나는 이것이 큰 주제라는 것을 알고 있지만 명확히하고 싶은 몇 가지 질문에 불과합니다.
q1) DNS 인터넷 도메인과 Active Directory 도메인은 동일한 것을 참조하거나 관련되어 있습니까?
위와 같은 질문을 하는 이유는 별도의 네트워크에 2개의 소규모 사무실이 있고 사업 성격이 다르기 때문에 2개의 다른 도메인 이름을 구입한 경우입니다.
예를 들어
company1.com -- office 1
company2.com -- office 2
저는 각 사무실이 자체 DC를 갖고 싶었지만 동일한 AD 데이터베이스를 공유할 것입니다.
dc1.company1.com
dc1.company2.com
서로 다른 네트워크 도메인 이름(company1.com, company2.com)이 있음에도 불구하고 두 네트워크의 워크스테이션이 여전히 동일한 Active Directory 도메인에 가입할 수 있습니까?
workstations in office 1 ---> dc1.company1.com ==\
--- join to the same AD domain
workstations in office 2 ---> dc2.company2.com ==/
따라서 원래 질문으로 돌아가서 인터넷 도메인과 Active Directory 도메인이 동일한 것을 참조합니까? 그것들은 단지 사물을 그룹화하기 위한 논리적인 이름입니까?
감사합니다, 멍청한 놈
답변1
아무도 귀하의 질문에 답변하지 않았다는 사실에 놀랐습니다.
Active Directory 도메인 이름과 웹 호스팅 회사에서 구입한 도메인 이름 공간 간의 링크와 관련하여 두 가지는 서로 관련이 있습니다. 이는 단지 사물을 그룹화하기 위한 논리적 이름 지정일 뿐이지만 AD를 사용하면 공개적으로 사용할 수 없는 도메인 이름 공간을 사용할 수도 있습니다. 예를 들어, server.local입니다.
.local로 끝나는 네트워킹 장치 호스트 이름은 개인 네트워크에서 흔히 사용되며, mDNS(멀티캐스트 도메인 이름 서비스) 또는 로컬 DNS(도메인 이름 시스템) 서버를 통해 확인됩니다. 그러나 동일한 네트워크에서 두 접근 방식을 모두 구현하는 것은 문제가 될 수 있으므로 "유니캐스트" DNS 서버를 통해 이러한 이름을 확인하는 것은 컴퓨터, 프린터 및 제로 구성 네트워킹(zeroconf)을 지원하는 기타 장치가 점점 보편화됨에 따라 선호되지 않게 되었습니다.
IETF는 .local 네임스페이스를 구매할 수 없으며 LAN용으로만 사용하도록 지정했습니다. 따라서 AD의 도메인 이름과 공용 인터넷의 도메인 이름 간의 주요 차이점은 AD 도메인 이름이 반드시 공용 인터넷을 통해 호스트 이름으로 접근할 수 있는 것은 아니라는 것입니다. 인터넷에 연결할 수 있는 호스트 이름을 사용할 수 있지만(계획하고 있는 것처럼) 필수는 아닙니다(때로는 눈살을 찌푸리기도 함)
즉, 두 개의 별도 도메인 이름 공간(company1.com, company2.com)을 갖고 WAN 링크를 통해 함께 연결하는 것이 가능합니다.
두 도메인 간의 관계를 전이적 신뢰라고 합니다. 다음 내용은 TechNet에서 가져온 것입니다. 해당 정보는 Server 2003의 작동 방식을 나타내지만 Server 2012에도 동일한 원칙이 적용됩니다.
마이크로소프트에서:
전이성은 트러스트가 형성된 두 도메인 외부로 트러스트를 확장할 수 있는지 여부를 결정합니다. 전이적 신뢰를 사용하여 다른 도메인과의 신뢰 관계를 확장할 수 있습니다. 비전이적 신뢰는 다른 도메인과의 신뢰 관계를 거부하는 데 사용될 수 있습니다.
포리스트에 새 도메인을 만들 때마다 새 도메인과 상위 도메인 간에 양방향 전이적 신뢰 관계가 자동으로 만들어집니다. 하위 도메인이 새 도메인에 추가되면 신뢰 경로는 새 도메인과 상위 도메인 사이에 생성된 초기 신뢰 경로를 확장하는 도메인 계층 구조를 통해 위쪽으로 흐릅니다. 전이적 신뢰 관계는 도메인 트리가 형성될 때 위쪽으로 흘러 도메인 트리의 모든 도메인 간에 전이적 트러스트를 만듭니다.
인증 요청은 이러한 신뢰 경로를 따르므로 포리스트에 있는 모든 도메인의 계정은 포리스트에 있는 다른 도메인에서 인증될 수 있습니다. 단일 로그온 프로세스를 통해 적절한 권한이 있는 계정은 포리스트의 모든 도메인에 있는 리소스에 액세스할 수 있습니다. 다음 그림은 트리 1과 트리 2의 모든 도메인이 기본적으로 전이적 신뢰 관계를 갖고 있음을 보여줍니다. 결과적으로 리소스에 적절한 권한이 할당되면 트리 1의 사용자는 트리 2의 도메인 리소스에 액세스할 수 있고 트리 1의 사용자는 트리 2의 리소스에 액세스할 수 있습니다.
Windows Server 2003 포리스트에 설정된 기본 전이적 트러스트 외에도 새 신뢰 마법사를 사용하여 다음과 같은 전이적 트러스트를 수동으로 만들 수 있습니다. 바로가기 신뢰. 크고 복잡한 도메인 트리 또는 포리스트의 신뢰 경로를 단축하는 데 사용되는 동일한 도메인 트리 또는 포리스트의 도메인 간의 전이적 신뢰입니다.
- 숲의 신뢰.하나의 포리스트 루트 도메인과 다른 포리스트 루트 도메인 간의 전이적 신뢰입니다.
- 영역 신뢰. Active Directory 도메인과 Kerberos V5 영역 간의 전이적 신뢰입니다.
비전이적 신뢰는 신뢰 관계의 두 도메인으로 제한되며 포리스트의 다른 도메인으로 전달되지 않습니다. 비전이적 신뢰는 양방향 신뢰일 수도 있고 단방향 신뢰일 수도 있습니다. 비전이적 신뢰는 기본적으로 단방향이지만 두 개의 단방향 신뢰를 만들어 양방향 관계를 만들 수도 있습니다. 비전이적 도메인 신뢰는 Windows Server 2003 도메인과 Windows NT 도메인 간에 가능한 유일한 형태의 신뢰 관계입니다.
한 포리스트의 Windows Server 2003 도메인과 다른 포리스트의 도메인(포리스트 트러스트로 연결되지 않은 경우)
새 신뢰 마법사를 사용하면 다음과 같은 비전이적 신뢰를 수동으로 만들 수 있습니다.
- 외부 신뢰. Windows Server 2003 도메인과 다른 포리스트의 Windows NT, Windows 2000 또는 Windows Server 2003 도메인 간에 생성된 비전이적 트러스트입니다. Windows NT 도메인을 Windows Server 2003 도메인으로 업그레이드하면 기존의 모든 Windows NT 트러스트가 그대로 유지됩니다. Windows Server 2003 도메인과 Windows NT 도메인 간의 모든 트러스트 관계는 비전이적입니다.
- 영역 신뢰.Active Directory 도메인과 Kerberos V5 영역 간의 비전이적 신뢰입니다.
신뢰 유형 모든 신뢰는 리소스에 대한 인증된 액세스를 허용하지만 신뢰는 서로 다른 특성을 가질 수 있습니다. 신뢰 관계에 포함된 도메인 유형은 생성되는 신뢰 유형에 영향을 미칩니다. 예를 들어, 서로 다른 포리스트에 있는 두 자식 도메인 간의 트러스트는 항상 외부 트러스트이지만 두 Windows Server 2003 포리스트 루트 도메인 간의 트러스트는 외부 트러스트이거나 포리스트 트러스트일 수 있습니다.
Active Directory 설치 마법사를 사용하면 두 가지 유형의 트러스트가 자동으로 생성됩니다. 새 신뢰 마법사 또는 Netdom 명령줄 도구를 사용하여 네 가지 다른 유형의 신뢰를 수동으로 만들 수 있습니다.
자동 신뢰 기본적으로 Active Directory 설치 마법사를 사용하여 도메인 트리나 포리스트 루트 도메인에 새 도메인을 추가하면 양방향 전이적 트러스트가 자동으로 만들어집니다. 두 가지 기본 신뢰 유형은 부모-자식 신뢰와 트리 루트 신뢰입니다.
부모와 자식의 신뢰 트리에 새 도메인이 생성될 때마다 부모-자식 신뢰 관계가 설정됩니다. Active Directory 설치 프로세스는 새 도메인과 네임스페이스 계층 구조에서 바로 앞에 있는 도메인 사이에 신뢰 관계를 자동으로 생성합니다(예를 들어 corp.tailspintoys.com은 tailspintoys.com의 하위로 생성됩니다). 부모-자식 신뢰 관계에는 다음과 같은 특징이 있습니다. 동일한 트리와 네임스페이스에 있는 두 도메인 사이에만 존재할 수 있습니다.
상위 도메인은 항상 하위 도메인의 신뢰를 받습니다.
전이적이며 양방향이어야 합니다. 전이적 신뢰 관계의 양방향 특성으로 인해 Active Directory의 전역 디렉터리 정보가 계층 전체에 복제될 수 있습니다.
트리루트 신뢰 포리스트에 새 도메인 트리를 추가하면 트리 루트 신뢰가 설정됩니다. Active Directory 설치 프로세스는 생성 중인 도메인(새 트리 루트)과 포리스트 루트 도메인 간에 신뢰 관계를 자동으로 생성합니다. 트리-루트 신뢰 관계에는 다음과 같은 제한 사항이 있습니다. 동일한 포리스트에 있는 두 트리의 루트 사이에만 설정할 수 있습니다.
전이적이며 양방향이어야 합니다.
수동 신뢰 Windows Server 2003에는 수동으로 만들어야 하는 네 가지 신뢰 유형이 있습니다. 바로 가기 신뢰는 동일한 포리스트에 있는 도메인 트리 간의 최적화에 사용됩니다. 외부, 영역 및 포리스트 트러스트는 포리스트 외부 도메인, 다른 포리스트 또는 영역과의 상호 운용성을 제공하는 데 도움이 됩니다. 이러한 신뢰 유형은 새 신뢰 마법사 또는 Netdom 명령줄 도구를 사용하여 생성해야 합니다.
바로가기 신탁 바로가기 신뢰는 관리자가 인증 프로세스를 최적화해야 할 때 사용할 수 있는 단방향 또는 양방향 전이적 신뢰입니다. 인증 요청은 처음에 도메인 트리 사이의 신뢰 경로를 이동해야 합니다. 신뢰 경로는 두 도메인 간에 인증 요청을 전달하기 위해 통과해야 하는 일련의 도메인 신뢰 관계입니다. 복잡한 포리스트에서는 신뢰 경로를 통과하는 데 필요한 시간이 성능에 영향을 미칠 수 있습니다. 바로가기 트러스트를 사용하면 이 시간을 크게 줄일 수 있습니다. 바로 가기 트러스트는 다른 도메인 트리의 계층 구조 내에 있는 도메인의 리소스에 대한 로그온 및 액세스 시간을 단축합니다. 다음 그림은 Windows Server 2003 포리스트에 있는 두 트리 간의 트러스트 관계를 보여줍니다.
--한조각--
자세한 내용은 TechNet의 다음 링크를 확인하세요.