Windows Server 2008의 AD DS(Active Directory 도메인 서비스)에 대한 가장 중요한 새 기능 중 하나는 RODC(읽기 전용 도메인 컨트롤러)입니다. RODC를 사용하면 도메인 데이터베이스의 읽기 전용 복제본을 호스팅하는 도메인 컨트롤러를 쉽게 배포할 수 있습니다. 이 RODC는 도메인 컨트롤러의 물리적 보안이 보장될 수 없는 위치나 네트워크 연결로 인해 생산성이 저하될 수 있는 위치 또는 도메인 컨트롤러에서 다른 응용 프로그램을 실행해야 하고 서버 관리자(도메인 관리자 그룹의 구성원이 아닌 것이 좋음)가 이러한 프로그램을 유지 관리해야 하는 위치 등에 적합합니다. 이러한 시나리오는 모두 지점 배포 시 흔한 경우입니다.
RODC는 쓰기 가능한 도메인 컨트롤러가 보유하는 것과 동일한 개체 및 특성을 보유합니다. 그러나 로컬에서 이루어진 변경 사항은 RODC 복제본 자체에는 적용되지 않으며, 대신 이러한 변경 사항은 쓰기 가능한 도메인 컨트롤러에 반영된 다음 다시 RODC로 복제됩니다. 이렇게 함으로써 지점에서 변경 사항이 있을 경우 복제를 통해 AD 포리스트가 오염되거나 손상될 가능성이 방지됩니다.
관리자는 사용자 자격 증명을 저장(캐시)하도록 RODC를 특수하게 구성할 수도 있습니다. 사용자가 RODC에 인증을 처음으로 시도하면 RODC는 쓰기 가능한 도메인 컨트롤러로 해당 요청을 전달합니다. 인증에 성공할 경우 RODC에서도 사용자 자격 증명 사본을 요청합니다. 암호 복제 정책에서 자격 증명을 복제하여 RODC에 캐시할 수 있는지 여부를 판단합니다. 자격 증명이 캐시되면 다음 번에 사용자가 로그온을 시도할 때 이후에 복제를 통해 자격 증명이 변경되었다는 통지가 없는 한 RODC에서 요청을 직접 처리합니다. 자격 증명 캐싱은 지점에서 흔히 발생하는 WAN(광역 네트워크) 대기 시간이나 네트워크 연결 문제로 인한 영향을 완화함으로써 최종 사용자의 생산성을 향상시킵니다. AD DS는 RODC에 저장되는 모든 자격 증명 목록을 유지 관리하기도 하며, RODC가 손상될 경우 관리자는 해당 RODC에 저장된 모든 사용자 자격 증명에 대한 암호를 강제로 재설정할 수 있습니다.
RODC에는 지점에서 관리자 이외의 직원에게 설치 및 관리를 위임할 수 있는 위임 프로모션 기능이 있습니다. 지점 직원은 이전에 관리자가 만든 RODC 계정에 서버를 연결하여 설치를 완료할 수 있습니다. 이 기능으로 인해 지점 도메인 컨트롤러를 위한 준비 사이트를 사용하지 않아도 되고 지점으로 설치 미디어 및 도메인 관리자를 보낼 필요가 없어집니다.
자료출처 : MS 기술문서'윈도우 서버군 기술 강좌 > Windows Server 2008' 카테고리의 다른 글
| 윈도우 서버 2008 가상화 솔루션 기능의 확대로 서버 판매량이 감소 할 수 있다. (0) | 2007/06/29 |
|---|---|
| Windows BitLocker™ 드라이브 암호화 (0) | 2007/06/29 |
| 읽기 전용 도메인 컨트롤러 (2) | 2007/06/28 |
| Windows Server 2008 에서의 RMS (문서관리서비스) (0) | 2007/06/25 |
| NAP(네트워크 액세스 보호) 주요 시나리오 살펴 보기 (0) | 2007/06/13 |
| 윈도우 서버 2008 터미널 서비스 달라진 기능은? (0) | 2007/06/13 |
댓글을 달아 주세요
이게 바로 제가 원했던것중 하나였습니다. 이번 3번째 포럼은 많이 기대하고 있습니다. 문제는 비행기가 있을까 하는...
또 뵈어야죠. 그리고 술한잔도 하고요.
그럼 7월 포럼에서 뵙기를 희망 하겠습니다.