Active Directory 도메인 서비스 개요

  • 아티클

 

적용 대상: Windows Server 2012

All_Symbols_Cloud

Microsoft Azure를 이용하면 클라우드에서 유사한 기능을 사용할 수 있다는 것을 아시나요?Microsoft Azure ID 솔루션에 대해 자세히 알아보세요.

Microsoft Azure에서 하이브리드 ID 솔루션을 만들어 보세요.
- Azure 가상 컴퓨터에 Windows Server Active Directory 배포
- Microsoft Enterprise Mobility에서 제공되는 ID 및 액세스 관리 솔루션에 대해 알아보기
- Azure 가상 네트워크에 복제 Active Directory 도메인 컨트롤러 설치
- 클라우드 인증을 사용하여 단일 포리스트 하이브리드 환경의 ID 관리
- Azure Active Directory 개요와 기존 Active Directory 인프라에 통합하는 방법 자세히 알아보기

AD DS(Active Directory® 도메인 서비스) 서버 역할을 사용하여 사용자 및 리소스 관리를 위해 확장 가능하고, 안전하고, 관리하기 쉬운 인프라를 만들 수 있으며 Microsoft® Exchange Server와 같은 디렉터리 사용 응용 프로그램을 지원할 수 있습니다.

이 항목의 나머지 부분에서는 AD DS 서버 역할에 대한 수준 높은 개요를 설명합니다.Windows Server 2012의 AD DS에서 새로워진 기능에 대한 자세한 내용은 AD DS(Active Directory 도메인 서비스)의 새로운 기능을 참조하세요.

AD DS에서는 디렉터리 사용 응용 프로그램의 네트워크 리소스와 응용 프로그램별 데이터에 대한 정보를 저장하고 관리하는 분산 데이터베이스를 제공합니다. AD DS를 실행하고 있는 서버를 도메인 컨트롤러라고 합니다. 관리자는 AD DS를 이용해 사용자, 컴퓨터 및 다른 장치와 같은 네트워크 요소를 계층적 포함 구조로 구성할 수 있습니다. 계층적 포함 구조에는 Active Directory 포리스트, 포리스트의 도메인 및 각 도메인의 OU(조직 구성 단위)가 포함되어 있습니다.

네트워크 요소를 계층적 포함 구조로 구성하면 다음과 같은 이점이 있습니다.

  • 포리스트는 조직에 대한 보안 경계 역할을 하며 관리자에 대한 권한 범위를 정의합니다. 기본적으로 포리스트에는 포리스트 루트 도메인으로 알려진 단일 도메인이 있습니다.

  • AD DS 데이터를 분할하기 위해 포리스트에서 추가 도메인을 만들 수 있으므로 조직에서는 필요한 경우에만 데이터를 복제할 수 있습니다. 이를 통해 사용 가능한 대역폭이 제한된 네트워크에서 AD DS를 전역으로 확장할 수 있습니다. Active Directory 도메인은 네트워크 전체의 사용자 ID, 인증 및 트러스트 관계 등 관리와 관련된 다양한 기타 핵심 기능도 지원합니다.

  • OU는 권한 위임을 단순화하여 많은 수의 개체를 쉽게 관리할 수 있습니다. 위임을 통해 소유자는 개체에 대한 전체적 또는 제한적 권한을 다른 사용자 또는 그룹으로 전송할 수 있습니다. 위임을 사용하면 관리 작업 수행 능력을 갖춘 신뢰할 수 있는 많은 사용자에게 다수의 개체 관리를 배포할 수 있으므로, 위임은 중요한 기능입니다.

보안은 디렉터리의 리소스에 대한 로그온 인증과 액세스 제어를 통해 AD DS와 통합됩니다. 관리자는 단일 네트워크 로그온을 통해 네트워크에서 디렉터리 데이터 및 조직을 관리할 수 있습니다. 인증된 네트워크 사용자는 단일 네트워크 로그온을 사용하여 네트워크의 모든 리소스에 액세스할 수 있습니다. 정책 기반 관리를 사용하면 가장 복잡한 네트워크조차 쉽게 관리할 수 있습니다.

추가 AD DS 기능은 다음과 같습니다.

  • 디렉터리에 포함된 개체와 특성 클래스, 이러한 개체의 인스턴스에 대한 제약 조건과 제한 및 개체 이름의 형식을 정의하는 규칙 집합, 즉 스키마.

  • 디렉터리의 모든 개체에 대한 정보가 있는 글로벌 카탈로그. 디렉터리의 어떤 도메인에 실제로 데이터가 있든지 관계없이 사용자와 관리자는 글로벌 카탈로그를 이용해 디렉터리 정보를 찾을 수 있습니다.

  • 네트워크 사용자 및 응용 프로그램이 개체와 개체 속성을 게시하고 찾기 위해 사용할 수 있는 쿼리와 인덱스 메커니즘.

  • 네트워크에서 디렉터리 데이터를 배포하는 복제 서비스. 도메인에 있는 쓰기 가능한 도메인 컨트롤러는 모두 복제에 참여하고, 해당 도메인에 대한 모든 디렉터리 정보의 전체 복사본을 포함합니다. 디렉터리 데이터에 대한 변경 내용은 모두 도메인의 모든 도메인 컨트롤러에 복제됩니다.

  • 작업 마스터 역할(Flexible Single Master Operations, 즉 FSMO라고도 함). 작업 마스터 역할을 보유한 도메인 컨트롤러는 디렉터리에서 일관성을 확인하고 충돌하는 항목을 제거하기 위해 특정 작업을 수행하도록 지정되어 있습니다.

Active Directory 도메인 서비스를 실행하기 위한 요구 사항

이 기능을 실행하는 데 필요한 하드웨어, 소프트웨어 또는 설정 구성과 역할을 실행하는 데 필요한 필수 구성 요소, 그리고 이 역할/기능에 특수한 하드웨어가 필요한지에 대해 알아봅니다.

요구 사항

설명

TCP/IP

적합한 TCP/IP 및 DNS 서버 주소를 구성합니다.

NTFS

AD DS(Active Directory 도메인 서비스)용 데이터베이스, 로그 파일 및 SYSVOL 폴더를 저장하는 드라이브는 로컬 고정 볼륨에 배치해야 합니다. SYSVOL은 NTFS 파일 시스템으로 포맷된 볼륨에 배치해야 합니다. 보안상의 이유로 Active Directory 데이터베이스와 로그 파일은 NTFS로 포맷된 볼륨에 배치해야 합니다.

자격 증명

새 AD DS 포리스트를 설치하려면 서버의 로컬 관리자여야 합니다. 기존 도메인에서 추가 도메인 컨트롤러를 설치하려면 Domain Admins 그룹 구성원이어야 합니다.

DNS(Domain Name System) 인프라

DNS 인프라가 있는지 확인합니다. 필요한 경우 AD DS를 설치할 때 DNS 서버 설치를 포함할 수 있습니다.

새 도메인을 만들면 설치 과정 중에 자동으로 DNS 위임이 만들어집니다. DNS 위임을 만들려면 상위 DNS 영역 업데이트 권한이 있는 자격 증명이 필요합니다.

자세한 내용은 DNS 옵션 마법사 페이지를 참조하세요.

Adprep

Windows Server 2012를 실행하는 첫 번째 도메인 컨트롤러를 기존 Active Directory에 추가하려면 필요한 경우 adprep.exe 명령을 자동으로 실행합니다. 이러한 명령에는 자격 증명 및 연결 요구 사항이 추가로 적용됩니다.

자세한 내용은 Adprep.exe 실행을 참조하세요.

RODC(읽기 전용 도메인 컨트롤러)

RODC를 설치하기 위한 추가 요구 사항은 다음과 같습니다.

  • 포리스트 기능 수준이 Windows Server 2003 이상이어야 합니다.

  • Windows Server 2008 이상을 실행하는 하나 이상의 쓰기 가능한 도메인 컨트롤러가 같은 도메인에 설치되어 있어야 합니다.

자세한 내용은 RODC 배포를 위한 필수 조건을 참조하세요.

참고

DNS 서버를 제외하고 도메인 컨트롤러는 일반적으로 다른 서버 역할을 호스팅해서는 안 됩니다.

Active Directory 도메인 서비스 실행

Windows PowerShell을 사용하여 이 역할을 배포하고 구성하는 방법

Windows PowerShell®용 ADDSDeployment 모듈 명령줄 인터페이스를 사용하여 AD DS를 설치하고 구성하는 방법에 대한 단계별 지침은 Active Directory 도메인 서비스 배포 가이드(https://go.microsoft.com/fwlink/?LinkId=222597)를 참조하세요.

다중 서버 환경에서 이 역할을 배포하고 구성하는 방법

AD DS는 여러 도메인 컨트롤러에서 실행하도록 설계된 분산 서비스입니다. 여러 도메인 컨트롤러에서 AD DS를 설치하고 구성하는 방법에 대한 단계별 지침은 Active Directory 도메인 서비스 배포 가이드(https://go.microsoft.com/fwlink/?LinkId=222597)를 참조하세요.

가상 컴퓨터에서 이 역할을 실행하는 방법

Windows Server 2012의 AD DS에는 가상화된 AD DS 환경의 안전 및 일관성을 보장하기 위해 가상 컴퓨터에서 실행할 보안 수준이 포함되어 있습니다. 가상 컴퓨터에서 AD DS를 실행하는 방법에 대한 자세한 내용은 Hyper-V에서 도메인 컨트롤러 실행(https://go.microsoft.com/fwlink/?LinkID=213293)을 참조하세요.

이 역할을 실행하기 위한 보안 고려 사항

AD DS는 설치 후 기본적으로 안전하도록 설계되었습니다. 도메인 컨트롤러의 기본 보안 설정, 위험 및 도메인 컨트롤러를 안전하게 작동시키는 방법에 대한 자세한 내용은 Active Directory 설치 보호를 위한 모범 사례 가이드를 참조하세요.

원격으로 이 역할 관리 시 특별 고려 사항

AD DS를 원격으로 관리하려면 RSAT(원격 서버 관리 도구)를 설치하세요. RSAT는 32비트 버전과 64비트 버전이 있습니다. 자세한 내용은 원격 서버 관리 도구(https://go.microsoft.com/fwlink/?LinkId=222628)를 참조하세요.

Server Core 설치 옵션에서 역할 관리 시 특별 고려 사항

Server Core 설치 또는 최소 서버 인터페이스가 있는 서버에 AD DS를 설치할 수 있으며, 데이터 센터의 전용 서버 역할, 가상화 게스트 또는 원격 사무실의 RODC와 같이 운영 체제 설치에 필요한 공간을 줄이는 것이 도움이 되는 경우에 권장됩니다. Windows Server 2012부터 Server Core에서 실행되는 도메인 컨트롤러를 GUI 포함 서버 설치(전체 설치라고도 함)로 변환하거나 그 반대로 변환할 수 있습니다.

이전 버전의 Windows Server에서 실행되는 Server Core 설치를 업그레이드할 수 있지만 이전 Windows Server 버전의 Server Core 설치에서 GUI 포함 서버 설치로 직접 업그레이드하거나 GUI 포함 서버 설치에서 Server Core 설치로 직접 업그레이드하는 방법은 없습니다. 이 경우 Windows Server 2012에서 동일한 설치 유형으로 직접 업그레이드한 다음 필요에 따라 업그레이드 후 다른 설치로 변환해야 합니다.

자세한 내용은 Windows Server 설치 옵션을 참조하세요.

Active Directory 도메인 서비스용 역할 서비스

Identity Management for UNIX는 도메인 컨트롤러에만 설치할 수 있는 AD DS의 역할 서비스입니다. NIS용 서버 및 암호 동기화의 두 가지 Identity Management for UNIX 기술을 통해 Windows®를 실행하는 컴퓨터를 기존 UNIX 엔터프라이즈에 쉽게 통합할 수 있습니다. AD DS 관리자는 NIS용 서버를 사용하여 NIS(네트워크 정보 서비스) 도메인을 관리할 수 있습니다. 암호 동기화는 Windows와 UNIX 운영 체제 간의 암호를 자동으로 동기화합니다.

역할 서비스 기술

역할 서비스 설명

NIS용 서버

Microsoft Windows 기반 Active Directory 도메인 컨트롤러에서 UNIX NIS(네트워크 정보 서비스) 네트워크를 관리할 수 있도록 합니다. 자세한 내용은 NIS용 서버 개요(https://go.microsoft.com/fwlink/?LinkId=222677)를 참조하세요.

암호 동기화

Windows 네트워크 및 UNIX 네트워크 환경에서 보안 암호를 유지 관리하는 프로세스를 단순화하여 두 네트워크 환경을 통합하도록 도와줍니다. 자세한 내용은 암호 동기화 개요(https://go.microsoft.com/fwlink/?LinkId=222676)를 참조하세요.

추가 참조