AD, AAD, 복제?, 이중화?, 동기화?

참고

• Active Directory 란? - 무엇이든지 기록 (AD 관련 용어들 정리 잘 되었음)
• 액티브 디렉토리, 도메인 컨트롤러(DC), 글로벌 카탈로그(GC), 그룹 - 0부터 시작하는 해킹공부 (AD 기능에 대해 알 수 있었음)
• Active Directory와 Azure Active Directory 비교 - Azure Docs
• AD FS의 단일 인스턴스를 사용하여 Azure AD의 여러 인스턴스를 페더레이션 - Azure Docs (양방향 trust로 상호간의 도메인계정으로 인증이 가능하다는 것 알 수 있었음)

Azure AD 소개.pptx

2.15MB

 

 

AD, AAD, 동기화, 복제, AD Connector.... AD라는 단어만 들어가면 일단.... 멍~~~

 

AD와 AAD가 무엇인데 상황에 따라 동기화가 되고 안되는 것인지 알아보면서 정리하는 시간이 필요 했습니다.

(물론 AD도 깊이있게 알려고 하면 한도 끝도 없을거라...  딱 동기화 부분만 간단하게 이해하고 넘어갈 겁니다 -0-)

 

먼저 AD와 AAD의 기능적으로 어떤 차이가 있는 것인지 찾아 봅니다.

728x90

 

AD (Active Directory)

• IaaS 환경에 구축되는 도메인 컨트롤러
• 윈도우 서버에서 사용자, 그룹 등을 모아두는 전반적 체계
• 여러 자원을 일괄적으로 관리 가능
• 그룹 정책 등 사용자 계정에 대한 인증 관리를 중앙에서 할 수 있어 보안상 안전
• 도메인 (Domain) 이라는 단위로 컴퓨터 자원 관리 가능

 

AAD (Azure Active Directory)

• 다음 리소스에 액세스할 수 있게 해주는 클라우드 기반 액세스 관리 서비스

 

아~~~~

AD, AAD에 대해서 감이 전혀 없었는데 차이점을 정리해 보니 무릎이 탁~! 쳐지네요.

 

사용자 및 그룹 관리, 컴퓨터 관리, 정책 관리등을 하기위해 IaaS에 설치되는 것이 AD고,

Azure AD는 그냥 PaaS나 SaaS등 Microsoft 제품들을 사용하기 위해 인증 처리를 해주는 거구나

 

AD와 AAD를 동기화 하려는 목적은 AD에서 관리하고 있는 사용자들을 AAD를 통해 PaaS나 SaaS 제품들을 사용할 수 있도록 해주기 위함이고,

 

아~~~~~~~ 무릎 한번 더 탁~!

 

용도가 아예 다른 거였네~~~

 

AD와 AAD를 이해 하면서 무척 애를 먹었던게

 

SQL처럼 "IaaS환경에서 SQL을 설치해서 쓸 수 있지만 PaaS제품인 SQL Database로 도 SQL 사용이 가능하다" 라는 식의 학습이 되어 있는 상태에서

 

AD와 AAD를 접근하니까 계속 동일한 기능을 하는 서버리스 형태인 가보다 라는 인식이 박혀 있다 보니..... ㅜㅜ

 

 

그럼 AD, AAD 이야기 할 때 꼭 들리는 이야기 동기화가 어쩌구 복제가 어쩌구 이중화가 어쩌구....

 

AD와 AAD가 쓰이는 목적이 다르다는 것은 인지 하였으니 AD 복제가 어쩌구 AAD동기화가 어쩌구 하는것들도 알아 봐야죠

 

동기화를 알기 전에 하나 확실히 해두고 가야 하는것이 있습니다.

 

AD 구성은 IaaS 환경에서만 구성할 수 있습니다.

• AD는 윈도우 서버에서 제공하는 기능이고
• AD를 사용하기 위해서는 윈도우 서버가 필요합니다.
• 윈도우 서버가 필요하다는 것은 Guest OS에 접근이 가능해야 한다는 점 입니다.

 

AAD는 Azure에서 제공하는 서비스 입니다.

• IaaS나 그 어떤 환경에 따로 설치할 수 없습니다.
• Azure, Microsoft 에서 제공하는 PaaS, SaaS 형태의 서비스의 인증에 사용 됩니다.

 

당연한 이야기 같지만, 절대로 잊으면 안되는 중요한 내용입니다. 태! 생! 이! 다! 릅! 니! 다!

 

 

그럼 먼저 "AD 복제 한다"는 단어를 풀어보면

 

AD 복제(이중화) 는

• 간단하게 본다면 여타 서버들 처럼 가용성을 위해 사용하는 이중화 구성과 동일 합니다.
• 동일한 도메인으로 묶여 있는 도메인 컨트롤러 간의 데이터 복제 입니다.
• 도메인 컨트롤러를 여러 개로 설정해서 한대가 죽더라도 다른 도메인 컨트롤러에서 참조 됩니다.
• 멀리 떨어진 지역에서 인증에 레이턴시를 줄이기 위해 인증 받으려는 지역에 복제본을 두기도 합니다.
• 도메인 컨트롤러 끼리 Link형식이나, Tree형식으로 복제가 가능합니다.
• 두 대 이상의 도메인 컨트롤러 끼리 복제가 가능합니다.

 

 

AD도 파고 들려면 이것 저것 좀 더 복잡하게 볼것들이 엄청 많아 보이는데요, 딱 여기까지만 알고 넘어 갈 겁니다.....-0-

 

자~ 이제 AD 복제에 대해서는 알겠고 이제 AAD의 동기화를 알아 봐야죠~

 

 

AAD는 AD 처럼 IaaS에 설치되는 것이 아니고, 위에서 본 AD 복제와 같은 AAD간의 복제도 없습니다.

 

AAD에서 동기화 한다는 것은 단순하게 'AD에 있는 내용을  AAD에 전파 해주는 것' 이것이 끝입니다.

 

 

 

AD 복제는 도메인 컨트롤러간 구성에 의해 단방향, 양방향 설정이 가능하지만

 

AAD 동기화는 AD에 있는 내용을 AAD에서 참조하기 위한 단방향 동기화 입니다.

 

하나의 AD는 두 개 이상의 AAD와 동기화 될 수 없고 오로지 단 하나의 AAD로만 동기화가 가능합니다.

 

 

자~~ 애초에 알려고 했던 동기화는 알았으니 일단 여기서 손을 털어야겠습니다.

 

한발 더 깊이 들어가면 다칠 것 같습니다. ㅎㅎㅎ

 

 

미래의 나에게 조금이라도 도움이 되고자 그림 몇 장 추가 합니다.

AD동기화.vsdx

0.07MB

 

반응형

 

두 개 이상의 DC(Domain Controller)끼리 AD 복제가 가능하고

인증에 소요되는 지연시간을 줄이기 위해 인증이 필요한 다른 지역에도 동기화는 물론 on-prem과 VM 간에도 가능합니다.

• 

 

 

AAD 간의 동기화는 불가능합니다. (서로 다른 도메인 끼리 데이터 동기화 한다는 것 자체가 불가능)

• 

 

 

AD 그룹 당 Azure AD Connect를 사용하여 하나의 AAD와 연동 가능

• 

 

 

 

 

 

 

 

AD 보면서 새로 알게 된 내용

 

하나 이상의 도메인을 그룹화 하는 것을 도메인 포리스트 라고 합니다. (포리스트란? - Azure Docs)

 

Domain Tree : root 도메인 과 sub 도메인 간의 trust

Domain Forest : 두 개 이상의 트리로 구성된 AD 그룹

Forest의 정의는 두 개 이상의 트리가 그룹화 되는 것이지만 Domain Tree도 Forest로 불리기도 한다고 합니다.

 

forest 구성방법이 매우 복잡하고 유지관리 이슈 때문에 사용하는 사례가 거의 없다고 합니다.

 

tree, forest 도메인

• 

출처 : eTutorials.org

• 

출처 : http://sracher.egloos.com/1949863

 

Azure AD의 여러 인스턴스 페더레이션 (아우~ 그림만 봐도 머리가 아프네요)

• 

출처 : Azure Docs