집 수리하다 Active Directory 란 무엇입니까? Active Directory: 포리스트 및 도메인 Active Directory 및 단일 도메인

Active Directory 란 무엇입니까? Active Directory: 포리스트 및 도메인 Active Directory 및 단일 도메인

Active Directory의 기본 개념

서비스 액티브 디렉토리

확장 가능하고 확장 가능한 디렉토리 서비스 활동적인 디렉토리(액티브 디렉토리)네트워크 리소스를 효과적으로 관리할 수 있습니다.

활동적인 디렉토리는 네트워크 개체에 대한 데이터의 계층적으로 구성된 리포지토리로 이 데이터를 찾고 사용하기 위한 편리한 수단을 제공합니다.. 활성 실행 중인 컴퓨터디렉토리 도메인 컨트롤러 . 에서 액티브 디렉토리거의 모든 관리 작업이 포함됩니다.

Active Directory 기술은 표준 기반 인터넷 프로토콜네트워크의 구조를 명확하게 정의하는 데 도움이 됩니다.

Active Directory 및 DNS

에 활동적인 감독와이도메인 이름 시스템이 사용됩니다.

도메인이름 시스템(DNS)은 컴퓨터 그룹을 도메인으로 구성하는 표준 인터넷 서비스입니다.DNS 도메인은 인터넷의 기반을 형성하는 계층 구조를 가지고 있습니다. 다른 수준이 계층은 컴퓨터, 조직 도메인 및 최상위 도메인을 식별합니다. DNS는 예를 들어 호스트 이름을 확인하는 역할도 합니다. 지 eta.webwork.com 192.168.19.2와 같은 숫자 IP 주소로 DNS를 통해 Active Directory 도메인 계층 구조는 인터넷 공간에 기록되거나 외부 액세스로부터 독립된 상태로 유지될 수 있습니다.

의 리소스에 액세스하려면 도메인은 zeta.webatwork.com과 같은 정규화된 호스트 이름을 사용합니다. 여기지에타는 개별 컴퓨터의 이름이고 webwork는 조직의 도메인이며 com은 최상위 도메인입니다. 최상위 도메인은 DNS 계층 구조의 기초를 형성하므로 루트 도메인 (루트 도메인). 두 글자로 된 국가 코드(ko러시아), 조직 유형별 (셀상업 조직의 경우) 및 예약 (밀 군사 조직).

microsoft.com과 같은 일반 도메인, ~라고 불리는 부모의 (상위 도메인 ) 조직 구조의 기초를 형성하기 때문입니다. 상위 도메인은 다른 부서 또는 원격 계열사의 하위 도메인으로 나눌 수 있습니다. 예를 들어 시애틀에 있는 Microsoft 사무실에 있는 컴퓨터의 전체 이름은 jacob.seattle.microsoft.com일 수 있습니다. , 어디 제이장작- 컴퓨터 이름, 에스이자형알레 - 하위 도메인이고 microsoft.com은 상위 도메인입니다. 다른 하위 도메인 이름 - 자식 도메인 (하위 도메인).

구성품 활동적인 예배 규칙서

Active Directory는 네트워크 구성 요소의 물리적 및 논리적 구조를 통합합니다. Active Directory 논리적 구조는 디렉터리 개체를 구성하고 네트워크 계정 및 공유를 관리하는 데 도움이 됩니다. 논리적 구조는 다음 요소:

조직 단위(조직 단위) - 일반적으로 회사의 구조를 반영하는 컴퓨터의 하위 그룹.

도메인 ( 도메인 ) - 공통 카탈로그 데이터베이스를 공유하는 컴퓨터 그룹

도메인 트리 (도메인 나무) - 인접한 네임스페이스를 공유하는 하나 이상의 도메인

도메인 포리스트 - 디렉토리 정보를 공유하는 하나 이상의 트리.

물리적 요소는 실제 네트워크 구조를 계획하는 데 도움이 됩니다. 물리적 구조를 기반으로 네트워크 링크 및 네트워크 리소스의 물리적 경계가 형성됩니다. 물리적 구조에는 다음 요소가 포함됩니다.

서브넷( 서브넷) - 네트워크 그룹주어진 면적으로 IP 주소및 넷마스크;

웹사이트( 대지) 하나 이상의 서브넷. 사이트는 디렉토리 액세스 및 복제를 설정하는 데 사용됩니다.

조직 단위

조직 단위(OU)는 종종 조직의 기능적 구조를 반영하는 도메인 내의 하위 그룹입니다. PU는 계정, 공유 및 기타 PU를 호스팅하는 일종의 논리적 컨테이너입니다. 예를 들어 도메인에서 생성할 수 있습니다. 마이크로소프트티. com부서 자원, 그것, 마케팅. 그런 다음 이 스키마를 확장하여 하위 부서를 포함할 수 있습니다.

상위 도메인의 개체만 OP에 배치할 수 있습니다. 예를 들어 Seattle.microsoft.com 도메인의 RO에는 해당 도메인의 개체만 포함됩니다. 다음에서 개체 추가중와이. 중icrosoft.com은 할 수 없습니다. OP는 기능적 또는 사업 구조조직.그러나 이것이 사용하는 유일한 이유는 아닙니다.

OP를 사용하면 전체 도메인에 적용하지 않고 도메인의 작은 리소스 집합에 대해 그룹 정책을 정의할 수 있습니다. OP는 리소스를 보다 효율적으로 관리하는 데 도움이 되는 도메인에서 디렉터리 개체의 간결하고 관리하기 쉬운 표현을 만듭니다.

OP를 사용하면 도메인 리소스에 대한 권한을 위임하고 관리 액세스를 제어할 수 있으므로 도메인의 관리자 권한에 대한 제한을 설정하는 데 도움이 됩니다. 사용자 A에게는 하나의 OU에 대해서만 관리 권한을 부여하고 동시에 사용자 B에게는 도메인의 모든 OU에 대해 관리 권한을 부여할 수 있습니다.

도메인

도메인 Active Directory는 공통 디렉터리 데이터베이스를 공유하는 컴퓨터 그룹입니다. Active Directory 도메인 이름은 고유해야 합니다. 예를 들어 두 개의 도메인이 있을 수 없습니다. 중icrosoft.com이지만 자식 도메인인 seattle.microsoft.com과 자식 도메인이 있는 부모 도메인 microsoft.com이 있을 수 있습니다. 중y.microsoft.com. 도메인이 폐쇄된 네트워크의 일부인 경우 새 도메인에 지정된 이름은 해당 네트워크의 기존 도메인 이름과 충돌하지 않아야 합니다. 도메인이 글로벌 인터넷의 일부인 경우 해당 이름은 인터넷에 있는 기존 도메인 이름과 충돌하지 않아야 합니다. 이름이 인터넷에서 고유한지 확인하려면 상위 도메인 이름을 승인된 등록 대행자를 통해 등록해야 합니다.

각 도메인에는 자체 보안 정책이 있으며 신뢰 관계다른 도메인과. 종종 도메인은 여러 물리적 위치에 분산되어 있습니다. 즉, 도메인은 여러 사이트로 구성되고 사이트는 여러 서브넷에 걸쳐 있습니다. 도메인 디렉터리 데이터베이스는 사용자, 그룹 및 컴퓨터에 대한 계정과 프린터 및 폴더와 같은 공유 리소스를 정의하는 개체를 저장합니다.

도메인 기능은 작동 모드에 따라 제한되고 규제됩니다. 도메인에는 네 가지 기능 모드가 있습니다.

혼합 윈도우 모드 2000(혼합 모드) - Windows를 실행하는 도메인 컨트롤러 지원 NT 4.0, 위 윈도우 2000년과 창 섬기는 사람 2003;

Windows 2000 기본 모드(기본 모드) - Windows 2000을 실행하는 도메인 컨트롤러를 지원하고 창 섬기는 사람 2003;

중간 모드 창 섬기는 사람 2003 ( 연결되는 기간 동안 방법) - 실행 중인 도메인 컨트롤러 지원 창 NT 4.0 및 창 섬기는 사람 2003;

방법 윈도우 서버 2003 - Windows Server 2003을 실행하는 도메인 컨트롤러를 지원합니다.

숲과 나무

각 도메인 활동적인 예배 규칙서가지다 DNS-유형 이름 마이크로소프트.컴. 디렉터리 데이터를 공유하는 도메인은 포리스트를 형성합니다. DNS 이름 계층 구조의 포리스트 도메인 이름은 다음과 같습니다. 불연속(불연속) 또는 관련된(마디 없는).

연속적인 이름 구조를 가진 도메인을 도메인 트리라고 합니다. 포리스트 도메인에 인접하지 않은 DNS 이름이 있는 경우 포리스트에서 별도의 도메인 트리를 형성합니다. 포리스트에 하나 이상의 나무를 포함할 수 있습니다. 콘솔은 도메인 구조에 액세스하기 위한 것입니다.활동적인 예배 규칙서- 도메인 및 트러스트(활동적인예배 규칙서 도메인그리고 트러스트).

산림의 기능은 산림의 기능적 체계에 의해 제한되고 규제됩니다. 다음과 같은 세 가지 모드가 있습니다.

윈도우 2000 - Windows NT 4.0, Windows 2000 및 Windows를 실행하는 도메인 컨트롤러 지원 섬기는 사람 2003;

중간 ( 연결되는 기간 동안) 창 섬기는 사람 2003 - Windows NT 4.0 및 Windows Server 2003을 실행하는 도메인 컨트롤러를 지원합니다.

윈도우 서버 2003 - Windows Server 2003을 실행하는 도메인 컨트롤러를 지원합니다.

가장 진보된 Active Directory 기능은 Windows Server 2003 모드에서 사용할 수 있으며, 포리스트의 모든 도메인이 이 모드에서 실행되고 있다면 향상된 글로벌 카탈로그 복제와 보다 효율적인 Active Directory 데이터 복제를 즐길 수 있습니다. 스키마 클래스 및 특성을 비활성화하고, 동적 도우미 클래스를 사용하고, 도메인 이름을 바꾸고, 포리스트에서 단방향, 양방향 및 전이적 트러스트를 만들 수도 있습니다.

사이트 및 서브넷

웹사이트 네트워크의 물리적 구조를 계획하는 데 사용되는 하나 이상의 IP 서브넷에 있는 컴퓨터 그룹입니다. 사이트 계획은 도메인의 논리적 구조와 독립적으로 발생합니다. Active Directory를 사용하면 단일 도메인 내에 여러 사이트를 만들거나 여러 도메인에 걸쳐 있는 단일 사이트를 만들 수 있습니다.

여러 IP 주소 영역에 걸쳐 있을 수 있는 사이트와 달리 서브넷에는 설정된 IP 주소 영역과 넷마스크가 있습니다. 서브넷 이름은 형식으로 지정됩니다. 넷/비트마스크, 예를 들어 192.168.19.0/24에서 네트워크 주소 192.168.19.0과 넷마스크 255.255.255.0이 결합되어 서브넷 이름 192.168.19.0/24를 형성합니다.

컴퓨터는 서브넷 또는 서브넷 집합의 위치에 따라 사이트에 할당됩니다. 서브넷에 있는 컴퓨터가 충분히 빠른 속도로 통신할 수 있는 경우 잘 연결 (잘 연결됨).

이상적으로 사이트는 잘 연결된 서브넷과 컴퓨터로 구성되며 서브넷과 컴퓨터 간의 트래픽이 낮으면 여러 사이트를 만들어야 할 수 있습니다. 원활한 의사 소통은 사이트에 몇 가지 이점을 제공합니다.

클라이언트가 도메인에 가입할 때 인증 프로세스는 먼저 클라이언트 사이트에서 로컬 도메인 컨트롤러를 찾습니다. 즉, 가능한 경우 로컬 컨트롤러가 먼저 쿼리되어 네트워크 트래픽이 제한되고 인증 속도가 빨라집니다.

디렉토리 정보가 더 자주 복제됨 내부에 사이트보다 ~ 사이 사이트. 이렇게 하면 복제로 인한 네트워크 트래픽이 줄어들고 로컬 도메인 컨트롤러가 업데이트된 정보를 빠르게 받을 수 있습니다.

다음을 사용하여 디렉토리 데이터가 복제되는 순서를 사용자 정의할 수 있습니다. 사이트 링크 (사이트 링크). 예를 들어 브리지헤드 서버 (브리지헤드) 사이트 간 복제.

사이트 간 복제로 인한 로드의 대부분은 이 특수 서버가 아닌 이 특수 서버에 있습니다. 사용 가능한 서버대지. 사이트서브넷은 콘솔에서 구성됩니다. 액티브 디렉토리-사이트 및 서비스(Active Directory 사이트 및 서비스).

도메인 작업 액티브 디렉토리

온라인 창 섬기는 사람 2003년 서비스 활동적인예배 규칙서동시에 구성DNS. 그러나 Active Directory 도메인과 DNS 도메인은 용도가 다릅니다. Active Directory 도메인은 계정, 리소스 및 보안을 관리하는 데 도움이 됩니다.

DNS 도메인 계층은 주로 이름 확인을 위한 것입니다.

Windows XP Professional 및 Windows 2000을 실행하는 컴퓨터는 Active Directory를 최대한 활용할 수 있으며 네트워크에서 Active Directory 클라이언트로 작동하고 도메인 트리나 포리스트에 있는 전이적 트러스트에 액세스할 수 있습니다. 이러한 관계를 통해 권한 있는 사용자는 포리스트의 모든 도메인에 있는 리소스에 액세스할 수 있습니다.

체계 Windows Server 2003은 도메인 컨트롤러 또는 구성원 서버로 작동합니다. Active Directory가 설치된 후 구성원 서버가 컨트롤러가 됩니다. 컨트롤러는 Active Directory가 제거된 후 구성원 서버로 강등됩니다.

두 프로세스 모두 수행 Active Directory 설치 마법사. 도메인에는 여러 컨트롤러가 있을 수 있습니다. 각 컨트롤러가 디렉터리 변경 사항을 처리한 다음 이를 다른 컨트롤러에 전파할 수 있도록 하는 다중 마스터 복제 모델을 사용하여 디렉터리 데이터를 서로 복제합니다. 다중 마스터 구조로 인해 모든 컨트롤러는 기본적으로 동일한 책임을 집니다. 그러나 디렉터리 데이터를 다른 사이트로 복제할 때 우선 순위가 있는 브리지헤드 서버를 만드는 것과 같은 특정 작업에서는 일부 도메인 컨트롤러에 다른 컨트롤러보다 우선 순위를 부여할 수 있습니다.

또한 일부 작업은 전용 서버에서 가장 잘 수행됩니다. 특정 유형의 작업을 처리하는 서버를 작업의 마스터 (작업 마스터).

도메인에 가입된 모든 Windows 2000, Windows XP Professional 및 Windows Server 2003 컴퓨터에는 다른 리소스와 마찬가지로 Active Directory 개체로 만들고 저장한 계정이 있습니다. 컴퓨터 계정은 네트워크 및 해당 리소스에 대한 액세스를 제어하는 데 사용되며 컴퓨터는 해당 계정을 사용하여 도메인에 액세스하기 전에 인증 절차를 거쳐야 합니다.

디렉토리 구조

디렉토리 데이터는 다음을 통해 사용자와 컴퓨터에 제공됩니다. 데이터 저장소 (데이터 저장소) 및 전역 디렉토리 (글로벌카탈로그). 대부분의 기능이 있지만활동적인예배 규칙서데이터 웨어하우스에 영향을 미치기 때문에 글로벌 카탈로그(GC)는 로그인 및 정보 검색에 사용되기 때문에 중요합니다. GC를 사용할 수 없는 경우 일반 사용자는 도메인에 로그온할 수 없습니다.이 조건을 해결하는 유일한 방법은 구성원 자격을 로컬로 캐시하는 것입니다. 유니버설 그룹.

Active Directory 데이터의 액세스 및 배포는 다음을 통해 제공됩니다. 디렉토리 접근 프로토콜 (예배 규칙서 입장프로토콜) 그리고 복제 (복제).

업데이트된 데이터를 컨트롤러에 배포하려면 복제가 필요합니다. 주요 업데이트 배포 방법은 다중 마스터 복제이지만 일부 변경 사항은 특수 컨트롤러에서만 처리됩니다. 작업 마스터 (작업 마스터).

Windows Server 2003에서 다중 마스터 복제가 수행되는 방식도 다음이 도입되면서 변경되었습니다. 디렉토리 섹션 응용 프로그램 (신청예배 규칙서파티션). 이를 통해 시스템 관리자는 도메인 포리스트 내에서 복제를 관리하는 데 사용되는 논리적 구조인 복제 파티션을 도메인 포리스트에 만들 수 있습니다. 예를 들어 도메인 내에서 DNS 정보 복제를 처리할 파티션을 만들 수 있습니다. 도메인의 다른 시스템은 DNS 정보를 복제할 수 없습니다.

응용 프로그램 디렉터리 파티션은 도메인의 자식, 다른 응용 프로그램 파티션의 자식 또는 도메인 포리스트의 새 트리가 될 수 있습니다. 파티션 복제본은 글로벌 카탈로그를 포함한 모든 Active Directory 도메인 컨트롤러에서 호스팅할 수 있습니다. 응용 프로그램 카탈로그 파티션은 대규모 도메인과 포리스트에서 유용하지만 계획, 관리 및 유지 관리 오버헤드를 증가시킵니다.

데이터 저장소

저장소에 대한 정보가 포함되어 있습니다. 가장 중요한 물건디렉터리 서비스 Active Directory - 계정, 공유, OP 및 그룹 정책. 때때로 데이터 웨어하우스는 단순히 목록 (디렉토리). 도메인 컨트롤러에서 디렉터리는 NTDS.DIT 파일에 저장되며 Active Directory 설치 중에 위치가 결정됩니다(NTFS 드라이브여야 함). 일부 카탈로그 데이터는 주 저장소와 별도로 저장할 수 있습니다. 예를 들면 다음과 같습니다. 그룹 정책, 스크립트 및 SYSVOL 시스템 공유에 기록된 기타 정보.

디렉토리 정보 공유를 호출합니다. 출판 (게시). 예를 들어 네트워크에서 사용하기 위해 프린터를 열면 게시됩니다. 에 대한 공개된 정보 공유 된 폴더도메인 컨트롤러는 대부분의 변경 사항을 다중 마스터 방식으로 저장소에 복제합니다. 스토리지 복제는 자동으로 이루어지기 때문에 중소 규모 조직의 관리자가 관리하는 경우가 거의 없지만 네트워크 아키텍처의 특성에 따라 구성할 수 있습니다.

모든 디렉토리 데이터가 복제되는 것은 아니지만 다음 항목만 복제됩니다.

도메인 데이터 - 계정, 공유, OP 및 그룹 정책의 개체를 포함하여 도메인의 개체에 대한 정보입니다.

구성 데이터 - 디렉토리의 토폴로지에 대한 정보: 모든 도메인, 트리 및 포리스트 목록, 원장의 컨트롤러 및 서버 위치.

스키마 데이터 - 디렉토리에 저장할 수 있는 모든 개체 및 데이터 유형에 대한 정보입니다. 표준 체계 Windows Server 2003은 계정 개체, 공유 개체 등을 설명하며 새 개체 및 특성을 정의하거나 기존 개체에 특성을 추가하여 확장할 수 있습니다.

글로벌 디렉토리

멤버십의 로컬 캐싱인 경우 유니버설 그룹은 수행되지 않으며 네트워크 항목은 구성원 정보를 기반으로 합니다. 유니버설 그룹 GC 제공.

또한 포리스트의 모든 도메인에서 디렉터리 검색을 제공합니다. 제어 장치, 연기 GC 서버는 도메인에 있는 모든 디렉터리 개체의 전체 복제본을 저장하고 나머지 포리스트 도메인에 개체의 부분 복제본을 저장합니다.

로그인 및 검색에는 일부 개체 속성만 필요하므로 부분 복제본을 사용할 수 있습니다. 부분 복제본을 형성하려면 복제에서 더 적은 데이터를 전송해야 하므로 네트워크 트래픽이 줄어듭니다.

기본적으로 첫 번째 도메인 컨트롤러가 GC 서버가 됩니다. 따라서 도메인에 컨트롤러가 하나만 있는 경우 GC 서버와 도메인 컨트롤러는 동일한 서버입니다. GC를 다른 컨트롤러에 배치하여 로그인 응답 시간을 줄이고 검색 속도를 높일 수 있습니다. 각 도메인 사이트에 하나의 GC를 생성하는 것이 좋습니다.

이 문제를 해결하는 방법에는 여러 가지가 있습니다. 물론 원격 사무실의 도메인 컨트롤러 중 하나에 원장 서버를 만들 수 있습니다. 이 방법의 단점은 GC 서버의 부하가 증가하여 추가 리소스와 서버 가동 시간에 대한 세심한 계획이 필요할 수 있다는 것입니다.

문제를 해결하는 또 다른 방법은 유니버설 그룹 구성원을 로컬로 캐시하는 것입니다. 그러나 모든 도메인 컨트롤러는 원장 서버에 연결하지 않고 로컬로 로그온 요청을 처리할 수 있습니다. 이렇게 하면 로그인 절차가 빨라지고 G/L 서버 오류 발생 시 작업이 쉬워집니다. 또한 복제 트래픽을 줄입니다.

네트워크 전체에서 전체 GC를 주기적으로 새로 고치는 대신 유니버설 그룹의 구성원에 대한 캐시의 정보를 업데이트하는 것으로 충분합니다. 기본적으로 새로 고침은 유니버설 그룹 구성원의 로컬 캐싱을 사용하는 모든 도메인 컨트롤러에서 8시간마다 발생합니다.

회원가입 각 사이트에 대해 개별적으로 유니버설 그룹. 사이트는 개별 IP 주소 집합과 넷마스크가 있는 하나 이상의 서브넷으로 구성된 물리적 구조입니다. 도메인 컨트롤러 창 Server 2003과 이들이 참조하는 GC는 동일한 사이트에 있어야 합니다. 여러 사이트가 있는 경우 각 사이트에 로컬 캐싱을 설정해야 합니다. 또한 사이트에 로그온하는 사용자는 Windows Server 2003 포리스트 모드에서 실행되는 Windows Server 2003 도메인의 일부여야 합니다.

Active Directory의 복제

디렉토리는 도메인 데이터, 스키마 데이터 및 구성 데이터의 세 가지 유형의 정보를 저장합니다. 도메인 데이터는 모든 도메인 컨트롤러에 복제됩니다. 모든 도메인 컨트롤러는 동일합니다. 도메인 컨트롤러의 모든 변경 사항은 다른 모든 도메인 컨트롤러에 복제됩니다. 스키마 및 구성 데이터는 트리 또는 포리스트의 모든 도메인에 복제됩니다. 또한 모든 개별 도메인 개체와 포리스트 개체의 일부 속성은 GC에 복제됩니다. 즉, 도메인 컨트롤러는 트리 또는 포리스트에 대한 스키마, 트리 또는 포리스트에 있는 모든 도메인에 대한 구성 정보, 자체 도메인에 대한 모든 디렉터리 개체 및 속성을 저장하고 복제합니다.

GL을 호스팅하는 도메인 컨트롤러는 포리스트의 스키마 정보, 포리스트의 모든 도메인에 대한 구성 정보, 포리스트의 모든 디렉터리 개체에 대한 제한된 속성 집합을 포함하고 복제합니다(GC 서버 간에만 복제됨). 도메인에 대한 모든 디렉토리 개체 및 속성.

복제의 본질을 이해하려면 새 네트워크를 설정하는 다음 시나리오를 고려하십시오.

1. 도메인에서 그리고 첫 번째 컨트롤러가 설치됩니다. 이 서버는 유일한 도메인 컨트롤러입니다. GC 서버이기도 합니다. 다른 컨트롤러가 없기 때문에 이러한 네트워크에서는 복제가 발생하지 않습니다.

2. 도메인에서 두 번째 컨트롤러가 설치되고 복제가 시작됩니다. 한 컨트롤러를 인프라 마스터로 지정하고 다른 컨트롤러를 GC 서버로 지정할 수 있습니다. 인프라 마스터는 변경된 개체에 대한 GL 업데이트를 모니터링하고 요청합니다. 이 두 컨트롤러 모두 스키마 및 구성 데이터도 복제합니다.

3. 도메인에서 그리고 GC가 없는 세 번째 컨트롤러가 설치됩니다. 인프라 마스터는 GC 업데이트를 감시하고 변경된 개체를 요청한 다음 변경 사항을 세 번째 도메인 컨트롤러에 복제합니다. 세 컨트롤러 모두 스키마 및 구성 데이터도 복제합니다.

4. 새 도메인 B가 생성되고 여기에 컨트롤러가 추가됩니다. 도메인 A 및 도메인 B의 GC 서버는 모든 스키마 및 구성 데이터는 물론 각 도메인의 도메인 데이터 하위 집합을 복제합니다. 도메인 A의 복제는 위에서 설명한 대로 계속되고 복제는 도메인 B 내에서 시작됩니다.

활동적인예배 규칙서그리고 LDAP

LDAP(Lightweight Directory Access Protocol)는 TCP/IP 네트워크를 통한 인터넷 연결을 위한 표준 프로토콜입니다. LDAP는 최소한의 오버헤드로 디렉토리 서비스에 액세스하도록 특별히 설계되었습니다. 또한 LDAP는 디렉터리 정보를 쿼리하고 수정하는 데 사용되는 작업을 정의합니다.

클라이언트 Active Directory는 네트워크에 로그온하거나 공유를 검색할 때마다 Active Directory를 실행하는 컴퓨터와 통신하기 위해 LDAP를 사용합니다. LDAP는 디렉터리 연결 및 다른 디렉터리 서비스에서 Active Directory로의 마이그레이션을 단순화합니다. 호환성을 향상시키기 위해 Active Directory 서비스 인터페이스(활동적인예배 규칙서 서비스- 인터페이스, ADSI).

작업 마스터 역할

작업 마스터는 다중 마스터 복제 모델에서 수행하기 불편한 작업을 수행합니다. 하나 이상의 도메인 컨트롤러에 할당할 수 있는 5가지 작업 마스터 역할이 있습니다. 일부 역할은 포리스트 수준에서 고유해야 하고 다른 역할은 도메인 수준으로 충분합니다. 각 Active Directory 포리스트에는 다음 역할이 있어야 합니다.

스키마 마스터) - 디렉토리 스키마에 대한 업데이트 및 변경 사항을 관리합니다. 카탈로그 스키마를 업데이트하려면 스키마 마스터에 액세스해야 합니다. 어떤 서버를 결정하려면 주어진 시간도메인에 있는 스키마의 마스터입니다. 창을 열기만 하면 됩니다. 명령줄입력: dsquery 서버 -가지다에프스모 스키마 .

도메인 네이밍 마스터 - 포리스트의 도메인 추가 및 제거를 관리합니다. 도메인을 추가하거나 제거하려면 도메인 명명 마스터에 대한 액세스가 필요합니다. 현재 도메인 명명 마스터인 서버를 확인하려면 명령 프롬프트 창에 다음을 입력하기만 하면 됩니다. dsquery server -가지다에프스모 이름 .

포리스트 전체에 공통적인 이러한 역할은 포리스트 내에서 고유해야 합니다.

다음 역할은 모든 Active Directory 도메인에서 필수입니다.

상대 ID 마스터(상대 ID 마스터) - 도메인 컨트롤러에 상대 식별자를 할당합니다. 사용자 개체를 생성할 때마다 그룹 또는 컴퓨터에서 컨트롤러는 도메인 SID와 상대 식별자 마스터에 의해 할당된 고유 식별자로 구성된 고유 SID를 개체에 할당합니다. 현재 도메인에서 상대 식별자의 마스터인 서버를 확인하려면 명령줄 창에 다음을 입력하는 것으로 충분합니다. dsquery섬기는 사람-가지다에프스모제거하다.

PDC 에뮬레이터(PDC 에뮬레이터) - 혼합 또는 준비 도메인 모드에서 Windows NT 주 도메인 컨트롤러 역할을 합니다. Windows NT 로그인을 인증하고 암호 변경을 처리하며 업데이트를 P DC에 복제합니다. 현재 도메인에서 어떤 서버가 PDC 에뮬레이터인지 확인하려면 명령줄 창에 입력하는 것으로 충분합니다. dsquery 섬기는 사람 - 하스프스모 PDC.

인프라 호스트(인프라 주인 ) - 카탈로그의 데이터를 총계정원장의 데이터와 비교하여 개체의 링크를 업데이트합니다. 데이터가 오래된 경우 GC에 업데이트를 쿼리하고 나머지 도메인 컨트롤러에 복제합니다. 현재 도메인의 인프라 마스터인 서버를 확인하려면 명령줄 창에서 다음을 입력하면 됩니다. dsquery서버 -hasfsmo infr .

전체 도메인에 공통적인 이러한 역할은 도메인 내에서 고유해야 합니다. 즉, 도메인당 하나의 상대 ID 마스터, 하나의 PDC 에뮬레이터 및 하나의 인프라 마스터만 구성할 수 있습니다.

작업 마스터 역할은 일반적으로 자동으로 할당되지만 재할당될 수도 있습니다. 새 네트워크가 설치되면 모든 작업 마스터 역할이 첫 번째 도메인의 첫 번째 도메인 컨트롤러에 할당됩니다. 새 하위 도메인이나 루트 도메인이 나중에 새 트리에서 만들어지면 작업 마스터 역할도 첫 번째 도메인 컨트롤러에 자동으로 할당됩니다. 새 도메인 포리스트에서 도메인 컨트롤러에는 모든 작업 마스터 역할이 할당됩니다. 동일한 포리스트에 새 도메인이 생성되면 해당 컨트롤러에 상대 식별자의 마스터인 P 에뮬레이터 역할이 할당됩니다.디C 및 인프라 마스터. 스키마 마스터 및 도메인 명명 마스터 역할은 포리스트의 첫 번째 도메인에 유지됩니다.

도메인에 컨트롤러가 하나만 있는 경우 작업 마스터의 모든 역할을 수행합니다. 네트워크에 사이트가 하나만 있는 경우 작업 마스터의 기본 위치가 최적입니다. 그러나 도메인 컨트롤러와 도메인이 추가되면 작업 마스터 역할을 다른 도메인 컨트롤러로 이동해야 하는 경우가 있습니다.

도메인에 두 개 이상의 도메인 컨트롤러가 있는 경우 작업 마스터 역할을 하도록 두 개의 도메인 컨트롤러를 구성하는 것이 좋습니다. 예를 들어 하나의 도메인 컨트롤러를 기본 작업 마스터로 지정하고 다른 하나를 백업으로 지정하면 기본 컨트롤러가 실패할 때 필요합니다.

관리 액티브 디렉토리

씨Active Directory 서비스를 사용하여 컴퓨터 계정이 만들어지고 도메인에 연결되며 컴퓨터, 도메인 컨트롤러 및 OU(조직 구성 단위)가 관리됩니다.

Active Directory를 관리하기 위한 관리 및 지원 도구가 제공됩니다. 아래 나열된 도구는 MMC 콘솔 스냅인(마이크로소프트 관리콘솔):

Active Directory 사용자 및 컴퓨터(Active Directory 사용자 그리고 컴퓨터) 사용자, 그룹, 컴퓨터 및 조직 구성 단위(OU)를 관리할 수 있습니다.

활동적인 예배 규칙서- 도메인 및 트러스트( 활동적인 예배 규칙서 도메인그리고 신탁 ) 도메인, 도메인 트리 및 도메인 포리스트와 함께 작동합니다.

액티브 디렉토리- 사이트 그리고서비스 (Active Directory 사이트 및 서비스) 사이트 및 서브넷을 관리할 수 있습니다.;

결과적인 정치 (정책 결과 집합 현재 사용자 또는 시스템 정책을 보고 정책 변경을 예약하는 데 사용됩니다.

에 Microsoft Windows 2003 Server는 관리 도구 메뉴에서 이러한 스냅인에 직접 액세스할 수 있습니다.

또 다른 관리 도구는 스냅입니다. 계획 활동적인예배 규칙서 (활동적인 예배 규칙서 개요) - 디렉토리 스키마를 관리하고 수정할 수 있습니다.

명령줄 유틸리티 활동적인 예배 규칙서

개체를 관리하려면 활동적인 예배 규칙서다양한 관리 작업을 수행할 수 있는 명령줄 도구가 있습니다.

DSADD - 에 추가 활동적인 예배 규칙서컴퓨터, 연락처, 그룹, OP 및 사용자.

DSGET - 에 등록된 컴퓨터, 연락처, 그룹, OU, 사용자, 사이트, 서브넷 및 서버의 속성을 표시합니다. 활동적인 예배 규칙서.

DSMOD - 에 등록된 컴퓨터, 연락처, 그룹, PO, 사용자 및 서버의 속성을 변경합니다. 활동적인 예배 규칙서.

디무브 - 단일 개체를 도메인 내의 새 위치로 이동하거나 이동하지 않고 개체의 이름을 바꿉니다.

DSQXJERY - 컴퓨터, 연락처, 그룹, PO, 사용자, 사이트, 서브넷 및 서버 검색 활동적인 예배 규칙서주어진 기준에 따라.

DSRM - 에서 객체를 제거합니다. 활동적인 예배 규칙서.

NTDSUTIL - 사이트, 도메인 또는 서버에 대한 정보를 보고 관리할 수 있습니다. 작업 마스터 (작업 마스터) 및 데이터베이스 제공활동적인 예배 규칙서.

약어 AD에 직면한 모든 초보 사용자는 Active Directory가 무엇인지 궁금합니다. Active Directory는 Microsoft에서 도메인용으로 개발한 디렉터리 서비스입니다. Windows 네트워크. 대부분의 Windows Server 운영 체제에 일련의 프로세스 및 서비스로 포함됩니다. 처음에는 서비스가 도메인만 처리했습니다. 그러나 Windows Server 2008 이후 AD는 다양한 디렉터리 기반 ID 서비스의 이름이 되었습니다. 따라서 초보자용 Active Directory는 학습에 더 적합합니다.

기본 정의

Active Directory 도메인 서비스를 실행하는 서버를 도메인 컨트롤러라고 합니다. Windows 네트워크 도메인의 모든 사용자와 컴퓨터를 인증 및 권한 부여하고 모든 PC에 보안 정책을 할당 및 적용하고 소프트웨어를 설치 또는 업데이트합니다. 예를 들어 사용자가 Windows 도메인에 가입된 컴퓨터에 로그온하면 Active Directory는 제공된 암호를 확인하고 개체가 시스템 관리자인지 또는 일반 사용자. 또한 정보를 관리 및 저장하고 인증 및 권한 부여 메커니즘을 제공하며 인증서 서비스, 연합 및 경량 디렉터리 서비스, 권한 관리와 같은 기타 관련 서비스를 배포하기 위한 프레임워크를 제공합니다.

Active Directory는 LDAP 버전 2 및 3, Microsoft의 Kerberos 버전 및 DNS를 사용합니다.

Active Directory - 무엇입니까? 콤플렉스에 대한 간단한 말로

네트워크 데이터를 추적하는 것은 시간이 많이 걸리는 작업입니다. 소규모 네트워크에서도 사용자는 네트워크 파일과 프린터를 찾는 데 어려움을 겪는 경향이 있습니다. 어떤 종류의 디렉토리가 없으면 중대형 네트워크를 관리할 수 없으며 종종 리소스를 찾는 데 어려움을 겪습니다.

이전 버전 마이크로소프트 윈도우사용자와 관리자가 데이터를 찾는 데 도움이 되는 서비스가 포함되어 있습니다. 네트워크 환경많은 환경에서 유용하지만 명백한 단점은 불편한 인터페이스와 예측 불가능성입니다. WINS 관리자 및 서버 관리자를 사용하여 시스템 목록을 볼 수 있지만 최종 사용자는 사용할 수 없었습니다. 관리자는 사용자 관리자를 사용하여 완전히 다른 유형의 네트워크 개체 데이터를 추가 및 제거했습니다. 이러한 응용 프로그램은 대규모 네트워크에서 비효율적인 것으로 판명되었으며 회사에서 Active Directory를 사용하는 이유에 대해 질문했습니다.

가장 일반적인 의미에서 디렉토리는 전체 목록사물. 전화번호부는 사람, 기업 및 정부 기관에 대한 정보를 저장하는 일종의 디렉토리입니다.일반적으로 이름, 주소 및 전화 번호가 포함됩니다.궁금하다 Active Directory - 무엇입니까, 간단한 용어로이 기술은 참고서와 유사하지만 훨씬 더 유연하다고 말할 수 있습니다. AD는 조직, 사이트, 시스템, 사용자, 공유 및 기타 네트워크 개체에 대한 정보를 저장합니다..

Active Directory의 기본 개념 소개

조직에 Active Directory가 필요한 이유는 무엇입니까? Active Directory 소개에서 언급했듯이 이 서비스는 네트워크 구성 요소에 대한 정보를 저장합니다."초보자를 위한 Active Directory" 가이드에 따르면 클라이언트가 네임스페이스에서 개체를 찾을 수 있도록 합니다.이 티 용어(콘솔 트리라고도 함)는 네트워크 구성 요소가 위치할 수 있는 영역을 나타냅니다. 예를 들어 책의 목차는 장을 페이지 번호에 매핑할 수 있는 네임스페이스를 만듭니다.

DNS는 호스트 이름을 다음과 같은 IP 주소로 확인하는 콘솔 트리입니다.전화번호부는 전화번호에 대한 이름 확인을 위한 네임스페이스를 제공합니다.그리고 이것이 Active Directory에서 어떻게 발생합니까? AD는 네트워크 개체의 이름을 개체 자체로 확인하기 위한 콘솔 트리를 제공하고네트워크의 사용자, 시스템 및 서비스를 포함한 다양한 개체를 해결할 수 있습니다.

개체 및 속성

Active Directory가 추적하는 모든 항목은 개체로 간주됩니다. Active Directory에서 이것이 모든 사용자, 시스템, 리소스 또는 서비스입니다. AD가 많은 요소를 추적할 수 있고 많은 개체가 공통 속성을 공유할 수 있기 때문에 공통 용어 개체가 사용됩니다. 무슨 뜻인가요?

특성은 Active Directory의 개체를 설명합니다. 예를 들어 모든 사용자 개체는 특성을 공유하여 사용자 이름을 저장합니다. 이것은 그들의 설명에도 적용됩니다. 시스템도 개체이지만 호스트 이름, IP 주소 및 위치를 포함하는 별도의 속성 집합이 있습니다.

특정 개체 유형에 사용할 수 있는 속성 집합을 스키마라고 합니다. 이것은 객체 클래스를 서로 구별되게 만듭니다. 스키마 정보는 실제로 Active Directory에 저장됩니다. 보안 프로토콜의 이러한 동작이 매우 중요하다는 사실은 스키마를 통해 관리자가 속성을 개체 클래스에 추가하고 도메인 컨트롤러를 다시 시작하지 않고도 네트워크를 통해 도메인의 모든 모서리에 배포할 수 있다는 사실입니다.

LDAP 컨테이너 및 이름

컨테이너는 서비스 작업을 구성하는 데 사용되는 특수한 유형의 개체입니다. 사용자나 시스템과 같은 물리적 실체를 나타내지 않습니다. 대신 다른 요소를 그룹화하는 데 사용됩니다. 컨테이너 개체는 다른 컨테이너 내에 중첩될 수 있습니다.

AD의 모든 요소에는 이름이 있습니다. 이것은 예를 들어 Ivan이나 Olga와 같이 익숙한 것이 아닙니다. 이것은 LDAP 고유 이름입니다. LDAP 고유 이름은 까다롭지만 유형에 관계없이 디렉토리 내의 모든 개체를 고유하게 식별할 수 있습니다.

용어 트리 및 웹 사이트

트리라는 용어는 Active Directory의 개체 집합을 설명하는 데 사용됩니다. 이게 뭐야? 간단히 말해서 이것은 트리 연관을 사용하여 설명할 수 있습니다. 컨테이너와 개체가 계층적으로 결합되면 분기를 형성하는 경향이 있으므로 이름이 지정됩니다. 관련 용어는 나무의 끊어지지 않은 주요 줄기를 나타내는 인접 하위 트리입니다.

계속해서 "포리스트"라는 용어는 동일한 네임스페이스의 일부가 아니지만 공통 스키마, 구성 및 글로벌 카탈로그를 공유하는 컬렉션을 설명합니다. 이러한 구조의 개체는 보안이 허용되는 경우 모든 사용자가 사용할 수 있습니다. 여러 도메인으로 분할된 조직은 트리를 단일 포리스트로 그룹화해야 합니다.

사이트는 Active Directory에 정의된 지리적 위치입니다. 사이트는 논리적 IP 서브넷에 해당하므로 응용 프로그램에서 네트워크에서 가장 가까운 서버를 찾는 데 사용할 수 있습니다. Active Directory의 사이트 정보를 사용하면 WAN 트래픽을 크게 줄일 수 있습니다.

Active Directory 관리

Active Directory 스냅인 구성 요소 - 사용자. 이것은 Active Directory를 관리하기 위한 가장 편리한 도구입니다. 시작 메뉴의 관리 도구 프로그램 그룹에서 직접 액세스할 수 있습니다. Windows NT 4.0의 서버 관리자와 사용자 관리자를 대체하고 향상시킵니다.

안전

Active Directory는 Windows 네트워킹의 미래에서 중요한 역할을 합니다. 관리자는 다른 관리자에게 작업을 위임하면서 침입자와 사용자로부터 디렉터리를 보호할 수 있어야 합니다. 이 모든 것은 ACL(액세스 제어 목록)을 디렉터리의 모든 컨테이너 및 개체 특성과 연결하는 Active Directory 보안 모델을 사용하여 가능합니다.

높은 수준의 제어를 통해 관리자는 개별 사용자 및 그룹에 개체 및 해당 속성에 대한 다른 수준의 권한을 부여할 수 있습니다. 개체에 속성을 추가하고 특정 사용자 그룹에서 해당 속성을 숨길 수도 있습니다. 예를 들어 관리자만 다른 사용자의 집 전화를 볼 수 있도록 ACL을 설정할 수 있습니다.

위임된 관리

Windows 2000 Server의 새로운 개념은 위임된 관리입니다. 이를 통해 추가 액세스 권한을 부여하지 않고 다른 사용자에게 작업을 할당할 수 있습니다. 위임된 관리는 특정 개체 또는 인접한 디렉터리 하위 트리를 통해 할당할 수 있습니다. 이것은 네트워크 전반에 걸쳐 권한을 부여하는 훨씬 더 효율적인 방법입니다.

에 모든 전역 도메인 관리자 권한을 가진 사람의 대상인 경우 사용자는 특정 하위 트리 내에서만 권한을 부여받을 수 있습니다. Active Directory는 상속을 지원하므로 모든 새 개체는 해당 컨테이너의 ACL을 상속합니다.

"신뢰"라는 용어

"신뢰"라는 용어는 여전히 사용되지만 기능은 다릅니다. 일방 신탁과 쌍방 신탁 사이에는 구별이 없습니다. 결국 모든 Active Directory 트러스트는 양방향입니다. 게다가 그것들은 모두 전이적이다. 따라서 도메인 A가 도메인 B를 신뢰하고 B가 C를 신뢰하는 경우 도메인 A와 도메인 C 간에 자동 암시적 신뢰 관계가 있습니다.

Active Directory의 감사 - 간단한 단어로 무엇입니까? 이것은 누가 개체에 액세스를 시도하는지와 이 시도가 얼마나 성공적인지 확인할 수 있는 보안 기능입니다.

DNS(도메인 이름 시스템) 사용

DNS라고도 하는 이 시스템은 인터넷에 연결된 모든 조직에 필수적입니다. DNS는 mspress.microsoft.com과 같은 일반 이름과 구성 요소에서 사용하는 원시 IP 주소 간의 이름 확인을 제공합니다. 네트워크 계층의사 소통을 위해.

Active Directory는 개체 조회를 위해 DNS 기술을 광범위하게 사용합니다. 이는 이전 운영에 비해 크게 변경된 사항입니다. 윈도우 시스템, NetBIOS 이름이 IP 주소로 확인되어야 하며 WINS 또는 기타 NetBIOS 이름 확인 기술에 의존합니다.

Active Directory는 Windows 2000을 실행하는 DNS 서버와 함께 사용할 때 가장 잘 작동합니다. Microsoft는 프로세스를 통해 관리자를 안내하는 마이그레이션 마법사를 제공하여 관리자가 Windows 2000 DNS 서버로 쉽게 마이그레이션할 수 있도록 했습니다.

다른 DNS 서버를 사용할 수 있습니다. 그러나 이 경우 관리자는 DNS 데이터베이스를 관리하는 데 더 많은 시간을 소비해야 합니다. 뉘앙스는 무엇입니까? Windows 2000 DNS 서버를 사용하지 않기로 선택한 경우 DNS 서버가 새로운 DNS 동적 업데이트 프로토콜을 준수하는지 확인해야 합니다. 서버는 도메인 컨트롤러를 찾기 위해 레코드를 동적으로 업데이트합니다. 그것은 편안하지 않습니다. 결국, 전자동적 업데이트가 지원되지 않는 경우 데이터베이스를 수동으로 업데이트해야 합니다.

이제 Windows 도메인과 인터넷 도메인이 완전히 호환됩니다. 예를 들어 mspress.microsoft.com과 같은 이름은 도메인을 담당하는 Active Directory 도메인 컨트롤러를 식별하므로 DNS 액세스 권한이 있는 모든 클라이언트가 도메인 컨트롤러를 찾을 수 있습니다.Active Directory 서버는 새로운 동적 업데이트 기능을 사용하여 DNS에 주소 목록을 게시하기 때문에 클라이언트는 DNS 확인을 사용하여 서비스를 원하는 수만큼 조회할 수 있습니다. 이 데이터는 도메인으로 정의되고 서비스 리소스 레코드를 통해 게시됩니다. SRV RR 형식을 따릅니다.서비스.프로토콜.도메인.

Active Directory 서버는 개체를 호스트하는 LDAP 서비스를 제공하고 LDAP는 TCP를 기본 전송 계층 프로토콜로 사용합니다. 따라서 mspress.microsoft.com 도메인에서 Active Directory 서버를 조회하는 클라이언트는 ldap.tcp.mspress.microsoft.com에 대한 DNS 항목을 조회합니다.

글로벌 디렉토리

Active Directory는 글로벌 카탈로그(GC) 및조직의 네트워크에 있는 모든 개체를 검색할 수 있는 단일 소스를 제공합니다.

글로벌 카탈로그는 사용자가 액세스 권한이 부여된 개체를 찾을 수 있도록 하는 Windows 2000 Server의 서비스입니다. 이 기능은 그 이상입니다. 애플리케이션 찾기에 포함된 컴퓨터 이전 버전윈도우. 결국 사용자는 서버, 프린터, 사용자 및 응용 프로그램과 같은 Active Directory의 모든 개체를 검색할 수 있습니다.

Active Directory - 확장 가능하고 확장 가능한 디렉터리 서비스 Active Directory(Active Directory)를 사용하면 네트워크 리소스를 효율적으로 관리할 수 있습니다.
액티브 디렉토리이 데이터를 찾고 사용하기 위한 편리한 수단을 제공하는 네트워크 개체에 대한 데이터의 계층적으로 구성된 리포지토리입니다. Active Directory를 실행하는 컴퓨터를 도메인 컨트롤러라고 합니다. 거의 모든 관리 작업은 Active Directory와 관련됩니다.
Active Directory 기술은 표준 인터넷 프로토콜을 기반으로 하며 네트워크 구조를 명확하게 정의하는 데 도움이 됩니다. Active Directory 도메인을 처음부터 배포하는 방법에 대한 자세한 내용은 여기를 참조하십시오.

Active Directory 및 DNS

Active Directory는 도메인 이름 시스템을 사용합니다.

Active Directory 관리

Active Directory 서비스를 사용하여 컴퓨터 계정이 만들어지고 도메인에 연결되며 컴퓨터, 도메인 컨트롤러 및 OU(조직 구성 단위)가 관리됩니다.

Active Directory를 관리하기 위한 관리 및 지원 도구가 제공됩니다. 아래 나열된 도구는 MMC(Microsoft Management Console) 스냅인으로 구현됩니다.

Active Directory - 사용자 및 컴퓨터(Active Directory 사용자 및 컴퓨터)를 통해 사용자, 그룹, 컴퓨터 및 조직 구성 단위(OD)를 관리할 수 있습니다.
Active Directory - 도메인 및 트러스트(Active Directory 도메인 및 트러스트)는 도메인, 도메인 트리 및 도메인 포리스트 작업에 사용됩니다.
Active Directory - 사이트 및 서비스(Active Directory 사이트 및 서비스)를 사용하여 사이트 및 서브넷을 관리할 수 있습니다.
정책 결과 집합은 현재 사용자 또는 시스템 정책을 보고 정책 변경을 예약하는 데 사용됩니다.
Microsoft Windows 2003 Server에서는 관리 도구 메뉴에서 이러한 스냅인에 직접 액세스할 수 있습니다.

또 다른 관리 도구인 Active Directory 스키마 스냅인을 사용하여 디렉터리 스키마를 관리하고 수정할 수 있습니다.

Active Directory 명령줄 유틸리티

Active Directory 개체를 관리하기 위해 다양한 관리 작업을 수행할 수 있는 명령줄 도구가 있습니다.

DSADD - 컴퓨터, 연락처, 그룹, OP 및 사용자를 Active Directory에 추가합니다.
DSGET - Active Directory에 등록된 컴퓨터, 연락처, 그룹, PO, 사용자, 사이트, 서브넷 및 서버의 속성을 표시합니다.
DSMOD - Active Directory에 등록된 컴퓨터, 연락처, 그룹, PO, 사용자 및 서버의 속성을 변경합니다.
DSMOVE - 단일 개체를 도메인 내의 새 위치로 이동하거나 개체를 이동하지 않고 이름을 바꿉니다.
DSQXJERY - 지정된 기준에 따라 Active Directory에서 컴퓨터, 연락처, 그룹, OP, 사용자, 사이트, 서브넷 및 서버를 검색합니다.
DSRM - Active Directory에서 개체를 제거합니다.
NTDSUTIL - 사이트, 도메인 또는 서버 정보를 보고, 작업 마스터를 관리하고, Active Directory 데이터베이스를 유지 관리할 수 있습니다.

중소기업에 대해 내부적으로 잘 알고 있어서 항상 다음과 같은 질문에 관심이 있었습니다. 직원이 업무용 컴퓨터에서 시스템 관리자가 좋아하는 브라우저를 사용해야 하는 이유를 설명하십시오. 또는 동일한 아카이버와 같은 다른 소프트웨어를 사용합니다. 메일 클라이언트, 인스턴트 메시징 클라이언트 ... 이것은 시스템 관리자의 개인적인 동정이 아니라 기능의 충분함, 유지 관리 및 지원 비용을 기반으로 표준화를 부드럽게 암시합니다. 소프트웨어 제품. 모든 사람이 할 수 있는 일을 할 때 IT를 공예가 아니라 정확한 과학으로 간주해 보겠습니다. 다시 말하지만, 중소기업에서도 이와 관련된 많은 문제가 있습니다. 회사가 위기의 어려운 시기에 이러한 관리자를 여러 명 변경한다고 상상해 보십시오. 이러한 상황에서 가난한 사용자는 어떻게 해야 합니까? 끊임없이 재학습?

반대편에서 봅시다. 모든 리더는 지금 회사(IT 포함)에서 무슨 일이 일어나고 있는지 이해해야 합니다. 이는 현재 상황을 모니터링하고 다양한 문제의 출현에 신속하게 대응하기 위해 필요합니다. 그러나 이러한 이해는 전략적 계획에 더 중요합니다. 실제로 강력하고 안정적인 기초가 있으면 3 또는 5 층에 집을 짓고 다양한 모양의 지붕을 만들고 발코니 또는 겨울 정원을 만들 수 있습니다. 마찬가지로 IT 분야에서도 탄탄한 기반을 갖추고 있습니다. 비즈니스 문제를 해결하기 위해 더 복잡한 제품과 기술을 계속 사용할 수 있습니다.

첫 번째 기사에서는 이러한 기반인 Active Directory 서비스에 대해 설명합니다. 그들은 모든 규모와 비즈니스 라인의 회사의 IT 인프라를 위한 강력한 기반이 되도록 설계되었습니다. 그것은 무엇입니까? 여기서 얘기하자...

도메인 및 Active Directory 서비스와 같은 간단한 개념으로 대화를 시작하겠습니다.

도메인사용자, 컴퓨터, 프린터, 공유 등과 같은 모든 네트워크 개체를 포함하는 기업 네트워크 인프라의 주요 관리 단위입니다. 이러한 도메인의 모음을 포리스트라고 합니다.

Active Directory 서비스(Active Directory 서비스)은 모든 도메인 개체를 포함하는 분산 데이터베이스입니다. Active Directory 도메인 환경은 기업 전체의 사용자 및 응용 프로그램에 대한 단일 인증 및 권한 부여 지점입니다. 기업의 IT 인프라 구축이 시작되는 것은 도메인 구성 및 Active Directory 서비스 배포와 함께 시작됩니다.

Active Directory 데이터베이스는 전용 서버(도메인 컨트롤러)에 저장됩니다. Active Directory 서비스는 서버 수술실 역할입니다. 마이크로소프트 시스템윈도우 서버. Active Directory 서비스는 확장성이 뛰어납니다. Active Directory 포리스트에서는 20억 개 이상의 개체를 만들 수 있으므로 수십만 대의 컴퓨터와 사용자가 있는 회사에서 디렉터리 서비스를 구현할 수 있습니다. 도메인의 계층 구조를 통해 IT 인프라를 회사의 모든 지사와 지역 부서로 유연하게 확장할 수 있습니다. 회사의 각 지사 또는 부서에 대해 자체 정책, 자체 사용자 및 그룹이 있는 별도의 도메인을 만들 수 있습니다. 각 하위 도메인에 대해 관리 권한을 로컬 시스템 관리자에게 위임할 수 있습니다. 동시에 자식 도메인은 여전히 부모 도메인에 종속됩니다.

또한 Active Directory 서비스를 사용하면 도메인 포리스트 간의 트러스트 관계를 설정할 수 있습니다. 각 회사에는 자체 리소스가 있는 자체 도메인 포리스트가 있습니다. 그러나 때로는 다른 회사의 직원에게 회사 리소스에 대한 액세스를 제공해야 할 수도 있습니다. 공동 프로젝트의 일부로 공유 문서 및 응용 프로그램으로 작업하십시오. 이를 위해 조직의 포리스트 간에 신뢰 관계를 설정할 수 있으며, 이를 통해 한 조직의 직원이 다른 조직의 도메인에 로그인할 수 있습니다.

Active Directory 서비스에 대한 내결함성을 제공하려면 각 도메인에 두 개 이상의 도메인 컨트롤러를 배포해야 합니다. 모든 변경 사항은 도메인 컨트롤러 간에 자동으로 복제됩니다. 도메인 컨트롤러 중 하나에 장애가 발생해도 나머지는 계속 작동하므로 네트워크는 영향을 받지 않습니다. Active Directory의 도메인 컨트롤러에서 DNS 서버를 호스팅하여 추가적인 복원 계층이 제공되며, 이를 통해 각 도메인은 기본 도메인 영역을 제공하는 여러 DNS 서버를 가질 수 있습니다. 그리고 DNS 서버 중 하나가 실패하면 나머지는 계속 작동합니다. 이 시리즈의 기사 중 하나에서 IT 인프라에서 DNS 서버의 역할과 중요성에 대해 이야기할 것입니다.

그러나 이것들은 모두 Active Directory 서비스를 구현하고 유지 관리하는 기술적 측면입니다. 작업 그룹을 사용하여 P2P 네트워킹에서 벗어나 회사가 얻는 이점에 대해 이야기해 보겠습니다.

1. 단일 인증 지점

각 컴퓨터나 서버의 작업 그룹에서 네트워크 액세스가 필요한 전체 사용자 목록을 수동으로 추가해야 합니다. 갑자기 직원 중 한 명이 비밀번호를 변경하려는 경우 모든 컴퓨터와 서버에서 비밀번호를 변경해야 합니다. 네트워크가 10대의 컴퓨터로 구성되어 있다면 더 많은 컴퓨터가 있다면? Active Directory 도메인을 사용할 때 모든 사용자 계정은 하나의 데이터베이스에 저장되고 모든 컴퓨터는 권한 부여를 위해 이 데이터베이스에 액세스합니다. 모든 도메인 사용자는 "회계", "재무 부서"와 같은 적절한 그룹에 포함됩니다. 특정 그룹에 대한 권한은 한 번만 설정하면 충분하며 모든 사용자는 문서 및 애플리케이션에 대한 적절한 액세스 권한을 받게 됩니다. 회사가 오면 신입 사원, 해당 그룹에 포함된 그를 위한 계정이 생성됩니다. 직원은 액세스가 허용되어야 하는 모든 네트워크 리소스에 액세스할 수 있습니다. 직원이 그만두면 차단하는 것으로 충분하며 즉시 모든 리소스(컴퓨터, 문서, 응용 프로그램)에 대한 액세스 권한을 잃게 됩니다.

2. 단일 정책 관리 지점

작업 그룹에서 모든 컴퓨터는 동일합니다. 어느 컴퓨터도 다른 컴퓨터를 제어할 수 없으며 균일한 정책 및 보안 규칙에 따라 컴플라이언스를 제어하는 것이 불가능합니다. 단일 Active Directory 디렉터리를 사용하는 경우 모든 사용자와 컴퓨터는 계층적으로 조직 구성 단위에 분산되며 각 조직 구성 단위에는 균일한 그룹 정책이 적용됩니다. 정책을 사용하면 컴퓨터 및 사용자 그룹에 대해 균일한 설정과 보안 설정을 지정할 수 있습니다. 새 컴퓨터나 사용자가 도메인에 추가되면 승인된 회사 표준을 준수하는 설정이 자동으로 수신됩니다. 정책의 도움으로 사용자를 중앙에서 할당할 수 있습니다. 네트워크 프린터, 필수 애플리케이션 설치, 브라우저 보안 설정, 구성 마이크로소프트 애플리케이션사무실.

3. 정보보안 강화

Active Directory 서비스를 사용하면 네트워크 보안이 크게 향상됩니다. 첫째, 안전한 단일 스토리지입니다. 계정. 도메인 환경에서 도메인 사용자의 모든 비밀번호는 일반적으로 외부 액세스로부터 보호되는 전용 서버인 도메인 컨트롤러에 저장됩니다. 둘째, 도메인 환경을 사용할 때 Kerberos 프로토콜이 인증에 사용되며 이는 작업 그룹에서 사용되는 NTLM보다 훨씬 더 안전합니다.

4. 기업 애플리케이션 및 장비와의 통합

Active Directory 서비스의 큰 장점은 메일 서버(Exchange Server), 프록시 서버(ISA Server, TMG)와 같은 다른 시스템에서 지원하는 LDAP 표준을 준수한다는 것입니다. 그리고 반드시 Microsoft 제품만 있는 것은 아닙니다. 이 통합의 장점은 사용자가 특정 응용 프로그램에 액세스하기 위해 많은 수의 로그인 및 암호를 기억할 필요가 없다는 것입니다. 모든 응용 프로그램에서 사용자는 동일한 자격 증명을 가지고 있습니다. 그의 인증은 단일 Active Directory 디렉터리에서 이루어집니다. Windows Server는 다양한 네트워크 장비에서 지원되는 RADIUS 프로토콜과 Active Directory 통합을 제공합니다. 따라서 예를 들어 외부에서 VPN을 통해 연결할 때 도메인 사용자 인증을 제공하는 것이 가능합니다. WiFi 핫스팟회사에 대한 액세스.

5. 통합 애플리케이션 구성 저장소

일부 응용 프로그램은 Exchange Server와 같은 Active Directory에 구성을 저장합니다. 이러한 응용 프로그램이 작동하려면 Active Directory 디렉터리 서비스를 배포해야 합니다. 응용 프로그램 구성을 디렉터리 서비스에 저장하면 유연성과 안정성 면에서 유용합니다. 예를 들어 Exchange 서버에 완전히 장애가 발생하는 경우 전체 구성이 그대로 유지됩니다. 기능을 복원하려면 회사 메일, 복구 모드에서 Exchange Server를 다시 설치하는 것으로 충분합니다.

요약하자면, Active Directory 서비스가 기업 IT 인프라의 핵심이라는 사실에 다시 한 번 초점을 맞추고 싶습니다. 장애가 발생하면 전체 네트워크, 모든 서버, 모든 사용자의 작업이 마비됩니다. 아무도 컴퓨터에 로그인하여 문서 및 응용 프로그램에 액세스할 수 없습니다. 따라서 디렉토리 서비스는 가능한 모든 뉘앙스를 고려하여 신중하게 설계 및 배포해야 합니다. 대역폭회사의 지사 또는 사무실 간의 채널(시스템에 대한 사용자 로그인 속도 및 도메인 컨트롤러 간의 데이터 교환 속도는 이에 직접적으로 의존함).

이전 기사에서 디렉터리 서비스 및 Active Directory와 관련된 일반적인 문제에 대해 논의했습니다. 이제 연습을 진행할 차례입니다. 그러나 서버로 서두르지 마십시오. 네트워크에 도메인 구조를 배포하기 전에 계획을 세우고 목적에 대한 명확한 아이디어가 있어야 합니다. 개별 서버그리고 그들 사이의 상호작용.

첫 번째 도메인 컨트롤러를 만들기 전에 작업 모드를 결정해야 합니다. 작동 모드는 사용 가능한 기능을 결정하고 사용 중인 응용 프로그램의 버전에 따라 다릅니다. 운영 체제. 현재 관련된 모드를 제외하고 가능한 모든 모드를 고려하지는 않습니다. 이러한 모드에는 Windows Server 2003, 2008 및 2008 R2의 세 가지가 있습니다.

Windows Server 2003 모드는 이 OS의 서버가 인프라에 이미 배포되어 있고 이러한 서버 중 하나 이상을 도메인 컨트롤러로 사용할 계획인 경우에만 선택해야 합니다. 다른 경우에는 구입한 라이선스에 따라 Windows Server 2008 또는 2008 R2 모드를 선택해야 합니다. 도메인 작동 모드는 항상 증가할 수 있지만 낮추는 것은 불가능하므로(백업 복사본에서 복원하는 경우 제외) 가능한 확장, 지점의 라이선스 등을 고려하여 이 문제에 신중하게 접근해야 합니다. . 등.

이제 도메인 컨트롤러를 만드는 프로세스를 자세히 고려하지 않고 나중에 이 문제로 돌아가겠지만 이제 도메인 컨트롤러의 전체 Active Directory 구조에는 적어도 두. 그렇지 않으면 단일 도메인 컨트롤러에 장애가 발생할 경우 AD 구조가 완전히 파괴. 최신 백업이 있고 이 백업에서 복구할 수 있으면 좋습니다. 어떤 경우에도 네트워크가 완전히 마비될 것입니다.

따라서 첫 번째 도메인 컨트롤러를 만든 직후 네트워크 크기와 예산에 관계없이 두 번째 도메인 컨트롤러를 배포해야 합니다. 두 번째 컨트롤러는 계획 단계에서 제공되어야 하며, 이것이 없으면 AD 배포를 수행할 가치조차 없습니다. 또한 도메인 컨트롤러의 역할을 다른 서버 역할과 결합하지 마십시오. AD 데이터베이스 작업의 안정성을 보장하기 위해 디스크에서 쓰기 캐싱이 비활성화되어 디스크 성능이 급격히 저하됩니다. 하위 시스템(이것은 설명하고 긴 로딩도메인 컨트롤러).

결과적으로 네트워크는 다음 형식을 취해야 합니다.

일반적인 믿음과 달리 도메인의 모든 컨트롤러는 동일합니다. 각 컨트롤러에는 전체 정보모든 도메인 개체에 대해 설명하고 클라이언트 요청을 처리할 수 있습니다. 그러나 이것이 컨트롤러가 상호 교환 가능하다는 것을 의미하지는 않습니다. 이 점을 오해하면 종종 엔터프라이즈 네트워크의 AD 오류 및 다운타임이 발생합니다. 왜 이런 일이 발생합니까? FSMO의 역할에 대해 기억할 때입니다.

첫 번째 컨트롤러를 생성할 때 사용 가능한 모든 역할이 포함되며 글로벌 카탈로그이기도 합니다. 두 번째 컨트롤러의 출현으로 인프라 마스터, RID 마스터 및 PDC 에뮬레이터의 역할이 여기에 이전됩니다. 예를 들어 먼지를 제거하기 위해 관리자가 DC1 서버를 일시적으로 비활성화하기로 결정하면 어떻게 됩니까? 언뜻 보기에는 괜찮습니다. 도메인이 "읽기 전용" 모드로 전환되지만 작동합니다. 그러나 우리는 글로벌 카탈로그를 잊어버렸고 Exchange와 같이 이를 필요로 하는 응용 프로그램이 네트워크에 배포된 경우 서버에서 덮개를 제거하기 전에 이에 대해 알게 될 것입니다. 당신은 불만족한 사용자로부터 배우고 경영진은 기뻐하지 않을 것입니다.

결론은 다음과 같습니다. 포리스트에는 최소한 두 개의 글로벌 카탈로그가 있어야 하며 무엇보다도 각 도메인에 하나씩 있어야 합니다. 포리스트에 하나의 도메인이 있기 때문에 두 서버 모두 전역 디렉터리여야 합니다. 이렇게 하면 문제 없이 유지 관리를 위해 서버 중 하나를 사용할 수 있습니다. FSMO 역할이 일시적으로 없어도 AD 오류가 발생하지 않고 새로운 개체를 만드는 것은 불가능합니다.

도메인 관리자는 FSMO 역할이 서버 간에 어떻게 분산되어 있는지 명확하게 이해해야 하며 장기간 서버를 폐기할 때 이러한 역할을 다른 서버로 이전해야 합니다. 그리고 FSMO 역할이 포함된 서버에 돌이킬 수 없는 장애가 발생하면 어떻게 됩니까? 이미 썼듯이 모든 도메인 컨트롤러에는 필요한 모든 정보가 포함되어 있습니다. 이러한 문제가 발생하면 컨트롤러 중 하나에서 필요한 역할을 캡처해야 합니다. 그러면 디렉터리 서비스의 전체 작업이 복원됩니다. .

시간이 흐르고 조직이 성장하고 도시 반대편에 지사가 있으며 기업의 전체 인프라에 해당 네트워크를 포함해야 합니다. 언뜻 보면 복잡하지 않고 사무실 간에 통신 채널을 설정하고 추가 컨트롤러를 배치합니다. 다 괜찮을 텐데 한 가지가 있습니다. 이 서버를 제어할 수 없으므로 무단 액세스가 가능하며 로컬 관리자는 그의 자격을 의심하게 만듭니다. 그런 상황에서 어떻게? 이러한 목적을 위해 특별히 다음과 같은 특별한 유형의 컨트롤러가 있습니다. 읽기 전용 도메인 컨트롤러(RODC), 주어진 기능 Windows Server 2008 이상부터 도메인 기능 모드에서 사용할 수 있습니다.

읽기 전용 도메인 컨트롤러는 모든 도메인 개체의 전체 복사본을 포함하고 글로벌 카탈로그가 될 수 있지만 AD 구조를 변경할 수 없으며 모든 사용자를 로컬 관리자로 지정할 수 있습니다. 그가 온전히 봉사할 수 있도록 주어진 서버, 그러나 다시 AD 서비스에 액세스할 수 없습니다. 우리의 경우 의사가 주문한 것입니다.

우리는 RODC 지점에 설정하고 모든 것이 작동하고 침착하지만 사용자는 긴 로그인에 대해 불평하기 시작하고 월말에 트래픽 청구서가 초과 표시됩니다. 무슨 일이야? 도메인 컨트롤러의 동등성에 대해 다시 한 번 기억할 때입니다. 클라이언트는 다른 지점에 있는 모든 도메인 컨트롤러에 자신의 요청을 보낼 수 있습니다. 느리고 아마도 바쁜 통신 채널을 고려하십시오. 이것이 로그인 지연의 이유입니다.

이 상황에서 우리의 삶을 독살시키는 다음 요인은 복제입니다. 아시다시피, 도메인 컨트롤러 중 하나에서 수행된 모든 변경 사항은 자동으로 다른 컨트롤러에 전파되며 이 프로세스를 복제라고 합니다. 이를 통해 각 컨트롤러에서 일관된 최신 데이터 복사본을 가질 수 있습니다. 복제 서비스는 우리 지점과 느린 통신 채널에 대해 알지 못하므로 사무실의 모든 변경 사항은 즉시 지점으로 복제되어 채널을 로드하고 트래픽 소비를 증가시킵니다.

여기에서 우리는 인터넷 사이트와 혼동되어서는 안 되는 AD 사이트의 개념에 접근합니다. Active Directory 사이트디렉토리 서비스의 구조를 느리거나 불안정한 링크에 의해 다른 영역과 분리된 영역으로 물리적으로 나누는 방법을 나타냅니다. 사이트는 서브넷을 기반으로 생성되며 모든 클라이언트 요청은 먼저 해당 사이트의 컨트롤러로 전송됩니다. 또한 각 사이트에 글로벌 카탈로그가 있는 것이 매우 바람직합니다. 우리의 경우 두 개의 사이트를 만들어야 합니다. 광고 사이트 1중앙 사무실 및 광고 사이트 2기본적으로 AD 구조에는 이전에 생성된 모든 개체를 포함하는 사이트가 이미 포함되어 있기 때문에 분기의 경우 더 정확하게는 하나입니다. 이제 여러 사이트가 있는 네트워크에서 복제가 어떻게 발생하는지 살펴보겠습니다.

우리 조직이 약간 성장했고 본사에 최대 4개의 도메인 컨트롤러가 있다고 가정합니다. 한 사이트의 컨트롤러 간 복제를 사이트 내그리고 즉시 발생합니다. 복제 토폴로지는 도메인 컨트롤러 간에 복제 단계가 3개 이하라는 조건으로 링 구성표에 따라 구축됩니다. 링 구성표는 컨트롤러를 포함하여 최대 7개까지 저장되며, 각 컨트롤러는 두 개의 가장 가까운 이웃과 연결을 설정하고 더 많은 수의 컨트롤러 추가 연결이 나타나고 공통 링은 말하자면 서로 겹쳐진 링 그룹으로 바뀝니다.

사이트 간복제는 다르게 발생하며 각 도메인에서 서버 중 하나(브리지헤드 서버)가 자동으로 선택되어 다른 사이트의 유사한 서버와 연결됩니다. 기본적으로 3시간(180분)에 1번씩 복제가 이루어지지만, 자체적으로 복제 일정을 정할 수 있고 트래픽을 줄이기 위해 모든 데이터는 압축된 형태로 전송됩니다. 사이트에 RODC만 있는 경우 복제는 단방향으로 발생합니다.

물론 우리가 다룬 주제는 매우 심오하며 이 자료에서는 약간만 다루었지만 이는 엔터프라이즈 인프라에서 Active Directory를 실제로 구현하기 전에 알아야 할 최소한의 지식입니다. 이렇게 하면 배치 중 어리석은 실수와 구조의 유지 관리 및 확장 중 비상 상황을 피할 수 있으며 제기된 각 주제에 대해 더 자세히 논의할 것입니다.

단지에 대해. 프로그램들. 철. 인터넷. 창