Active Directory 복제 개념
사이트 토폴로지를 디자인하기 전에 몇 가지 Active Directory 복제 개념에 익숙해지세요.
Connection 개체
Connection 개체
연결 개체는 원본 도메인 컨트롤러에서 대상 도메인 컨트롤러로의 복제 연결을 나타내는 Active Directory 개체입니다. 도메인 컨트롤러는 단일 사이트의 구성원이며 AD DS(Active Directory Domain Services) 서버 개체에 의해 사이트에 표시됩니다. 각 서버 개체에는 사이트 복제 도메인 컨트롤러를 나타내는 하위 NTDS 설정 개체가 있습니다.
연결 개체는 대상 서버에서 NTDS 설정 개체의 하위 개체입니다. 두 도메인 컨트롤러 간에 복제 수행을 위해 하나의 서버 개체에 다른 도메인 컨트롤러의 인바운드 복제를 나타내는 연결 개체가 필수입니다. 도메인 컨트롤러의 모든 복제 연결은 NTDS 설정 개체 아래 연결 개체로 저장됩니다. 연결 개체는 복제 원본 서버를 식별하고, 복제 일정을 포함하며, 복제 전송을 지정합니다.
KCC(정보 일관성 검사기)는 연결 개체를 자동으로 생성하지만 수동으로도 가능합니다. Active Directory 사이트 및 서비스 스냅인에 KCC에 의해 생성된 연결 개체는 <자동 생성됨>으로 나타나며, 정상적인 운영 조건에서는 적절한 것으로 간주됩니다. 관리자가 만든 연결 개체는 수동으로 만들어진 연결 개체입니다. 수동 생성 연결 개체는 만들어질 때 관리자가 할당한 이름으로 식별됩니다. <자동으로 생성>된 연결 개체를 수정하면 GUID 형식으로 표시되는 관리적으로 수정된 연결 개체로 변환됩니다. KCC는 수동 또는 수정된 연결 개체를 변경하지 않습니다.
KCC
KCC는 모든 도메인 컨트롤러에서 실행되고 Active Directory 포리스트를 위해 복제 토폴로지를 생성 하는 기본 제공 프로세스입니다. KCC는 사이트 내(인트라사이트) 또는 사이트 간(인터사이트) 간 어디서 복제가 발생하는지 여부에 따라서 별도의 복제 토폴로지를 생성합니다. 또한 KCC는 토폴로지를 동적으로 조정하여 새 도메인 컨트롤러 추가, 기존 도메인 컨트롤러 제거, 도메인 컨트롤러의 사이트로부터 그리고 사이트로의 이동, 비용 및 일정 변경, 일시적으로 사용할 수 없거나 오류 상태인 도메인 컨트롤러를 수용합니다.
사이트 내에서 쓰기 가능한 도메인 컨트롤러 간 연결은 항상 양방향 링에 정렬되며, 대규모 사이트의 대기 시간을 줄이기 위한 추가 바로 가기 연결이 있습니다. 반면에 사이트 간 토폴로지는 스패닝 트리의 계층화입니다. 즉, 각 디렉터리 파티션마다 두 사이트 사이에 하나의 사이트 간 연결이 존재하며 일반적으로 바로 가기 연결을 포함하지 않습니다. 스패닝 트리 및 Active Directory 복제 토폴로지에 대한 자세한 내용은 Active Directory 복제 토폴로지 기술 참조(https://go.microsoft.com/fwlink/?LinkID=93578)를 참조하십시오.
각 도메인 컨트롤러에서 KCC는 다른 도메인 컨트롤러로부터의 연결을 정의하는 단방향 인바운드 연결 개체를 생성하여 복제 경로를 만듭니다. 동일한 사이트의 도메인 컨트롤러의 경우 KCC는 관리 개입 없이 자동으로 연결 개체를 생성합니다. 둘 이상의 사이트가 있는 경우 사이트 간에 사이트 링크를 구성하고 각 사이트의 KCC는 사이트 간 연결을 자동으로 생성합니다.
Windows Server 2008 RODC에 대한 KCC 개선 사항
Windows Server 2008의 새로운 RODC(읽기 전용 도메인 컨트롤러)를 수용하기 위한 다양한 KCC 개선 사항이 있습니다. RODC의 일반적인 배포 시나리오는 지점입니다. 이 시나리오에서 가장 일반적으로 배포되는 Active Directory 복제 토폴로지는 허브 및 스포크 디자인을 기반으로 하며, 여러 사이트의 지사 도메인 컨트롤러는 허브 사이트의 적은 수의 브리지헤드 서버로 복제됩니다.
이 시나리오에서 RODC를 배포할 때의 이점 중 하나는 단방향 복제입니다. 브리지헤드 서버는 RODC에서 복제할 필요가 없으므로 행정 및 네트워크 사용량이 줄어듭니다.
그러나 이전 버전의 Windows Server 운영 체제상 허브-스포크 토폴로지에서 강조된 한 가지 관리 과제는 허브에 새 브리지헤드 도메인 컨트롤러를 추가한 후 새 허브 도메인 컨트롤러를 활용하기 위해 분기 도메인 컨트롤러와 허브 도메인 컨트롤러 간에 복제 연결을 재배포하는 자동 메커니즘이 없다는 것입니다.
Windows Server 2008 RODC의 경우 KCC의 정상적인 작동은 일부 리밸런싱을 제공합니다. 기본적으로 해당 새 기능은 활성화 설정되어 있습니다. RODC에 다음 레지스트리 키 집합을 추가하여 비활성화 할 수 있습니다:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
"임의 BH 부하 분산 허용됨"1 = 활성화(기본값), 0 = 비활성화
이러한 KCC 개선 작동 방식에 대한 자세한 내용은 지점용 Active Directory Domain Services 계획 및 배포(https://go.microsoft.com/fwlink/?LinkId=107114)를 참조하세요.
장애 조치(failover) 기능
사이트는 복제가 네트워크 오류 및 오프라인 도메인 컨트롤러를 우회하여 라우팅 되도록 합니다. KCC는 지정된 간격으로 실행되어 새 도메인 컨트롤러가 추가되고 새 사이트가 만들어지는 경우와 같이 AD DS에서 발생하는 변경 내용에 대한 복제 토폴로지를 조정합니다. KCC는 기존 연결의 복제 상태를 검토하여 연결의 작동 중지 여부를 확인합니다. 고장 도메인 컨트롤러로 인해 연결이 작동하지 않는 경우 KCC는 복제가 수행되도록 다른 복제 파트너(사용 가능한 경우)에 임시 연결을 자동으로 빌드합니다. 사이트의 모든 도메인 컨트롤러가 사용 불가한 경우 KCC는 다른 사이트의 도메인 컨트롤러 간에 복제 연결을 자동으로 만듭니다.
서브넷
서브넷은 논리 IP 주소 집합이 할당되는 TCP/IP 네트워크 세그먼트입니다. 서브넷은 네트워크에서 물리적 근접성을 식별하는 방식으로 컴퓨터를 그룹화합니다. AD DS 서브넷 개체는 컴퓨터를 사이트에 매핑하는 데 사용되는 네트워크 주소를 식별합니다.
사이트
사이트는 매우 안정적이고 빠른 네트워크 연결을 사용하는 하나 이상의 TCP/IP 서브넷을 나타내는 Active Directory 개체입니다. 사이트 정보를 사용하면 관리자가 Active Directory 액세스 및 복제를 구성하여 물리적 네트워크의 사용을 최적화할 수 있습니다. 사이트 개체는 서브넷 집합과 연결되며 포리스트의 각 도메인 컨트롤러는 IP 주소에 따라 Active Directory 사이트와 연결됩니다. 사이트는 둘 이상의 도메인에서 도메인 컨트롤러를 호스트할 수 있으며 도메인은 둘 이상의 사이트에 표시될 수 있습니다.
사이트 링크
사이트 링크는 KCC가 Active Directory 복제 연결을 설정하는 데 사용하는 논리적 경로를 나타내는 Active Directory 개체입니다. 사이트 링크 개체는 지정된 사이트 간 전송을 통해 균일한 비용으로 통신할 수 있는 사이트 집합을 나타냅니다.
사이트 링크 내에 포함된 모든 사이트는 동일한 네트워크 유형을 통해 연결된 것으로 간주됩니다. 한 사이트의 도메인 컨트롤러가 다른 사이트의 도메인 컨트롤러에서 디렉터리 변경 내용을 복제할 수 있도록 사이트 링크를 사용하여 사이트가 다른 사이트에 수동으로 연결되야 합니다. 사이트 링크는 복제 중 물리 네트워크의 네트워크 패킷에서 가져온 실제 경로와 일치하지 않으므로 Active Directory 복제 효율성을 개선하기 위해 중복 사이트 링크를 만들 필요가 없습니다.
두 사이트가 사이트 링크로 연결되면 복제 시스템은 브리지헤드 서버라고 하는 각 사이트의 특정 도메인 컨트롤러 간에 자동으로 연결을 생성합니다. Windows Server 2008에서 동일한 디렉터리 파티션을 호스트하는 사이트의 모든 도메인 컨트롤러는 브리지헤드 서버 선택 후보입니다. KCC에서 만든 복제 연결은 복제 워크로드 공유를 위해 사이트의 모든 후보 브리지헤드 서버 간에 임의로 분산됩니다. 기본적으로 임의 선택 프로세스는 연결 개체가 사이트에 처음 추가될 때 단 한 번만 수행됩니다.
사이트 링크 브리지
사이트 링크 브리지는 사이트 링크 집합을 나타내는 Active Directory 개체이며, 집합의 모든 사이트는 공통 전송을 사용하여 통신할 수 있습니다. 사이트 링크 브리지를 사용하면 통신 링크를 통해 직접 연결되지 않은 도메인 컨트롤러의 상호 복제를 활성화합니다. 일반적으로 사이트 링크 브리지는 IP 네트워크의 라우터(또는 라우터 집합)에 해당합니다.
기본적으로 KCC는 일부 사이트가 중복된 모든 사이트 링크를 통해 전이적 경로를 형성할 수 있습니다. 이 동작이 비활성화 되면 각 사이트 링크는 고유한 격리된 네트워크를 나타냅니다. 단일 경로로 취급할 수 있는 사이트 링크 집합은 사이트 링크 브리지를 통해 표현됩니다. 각 브리지는 네트워크 트래픽에 대한 격리된 통신 환경을 나타냅니다.
사이트 링크 브리지는 사이트 간의 전이적 물리 연결을 논리적으로 나타내는 메커니즘입니다. 사이트 링크 브리지를 사용하면 KCC가 포함된 사이트 링크의 조합을 사용하여 해당 사이트에 있는 디렉터리 파티션을 상호 연결하는 가장 저렴한 경로를 결정할 수 있습니다. 사이트 링크 브리지는 도메인 컨트롤러에 대한 실제 연결을 제공하지 않습니다. 사이트 링크 브리지가 제거되면 KCC가 링크를 제거할 때까지 결합된 사이트 링크에 대한 복제가 계속됩니다.
사이트 링크 브리지는 사이트에 인접한 사이트의 도메인 컨트롤러에 호스팅되지 않은 디렉터리 파티션을 호스팅하는 도메인 컨트롤러가 있으나, 해당 디렉터리 파티션을 호스팅하는 도메인 컨트롤러가 포리스트의 하나 이상의 다른 사이트에 위치해 있는 경우에만 필수적입니다. 인접한 사이트는 단일 사이트 링크에 포함된 두 개 이상의 사이트로 정의됩니다.
사이트 링크 브리지는 두 사이트 링크 간에 논리적 연결 생성해 중간 사이트를 사용하여 연결이 끊긴 두 사이트 간에 전이적 경로를 제공합니다. ISTG(사이트 간 토폴로지 생성기)의 목적을 위해 브리지는 중간 사이트를 사용하여 물리적 연결을 의미합니다. 브리지는 중간 사이트의 도메인 컨트롤러가 복제 경로를 제공함을 의미하지는 않습니다. 그러나 중간 사이트에 복제할 디렉터리 파티션을 호스팅하는 도메인 컨트롤러가 포함된 경우 이 경우 사이트 링크 브리지가 필요하지 않습니다.
각 사이트 링크의 비용이 추가되어 결과 경로에 대한 합계 비용이 생성됩니다. 중간 사이트에 디렉터리 파티션을 호스팅하는 도메인 컨트롤러가 포함되어 있지 않고 더 낮은 비용 링크가 없는 경우 사이트 링크 브리지가 사용됩니다. 중간 사이트에 디렉터리 파티션을 호스트하는 도메인 컨트롤러가 포함된 경우 연결이 끊긴 두 사이트는 중간 도메인 컨트롤러에 대한 복제 연결을 설정하고 브리지를 사용하지 않습니다.
사이트 링크 전이성
기본적으로 모든 사이트 링크는 전이적이거나 "브리지됨"입니다. 사이트 링크가 브리지되고 일정이 겹치는 경우 KCC는 사이트 간 도메인 컨트롤러 복제 파트너를 결정하는 복제 연결을 만듭니다. 여기서 사이트는 사이트 링크로 직접 연결되지 않지만 일반 사이트 집합을 통해 전이적으로 연결됩니다. 즉, 사이트 링크 조합을 통해 어떤 사이트라도 다른 사이트에 연결할 수 있습니다.
일반적으로 완전히 라우팅된 네트워크의 경우 복제 변경 흐름을 제어하려는 경우가 아니면 사이트 링크 브리지를 만들 필요가 없습니다. 네트워크가 완전히 라우팅되지 않은 경우 불가능한 복제 시도를 방지를 위해 사이트 링크 브리지를 만들어야 합니다. 특정 전송에 대한 모든 사이트 링크는 암시적으로 해당 전송에 대한 단일 사이트 링크 브리지에 속합니다. 사이트 링크의 기본 브리징은 자동으로 수행되며 해당 브리지를 나타내는 Active Directory 개체가 없습니다. IP 및 SMTP(Simple Mail Transfer Protocol) 사이트 간 전송 컨테이너의 속성에 있는 모든 사이트 링크 브리지 설정은 자동 사이트 링크 브리징을 구현합니다.
참고 항목
SMTP 복제는 이후 버전의 AD DS(Active Directory Domain Services)에서 지원되지 않으므로 SMTP 컨테이너에서 사이트 링크 개체를 만드는 것은 권장되지 않습니다.
글로벌 카탈로그 서버
글로벌 카탈로그 서버는 포리스트의 모든 개체에 대한 정보를 저장하는 도메인 컨트롤러이므로 애플리케이션은 요청된 데이터를 저장하는 특정 도메인 컨트롤러를 참조하지 않고 AD DS를 검색할 수 있습니다. 모든 도메인 컨트롤러와 마찬가지로, 글로벌 카탈로그 서버는 스키마 및 구성 디렉터리 파티션의 전체 쓰기 가능한 복제본과 호스팅 중인 도메인의 도메인 디렉터리 파티션의 전체 쓰기 가능한 복제본을 저장합니다. 또한 글로벌 카탈로그 서버는 포리스트에 있는 다른 모든 도메인의 부분 읽기 전용 복제본을 저장합니다. 부분 읽기 전용 도메인 복제본에는 도메인의 모든 개체가 포함되지만 특성의 하위 집합(개체 검색에 가장 일반적으로 사용되는 특성)만 포함됩니다.
범용 그룹 구성원 자격 캐싱
범용 그룹 구성원 자격 캐싱을 사용하면 도메인 컨트롤러가 사용자에 대한 범용 그룹 구성원 자격 정보를 캐시할 수 있습니다. Windows Server 2008을 실행하는 도메인 컨트롤러가 Active Directory 사이트 및 서비스 스냅인을 사용하여 범용 그룹 구성원 자격을 캐시하도록 설정할 수 있습니다.
범용 그룹 구성원 자격 캐싱을 활성화 하면 도메인의 모든 사이트에서 전역 카탈로그 서버가 필요하지 않으므로 도메인 컨트롤러가 포리스트에 있는 모든 개체를 복제할 필요가 없으므로 네트워크 대역폭 사용이 최소화됩니다. 또한 인증 도메인 컨트롤러가 범용 그룹 구성원 자격 정보를 얻기 위해 전역 카탈로그에 항상 액세스할 필요가 없기 때문에 로그온 시간이 줄어듭니다. 범용 그룹 구성원 자격 캐싱을 사용하는 경우에 대한 자세한 내용은 글로벌 카탈로그 서버 배치 계획을 참조하세요.