포리스트 루트 도메인 선택
Active Directory 포리스트에 배포하는 첫 번째 도메인을 포리스트 루트 도메인이라고 합니다. 이 도메인은 AD DS 배포의 수명 주기에 대한 포리스트 루트 도메인으로 유지됩니다.
포리스트 루트 도메인에는 엔터프라이즈 관리자 및 스키마 관리자 그룹이 포함됩니다. 이러한 서비스 관리자 그룹은 도메인 추가 및 제거, 스키마 변경 구현과 같은 포리스트 수준 작업을 관리하는 데 사용됩니다.
포리스트 루트 도메인을 선택하려면 도메인 디자인에서 Active Directory 도메인 중 하나가 포리스트 루트 도메인으로 작동할 수 있는지 또는 전용 포리스트 루트 도메인을 배포해야 하는지 여부를 결정해야 합니다.
포리스트 루트 도메인 배포에 대한 자세한 내용은 Windows Server 2008 포리스트 루트 도메인 배포를 참조하세요.
지역 또는 전용 포리스트 루트 도메인 선택
단일 도메인 모델을 적용하는 경우 단일 도메인이 포리스트 루트 도메인으로 작동합니다. 여러 도메인 모델을 적용하는 경우 전용 포리스트 루트 도메인을 배포하거나 포리스트 루트 도메인으로 작동할 지역 도메인을 선택할 수 있습니다.
전용 포리스트 루트 도메인
전용 포리스트 루트 도메인은 포리스트 루트로 작동하도록 특별히 만들어진 도메인입니다. 포리스트 루트 도메인에 대한 서비스 관리자 계정 이외의 사용자 계정은 포함되지 않습니다. 또한 도메인 구조의 지리적 지역을 나타내지 않습니다. 포리스트의 다른 모든 도메인은 전용 포리스트 루트 도메인의 자식입니다.
전용 포리스트 루트를 사용하면 다음과 같은 이점이 있습니다.
- 도메인 서비스 관리자와 포리스트 서비스 관리자의 운영 분리. 단일 도메인 환경에서 도메인 관리자 및 기본 제공 관리자 그룹의 구성원은 표준 도구 및 절차를 사용하여 엔터프라이즈 관리자 및 스키마 관리자 그룹의 구성원으로 만들 수 있습니다. 전용 포리스트 루트 도메인을 사용하는 포리스트에서 도메인 관리자 및 지역 도메인의 기본 제공 관리자 그룹의 구성원은 표준 도구 및 절차를 사용하여 포리스트 수준 서비스 관리자 그룹의 구성원이 될 수 없습니다.
- 다른 도메인의 운영 변경으로부터 보호 전용 포리스트 루트 도메인은 도메인 구조의 특정 지리적 지역을 나타내지 않습니다. 이러한 이유로 도메인의 이름 바꾸기 또는 재구성을 초래하는 재구성 또는 기타 변경의 영향을 받지 않습니다.
- 다른 지역에 종속된 것으로 보이는 국가 또는 지역이 없도록 중립 루트 역할을 합니다. 일부 조직에서는 한 국가 또는 지역이 네임스페이스의 다른 국가 또는 지역에 종속되는 모양을 방지하려고 할 수 있습니다. 전용 포리스트 루트 도메인을 사용하는 경우 모든 지역 도메인은 도메인 계층 구조의 피어가 될 수 있습니다.
전용 포리스트 루트가 사용되는 다중 지역 도메인 환경에서 포리스트 루트 도메인의 복제는 네트워크 인프라에 미치는 영향을 최소화합니다. 포리스트 루트는 서비스 관리자 계정만 호스팅하기 때문입니다. 포리스트 및 기타 도메인별 데이터에 있는 대부분의 사용자 계정은 지역 도메인에 저장됩니다.
전용 포리스트 루트 도메인을 사용하는 한 가지 단점은 추가 도메인을 지원하기 위해 추가 관리 오버헤드를 생성한다는 것입니다.
포리스트 루트 도메인으로서의 지역 도메인
전용 포리스트 루트 도메인을 배포하지 않도록 선택하는 경우 포리스트 루트 도메인으로 작동할 지역 도메인을 선택해야 합니다. 이 도메인은 다른 모든 지역 도메인의 부모 도메인이며 첫 번째로 배포하는 도메인이 됩니다. 포리스트 루트 도메인에는 사용자 계정이 포함되며 다른 지역 도메인이 관리되는 것과 동일한 방식으로 관리됩니다. 주요 차이점은 엔터프라이즈 관리자 및 스키마 관리자 그룹도 포함한다는 것입니다.
포리스트 루트 도메인으로 작동할 지역 도메인을 선택하는 이점은 추가 도메인을 유지 관리하는 추가 관리 오버헤드를 만들지 않는다는 것입니다. 포리스트 루트가 될 적절한 지역 도메인(예: 본사를 나타내는 도메인 또는 가장 빠른 네트워크 연결이 있는 지역)을 선택합니다. 조직에서 포리스트 루트 도메인으로 지역 도메인을 선택하기 어려운 경우 전용 포리스트 루트 모델을 대신 사용하도록 선택할 수 있습니다.
포리스트 루트 도메인 이름 할당
포리스트 루트 도메인 이름도 포리스트의 이름입니다. 포리스트 루트 이름은 prefix.suffix 형식의 접미사로 구성된 DNS(도메인 이름 시스템) 이름입니다. 예를 들어 조직에 corp.contoso.com의 포리스트 루트 이름이 있을 수 있습니다. 이 예제에서 corp는 접두사이고 contoso.com 접미사입니다.
네트워크의 기존 이름 목록에서 접미사를 선택합니다. 접두사에 대해 이전에 네트워크에서 사용되지 않은 새 이름을 선택합니다. 기존 접미사에 새 접두사를 연결하여 고유한 네임스페이스를 만듭니다. AD DS(Active Directory Domain Services)에 대한 새 네임스페이스를 만들면 AD DS를 수용하기 위해 기존 DNS 인프라를 수정할 필요가 없습니다.
접미사 선택
포리스트 루트 도메인에 대한 접미사를 선택하려면 다음을 수행합니다.
AD DS를 호스트할 네트워크에서 사용 중인 등록된 DNS 접미사 목록은 조직의 DNS 소유자에게 문의하세요. 내부 네트워크에서 사용되는 접미사는 외부에서 사용되는 접미사와 다를 수 있습니다. 예를 들어 조직은 인터넷에서 contosopharma.com 사용하고 내부 회사 네트워크에서 contoso.com 수 있습니다.
AD DS에 사용할 접미사를 선택하려면 DNS 소유자에게 문의하세요. 적절한 접미사가 없는 경우 인터넷 명명 기관에 새 이름을 등록합니다.
Active Directory 네임스페이스에서 인터넷 기관에 등록된 DNS 이름을 사용하는 것이 좋습니다. 등록된 이름만 전역적으로 고유하도록 보장됩니다. 나중에 다른 조직에서 동일한 DNS 도메인 이름을 등록하거나 동일한 DNS 이름을 사용하는 다른 회사와 병합, 획득 또는 인수하는 경우 두 인프라는 서로 상호 작용할 수 없습니다.
주의
단일 레이블 DNS 이름을 사용하지 마세요. 자세한 내용은 단일 레이블 DNS 이름을 사용하여 구성된 Active Directory 도메인의 배포 및 작동을 참조하세요. 또한 .local과 같은 등록되지 않은 접미사를 사용하지 않는 것이 좋습니다.
접두사 선택
네트워크에서 이미 사용 중인 등록된 접미사를 선택한 경우 아래 표의 접두사 규칙을 사용하여 포리스트 루트 도메인 이름에 대한 접두사를 선택합니다. 현재 사용되지 않는 접두사를 추가하여 새 하위 이름을 만듭니다. 예를 들어 DNS 루트 이름이 contoso.com 경우 네임스페이스 concorp.contoso.com 네트워크에서 아직 사용하지 않는 경우 concorp.contoso.com Active Directory 포리스트 루트 도메인 이름을 만들 수 있습니다. 네임스페이스의 이 새 분기는 AD DS 전용이며 기존 DNS 구현과 쉽게 통합될 수 있습니다.
포리스트 루트 도메인으로 작동할 지역 도메인을 선택한 경우 도메인에 대한 새 접두사를 선택해야 할 수 있습니다. 포리스트 루트 도메인 이름은 포리스트의 다른 모든 도메인 이름에 영향을 주므로 지역 기반 이름이 적절하지 않을 수 있습니다. 현재 네트워크에서 사용되지 않는 새 접미사를 사용하는 경우 추가 접두사를 선택하지 않고 포리스트 루트 도메인 이름으로 사용할 수 있습니다.
다음 표에서는 등록된 DNS 이름의 접두사를 선택하는 규칙을 나열합니다.
| 규칙 | 설명 |
|---|---|
| 없어지거나 만료될 가능성이 없는 접두사를 선택합니다. | 나중에 변경될 수 있는 제품 라인 또는 운영 체제와 같은 이름은 사용하지 마세요. corp 또는 ds와 같은 제네릭 이름을 사용하는 것이 좋습니다. |
| 인터넷 표준 문자만 포함하는 접두사를 선택합니다. | A-Z, a-z, 0-9 및 (-)이 가능하나, 숫자 전체를 사용하지는 마세요. |
| 접두사는 15자 이하로 합니다. | 접두사 길이가 15자 이하인 경우 NetBIOS 이름은 접두사와 동일합니다. |
Active Directory DNS 소유자는 조직에서 DNS 소유자와 협력하여 Active Directory 네임스페이스에 사용할 이름의 소유권을 얻는 것이 중요합니다. AD DS를 지원하기 위해 DNS 인프라를 설계하는 방법에 대한 자세한 내용은 DNS 인프라 디자인 만들기를 참조하세요.
포리스트 루트 도메인 이름 문서화
포리스트 루트 도메인에 대해 선택한 DNS 접두사와 접미사를 문서화합니다. 이 시점에서 포리스트 루트가 될 도메인을 식별합니다. 새 도메인 및 업그레이드된 도메인 및 도메인 이름에 대한 계획을 문서화하기 위해 만든 "도메인 계획" 워크시트에 포리스트 루트 도메인 이름 정보를 추가할 수 있습니다. 이를 열기 위해서는 Windows Server 2003 배포 키트용 작업 지원 Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip를 다운로드하여 "도메인 계획"(DSSLOGI_5.doc)을 참조하세요.