국가별 Do기본 컨트롤러 배치 계획
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
비용 효율성을 보장하려면 가능한 한 적은 수의 지역 기본 컨트롤러를 배치할 계획입니다. 먼저 네트워크 정보 수집에 사용되는 "지리적 위치 및 통신 링크"(DSSTOPO_1.doc) 워크시트를 검토하여 위치가 허브인지 확인합니다.
각 허브 위치에 표시되는 각 do기본 대해 지역별 do기본 컨트롤러를 배치하도록 계획합니다. 모든 허브 위치에 지역 do기본 컨트롤러를 배치한 후 위성 위치에 지역 do기본 컨트롤러를 배치할 필요성을 평가합니다. 위성 위치에서 불필요한 지역 기본 컨트롤러를 제거하면 원격 서버 인프라를 기본 데 필요한 지원 비용이 줄어듭니다.
또한 권한이 없는 직원이 액세스할 수 없도록 허브 및 위성 위치에서 할기본 컨트롤러의 물리적 보안을 보장합니다. do기본 컨트롤러의 물리적 보안을 보장할 수 없는 허브 및 위성 위치에 쓰기 가능한 do기본 컨트롤러를 배치하지 마세요. 쓰기 가능 기본 컨트롤러에 물리적으로 액세스할 수 있는 사람은 다음을 통해 시스템을 공격할 수 있습니다.
- 할 일기본 컨트롤러에서 대체 운영 체제를 시작하여 실제 디스크에 액세스합니다.
- 할 일기본 컨트롤러에서 실제 디스크를 제거(및 대체)합니다.
- do기본 컨트롤러 시스템 상태 백업의 복사본을 가져오고 조작합니다.
쓰기 가능한 지역 do기본 컨트롤러를 물리적 보안을 보장할 수 있는 위치에만 추가합니다.
물리적 보안이 부적절한 위치에서 RODC(읽기 전용 do기본 컨트롤러)를 배포하는 것이 좋습니다. 계정 암호를 제외하고 RODC는 쓰기 가능 개체와 쓰기 가능한 특성기본 컨트롤러가 보유하는 모든 Active Directory 개체를 보유합니다. 그러나 RODC에 저장된 데이터베이스는 변경할 수 없습니다. 쓰기 가능한 do기본 컨트롤러에서 변경한 다음 RODC에 다시 복제본(replica).
클라이언트 로그온 및 로컬 파일 서버에 대한 액세스를 인증하기 위해 대부분의 조직에서는 지정된 위치에 표시되는 모든 지역 do기본에 대해 지역별 do기본 컨트롤러를 배치합니다. 그러나 비즈니스 위치에서 클라이언트에 로컬 인증이 필요한지 아니면 클라이언트가 WAN(광역 네트워크) 링크를 통해 인증 및 쿼리에 의존할 수 있는지 여부를 평가할 때 많은 변수를 고려해야 합니다. 다음 그림에서는 위성 위치에 할기본 컨트롤러를 배치할지 여부를 결정하는 방법을 보여 줍니다.
현장 기술 전문 지식 가용성
여러 가지 이유로 컨트롤러를 지속적으로 관리해야 기본. 할 일기본 컨트롤러를 관리할 수 있는 담당자를 포함하는 위치에만 지역별 할 일기본 컨트롤러를 배치하거나기본 컨트롤러를 원격으로 관리할 수 있는지 확인합니다.
일반적으로 물리적 보안이 좋지 않고 정보 기술 지식이 적은 직원이 있는 지사 환경에서 RODC를 배포하는 것이 권장되는 솔루션인 경우가 많습니다. RODC에 대한 로컬 관리 권한은 할 일기본 사용자에게 할 일기본 또는 다른 할 일 컨트롤러에 대한 사용자 권한을 부여하지 않고도 위임할 수 기본. 이렇게 하면 로컬 분기 사용자가 RODC에 로그온하고 서버에서 드라이버 업그레이드와 같은 기본 테넌트 작업을 수행할 수 있습니다. 그러나 분기 사용자는 다른 do기본 컨트롤러에 로그온하거나 do기본 다른 관리 작업을 수행할 수 없습니다. 이러한 방식으로 분기 사용자는 나머지 do기본 또는 포리스트의 보안을 손상시키지 않고 지점의 RODC를 효과적으로 관리할 수 있는 기능을 위임할 수 있습니다.
WAN 링크 가용성
자주 중단되는 WAN 링크는 위치에 사용자를 인증할 수 있는 할 일기본 컨트롤러가 포함되지 않은 경우 사용자에게 상당한 생산성 손실을 초래할 수 있습니다. WAN 링크 가용성이 100%가 아니고 원격 사이트에서 서비스 중단을 허용할 수 없는 경우 WAN 링크가 다운된 경우 사용자가 로그온하거나 서버 액세스를 교환할 수 있는 기능이 필요한 위치에 지역별 do기본 컨트롤러를 배치합니다.
인증 가용성
은행과 같은 특정 조직에서는 사용자를 항상 인증해야 합니다. WAN 링크 가용성이 100%가 아니지만 사용자는 항상 인증이 필요한 위치에 지역별 do기본 컨트롤러를 배치합니다.
WAN 링크를 통해 로그온 성능
WAN 링크 가용성이 매우 신뢰할 수 있는 경우 do기본 컨트롤러를 위치에 배치하는 것은 WAN 링크를 통해 로그온 성능 요구 사항에 따라 달라집니다. WAN을 통한 로그온 성능에 영향을 주는 요인으로는 링크 속도 및 사용 가능한 대역폭, 사용자 및 사용 프로필 수, 로그온 네트워크 트래픽과 복제본(replica)tion 트래픽의 양이 포함됩니다.
WAN 연결 속도 및 대역폭 사용률
단일 사용자의 활동은 느린 WAN 링크를 구성할 수 있습니다. WAN 링크를 통해 로그온 성능이 허용되지 않는 경우 do기본 컨트롤러를 위치에 배치합니다.
대역폭 사용률의 평균 백분율은 네트워크 링크가 얼마나 혼잡한지를 나타냅니다. 네트워크 링크에 허용 가능한 값보다 큰 평균 대역폭 사용률이 있는 경우 해당 위치에 do기본 컨트롤러를 배치합니다.
사용자 및 사용 프로필 수
지정된 위치에 있는 사용자 및 해당 사용 프로필의 수는 해당 위치에 지역별 할 일기본 컨트롤러를 배치해야 하는지 여부를 결정하는 데 도움이 될 수 있습니다. WAN 링크가 실패하는 경우 생산성 손실을 방지하려면 100명 이상의 사용자가 있는 위치에 지역별 do기본 컨트롤러를 배치합니다.
사용 프로필은 사용자가 네트워크 리소스를 사용하는 방법을 나타냅니다. 네트워크 리소스에 자주 액세스하지 않는 소수의 사용자만 포함된 위치에 do기본 컨트롤러를 배치할 필요가 없습니다.
로그온 네트워크 트래픽 및 복제본(replica) 트래픽
do기본 컨트롤러를 Active Directory 클라이언트와 동일한 위치 내에서 사용할 수 없는 경우 클라이언트는 네트워크에 로그온 트래픽을 만듭니다. 실제 네트워크에서 생성되는 로그온 네트워크 트래픽의 양은 그룹 멤버 자격을 비롯한 여러 요인의 영향을 받습니다. GPO(그룹 정책 개체)의 수 및 크기 로그온 스크립트; 오프라인 폴더, 폴더 리디렉션 및 로밍 프로필과 같은 기능
반면에 지정된 위치에 배치되는 do기본 컨트롤러는 네트워크에서 복제본(replica) 트래픽을 생성합니다. do기본 컨트롤러에서 호스트되는 파티션에 대한 업데이트 빈도 및 양은 네트워크에서 생성되는 복제본(replica) 트래픽의 양에 영향을 줍니다. 할 일기본 컨트롤러에서 호스트되는 파티션에서 수행할 수 있는 다양한 유형의 업데이트에는 사용자 및 사용자 특성 추가 또는 변경, 암호 변경, 전역 그룹, 프린터 또는 볼륨 추가 또는 변경이 포함됩니다.
지역별 do기본 컨트롤러를 위치에 배치해야 하는지 여부를 확인하려면 할 일기본 컨트롤러가 없는 위치에서 만든 로그온 트래픽 비용과 do기본 컨트롤러를 위치에 배치하여 생성된 복제본(replica)tion 트래픽의 비용을 비교합니다.
예를 들어 본사에 대한 느린 링크를 통해 연결된 지사가 있고기본 컨트롤러를 쉽게 추가할 수 있는 네트워크를 고려해 보세요. 일부 원격 사이트 사용자의 일일 로그온 및 디렉터리 조회 트래픽으로 인해 모든 회사 데이터를 분기에 복제본(replica) 것보다 더 많은 네트워크 트래픽이 발생하는 경우 분기에 do기본 컨트롤러를 추가하는 것이 좋습니다.
기본기본 컨트롤러의 비용을 줄이는 것이 네트워크 트래픽보다 더 중요한 경우 해당 작업을 위해 할 일기본 컨트롤러를 중앙 집중화하고기본 위치에 지역 do기본 컨트롤러를 배치하거나 위치에 RODC를 배치하는 것을 고려하지 않습니다.
각 위치에 표시되는 지역별 do기본 컨트롤러의 배치 및 각 할 일기본 사용자 수를 문서화하는 데 도움이 되는 워크시트는 Windows Server 2003 배포 키트에 대한 작업 보조 기능, Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip 다운로드 및 "Do기본 컨트롤러 배치"(DSSTOPO_4.doc)를 엽니다.
지역별 do기본 배포할 때 컨트롤러를 배치해야 하는 위치에 대한 정보를 참조해야 기본. 지역 도메인 배포 하는 방법에 대 한 자세한 내용은 참조 배포 Windows Server 2008 지역 도메인합니다.