복제 및 구성 집합
AD LDS(Active Directory Lightweight Directory Services)는 복제를 사용하여 디렉터리 서비스에 내결함성과 부하 분산을 제공합니다. AD LDS는 다중 마스터 복제라고 하는 복제 유형을 사용합니다. AD LDS는 복제를 통해 한 AD LDS 인스턴스에 있는 디렉터리 파티션의 디렉터리 데이터 업데이트를 같은 디렉터리 파티션의 복사본을 갖고 있는 다른 AD LDS 인스턴스로 복사합니다. 같은 디렉터리 파티션의 복사본을 갖고 있는 AD LDS 인스턴스는 구성 집합이라고 하는 논리적 그룹을 형성합니다.
다중 마스터 복제
다중 마스터 복제는 단순히 모든 AD LDS 인스턴스에 있는 디렉터리 데이터를 변경할 수 있음을 의미합니다. AD LDS는 자동으로 이러한 변경 내용을 구성 집합의 다른 구성원에 복제합니다. 다중 마스터 복제는 수렴과의 느슨한 데이터 일관성이 특징입니다. 한 AD LDS 인스턴스에 있는 지정된 디렉터리 파티션의 데이터를 변경하면 다른 AD LDS 인스턴스에 저장되어 있는 해당 디렉터리 파티션의 복제본이 디렉터리 파티션(변경한 파티션)의 최신 복제본과 서로 일치하지 않게 됩니다. 그러나 구성 집합 전체에 변경 내용이 복제되면 모든 파티션 복제본이 다시 한 번 동일해집니다. 즉 최신 데이터로 수렴됩니다.
구성 집합
AD LDS 인스턴스는 구성 집합에 대한 가입 상태에 따라 데이터를 복제합니다. 같은 구성 집합에 가입한 모든 AD LDS 인스턴스는 공용 구성 디렉터리 파티션과 공용 스키마 디렉터리 파티션을 복제해야 합니다. 또한 한 구성 집합에 있는 AD LDS 인스턴스는 수에 관계없이 모든 응용 프로그램 디렉터리 파티션을 복제할 수 있습니다. 한 구성 집합에 있는 AD LDS 인스턴스라도 해당 구성 집합 내의 모든 응용 프로그램 디렉터리 파티션을 복제할 필요는 없습니다. 하나의 AD LDS 인스턴스가 해당 구성 집합 내의 모든 응용 프로그램 디렉터리 파티션이나 모든 응용 프로그램 디렉터리 파티션 하위 집합을 복제할 수 있습니다. 그러나 AD LDS 인스턴스는 다른 구성 집합의 응용 프로그램 디렉터리 파티션은 복제할 수 없습니다.
다음 그림은 각각 두 개의 AD LDS 인스턴스가 있는 두 개의 AD LDS 구성 집합의 예를 보여줍니다. 그림에 나와 있는 것처럼 하나의 컴퓨터가 각각 다른 구성 집합에 있는 AD LDS 인스턴스 여러 개를 실행할 수 있습니다.
 | 참고 |
|
AD LDS 인스턴스는 인스턴스 설치 시에만 구성 집합에 가입할 수 있습니다. |
복제 충돌 방지
두 명의 다른 사용자가 다른 두 AD LDS 인스턴스에 있는 같은 디렉터리 파티션 복제본의 동일 데이터를 변경하는 경우를 가정해 봅니다. 이러한 경우 각 AD LDS 인스턴스가 변경 내용을 복제하려고 시도하므로 충돌이 발생합니다. 이러한 충돌을 해결하기 위해 해당 충돌하는 변경 내용을 받는 복제 파트너는 변경 내용에 포함되어 있는 특성 데이터를 검사합니다. 각 변경 내용에는 고유한 버전과 타임스탬프가 있습니다. AD LDS 인스턴스는 상위 버전의 변경 내용은 받아들이고 하위 버전의 변경 내용은 삭제합니다. 버전이 동일할 경우 AD LDS 인스턴스는 타임스탬프가 최신인 변경 내용을 받아들입니다.
개체의 다중값 특성에 있는 두 개 이상의 값을 두 개의 다른 AD LDS 인스턴스에서 동시에 업데이트하면 업데이트된 값 중 하나만 복제됩니다. 즉 두 개의 다른 AD LDS 인스턴스에서 발생하는 다중값 특성에 대한 동시 업데이트는 다중값 특성 내의 다른 값에 업데이트를 적용하는 경우에도 충돌로 간주됩니다. 이 규칙의 유일한 예외는 연결된 값 특성(예: 그룹 구성원)에 대한 것으로 연결된 값 특성 내의 다른 값에 대한 동시 업데이트를 허용합니다.
복제 토폴로지
KCC(정보 일관성 검사기)는 각 AD LDS 인스턴스의 일부로 실행되는 프로세스로, 복제 트래픽이 네트워크에 따라 수행할 가장 효율적인 토폴로지를 자동으로 구성합니다. KCC는 복제 토폴로지를 정기적으로 다시 계산하여 해당 환경에서 발생하는 모든 네트워크 변경 내용을 조정합니다.
| 참고 |
|
AD LDS 구성 집합은 존재할 수 있는 AD DS(Active Directory 도메인 서비스) 복제 토폴로지와 별도로 자체 복제 토폴로지를 유지 관리합니다. 디렉터리 파티션을 AD LDS 인스턴스와 AD DS 도메인 컨트롤러 간에 복제할 수 없습니다. |
복제 보안 보장
복제 보안을 보장하기 위해 AD LDS는 복제하기 전에 복제 파트너를 인증하며 복제 인증은 항상 보안 채널을 통해 발생합니다. AD LDS는 SSPI(Security Support Provider Interface)를 사용하여 복제 파트너 간에 적절한 인증 보안 수준을 설정합니다. 한 구성 집합 내에서의 복제 인증에 사용되는 방법은 구성 디렉터리 파티션의 msDS-ReplAuthenticationMode 특성 값에 따라 달라집니다. 복제 파트너가 성공적으로 인증되면 두 파트너 간의 모든 복제 트래픽이 암호화됩니다.
다음 표에서는 복제 인증에 대한 보안 수준과 각 보안 수준에 대한 해당 msDS-ReplAuthenticationMode 특성 값에 대해 설명합니다. 새로운 고유 AD LDS 인스턴스에 대한 기본 복제 보안 수준은 로컬 워크스테이션 사용자 계정을 AD LDS 서비스 계정으로 지정하지 않은 한 1입니다. 로컬 워크스테이션 계정을 AD LDS 서비스 계정으로 지정하면 복제 보안 수준이 0으로 설정됩니다.
| 복제 보안 수준 | 인증 모드 | 설명 | 지원되는 환경 |
|---|---|---|---|
|
Kerberos를 사용한 상호 인증 |
2 |
SPN(서비스 사용자 이름)을 사용한 Kerberos 인증이 필요합니다. Kerberos 인증에 실패하면 AD LDS 인스턴스는 복제를 하지 않습니다. |
구성 집합이 AD DS 도메인, 포리스트 또는 포리스트 트러스트에 완전히 포함되어야 합니다. |
|
협상됨 |
1 |
먼저 Kerberos 인증(SPN 사용)을 시도합니다. Kerberos가 실패하면 NTLM 인증을 시도합니다. NTLM이 실패하면 AD LDS 인스턴스는 복제를 하지 않습니다. |
구성 집합이 Microsoft® Windows NT® 4.0 구성원 서버를 포함할 수 있습니다. |
|
협상된 통과 |
0 |
구성 집합 내의 모든 AD LDS 인스턴스가 AD LDS 서비스 계정으로 동일한 계정 이름과 암호를 사용합니다. |
구성 집합이 하나 이상의 작업 그룹에 가입되어 있는 컴퓨터나 트러스트 관계가 없는 여러 도메인 또는 포리스트에 가입되어 있는 컴퓨터를 포함할 수 있습니다. |
AD LDS 복제 보안을 유지 관리하려면 다음과 같은 모범 사례가 권장됩니다.
-
해당 환경에서 지원할 수 있는 가장 높은 수준의 복제 보안을 사용합니다.
-
AD DS 환경에서는 가능할 경우 도메인 컨트롤러보다 구성원 서버에서 AD LDS를 실행합니다.
-
AD LS 환경에서 도메인 컨트롤러에 AD LDS를 실행하는 경우에는 네트워크 서비스 계정을 AD LDS 서비스 계정으로 사용하지 않아야 합니다. 대신 관리자 권한이 없는 도메인 사용자 계정을 사용합니다.
-
작업 그룹 및 Windows NT 4.0 환경에서는 관리자 권한을 갖고 있는 계정을 AD LDS 서비스 계정으로 사용하지 않아야 합니다.
-
엄격한 격리 요구 사항을 가진 응용 프로그램에 대해서는 별도의 구성 집합을 사용합니다.
서비스 계정에 필요한 AD LDS 복제 요구 사항에 대한 자세한 내용은 서비스 계정 선택을 참조하십시오.