지금까지 몇 대의 컴퓨터만을 이용해 서버를 구축하고 운영 실습을 했습니다. 또한, 클라이언트도 한두 대로만 사용해서 별 불편이나 문제가 없었습니다. 하지만, 대규모 회사에서는 엄청나게 많은 수의 컴퓨터가 하나의 네트워크로 묶여서 작동해야 하며, 세계적인 규모의 회사라면 지역적으로도 서울, 부산, 미국, 일본 등에 분산되어 운영됩니다. 이러한 전사적인 네트워크 환경을 기존의 '단일 서버'로 운영하기에는 한계점에 다다를 수밖에 없습니다. 이를 해결하기 위한 솔루션이 Active Directory다. Active Directory는 한마디로 표현하면 Microsoft에서 제공하는 대규모 네트워크를 관리하고 운영하는 기술입니다.
Active Directory에 대한 이론적인 내용은 꼭 필요한 부분만 최소화하여 설명하겠습니다. 더 필요한 이론적인 내용은 전체를 파악한 후에 추가로 하나씩 Microsoft 사이트의 도움말을 보면서 익히는 것이 더욱 효과적인 학습 방법이 될 것입니다.
1. Active Directory 개념
Active Directory의 환경을 구축하려면 기본적으로 회사(좀 규모가 있는 회사)의 본사 및 지사의 의미를 알아야 합니다. 다름 그림은 가상으로 만든 'KJY 주식회사'의 회사 구성도입니다.
[그림 1]일반적인 회사의 구성도
KJY 주식회사는 서울에 본사와 부산 지사, 그리고 일본에 소규모 사무실로 구성되어 있습니다.
서울 본사 및 부산 지사는 직원의 수가 많아서 각 서버에 별도의 서버 관리자가 있습니다.
일본 사무실은 서버는 있지만, 소규모라 별도의 서버 관리자를 두지는 않습니다. 따라서 서버에 대한 관리 및 보안에 취약합니다.
본사 직원이 부산 지사나 일본 사무실에 출장을 자주갑니다. 그때마다 본사 직원의 PC를 가지고 갈 수 없어서 해당 출장지의 PC를 잠시 빌려서 사용합니다.
본사 직원이 네트워크상에서 부산 지사 및 일본 사무실의 자원을 자주 사용합니다.
위 그림은 일반적인 회사의 상황이며, 이러한 상황을 Windows Server에서 구현하기 위한 것이 Active Directory라고 보면 됩니다. 즉, 네트워크상으로 나눠져 있는 여러 가지 자원을 중앙의 관리자가 통합해 관리할 수 있도록 함으로써, 본사 및 지사의 직원들은 더 이상 자신의 PC에 모든 정보를 보관할 필요가 없어집니다. 또한, 타 지사에 출장을 가서도 자신의 아이디로 로그인만 하면 타인의 PC가 자신의 PC 환경과 마찬가지로 변경됩니다. 즉, PC가 있는 장소와 무관하게 회사 어디서든지 회사 전체 자원을 편리하게 사용할 수 있다.
2. Active Directory 용어
Directory Service
컴퓨터와 주변기기 수가 늘어나면서 이에 대한 관리 문제가 생겼습니다. 예를 들어 A라는 사용자의 PC에서 B라는 사용자의 프린터를 사용하고 싶다면 네트워크 프린터로 연결해서 출력할 수 있습니다. 하지만, 회사내의 컴퓨터가 수백, 수천 대라면 네트워크에 연결된 컴퓨터 중에서 B 사용자의 컴퓨터를 찾는 일 자체도 어려울 것입니다. 또, 본사에서 자신의 자리에서 업무를 보다가 지사로 출장을 가서 업무를 연속해야 한다면 PC를 가져가기도 어려울 뿐더러, 노트북이더라도 네트워크 환경 등을 모두 다시 설정해야 합니다. 또한 프린터 등 컴퓨터 자원을 사용하려면 복잡한 과정을 거쳐야만 할 것입니다.
Active Directory는 이렇게 분산된 네트워크 관련 자원 정보를 주앙의 저장소에 통합시켜 놓음으로써 더이상 사용자가 네트워크상의 정보를 찾기 위해서 헤매지 않게 도와줍니다. 즉, 사용자는 중앙의 저장소를 통해서 원하는 정보에 대한 정보를 '자동으로' 취득하고, 네트워크 자원에 접근할 수 있습니다. 여기서 네트워크 자원이란 사용자 계정, 그룹 계정 및 프린터 등의 주변기기를 말합니다.
Active Directory(AD)
앞에서 설명한 Directory Service를 Windows Server에서 구현한 것이 마로Active Directory(AD) 입니다. 전체 환경을 개념적으로 부르는 용어입니다.
Active Directory 도메인 서비스
컴퓨터, 사용자, 기타 주변기기 정보를 네트워크상에 저장하고 Active Directory 도메인 서비스는 이러한 정보를 관리자가 통합해 관리하게 됩니다. 이렇게 하면 사용자는 네트워크에 편리하게 자원들을 공유할 수 있으며 공동으로 작업도 가능해집니다. Active Directory 도메인 서비스를 사용하려면 기본적으로 DNS 서버를 설치해야 합니다.
도메인
도메인은 Active Directory의 가장 기본이 되는 단위로써, [그림 2]의 서울 본사, 부산 지사 등이 각각 하나의 도메인이라고 보면 됩니다. 도메인은 관리를 하기 위한 하나의 큰 단위의 범위를 표현하며, 관리를 위해서 지역적인 범위로 구분될 수 있습니다. 예로 서울 지사 도메인에 속한 PC들은 본사 서버를 통해 컴퓨터에 로그인, 인증, 검색 등의 작업을 수행할 수 있습니다.
또한 [그림 1]의 서울 본사는 '부모 도메인'으로 불리 수 있으며, 그에 소속된 부산 지사는 '자식 도메인'으로 부르기도 합니다.
트리와 포리스트
트리는 도메인의 집합으로 보면 됩니다. [그림 1]의 부모 도메인인 서울 지사와 자식 도메인인 부산 지사, 일본 사무실이 계층적 구조로 되어 있는데 이를 하나로 묶은 KJY 주식회사를 '트리 구조' 또는 그냥 '트리'라고 부릅니다. 그래서 트리는 물리적으로 존재한다기보다는 개념적인 것으로 보시면 됩니다.
지금 [그림 1]은 KJY 주식회서라는 단일 트리로 구성되어 있는데, 만약 KIM 주식회사라는 다른 회사와 전략적 제휴를 맺게 된다면 두 회사는 서로 관계를 맺을 수가 있을 것입니다. 즉, 두 개 이상의 트리로 Active Directory가 구성되는데 이를 포리스트라고 부릅니다.
다음 그림을 보시면 도메인, 트리, 포리스트의 관계를 확인할 수 있습니다. 즉, 도메인<트리<포리스트의 관계를 확인할 수 있습니다.
본 실습에서 KJY 주식회사(단일 트리)만 사용할 것이므로, 사용하는 포리스트는 하나의 트리만 존재하므로 트리 = 포리스트로 취급해서 하용하겠습니다. 즉, 도메인<트리<=포리스트의 관계가 됩니다.
[그림 2]도메인, 트리, 포리스트 관계
사이트
도메인이 논리적인 범주라면, 사이트는 물리적인 범주에 가깝습니다. [그림 3]을 먼저 보면 서울 본사와 일본 사무실은 kjy.com 도메인으로 같은 도메인으로 묶여 있지만, 실제로는 상당한 거리가 떨어져 있습니다. 그러므로 서울 본사와 일본 사무실은 같은 도메인이지만 별도의 사이트로 구성됩니다. 부산 지사도 역시 별도의 사이트므로 kjy.com 포리스트에 총 3개의 사이트로 구성된다고 보면 됩니다.
결국 사이트는 지리적으로 떨어져 있으며, IP 주소대가 다른 묶음 정도로 보면 되겠습니다.
[그림 3]실습에서 구현할 AD DS 환경
트러스트
도메인 또는 포리스트 사이에 신뢰할지 여부에 대한 관계를 나타내는 의미로 사용됩니다. 우선 같은 포리스트 안의 도메인 사이에는 상호 '양방향 전이 트러스트'를 같는다. 쉽게 말하면 도메인끼리 서로 신뢰한다고 생각하면 됩니다. 이 외에도 한쪽 방향의 신뢰 관계만 맺은 경우를 '단방향 전이 트러스트'라 부릅니다. 또, [그림 2]와 같이 포리스트가 두 개 이상의 트리로 구성되었어도 기본적으로 '양방향 전이 트러스트' 관계를 맺지만 [그림 2]에서 부산 지사가 영국 지사와 연결되기 위해서는 부산 지사 -> 서울 본사 -> 미국 본사 -> 영국 지사의 단계를 거쳐야 합니다. 이러한 단계를 줄이기 위해서 부산 지사에서 영국 지사로 '바로가기 트러스트' 관계를 맺을 수도 있다. 바로 가기 트러스트는 맺지 않아도 논리적으로는 문제가 되지 않으나, 네트워크 트래픽을 줄이고 거쳐가는 도메인 컨트롤러의 부하를 줄이기 위해서 사용될 수 있습니다.
본 실습은 하나의 포리스트 안에서 모든 도메인을 사용하므로 양방향 전이 트러스트 관계가 자동으로 맺어진다고 보시면 됩니다.
조직 구성 단위
조직 구성 단위는 한 도메인 안에서 세부적인 단위로 나누는 것을 말하는데, [그림 1]에서 서울 본사에 관리부, 회계부, 기술부 등의 부서로 나눈다면 이러한 부서를 '조직 구성 단위'라고 부른다(그림에는 없습니다). 조직 구성 단위에 대한 내용은 추후에 상세히 다루겠습니다.
도메인 컨트롤러
로그인, 이용권한 확인, 새로운 사용자 등록, 암호변경 그룹 등을 처리하는 기능을 하는 서버 컴퓨터를 도메인 컨트롤러라고 한다. Active Directory 도메인 서비를 구현할 때 도메인에 하나 이상의 DC를 설치해야 합니다. [그림 1]에 나온 본사 서버, 부산 지사 서버, 일본 지사 서버가 각 도메인의 도메인 컨트롤러가 된다.
도메인 컨트롤러의 전원이 꺼진 후에도 Active Directory 도메인 서비스를 계속 운영하도록 하려면 하나의 도메인에 2대 이상의 도메인 컨트롤러를 설치하면 된다.
읽기 전용 도메인 컨트롤러
도메인 컨트롤러는 별도의 관리자가 수시로 관리해야 합니다. 읽기 전용 도메인 컨트롤러는 주 도메인 컨트롤러로부터 Active Directory와 관련된 데이터를 전송받아서 저장한 후 사용하지만, 스스로 데이터를 추가하거나 변경하지는 않는다. 읽기 전용 도메인 컨트롤러를 주로 사용하는 경우는 본사와 멀리 떨어진 지사에서 도메인 컨트롤러가 필요한 경우 별도의 관리자를 두기 어려울 경우에 주 도메인 컨트롤러의 부하를 분담하기 위해서 주로 사용됩니다. [그림 1]에서 일본 지사의 경우에는 소규모로 운영되므로 별도의 서버 관리자를 두기가 어려운 형편입니다. 이 경우에 읽기 전용 도메인 컨트롤러로 구성해 놓으면 도메인 컨트롤러 기능을 하면서도 관리에 대한 부담이 줄어든다. [그림 3]에 일본 지사의 서버를 읽기 전용 도메인 컨트롤러로 구성해 놓았습니다.
글로벌 카탈로그
Active Directory 트러스트 내의 도메인에 포함된 개체에 대한 정보를 수집하여 저장되는 통합 저장소를 글로벌 카탈로그라고 합니다. 예를 들어 사용자의 경우에는 사용자의 이름, 전체이름, 로그인 아이디와 비밀번호 등의 정보가 글로벌 카탈로그에 저장된다. 글로벌 카탈로그는 [그림 3]에 표현되어 있습니다.
이러한 글로벌 카탈로그가 있는 서버를 '글로벌 카탈로그 서버'라고 부르는데, Active Directory를 구성할 경우에 가장 먼저 설치하는 도메인 컨트롤러가 글로벌 카탈로그 서버로 지정됩니다.
이 외에도 Active Directory와 관련된 용어가 더 있는데, 이에 대해서는 앞으로 필요할 때 설명하겠습니다. 이제 실습을 통해서 Active Directory를 살펴보겠습니다.
