잡다구리
3-1.Active Directory의 구조 및 이름
짠가
2007. 7. 4. 10:32
. Active Directory의 구조 및 이름 (계속)
앞에서 설명한 구조는 논리적인 관점의 Active Directory구조였다. 이것만으로는 부족하다. 실제 환경에서는 훨씬 더 다양한 요구가 있기 마련이기 때문이다. 한가지 상황을 가정해 보자. A회사는 서울에 본사를 두고 대전과 부산에 각각 지사를 두고 있다. 이 회사는 secure.pe.kr이라는 하나의 도메인을 구축했고 서울,대전,부산에 각각 5대,3대,3대씩 총 11개의 도메인 컨트롤러가 셋업이 되어 있다. 서울과 대전, 부산간에는 WAN으로 연결이 되어 있고 모든 클라이언트는 Windows2000 Professional을 사용하고 있다. 관리자는 도메인 컨트롤러간의 Replication, 사용자들의 Logon, Active Directory의 Query에 대한 빠른 응답시간 등 회사 전체의 네트워크 환경을 최적화하고자 한다. 각각의 지역간에 상대적으로 느린 WAN환경에서 어떤 방법을 고려해야 할까?
-사이트 (Sites)
도메인이라는 논리적인 단위로는 해결할 수 없는 부분이 바로 이러한 것이다. 마이크로소프트는 Active Directory에 사이트(Sites)라는 물리적인 단위를 제공함으로써 해결해 주고 있다. 결국 회사의 지리적인 측면을 반영하여 도메인과 사이트를 적절히 활용하여 논리적,물리적인 측면에서 최적화된 네트워크 환경을 제공하고 있는 것이다. 위와 같은 예제에서 우리는 회사 전체를 하나의 도메인으로 묶을 수 있고, 서울,대전,부산 등 각 지역을 각각의 사이트로 설정할 수 있다. 그렇게 설정을 하면 클라이언트들은 DNS통해서 자신의 사이트에 있는 도메인컨트롤러를 찾을 수 있게 되고, 사이트내에서와 사이트간에서의 도메인 컨트롤러간의 리플리케이션은 각각 다른 방법을 사용함으로써 최적화를 이뤄낼 수가 있게 된다.
사이트(Sites)는 잘 연결된 IP Subnet들의 집합이다. "잘 연결된"의 뜻은 "충분한 대역폭이 확보되는.."이라는 뜻으로 해석하는 것이 좋겠다. 도대체 얼마큼 대역폭이 확보되어야 잘 연결되었다는 표현을 할 수 있을 것인가? 이것에 대한 정답은 없다. 회사마다 주관적인 설정이 가능할 것이기 때문이다. 56K모뎀으로 연결된 라인이더라도 쓰는데 불편함이 없다면 그 둘의 지역과 지역을 묶어서 하나의 사이트로 만들 수도 있는 것이다. 설사 T1으로 연결되어 있더라도 사용자가 많고 인터넷 액세스가 많아서 지역과 지역간에 제대로 연결이 되기 어렵다면 그들은 두 개의 사이트로 구분이 될 수도 있다. 어디까지나 관리자의 판단이 가장 중요한 요소가 될 수 있다.
[화면1. Active Directory 사이트 관리콘솔]
(2)Active Directory의 이름
Active Directory에서 사용하는 이름체계에 대해서 공부할 필요가 있다. NT4.0에 익숙한 관리자라면 Windows2000의 다양한 이름이 다소 생소할 수도 있을 것이다. Windows2000에서 Active Directory를 쿼리하는데 LDAP프로토콜을 사용한다. 이름을 짓는 방법 역시 LDAP의 표준에 맞게 구현되어 있다. 다만 Microsoft는 Windows2000의 Active Directory Object들의 이름을 짓는데 완전한 LDAP이 아닌 특별한 방법을 따라서 구현했다. LDAP Name과 DNS Name체계를 결합시킨 것이다. Active Directory내에서는 LDAP체계를 이용하고, 회사를 구별하는 방법으로는 DNS Name을 이용했다.
- DN (Distinguished Name) : Active Directory내에서 User, Computer등 각각의 Object를 유일하게 구분해 줄 수 있는 이름이다.
(예1) CN=wssong,CN=Users,DC=mcpnews,DC=net -> mcpnews.net 도메인의 Users컨테이너에 저장된 "wssong" 이라는 전체이름을 사용하는 Object.
(예2) CN=Kildong Hong,OU=sales,DC=secure,DC=pe,DC=kr -> secure.pe.kr
도메인의 Sales OU에 속한 "Kildong Hong"이라는 전체이름을 사용하는 Object.
[화면2.ADSI Editor]
ADSI Editor를 통해서 Active Directory를 들여다 보면 명확한 DN을 확인할 수 있다. ADSI Edit는 WIndows2000 원본CD에서 제공되는 Support tool을 설치하면 얻을 수 있다. "원본CD-SUPPORT-TOOLS-setup.exe"를 통해서 설치해 보라.
- RDN (Relative Distinguished Name) : DN에 비해서 작은 개념이다. 전체에서가 아닌 특정 컨테이너에서 Object를 구별할 수 있는 이름. 위의 (예2)에서 Sales OU에서 kdhong계정의 RDN은 "Kildong Hong"이다.
-UPN(User Principal Name) : Windows2000의 로그온 이름. E-mail 의 이름형태와 동일하다. 사용자계정에 "@mcpnews.net"이라는 형태의 접미사가 붙어서 하나의 이름을 만들어 낸다.
(예) wssong@mcpnews.net
[그림4.Active Directory Object의 이름]
-samAccountName : Window2000 이전버전의 OS사용자들이 사용할 로그온 이름이다. UPN의 이름과 달라도 상관없지만 상당한 혼란이 있을 것이다.
-전체이름(displayName) : 성과 이름이 결합된 이름을 의미한다.사용자
계정과는 분명히 다르다. 로그온 할 때 사용하는 이름이 아닌, 말그대로 Active Directory에서 보여지기 위한 이름일 뿐이다. 자원관리를 할 때 사용자 계정이 보이는 것이 아니라 이 전체이름을 가지고 사용자를 구별해서 관리를 하게 된다. [그림4]의 예제에서 "송 원석"이라는 이름의 사용자는 "wssong"이라는 로그온 이름을 통해서 도메인에 로그온을 하지만, 관리자는 "송 원석"이라는 이름으로서 관리업무를 수행하게 되는 것이다.
앞에서 설명한 구조는 논리적인 관점의 Active Directory구조였다. 이것만으로는 부족하다. 실제 환경에서는 훨씬 더 다양한 요구가 있기 마련이기 때문이다. 한가지 상황을 가정해 보자. A회사는 서울에 본사를 두고 대전과 부산에 각각 지사를 두고 있다. 이 회사는 secure.pe.kr이라는 하나의 도메인을 구축했고 서울,대전,부산에 각각 5대,3대,3대씩 총 11개의 도메인 컨트롤러가 셋업이 되어 있다. 서울과 대전, 부산간에는 WAN으로 연결이 되어 있고 모든 클라이언트는 Windows2000 Professional을 사용하고 있다. 관리자는 도메인 컨트롤러간의 Replication, 사용자들의 Logon, Active Directory의 Query에 대한 빠른 응답시간 등 회사 전체의 네트워크 환경을 최적화하고자 한다. 각각의 지역간에 상대적으로 느린 WAN환경에서 어떤 방법을 고려해야 할까?
-사이트 (Sites)
도메인이라는 논리적인 단위로는 해결할 수 없는 부분이 바로 이러한 것이다. 마이크로소프트는 Active Directory에 사이트(Sites)라는 물리적인 단위를 제공함으로써 해결해 주고 있다. 결국 회사의 지리적인 측면을 반영하여 도메인과 사이트를 적절히 활용하여 논리적,물리적인 측면에서 최적화된 네트워크 환경을 제공하고 있는 것이다. 위와 같은 예제에서 우리는 회사 전체를 하나의 도메인으로 묶을 수 있고, 서울,대전,부산 등 각 지역을 각각의 사이트로 설정할 수 있다. 그렇게 설정을 하면 클라이언트들은 DNS통해서 자신의 사이트에 있는 도메인컨트롤러를 찾을 수 있게 되고, 사이트내에서와 사이트간에서의 도메인 컨트롤러간의 리플리케이션은 각각 다른 방법을 사용함으로써 최적화를 이뤄낼 수가 있게 된다.
사이트(Sites)는 잘 연결된 IP Subnet들의 집합이다. "잘 연결된"의 뜻은 "충분한 대역폭이 확보되는.."이라는 뜻으로 해석하는 것이 좋겠다. 도대체 얼마큼 대역폭이 확보되어야 잘 연결되었다는 표현을 할 수 있을 것인가? 이것에 대한 정답은 없다. 회사마다 주관적인 설정이 가능할 것이기 때문이다. 56K모뎀으로 연결된 라인이더라도 쓰는데 불편함이 없다면 그 둘의 지역과 지역을 묶어서 하나의 사이트로 만들 수도 있는 것이다. 설사 T1으로 연결되어 있더라도 사용자가 많고 인터넷 액세스가 많아서 지역과 지역간에 제대로 연결이 되기 어렵다면 그들은 두 개의 사이트로 구분이 될 수도 있다. 어디까지나 관리자의 판단이 가장 중요한 요소가 될 수 있다.
[화면1. Active Directory 사이트 관리콘솔]
| ☞사이트 구성 작업 사이트를 관리하기 위해서는 관리도구의 &"Active Directory 사이트 및 서비스"를 이용한다. 기본적으로 Forest환경의 모든 도메인 컨트롤러들은 Default-First-Site-Name 이라는 기본사이트에 소속이 된다. 아무리 도메인 컨트롤러가 많더라도, 지역적으로 광범위하게 퍼져 있더라도 하나의 사이트에 묶여 있는 것이다. 예제에서는 서울과 부산이라는 두 개의 지역으로 나뉜 회사 환경에서 사이트를 생성하는 방법을 다루도록 한다.  [화면2. 새 사이트 만들기] 관리콘솔의 Sites를 클릭하고 "새 사이트"를 선택한다.[화면2]  [화면3. 사이트 이름 지정 및 사이트 링크 지정] 이름항목에는 "Busan"이라고 입력하였다. 사이트와 사이트를 연결하기 위한 기본 사이트 링크인 "DEFAULTIPSITELINK"를 선택하고 [확인]을 누른다.[화면3]  [화면4.알림 메시지] [확인]을 누르니 앞으로의 절차에 대해서 설명을 해 주는 메시지가 팝업된다. 읽어보자.  [화면5.새로운 서브넷 만들기] Subnets에 마우스를 두고 "새 서브넷"을 클릭한다. IP Subnet을 생성해 주기 위한 과정이다.[화면5]  [화면6.서브넷 추가] 실제 물리적인 네트워크의 구조를 반영하여 네트워크 ID를 이용하여 서브넷을 추가한다. 예제에서는 부산 지역이 172.16.0.0과 172.17.0.0 이라는 두 개의 네트워크 ID를 사용하고 있는 것을 보여준다.[화면7]  [화면7.서브넷이 추가된 것을 보여주는 콘솔]  [화면8.서버의 이동] 사이트를 설정했으면 기본 사이트에 있는 서버중에서 부산에 있는 서버를 찾아서 "이동"시켜 준다. [화면8]에서 Buleapple이라는 이름의 서버를 이동시키고 있다. [화면8.9]  [화면9.서버를 이동할 사이트 선택 화면] |
(2)Active Directory의 이름
Active Directory에서 사용하는 이름체계에 대해서 공부할 필요가 있다. NT4.0에 익숙한 관리자라면 Windows2000의 다양한 이름이 다소 생소할 수도 있을 것이다. Windows2000에서 Active Directory를 쿼리하는데 LDAP프로토콜을 사용한다. 이름을 짓는 방법 역시 LDAP의 표준에 맞게 구현되어 있다. 다만 Microsoft는 Windows2000의 Active Directory Object들의 이름을 짓는데 완전한 LDAP이 아닌 특별한 방법을 따라서 구현했다. LDAP Name과 DNS Name체계를 결합시킨 것이다. Active Directory내에서는 LDAP체계를 이용하고, 회사를 구별하는 방법으로는 DNS Name을 이용했다.
- DN (Distinguished Name) : Active Directory내에서 User, Computer등 각각의 Object를 유일하게 구분해 줄 수 있는 이름이다.
(예1) CN=wssong,CN=Users,DC=mcpnews,DC=net -> mcpnews.net 도메인의 Users컨테이너에 저장된 "wssong" 이라는 전체이름을 사용하는 Object.
(예2) CN=Kildong Hong,OU=sales,DC=secure,DC=pe,DC=kr -> secure.pe.kr
도메인의 Sales OU에 속한 "Kildong Hong"이라는 전체이름을 사용하는 Object.
[화면2.ADSI Editor]
ADSI Editor를 통해서 Active Directory를 들여다 보면 명확한 DN을 확인할 수 있다. ADSI Edit는 WIndows2000 원본CD에서 제공되는 Support tool을 설치하면 얻을 수 있다. "원본CD-SUPPORT-TOOLS-setup.exe"를 통해서 설치해 보라.
- RDN (Relative Distinguished Name) : DN에 비해서 작은 개념이다. 전체에서가 아닌 특정 컨테이너에서 Object를 구별할 수 있는 이름. 위의 (예2)에서 Sales OU에서 kdhong계정의 RDN은 "Kildong Hong"이다.
-UPN(User Principal Name) : Windows2000의 로그온 이름. E-mail 의 이름형태와 동일하다. 사용자계정에 "@mcpnews.net"이라는 형태의 접미사가 붙어서 하나의 이름을 만들어 낸다.
(예) wssong@mcpnews.net
[그림4.Active Directory Object의 이름]
-samAccountName : Window2000 이전버전의 OS사용자들이 사용할 로그온 이름이다. UPN의 이름과 달라도 상관없지만 상당한 혼란이 있을 것이다.
-전체이름(displayName) : 성과 이름이 결합된 이름을 의미한다.사용자
계정과는 분명히 다르다. 로그온 할 때 사용하는 이름이 아닌, 말그대로 Active Directory에서 보여지기 위한 이름일 뿐이다. 자원관리를 할 때 사용자 계정이 보이는 것이 아니라 이 전체이름을 가지고 사용자를 구별해서 관리를 하게 된다. [그림4]의 예제에서 "송 원석"이라는 이름의 사용자는 "wssong"이라는 로그온 이름을 통해서 도메인에 로그온을 하지만, 관리자는 "송 원석"이라는 이름으로서 관리업무를 수행하게 되는 것이다.