다음을 통해 공유

지역 도메인 컨트롤러 배치 계획하기

비용 효율성을 보장하려면 지역 도메인 컨트롤러를 최소한으로 배치하도록 계획하세요. 먼저 네트워크 정보 수집 에 사용되는 "지리적 위치 및 통신 링크"(DSSTOPO_1.doc)" 워크시트를 검토하여 위치가 허브인지 확인합니다.

각 허브 위치에 표시되는 각 도메인에 대해 지역 도메인 컨트롤러를 배치하도록 계획합니다. 모든 허브 위치에 지역 도메인 컨트롤러를 배치한 후 위성 위치에 지역 도메인 컨트롤러를 배치할 필요성을 평가합니다. 위성 위치에서 불필요한 지역 도메인 컨트롤러를 제거하면 원격 서버 인프라를 유지하는 데 필요한 지원 비용이 줄어듭니다.

또한 권한이 없는 직원이 액세스할 수 없도록 허브 및 위성 위치에 있는 도메인 컨트롤러의 물리적 보안을 보장합니다. 도메인 컨트롤러의 물리적 보안을 보장할 수 없는 허브 및 위성 위치에 쓰기 가능한 도메인 컨트롤러를 배치하지 마세요. 쓰기 가능한 도메인 컨트롤러에 물리적으로 액세스할 수 있는 사람은 다음을 통해 시스템을 공격할 수 있습니다.

  • 도메인 컨트롤러에서 대체 운영 체제를 시작하여 실제 디스크에 접근
  • 도메인 컨트롤러에서 실제 디스크를 제거(및 대체).
  • 도메인 컨트롤러 시스템 상태 백업의 복사본을 가져와 조작

쓰기 가능한 지역 도메인 컨트롤러를 물리적 보안을 보장할 수 있는 위치에만 추가하세요.

물리적 보안이 부적절한 위치에서는 RODC(읽기 전용 도메인 컨트롤러)를 배포하는 것이 좋습니다. 계정 암호를 제외하고 RODC는 쓰기 가능한 도메인 컨트롤러가 보유하는 모든 Active Directory 개체 및 특성을 보유합니다. 그러나 RODC에 저장된 데이터베이스는 변경이 불가합니다. 쓰기 가능한 도메인 컨트롤러에서 변경한 다음, RODC에 복제해야 합니다.

클라이언트 로그온을 인증하고 로컬 파일 서버에 액세스하기 위해 대부분의 조직에서는 지정된 위치에 표시되는 모든 지역 도메인에 대해 지역 도메인 컨트롤러를 배치합니다. 그러나, 비즈니스 위치에서 클라이언트에 로컬 인증이 필요한지 아니면 클라이언트가 WAN(광역 네트워크) 링크를 통해 인증 및 쿼리에 의존할 수 있는지 여부를 평가할 때는 여러 가지 변수를 고려해야 합니다. 다음 그림에서는 위성 위치에 도메인 컨트롤러를 배치할지 여부를 결정하는 방법을 보여 줍니다.

지역 dc 배치 계획

현장 기술 전문 지식 가용성

도메인 컨트롤러를 지속적으로 관리해야 하는 이유는 여러 가지입니다. 도메인 컨트롤러를 관리할 수 있는 담당자가 포함된 위치에만 지역 도메인 컨트롤러를 배치하거나 도메인 컨트롤러를 원격으로 관리할 수 있는지 확인하세요.

일반적으로 물리적 보안이 좋지 않고 정보 기술 지식이 적은 직원이 있는 지사 환경에서 RODC를 배포하는 것이 권장되는 솔루션인 경우가 많습니다. RODC에 대한 로컬 관리 권한은 도메인 또는 다른 도메인 컨트롤러에 대한 사용자 권한을 부여하지 않고 도메인 사용자에게 위임할 수 있습니다. 이렇게 하면 로컬 분기 사용자가 RODC에 로그온하여 서버에서 드라이버 업그레이드와 같은 유지 관리 작업을 수행할 수 있습니다. 그러나 분기 사용자는 다른 도메인 컨트롤러에 로그온하거나 도메인에서 다른 관리 작업을 수행할 수 없습니다. 이로써, 지점 사용자는 도메인이나 포리스트의 나머지 부분에 대한 보안을 손상시키지 않고 지점에서 RODC를 효과적으로 관리할 수 있는 기능을 위임받을 수 있습니다.

자주 중단되는 WAN 링크는 위치에 사용자를 인증할 수 있는 도메인 컨트롤러가 포함되지 않은 경우 사용자에게 상당한 생산성 손실을 초래할 수 있습니다. WAN 링크 가용성이 100%가 아니고 원격 사이트에서 서비스 중단을 허용할 수 없는 경우 WAN 링크가 다운된 경우 사용자가 로그온하거나 서버 액세스를 교환할 수 있는 기능이 필요한 위치에 지역 도메인 컨트롤러를 배치합니다.

인증 가용성

은행과 같은 특정 조직에서는 사용자 인증은 항상 필요합니다. WAN 링크 가용성이 100%가 아니지만 사용자는 항상 인증이 필요한 위치에 지역 도메인 컨트롤러를 배치합니다.

WAN 링크 가용성이 매우 신뢰할 수 있는 경우 도메인 컨트롤러를 위치에 배치하는 것은 WAN 링크를 통해 로그온 성능 요구 사항에 따라 달라집니다. WAN을 통해 로그온 성능에 영향을 주는 요인에는 링크 속도 및 사용 가능한 대역폭, 사용자 및 사용 프로필 수, 로그온 네트워크 트래픽과 복제 트래픽의 양 등이 있습니다.

단일 사용자의 활동은 느린 WAN 링크를 구성할 수 있습니다. WAN 링크를 통해 로그온 성능이 허용되지 않는 경우 도메인 컨트롤러를 위치에 배치합니다.

대역폭 사용률의 평균 백분율은 네트워크 링크가 얼마나 혼잡한 지를 나타냅니다. 네트워크 링크에 허용 가능한 값보다 큰 평균 대역폭 사용률이 있는 경우 해당 위치에 도메인 컨트롤러를 배치합니다.

사용자 및 사용 프로필 수

지정된 위치에 있는 사용자 및 해당 사용 프로필의 수는 해당 위치에 지역 도메인 컨트롤러를 배치해야 하는지 여부를 결정하는 데 도움이 될 수 있습니다. WAN 링크가 실패하는 경우 생산성 손실을 방지하려면 100명 이상의 사용자가 있는 위치에 지역 도메인 컨트롤러를 배치합니다.

사용 프로필은 사용자가 네트워크 리소스를 사용하는 방법을 나타냅니다. 네트워크 리소스에 자주 액세스하지 않는 소수의 사용자만 포함된 위치에는 도메인 컨트롤러를 배치할 필요가 없습니다.

로그온 네트워크 트래픽 및 복제 트래픽

Active Directory 클라이언트와 동일한 위치 내에서 도메인 컨트롤러를 사용할 수 없는 경우 클라이언트는 네트워크에 로그온 트래픽을 만듭니다. 실제 네트워크에서 생성되는 로그온 네트워크 트래픽의 양은 그룹 멤버 자격을 비롯한 여러 요인, 즉 GPO(그룹 정책 개체)의 수 및 크기 로그온 스크립트, 오프라인 폴더, 폴더 리디렉션 및 로밍 프로필과 같은 기능의 영향을 받습니다.

반면에, 지정된 위치에 배치되는 도메인 컨트롤러는 네트워크에서 복제 트래픽을 생성합니다. 도메인 컨트롤러에서 호스트되는 파티션에 대한 업데이트 빈도 및 양은 네트워크에서 생성된 복제 트래픽의 양에 영향을 줍니다. 도메인 컨트롤러에서 호스트되는 파티션에서 수행할 수 있는 다양한 유형의 업데이트에는 사용자 및 사용자 특성 추가 또는 변경, 암호 변경, 전역 그룹, 프린터 또는 볼륨 추가 또는 변경이 포함됩니다.

지역 도메인 컨트롤러를 위치에 배치해야 하는지 확인하려면 도메인 컨트롤러가 없는 위치에서 만든 로그온 트래픽 비용과 도메인 컨트롤러를 위치에 배치하여 만든 복제 트래픽 비용을 비교합니다.

예를 들어 본사에 대한 느린 링크를 통해 연결되고 도메인 컨트롤러를 쉽게 추가할 수 있는 지점이 있는 네트워크를 고려해 보세요. 일부 원격 사이트 사용자의 일일 로그온 및 디렉터리 조회 트래픽으로 인해 모든 회사 데이터를 분기에 복제하는 것보다 더 많은 네트워크 트래픽이 발생하는 경우 분기에 도메인 컨트롤러를 추가하는 것이 좋습니다.

네트워크 트래픽보다 도메인 컨트롤러 유지 관리 비용을 줄이는 것이 더 중요한 경우 해당 도메인에 대한 도메인 컨트롤러를 중앙 집중화하고 해당 위치에 지역 도메인 컨트롤러를 배치하지 않거나 RODC를 위치에 배치하는 것이 좋습니다.

각 위치에 표시되는 각 도메인의 지역 도메인 컨트롤러 배치 및 사용자 수를 문서화하는 데 도움이 되는 워크시트는 Windows Server 2003 배포 키트용 작업 보조 기능에서, Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip를 다운로드하여 "도메인 컨트롤러 배치"(DSSTOPO_4.doc)를 참조하세요.

지역 도메인을 배포할 때 지역 도메인 컨트롤러를 배치해야 하는 위치에 대한 정보를 참조해야 합니다. 지역 도메인 배포 하는 방법에 대 한 자세한 내용은 참조 배포 Windows Server 2008 지역 도메인합니다.