저는 Active Directory를 가르치는 교사인데 다음 사항에 대해 한동안 궁금했습니다. 새로운 AD 구조를 계획할 때 DIT(Directory Information Tree)의 위치를 OU로 만드는 것이 타당합니까? 아니면 어쨌든 위치를 개체로 설정할 수 있기 때문에 좋은 생각이 아닌가? 여기서 좋은 접근 방식은 무엇입니까?
OU로서의 사이트에 대한 주장은 무엇입니까? 사이트를 OUst로 반대하는 주장은 무엇입니까?
답변1
개별 사이트가 연결되는 방식을 설명하는 사이트 링크를 사용하여 실제 네트워크를 최대한 가깝게 설명하는 것이 사이트 및 서브넷 구성의 일반적인 관행입니다. 적절하게 수행되면 AD는 인증 서비스를 제공하기 위해 어떤 DC를 사용할 것인지(예: 특정 사이트가 일정 기간 다운될 경우 해당 사이트를 대신해야 하는 등)에 대해 꽤 영리한 결정을 내릴 수 있습니다. 대기업에서는 이것이 매우 중요할 수 있습니다. 중요한 점은 모든 서브넷에 대해 서브넷 개체가 정의되어 있는지 확인하는 것입니다. Windows를 시작할 때 장치가 가장 먼저 하는 일은 장치의 위치를 확인하는 것입니다. 그렇게 할 수 없는 경우 네트워크의 모든 DC는 인증에 사용하기에 공정한 게임입니다. 축축한 문자열 맨 끝에 사용되지 않는 DC가 있는 경우 성능이 매우 느려질 수 있습니다!
답변2
위치와 조직도를 기반으로 OU를 만드는 데 정답이나 오답은 없습니다. 두 가지를 조합해도 효과가 있을 수 있습니다. 대답은 100% 조직의 요구에 따른 것입니다. 당신이 선택한 레이아웃이 모두를 행복하게 만들지는 않을 것이라고 말할 때 저를 믿으십시오. 제 생각에는 OU는 주로 관리 권한 위임을 위해 생성되어야 합니다. OU는 보안 그룹을 생성하고 OU에 대한 제어를 해당 그룹에 위임할 때 AD 개체에 대한 책임을 나눌 수 있습니다. 이는 누가 무엇을 관리하는지 아는 가장 큰 골칫거리를 해결합니다.
GPO 적용이나 개체의 지리적 위치 식별 등 OU를 만드는 다른 일반적인 이유는 더 쉬운 방법으로 달성할 수 있습니다. GPO는 WMI 필터, 보안 그룹 필터링을 사용하여 적용하거나 AD 사이트에 연결할 수 있습니다. GPO가 제한된 그룹을 통해 로컬 관리자 그룹을 채우기 위한 것이 아니라면 GPO를 적용하기 위해 OU를 만들지 마세요(힌트 힌트). 객체의 물리적 위치는 각 객체의 속성에 저장되어야 합니다. 해당 사용자나 컴퓨터가 어느 도시나 건물에 있는지 알고 싶을 때 이러한 속성을 쿼리합니다. 사람들이 한 위치에서 다른 위치로 이동하는 것을 거의 제어할 수 없기 때문에 위치 기반 OU 구조는 무언가가 어디에 있는지 알려주는 데 어려움을 겪습니다. 물리적으로 그렇습니다. 물론 속성도 결국에는 잘못될 수 있지만 속성을 업데이트하는 것은 OU를 변경하는 것보다 의미가 적습니다.
답변3
Active Directory는 논리적 토폴로지를 물리적 토폴로지로 나누는 방법을 제공합니다.
각 사이트에 도메인 컨트롤러를 사용하여 여러 사이트를 정의할 수 있습니다. 사이트는 IP 서브넷에 매핑되며 도메인의 각 컴퓨터는 해당 IP 서브넷을 기반으로 "가장 가까운" 도메인 컨트롤러를 조회할 수 있습니다. 사이트 간 AD 정보 복제도 관리할 수 있습니다.
AD는 다중 사이트 및 사이트 복원력을 갖도록 구성되어 있으므로 이 점을 확실히 활용해야 합니다.
요약: 해야 합니다~ 아니다실제 사이트를 OU에 매핑하지 말고 여러 도메인을 사용하지 마세요. AD는 여러 사이트를 관리하는 것 이상입니다. 이를 처리하기 위해 여러 도메인이나 사이트별 OU가 꼭 필요한 것은 아닙니다.
자세한 내용은 여기를 참조하세요:https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/understanding-active-directory-site-topology