도메인 컨트롤러
목차
Windows 네트워크의 중심에 있는 도메인 컨트롤러
사용자가 도메인 계정으로 회사 PC에 로그인하거나 공유 프린터로 인쇄하거나 파일 서버를 열면 한 가지 구성 요소가 조용히 “허용” 또는 “거부'를 결정합니다. 도메인 컨트롤러.
사용자 ID를 저장하고, 암호를 확인하고, 전체 Windows 도메인에 대한 보안 규칙을 적용합니다.
도메인 컨트롤러가 중지되면 데이터가 디스크에 남아 있어도 로그온이 중단되고 공유 리소스에 연결하기 어려워집니다.
핵심 개념 도메인, 디렉터리 및 인증
A 도메인 는 사용자, 컴퓨터 및 리소스를 하나의 규칙 집합으로 그룹화하는 보안 경계입니다.
이를 설명하는 디렉토리는 다음과 같습니다. AD DS(Active Directory 도메인 서비스).
A 도메인 컨트롤러(DC) 는 AD DS를 실행하고 인증 요청에 응답하는 Windows 서버입니다.
디렉터리 데이터베이스의 쓰기 가능한 복사본을 보유하고 클라이언트가 “이 사용자는 누구입니까?”, “이 사용자는 무엇을 할 수 있습니까?”라고 질문하면 응답합니다.”
도메인 컨트롤러가 일상적으로 수행하는 작업
도메인 컨트롤러는 누군가 네트워크를 사용할 때마다 몇 가지 중요한 작업을 처리합니다.
주요 기능:
대화형 로그온 및 싱글 사인온 중 자격 증명 확인
Kerberos 티켓 발급 및 보안 토큰 관리
사용자 및 컴퓨터에 그룹 정책 적용
사용자, 그룹 및 OU와 같은 AD 개체 저장 및 복제
감사자가 나중에 검토할 보안 이벤트 기록
DC는 신뢰 경로에 위치하기 때문에 사용자가 파일 서버, 애플리케이션, 백업 시스템에 얼마나 안전하게 액세스할 수 있는지에 직접적인 영향을 미칩니다.
도메인 컨트롤러, Active Directory 및 DNS: 관련성
도메인 컨트롤러와 Active Directory 비교
Active Directory는 디렉터리 서비스이자 데이터베이스입니다.
도메인 컨트롤러는 도메인에 대해 이 서비스를 호스팅하는 서버입니다.
AD DS는 정보, 스키마 및 규칙으로 생각할 수 있으며, 도메인 컨트롤러는 해당 정보를 저장 및 복제하고 클라이언트 요청에 응답하는 컴퓨터입니다.
도메인 컨트롤러와 DNS 서버
도메인 컨트롤러는 다음을 기반으로 합니다. DNS 를 클릭하여 서비스를 찾습니다.
많은 환경에서 동일한 Windows Server 인스턴스가 AD DS와 DNS를 모두 실행합니다.
DNS 역할은 호스트 이름을 IP 주소로 변환하고 클라이언트가 도메인 컨트롤러를 찾는 데 도움이 되는 서비스 레코드(SRV)를 게시합니다.
DC는 ID를 처리하고 DNS 서비스는 이름 확인을 처리합니다.
도메인 컨트롤러의 유형
관리자는 기본 OS가 Windows Server로 유지되더라도 여러 기능 유형의 도메인 컨트롤러를 사용합니다.
일반적인 카테고리는 다음과 같습니다:
쓰기 가능한 도메인 컨트롤러: 변경 사항을 수락하고 복제하는 표준 DC입니다.
읽기 전용 도메인 컨트롤러(RODC): 물리적 보안이 취약한 지사를 위해 읽기 전용 디렉터리 데이터를 보관합니다.
FSMO 역할 보유자: PDC 에뮬레이터, RID 마스터 또는 스키마 마스터와 같은 특수 역할을 소유한 DC입니다.
글로벌 카탈로그 서버: 빠른 검색과 로그온을 위해 포리스트에 있는 모든 개체의 부분 복제본을 저장합니다.
설계 선택은 보안, WAN 품질, 조직에서 운영하는 사이트 수에 따라 달라집니다.
필요한 도메인 컨트롤러 수 계획하기
일반적으로 중복성을 위해 도메인당 최소 두 대의 도메인 컨트롤러를 배포합니다.
한 서버에 장애가 발생하면 다른 서버가 계속해서 사용자를 인증하고 정책을 적용합니다.
DC 수에 영향을 미치는 요인:
사용자 및 컴퓨터 수
물리적 사이트 및 WAN 링크 수
로그온 및 애플리케이션 로드
다운타임에 대한 허용 오차
소규모 조직은 종종 하나의 사이트에서 두 개의 DC를 운영합니다.
대규모 환경에서는 사이트당 DC를 추가하고 FSMO 역할을 분산하여 단일 장애 지점을 방지합니다.
도메인 컨트롤러 및 데이터 보호
도메인 컨트롤러는 사용자 문서를 저장하지는 않지만 해당 문서에 액세스할 수 있는 사용자를 제어합니다.
DC에 장애가 발생하면 도메인 사용자가 인증할 수 없는 동안 파일 서버는 온라인 상태를 유지할 수 있습니다.
복구 관점에서 계획합니다:
시스템 상태 백업 각 도메인 컨트롤러의
DC 복원 및 USN 롤백 처리를 위한 테스트 절차
AD 통합 DNS 영역 보호
엔드포인트 수준에서는 다음과 같은 도구가 사용됩니다. Amagicsoft 데이터 복구 사용자가 로컬 파일이나 공유 파일을 분실했을 때 도움을 받을 수 있으며, DC는 계속해서 ID 및 액세스 제어 기능을 제공합니다.
ID 복구와 파일 복구는 함께 완벽한 복원 계획을 구성합니다.
Windows 7/8/10/11 및 Windows Server 지원
실무 관리 체크리스트
관리자는 일상적인 작업을 통해 도메인 컨트롤러의 안정성을 개선할 수 있습니다.
권장 조치:
중복 스토리지로 안정적인 하드웨어 또는 가상 플랫폼에 DC를 유지하세요.
Windows Server 및 AD 구성 요소를 즉시 패치
복제 상태 및 이벤트 로그 모니터링
격리된 실험실에서 시스템 상태 백업 및 테스트 복원
엄격한 액세스 제어 및 전용 관리자 계정으로 DC를 보호하세요.
디렉터리가 정상적으로 유지되는 경우, 데이터 복구 회원 서버와 워크스테이션의 작업이 훨씬 간단해집니다.
Windows 7/8/10/11 및 Windows Server를 지원합니다.
자주 묻는 질문
도메인 컨트롤러는 어떤 용도로 사용되나요?
Active Directory와 도메인 컨트롤러의 차이점은 무엇인가요?
도메인 컨트롤러의 유형은 무엇인가요?
도메인 컨트롤러와 DNS 서버의 차이점은 무엇인가요?
도메인 컨트롤러의 다른 이름은 무엇인가요?
몇 개의 도메인 컨트롤러가 필요한가요?
도메인 컨트롤러의 역할은 무엇인가요?
도메인 컨트롤러가 필요한가요?
DNS란 무엇이며 왜 사용하나요?
도메인 컨트롤러의 예는 무엇인가요?
도메인 네임의 실제 소유자는 누구인가요?
