액티브 디렉터리
네트워크의 규모가 어느 순간부터 기하급수적으로 발전하여, 글로벌 네트워크의 형태로 발전하게 되었다. 기존의 소규모 네트워크에서 조차 프린터나, 파일을 찾는데 종종 고생을 하게 되는데, 이러한 대규모의 네트워크에서는 더욱 더 사용자가 원하는 정보를 찾는 것이 거의 불가능하게 되며, 가능하다고 해도 수많은 시간이 낭비되게 될 것이다. 기존의 NT 4.0의 가장 큰 단점이 바로 사용자가 원하는 정보를 제공해주지 못한다는 점이였다. 이 밖에도 대규모 네트워크 관리에 많은 문제점이 발생했다.
MS사는 이에 기존 NT 4.0까지 지원되던 도메인 모델이나, 익스체인지 서버의 최신 버전에서 구현되었던 엔진을 모델로 하여 새롭게 선보인 것이 바로 윈도우 2000의 액티브 디렉터리 서비스이다.
액티브디렉터리는 윈도우 2000에서 사용하는 디렉터리 서비스로, 네트워크 상에서의 사용자, 컴퓨터(서버이름, 용도, 위치, OS타입....), 그룹, 프린터, 응용프로그램에 대한 기본 정보 등을 액티브 디렉터리에 저장하였다가 사용자가 필요한 자원의 위치를 쉽게 찾아 사용할 수 있도록 한다. 하나의 예를 들자면 액티브 디렉터리 서비스를 이용하는 예를 들면 동일한 건물에서 사용자가 1층에 있음에도 불구하고, 8층에 있는 프린터 중에서 칼라 용지를 출력할 수 있는 프린터가 있는지를 찾아볼 수 있다.
디렉터리 서비스
액티브 디렉터리를 보다 명확하게 이해하기 위해서는 디렉터리 서비스의 개념을 이해해야 한다. 디렉터리 서비스를 설명할 때면 빠지지 않고 항상 등장하는 것이 전화번호부이다.
먼저, 전화번호부의 기본 구조부터 살펴보게 되면, 전화번호부에는 기본적으로 이름, 전화번호, 주소 등이 있고 원하는 정보를 좀 더 빠르고 쉽게 찾아볼 수 있도록 ‘가나다’순 또는 ABC순으로 인덱스 되어있다. 책의 목차와 페이지 번호 또한 필요한 정보가 어디에 적혀있는지 손쉽게 찾아볼 수 있도록 인덱스 되어있다. 마찬가지로 액티브 디렉터리에 네트워크 상의 자원들을 전화번호부처럼 인덱스하여 찾기 쉽도록 모아 놓은 것이 디렉터리 서비스이다. 즉, 액티브 디렉터리를 이용하여 사용자들은 네트워크 상의 자원을 편리하고, 쉽고, 시간 낭비 없이 사용할 수 있고 이는 궁극적인 디렉터리 서비스의 목적이기도 하다.
흔히 디렉터리와 디렉터리 서비스를 혼동하기 쉬운데, 다시 한번 전화번호부를 예로 들자면 전화번호부 안의 모든 사용자에 대한 이름, 전화번호, 주소 등을 모아놓은 전화번호를 디렉터리라 한다면, 이를 이용하여 찾고자 하는 사람의 정보를 알아내는 것을 디렉터리 서비스라 한다.
MS에서는 액티브 디렉터리에서 디렉터리 서비스를 제공하여 준다. 유닉스에서는 액티브 디렉터리와 거의 비슷한 X.500을 이용하여 디렉터리 서비스를 사용한다.
액티브 디렉터리 구조
액티브 디렉터리는 크게 논리적 구조와, 물리적 구조로 나뉜다. 논리적 구조는 OU(Organizational Unit:조직구조), 도메인(Domain), 트리(Tree), 포리스트(Forest)의 4가지로 구성되어 있고, 물리적 구조는 도메인 컨트롤러(Domain Controller)와 사이트(Site)로 구성되어 있다. 논리적인 구조와 물리적인 구조를 잘 이애해야만 자신의 규모에 적합한 네트워크 환경을 구축할 수 있다.
액티브 디렉터리는 네트워크에 대한 모든 정보를 가지고 있으며 이러한 정보를 찾기 위해 이름 공간(Name Space)내에서 사용자가 개체를 찾을 수 있도록 해준다. 액티브 디렉터리 내에서 관리하는 모든 정보의 가장 최소의 단위를 개체(Object)라고 하며, 이러한 개체를 포함하고 있는 것을 컨테이너(Containers), 그룹(Group), 조직구조(Organizational Unit)라 한다.
논리적 구조
OU(Organizational Unit : 조직구조)
OU는 기본적으로 도메인 안의 개체를 의미한다. 즉, 도메인 내의 사용자, 프린터, 폴더공유, 네트워크 자원, 컴퓨터 등을 관리의 목적으로 여러 개의 개체를 그룹화한 것이 OU이다. 하나의 도메인에는 여러 개의 OU를 가질 수 있고 도메인 내의 OU는 자체적으로 트리 구조를 가질 수 있다. OU는 흔히 회사 내 조직도를 구성할 때 많이 사용하는데 회사 내의 총무부, 관리부, 개발부 등 각각의 부서가 하나의 OU이다. 총무부, 관리부, 개발부 등 각각의 OU는 자체 OU내에 사람, 컴퓨터, 프린터 등 각각의 개체를 갖는다. 숫자적 제약은 없지만 흔히 OU는 10단계 이하는 내려가지 말 것을 권장한다. 즉, 앞서 OU는 자체적으로 트리 구조를 가질 수 있다고 하였는데 OU 밑에 OU 밑에.... 이러한 트리 구조가 10단계를 넘어서면 나중에 검색하는데 많은 시간을 소요하게 된다. 보통 5~6 단계로 구성하며, 그 이상의 OU는 새로운 도메인으로 구성하는 것을 권장한다.
도메인(Domain)
여러 개의 OU를 그룹화한 것을 도메인이라고 한다. 다시 말하면 하나의 도메인에는 여러 개의 OU로 구성되어 있다. 도메인은 액티브 디렉터리의 논리적 구성을 이루는 핵심 단위이며, 사용자, 프린터, 공유폴더, 컴퓨터 등의 개체와 개체에 대한 보안 정책으로 구성된다. 도메인에 있는 모든 개체는 액티브 디렉터리에 저장되고, 같은 도메인에 있는 하나 이상의 도메인 컨트롤러에 액티브 디렉터리가 존재할 수 있다. 도메인은 고유한 이름을 가지고 있으며 도메인 관리자가 관리하는 집중화된 사용자 계정 및 그룹 계정에 대한 액세스를 제공한다. 각 도메인은 자체 보안 정책과 다른 도메인과의 보안 관계를 가지고 있으며 하나의 윈도우 2000 컴퓨터는 네트워크의 보안 경계가 된다. 보안 정보가 포함된 액티브 디렉터리는 도메인의 각 도메인 트리에 있는 도메인 간에는 전이 트러스트 관계를 형성할 수 있다. 앞서 OU는 회사 내 조직(총무부, 관리부, 개발부)을 구성한다면 도메인은 기업 모델을 구축할 때 사용한다. 하나의 대기업이 각각의 계열사(전자, 반도체, 화학 등)를 가지고 있다면, 전자, 반도체, 화학 등의 계열사는 하나의 도메인을 의미한다. 또한 전자, 반도체, 화학 등의 도메인은 나름대로의 OU(총무부, 관리부, 개발부) 구조를 가진다.
각각의 도메인은 각각 고유의 보안 정책을 갖는다. 다시 말하자면 화학 공장의 도메인 관리자는 별도의 설정이 없는 한 전자 공장의 관리에 대해서 권한을 행사할 수 없다는 것을 의미한다. 이론적으로는 도메인은 천만 개 정도의 개체를 관리할 수 있다고 하지만, 실질적으론 백만 개 정도의 개체를 갖는 것을 권장한다. 도메인의 구성이 너무 커지면 관리 상의 오버헤드를 가져오기 때문이다.
트리(Tree)
도메인의 모임을 트리라고 하는데 하나의 트리는 하나의 도메인만으로 구성될 수 있고, 여러 개의 도메인이 트리 형태로 구성될 수도 있다. 즉, 트리는 하나 이상의 도메인들이 계층적인 구조로 결합된 것을 의미한다. 각각의 도메인은 다른 도메인과 연결하여 관계를 맺고, 자신이 가지고 있는 OU를 공유한다. 도메인 트리에 있는 첫째 도메인을 루트 도메인이라고 하고, 같은 도메인 트리에 있는 추가 도메인들은 자식 도메인이다. 또한 같은 도메인 트리에서 다른 도메인의 바로 위에 있는 도메인을 자식 도메인의 보모라고 한다.
공통의 루트 도메인을 가진 도메인은 모두 연속 이름 공간(Name Space)을 형성한다. 이는 부모 도메인의 이름에 해당 자식 도메인의 이름을 추가한 것이 자식 도메인의 도메인 이름이 된다는 뜻이다.
포리스트(Forest)
포리스트는 하나 이상의 트리가 모여 양방향 전이 트러스트 관계를 형성한 트리의 그룹이다. 포리스트에 있는 도메인 트리들은 연속 이름 공간(Name Space)을 형성하지 않는다.
물리적 구조
도메인 컨트롤러(Domain Controller)
도메인 컨트롤러는 도메인 안에 들어있는 컴퓨터들, 즉 계정 정보를 가지고 있는 액티브 디렉터리 데이터베이스를 가지고 있는 컴퓨터를 말한다. 한 도메인 안에 여러 가지 도메인 컨트롤러가 있다. 도메인 컨트롤러에서 액티브 디렉터리는 시스템 및 보안 정책, 사용자 인증 데이터, 디렉터리 검색과 같은 도메인 차원의 모든 계정 정보와 정책 정보를 저장한다. 계정 정보는 사용자, 서비스 및 컴퓨터 계정과 관련된 정보를 의미한다. 액티브 디렉터리가 있기 때문에 도메인 컨트롤러는 보안 계정 관리자(SAM)를 필요로 하지 않는다. 한 도메인 컨트롤에서 새로운 사용자 계정이 새롭게 추가되거나, 암호가 변경되는 등 데이터베이스의 내용에 변화가 생기면 도메인 컨트롤러 사이에는 자동으로 디렉터리 복제가 일어나서 하나의 도메인 컨트롤러에 문제가 발생하더라도 도메인 전체에는 영향을 미치지 않으며 도메인에 요청되는 작업들을 분산처리 함으로써 부하를 분산시킬 수 있다. 도메인 컨트롤러는 도메인에 대한 모든 사용자 계정 정보를 저장하기 때문에 각 도메인 컨트롤러를 물리적으로 안전한 환경에 배치해야 한다. 또한 관리자들만 도메인 컨트롤러의 콘솔에 대한 대화형 로그온을 수행할 수 있도록 설정해야 한다.
사이트(Site)
도메인 간에 복제가 일어나는데 효율적인 복제를 위해서 사용하는 것을 사이트라 한다. 사이트는 궁극적으로 네트워크 트래픽을 방지하기 위해 사용한다. 사이트를 사용하면 관리자는 액티브 디렉터리 액세스 및 복제 토폴로지를 빠르게 구성할 수 있으며 실제 네트워크를 쉽게 이용할 수 있다. 사용자가 로그온 할 때 액티브 디렉터리 클라이언트는 사용자와 같은 사이트에서 액티브 디렉터리를 찾는다. 보통 사이트 내에서는 512Kbps 이상의 고속 연결과 신뢰성 있는 네트워크로 연결되어야 하며, 사이트 간에는 비교적 저속으로 연결되어 있다.
