Active Directory 서비스와 Windows 2000 또는 Windows Server 2003 도메인(1부)

기술 자료 번역 기술 자료 번역
기술 자료: 310996 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

요약

이 문서에 포함된 정보는 Microsoft Press에서 제공한 것입니다.

이 문서는 Active Directory 서비스와 Windows 2000 또는 Windows Server 2003 도메인에 대해 설명하는 두 문서로 구성된 시리즈의 1부입니다. 2부를 보려면 아래 링크를 누르십시오.
310997 Active Directory 서비스와 Windows 2000 또는 Windows Server 2003 도메인(2부)
1부에서는 다음과 같은 내용을 다룹니다.
  • 도메인 계층 구조
    • Windows 2000 및 Windows Server 2003 도메인
      • 도메인
      • 트리
      • 포리스트
  • 트러스트 관계
    • 전이적 트러스트
    • 단방향 트러스트
    • 상호 연결 트러스트
2부에서는 다음과 같은 내용을 다룹니다.
  • 관리 경계
    • 도메인
    • 조직 구성 단위
  • Active Directory 상호 작용
    • 도메인 계층 구조 에뮬레이트
    • 도메인 카탈로그 만들기(디렉터리 파티션)
    • 디렉터리 분할
    • 다른 도메인의 개체 정보 가져오기
      • 디렉터리 배포
      • 디렉터리 복제
    • 엔터프라이즈 카탈로그 만들기(글로벌 카탈로그)
  • 결론
이 정보는 Active Directory Services for Microsoft Windows 2000 Technical Reference 서적의 3장: Active Directory Services and Windows 2000 Domains에서 발췌한 것입니다. Active Directory Services for Microsoft Windows 2000 Technical Reference에 대해 자세히 알아보십시오. 이 서적은 Microsoft Windows Server 2003에 대한 정보를 포함하도록 업데이트되었습니다.

추가 정보

Windows 2000이나 Windows Server 2003에서 Active Directory 서비스의 중심적인 역할과 Active Directory 서비스를 확장 가능한 엔터프라이즈 수준의 디렉터리 서비스로 만드는 설계 요구 사항을 반영하기 위해 Microsoft Windows 2000 또는 Windows Server 2003 도메인 구조와 관련 개체가 Windows NT 4 도메인 구조와 관련 개체보다 크게 변경되었습니다. 이 중에서 전이적 트러스트 관계 모델 등은 크게 변경된 항목이지만 조직 구성 단위의 도입 등은 변경 폭이 적은 항목입니다. 크게 변경되었든, 그렇지 않든 간에 변경 항목에 대한 설명은 Windows 2000 또는 Windows Server 2003 도메인과 Active Directory 서비스 간의 상호 작용과 종속성을 이해하는 데 필수적입니다. Active Directory는 Windows 2000 및 Windows Server 2003 도메인 모델을 에뮬레이트합니다. 또는 다른 방향에서 보면 Windows 2000 및 Windows Server 2003 도메인 모델이 Active Directory를 에뮬레이트합니다. 어떤 방향으로 보든 간에 Windows 2000 또는 Windows Server 2003 도메인과 Active Directory는 서로 종속적이며 서로의 특성으로 정의되기까지 합니다. Windows 2000 또는 Windows Server 2003 도메인과 Active Directory 서비스 간의 불가분의 밀접한 관계를 이해하려면 Windows 2000 또는 Windows Server 2003 도메인 모델이란 무엇이며 이 모델이 Active Directory 서비스와 어떻게 상호 작용하는지에 대해 살펴봐야 합니다. 따라서 이 장에서는 Windows 2000 및 Windows Server 2003 도메인 모델에 대한 설명부터 시작해서 이 모델이 Windows NT 도메인 모델과 크게 다른 이유를 알아봅니다.

Windows 2000 및 Windows Server 2003 도메인

Windows NT 4 도메인 모델은 확장성이 크지 않습니다. 이에 대해 다양한 방법으로 보기 좋게 포장하여 설명할 수도 있겠지만 기본적인 사실은 단방향 비전이적 트러스트를 사용하는 Windows NT 4 도메인 모델의 경우 대규모 엔터프라이즈 구현에서 관리 오버헤드가 상당하다는 것입니다. 이 문제는 Windows 2000 또는 Windows Server 2003과 관련 도메인 모델에는 해당하지 않습니다. 이는 주로 트러스트에 대한 새로운 접근 방식 때문이지만 전체 도메인 개념이 LDAP(Lightweight Directory Access Protocol) 및 DNS(도메인 이름 서비스)와 같은 업계 표준에 맞게 개선되었기 때문이기도 합니다.

도메인 계층 구조

Windows 2000 및 Windows Server 2003 네트워크에서 도메인은 계층 구조로 구성됩니다. 도메인에 대한 새로운 계층적 접근 방식과 함께 포리스트 및 트리 개념이 도입되었습니다. 이러한 새 개념은 도메인에 대한 기존 개념과 함께 조직이 Windows 2000 및 Windows Server 2003 네트워크 구조를 더욱 효과적으로 관리하는 데 도움이 됩니다.

도메인


Windows 2000 및 Windows Server 2003 도메인 모델의 기본 단위는 이전과 다름 없이 도메인입니다. 도메인은 관리 경계이며 Windows 2000 및 Windows Server 2003에서는 DNS 도메인에 해당하는 네임스페이스(4장에서 설명)를 나타냅니다. Active Directory 서비스와 DNS의 상호 작용 방식에 대한 자세한 내용은 6장, "Active Directory Services and DNS"를 참조하십시오.

Windows 2000 또는 Windows Server 2003 배포에서 만들어진 첫 번째 도메인을 루트 도메인이라고 하며, 이름에서 알 수 있듯이 이 도메인은 도메인 트리에서 만들어진 다른 모든 도메인의 루트입니다. 도메인 트리에 대해서는 다음 절에서 설명합니다. Windows 2000 및 Windows Server 2003 도메인 구조가 DNS 도메인 계층 구조와 결합되었으므로 Windows 2000 및 Windows Server 2003 도메인의 구조는 익숙한 DNS 도메인 계층 구조와 유사합니다. 루트 도메인은 microsoft.com 또는 iseminger.com과 같은 도메인으로, DNS 계층 구조의 루트이자 Windows 2000 및 Windows Server 2003 도메인 구조의 루트입니다.

특정한 Windows 2000 및 Windows Server 2003 도메인 계층 구조에서 이후에 만들어진 도메인은 루트 도메인의 자식 도메인이 됩니다. 예를 들어, msdn은 microsoft.com의 자식 도메인이며 msdn 도메인은 msdn.microsoft.com이 됩니다.

지금까지의 설명에서 알 수 있듯이 Windows 2000 및 Windows Server 2003에서 도메인은 도메인 계층 구조의 루트 도메인이거나 자식 도메인이어야 합니다. 또한 Windows 2000 및 Windows Server 2003에서 도메인 이름은 특정 부모 도메인 내에서 고유해야 합니다. 예를 들어, 루트 도메인 microsoft.com의 직접적인 자식 도메인으로 msdn이라는 도메인이 두 개일 수 없습니다. 그러나 전체적인 도메인 계층 구조에서는 msdn이라는 도메인이 두 개 있을 수 있습니다. 예를 들어, msdn.microsoft.com과 msdn.devprods.microsoft.com이 있을 수 있습니다. microsoft.com 네임스페이스에는 msdn이라는 자식 도메인이 하나만 있고 devprods.microsoft.com 네임스페이스에도 msdn이라는 자식 도메인이 하나뿐입니다.

도메인의 기본 개념은 논리적 분할입니다. Windows 2000 또는 Windows Server 2003 도메인이 두 개 이상 필요한 규모가 큰 대부분의 조직에는 책임이나 업무 분야를 분할하는 논리적인 구조가 있습니다. 조직을 여러 단위(부서라고도 함)로 나누면 조직을 더 쉽게 관리할 수 있습니다. 사실 조직은 더욱 논리적인 구조를 제공하고 조직의 각 부문으로 업무를 나누기 위해 분할됩니다. 이를 다른 방식으로 살펴보면 논리적 비즈니스 단위(부서)가 규모가 더 큰 하나의 엔터티(아마도 회사) 산하에 집합적으로 모여 있는 경우 논리적으로 서로 다른 부서가 규모가 더 큰 하나의 엔터티를 만듭니다. 부서마다 업무가 분리되어 있고 매우 다를 수 있지만 부서가 모여 규모가 더 크지만 논리적으로 완전한 엔터티를 형성합니다. 이 개념은 규모가 더 크고 연속적인 하나의 네임스페이스 엔터티(트리라고 함)를 형성하는 Windows 2000 및 Windows Server 2003 도메인 모음에도 적용됩니다.

트리


도메인 트리라고도 하는 트리는 연속적인 네임스페이스를 형성하는 Windows 2000 및 Windows Server 2003 도메인의 모음입니다. 도메인 트리는 자식 도메인이 만들어지고 지정된 루트 도메인과 연결되자마자 형성됩니다. 기술적으로 정의하면 트리는 연속적인 DNS 명명 계층 구조입니다. 개념적 그림으로 보면 도메인 트리는 가지가 아래로 뻗어 있는 뒤집힌 나무와 같은 모습입니다. 여기서 가지는 자식 도메인에 해당하고 트리의 맨 위에는 루트 도메인이 위치합니다.

도메인 트리를 만드는 조직은 조직 내에 도메인의 논리적 구조를 만들고 이 구조가 DNS 네임스페이스를 따르고 미러링하도록 설정할 수 있습니다. 예를 들어, David Iseminger and Company는 micromingers.iseminger.com이라는 DNS 도메인을 사용할 수 있으며 회사 내에 영업, 회계, 제조 등의 다양한 논리적 부서를 둘 수 있습니다. 이러한 상황의 도메인 트리는 그림 3-1의 도메인 트리와 유사할 수 있습니다.

그림 축소그림 확대
 micromingers.iseminger.com의 도메인 트리에 대한 그림

그림 3-1. micromingers.iseminger.com의 도메인 트리

참고: 지금까지 iseminger.com이 도처에서 사용되고 있는 것을 보셨을 겁니다. 이는 저자의 자만심 때문이 아니라 출판사가 주장하는 법적 고려 사항 때문입니다. 출판사에서는 말썽을 일으킬 수 있는 도메인은 사용하지 말고 저자가 소유한 도메인이나 매우 단순한 도메인만 사용해달라고 요청했습니다. 저자가 www.iseminger.com을 사용하고 있으므로 이 책의 모든 곳에서 이 도메인 이름을 사용해야 했습니다. 더 창의적인 이름도 있지만 안타깝게도 법적 문제를 고려해야 했습니다.

회사 내의 논리적 부서에 대한 이러한 구조는 DNS 도메인이 하나인 회사에는 적합하지만 "회사"가 두 개 이상일 수 있는 규모가 더 큰 엔터프라이즈의 경우에는 문제가 됩니다. 이 문제는 Windows 2000 및 Windows Server 2003 포리스트를 사용하여 해결할 수 있습니다.

포리스트


일부 조직에는 iseminger.com, microsoft.com 등의 여러 루트 도메인이 있을 수 있지만 예제로 나온 가상의 David Iseminger and Company처럼 조직 자체는 단일 엔터티입니다. 이러한 경우 여러 도메인 트리가 포리스트라는 비연속적 네임스페이스를 형성할 수 있습니다. 포리스트는 특정 엔터프라이즈를 형성하는 하나 이상의 연속적 도메인 트리 계층 구조입니다. 따라서 논리적으로 도메인 트리에 도메인이 하나만 있는 조직도 포리스트로 간주됩니다. 이러한 구분은 이 장의 뒷부분에서 Active Directory가 Windows 2000 또는 Windows Server 2003 도메인 및 포리스트와 상호 작용하는 방식에 대해 설명할 때 더 중요해집니다.

포리스트 모델을 통해, 연속적 네임스페이스를 형성하지 않는 조직은 모여 있는 도메인 구조에서 조직 전반의 연속성을 유지할 수 있습니다. 예를 들어, David Iseminger and Company(iseminger.com)가 자체 디렉터리 구조가 있는 Microsoft라는 다른 회사를 인수할 충분한 자금을 확보한 경우 두 엔터티의 도메인 구조가 포리스트로 결합될 수 있습니다. 포리스트 하나를 사용하면 세 가지 주요 이점이 있습니다. 첫째, 트러스트 관계가 더욱 쉽게 관리되므로 한 도메인 트리의 사용자가 다른 트리의 리소스에 액세스할 수 있습니다. 둘째, 글로벌 카탈로그에 전체 포리스트의 개체 정보가 통합되므로 전체 엔터프라이즈를 검색할 수 있습니다. 셋째, Active Directory 스키마가 전체 포리스트에 적용됩니다(스키마에 대한 기술 정보는 10장 참조). 그림 3-2에서는 iseminger.com 도메인 구조와 Microsoft 도메인 구조가 결합되어 있습니다. 여기서 루트 도메인 간의 줄은 둘 사이에 존재하고 포리스트를 설정하는 Kerberos 트러스트를 나타냅니다 Kerberos 프로토콜에 대해서는 8장에서 자세히 설명합니다.

포리스트는 여러 도메인 트리로 구성될 수 있지만 단일한 엔터프라이즈를 나타냅니다. 포리스트를 만들면 모든 구성원 도메인이 글로벌 카탈로그를 통해 정보를 공유할 수 있습니다. 포리스트가 나타내는 전체 엔터프라이즈가 하나의 단위로 기능할 수 있도록 포리스트 내의 도메인 트리가 관계를 설정하는 방식은 트러스트 관계를 설명하면서 살펴보겠습니다.

트러스트 관계

Windows NT 4 도메인과 Windows 2000 또는 Windows Server 2003 도메인 간의 가장 중요한 차이점은 동일한 조직에 있는 도메인 간의 트러스트 관계를 적용하고 구성하는 방식일 것입니다. Windows 2000 및 Windows Server 2003에서는 Windows NT 4에서처럼 단방향 트러스트의 망을 설정하는 대신 새로운 도메인 트리 구조를 따라 올라가고 내려가는 전이적 트러스트를 구현합니다. 이 모델에서는 Windows 네트워크 관리가 간단해집니다. 이에 대해서는 수식 예를 통해 증명해 보겠습니다. 다음 두 수식(굳이 암기할 필요가 없으며 설명을 위한 것임)은 각 도메인 트러스트 방식으로 생성되는 관리 오버헤드의 예를 보여 줍니다. 수식은 각 방식에 필요한 트러스트 관계의 수를 나타냅니다. 여기서 n은 도메인 수를 나타냅니다.
Windows NT 4 도메인--(n * (n-1))
Windows 2000 또는 Windows Server 2003 도메인--(n-1)
설명을 위해 도메인 수가 적은 네트워크의 예를 들어 도메인 모델에 대한 두 방식을 비교해 보겠습니다. 여기에서는 도메인이 5개가 있다고 가정하고 다음 수식에서 n = 5를 사용합니다.
Windows NT 4 도메인: (5 * (5-1)) = 20개의 트러스트 관계
Windows 2000 또는 Windows Server 2003 도메인: (5 - 1) = 4개의 트러스트 관계
그림 축소그림 확대
 Iseminger.com 및 Microsoft의 도메인 트리 결합에 대한 그림

그림 3-2. Iseminger.com 및 Microsoft의 도메인 트리 결합

관리해야 하는 트러스트 관계의 수가 크게 차이가 나지만 이것이 도메인에 대한 새로운 방식의 가장 큰 장점은 아닙니다. Windows 2000 및 Windows Server 2003 도메인에서 트러스트는 기본적으로 만들어지고 구현됩니다. 관리자가 도메인 컨트롤러 설치 외에는 아무런 작업을 수행하지 않아도 트러스트가 이미 설정되어 있습니다. 이러한 트러스트 관계의 자동 생성은 Windows 2000 및 Windows Server 2003 도메인이 Windows NT 4 도메인과 달리 계층적으로 만들어지므로 특정 도메인 트리에 루트 도메인과 자식 도메인 외에는 아무 것도 없다는 사실과 관련되어 있습니다. 이에 따라 Windows 2000 및 Windows Server 2003에서는 특정 도메인 트리에 포함된 도메인을 자동으로 인식하며 루트 도메인 간에 트러스트 관계가 설정되는 경우 포리스트에 포함된 도메인 트리를 자동으로 인식합니다.

이와 대조적으로 Windows NT의 경우에는 관리자가 도메인 간에 트러스트 관계를 만들고 이후에 관리해야 하며 트러스트 관계의 이동 방향과 해당 도메인에서 사용자 권한이 어떠한 영향을 받는지를 기억해야 합니다. 도메인과 도메인 트리에 대한 새로운 트러스트 모델과 계층적 접근 방식을 사용하면 상당한 차이가 생기고 관리 오버헤드가 크게 줄어들며 트러스트의 구현이 더욱 간편해집니다.

Windows 2000 및 Windows Server 2003에는 세 가지 종류의 트러스트 관계가 있으며 각각 도메인 구조의 특정 요구를 충족합니다. Windows 2000 및 Windows Server 2003 도메인에 사용할 수 있는 트러스트 관계는 다음과 같습니다.
  • 전이적 트러스트
  • 단방향 트러스트
  • 상호 연결 트러스트
전이적 트러스트


전이적 트러스트에서는 두 도메인 간에 다른 도메인을 통해 이동할 수 있는 트러스트 관계를 설정합니다. 즉, 도메인 A가 도메인 B를 트러스트하고 도메인 B가 도메인 C를 트러스트하면 도메인 A가 기본적으로 도메인 C를 트러스트하며 그 반대의 경우에도 마찬가지입니다. 이에 대한 그림이 그림 3-3에 나와 있습니다.

그림 축소그림 확대
 세 도메인 간의 전이적 트러스트에 대한 그림

그림 3-3. 세 도메인 간의 전이적 트러스트

전이적 트러스트의 경우 단방향 비전이적 트러스트의 망을 더 이상 관리할 필요가 없기 때문에 도메인 간 트러스트 관계의 유지 관리와 관련된 관리 오버헤드가 크게 줄어듭니다. Windows 2000 및 Windows Server 2003에서 부모 도메인과 자식 도메인 간의 전이적 트러스트 관계는 새 도메인이 도메인 트리에 만들어질 때마다 자동으로 설정됩니다. 전이적 트러스트는 Windows 2000 또는 Windows Server 2003 도메인과 동일한 도메인 트리나 포리스트 내의 도메인에만 제한됩니다. 즉, 하위 수준(Windows NT 4 및 이전 버전) 도메인과 전이적 트러스트 관계를 만들 수 없으며 다른 포리스트에 있는 두 Windows 2000 또는 Windows Server 2003 도메인 간에 전이적 트러스트 관계를 만들 수 없습니다.

단방향 트러스트


단방향 트러스트는 비전이적이므로 관련된 도메인 간에만 트러스트 관계를 정의하며 양방향이 아닙니다. 그러나 완전한 Windows NT 4 환경에서처럼 양방향 트러스트 관계를 만들기 위해 개별적인 단방향 트러스트 관계를 각기 다른 방향으로 두 개 만들 수 있습니다. 그러나 이러한 상응하는 단방향 트러스트도 전이적 트러스트와 동등하지는 않습니다. 단방향 트러스트의 트러스트 관계는 관련된 두 도메인 간에만 유효합니다. Windows 2000 및 Windows Server 2003의 단방향 트러스트는 Windows NT 4의 단방향 트러스트와 동일하며 몇몇 경우에만 Windows 2000 또는 Windows Server 2003에서 사용됩니다. 가장 일반적인 상황 몇 가지에 대해 아래에서 설명합니다.

첫째, 단방향 트러스트는 Windows NT 4 도메인과 같은 하위 수준 도메인과 트러스트 관계를 새로 설정해야 하는 경우에 자주 사용됩니다. 하위 수준 도메인이 Windows 2000 및 Windows Server 2003 전이적 트러스트 환경(트리, 포리스트 등)에 참가할 수 없으므로 Windows 2000 또는 Windows Server 2003 도메인과 하위 수준 Windows NT 도메인 간에 트러스트 관계를 설정하려면 단방향 트러스트를 설정해야 합니다.

참고: 이 단방향 트러스트 상황은 기존 Windows NT 4 도메인 모델을 Windows 2000 또는 Windows Server 2003 도메인/트리/포리스트 모델로 업그레이드하는 것과 같은 마이그레이션 과정에는 적용되지 않습니다. 마이그레이션 과정이 진행되어 모든 도메인이 Windows 2000 또는 Windows Server 2003이 되고 전이적 트러스트 환경이 설정될 때까지 Windows NT 4에서 Windows 2000 또는 Windows Server 2003으로의 마이그레이션 과정 전반에서 사용자가 설정한 트러스트 관계가 유지됩니다. 마이그레이션 과정에 대한 자세한 내용은 11장, "Migrating to Active Directory Services"에 나와 있습니다.

둘째, 동일한 Windows 2000 또는 Windows Server 2003 포리스트에 있지 않은 도메인 간에 트러스트 관계를 설정해야 하는 경우 단방향 트러스트를 사용할 수 있습니다. 서로 다른 Windows 2000 또는 Windows Server 2003 포리스트에 있는 도메인 간의 단방향 트러스트 관계를 사용하면 전체 포리스트에 영향을 미치는 트러스트 관계를 만드는 대신 관계를 만들어 유지할 도메인에 대한 트러스트 관계를 분리할 수 있습니다. 예제를 통해 명확히 설명하겠습니다.

조직에 제조 부서와 영업 부서가 있는 경우를 생각해 보겠습니다. 제조 부서에서는 Windows 2000 또는 Windows Server 2003 도메인에 있는 서버에 저장된 프로세스 정보 중 일부를 표준 기관과 공유하려고 하지만 영업 부서에서는 도메인에 있는 서버에 저장된 중요한 영업 및 마케팅 정보를 표준 기관이 볼 수 없게 하려고 합니다. 표준 기관이 독점이라고 주장하며 영업 부서에 정보 공유를 요구할 수도 있겠지만 단방향 트러스트를 사용하면 이러한 문제를 일으키지 않고 영업 정보를 안전하게 유지할 수 있습니다. 표준 기관에 필요한 액세스 권한을 제공하기 위해 제조 도메인과 표준 기관의 도메인 간에 단방향 트러스트를 설정하면 단방향 트러스트가 비전이적이므로 트러스트 관계가 두 도메인 간에만 설정됩니다. 또한 트러스팅 도메인이 제조 도메인이기 때문에 제조 도메인의 사용자가 표준 기관의 도메인에 있는 리소스를 사용할 수 없습니다.

물론 여기에서 설명한 단방향 트러스트 상황에서 개별적인 두 단방향 트러스트 관계를 통해 양방향 트러스트를 만들 수도 있습니다.

상호 연결 트러스트


상호 연결 트러스트는 성능을 개선하기 위해 사용됩니다. 상호 연결 트러스트를 사용하면 가상 트러스트 확인 브리지가 트리 또는 포리스트 계층 구조 안에 만들어지므로 트러스트 관계를 더욱 빠르게 확인하거나 거부할 수 있습니다. 우선 이렇게 간략하게 설명할 수 있지만 상호 연결 트러스트가 사용되는 방식과 이유에 대해 확실히 이해하려면 먼저 도메인 간 인증이 Windows 2000과 Windows Server 2003에서 처리되는 방식을 이해해야 합니다.

Windows 2000 또는 Windows Server 2003 도메인에서 자체 도메인에 없는 리소스에 대해 사용자를 인증하거나 인증 요청을 확인해야 하는 경우 DNS 쿼리와 비슷한 방식으로 해당 작업을 수행합니다. Windows 2000 및 Windows Server 2003에서는 먼저 요청이 이루어지고 있는 도메인에 리소스가 있는지 확인합니다. 리소스가 로컬 도메인에 없으면 도메인 컨트롤러(특히 도메인 컨트롤러의 KDC[키 배포 서비스])가 계층 구조의 다음(위 또는 아래) 도메인에 있는 도메인 컨트롤러에 대한 참조를 클라이언트에 전달합니다. 다음 도메인 컨트롤러는 리소스가 있는 도메인에 도달할 때까지 이 "로컬 리소스" 검사를 계속합니다. 이 참조 프로세스에 대해서는 8장에서 자세히 설명합니다.

이러한 "도메인 트리 이동"은 제대로 작동하지만 도메인 계층 구조를 따라 이동하는 데는 시간이 걸리고 이 때문에 쿼리 응답 성능이 영향을 받게 됩니다. 더 쉽게 이해할 수 있도록 설명하기 위해 다음과 같은 위기 상황을 예로 들어 보겠습니다.

두 터미널 건물이 V자 형으로 연결되어 있는 공항이 있습니다. 터미널 A는 V자 형 건물의 왼쪽에 있고 터미널 B는 오른쪽에 있습니다. 터미널 A와 터미널 B의 게이트 1은 두 터미널이 연결되어 있는 지점(V자 형 건물의 맨 아래) 근처에 있고 게이트 15는 V자 형 건물의 맨 끝에 있는 식으로 게이트 번호가 순차적으로 지정되어 있으며, 모든 게이트가 V자 형 건물 내부와 연결되어 있습니다. 이륙 시간에 임박해서 V자 형 건물의 맨 끝에 있는 터미널 A 게이트 15에 도착한 사람이 그제서야 비행기가 터미널 B에서 이륙한다는 사실을 깨닫습니다. 창 밖을 내다보니 터미널 B 게이트 15에 자신이 탈 비행기가 보이지만 거기까지 가려면 터미널 A를 따라 V자 형 건물의 맨 아래까지 걸어간 다음 터미널 B를 따라 끝까지 걸어서 게이트 15까지 가야 합니다. 걸어가는 동안 결국 비행기는 떠나버리고 맙니다. 다음 비행기 시간까지 2시간 동안 대기실에 앉아 처음에 잘못 들어갔던 V자 형 건물 건너편의 터미널 A를 바라보고 있던 그 사람은 기발한 생각을 해냅니다. 터미널 끝을 연결하는 구름다리를 만들어 자신과 같은 여행객이 터미널 A 게이트 15에서 터미널 B 게이트 15까지 빨리 갈 수 있게 하는 것입니다. 이 생각은 터미널의 게이트 15 간을 이동하는 승객이 많은 경우에만 실현 가능성이 있을 것입니다.

이와 마찬가지로, 상호 연결 트러스트는 포리스트 또는 트리 계층 구조에서 논리적으로 서로 떨어져 있고 인증 트래픽이 많은 도메인 간의 인증 브리지 역할을 할 수 있습니다. 인증 트래픽이 많은 경우를 설명하기 위해 Windows 2000 또는 Windows Server 2003 도메인 트리의 두 분기를 예로 들어 보겠습니다. 첫 번째 분기는 도메인 A, B, C 및 D로 구성되어 있는데 A는 B의 부모이고 B는 C의 부모이며 C는 D의 부모입니다. 두 번째 분기는 도메인 A, M, N 및 P로 구성되어 있습니다. 여기에서 A는 M의 부모이고 M은 N의 부모이며 N은 P의 부모입니다. 좀 복잡한 것 같으면 이 구조를 그림으로 나타낸 그림 3-4를 참조하십시오.

그림 축소그림 확대
 예제 도메인 계층 구조에 대한 그림

그림 3-4. 예제 도메인 계층 구조

도메인 P에 있는 리소스를 정기적으로 사용하는 사용자가 도메인 D에 있는 경우, 도메인 D의 사용자가 도메인 P의 리소스를 사용하려고 하면 Windows 2000 및 Windows Server 2003에서 트리의 루트(이 경우에는 도메인 A)까지 올라가는 참조 경로를 이동한 다음 도메인 P에 도달할 때까지 도메인 트리의 적절한 분기를 따라 아래로 이동하여 이 요청을 해결합니다. 이러한 인증이 지속적으로 수행되면 상당한 양의 트래픽이 생성됩니다. 더 나은 방법은 도메인 D와 도메인 P 간에 상호 연결 트러스트를 만드는 것입니다. 이렇게 하면 루트(트리 분기가 분할되는 기본 도메인)까지 도메인 트리를 이동하지 않고도 두 도메인 간의 인증을 수행할 수 있습니다. 그 결과로 인증 측면에서 성능이 향상됩니다.

참조

이 문서에 나와 있는 정보는 Microsoft Press에서 출판된 Active Directory Services for Microsoft Windows 2000 Technical Reference 서적에서 발췌한 것입니다.

그림 축소그림 확대
 Active Directory Services for Microsoft Windows 2000 Technical Reference 서적에 대한 그림


Active Directory Services for Microsoft Windows 2000 Technical Reference에 대해 자세히 알아보십시오.

이 서적 및 다른 Microsoft Press 서적에 대한 자세한 내용은 http://mspress.microsoft.com/korea를 참조하십시오.



Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

속성

기술 자료: 310996 - 마지막 검토: 2007년 12월 3일 월요일 - 수정: 5.3
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
키워드:?
kbinfo KB310996

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com