[AD] Active Directory 개념에 대해 정리한 글

Infra/MS

[AD] Active Directory 개념에 대해 정리한 글

오묘 2025. 1. 2. 22:43

AD에 대해 정리한 글입니다.

디렉터리 서비스란

Active Directory는 MS에서 만든 윈도우용 LDAP 프로토콜을 사용하는 디렉터리 서비스입니다.

여기서 디렉터리 서비스는 조직의 네트워크 리소스(사용자, 그룹, 컴퓨터, 프린트 등)를 저장하고 네트워크 관리자가 리소스에 접근할 수 있게 합니다.

DB처럼 Read 기능이 최적화 되어 있으며, 디렉터리 안 개체들에 대한 정보를 쿼리할 수 있는 기능을 제공합니다. 이 때 디렉터리 안에 있는 데이터는 확장되거나 수정이 가능하고, 디렉터리 서버간에 복제됩니다.

Active Directory

용어의 경우 영어 문서를 한글로 정리한 것이라서 혼동될 수 있습니다.

Object = 개체 = 객체

정의

네트워크의 개체 관련 정보가 저장된 계층 구조를 가진 디렉터리 서비스입니다.
예: ADDS(Active Directory Domain Services)는 디렉터리 데이터를 저장하고, 네트워크 사용자 및 관리자가 이 데이터를 사용할 수 있도록 지원합니다.

기능

사용자 계정 정보(이름, 비밀번호, 전화번호 등) 저장
다른 네트워크에서 권한이 있는 사용자가 특정 정보에 액세스 가능
논리적이고 계층적인 디렉터리 정보 구성을 제공

구성 요소

데이터 저장소

Active Directory 개체 정보 저장.
개체
- 서버
- 볼륨
- 프린터
- 네트워크 사용자 및 컴퓨터 계정

스키마

디렉터리 안에 어떤 오브젝트가 포함될 수 있는지랑 그 오브젝트가 어떤 데이터 저장할 수 있는지를 정의합니다.
스키마의 구성 요소는 클래스, 속성 2가지가 주요 구성 요소입니다. 이 둘의 규칙을 통해 디렉터리 구조가 형상된다고 볼 수 있습니다.

모든 스키마 클래스와 속성은 각각 classSchema와 attributeSchema 오브젝트로 정의됩니다.

클래스

클래스는 오브젝트가 어떤 속성을 가질 수 있는지에 대한 유형을 결정합니다.

classSchema 오브젝트는 스키마에서 클래스를 정의하는 데 사용됩니다. 이는 해당 클래스의 디렉터리 오브젝트를 생성하기 위한 템플릿을 제공합니다.

classSchema 오브젝트는 다음과 같은 정보를 포함합니다

클래스 유형: 구조적(structural), 추상적(abstract), 보조(auxiliary)
일반 이름과 Lightweight Directory Access Protocol(LDAP) 표시 이름
오브젝트 인스턴스에 필요한 "필수 포함" 및 "선택 포함" 속성 리스트
상대적 고유 이름(Relative Distinguished Name, RDN) 속성
가능한 부모 클래스 리스트

스키마에는 세 가지 클래스 유형이 존재합니다

구조적(Structural)	디렉터리에서 오브젝트(사용자, 서버 등)를 인스턴스화하는 데 사용됨
추상적(Abstract)	구조적 클래스를 파생시키기 위한 템플릿 제공
보조적(Auxiliary)	구조적 및 추상적 클래스에 포함될 수 있는 사전 정의된 속성 리스트 포함

속성(Attribute)

속성은 오브젝트가 저장할 수 있는 데이터의 단위입니다.
- 예: 사용자 클래스의 속성으로 "이름(Name)", "직급(Title)", "이메일(Email)"이 있을 수 있음.
속성은 각 데이터가 가질 수 있는 형식, 값의 제약 조건 등을 정의합니다.
- 단일 값 또는 다중 값, 최소/최대 길이, 허용되는 데이터 유형(텍스트, 숫자 등) 등을 포함.

속성은 attributeSchema 오브젝트로 정의됩니다.

일반 이름과 LDAP 표시 이름
구문 규칙
데이터 제약 조건: 단일 값(single-valued) 또는 다중 값(multivalued), 최소 및 최대 값
속성의 인덱싱 여부 및 방법

단일 값과 다중 값 속성

단일 값 속성: 오브젝트 인스턴스는 하나의 값만 가질 수 있음
다중 값 속성: 오브젝트 인스턴스는 동일한 구문의 여러 값을 가질 수 있음
- 다중 값 속성은 포함된 값의 순서를 저장하지 않음
- 다중 값 속성의 각 값은 고유해야 함

인덱싱된 속성

단일 값 및 다중 값 속성 모두 인덱싱될 수 있음
인덱싱 장점: 속성에 대한 쿼리 성능 향상. 와일드카드(*)를 검색 문자열의 접두사나 접미사로 사용 가능
인덱싱 단점: 복제, 오브젝트 생성 시간 및 디렉터리 데이터베이스 크기에 부정적 영향을 미치므로 자주 사용되는 속성만 인덱싱하는 것을 권장

글로벌 카탈로그

글로벌 카탈로그는 디렉터리의 모든 명명 컨텍스트의 부분 복제본(replica)을 포함하여 사용자와 애플리케이션이 Active Directory 도메인 트리에서 개체를 검색할 수 있도록 지원하는 구성 요소입니다.
역할
- 디렉터리에서 대상 개체를 빠르게 찾을 수 있도록 돕습니다.
- 특정 도메인에 국한되지 않고 전체 Active Directory 도메인 트리를 검색 가능하게 합니다.

Active Directory Domain Services에서 실행되는 도메인은 여러 파티션(partition) 또는 네임 컨텍스트(naming context)로 구성됩니다.

각 오브젝트의 DN(Distinguished Name)에는 해당 오브젝트를 포함하는 파티션의 복제본(replica)을 찾는 데 충분한 정보가 포함되어 있습니다. 하지만 사용자나 애플리케이션은 대상 오브젝트의 DN이나 해당 오브젝트를 포함하는 파티션을 모르는 경우가 많습니다.

글로벌 카탈로그는 사용자가 대상 오브젝트의 1~2개 속성값만 알아도 AD의 도메인 트리에서 해당 오브젝트를 찾을 수 있게 돕는 기능입니다.

쿼리 및 인덱스 메커니즘

네트워크 사용자나 애플리케이션이 객체와 속성을 검색 가능하게 합니다.

복제 서비스

디렉터리 데이터를 네트워크에 배포합니다. 도메인의 모든 도메인 컨트롤러가 복제에 참여하며 도메인 디렉터리 정보의 전체 복사본 보유하고 있으며, 데이터 변경 사항을 모든 도메인 컨트롤러에 복제합니다.

복제 매커니즘은 아래와 같습니다.

1. 연결 개체(Connection Object)

정의: 원본 도메인 컨트롤러에서 대상 도메인 컨트롤러로의 복제 연결을 나타내는 Active Directory 개체입니다.
특징:
- 대상 서버의 NTDS 설정(NTDS Settings) 개체 하위에 위치합니다.
- 복제 원본 서버를 식별하고, 복제 일정 및 전송 방법을 포함합니다.
생성:
- KCC(지식 일관성 검사기)에 의해 자동 생성되지만, 수동으로도 생성 가능합니다.

2. KCC(지식 일관성 검사기)

정의: 모든 도메인 컨트롤러에서 실행되며, Active Directory 포리스트의 복제 토폴로지를 생성하는 내장 프로세스입니다.
기능:
- 사이트 내(Intrasite) 및 사이트 간(Intersite) 복제 토폴로지를 생성하고 동적으로 조정합니다.
- 도메인 컨트롤러의 추가, 제거, 이동, 비용 및 일정 변경, 도메인 컨트롤러의 상태 변화 등을 반영하여 복제 토폴로지를 조정합니다.

3. 장애 조치(Failover) 기능

설명: 네트워크 오류나 도메인 컨트롤러의 오프라인 상태를 우회하여 복제가 지속되도록 합니다.
동작:
- KCC는 주기적으로 실행되어 복제 토폴로지를 평가하고, 필요 시 다른 복제 파트너와의 임시 연결을 생성합니다.

4. 서브넷(Subnet)

정의: 논리적 IP 주소 집합이 할당된 TCP/IP 네트워크 세그먼트입니다.
역할: 네트워크에서 물리적 근접성을 기반으로 컴퓨터를 그룹화하며, Active Directory에서 컴퓨터를 사이트에 매핑하는 데 사용됩니다.

5. 사이트(Site)

정의: 신뢰할 수 있고 빠른 네트워크 연결을 사용하는 하나 이상의 TCP/IP 서브넷을 나타내는 Active Directory 개체입니다.
기능:
- Active Directory 액세스 및 복제를 최적화하여 네트워크 사용을 효율적으로 관리합니다.
- 사이트는 둘 이상의 도메인에서 도메인 컨트롤러를 포함할 수 있으며, 도메인은 여러 사이트에 걸쳐 있을 수 있습니다.

6. 사이트 링크(Site Link)

정의: KCC가 Active Directory 복제 연결을 설정하는 데 사용하는 논리적 경로를 나타내는 개체입니다.
특징:
- 지정된 사이트 간 전송을 통해 일정한 비용으로 통신할 수 있는 사이트 집합을 나타냅니다.
- 사이트 링크를 통해 한 사이트의 도메인 컨트롤러가 다른 사이트의 도메인 컨트롤러와 디렉터리 변경 내용을 복제할 수 있습니다.

7. 사이트 링크 브리지(Site Link Bridge)

정의: 사이트 링크의 집합을 나타내며, 기본적으로 모든 사이트 링크는 전이적(Transitive)으로 간주됩니다.
기능: 사이트 링크 브리지를 통해 간접적으로 연결된 사이트 간에도 복제가 가능하도록 지원합니다.

8. 글로벌 카탈로그 서버(Global Catalog Server)

정의: 포리스트 내 모든 도메인의 모든 개체에 대한 부분적인 속성 집합을 저장하는 도메인 컨트롤러입니다.
역할: 사용자와 애플리케이션이 디렉터리에서 개체를 빠르게 검색할 수 있도록 지원합니다.

9. 범용 그룹 구성원 자격 캐싱(Universal Group Membership Caching)

설명: 글로벌 카탈로그 서버 없이도 사용자 로그온을 지원하기 위해 범용 그룹 구성원 자격 정보를 캐싱하는 기능입니다.
장점: 원격 사이트에서 글로벌 카탈로그 서버의 필요성을 줄여 네트워크 트래픽을 감소시킵니다.

보안 및 관리

보안 통합

로그온 인증: 디렉터리 개체에 대한 액세스 제어
관리 기능
- 단일 네트워크 로그온으로 디렉터리 데이터 및 네트워크 관리
- 접근 권한이 있는 사용자는 네트워크의 모든 위치에서 리소스 액세스 가능

정책 기반 관리

복잡한 네트워크도 쉽게 관리 가능.

참고 문서

https://learn.microsoft.com/ko-kr/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview

Active Directory Domain Services 개요

자세히 알아보기: Active Directory Domain Services 개요

learn.microsoft.com

https://learn.microsoft.com/ko-kr/previous-versions/windows/it-pro/windows-server-2003/cc739086(v=ws.10)

Understanding Schema: Active Directory

Understanding Schema Article 06/06/2011 In this article --> Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2 Understanding schema This section covers:

learn.microsoft.com

https://learn.microsoft.com/ko-kr/previous-versions/windows/it-pro/windows-server-2003/cc781408(v=ws.10)

Understanding Active Directory: Active Directory

Understanding Active Directory Article 06/06/2011 In this article --> Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2 Understanding Active Directory Active Directory is an implementation o

learn.microsoft.com