액티브 디렉토리 서비스
이름 바꾸기
액티브 디렉토리를 호스팅하는 시스템을 도메인 컨트롤러라 칭한다. 또한 액티브 디렉토리의 구현 단위와 보안 관리 단위에는 도메인(Domain)이 사용된다. 실제 기존에는 디자인 단계에서 결정된 도메인 컨트롤러의 이름이나 도메인 이름을 액티브 디렉토리 라이프사이클 내에서는 변경할 수 없었다. 하지만 윈도우 서버 2003 기반의 액티브 디렉토리 서비스에서는 이름을 바꿀 수 있도록 지원하고 있다. 다만, 도메인 이름을 바꿀 때는 고려해 할 사항이 한두 가지가 아니다. 그럼에도 불구하고 기업 인수 합병이나 CI 변경과 같은 피해갈 수 없는 상황에는 절실하게 필요한 기능이었다.
향상된 성능
실제 현장의 엔지니어들 사이에 공감이 형성되지 않았던 부분 중에 하나가 성능과 관련된 것들이다. 특히 ‘복제와 관련한 성능의 맹점’이 윈도우 서버 2003에서 부각됐고 이를 개선하는 기능이 추가됐다.
·그룹 개체 구성원 정보의 향상된 복제
예를 들어 그룹 전체의 구성원(현재는 999명)을 포함하는 ‘회사 사용자’라는 그룹이 있고, 최근에 인사 시스템에 추가된 신입 사원 1명이 있다고 가정하자.
윈도우 2000에서는 1명에 해당하는 속성만이 복제되는 것이 아니라, 1000명이라는 속성이 하나의 항목(Entry)으로 복제가 돼야 했다. 하지만 윈도우 서버 2003에서는 그룹 구성원 속성을 1개의 항목으로 보지 않으므로 1개의 업데이트된 속성이 별개의 항목으로 취급된다. 이는 결국 1개의 속성만을 복제하면 된다는 것을 의미한다.
이처럼 그룹 구성원의 향상된 복제 메커니즘은 그룹 구성원의 한계(5000개)를 극복할 수 있게 하며, 동시에 그룹 구성원 정보가 업데이트되는 경우에도 데이터 손실을 방지할 수 있게 됐다.
·글로벌 카탈로그 복제
글로벌 카탈로그는 전체 디렉토리에 포함되는 파티션을 포함하는 디렉토리 서버며, 여기에는 검색에 자주 사용되는 속성 값을 포함하는 모든 개체를 포함한다. 실제 액티브 디렉토리를 통해 검색되는 정보가 글로벌 카탈로그를 통해 검색돼는 것이 가장 효율적이며, 기업 인프라 환경에서는 언제든지 글로벌 카탈로그에 포함돼야 하는 속성의 추가와 삭제가 빈번할 것이다. 윈도우 서버 2003에서는 글로벌 카탈로그에 복제돼야 하는 속성이 스키마에서 추가되는 경우, 그 속성에 대한 정보만 업데이트할 수 있다.
·컨커런트 바인드(Concurrent binds)
액티브 디렉토리를 이용한 LDAP 인증 프로시저를 구현하는 경우, 웹 서버에 존재하는 애플리케이션은 사용자가 제공한 인증 정보를 AD에 제공해 인증을 제공하면 된다. 이 경우 인증받은 사용자가 AD에 직접 접근할 필요가 없으므로, 보안 토큰(Access Token)을 만들 필요가 없을 것이다. 컨커런트 바인드(Concurrent binds)를 사용하면, 보안 토큰을 만들 수는 없지만, 한 개의 연결을 가지고 여러 개의 바인딩을 지원할 수 있으므로 일반 인증 메커니즘보다 효율적이며 성능 향상에도 도움을 준다.
·가상 리스트 뷰(Virtual List View)
LDAP을 통해 요청된 질의 결과가 많은 경우 유효한 GUI 테크닉이다. LDAP이 이 기능을 사용하도록 확장된 경우, 실제 GUI는 검색에 대한 결과를 필요한 만큼만 가져온다. 일반적으로 사용자들이 검색된 결과를, 스크롤링(scrolling), 슬라이더 바(slider bars), 커서 키(cursor keys) 등을 이용해 찾아본다는 점을 이해한다면, 이같은 기술이 얼마나 애플리케이션과 최종 사용자에게 질 높은 서비스를 제공할 수 있을지를 이해할 수 있을 것이다.
·LDAP 표준의 사용자 개체 지원
실제 액티브 디렉토리와 같은 LDAP 디렉토리에 저장하는 가장 중요한 개체 정보는 바로 사용자 정보다. 마이크로소프트가 제공하는 사용자 개체는 ‘User’ 임에 반해, 기존 LDAP 시장의 터줏대감인 아이플래넷이나 노벨, 넷스케이프와 같은 업체에서는 RFC 2798에 정의된 ‘InetOrgPerson’ 클래스를 이용한다. 이같은 스키마 수준의 상이성은 디렉토리의 통합이나 마이그레이션 시에 문제가 됐었다. 하지만 윈도우 서버 2003에서는 ‘InetOrgPerson’ 클래스를 이용할 필요가 있는 어떤 애플리케이션이나 고객이라도 만족시킬 수 있도록 기본 스키마로 제공되고 있다.
관리의 용이함
실제 현장에서 구현된 액티브 디렉토리 기반 관리는 사용자 정의된 새로운 관리 인터페이스 기능을 요구한다. 이는 윈도우 서버에 포함된 액티브 디렉토리 관리 도구의 기능에 한계가 있기 때문이다. 윈도우 서버 2003에서는 아직 완벽히 만족할만한 수준은 아니지만, 몇 가지의 향상된 관리 인터페이스를 제공하며, GPO(Group Policy Object)에 대해서는 진보된 관리 기술을 제공한다.
액티브 디렉토리를 호스팅하는 시스템을 도메인 컨트롤러라 칭한다. 또한 액티브 디렉토리의 구현 단위와 보안 관리 단위에는 도메인(Domain)이 사용된다. 실제 기존에는 디자인 단계에서 결정된 도메인 컨트롤러의 이름이나 도메인 이름을 액티브 디렉토리 라이프사이클 내에서는 변경할 수 없었다. 하지만 윈도우 서버 2003 기반의 액티브 디렉토리 서비스에서는 이름을 바꿀 수 있도록 지원하고 있다. 다만, 도메인 이름을 바꿀 때는 고려해 할 사항이 한두 가지가 아니다. 그럼에도 불구하고 기업 인수 합병이나 CI 변경과 같은 피해갈 수 없는 상황에는 절실하게 필요한 기능이었다.
향상된 성능
실제 현장의 엔지니어들 사이에 공감이 형성되지 않았던 부분 중에 하나가 성능과 관련된 것들이다. 특히 ‘복제와 관련한 성능의 맹점’이 윈도우 서버 2003에서 부각됐고 이를 개선하는 기능이 추가됐다.
·그룹 개체 구성원 정보의 향상된 복제
예를 들어 그룹 전체의 구성원(현재는 999명)을 포함하는 ‘회사 사용자’라는 그룹이 있고, 최근에 인사 시스템에 추가된 신입 사원 1명이 있다고 가정하자.
윈도우 2000에서는 1명에 해당하는 속성만이 복제되는 것이 아니라, 1000명이라는 속성이 하나의 항목(Entry)으로 복제가 돼야 했다. 하지만 윈도우 서버 2003에서는 그룹 구성원 속성을 1개의 항목으로 보지 않으므로 1개의 업데이트된 속성이 별개의 항목으로 취급된다. 이는 결국 1개의 속성만을 복제하면 된다는 것을 의미한다.
이처럼 그룹 구성원의 향상된 복제 메커니즘은 그룹 구성원의 한계(5000개)를 극복할 수 있게 하며, 동시에 그룹 구성원 정보가 업데이트되는 경우에도 데이터 손실을 방지할 수 있게 됐다.
·글로벌 카탈로그 복제
글로벌 카탈로그는 전체 디렉토리에 포함되는 파티션을 포함하는 디렉토리 서버며, 여기에는 검색에 자주 사용되는 속성 값을 포함하는 모든 개체를 포함한다. 실제 액티브 디렉토리를 통해 검색되는 정보가 글로벌 카탈로그를 통해 검색돼는 것이 가장 효율적이며, 기업 인프라 환경에서는 언제든지 글로벌 카탈로그에 포함돼야 하는 속성의 추가와 삭제가 빈번할 것이다. 윈도우 서버 2003에서는 글로벌 카탈로그에 복제돼야 하는 속성이 스키마에서 추가되는 경우, 그 속성에 대한 정보만 업데이트할 수 있다.
·컨커런트 바인드(Concurrent binds)
액티브 디렉토리를 이용한 LDAP 인증 프로시저를 구현하는 경우, 웹 서버에 존재하는 애플리케이션은 사용자가 제공한 인증 정보를 AD에 제공해 인증을 제공하면 된다. 이 경우 인증받은 사용자가 AD에 직접 접근할 필요가 없으므로, 보안 토큰(Access Token)을 만들 필요가 없을 것이다. 컨커런트 바인드(Concurrent binds)를 사용하면, 보안 토큰을 만들 수는 없지만, 한 개의 연결을 가지고 여러 개의 바인딩을 지원할 수 있으므로 일반 인증 메커니즘보다 효율적이며 성능 향상에도 도움을 준다.
·가상 리스트 뷰(Virtual List View)
LDAP을 통해 요청된 질의 결과가 많은 경우 유효한 GUI 테크닉이다. LDAP이 이 기능을 사용하도록 확장된 경우, 실제 GUI는 검색에 대한 결과를 필요한 만큼만 가져온다. 일반적으로 사용자들이 검색된 결과를, 스크롤링(scrolling), 슬라이더 바(slider bars), 커서 키(cursor keys) 등을 이용해 찾아본다는 점을 이해한다면, 이같은 기술이 얼마나 애플리케이션과 최종 사용자에게 질 높은 서비스를 제공할 수 있을지를 이해할 수 있을 것이다.
·LDAP 표준의 사용자 개체 지원
실제 액티브 디렉토리와 같은 LDAP 디렉토리에 저장하는 가장 중요한 개체 정보는 바로 사용자 정보다. 마이크로소프트가 제공하는 사용자 개체는 ‘User’ 임에 반해, 기존 LDAP 시장의 터줏대감인 아이플래넷이나 노벨, 넷스케이프와 같은 업체에서는 RFC 2798에 정의된 ‘InetOrgPerson’ 클래스를 이용한다. 이같은 스키마 수준의 상이성은 디렉토리의 통합이나 마이그레이션 시에 문제가 됐었다. 하지만 윈도우 서버 2003에서는 ‘InetOrgPerson’ 클래스를 이용할 필요가 있는 어떤 애플리케이션이나 고객이라도 만족시킬 수 있도록 기본 스키마로 제공되고 있다.
관리의 용이함
실제 현장에서 구현된 액티브 디렉토리 기반 관리는 사용자 정의된 새로운 관리 인터페이스 기능을 요구한다. 이는 윈도우 서버에 포함된 액티브 디렉토리 관리 도구의 기능에 한계가 있기 때문이다. 윈도우 서버 2003에서는 아직 완벽히 만족할만한 수준은 아니지만, 몇 가지의 향상된 관리 인터페이스를 제공하며, GPO(Group Policy Object)에 대해서는 진보된 관리 기술을 제공한다.
[이 게시물은 관리자님에 의해 2011-10-31 16:46:12 기타에서 이동 됨]
|
댓글을 작성하시려면 로그인이 필요합니다.
프로그램
태그 필터 (최대 3개)
전체
개발자
소스
기타
mysql
팁자료실
javascript
php
linux
flash
정규표현식
jquery
node.js
mobile
웹서버
os
프로그램
강좌
썸네일
이미지관련
도로명주소
그누보드5
기획자
견적서
계약서
기획서
마케팅
제안서
seo
통계
서식
통계자료
퍼블리셔
html
css
반응형
웹접근성
퍼블리싱
표준화
반응형웹
홈페이지기초
부트스트랩
angularjs
포럼
스크린리더
센스리더
개발자톡
개발자팁
퍼블리셔톡
퍼블리셔팁
기획자톡
기획자팁
프로그램강좌
퍼블리싱강좌
댓글 2개