도메인 컨트롤러(Domain Controller) 설치
질문 1: 도메인 컨트롤러의 세 가지 주요 기능은 무엇입니까?
모범 답변: 도메인 컨트롤러는 조직의 네트워크 리소스에 대한 정보를 저장(storage)하고, 이 정보를 다른 도메인 컨트롤러와 일관성 있게 유지하기 위해 복제(replication)하며, 사용자와 컴퓨터의 자격 증명을 확인하여 리소스에 대한 접근을 제어하는 인증(authentication)의 세 가지 핵심 기능을 수행합니다. 구체적으로, 도메인 컨트롤러는 사용자, 컴퓨터, 프린터와 같은 모든 네트워크 리소스를 객체(object) 형태로 안전한 계층적 논리 구조에 저장합니다. 또한, 한 도메인 컨트롤러에서 발생한 변경 사항을 다른 모든 컨트롤러로 전파하는 다중 마스터 복제(multimaster replication)를 수행하며, 사이트(site) 구성을 통해 네트워크 대역폭 사용을 최적화하고 로그온 트래픽을 효율적으로 관리합니다. 마지막으로, 사용자가 네트워크에 로그온할 때 가장 가까운 인증 기관을 통해 신속하게 인증하여 보안을 유지하고 네트워크 트래픽을 줄이는 역할을 합니다.
질문 2: 하나의 도메인 컨트롤러는 몇 개의 도메인을 지원할 수 있습니까?
모범 답변: 하나의 도메인 컨트롤러는 단 하나의 도메인만 지원할 수 있습니다. 각 도메인 컨트롤러는 자신이 속한 도메인의 객체에 대한 정보만을 저장하고 관리합니다.
질문 3: 도메인마다 둘 이상의 도메인 컨트롤러를 두는 주된 이유는 무엇입니까?
모범 답변: 도메인마다 둘 이상의 도메인 컨트롤러를 두는 주된 이유는 Active Directory의 지속적인 가용성을 보장하기 위함입니다. 만약 도메인에 컨트롤러가 하나뿐이라면, 해당 컨트롤러에 장애가 발생했을 때 도메인 전체의 인증 및 리소스 접근이 불가능해질 수 있습니다. 여러 대의 컨트롤러를 둠으로써 한 대에 문제가 생겨도 다른 컨트롤러가 그 역할을 대신 수행할 수 있습니다.
질문 4: 포리스트(forest)에서 처음으로 만들어지는 도메인을 무엇이라고 부릅니까?
모범 답변: 포리스트에서 처음으로 만들어지는 도메인은 포리스트 루트 도메인(forest root domain)이라고 부릅니다. 이 도메인의 이름은 포리스트 전체를 지칭하는 이름으로 사용됩니다.
질문 5: 포리스트에 새로운 도메인을 추가하려면 어떤 작업 마스터(Operations Master) 역할에 접근해야 합니까?
모범 답변: 포리스트에 새로운 도메인을 추가하거나 제거하는 작업은 도메인 네이밍 마스터(Domain naming master) 역할에 의해서만 통제됩니다. 따라서 새로운 도메인을 추가하려면 이 역할을 보유한 도메인 컨트롤러에 접근해야 합니다.
질문 6: 다중 마스터 복제(multimaster replication)란 무엇입니까?
모범 답변: 다중 마스터 복제란, 특정 도메인 컨트롤러뿐만 아니라 환경 내의 어떤 도메인 컨트롤러에서든 변경 작업이 발생할 수 있고, 그 변경 사항이 다른 모든 도메인 컨트롤러로 복제되어 나가는 방식을 말합니다. 이는 대부분의 Active Directory 업데이트가 처리되는 방식입니다.
질문 7: 포리스트 전체에 유일하게 존재하는 두 가지 작업 마스터 역할의 이름은 무엇입니까?
모범 답변: 포리스트 전체에 유일하게 하나씩만 존재하는 두 역할은 스키마 마스터(Schema master)와 도메인 네이밍 마스터(Domain naming master)입니다.
질문 8: 스키마 마스터(Schema master) 역할의 구체적인 기능은 무엇입니까?
모범 답변: 스키마 마스터는 Active Directory 스키마에 대한 모든 업데이트와 수정을 제어하는 기능을 합니다. 스키마란 사용자, 컴퓨터, 프린터 등 Active Directory에 저장될 수 있는 모든 객체의 클래스와 속성의 마스터 목록을 담고 있는 청사진과 같습니다.
질문 9: 각 도메인마다 고유하게 존재하는 세 가지 작업 마스터 역할은 무엇입니까?
모범 답변: 각 도메인마다 고유하게 존재하는 세 가지 역할은 PDC(Primary Domain Controller) 에뮬레이터, RID(Relative Identifier) 마스터, 그리고 인프라스트럭처 마스터(Infrastructure master)입니다.
질문 10: RID 마스터는 객체 생성 과정에서 어떤 기여를 합니까?
모범 답변: RID 마스터는 도메인 내의 각 도메인 컨트롤러에게 고유한 상대 식별자(RID) 블록을 할당하는 역할을 합니다. 도메인 컨트롤러는 새로운 보안 주체(예: 사용자 계정)를 생성할 때, 할당받은 RID 블록에서 RID를 가져와 모든 객체에 동일하게 부여되는 도메인 SID와 결합하여 전체적으로 고유한 보안 식별자(SID)를 생성합니다.
질문 11: 인프라스트럭처 마스터의 기능은 무엇입니까?
모범 답변: 한 도메인의 객체가 다른 도메인으로 이동될 때, 인프라스트럭처 마스터는 자신의 도메인 내에서 이동된 객체를 참조하는 정보를 업데이트하는 역할을 합니다. 이 객체 참조 정보에는 객체의 GUID, DN(고유 이름), SID 등이 포함되며, 인프라스트럭처 마스터는 이 정보가 최신 상태로 유지되도록 주기적으로 업데이트합니다.
질문 12: 모든 도메인 컨트롤러가 공통으로 포함하는 세 가지 Active Directory 파티션은 무엇입니까?
모범 답변: 모든 도메인 컨트롤러는 도메인 파티션, 구성 파티션, 그리고 스키마 파티션이라는 세 가지 Active Directory 파티션을 포함합니다.
질문 13: 도메인 파티션은 어떤 다른 컨트롤러들에게 복제됩니까?
모범 답변: 도메인 파티션은 해당 도메인에 속한 모든 객체의 복제본을 포함하며, 오직 같은 도메인 내의 다른 도메인 컨트롤러에게만 복제됩니다.
질문 14: 스키마 파티션과 구성 파티션은 얼마나 넓은 범위로 복제됩니까?
모범 답변: 스키마 파티션과 구성 파티션은 포리스트의 토폴로지(구조)와 같은 포리스트 전체에 적용되는 정보를 담고 있으므로, 포리스트 내의 모든 도메인 컨트롤러에게 복제됩니다.
질문 15: 혼합 모드(mixed-mode) 환경에서 PDC 에뮬레이터 역할은 무엇을 합니까?
모범 답변: 혼합 모드 환경(Windows NT 4.0을 실행하는 BDC가 존재하는 환경)에서 PDC 에뮬레이터는 Windows NT의 주 도메인 컨트롤러(PDC)처럼 동작하여 하위 버전의 BDC를 지원하는 역할을 합니다. 또한, 암호 변경 사항 복제 시 우선권을 갖는 등 추가적인 기능을 수행합니다.
도메인 가입(Domain Join)
질문 16: Active Directory의 논리적 구조에서 핵심 단위는 무엇입니까?
모범 답변: Active Directory의 논리적 구조에서 핵심 단위는 도메인(domain)입니다. 도메인은 객체를 그룹화하고, 관리, 보안, 복제의 경계 역할을 합니다.
질문 17: 기존 트리(tree) 내에 새로운 도메인이 생성될 때 자동으로 설정되는 것은 무엇입니까?
모범 답변: 새로운 자식 도메인이 기존 트리에 생성되면, 해당 도메인과 부모 도메인 사이에 양방향의 전이적(transitive) 트러스트 관계가 Kerberos를 사용하여 자동으로 설정됩니다.
질문 18: 트러스트 관계가 '전이적(transitive)'이라는 것은 무엇을 의미합니까?
모범 답변: 트러스트가 '전이적'이라는 것은, 만약 A 도메인이 B 도메인을 신뢰하고 B 도메인이 C 도메인을 신뢰한다면, A 도메인이 C 도메인을 자동으로 신뢰하게 된다는 의미입니다. 이 원리 덕분에 트리에 새로 가입한 도메인은 즉시 해당 트리의 모든 다른 도메인과 트러스트 관계를 맺게 됩니다.
질문 19: 하나의 포리스트가 서로 다른 네임스페이스를 가진 도메인들(예: tailspintoys.com과 nwtraders.com)을 포함할 수 있습니까?
모범 답변: 예, 가능합니다. 포리스트는 서로 다른 명명 규칙을 사용하는 사업부들을 하나의 그룹으로 묶을 수 있게 해주므로,
연속적이지 않은 네임스페이스를 가진 여러 트리들을 포함할 수 있습니다. 이들은 독립적으로 운영되면서도 포리스트 내에서 서로 통신할 수 있습니다.
질문 20: 기본적으로 보안 정책이 한 도메인에서 다른 도메인으로 확장됩니까?
모범 답변: 아니요, 확장되지 않습니다. 도메인은 보안 경계이므로, 관리 권한, 보안 정책, 접근 제어 목록(ACL)과 같은 보안 설정들은 한 도메인에서 다른 도메인으로 넘어가지 않습니다.
질문 21: 트러스트 관계를 통해 도메인 간의 리소스 접근은 어떻게 활성화됩니까?
모범 답변: 트러스트 관계에서, 리소스를 가진 신뢰하는(trusting) 도메인이 사용자 계정을 가진 신뢰받는(trusted) 도메인의 로그온 인증을 인정해 줍니다. 이를 통해 신뢰받는 도메인의 사용자 계정이나 그룹에게 신뢰하는 도메인의 리소스에 대한 접근 권한을 부여할 수 있습니다.
질문 22: 연속적인 네임스페이스를 가지며 계층적으로 배열된 하나 이상의 도메인 그룹을 무엇이라고 합니까?
모범 답변: 이는 트리(tree)라고 합니다. 트리는 단일 도메인으로 구성될 수도 있고, 여러 도메인이 계층 구조로 결합되어 구성될 수도 있습니다.
질문 23: 전이적 트러스트 외에 Windows Server 2003 이상에서 언급된 다른 두 가지 트러스트 유형은 무엇입니까?
모범 답변: 다른 두 가지 유형은 수동으로 설정하는 명시적 트러스트(Explicit Trusts)와 두 개의 포리스트를 연결하는 포리스트 트러스트(Forest Trusts)입니다.
DC 탐색(DC Locator) 및 DNS
질문 24: Active Directory는 도메인과 도메인 컨트롤러를 찾기 위해 어떤 이름 확인 서비스를 사용합니까?
모범 답변: Active Directory는 도메인과 호스트 컴퓨터를 식별하기 위해 DNS(Domain Name System)를 이름 확인 서비스로 사용합니다.
질문 25: 클라이언트 컴퓨터는 로그온 과정에서 초기에 어떻게 도메인 컨트롤러를 찾습니까?
모범 답변: 클라이언트는 네트워크 로그온 시 DNS에 쿼리하여 SRV(서비스) 리소스 레코드를 검색함으로써 디렉터리 서버(도메인 컨트롤러)를 찾습니다. 예를 들어, ldap._tcp.noamer.nwtraders.msft와 같은 SRV 레코드를 DNS에 질의합니다.
질문 26: 도메인 컨트롤러에서 실행되는 서비스 중 DNS에 SRV 레코드를 등록하는 책임이 있는 것은 무엇입니까?
모범 답변: 각 도메인 컨트롤러에서 실행되는 NetLogon 서비스가 해당 컨트롤러의 서비스들을 나타내는 SRV 리소스 레코드를 DNS 서버에 등록할 책임이 있습니다.
질문 27: 도메인 컨트롤러가 자신의 서비스 레코드를 DNS 서버에 자동으로 등록할 수 있게 하는 DNS 서버의 기능은 무엇입니까?
모범 답변: 이는 DNS 서버가 동적 업데이트(dynamic updates)를 허용할 경우에 가능합니다.
질문 28: 클라이언트 로그온 과정과 관련하여 Active Directory 사이트(site)의 주요 목적은 무엇입니까?
모범 답변: 사이트의 주요 목적은 클라이언트가 로컬 도메인 컨트롤러를 효율적으로 탐색하도록 돕는 것입니다. 클라이언트는 먼저 자신이 속한 사이트 내의 도메인 컨트롤러에 인증을 시도하는데, 이는 로그온 시간을 단축하고 느린 WAN 링크를 통한 트래픽을 줄여줍니다.
질문 29: 클라이언트는 자신이 어떤 Active Directory 사이트에 속하는지 어떻게 결정합니까?
모범 답변: 클라이언트는 자신의 IP 주소를 기반으로 소속 사이트를 결정합니다. Active Directory에는 IP 서브넷 객체들이 정의되어 있으며, 이 서브넷들이 특정 사이트에 할당되어 있기 때문입니다.
질문 30: 클라이언트 컴퓨터가 Active Directory를 검색하고 통신하기 위해 사용하는 프로토콜은 무엇입니까?
모범 답변: 클라이언트는 LDAP(Lightweight Directory Access Protocol)를 사용하여 Active Directory 데이터베이스의 객체를 검색하고 수정합니다.
질문 31: 고유 이름(Distinguished Name, DN)이란 무엇입니까?
모범 답변: 고유 이름(DN)은 Active Directory 포리스트 내에서 객체를 유일하게 식별하는 전체 경로 이름입니다. 이 이름은 객체가 위치한 도메인과 해당 객체에 도달하는 전체 경로를 명시합니다.
질문 32: 고유 이름(DN)을 구성하는 세 가지 요소는 무엇입니까?
모범 답변: DN은 객체의 이름인 일반 이름(Common Name, CN), 객체가 속한 컨테이너인 조직 구성 단위(Organizational Unit, OU), 그리고 도메인 이름의 각 부분인 도메인 구성 요소(Domain Component, DC)로 구성됩니다.
질문 33: 상대 고유 이름(Relative Distinguished Name, RDN)이란 무엇입니까?
모범 답변: 상대 고유 이름(RDN)은 전체 DN 중에서 부모 컨테이너 내에서 객체를 고유하게 식별하는 부분을 말합니다. 예를 들어,
CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft라는 DN에서 RDN은 Suzan Fine입니다.
질문 34: 사용자 계정 이름(User Principal Name, UPN)이란 무엇입니까?
모범 답변: UPN은 사용자의 간편한 로그온 이름으로, 사용자의 약식 이름과 사용자가 속한 도메인 트리의 DNS 이름으로 구성됩니다(예: sfine@contoso.msft).
질문 35: 객체 검색과 관련하여 글로벌 카탈로그(Global Catalog) 서버의 기능은 무엇입니까?
모범 답변: 글로벌 카탈로그 서버는 포리스트 내 모든 객체의 일부 특성(attribute) 정보를 가지고 있어, 사용자가 다른 도메인의 객체를 찾을 때 모든 도메인을 개별적으로 검색할 필요 없이 빠르게 쿼리를 처리해 줍니다.
질문 36: 글로벌 카탈로그 서버는 자신이 속한 도메인 외의 다른 도메인에 대해 어떤 종류의 복제본을 가지고 있습니까?
모범 답변: 글로벌 카탈로그 서버는 다른 모든 도메인에 대해서는 부분적인 읽기 전용 복제본을 저장합니다. 여기에는 검색에 자주 사용되는 특성들만 포함됩니다.
질문 37: 모든 사이트에 글로벌 카탈로그 서버를 두는 것이 권장되는 이유는 무엇입니까?
모범 답변: 모든 사이트에 글로벌 카탈로그 서버를 두면, 사용자의 검색 쿼리가 로컬 서버에서 처리될 수 있기 때문입니다. 이는 WAN과 같은 느린 네트워크 링크를 통한 트래픽을 줄여 성능을 향상시킵니다.
질문 38: DNS를 통해 연결된 도메인 컨트롤러는 클라이언트를 가장 가까운 로그온 서버로 안내하기 위해 어떤 정보를 사용합니까?
모범 답변: 최초 연결된 서버는 클라이언트 워크스테이션이 제시하는 서브넷 정보를 사용하여 클라이언트에게 가장 가까운 로그온 서버가 어디인지 판단합니다.
질문 39: 단일 로그온(Single Sign-On)은 무엇으로 구성됩니까?
모범 답변: 단일 로그온은 연결 시도의 자격 증명을 확인하는 인증(Authentication)과 해당 연결 시도가 허용되는지 확인하는 권한 부여(Authorization)의 두 가지 프로세스로 구성됩니다.
질문 40: 컴퓨터의 물리적 위치와 Active Directory 사이트의 관계는 무엇입니까?
모범 답변: Active Directory 사이트는 컴퓨터의 실제 물리적 위치가 아니라, 빠르고 안정적인 네트워크 연결을 공유하는 IP 서브넷들의 모음으로 정의됩니다. 따라서 뉴욕과 런던에 있는 컴퓨터들이라도 두 위치 간의 네트워크 대역폭이 충분히 좋다면 같은 사이트에 속할 수 있습니다.