활성 디렉터리의 역할:역할 및 작동 방식

액티브 디렉토리(광고)마이크로 소프트에 의해 생성 된 디렉토리 서비스이며,윈도우 서버 운영 체제의 대부분의 버전에서 프로세스 및 서비스의 집합으로 제공됩니다.

사용자 이름,암호 등과 같은 사용자의 모든 속성을 저장하는 데이터베이스 또는 안전한 위치로 광고를 상상할 수 있습니다. 이 중앙 저장소는 사용자 데이터 관리,보안 제공 및 다른 디렉토리와의 상호 작업과 같은 많은 작업을 자동화합니다.

광고의 초기 버전에서 충돌에 대한 많은 기회가 있었다. 예를 들어 도메인 컨트롤러가 데이터베이스에 새 직원을 추가했다고 가정해 보겠습니다. 변경 사항이 광고에 적용 되었기 때문에 기업 전체에 반영되었으며 괜찮습니다. 몇 초 후 다른 도메인 컨트롤러가 기업에서 더 이상 근무하지 않는 직원의 레코드를 삭제하려고 했습니다. 실수로,그것은뿐만 아니라 광고에서이 직원을 삭제.

존재하는 충돌 관리 시스템은”마지막 작성자 승리”정책을 따르므로 첫 번째 도메인 컨트롤러에 의한 변경은 삭제되는 동안 두 번째 도메인 컨트롤러에 의한 변경은 유효했습니다. 즉,새로운 직원은 더 이상 시스템에 없었고 시스템의 리소스에 액세스 할 수 없었으며 이는 분명히 옳지 않습니다.

이러한 충돌을 방지하기 위해 단일 마스터 모델이 도입되었습니다. 이 모델에서는 하나의 도메인 컨트롤러(직류)만 특정 유형의 업데이트를 수행 할 수 있습니다. 위의 경우,첫 번째 직류가 직원 추가 및 제거 담당이었고 두 번째 직류가 보안 담당 이었다면 그러한 충돌은 발생하지 않았을 것입니다.

그러나 이것도 제한 사항이 있습니다. 첫 번째 직류가 내려갈 때 어떤 일이 발생합니까? 직원이 다시 돌아올 때까지 직원을 추가하거나 삭제할 수 없습니다. 단일 컨트롤러에 대한 이러한 무거운 의존성은 작동 관점에서 결코 좋지 않습니다.

따라서 마이크로소프트는 각 직류에 대해 여러 역할을 포함하고 각 직류에 전체 역할을 동일한 기업 내의 다른 직류로 이전할 수 있는 기능을 제공하기 위해 후속 버전에서 조금 더 나아갔다. 여기에서 명백한 이점은 어떤 역할도 어떤 특정한 직류에 바운스되지 않는다는 것입니다,그래서 하나가 내려갈 때,당신은 다른 작동 직류에 자동적으로 이 역할을 옮길 수 있습니다.

이러한 모델은 많은 유연성을 제공하기 때문에 유연한 단일 마스터 작업이라고합니다.

효과적으로 모든 직류에 명확한 역할과 책임을 할당하고 동시에 필요한 경우 역할을 전송할 수있는 유연성을 제공하는 다중 마스터 모델입니다.

:

• 도메인 이름 지정 마스터
• 도메인 이름 지정 마스터
• 에뮬레이터
• 인프라 마스터

원격 확장 프로그램

이제 각 원격 확장 프로그램 역할을 자세히 살펴보겠습니다.

스키마 마스터

스키마 마스터는 이름에서 알 수 있듯이 광고 전체 스키마의 읽기/쓰기 복사본을 보유합니다. 스키마가 무엇인지 궁금하다면 사용자 개체와 관련된 모든 속성이며 암호,역할,지정 및 직원 아이디를 포함합니다.

따라서 직원 신분증을 변경하려면 이 직류에서 해야 합니다. 기본적으로 포리스트에 설치하는 첫 번째 컨트롤러는 스키마 마스터가 됩니다.

도메인 명명 마스터

도메인 명명 마스터는 도메인 확인을 담당하므로 모든 포리스트에 대해 하나만 있습니다. 즉,기존 포리스트에 새 도메인을 만드는 경우 이 컨트롤러는 이러한 도메인이 이미 존재하지 않도록 합니다. 도메인 명명 마스터가 어떤 이유로 다운 된 경우 새 도메인을 만들 수 없습니다.

도메인을 자주 만들지 않기 때문에 일부 기업은 동일한 컨트롤러 내에 스키마 마스터와 도메인 명명 마스터를 사용하는 것을 선호합니다.

제거 마스터

사용자 계정,그룹 계정 또는 마스터 계정 등 보안 원칙을 만들 때마다 액세스 권한을 추가하려고 합니다. 그러나 사용자 또는 그룹의 이름을 기반으로 할 수는 없으므로 언제든지 변경할 수 있습니다.

앤디가 특별한 역할을 맡아 회사를 떠났다고 가정해 봅시다. 그래서,당신은 앤디의 계정을 폐쇄하고 대신 팀에 가져. 지금,당신은 가서 모든 자원의 보안 액세스 목록에서 팀과 앤디를 교체해야합니다.

이것은 시간이 많이 걸리고 오류가 발생하기 쉽기 때문에 실용적이지 않습니다.

이 때문에 모든 보안 원칙을 보안 아이디 또는 시드라고 하는 것과 연관시킵니다. 이 방법은 앤디가 팀으로 변경하더라도,시드는 동일하게 유지됩니다,그래서 당신은 단지 하나의 변경을해야합니다.

이 시드에는 시스템의 모든 시드가 고유한지 확인하는 특정 패턴이 있습니다. 항상 문자”들”다음에 버전(1 로 시작)과 식별자 권한 값으로 시작합니다. 다음 도메인 또는 로컬 컴퓨터 이름이 같은 도메인 내에 있는 모든 시드에 대 한 공통입니다. 마지막으로,도메인 이름 뒤에 상대 아이디 또는 제거 라고 합니다.

기본적으로 제거 는 활성 디렉토리의 다른 개체 간의 고유성을 보장하는 값입니다.

시드는 다음과 같습니다.-1-5-32365098609486930-1029. 여기 1029 숫자의 긴 시리즈는 도메인 이름 동안 시드 고유하게 없애입니다.

그러나 이것도 갈등으로 이어질 수 있습니다. 두 개의 사용자 계정을 동시에 생성한다고 가정해 보겠습니다. 이 두 객체가 동일한 시드를 가질 가능성이 있기 때문에 충돌이 발생할 수 있습니다.

이 충돌을 피하기 위해 제거 마스터는 각 도메인 컨트롤러에 500 블록을 할당합니다. 이 방법은 1 에서 500 까지의 리드를 가져오고,2 에서 501 에서 1,000 까지의 리드를 가져옵니다. 도메인 컨트롤러가 부족하면 제거 마스터와 접촉하고 이 제거 마스터는 500 의 또 다른 블록을 할당합니다.따라서 각 도메인에 있는 모든 도메인이 고유한지 확인하기 위해 단일 도메인 내에서 제거 풀 요청을 처리해야 합니다.스키마의 읽기/쓰기 복사본이 있는 도메인 컨트롤러가 한 개만 있을 때 발생합니다. 나머지 도메인 컨트롤러는 이 백업에 대한 백업이었습니다. 암호를 변경하려는 경우 그래서,당신은 이동해야 할 것입니다.

오늘은 더 이상 없습니다. 그러나 시간 동기화 및 암호 관리와 같은 몇 가지 역할은 에뮬레이터라는 도메인 컨트롤러에 의해 인계됩니다.

먼저 암호 관리를 살펴 보겠습니다.

하나의 도메인 컨트롤러로 이동하여 만료 되었기 때문에 암호를 재설정한다고 가정 해 보겠습니다. 그런 다음 다른 사이트에 대해 다른 컴퓨터에 로그온하고 인증을 위해 다른 도메인 컨트롤러와 접촉한다고 가정 해 봅시다. 첫 번째 도메인 컨트롤러가 내 암호 변경을 다른 컨트롤러에 복제하지 않았을 수 있으므로 로그인이 실패 할 가능성이 있습니다.

에뮬레이터는 암호 재설정을 위한 컨트롤러로 이러한 혼란을 방지합니다. 로그인이 실패 할 때 그래서,내 클라이언트는 암호 변경이 있었는지 확인하기 위해,에뮬레이터에 연락 할 것이다. 또한 잘못된 비밀번호로 인한 모든 계정 잠금이 이 에뮬레이터에서 처리됩니다.

암호 관리 외에도 엔터프라이즈 시스템에서 시간을 동기화합니다. 이는 광고 인증이 보안을 위해 커베로스라는 프로토콜을 사용하기 때문에 중요한 기능입니다. 이 프로토콜의 주요 작업은 데이터 패킷이 네트워크에서 제거되거나 전송되는 동안 변조되지 않도록 하는 것입니다.

따라서 인증 과정에서 서버 클럭과 시스템 사이에 5 분 이상의 차이가 있을 때,커베로스는 이것이 공격이라고 생각하며 사용자를 인증하지 않을 것이다.하지만 여기서 에뮬레이터의 역할은 무엇입니까?

로컬 시스템은 도메인 컨트롤러와 시간을 동기화하고 도메인 컨트롤러는 시간을 에뮬레이터와 동기화합니다. 이 방법을 사용하면 도메인의 모든 도메인 컨트롤러에 대한 마스터 클럭이 됩니다.

이 컨트롤러가 다운되면 보안이 몇 노치 아래로 이동하고 공격에 취약 암호를 만든다.

인프라 마스터

인프라 마스터의 핵심 기능은 도메인 내의 모든 로컬 사용자 및 참조를 참조하는 것입니다. 이 컨트롤러는 존재하는 개체를 포함하여 도메인의 전체 인프라를 이해합니다.

개체 참조를 로컬로 업데이트하고 다른 도메인의 복사본에서 최신 상태인지 확인합니다. 이 업데이트 프로세스는 고유 식별자(아마도 시드)를 통해 처리됩니다.

인프라 마스터는 글로벌 카탈로그라는 다른 광고 도구와 유사합니다. 이 인덱스는 활성 디렉토리 내부의 모든 것이 어디에 있는지 알고있는 인덱스와 같습니다. 그러나 인프라스트럭처 마스터는 단일 도메인 내에서 제한되므로 더 작은 버전이다.

자,왜 여기에 대해 아는 것이 중요합니까? 도메인 컨트롤러에 배치해서는 안 됩니다. 이렇게 하면 인프라 마스터가 우선 순위에 따라 작동을 중지합니다.

일반적으로 도메인 컨트롤러가 하나만 있으면 그다지 중요하지 않습니다. 그러나 도메인 컨트롤러가 여러 개 있는 큰 포리스트가 있으면 문제가 발생합니다.

여기서 상황을 보자. 여러 도메인이 있습니다. 한 도메인 내에서 그룹 구성원을 변경하고 인프라 마스터는 이 변경 사항을 알고 있습니다. 하지만 유니버설 그룹을 변경하지 않았기 때문에 이 서버는 업데이트되지 않습니다. 따라서 인증 문제가 발생할 수 있습니다. 따라서 모든 도메인에 대한 인프라 마스터 또는 기본 인프라스트럭처 마스터가 있어야 하지만 둘 다 있어야 하지 않습니다.

요약

당신이 볼 수 있듯이. 또한 활성 디렉터리 내에서 서로 다른 작업을 처리할 수 있는 유연성을 제공합니다. 이러한 역할은 크게 다섯 가지 역할로 나눌 수 있으며,이 중 처음 두 역할은 전체 포리스트에 대한 역할이고 나머지 세 역할은 특정 도메인에 대한 역할입니다.

당신은 당신의 조직에 대한 역할을 구현 했습니까? 우리와 함께 당신의 생각을 공유하시기 바랍니다.

사진 제공:위키 미디어