2.Active Directory의 개요

.Active Directory의 개요

Active Directory를 단적으로 표현한다면 'Windows2000이 제공하는 Directory Database'라고 할 수 있다. 네트워킹에서 디렉토리라고 하는 것은 필수적인 요소이다. Active Directory를 하나의 메이커 형태로 생각하면 이해가 쉽다. 이를 테면 'Active Directory는 Windows 2000의 디렉토리이다'라고. 1장에서 디렉토리의 필요성에 대해서는 언급을 한 바 있다. 서버가 자신의 자원에 접근을 원하는 사용자들에게 권한을 부여하고자 한다면 서버는 디렉토리를 필요로 한다. 사용자가 네트워크상에 자원에 접근을 하고자 한다면 역시 디렉토리를 필요로 한다. 이 정도가 NT4.0 에서의 디렉토리 서비스가 제공하는 기능의 대부분이었다.

Windows 2000의 디렉토리서비스인 Active Directory는 이름에서부터 알 수 있듯이 NT4.0에서의 그것보다는 훨씬 포괄적인 기능을 제공한다. NT4.0의 디렉토리 데이터베이스에 저장되던 정보가 사용자 계정, 그룹계정, 컴퓨터계정이 전체였던 것에 비교해서 Windows 2000의 Active Directory는 공유폴더, 공유프린터, 연락처, OU 등의 추가정보(object라고 부른다)를 저장할 수가 있다. 만일 자원을 가진 서버나 자원에 접근하기를 원하는 사용자가 네트워크에서 이들 자원을 찾고자 한다면 사용자들은 Active Directory를 검색함으로써 원하는 자원의 위치정보를 얻어낼 수 있게 된다. NT4.0과 비교하여 Windows2000이 제공하는 커다란 장점중의 하나이다.

Windows 2000의 Active Directory에 만들 수 있는 개체(object)의 종류를 정리하면 다음과 같다. 실제로 Active Directory에는 훨씬 더 많은 정보가 있지만 관리도구를 통해서 만들 때 눈에 보이는 것은 대략 이 정도가 된다.

① 사용자 (User Account)
② 컴퓨터 (Computer Account)
③ 그룹 (Group Account)
④ 프린터
⑤ 연락처 (Contact)
⑥ 공유폴더 (Shared Folder)

그렇다면 사용자가 네트워크에 있는 공유폴더에 접근을 원한다면? 지금까지는 어떻게 했었는지를 생각해 보면, 네트워크 환경을 클릭하여 원하는 공유폴더를 가진 서버를 찾아서 헤매거나 조금 잘 아는 사용자라면 UNC (Universal Naming Convention) 경로를 이용해서 접근을 시도했다. 불편하기 짝이 없는 노릇이다. 또, 부산에 있는 지사의 회계직원이 본사의 회계담당자에게 전화를 하기 위해 전화번호를 찾는다면 기껏해야 회사 연락망이라고 해서 프린트 해준 주소록을 찾아서 전화번호를 알아내곤 했을 것이다. 이젠 더 이상 그럴 필요가 없다. 네트워크에 존재하는 모든 정보는 Active Directory가 가지고 있다. 사용자는 단지 Active Directory에 쿼리하는 방법만 배우면 되는 것이다. 나머지는 Active Directory가 잘 해결해 준다. <화면1>을 보면 클라이언트가 Active Directory에 '오피스'라는 키워드로 공유폴더를 검색하고 결과를 제공받은 것을 볼 수 있다.


< 화면1. Active Directory Resource Query >

Active Directory를 갖췄다는 것은 회사의 네트워크 관리 모델로써 '도메인'을 채택했다는 것을 의미한다. 1장에서 설명한 도메인으로서의 장점을 갖게 된 것은 당연한 결과이다.

지금까지 디렉토리에 대한 필요성, Active Directory의 개념에 대해서 살펴보았다. 지금부터는 Windows 2000의 Active Directory에 대해서 자세히 접근해 보도록 한다.

Active Directory가 지원하는 프로토콜에 대해 알아보자. Windows 2000에서 지원하는 Active Directory는 대부분 산업표준 프로토콜을 채택했다. 이것은 큰 의미가 있다. 산업 표준 프로토콜을 채택했다는 것은 더 이상 독불장군이 아니라 마이크로소프트의 솔루션이 아닌 다른 벤더의 OS 및 제품들과의 호환성 측면이 한층 강화되었다는 것을 의미하기 때문이다. 어차피 디렉토리라고 하는 것은 MS뿐만이 아니라 모든 벤더가 고려해야할 부분이 될 것이므로 한 기업이 전체 기업환경에서의 '글로벌 디렉토리(Global Directory)'를 필요로 한다면 여러 가지 시스템이 섞여 있는 이기종(異機種)에서 Active Directory는 제성능을 발휘해 줄 것이다. 또 다른 측면으로는 기업내에서 개발되는 인트라넷 어플리케이션의 경우 역시 디렉토리를 필요로 하는데, Active Directory는 표준 프로토콜을 채택함으로써 이러한 경우에도 예전에 비해 보다 용이하게 기업이 Active Directory를 선택하도록 유도할 것이다.

Active Directory가 지원하는 프로토콜 ① Active Directory : Windows 2000에서는 이전 버전에서 사용하던 평면적인(flat) 형태의 NetBIOS 도메인 이름은 하위호환성을 위해서만 제공하고 도메인의 이름서비스로서 DNS를 채택했다. 또한 도메인 컨트롤러를 찾는 요청에 WINS가 아닌 DNS서버가 사용되게 된다. ② TCP/IP (Transmission Control Protocol / Internet Protocol): TCP/IP를 Windows2000의 기본프로토콜로 채택함으로써 인터넷 통신에 최적화된 시스템운영을 가능하게 한다. ③ DHCP (Dynamic Host Configuration Protocol): Active Directory로부터 승인을 얻지 못한 DHCP서비스를 stop시킴으로써 잘못된 DHCP서버로 인한 클라이언트의 IP획득 실패등의 오류를 해결했다. ④ Kerberos : 도메인 환경에서 이전의 NTLM을 대체할 보안 인증 프로토콜이다. 이것은 Single Sign On과 상호인증을 제공한다. ⑤ X.509 : 이것은 PKI (Public Key Infrastructure)기반 인증서(Certificate) 서비스의 표준 프로토콜이다. Active Directory는 X.509 표준을 지원하며 인증서와 사용자계정의 매핑을 통하여 사용자를 인증할 수 있도록 제공하고 있다. ⑥ SNTP (Simple Network Time Protocol) : Windows 2000에서 로그온을 할 때 사용자가 로그온하는 시간정보가 사용된다. 로그온 서버와 클라이언트의 시간이 일치하지 않는다면 사용자는 로그온을 실패하게 된다. 도메인 컨트롤러는 Time Server 로 동작하고 도메인의 멤버인 클라이언트들의 시간과 동기화를 제공하게 된다. 그때 SNTP 프로토콜이 사용된다. 필자 역시 이 서비스를 깜박하고 노트북의 CMOS 배터리를 교환하는 실수를 했던 적이 있다. ⑦ LDAP (Lightweight Directory Access Protocol): Active Directory 에 접근할 때 사용하는 프로토콜이다. Windows 2000 의 ctive Directory 는 LDAP 프로토콜에 근간을 두고 있다. 역시 사용자가 Active Directory에 쿼리를 하고자 한다면 LDAP 프로토콜을 필요로 한다. 이때 도메인 컨트롤러는 LDAP서버이고 사용자의 컴퓨터는 LDAP 클라이언트가 된다. ⑧ LDIF (LDAP Data Interchange Format): 도메인 컨트롤러 간의 Active Directory Database Replication시 사용되는 프로토콜이다.

지금까지 Windows 2000의 Active directory에 대하여 개괄적인 내용을 살펴보았다. 다음장에서는 Active directory의 구조, 이름체계 등을 살펴보도록 한다.

출처 : Tong - yook81님의 기본통