Active Directory 도메인 서비스

Active Directory 도메인 서비스 준비

Office Communications Server를 배포할 때는 먼저 Active Directory 도메인 서비스를 준비해야 합니다. Office Communications Server의 Active Directory 도메인 서비스 준비는 다음 세 가지 단계로 이루어집니다.

• 스키마 준비. 이 작업에서는 Active Directory 도메인 서비스의 스키마를 확장하여 Office Communications Server 2007 R2와 관련된 클래스와 특성을 포함합니다. 스키마 준비는 스키마 관리자나 스키마 마스터의 로컬 관리자만 수행할 수 있습니다.
• 포리스트 준비. 이 작업에서는 포리스트 루트 도메인에 전역 설정 및 개체를 만들고, 이 설정 및 개체에 대한 액세스를 제어하는 유니버설 서비스 및 관리 그룹도 함께 만듭니다.
• 도메인 준비. 이 작업에서는 도메인 내의 사용자를 호스트 및 관리할 수 있는 권한을 부여할 유니버설 그룹에 필요한 ACE(액세스 제어 항목)를 추가합니다. Office Communications Server를 배포할 모든 도메인과 Office Communications Server 사용자가 상주할 모든 도메인에 도메인 준비가 필요합니다.

이러한 각 Active Directory 준비 단계에 대한 자세한 내용은 Office Communications Server 2007 R2를 위한 Active Directory 도메인 서비스 준비를 참조하십시오.

유니버설 그룹

포리스트 준비 동안 Office Communications Server는 Active Directory 도메인 서비스 내에 전역 설정과 서비스를 액세스 및 관리할 수 있는 권한이 있는 여러 유니버설 그룹을 만듭니다. 이러한 유니버설 그룹은 다음과 같습니다.

• 관리 그룹. 이 그룹은 Office Communications Server 네트워크의 기본 관리자 역할을 정의합니다. 포리스트 준비 동안 이러한 관리자 그룹은 Office Communications Server 인프라 그룹에 추가됩니다.
• 인프라 그룹. 이 그룹은 Office Communications Server 인프라의 특정 영역에 액세스할 수 있는 권한을 제공합니다. 이 그룹은 관리 그룹의 구성 요소로 작동하므로 이 그룹을 수정하거나 이 그룹에 사용자를 직접 추가해서는 안 됩니다.
• 서비스 그룹. 이 그룹은 Office Communications Server에서 제공하는 여러 서비스에 액세스하는 데 필요한 서비스 계정입니다.

다음 표에서는 Office Communications Server 유니버설 그룹과 해당 그룹의 권한에 대해 설명합니다.

표 1. Office Communications Server 2007 R2에서 만들어지는 유니버설 그룹

서버 정보

활성화 중에 Office Communications Server는 Active Directory 도메인 서비스의 다음 세 위치에 서버 정보를 게시합니다.

• Office Communications Server가 설치되는 실제 컴퓨터에 해당하는 각 Active Directory 컴퓨터 개체의 SCP(서비스 연결 지점)
• msRTCSIP-Pools 클래스의 컨테이너에 만든 서버 개체
• 트러스트된 서버 목록

서비스 연결 지점

Active Directory 도메인 서비스의 각 Office Communications Server 개체에는 RTC 서비스라는 SCP가 있습니다. 그리고 이 SCP에는 각 컴퓨터를 식별하고 해당 컴퓨터가 제공하는 서비스를 지정하는 여러 특성이 포함되어 있습니다. 중요한 SCP 특성은 serviceDNSName, serviceDNSNameType, serviceClassname, serviceBindingInformation 등입니다. 타사 자산 관리 응용 프로그램에서 위의 특성이나 기타 SCP 특성을 쿼리하여 배포 전체의 서버 정보를 검색할 수 있습니다.

Active Directory 서버 개체

각 Office Communications Server 역할에는 각 역할에서 제공하는 서비스를 정의하는 특성을 갖는 해당하는 Active Directory 개체가 있습니다. Standard Edition 서버를 활성화하거나 Enterprise Edition 풀을 만들 때 Office Communications Server는 msRTCSIP-Pools 컨테이너에 새 msRTCSIP-Pool 개체를 만듭니다. msRTCSIP-Pool 클래스는 풀의 FQDN(정규화된 도메인 이름) 및 풀의 프런트 엔드와 백 엔드 구성 요소 간 연결을 지정합니다. Standard Edition 서버는 프런트 엔드 및 백 엔드가 같은 컴퓨터에 함께 배치되는 논리적 풀로 간주됩니다.

트러스트된 서버 목록

포리스트 준비 동안 Office Communications Server는 트러스트된 서버 목록을 유지하기 위한 컨테이너를 만듭니다. 활성화 중에 Office Communications Server는 모든 서버의 FQDN을 적절한 컨테이너에 게시합니다. 트러스트된 서버는 다음 기준에 맞는 서버입니다.

• 이전 섹션에서 설명한 대로 서버의 FQDN이 Active Directory 도메인 서비스에 저장된 트러스트된 서버 목록 중 하나에 있어야 합니다.
• 서버에 신뢰할 수 있는 CA의 유효한 인증서가 있어야 합니다. 이 인증서의 FQDN이 트러스트된 서버 목록 중 하나에 있는 해당 서버의 FQDN과 일치해야 합니다. Office Communications Server가 인증서를 사용하는 방법에 대한 자세한 내용은 Office Communications Server 2007 R2의 공개 키 인프라를 참조하십시오.

이러한 기준 중 하나라도 맞지 않으면 서버가 트러스트되지 않고 서버와의 연결이 거부됩니다. 이러한 이중 요구 사항을 통해 Rogue 서버가 유효한 서버 FQDN을 획득하려고 하는 공격을 방지할 수 있습니다.

여러 트러스트된 서버 목록을 사용하는 것은 트러스트된 서버 목록을 하나만 유지하던 이전 버전의 Live Communications Server와 다릅니다. 목록의 각 서버는 전역 설정 컨테이너에서 GUID(Globally Unique Identifier)로 표시됩니다. Office Communications Server 2007 R2에는 새 서버 역할이 추가되어 다른 서버 역할의 GUID를 보관하기 위해 새 컨테이너가 정의되어 있습니다. 이러한 새 컨테이너와 해당하는 트러스트된 서버 목록은 다음 표와 같습니다.

표 2. 트러스트된 서버 목록 및 해당 Active Directory 컨테이너

트러스트된 서버 목록은 개별 Office Communications Server 개체에도 있는 FQDN 항목을 복제합니다. 이러한 중복은 트러스트된 서버에 대한 스푸핑을 방지하기 위한 것입니다. 이러한 스푸핑은 Active Directory 도메인 서비스에서 사용자가 자신의 개인 컴퓨터에 해당하는 컴퓨터 개체의 특성을 수정할 수 있도록 허용하기 때문에 발생할 수 있습니다. 대부분의 조직에서는 사용자가 자신의 작업 컴퓨터에서 이러한 수정을 수행하도록 허용하지 않지만 트러스트된 서버 목록을 사용하면 RTCUniversalServerAdmins의 구성원만 이러한 수정을 할 수 있도록 하여 보안 계층을 추가할 수 있습니다.