Windows Server 2008이 나오면... (2) - Active Directory의 변화

꼬알라주 : Windows Server Codename Longhorn의 이름이 Windows Server 2008로 바뀜에 따라 제목과 태그를 변경합니다.

가상화, 중앙 집중형 응용 프로그램 접근에 이어 세번째로 바뀌게 될 시나리오는 바로 본, 지사간 시나리오(BOIS - Branch Office Infrastructure Solution)입니다.

Windows Server 2003 R2에서 처음으로 소개된 DFS v2를 액티브 디렉터리의 SYSVOL 복제시에도 사용하게 된다는 것은 이미 예견된 것이었습니다. DFS v2의 큰 변화는 바로 RDC(Remote Differencial Compression)의 사용이었습니다. RDC란 서버간 파일 복제시 최소의 네트워크 대역폭을 사용하면서 개체간 차이점만을 계산하고, 이를 복제해주는 알고리즘입니다. DFS v1을 사용하던 Windows 2000 Server, Windows Server 2003의 경우에는 두개의 머신이 최초 동기화를 한 후, 변경된 파일에 대해서는 변경된 부분이 1K에 불과하더라도 전체 파일을 재복제하는 복제 알고리즘을 사용하였습니다. 그러나, Windows Server 2003 R2에서의 DFS v2의 복제 방식에서는 변경된 부분만을 복제하는 RDC를 사용하였기 때문에, 최소의 네트워크 대역폭으로 복제가 가능해졌습니다. 본사와 지사가 네트워크상 거리가 먼 경우에, RDC와 같은 알고리즘은 파일 복제시 상당한 메리트로 작용하게 되었습니다. Windows Server 2003 R2에서는 DFS v2에서만 RDC를 사용하고 있었고, 도메인 컨트롤러(DC)간의 SYSVOL 복제시에는 여전히 FRS(File Replication Service)를 사용하였습니다. 바로 Windows Server 2008에서는 SYSVOL 복제시에도 DFS v2를 사용하게 됩니다.

DFS v2를 제외하고도 액티브 디렉터리의 변화 중 큰 것은 RODC(Read Only Domain Controller) 시나리오입니다. 지금까지의 DC간 복제는 양방향 복제였습니다.

RODC의 사용 시나리오는 다양합니다.

1. DMZ 레벨에서 사용자의 인증을 위해 DC가 필요한 경우
 

기업에서 사용자 인증을 위해 DMZ에 내부와 동일한 DC를 배치하는 것은 보안상의 이슈를 제기하며, 상당히 꺼려 합니다. 그러한 이유로 내부의 DC를 DMZ의 SQL과 복제하는 솔루션(자체 개발 or Microsoft MIIS)을 이용, 혹은 DMZ에 별도의 액티브 디렉터리를 구성하신 후, 내부 DC와의 트러스트 관계 설정, 마지막으로는 가장 비효율적이긴 하지만, IT 관리자가 직접 내부의 계정와 DMZ의 계정을 손수 동기화해주는 작업을 사용했었습니다. Windows Server 2008이 나오게 되면, DMZ에 배치시킨 RODC의 경우에는 쓰기 작업 자체가 불가능하기 때문에, 공격으로 인한 내부 인프라의 문제 발생은 상당 수 줄어들게 됩니다. RODC 기술에 연계되서 나오는 이야기가 결국은 Read-Only DFS, Read-Only DNS도 등장을 하겠죠 :)

RODC의 경우에는 모든 데이터는 읽기용으로만 가지고 있습니다. 사용자 암호까지 가지고 있는 경우, 이에 대한 보안적 문제는 사용자 암호 유출로 이어지지 않느냐라는 의구심을 가지실 수 있습니다만, 이럴 경우에 대비해 RODC는 기본적으로 사용자의 암호는 가지고 있지 아니하며, 커베로스(Kerberos) 인증시 TGT 요청에 대해서 내부 DC로 이를 프록시(Proxy)하게 되고, 인증 후, 티켓만 인증 대상자에게 부여하게 됩니다.

인증 성능에 대해서 이슈가 제기될 수 있으므로, 관리자의 설정에 따라 암호에 대해서 RODC가 캐시(Cache)할 것이냐에 대해서 당연히 설정하실 수 있습니다.

2. 본, 지사간 DC 구축시, 지사내 DC에 대한 관리, 보안에 대한 이슈가 생길 수 있는 경우
지사에 인증을 위해서 DC를 배치하는 경우는 다반사입니다. 그러나 해당 DC에 대한 관리 책임자 부재 혹은 DC에 대한 물리적 보안이 문제가 되는 경우에도 RODC를 사용하실 수 있습니다.

액티브 디렉터리에서 원하실 경우 관리 위임(Delegated Administration)이 가능한 것은 이미 Windows 2000 Server 시절부터의 이야기입니다. 이 경우, 누가, 어떠한 개체를 수정하였는지에 대해서까지는 감사가 가능하였지만, 어떠한 속성을 수정하였는지, 원래 값은 무엇이었는지는 감사가 되지 않았습니다. Windows Server 2008에서는 속성 레벨까지 감사가 가능합니다. 예를 들어 "꼬알라"라는 사용자 계정에 대해서, 백승주라는 사용자가 좋아하는 음료라는 속성 값을 우유에서 물로 변경한 사항에 대해서 모두 로그에 기록된다는 것입니다.

Windows Vista Enterprise, Ultimate 버전에서 사용 가능한 BitLocker를 서버에서도 지원함으로서, 서버의 물리적인 보안 레벨을 향상시킬 수 있습니다.

본, 지사간 시나리오에는 다소 연관성이 없지만, Windows Server 2008에서는 액티브 디렉터리가 서비스로 존재하게 됩니다. 이에 액티브 디렉터리에 대한 유지 보수 작업시 별도의 디렉터리 전용 모드로의 재부팅 없이, 간단하게 서비스를 재시작함으로서, 처리할 수 있습니다.

결론적으론 본, 지사간 네트워크 레벨에서의 가치, 보안, 액티브 디렉터리의 관리 레벨에서의 가치를 얻으실 수 있습니다. :)