허용되지만 중복 파일은 허용되지 않습니다.

연결은 대상 파일 시스템 위치의 이름 공간(특정 이름이 확인될 수 있는 경계 영역)을 NTFS 볼륨에 접합합니다. NTFS는 기본 재분석 지점을 사용하여 작업을 대상 개체에 투명하게 다시 매핑할 수 있습니다. 따라서 Sysvol 구조에서 데이터를 수정하면 해당 사항이 이러한 물리적 파일에서 직접 변경됩니다. 또한 Sysvol 구조에서 연결 지점을 포함하는 이러한 폴더에 대해 잘라내기/붙여넣기 작업이나 복사/붙여넣기 작업을 수행하면 해당 작업이 연결 지점 정보에서 발생합니다.

Sysvol 구조에 대해서는 잘라내기/붙여넣기 작업이나 복사/붙여넣기 작업을 수행하지 않는 것이 좋은데, 이는 같은 서버에 대해 붙여넣기 작업을 수행할 때 특히 그렇습니다. Sysvol 구조에 대해 잘라내기/붙여넣기 작업이나 복사/붙여넣기 작업을 수행하면 실제 데이터의 복사본이 만들어지지 않고 연결 지점 정보의 복사본만 만들어집니다. 이 폴더에 나타나는 파일을 수정하면 원본 파일이 직접 수정됩니다.

Sysvol 구조를 수정하지 않는 것이 좋은데, 이는 Sysvol 구조 백업과 복원에도 적용됩니다. NTBackup.exe를 사용하여 Sysvol을 백업하면 기본적으로 폴더에 있는 연결 지점 정보의 백업이 백업 파일에 포함됩니다. 백업 파일에 있는 Sysvol 구조를 같은 서버의 다른 위치로 복원하는 경우에는 연결 지점 정보를 복원하지 말고 고급 복원 옵션을 사용하십시오.

연결 지점의 작동 방식과 이러한 연결 지점이 회사의 Active Directory에 미치는 영향을 이해하지 않은 상태로는 Sysvol에 대해 직접 파일을 수정하지 않는 것이 좋습니다.
TRACKBACK 0 AND COMMENT 2
  1. Favicon of http://hotgirlz-2008.net/bad-woman-sex BlogIcon bad woman sex 2008.03.13 06:11 address edit/delete reply

    너는 아름다운 웹사이트가 있는다!

  2. Favicon of http://desirefemme.net/go/onepiece-manga BlogIcon onepiece manga 2008.05.23 04:24 address edit/delete reply

    관심을 끌. 너가 좋을 동일할 지점을.




관리자는 Active Directory를 사용하여 네트워크상의 개체(예: 사용자, 컴퓨터, 장치 등)를 논리적 구조라고 알려진 보안된 계층 포함 구조에 저장 및 구성합니다. Active Directory의 논리적 구조가 모든 사용자, 컴퓨터 및 기타 물리적 리소스를 계층적으로 구성한 것이지만 포리스트와 도메인이 논리적 구조의 기초를 이룹니다. 논리적 구조의 보안 경계인 포리스트를 구성하여 조직에서 데이터 및 서비스 자율성과 격리성을 제공함으로써 사이트 및 그룹 ID를 모두 반영하고 물리적 토폴로지에 대한 종속성을 제거할 수 있습니다.

도메인을 포리스트로 구성하여 데이터 및 서비스 자율성(격리성은 제외)을 제공하고 특정 영역과의 복제를 최적화할 수 있습니다. 논리적 및 물리적 구조를 분리하면 관리 효율성이 향상되며 관리 비용이 절감되는데 이는 물리적 구조의 변경이 논리적 구조에 영향을 끼치지 않기 때문입니다. 또한 논리적 구조를 통해 데이터 액세스를 제어할 수 있습니다. 이는 논리적 구조를 사용하여 데이터를 구획하면 다양한 구획에 대한 액세스를 제어하여 데이터 액세스를 제어할 수 있다는 것을 의미합니다.

Active Directory에 저장된 데이터는 다양한 소스에서 제공될 수 있습니다. 매우 다양한 데이터 소스와 데이터 형식이 있기 때문에 Active Directory는 저장되는 데이터의 무결성을 유지할 수 있도록 여러 유형의 표준화된 저장소 메커니즘을 사용해야 합니다. Active Directory에서는 디렉터리에 정보를 저장하기 위해 개체가 사용되며 모든 개체는 스키마에 저장됩니다. 저장된 데이터가 유효하다는 것을 확인하기 위해 디렉터리에서 사용하는 데이터 형식 및 구문과 같은 정보가 개체 정의에 포함됩니다. 데이터를 저장하는 데 사용되는 개체가 스키마에 정의된 후에만 데이터를 디렉터리에 저장할 수 있습니다. Active Directory가 작동하는 데 필요한 모든 개체 정의가 기본 스키마에 포함되지만 사용자가 개체 정의를 기본 스키마에 추가할 수도 있습니다.

도메인 및 포리스트와 같은 요소로 구성된 논리적 구조를 통해 디렉터리가 사용자에게 노출되지만 디렉터리 자체는 포리스트의 모든 도메인 컨트롤러에 저장된 데이터베이스로 구성되는 물리적 구조를 통해 구현됩니다. Active Directory 데이터 저장소는 데이터베이스에 대한 모든 액세스를 처리합니다. 데이터 저장소는 서비스 및 물리적 파일로 구성됩니다. 이러한 서비스와 물리적 파일은 디렉터리를 사용 가능하게 만들고 각 도메인 컨트롤러의 하드 디스크에 존재하는 데이터베이스 내의 데이터를 읽고 쓰는 프로세스를 관리합니다.

Active Directory 구조 및 저장소 아키텍처

Active Directory 구조 및 저장소 아키텍처는 다음 네 개 부분으로 구성됩니다.

Active Directory 도메인 및 포리스트. 포리스트, 도메인 및 조직 구성 단위(OU)는 Active Directory 논리적 구조의 핵심 요소입니다. 포리스트는 단일 디렉터리를 정의하며 보안 경계를 나타냅니다. 포리스트에는 도메인이 포함됩니다.

Active Directory에 대한 DNS(Domain Name System) 지원. DNS는 조직 구조를 반영할 수 있는 명명 규칙을 제공하기 위해 Active Directory에서 사용할 수 있는 계층적 디자인과 도메인 컨트롤러 위치에 대한 이름 확인 서비스를 제공합니다.

스키마. 스키마는 디렉터리에 저장된 개체를 만드는 데 사용되는 개체 정의를 제공합니다.

데이터 저장소. 데이터 저장소는 각 도메인 컨트롤러에서 데이터의 저장과 검색을 관리하는 디렉터리의 일부입니다.

다음 그림은 Active Directory 데이터 구조 및 저장소 아키텍처를 보여 줍니다.

Active Directory 데이터 구조 및 저장소 아키텍처

Active Directory 데이터 구조 및 저장소 아키텍처

Active Directory 도메인 및 포리스트

도메인은 디렉터리를 단일 포리스트 내의 더 작은 섹션으로 분할합니다. 이 분할로 인해 데이터가 복제되는 방법을 더 많이 제어할 수 있으므로 효율적인 복제 토폴로지를 설정할 수 있고 불필요한 데이터 복제로 인해 네트워크 대역폭이 낭비되지 않습니다. OU를 사용하면 그룹 정책을 적용하거나 관리자에게 컨트롤을 위임하는 것과 같은 관리 목적을 위해 도메인의 리소스를 그룹화할 수 있습니다.

다음 그림은 논리적 구조 아키텍처에서 OU, 도메인 및 포리스트 간의 관계를 보여 줍니다.

논리적 구조 아키텍처

논리적 구조 아키텍처

Active Directory에 대한 DNS 지원

Windows Server 2003의 Active Directory는 DNS를 도메인 컨트롤러 위치 메커니즘으로 사용합니다. 인증, 업데이트 또는 검색과 같은 기본 Active Directory 작업이 수행되면 Windows Server 2003 컴퓨터는 DNS를 사용하여 Active Directory 도메인 컨트롤러를 찾습니다. 이러한 도메인 컨트롤러는 DNS를 사용하여 서로의 위치를 확인합니다. 예를 들어, Active Directory 사용자 계정을 가진 네트워크 사용자가 Active Directory 도메인에 로그온하면 사용자의 컴퓨터에서는 DNS를 사용하여 사용자가 로그온하려는 Active Directory 도메인의 도메인 컨트롤러를 찾습니다.

Active Directory 포리스트로 구성된 네트워크에 로그온하려면 클라이언트 워크스테이션은 먼저 근접한 도메인 컨트롤러를 찾을 수 있어야 합니다. 워크스테이션 및 사용자의 초기 인증과 사용자가 액세스해야 하는 파일 및 리소스에 대한 사용자의 후속 권한 부여에 도메인 컨트롤러가 필요합니다. Active Directory에 대한 DNS 지원을 통해 클라이언트 워크스테이션은 도메인 컨트롤러를 찾을 수 있습니다.

Active Directory 스키마

Active Directory 스키마에는 정보를 디렉터리에 저장하는 데 사용되는 모든 개체에 대한 정의가 포함되어 있습니다. 포리스트마다 하나의 스키마가 존재하지만 포리스트의 모든 도메인 컨트롤러에 스키마의 복사본이 존재합니다. 따리서 모든 도메인 컨트롤러에서는 필요한 모든 개체 정의에 신속하게 액세스할 수 있고 특정 개체를 만들 때 동일한 정의를 사용하게 됩니다. 데이터 저장소는 개체 정의를 제공하기 위해 스키마에 의존하고 데이터 저장소는 이러한 정의를 사용하여 데이터 무결성을 강제합니다. 결과적으로 모든 개체는 균등하게 작성됩니다. 또한 모든 도메인 컨트롤러에서 동일한 개체 정의가 사용되기 때문에 어떠한 도메인 컨트롤러에서 개체를 작성하거나 수정하는지는 중요하지 않습니다.

다음 그림은 스키마 아키텍처에서 스키마와 데이터 저장소 간의 관계를 보여 줍니다.

스키마 아키텍처

스키마 아키텍처

Active Directory 데이터 저장소

Active Directory 데이터 저장소는 디렉터리 서비스를 디렉터리 클라이언트에 제공하는 여러 구성 요소로 구성됩니다. 이러한 구성 요소에는 다음이 포함됩니다.

네 가지 인터페이스:

LDAP(Lightweight Directory Access Protocol)

복제(REPL) 및 도메인 컨트롤러 관리 인터페이스

MAPI(Messaging API)

SAM(보안 계정 관리자)

세 가지 서비스 구성 요소:

DSA(디렉터리 시스템 에이전트)

데이터베이스 레이어

ESE(Extensible Storage Engine)

데이터가 실제로 저장되는 디렉터리 데이터베이스

다음 그림은 데이터 저장소 아키텍처에서 이러한 구성 요소의 관계를 보여 줍니다.

데이터 저장소 아키텍처

데이터 저장소 아키텍처

Active Directory 구조 및 저장소 구성 요소

Active Directory의 구조 및 저장소에 대한 일부 구성 요소는 시스템에 의해 정의되므로 수정할 수 없지만 일부 구성 요소는 사용자가 정의할 수 있습니다.

포리스트, 도메인 및 OU는 Active Directory의 논리적 구조를 구성하는 구성 요소입니다. Active Directory를 설치하는 동안 이러한 구성 요소를 정의합니다.

Active Directory에 대한 DNS 지원에는 도메인 컨트롤러를 찾는 데 사용되고 DNS 명명 체계를 사용하는 구성 요소가 포함됩니다. 포리스트의 각 도메인은 DNS 명명 체계를 따라야 하며 도메인은 루트 및 하위 도메인 계층으로 구성됩니다.

스키마는 디렉터리 내에 존재하는 단일 구성 요소입니다. 디렉터리에 정보를 저장하는 데 사용되는 개체의 정의가 스키마에 포함되어 있습니다. 이러한 개체 정의는 두 가지 기본 구성 요소인 classSchema 개체와 attributeSchema 개체를 포함합니다.

데이터 저장소는 세 가지 레이어의 구성 요소로 구성됩니다. 첫 번째 레이어는 클라이언트가 디렉터리에 액세스하는 데 필요한 인터페이스를 제공합니다. 두 번째 레이어는 디렉터리 데이터베이스에서 데이터를 읽고 쓰는 것과 관련된 작업을 수행하는 서비스를 제공합니다. 세 번째 레이어는 각 도메인 컨트롤러의 하드 디스크에 하나의 파일로 존재하는 데이터베이스 자체입니다.


URL : http://www.microsoft.com/korea/technet/prodtechnol/windowsserver2003/library/TechRef/92b3b6cb-9eb3-4dd7-b5f6-3fa9be808082.mspx

TRACKBACK 0 AND COMMENT 0



가상화, 중앙 집중형 응용 프로그램 접근에 이어 세번째로 바뀌게 될 시나리오는 바로 본, 지사간 시나리오(BOIS - Branch Office Infrastructure Solution)입니다.

Windows Server 2003 R2에서 처음으로 소개된 DFS v2를 액티브 디렉터리의 SYSVOL 복제시에도 사용하게 된다는 것은 이미 예견된 것이었습니다. DFS v2의 큰 변화는 바로 RDC(Remote Differencial Compression)의 사용이었습니다. RDC란 서버간 파일 복제시 최소의 네트워크 대역폭을 사용하면서 개체간 차이점만을 계산하고, 이를 복제해주는 알고리즘입니다. DFS v1을 사용하던 Windows 2000 Server, Windows Server 2003의 경우에는 두개의 머신이 최초 동기화를 한 후, 변경된 파일에 대해서는 변경된 부분이 1K에 불과하더라도 전체 파일을 재복제하는 복제 알고리즘을 사용하였습니다. 그러나, Windows Server 2003 R2에서의 DFS v2의 복제 방식에서는 변경된 부분만을 복제하는 RDC를 사용하였기 때문에, 최소의 네트워크 대역폭으로 복제가 가능해졌습니다. 본사와 지사가 네트워크상 거리가 먼 경우에, RDC와 같은 알고리즘은 파일 복제시 상당한 메리트로 작용하게 되었습니다. Windows Server 2003 R2에서는 DFS v2에서만 RDC를 사용하고 있었고, 도메인 컨트롤러(DC)간의 SYSVOL 복제시에는 여전히 FRS(File Replication Service)를 사용하였습니다. 바로 Windows Server 2008에서는 SYSVOL 복제시에도 DFS v2를 사용하게 됩니다.

DFS v2를 제외하고도 액티브 디렉터리의 변화 중 큰 것은 RODC(Read Only Domain Controller) 시나리오입니다. 지금까지의 DC간 복제는 양방향 복제였습니다.

RODC의 사용 시나리오는 다양합니다.

1. DMZ 레벨에서 사용자의 인증을 위해 DC가 필요한 경우
 

기업에서 사용자 인증을 위해 DMZ에 내부와 동일한 DC를 배치하는 것은 보안상의 이슈를 제기하며, 상당히 꺼려 합니다. 그러한 이유로 내부의 DC를 DMZ의 SQL과 복제하는 솔루션(자체 개발 or Microsoft MIIS)을 이용, 혹은 DMZ에 별도의 액티브 디렉터리를 구성하신 후, 내부 DC와의 트러스트 관계 설정, 마지막으로는 가장 비효율적이긴 하지만, IT 관리자가 직접 내부의 계정와 DMZ의 계정을 손수 동기화해주는 작업을 사용했었습니다. Windows Server 2008이 나오게 되면, DMZ에 배치시킨 RODC의 경우에는 쓰기 작업 자체가 불가능하기 때문에, 공격으로 인한 내부 인프라의 문제 발생은 상당 수 줄어들게 됩니다. RODC 기술에 연계되서 나오는 이야기가 결국은 Read-Only DFS, Read-Only DNS도 등장을 하겠죠 :)

RODC의 경우에는 모든 데이터는 읽기용으로만 가지고 있습니다. 사용자 암호까지 가지고 있는 경우, 이에 대한 보안적 문제는 사용자 암호 유출로 이어지지 않느냐라는 의구심을 가지실 수 있습니다만, 이럴 경우에 대비해 RODC는 기본적으로 사용자의 암호는 가지고 있지 아니하며, 커베로스(Kerberos) 인증시 TGT 요청에 대해서 내부 DC로 이를 프록시(Proxy)하게 되고, 인증 후, 티켓만 인증 대상자에게 부여하게 됩니다.

인증 성능에 대해서 이슈가 제기될 수 있으므로, 관리자의 설정에 따라 암호에 대해서 RODC가 캐시(Cache)할 것이냐에 대해서 당연히 설정하실 수 있습니다.

2. 본, 지사간 DC 구축시, 지사내 DC에 대한 관리, 보안에 대한 이슈가 생길 수 있는 경우
지사에 인증을 위해서 DC를 배치하는 경우는 다반사입니다. 그러나 해당 DC에 대한 관리 책임자 부재 혹은 DC에 대한 물리적 보안이 문제가 되는 경우에도 RODC를 사용하실 수 있습니다.

액티브 디렉터리에서 원하실 경우 관리 위임(Delegated Administration)이 가능한 것은 이미 Windows 2000 Server 시절부터의 이야기입니다. 이 경우, 누가, 어떠한 개체를 수정하였는지에 대해서까지는 감사가 가능하였지만, 어떠한 속성을 수정하였는지, 원래 값은 무엇이었는지는 감사가 되지 않았습니다. Windows Server 2008에서는 속성 레벨까지 감사가 가능합니다. 예를 들어 "꼬알라"라는 사용자 계정에 대해서, 백승주라는 사용자가 좋아하는 음료라는 속성 값을 우유에서 물로 변경한 사항에 대해서 모두 로그에 기록된다는 것입니다.

Windows Vista Enterprise, Ultimate 버전에서 사용 가능한 BitLocker를 서버에서도 지원함으로서, 서버의 물리적인 보안 레벨을 향상시킬 수 있습니다.

본, 지사간 시나리오에는 다소 연관성이 없지만, Windows Server 2008에서는 액티브 디렉터리가 서비스로 존재하게 됩니다. 이에 액티브 디렉터리에 대한 유지 보수 작업시 별도의 디렉터리 전용 모드로의 재부팅 없이, 간단하게 서비스를 재시작함으로서, 처리할 수 있습니다.

결론적으론 본, 지사간 네트워크 레벨에서의 가치, 보안, 액티브 디렉터리의 관리 레벨에서의 가치를 얻으실 수 있습니다. :)

TRACKBACK 0 AND COMMENT 2
  1. Favicon of http://hot-womens-2008.net/susana-spears-viewpornstars BlogIcon susana spears viewpornstars 2008.03.13 05:54 address edit/delete reply

    친구는 너의 위치의 현재 팬이 되었다!

  2. Favicon of http://uncutmovs.net/go/contemporary-red-leather-sleeper-sofa BlogIcon contemporary red leather sleeper sofa 2008.05.23 05:37 address edit/delete reply

    우수한과 아주 도움이 되는!




Active Directory® 디렉터리 서비스는 Microsoft® Windows Server™ 2003, Standard Edition, Windows Server 2003, Enterprise Edition 및 Windows Server 2003, Datacenter Edition을 실행하는 서버에 설치할 수 있습니다. Active Directory는 네트워크상의 개체에 대한 정보를 저장하며 관리자와 사용자가 이 정보를 쉽게 찾아 사용할 수 있도록 합니다. Active Directory는 체계적인 데이터 저장소를 사용하여 디렉터리 정보를 논리적인 계층 구조로 조직합니다.

디렉터리라고도 하는 이 데이터 저장소는 Active Directory 개체에 대한 정보를 포함하고 있습니다. 일반적으로 이러한 개체에는 서버, 볼륨, 프린터 등의 공유 리소스와 네트워크 사용자 및 컴퓨터 계정이 포함됩니다. Active Directory 데이터 저장소에 대한 자세한 내용은 디렉터리 데이터 저장소 를 참조하십시오.

보안은 로그온 인증 및 디렉터리 개체에 대한 액세스 제어를 통해 Active Directory와 통합됩니다. 관리자는 단일 네트워크 로그온을 통해 네트워크 전체에 걸쳐 디렉터리 데이터 및 조직을 관리할 수 있으며 권한을 부여받은 네트워크 사용자는 네트워크의 모든 곳에 있는 리소스에 액세스할 수 있습니다. 정책 기반 관리를 통해 아주 복잡한 네트워크도 손쉽게 관리할 수 있습니다. Active Directory 보안에 대한 자세한 내용은 보안 개요 를 참조하십시오.

Active Directory에는 다음도 포함되어 있습니다.

디렉터리에 포함된 개체 및 특성 클래스, 이러한 개체의 인스턴스에 대한 제약 조건과 제한 및 개체의 이름 형식을 정의하는 규칙 모음(스키마) 스키마에 대한 자세한 내용은 스키마 를 참조하십시오.

디렉터리에 있는 모든 개체에 대한 정보를 포함하는 글로벌 카탈로그 글로벌 카탈로그는 디렉터리 내의 어떤 도메인이 실제로 데이터를 포함하고 있든 상관없이 사용자 및 관리자가 디렉터리 정보를 찾을 수 있도록 합니다. 글로벌 카탈로그에 대한 자세한 내용은 글로벌 카탈로그의 역할 을 참조하십시오.

네트워크 사용자나 응용 프로그램이 개체 및 개체 속성을 게시하고 찾을 수 있도록 해주는 쿼리 및 인덱스 메커니즘 디렉터리를 쿼리하는 방법에 대한 자세한 내용은 디렉터리 정보 찾기 를 참조하십시오.

네트워크 전체에 디렉터리 데이터를 배포하는 복제 서비스 도메인에 있는 모든 도메인 컨트롤러는 복제에 참여할 뿐만 아니라 소속 도메인에 대한 모든 디렉터리 정보의 전체 복제를 보유합니다. 디렉터리의 변경 내용은 모두 도메인에 있는 모든 도메인 컨트롤러에 복제됩니다. Active Directory 복제에 대한 자세한 내용은 복제 개요 를 참조하십시오.

Active Directory 클라이언트 소프트웨어에 대한 지원. 이에 따라 Microsoft® Windows® 2000 Professional 또는 Windows XP Professional 등이 포함됩니다.의 많은 기능을 Windows 95, Windows 98 및 Windows NT® Server 4.0 실행 컴퓨터에서 사용할 수 있습니다. Active Directory 클라이언트 소프트웨어를 실행하지 않는 클라이언트 컴퓨터에는 디렉터리가 Windows NT 디렉터리로 나타납니다. 클라이언트 소프트웨어에 대한 자세한 내용은 Active Directory 클라이언트 를 참조하십시오.

TRACKBACK 0 AND COMMENT 2
  1. Favicon of http://wet-girlz2008.com/bed-pjs BlogIcon bed pjs 2008.03.13 06:05 address edit/delete reply

    좋은 위치! 너를 감사하십시요.

  2. Favicon of http://petitmortfilms.net/dir/get-nailed-strapon BlogIcon get nailed strapon 2008.05.23 04:27 address edit/delete reply

    좋은 너를 위치! 감사하십시요.




AD 구성사항
1. AD에서 사용자를 추가해준다.
2 . 사용자 정보에 email과 전화번호를 적어준다.

Enable existing user for Communications Server

Windows 2003 Server 64bit 서버에서 사용자 AD User를 OCS 사용자로 활성화 시켜주는 script

<<EnableUsers.vbs>>
================================================================================================================
Set objUser = GetObject("LDAP://cn=dark,ou=OCS2007Users,dc=espresso,dc=com")

WScript.Echo "Enabling user '" & UCase(objUser.get("samAccountName")) & "' for Communications Server..."
strPrimaryUserAddress = "sip:" & objUser.get("mail")
WScript.Echo "Setting sip URI to '" & UCase(strPrimaryUserAddress) & "'"
bFederationEnabled = False
WScript.Echo "Federation enabled: " & CStr(bFederationEnabled)
nArchivingEnabled = 0
WScript.Echo "Archiving enabled: " & nArchivingEnabled
bInternetAccessEnabled = False
WScript.Echo "Remote user access enabled: " & CStr(bInternetAccessEnabled)
strLine = "tel:+3170778" & objUser.get("telephoneNumber") & ";ext=" & objUser.get("telephoneNumber")
WScript.Echo "Line URI: " & strLine


' The msRTCSIP-OptionFlags attribute specifies the different options that are enabled For
' the user. It's a bit-mask value of type integer. Each option is represented by a bit.
' Valid value types are:
' 1: Enabled for public IM connectivity
' 2: Reserved
' 4: Reserved
' 8: Reserved
' 16: RCC (Remote Call Control) enabled [telephony]
' 64: AllowOrganizeMeetingWithAnonymousParticipants
' 128: UCEnabled (enable user for unified communications)
' 256: EnabledForEnhancedPresence
' 512: RemoteCallControlDualMode
' 1024: Enable auto-attendant
' Example: 449 = 256 (Enhanced presence) + 128 (UC enabled) + 64 (anonym. participants) + 1 (public IM)
nOptionFlags = 256
WScript.Echo "user option flags: " & nOptionFlags & " (=EnabledForEnhancedPresence)"

strPrimaryHomeServer = "CN=LC Services,CN=Microsoft,CN=OCS2007CA, CN=RTC Service,CN=Microsoft,CN=System,DC=espresso,DC=com"
WScript.Echo "user will be homed on " & strPrimaryHomeServer

If MsgBox("Continue?", 4) <> 6 Then
        WSCript.quit
End If

WScript.Echo "YES clicked, setting Active Directory properties..."
objUser.put "msRTCSIP-PrimaryUserAddress", strPrimaryUserAddress
objUser.put "msRTCSIP-FederationEnabled", bFederationEnabled
objUser.put "msRTCSIP-ArchivingEnabled", nArchivingEnabled
objUser.put "msRTCSIP-InternetAccessEnabled", bInternetAccessEnabled
objUser.put "msRTCSIP-Line", strLine
'objUser.put "msRTCSIP-LineServer
'objUser.put "msRTCSIP-UserExtension
'objUser.put "msRTCSIP-UserPolicy
objUser.put "msRTCSIP-OptionFlags", nOptionFlags
'objUser.put "msRTCSIP-OriginatorSid
objUser.put "msRTCSIP-PrimaryHomeServer", strPrimaryHomeServer
'objUser.put "msRTCSIP-TargetHomeServer

objUser.put "msRTCSIP-UserEnabled", True
objUser.setinfo

'.NET > OCS' 카테고리의 다른 글

Microsoft Office Communicator 2007의 10가지 이점  (0) 2008.01.22
Microsoft Office Communicator 2007의 10가지 이점  (1) 2007.11.23
OCS 새로운 기능  (1) 2007.11.22
OCS 관련 기술 문서  (0) 2007.11.22
OCS 설치시 AD 사용자 활성화(Windows 2003 64bit)  (2) 2007.11.20
OCS 2007  (0) 2007.11.20
TRACKBACK 0 AND COMMENT 2
  1. Favicon of http://hotwomens-2008.com/hot/deep-creek-realty BlogIcon deep creek realty 2008.03.13 05:58 address edit/delete reply

    나의 친구는 너의 위치의 현재 팬이 되었다!

  2. Favicon of http://vidscafe.net/czn/escort-vip-london BlogIcon escort vip london 2008.05.23 05:24 address edit/delete reply

    유용한 정보. 좋은 디자인.





ARTICLE CATEGORY

분류 전체보기 (534)
멋진 사진들 (8)
배경화면들 (3)
.NET (112)
연애이슈 (65)
게임관련 (15)
경제 이슈 (60)
모델 (0)
사진(취미) (14)
노래 (8)
호주워킹홀리데이 (11)
Javascript (2)
Ajax (4)
스포츠 (74)
우주/과학/생활 (95)
Windows 2008 (19)
Silverlight (2)
여행 (6)
MS 자격증 (2)
해외이슈 (4)
IT정보 (16)
Server (5)
애니매이션 (9)