Active Directory Sites and Services Best Practices. 활성 디렉터리(AD)는 강력하고 유연한 디렉터리 서비스로, 조직의 요구에 맞게 사용자 정의할 수 있는 충분한 공간을 제공합니다. 그 강점은 AD 네트워크 디자인을 논리적 및 물리적 구조에 맞게 맞춤 설정할 수 있는 능력에 있습니다. 이 글은 AD 사이트, 서브넷 및 사이트 링크를 포괄적으로 다루며, Active Directory Sites and Services 콘솔을 구축하는 과정을 보여줍니다.도메인 컨트롤러 보안 모범 사례 – 강화 (체크리스트)도 읽어보세요.
Active Directory Sites and Services Best Practices
논리적 프레임워크에는 포리스트와 도메인과 같은 요소가 포함되며, 물리적 시스템에는 도메인 컨트롤러(DCs), 서버 및 물리적 서브넷과 같은 구성 요소가 포함됩니다. 사이트는 AD 네트워크의 실체적인 측면을 설명하는 데 사용됩니다. 다음 섹션에서 더 많은 정보를 제공합니다.
AD 사이트 개요
기본 설정으로, 우리의 도메인 컨트롤러는 Default-First-Site-Name 사이트 컨테이너를 포레스트를 위해 생성합니다. 다른 컨테이너를 만들 때까지 모든 DCs는 이 기본 컨테이너에 사이트를 할당합니다.
IP 및 AD 서브넷의 차이
네트워킹에서의 서브넷은 보다 넓은 네트워크를 더 작고 관리하기 쉬운 세그먼트로 나누는 것을 포함하여 효율성과 보안을 향상시키기 위한 것입니다. 이 과정은 고유한 IP 주소를 서로 다른 서브네트워크에 할당하여 조직화된 데이터 전송을 용이하게 합니다. 관리자는 네트워크를 서브넷으로 전략적으로 분할함으로써 트래픽 흐름을 최적화하고 혼잡을 최소화하며 전체 네트워크 구조를 강화합니다.
액티브 디렉터리(AD) 서브넷은 전통적인 IP 서브넷이 만드는 물리적 세분화와 일치하는 네트워크 인프라 내의 논리적 그룹 역할을 합니다. IP 서브넷이 주로 라우팅과 IP 주소 관리에 관련된 반면, AD 서브넷은 도메인 컨트롤러 위치 프로세스에서 중요한 역할을 합니다. 본질적으로 AD 서브넷은 관리자가 특정 사이트를 해당 IP 서브넷과关联시킵함으로써, 가장 가까운 도메인 컨트롤러가 인증 요청과 도메인 관련 활동을 효율적으로 처리하도록 합니다.
이러한 IP와 AD 서브넷의 통합은 복잡하고 지리적으로 분산된 환경에서 네트워크 설계와 디렉터리 서비스 기능을 조화시켜 성능과 응답성을 최적화합니다.
AD 사이트 링크 개요
이름에서 알 수 있듯이 AD 사이트 링크는 기본 사이트 링크인 Default-First-Site-Link를 사용하여 AD 사이트를 연결합니다. 이러한 사이트 링크는 사이트 간 복제의 방향을 제어합니다. 사이트 링크 일정, 복제 비용, 간격과 같은 사이트 링크 속성을 사용자 정의하면 사이트 간 복제의 효율성이 향상됩니다.
사이트와 복제
DC에 변경을 적용할 때, AD는 domaintopology에 있는 모든 다른 DC에 대한 통신과 갱신을 실시합니다. 副本(replication)는 이러한 정보를 유선하는 것으로, AD 네트워크 내에서 자원 또는 정책에 대한 변경사항을 모두 인지하고 갱신시키는 것을 보장합니다. 이러한 副本 기능은 모든 DC를 동기화하고 네트워크 갱신을 통과시키는 중요한 역할을 합니다.
Active Directory 사이트 및 서비스 개요
AD Sites and Services은 사이트 및 그들의 관련 components를 관리하기 위해 사용하는 관리자 도구입니다. 디바이스는 자신의 Microsoft Management Console (MMC) 샘이 있습니다.
IT 네트워크 관리자는 Active Directory Sites and Services 샘을 사용하여 Active Directory를 분산 네트워크 서비스로 설정할 수 있습니다. 이는 GUI 应用程序입니다. 일반적으로 Single-site 네트워크가 작고 도메인 컨트롤러가 적은 경우에는 중요하지 않지만, 이러한 샘은 대형, 다양 사이트의 네트워크에서 필수적입니다. 중요한 관리자 업무는 다음과 같습니다;
- 新区이 있는 사이트를 설정하고 이 사이트 내부로 副本을 설정합니다.
- 디렉터리 서비스(DS) 객체 설정 및 라이선스 사이트 설정 관리.
- 서버, 도메인 컨트롤러, 사이트 간 링크 및 서브넷을 사이트에 통합.
- 도메인 컨트롤러 이전 및 복원.
- 사이트에 대한 제어 권한 부여.
AD 사이트 및 서비스 구성
다음은 Active Directory Sites and Services를 사용하여 관리하는 작업 목록의 예입니다:
- 사이트 생성
- 서브넷 생성 및 서브넷 사이트와 연결
- 사이트 링크 생성
AD 사이트 생성 방법
다음 단계는 AD 사이트를 생성하는 방법을 보여줍니다:
- 다음 위치로 이동하십시오시작→관리 도구 → Active Directory Sites and Services 를 열어주세요.
- 왼쪽 창에서 사이트를 마우스 오른쪽 버튼으로 클릭하고 새 사이트를 선택하십시오.
- 새 사이트에 적절한 이름을 제공하십시오. DEFAULTIPSITELINK를 선택하고 확인을 클릭하십시오.
- 새 Active Directory 사이트를 만드는 방법은 Active Directory Sites and Services 창 내에서 수행되며 새 AD 사이트를 설정합니다.
서브넷 생성 방법
이제 기본 사이트以外에 AD 사이트를 생성하면서, 사이트 경계를 지정하는 서브넷도 생성합니다. 다음 단계는 우리가 서브넷을 어떻게 생성하는지 보여줍니다.
- 어플리케이션시작 → 관리자 도구 → Active Directory 사이트 및 서비스 를 클릭하여 Active Directory 사이트 및 서비스 창을 표시합니다.
- 왼쪽 панели에서 Subnets을 오른쪽 마우스 clicks하여 새 Subnet을 선택합니다.
- network prefix notation을 사용하여 주소 접두사를 입력하십시오.
- 이 prefix과 관련된 사이트 오브젝트를 선택하고 OK를 클릭하여 완료합니다.
また、읽기를 추천합니다 Windows Server에 대한 준수 및 관리 정책 구성
Site Links 생성 方法
新区間 link을 생성하려면 다음과 같은 단계를 실행합니다.
- 다음 위치로 이동하십시오시작→관리 도구 → 열기활성 디렉터리 사이트 및 서비스, 활성 디렉터리 사이트 및 서비스 창이 나타납니다.
- 왼쪽 창에서 사이트컨테이너를 확장하십시오. 사이트 간 전송아래에서 IP에 마우스 오른쪽 단추를 클릭하고 새 사이트 링크를 선택하십시오.
- 사이트 링크에 적절한 이름을 입력하십시오.
- 필요한 사이트를 포함하고 확인을 클릭하여 프로세스를 완료하십시오.
새 AD 사이트 링크를 만들었습니다. 새 AD 사이트 링크의 속성을 구성하려면 다음 단계를 따르십시오:
- 설정된 사이트 링크에서 마우스 오른쪽 단추를 클릭하고 속성을 선택하십시오.
- 가격 副本 간격을 정의하고 필요하다면 일정을 조정합니다.
- 변경사항을 확인하려면 OK을 클릭하세요.
AD 사이트 생성의 이점
现在, AD 사이트 생성 시, 下記 예시 베스트 프ACTICE를 따라하여 이러한 瓶颈를 避けます:
- Physical Network Topology 반영:Active Directory Sites and Services 구성 할 때, 사이트 구조를 물리 네트워크 топологии와 일치 시키ます. 지역적 또는 네트워크 구성을 반영하여 도메인 컨트롤러 副本 전송과 인증 트래픽을 최적화하는 사이트를 생성합니다.
- 精細한 Subnet 정의:IP subnet을 AD sites와 정확하게 연결합니다. 이 실천은 클라이언트가 사이트 내에서 도메인 컨트롤러를 効率的하게 찾을 수 있게 하며, 사이트 사이의 통신을 줄이고 전반적인 네트워크 パフォーマン스를 향상시킵니다.
- 전략적 도메인 컨트롤러 배치: 각 사이트에 도메인 컨트롤러를 현명하게 배치하여 부하를 균형 있게 분산시키고 장애 허용성을 향상시킵니다. 네트워크 대역폭, 사이트 링크 속도 및 각 사이트의 사용자 수와 같은 요소를 고려하여 도메인 컨트롤러의 최적 배치를 결정하십시오.
- 효율적인 사이트 링크 구성: 사이트 링크를 사용하여 각 사이트 사이의 네트워크 연결성을 정확하게 표현하십시오. 가능한 대역폭 및 링크 비용과 같은 요소를 고려하여 복제 트래픽 흐름을 제어하기 위해 사이트 링크를 사용하고 있습니다. 적절히 복제 작업을 우선 순위를 매기기 위해 링크 비용을 최적화하십시오.
- 정기적인 모니터링 및 최적화: Active Directory 복제의 성능을 적극적으로 모니터링하고 필요에 따라 사이트 구성을 조정하십시오. 네트워크 조건 및 요구 사항이 시간이 지남에 따라 변경될 수있는 동적 환경에서 특히 사이트 링크 비용을 정기적으로 검
또한 내부자 위협에 대비하는 Active Directory의 보안 방법
Active Directory 사이트 및 서비스 최고의 실천 방안 결론
Active Directory 사이트 및 서비스에서 최고의 실천 방안을 준수하는 것은 탄탄한 네트워크 인프라를 유지하는 데 중요합니다. 사이트 구조를 물리적 배치와 조화시키고 도메인 컨트롤러 배치를 최적화하며 구성을 정기적으로 모니터링하고 조정함으로써 조직은 Active Directory 환경의 원활한 작동을 보장합니다. 이러한 관행은 성능, 장애 허용성 및 확장성을 향상시켜 복잡한 네트워크 요구 사항을 지원하는 강력한 자산으로 Active Directory를 만듭니다.
Source:
https://infrasos.com/active-directory-sites-and-services-best-practices/