도메인 모델 검토하기
선택한 도메인 디자인 모델에 영향을 주는 요소는 다음과 같습니다.
AD DS(Active Directory Domain Services)에 할당하려는 네트워크에서 사용 가능한 용량입니다. 목표는 사용 가능한 네트워크 대역폭에 미치는 영향을 최소화하면서 정보의 효율적인 복제를 제공하는 모델을 선택하는 것입니다.
조직 내 사용자 수. 조직에 많은 수의 사용자가 포함된 경우 둘 이상의 도메인을 배포하면 데이터를 분할할 수 있으며 지정된 네트워크 연결을 통해 전달되는 복제 트래픽의 양을 더 잘 제어할 수 있습니다. 이렇게 하면 데이터가 복제되는 위치를 제어하고 네트워크의 느린 링크에서 복제 트래픽에 의해 생성된 부하를 줄일 수 있습니다.
가장 간단한 도메인 디자인은 단일 도메인입니다. 단일 도메인 디자인에서 모든 정보는 모든 도메인 컨트롤러에 복제됩니다. 그러나 필요한 경우 추가 지역 도메인을 배포할 수 있습니다. 네트워크 인프라의 일부가 느린 링크로 연결되어 있고 포리스트 소유자가 복제 트래픽이 AD DS에 할당된 용량을 초과하지 않도록 하려는 경우에 발생할 수 있습니다.
포리스트에 배포하는 도메인 수를 최소화하는 것이 가장 좋습니다. 이렇게 하면 배포의 전반적인 복잡성이 줄어들고 결과적으로 총 소유 비용이 줄어듭니다. 다음 표에서는 지역 도메인 추가와 관련된 관리 비용을 나열합니다.
| 비용 | 영향 |
|---|---|
| 여러 서비스 관리자 그룹 관리 | 각 도메인에는 독립적으로 관리해야 하는 자체 서비스 관리자 그룹이 있습니다. 이러한 서비스 관리자 그룹의 멤버 자격은 신중하게 제어해야 합니다. |
| 여러 도메인에 공통적인 그룹 정책 설정 간의 일관성 유지 | 포리스트 전체에 적용해야 하는 그룹 정책 설정은 포리스트의 각 개별 도메인에 별도로 적용해야 합니다. |
| 액세스 제어 간의 일관성 유지 관리 및 여러 도메인에 공통적인 감사 설정 | 포리스트에 적용해야 하는 액세스 제어 및 감사 설정은 포리스트의 각 개별 도메인에 별도로 적용해야 합니다. |
| 도메인 간에 개체가 이동할 가능성이 높아집니다. | 도메인 수가 많을수록 사용자가 한 도메인에서 다른 도메인으로 이동해야 할 가능성이 커집니다. 이 이동은 최종 사용자에게 잠재적으로 영향을 미칠 수 있습니다. |
참고 항목
Windows Server의 세분화된 암호 및 계정 잠금 정책은 선택한 도메인 디자인 모델에도 영향을 미칠 수 있습니다. Windows Server 2008이 릴리스되기 전에 도메인의 모든 사용자에게 도메인 기본 도메인 정책에 지정된 하나의 암호 및 계정 잠금 정책만 적용할 수 있습니다. 따라서 각 사용자 집합에 대해 다른 암호 및 계정 잠금 설정을 지정하려는 경우에는 암호 필터를 만들거나 여러 도메인을 배포해야 했습니다. 이제는 세분화된 암호 정책을 사용하여 단일 도메인 내 여러 암호 정책을 지정하고 도메인의 각 사용자 집합에 서로 다른 암호 및 계정 잠금 정책 제한을 적용할 수 있습니다. 세분화된 암호 정책에 대한 자세한 정보는 AD DS 세분화된 암호 및 계정 잠금 정책 단계별 가이드를 참조하세요.
단일 도메인 모델
단일 도메인 모델은 관리가 가장 쉽고 유지 관리 비용이 가장 저렴합니다. 단일 도메인을 포함하는 포리스트로 구성됩니다. 이 도메인은 포리스트 루트 도메인이며 포리스트의 모든 사용자 및 그룹 계정을 포함합니다.
단일 도메인 포리스트 모델은 다음과 같은 이점을 제공하여 관리 복잡성을 줄입니다.
모든 도메인 컨트롤러는 포리스트의 모든 사용자를 인증할 수 있습니다.
모든 도메인 컨트롤러는 글로벌 카탈로그일 수 있으므로 글로벌 카탈로그 서버 배치를 계획할 필요가 없습니다.
단일 도메인 포리스트에서 모든 디렉터리 데이터는 도메인 컨트롤러를 호스트하는 모든 지리적 위치에 복제됩니다. 이 모델은 가장 쉽게 관리할 수 있지만 두 도메인 모델 중 가장 많은 복제 트래픽을 만듭니다. 디렉터리를 여러 도메인으로 분할하면 개체의 복제가 특정 지리적 지역으로 제한되지만 관리 오버헤드가 더 많이 발생합니다.
지역 도메인 모델
도메인 내의 모든 개체 데이터는 해당 도메인의 모든 도메인 컨트롤러에 복제됩니다. 이러한 이유로 포리스트에 WAN(광역 네트워크)에 연결된 여러 지리적 위치에 분산된 많은 수의 사용자가 포함된 경우 WAN 링크를 통해 복제 트래픽을 줄이기 위해 지역 도메인을 배포해야 할 수 있습니다. 지리적으로 기반한 지역 도메인은 네트워크 WAN 연결에 따라 구성할 수 있습니다.
지역 도메인 모델을 사용하면 시간이 지남에 따라 안정적인 환경을 유지할 수 있습니다. 모델에서 도메인을 정의하는 데 사용되는 지역을 대륙 경계와 같은 안정적인 요소에 기초합니다. 조직 내 그룹과 같은 다른 요인을 기반으로 하는 도메인은 자주 변경될 수 있으며 환경을 재구성해야 할 수 있습니다.
지역 도메인 모델은 포리스트 루트 도메인과 하나 이상의 지역 도메인으로 구성됩니다. 지역 도메인 모델 디자인을 만들려면 포리스트 루트 도메인인 도메인을 식별하고 복제 요구 사항을 충족하는 데 필요한 추가 도메인 수를 결정해야 합니다. 조직에 데이터 격리 또는 조직의 다른 그룹에서 서비스 격리가 필요한 그룹이 포함된 경우 이러한 그룹에 대해 별도의 포리스트를 만듭니다. 도메인은 데이터 격리 또는 서비스 격리를 제공하지 않습니다.