숭늉이

DLP 관리

1) Enforcer 서버에서의 서버 관리

    - 시스템 > 개요 “클릭” 하면 각 서버의 상태 및 서버에서 발생한 오류를 알 수 있다.

2) 서버 상세 내역[Endpoint Server]

    - [시스템] > [개요] > [서버]를 클릭하면 서버의 상세 내역을 볼 수 있다.

    - Endpoint Server

① Configuration :  정책 그룹, 에이전트 구성 및 구성 상태가 표시

② Agent Summary :  에이전트에 대한 요약 

총 설치 대수

온라인 대수

오프라인 대수

상태에 따른 Agent 대수

3) Windows에서 DLP 서버 서비스 [Enforcer/Endpoint Server]

※ Enforcer 서버 서비스 시작 

- [시작]>[모든 프로그램]>[관리 도구]>[서비스]  이동.

- 서비스 시작 순서 : Vontu Notifier >  Vontu Manager > Vontu Incident Persister > Vontu Update > Vontu Monitor Controller

- 서비스 중지 순서 : Vontu Update >  Vontu Incident Persister > Vontu Manager > Vontu Monitor Controller > Vontu Notifier

※ 탐지 서버 서비스 시작 

- [시작]>[모든 프로그램]>[관리 도구]>[서비스]  이동.

- 서비스 시작 순서 : Vontu Monitor >  Vontu Update

- 서비스 중지 순서 : Vontu Update > Vontu Monitor

1) 일반설정

 - 시스템 >  설정 > 일반 > 일반 설정 편집

① 리포트 및 알림(현재 전송 않음으로 설정됨 )

시스템 이상시 알림이나 예약 리포트를 이메일로 전송 한다.

※ 리포트 형식

- 리포트를 링크로 전송. 확인 시 로그인 필요

  리포트에 대한 링크가 포함된 이메일 메시지를 전송한다.   - 이메일로 리포트 데이터 전송

  DLP이메일 메시지를 전송하고 리포트 데이터를 첨부한다.  

※ 정규화된 관리자 이름

리포트 형식을 선택할 때 “Send reports as links, login required to view”를 선택하였다면 서버 주소 링크가 전송되므로 서버 주소를 입력해줘야 한다.(ex : http://server_ip or server hostname)

※ 상관 관계

correlations는 해당 인시던트와 관련된 상세 내용이다. 예를 들어 해당 인시던트의 사용자는 해당 인시던트를 주 또는 월단위로 몇건을 전송하였는지, 발신인이 같은 건은 몇건인지 등의 해당 인시던트와 상관관계가 있는 인시던트의 정보를 알려 주는 옵션이다.

② SMTP

    SMTP 서버를 설정하여 알림 및 리포트를 전송하는 설정  

③ 라이센스

    라이센스 등록 현황

1) 일반설정 (계속)

 - 시스템 >  설정 > 일반 > 일반 설정 편집

① 프로세스제어- 서버의 상세 내용을  표시한다.   

-  고급 프로세스 제어 체크박스를 선택하여 기능을 enable 하면

 시스템 >  서버  > 개요  > 서버 상세 내역 메뉴에서 서버의 상세 내용을 확인 할 수 있다.

② 암호 설정

- 콘솔 계정의 패스워드 보안 및 기간설정

  (ex : 숫자,영문 혼용, 패스워드 만료기간 설정)

1) 일반설정 (계속)

 - System >  Settings > General > configure

① 인증 정보 관리

- Endpoint FlexResponse 또는 Endpoint Discover 검역소 대응   규칙에 대한 격리 저장소의 인증 정보를 설정한다.

  ex) 예로는 엔드포인트 디스커버를 실행 한 후에 정책에   위반되는 문서를 특정 서버에 격리 시킬때 특정서버의 계정 정보를   DLP서버에 저장하여 자동으로 서버에 로그인을 할 수 있도록 한다.

- 인증 정보는 시스템 > 설정 > 인증 정보 에서 설정할수 있다.

② Active Directory 인증

- 관리콘솔 계정과 Active Directory 계정 연동

 Active Directory 인증 수행 항목을 체크하여 설정하면 DLP 관리콘솔 계정 추가하시 관리콘솔 계정과 Active Diretory 계정이 연동된 계정을 설정할 수 있다.(패스워드 등)   

③ 언어

- 25개의 언어 지원

- 언어팩을 추가로 설치하면 지원되는 언어를 지원받을 수 있다.

 ④ 에이전트 관리 

- Enforce : 에이전트가 Endpoint Server를 통해서만 설정등을   수신하도록 하려면 이 옵션을 선택한다.  

 SMC : 에이전트가 Symantec Management Console을   통해서만 설정등을 수신하도록 하려면 이 옵션을 선택하고 Symantec Management Console항목에 서버 정보를 입력한다.

Ex) http://172.100.20.20:8080

1) SQL Plus 사용법

- 시작  실행  sqlplus (도스 모드)/ sqlplusw (윈도우 모드)

- Login user (protect) 및 password 입력  예) protect / protect04

- 환경 setting (option)  Set pagesize 1000  : SQL결과의 한 pages 크기  Set line 130 : SQL결과가 나오는 폭(line)의 크기

2) Table space 용량 확인하는 방법 (다음장 계속)

- 시작  실행 ‘sqlplus’(or sqlplusw) 입력후 Enter

- ‘system’ user로 Login 한다.  (User name : system, password : protect04)

- 접속후 SQL> 상태에서 ‘@c:\dlp_space.sql’을 입력후 Enter

- 실행후 C:\에 ‘Symantec_DLP_ORACLE_SIZE_ + (MonthDay+Time+Minute+Second).txt’ 포맷으로 결과 파일이 생성된다.

3) Table space 용량 확인하는 방법

- C:\에 ‘Symantec_DLP_ORACLE_SIZE_ + (MonthDay+Time+Minute+Second).txt 파일을 열면 정보를 확인할 수 있다.

3) Table space 용량 늘리는 방법

- 시작 실행 'sqlplus’(or sqlplusw) 입력후 Enter

- ‘system’ user로 Login 한다.  (User name : system, password : protect04)

- LOB05.DBF를 하나 더 만들고 용량 늘리는 쿼리를 실행한다.

SQL>ALTER TABLESPACE LOB_TABLESPACE add datafile ‘E:\DATA\ORAC\protect\LOB05.DBF’ size 32767M;

- 해당 경로에 LOB05.DBF가 추가되었는지 확인한다.

1) 서버 구성파일 백업

   - DLP Enforcer Server 접속 (데이터센터 : 174.100.24.145, 조선호텔 : 174.100.101.123)

   - D:\Vontu\Protect\config 파일을 복사하여 Backup 대상 디렉토리에 복사

 - 현재 백업된 서버 구성파일 경로D:\Backup\DLPConfig\config

2) 사용자 정의 구성 변경 백업

 - D:\Vontu\Protect\plugins 파일을 복사하여 Backup 대상 디렉토리에 복사

 - 현재 백업된 서버 구성파일 경로D:\Backup\DLPConfig\plugins

3) 정책 백업

   - 생성된 정책 선택 > “이 정책을 템플릿으로 내보내기” 선택하여 백업

1) Enforcer Server 서비스 중지

   - 서비스 중지 순서 :

      Vontu Update >  Vontu Incident Persister > Vontu Manager > Vontu Monitor Controller > Vontu Notifier

2) 서버 구성파일 복구    - 백업된 서버구성파일을  D:\Vontu\Protect\config 에 복사

    - 현재 백업된 서버 구성파일 경로D:\Backup\DLPConfig\config

3) 사용자 정의 구성 변경 복구

   - 백업된 사용자 정의 구성변경 파일을  D:\Vontu\Protect\plugins 에 복사

   - 현재 백업된 정의 구성파일 경로D:\Backup\DLPConfig\plugins

4) 정책 복구

   - 백업된 정책파일을 D:\Vontu\Protect\config\templates 에 복사

   - 현재 백업된 정의 구성파일 경로D:\Backup\DLPConfig\policy

5) Enforcer 서비스 시작

   - 서비스 시작 순서 :                                                                                                                                                            

      Vontu Notifier >  Vontu Manager > Vontu Incident Persister > Vontu Update > Vontu Monitor Controller

Oracle 백업에는 다음의 3가지 방법이 있지만, Symantec DLP에서는 DB를 shutdown하고 백업을 받는 오프라인

    1)(cold) 백업을 권장.

2. Windows에서 spfile의 복사본 생성 Oracle SQL*Plus의 SQL> 명령 프롬프트에서 다음을 입력.

         create pfile='/Temp/inittemp.ora' from spfile;

    2) Oracle SQL*Plus를 종료 

         exit

    3) \Temp 디렉터리로 이동 

    4) inittemp.ora 파일을 백업 시스템 디렉터리로 복사

3. 데이터베이스 파일을 백업

    1) Oracle 서버의 서비스 중지

        ■ OracleOraDb11g_home1TNSListener

        ■ OracleServicePROTECT

    2) Enforcer서버의 서비스 중지

        ■ Vontu Update

        ■ Vontu Incident Persister

        ■ Vontu Manager

        ■ Vontu Monitor

        ■ Vontu Monitor Controller

        ■ Vontu Notifier

    3) 데이터베이스 파일을 백업 위치로 복사

        $oracle\oradata\protect

    4) \oracle\product\11.2.0\db_1\database\PWDprotect.ora 파일을 선택하고 백업

1. 기존 데이터베이스를 복원하여 데이터베이스를 복구하려면

    1) Oracle 서버의 서비스 중지

        ■ OracleOraDb11g_home1TNSListener

        ■ OracleServicePROTECT

    2) Enforcer서버의 서비스 중지

        ■ Vontu Update

        ■ Vontu Incident Persister

        ■ Vontu Manager

        ■ Vontu Monitor

        ■ Vontu Monitor Controller

        ■ Vontu Notifier

    3) 데이터베이스 파일을 복원

        $oracle\oradata\protect

    4) 데이터베이스 시작

        ① Oracle SQL*Plus를 실행

            - Windows > 시작 > 프로그램 > Oracle - OraDb11g_home1 > 응용 프로그램 개발 > SQL Plus로 이동

        ② SQL> 명령 프롬프트 sysdba 사용자로 연결 

           connect sys/protect as sysdba

        ③ startup을 입력 후 엔터

2. Windows에서 새 데이터베이스 생성

     - 새 데이터베이스의 드라이브 구조가 기존 데이터베이스의 드라이브 구조와 동일하다고 가정

     1) 데이터베이스 파일을 복원

         $oracle\oradata\protect

     2) 데이터베이스 시작

         ① Oracle SQL*Plus를 실행

              Windows > 시작 > 프로그램 > Oracle - OraDb11g_home1 > 응용 프로그램 개발 > SQL Plus로 이동

         ② SQL> 명령 프롬프트 sysdba 사용자로 연결

             connect sys/protect as sysdba

         ③ startup을 입력 후 엔터

DLP 업그레이드

 Upgrade Path 체크

- Symantec DLP는 major release(10.5, 11.0, 12.0, 12.5 )를 반드시 설치해야만 다음 버전으로 업그레이드 가능합니다. 

- 예를 들면 10.0버전을 12.5 버전으로 업그레이드를 하기 위해서는 10.0 -> 11.0 -> 12.0 -> 12.5 순으로 업그레이드를 해야 합니다. 이러한 순서를 Upgrade path라 합니다.

수동업그레이드

1) 파일 복사 

- Symantec_DLP_12.0_Platform_Win-IN\DLP\12.0\Upgrade_11.x_to_12.0 경로에서 12.0_Upgrader_Windows.jar 파일을 복사합니다.

2) 새폴더 생성 

- DLP가 설치된 경로(C:\Vontu\Protect\updates)에 새 폴더를 생성합니다.

- 폴더명은 아무거나 상관없으나 버전을 알 수 있도록 생성하는 것을 권장합니다.

3) 압축해제

- C:\Vontu\Protect\updates\12.0 폴더에 12.0_Upgrader_Windows 파일을 붙여 넣고 압축을 해제 합니다. 이때 또 다른 새 폴더가 생기지 않도록 유의합니다.

- 압축 해제 프로그램(알집, 반디집 등)이 없는 경우에는 확장자를 .zip으로 변경 후 윈도우 자체에서 제공하는 압축 풀기를 진행합니다.

4) start_upgrade_wizard.bat 실행

- start_upgrade_wizard.bat 파일을 관리자 권한으로 실행하거나 Administrator 계정으로 로그인 후 실행합니다.

5) start_upgrade_wizard.bat 실행(계속)

- ‘1개의 파일이 복사되었습니다.’ 라는 CMD창이 생성되고, Tomcat 창이 실행됩니다. 

- Tomcat 창은 닫지 않고 유지합니다.

6) DLP Console 로그인

- 브라우저에서 https://localhost:8300으로 접속하면 DLP Upgrade 로그인 페이지가 나옵니다. Password : protect04 를 넣고 Login을 합니다.

7) DLP License Agreement

- License Agreement 화면이 나오고 밑에 [Accept] 버튼을 클릭합니다. Logfiles 을 클릭하시면 로그 파일을 보거나 저장할 수 있습니다.

8) System Check

- System을 Check하기 전에 나오는 페이지 입니다. [Next >] 버튼을 클릭합니다.

9) System Check Succeeded

- Upgrade Path에 맞는 Upgrade 버전일 경우 System Check Succeeded 문구가 보이는 페이지가 나옵니다. [Next >] 버튼을 클릭합니다.

10) DLP Upgrade

- 이전 버전에서 설치한 Language Packs은 제거 된다는 경고 문구가 나옵니다. [Next >] 버튼을 눌러 업그레이드를 계속 진행합니다.

11) DLP Upgrade ? Pre-check

- Upgrade전에 Upgrade를 올바르게 하기 위한 준비가 되어있는지 Check 합니다. 완료되면 밑에 [Next >] 버튼을 클릭합니다.

12) DLP Upgrade ? Enforce Server

- Enforce Server를 Upgrade합니다. [Next >] 버튼을 클릭해서 Upgrade를 진행 합니다. 진행 과정이 퍼센트로 나타나고 Upgrade is Complete가 나오면 [Next >] 버튼을 클릭합니다. 

13) DLP Upgrade ? Enforce Server(계속)

- (본 화면은 12.0 이상의 버전에서 나옵니다) ① Production version / Test version 을 선택하고 [Next >] 버튼을 클릭합니다. 

- ②은 Symantec Product의 quality의 향상을 돕기 위해 원격 프로그램 지원에 참여한다는 사항입니다.

14) DLP Upgrade ? Detection Servers

- 설치된 Detection Servers 중에서 먼저 업그레이드 하고자 하는 server를 선택합니다. (실망에서는 한번에 모든 서버를 업그레이드 할 경우 모든 서비스가 중지 되므로 나눠서 업그레이드를 실시합니다)

15) DLP Upgrade Finish

- Upgrade가 마무리 되었습니다. [Finish] 버튼을 클릭합니다.

자동업그레이드

1) Enforce console 접속

- DLP Enforce console 접속 후 [System] ? [Servers] ? [Overview] ? [Upgrade] 버튼을 클릭합니다.

2) 파일 업로드 후 Upgrade 진행

- 찾아보기 버튼을 클릭 후 Upgrade할 버전의 Jar 파일을 넣고 [Launch Upgrade] 버튼을 클릭합니다. 그 후 관리자 계정 로그인 페이지 창이 보이고 로그인을 하게 되면 수동 설치 6)번 과정 이후와 동일하게 Upgrade를 진행합니다.

1. Active Directory의 요소

Active Directory를 구성하는 각 요소들은 논리적인 구조로 엮어져 있다. 정보나 자원들은 사용자나 회사가 그것을 사용하는 용도나 내용에 따라서 논리적으로 그룹화 되어 있으며, 이 그룹화 된 object를 위치에 상관없이 그 이름만으로 손쉽게 탐색할 수 있는 것이다. 이러한 Active Directory의 논리 구조에 대해서 우선 이를 구성하는 기본 구성 요소에 대해서 알아 보자.

Objects
object란 공통된 속성을 가지며 class(클래스)별로 구성된다. Users, computers, printers, applications등이 object이다.

Object Attributes
Attribute(속성 혹은 properties)는 각 object가 가지고 있는 특징을 정의하는 정보의 카테고리이다. 같은 타입의 모든 object는 동일한 attribute를 가진다. 그리고 그 attribute의 값이 서로 틀리기 때문에 해당 object를 고유(unique)하게 되는 것이다. 예를 들면 User Account object의 attribute 중에 First Name 이 있을 경우에, 이 First Name 속성의 값에는 John, 이나 Jane등 어떤 이름이던지 들어 갈 수가 있으며, 이 속성 값으로 네트워크 상의 누구라도 찾을 수 있는 것이다.

Object Classes
Object Classes는 object의 논리적 그룹이다. 이 클래스의 특징을 기술하는 것을 properties라고 부른다. 예를 들면 object classes는 users, groups, computers, domains, organizational units 그리고 security policies등이 있다.

Schema
Schema는 Active Directory의 object 를 정의한다. 이는 각 object 의 attributes, classes, 그리고 classes properties등을 규정한다. 이 schema는 각 object의 attributes에 특정 값이 반드시 필요한 지 아니면 선택인지(optional)인지를 규정한다. 그리고 이 schema는 손쉽게 확장되는 데, User Account object의 First Name 이라는 attribute에는 반드시 입력되어야 하는 값이 있어야 하는 반면에, Telephone Number나 Address라는 attribute에는 값이 들어가도 되고 안 들어가도 되는 optional로 정의 되어 있다.

2. Active Directory의 논리 구조

Active Directory object는 다음과 같이 containers, domains 그리고 OUs를 구성한다.

Containers
Container는 다른 object를 포함하고 있는 일종의 directory object이다. 컴퓨터 네트워크나 domain은 container의 한 일종이다.

Domains
Active Directory의 논리 구조의 핵심 단위가 domain이다. 이 domain은 사용자 계정 정보와 이DNS이름을 바탕으로 서로를 각기 구별하고 보안 정보를 공유하는 object의 논리적 container이다.
한 domain은 보안 관리 체계를 이루는 최소 단위가 되면서 Windows 2000 네트워크에 복제가 일어나는 단위가 된다. 다시 말하면, security policy던가, 관리 권한(administrative right), ACL등과 같은 것은 domain 내부에서만 일어나는 것이지 다른 domain으로 적용할 수 없는 것이다. 하지만 domain은 다른 domain과 보안 관계를 맺을 수 있다.
한 domain은 물리적인 지역 여러 곳을 커버 할 수 있다.

Domain Controller
Active Directory의 물리적 구조를 살펴 보면, domain controller라는 서버가 domain의 directory를 한 벌 저장하고 있다. 한 domain내에서 여러 개의 domain controller가 있으며, 이는 각기 해당 domain의 directory 정보의 복제 본을 한 벌씩 가지고 있다.

Organizational Units
OU(Organizational Units)는 일종의 container object로서 domain내의 object 들을 관리할 수 있는 그룹으로 묶어 놓은 것을 말한다. 하나의 OU는 user accounts, groups, computers, printers, applications, security policies, file shares, 그리고 다른 OU등을 포함할 수 있다.
한 domain내의 OU는 그 계층 구조가 다른 domain의 계층구조와 전혀 상관이 없이 구성된다. 그러므로 OU는 각 domain에서 독립적인 계층 구조를 가진다고 말할 수 있다.

3. Active Directory의 논리 구조와 그 상관 관계
Domain은 서로 연결되어Tree와 Forest를 구성한다.

Trees
연속되는 이름영역(namespace)을 가진 하나 이상의 domain으로 구성된 계층적 조직을 tree라고 한다. 이 연속된 이름영역(contiguous namespace)이라는 것은 parent container의 이름이 child object의 이름의 뒤에 붙는다는 것을 말한다. Active Directory내에서 tree내의 domain끼리는 서로 trust relationship을 가지면서 공통된 schema, configuration, global catalog server를 사용한다. 여기서 trust relationship이라고 하는 것은 두 개 이상의 domain을 논리적으로 연결하여 하나의 관리 단위로 이용하는 것을 의미하기 때문에 각 object는 domain에 상관없이 서로 공유된다. 여기에 사용된 trust relationship은 2 way trust relationship혹은 transitive trust라고 불리며, Kerberos 버전 5 프로토콜이 trust relationship을 인증하는데 사용된다.
예를 들면, ICMARKET 사는 Manufacturing 부서를 위해 하나의 domain을 만들어 manu.icmarket.com라고 이름하고 Marketing 부서는 market.icmarket.com라고 이름 짓는 다면, 각 부서의 domain은 공동의 application과 자원을 공유하게 해야 한다. 이 것이 가능한 것은 이 두개의 domain이 icmarket.com라는 연속되는 이름영역(namespace)을 사용하기 때문이다.

Forests
Forest는 연속되지 않는 이름영역(namespace)을 가진 하나 이상의 tree로 이루어 진다. Forest내의 각 tree는 독립적인 이름영역(namespace)을 가지는 데, 이들 tree간에 각기 틀린 이름영역을 disjointed namespace라고 부른다. 디폴트로 root tree나 forest내에서 제일 먼저 만들어 지는 tree의 이름이 forest의 이름으로 사용된다.
비록 그 이름은 서로 공유되지 않더라도 forest내의 tree들은 schema, configuration 그리고 global catalog server는 공유한다. 예를 들면 미국에 있는 icmarket.com와 한국에 새로 만들어진 tainspintoys.co.kr은 서로 다른 이름영역을 가지더라도 동일한 application, objects 등을 공유할 수 있는 것이다.

Global Catalog Server
Global catalog server는 전체 directory의 모든 구성 요소와 그 상관 관계를 한눈에 알아 볼 수 있도록 한다. 이것은 Active Directory가 복제 될 때에 만들어 지며, 전 directory의 복제 본을 저장하고 있다. 이것을 통하여 사용자나 관리자가 object의 attribute 로서 모든 directory object를 이를 저장하고 있는 domain이나 domain내의 서버나 그 서버의 지리적 위치에 상관없이 찾을 수 있다. 
Global catalog server는 모든 directory object를 담고 있지만 이는 Active Directory의 각 object와 attribute의 일부분을 복제하여 저장하고 있다. 다시 말하면 각 object의 전 attribute를 저장하는 것이 아니라 검색에서 가장 자주 이용되는 attribute 들만 저장하고 있는 것이다. 예를 들면 user account object의 First Name은 들어 있어도, Last Name 이나 logon name은 들어 있지 않은 것이다.

4. 물리적 구조의 구성요소

Active Directory는 논리 구조와 물리 구조로 나누어 접근해 볼 수 있다. 앞장에서의 논리구조와는 달리 Active Directory는 Site내에서 domain controller를 포함하는 site topology 를 구성하여 하나의 물리적 디렉토리 구조를 이룬다.

Sites
Site란 Active Directory server가 물리적으로 위치하는 장소 정도로 이해하면 된다. Administrators는 신뢰성 있고 아주 빠른 LAN 네트워크 망에 있는 여러 서버들을 묶어서 Site를 만든다. 여기서 신뢰성 있고 아주 빠른 LAN 네트워크가 필요한 까닭은 Site내의 서버 끼리 일어나는 복제 작업에 따른 네트워크 트래픽을 감당해야 하기 때문이다. Site는 서버나, 컴퓨터, 프린터, 팩스 등과 같은 하드웨어를 포함한다. IP 네트워크의 서브 넷을 Site로 만들게 되면 관리자가 Active Directory를 설정하거나 관리하기가 용이해진다.

Site를 만들 때 고려해야 하는 것은
 1. 복제 트래픽이 원할 하게 전송될 것
 2. 사용자가 domain controller에 신뢰성 있고 아주 빠른 LAN 망으로 접속할 수 있게 할 것.
 3. 한 Site는 여러 domain의 여러 domain controller를 포함할 수 있고, 한 domain의 여러 domain controller는 여러 site에 포함될 수 있다.

Site는 이름영역(namespace)에 속하지 않는다. Site topology정보나 그 구조에 관한 사항은 directory에 별개로 저장된다.

Site Topology
Site Topology는 기업의 전 네트워크에 site를 어떻게 분산 배치 할 것인가를 기술하고 있다. 한 site에 최소 하나의 domain controller를 두도록 설계하는 것이 좋다.

Domain Controllers
Domain controller란 domain directory를 업데이트 할 수 있는 복사본을 가지고 있는 서버를 말한다. 모든 domain controller는 계층적 구조가 아닌 동등한 관계를 유지하기 때문에 NT 4.0 이전 버전에 있었던 primary나 backup domain controller라는 개념은 더 이상 사용하지 않는다.

5. 물리적 구조 내에서의 동작

Site를 이루는 물리적 구성 요소와 domain controller가 구성되면 이는 Active Directory운용에 함께 어울려 동작한다. 이 동작에는 디렉토리 복제, Global catalog server 업데이트, Directory 확장과 성능의 최적화를 위한 directory저장 조직의 개편 등이 포함된다

복제(Replication)
Directory에 변경이 생기면 이는 바로 다른 domain controller에게도 복제가 일어난다. 그리고 domain내에 새 서버가 설치될 때에도 domain directory는 자동으로 이 새로 설치되는 서버에 복제가 되는 것이다.
Active Directory는 multi-master replication을 한다. 

Replication이 됨으로써 다음과 같은 두 가지 이점이 있다. 
 1. 서버의 장애로 인해 디렉토리 데이터에 손상이 가더라도 다른 서버에서 읽을 수 있다.
 2. 복제된 디렉토리가 네트워크 전반에 걸쳐 있기 때문에 각 사용자의 액세스가 분산되어 로드를 줄일 수 있다.
복제가 일어나게 되면 이 변경 사항이 Global catalog server에도 복제가 된다.

물리 구조에서의 Global catalog server의 역할

Global catalog server는 domain controller가 만들어 질 때에 자동으로 만들어 진다. Active Directory의 부분 복제 분이 domain controller에 있게 된다. 이것이 가능한 것은 Active Directory가 정보와 자원을 저장하기 위해 partition을 사용하기 때문이다.

Partitions
Partitions은 디렉토리 데이터의 서브 셋을 담고 있는 물리적 저장 컨테이너 이다. Active Directory는 partition에 각 domain의 디렉토리 정보를 DN별로 분리 저장한다. Active Directory의 저장 컨테이너(container)는 domain이나 OU가 될 수 있다. Global catalog server는 DN을 보면 해당 object가 있는 partition의 복제 본이 어디 있는지를 알 수 있기 때문에 object를 쉽게 찾을 수 있다.

Naming context
Naming context란 디렉토리의 연속되는 서브 트리이며 복제의 단위가 된다. 한 partition이 하나의 naming context이다. Active Directory에서는 하나의 서버가 다음과 같이 최소 3 개의 naming context를 가진다. 
 1. Configuration: Sites, services, partition과 schema에 대한 물리적 데이터를 저장한다. 
 2. Domain naming: domain directory 데이터를 포함하는 복제의 기본 단위이다. 
 3. Schema: 전 Active Directory에 대한 Schema를 저장한다. 

복제(replication)가 일어 날 때 마다 이들 naming context도 복제된다.

6. Active Directory Security 특징

Active Directory를 관리하고 액세스하는 것은 엄격한 보안 관리를 통해서 제어된다. 이 보안 관리를 위해 다음과 같이 4 가지 기능이 있다.

Access Control List
Active Directory내의 각 object에는 해당 object를 누가 이 object를 어떤 퍼미션으로 액세스 할 수 있지를 통제할 수 있는 Access Control List(ACL)이 있다. 이 ACL의 적용 대상은 object 뿐만 아니라, object attribute과 object classes도 액세스 하는 것을 통제한다.

Delegation(권한 위임)
Delegation이란 Administrators가 특정 개인이나 그룹에게 컨테이너나 서브트리에 대한 특정 퍼미션을 주어서 이를 관리하게 할 수 있는 것을 말한다.

Inheritance (상속)
상속(Inheritance)이란 컨테이너 object에 대한 ACE(Access Control Entry)을 child container에 있는 object에게도 그대로 세습하여 적용하는 것을 말한다.

Trust Relationships
한 domain에 있는 사용자가 다른 domain에 있는 자원을 액세스 하려면 해당 domain사이에는 trust relationship이 이루어져야 한다. 이 trust relationship은 schema, configuration 그리고 global catalog server를 공유한다는 것을 의미한다.
이 trust relationship에는 다음과 같이 transitive trust와 explicit trust가 있다.

Transitive Trusts
Domain이 만들어 져서 tree에 포함 될 때에 이 transitive trust가 자동으로 설정된다. Transitive trust란 domain간에 서로 양방향 신뢰관계(trust relationship)가 설립되는 것을 말한다. 이는 forest 에서도 일정한 퍼미션만 주어진다면 사용자는 어떤 자원에도 액세스할 수 있도록 하기 위함이다. 
이 Transitive Trust는 Kerberos 버전 5 프로토콜을 사용해서 사용자 인증을 한다. 

Transitive trust를 다른 용어로 implicit trust라고도 하는 데, 이는 domain A가domain B를 trust하고, domain B가 domain C를 trust할 경우에, domain A는 자동으로 domain C를 trust하는 관계가 되는 것을 의미한다.

Explicit Trusts
Explicit trust란 단 방향으로 신뢰가 설정되는 경우이다. Domain A가 domain B를 trust할 때에는 domain B의 사용자가 domain A의 자원을 액세스 할 수 있다. 그 반대는 안 된다. Forest 간에는 explicit trust가 설정된다.

1. Active Directory 개요

Directory란 일종의 저장 용기(container)로서, 여기에는 사용자에 관한 데이터, 프린터, 서버, 데이터베이스, 그룹, 컴퓨터, 보안 정책등과 같은 object가 들어 있다.
예를 들면 전화번호부를 directory라고 부르는 이유는 그 전화번호부 안에 각 전화 이용자의 이름이나 회사의 전화번호부와 주소가 있기 때문이다.

Directory Service는 이 Directory에 있는 정보를 사용자가 찾아서 해당 네트워크 자원에 액세스할 수 있도록 하는 서비스를 말한다.
여기서 네트워크 자원이라고 하는 것은 사용자 계정, 그룹 계정, 컴퓨터, 프린터 등과 같은 주변 기기들을 말한다.
이는 관리자(Administrators)가 directory object과 그 속성(attributes)을 정의 하고 관리하도록 되어 있다.

Active Directory란 Windows Server에 들어 있는 Directory Service를 말한다.
Active Directory는 directory service로서 기본 기능뿐만 아니라 거대 기업의 네트워크 환경을 관리 할 수 있는 기능까지 들어 있다.

Active Directory의 directory service로서의 기본 기능을 다음과 같이 수행한다. 
 조직이나 회사의 확장이나 성장에 따라 같이 확장할 수 있는 정보 소스의 역할.
 관리자가 한 컴퓨터에서 전체 네트워크의 정보를 입력하고 관리할 수 있는 기능.
 Schema에서 정의한 룰이나 정책을 정의할 수 있는 방법을 갖춤.
 DNS(Domain Name System)이나 LDAP(Lightweight Directory Access Protocol)을 이용하는 Internet 관련

 directory object를 검색할 수 있는 방법을 제공함.

2. Active Directory 기능

Active Directory 의 전체 기능(Full capabilities)

Active Directory의 전체 기능을 이해하기 위해서는 Active Directory가 가지고 있는 기본 기능 이외에 이가 가지고 있는 다른 기능 까지도 알아 볼 필요가 있다.
이는 사용자의 현재 네트워크 환경에 있는 시스템과 서로 호환되면서 장애 발생시도에도 서비스를 계속할 수 있는 기능과 directory object에 허가 받지 않는 사용자들이 접근할 수 없도록 보호하는 기능도 들어 있다.

확장가능 Directory (Extensible Directory)
Active Directory가 적게는 몇 백 개 수준의 object에서 부터 몇 백 만개 의 object를 관리할 수 있는 것은 Active Directory가 기본적으로 여러 개의 섹션으로 나누어져서 관리 될 수 있도록 하는 파티션 개념을 도입했기 때문이다.
Active Directory는 여러 개의 파티션으로 이루어져 있기 때문에 회사나 조직이 성장하더라도 이에 따라 계속 확장할 수 있는 것이다.

스키마(Schema)- 공통된 정의 방법
Directory service를 하기 위해선 object 에 대한 기술 방법이나 이를 유형별로 구분하는 일정한 룰이 필요한 데, Active Directory는 스키마(schema)를 이용하여 각 object를 관리하고 이용한다.
스키마(Schema)가 정의하는 데로 Active Directory의 내용과 구조가 구축된다. 그리고 이 스키마 자체도 바로 Active Directory내에 포함 되어 있다.

Internet표준 이름 명명법- DNS를 이용
Active Directory는 Internet 이름 영역(name space) 개념인 DNS을 도입하여 사용한다.
이는 이름을 IP주소로 이름 풀이하는 방법인 데, Active Directory는 이 DNS를 이용하여 Internet에 있는 자원이나 object를 찾는다.
이는 바로 네트워크 상의 물리적 지리적 위치에 상관없이 자원이나 object의 이름으로 바로 찾을 수 있는 방법을 제공하게 되는 것이다.

LDAP지원(Lightweight Directory Access Protocol)
Active Directory을 검색하고 directory와 응용 프로그램간의 정보 교환을 할 때에 바로 이 LDAP 프로토콜을 사용한다.

한 곳에서 관리할 수 있는 기능(Single Point of Administration)
Directory를 관리한 다는 것은 네트워크 상의 자원이나 object를 끊임 없이 추가하거나, 변경하고 삭제하는 작업을 말한다.
Active Directory에서는 네트워크 상의 어떤 자원이나 object도 한 컴퓨터에서 액세스하여 관리할 수 있도록 되어 있다.
이는 관리 비용과 시간의 절약을 말하는 것이다.

Active Directory 의 정상 기능(Full capabilities)

향상된 질의/응답 기능(Enhanced Queries)
Active Directory 에는 Global catalog server에 전체 directory 에 대한 index를 만들어 둔다.
이 Global catalog server에다가 사용자는 질의 함으로서, 전 네트워크에 대한 자원이나 object를 찾을 수 있고, 이를 view해 볼 수 있다.
Global catalog server는 Active Directory가 replication(복제)될 때에 자동으로 생성되기 때문에 전 네트워크에 걸쳐 복제된 정보를 이중화로 가지고 있다.

결함 허용(Fault Tolerance)
Active Directory가 복제 되기 때문에 이는 한 쪽에 장애가 발생하더라도 복제된 정보를 이용해서 계속 서비스를 할 수 있기 때문에 결함허용 기능을 가지게 된다.
다시 말하며 전 네트워크 사용자는 똑 같이 복제된 데이터를 사용하기 때문에 그 중 하나에 장애가 발생하더라도 동일한 서비스를 계속 받을 수 있다는 것을 말한다.

보안 통제(Security Controls)
사용자나 관리자가 Active Directory를 사용하고 관리하는 것은 보안 정책(Security Policy)으로 규정된다.
Active Directory에는 ACL(Access Control List)가 있어서 directory내의 object 에 대한 정보를 연결해서 읽어 오는 것을 행위는 퍼미션이 부여된 사람 많이 할 수 있도록 통제 된다.
그리고 전체 네트워크의 자원과 object에 대한 모든 액세스 통제를 한 사람이 다 할 수는 없기 때문에 이를 여러 책임 있는 그룹에게 관리 권한과 책임을 분산하여 이양할 수도 있다.

호환성(Interoperability)
Active Directory는 다음과 같이 다른 운영체제나 서비스, 플랫폼(platform), 프로토콜과 문제없이 상호 운용된다.
 NT 3.51, 4.0과 같이 호환된다.
 DNS서비스를 이용하여 Internet 이름 영역 과 통합되어 운영된다.
 코어 프로토콜은 LDAP 버전 2 버전 3을 사용한다.
 ISO X.500 표준을 따르며, MS Exchange 4.0과 5.x 클라이언트가

 사용하는 NSPI(Name Service Provider Interface)도 지원한다.
 WWW을 통하여 정보를 제공할 수 있는 Internet 프로토콜인 HTTP

 (Hypertext Transfer Protocol)을 지원한다.
 NDS(Novell Directory Service)등과 같은 다른 directory service와도

 정보를 공유할 수 있다.

3. Active Directory 이름 명명법

Active Directory 는 분산 네트워크에 적용될 수 있도록 만들어진 directory service이다.
그러므로 이는 각 분산된 네트워크나 사용자들이 지역이나 하드웨어의 제약을 떠나서, 다국적 기업일 경우에는 각 국가가 사용하는 서버의 언어도 극복해서 구축 관리 할 수 있도록 만들어진 것이다.

다시 말하면 회사나 조직의 그 크기에 한계에 상관없이 적용할 수 있는 directory service이기 때문에 단일 서버를 사용하는 아주 작은 조직에서부터 수천 대의 서버에서 수 백만 개의 object를 관리해야 하는 거대 기업에 까지 이를 적용할 수 있는 것이다. 

이러한 분산 처리 방식의 directory service인 Active Directory의 동작 원리를 이해하기 위하여 다음과 같은 4 가지 정도의 개념을 이해하도록 하자. 
1. 표준 이름 명명법(Naming Standards) 
2. 논리적 구조 요소와 organization 그리고 이 들의 상관관계 
3. 각  컴포넌트의 물리적 구조와 동작 
4. Active Directory의 보안 특징 
5. Active Directory에서의 표준 이름 명명법(Naming Standards)

Active Directory Naming

Active Directory는 각 object 를 기준으로 하여 동작한다. 각 object는 Active Directory내에서 각각 고유한 이름을 갖게 되며 이것으로 서로 구분된다.

이름영역(Namespace)
Active Directory는 각 고유의 이름을 가진 object로 구성되며, 그 이름을 기술적이 용어로 이름영역(namespace)이라고 한다. 이 namespace는 일종의 경계를 포함하는 영역을 나타내는 것이다.

이름 풀이(Name Resolution)
이름 풀이(Name resolution)라고 하는 것은 이름을 object 나 그 이름이 나타내고 있는 정보로 번역하는 과정을 말한다. 예를 들면 전화 번호부라는 것은 전화 가입자의 이름으로 그 사람의 전화 번호와 주소에 관한 정보를 알아 낼 수 있는 이름 영역(Namespace)이라고 할 수 있는 것이다.

이와 같이 Active Directory도 object의 이름이 object 그 자체로 변환될 수 있는 이름 영역을 구성하는 것이다. 실례를 들자면, 사용자 James Smith는 Active Directory 내에서 그가 속한 domain의 이름도 풀이가(알 수 있게 되는)되는 것이다.

관리자가 Active Directory 구조를 생성할 때에, 그 컨텐츠는 논리적 계층적 구조로 만들어 져서 보관된다.
예를 들면, Tailspin Toy사는 icmarket.com로 되어 있으며, 이 회사의 생산과 국제부 그리고 마케팅 부서는 Tailspin Topy사의 이름 영역을 붙여서, 각기 manu.icmarket.com, inter.icmarket.com, 그리고 market.icmarket.com로 만들어 지며
이 것이 Active Directory내에서 논리적 계층 구조로 이름이 명명된다는 것을 말하는 것이다.

Active Directory Name Types
Active Directory내의 각 object의 이름에는 다음과 같은 3 가지 타입이 있다.

DN (Distinguished Name)
Active Directory내의 모든 object 는 DN을 가진다. James Smith 가 ICMARKET 회사의 Marketing 부서에서 근무하는 사용자라고 할 때, 이 James Smith 의 DN은 다음과 같이 표현 된다.
James Smith라는 object의 DN = James Smith@market.icmarket.com
여기서 각 부분을 살펴보면;
James Smith: 이것은 Active Directory내에 정의된 user object의 실제 이름이다.
Market: 이것은 ICMARKET사의 Marketing 부서를 나타내는 컨테이너(container)이다.
Icmarket: 이것은 Active Directory내의 ICMARKET사의 이름 영역(namespace)이다.
Com: Internet에서  일반 회사임을 나타내는 (edu, mil처럼) 컨테이너(container)이다.

RDN (Relative Distinguished Name)
RDN(Relative Distinguished Name)은 object의 attribute(속성)을 나타내는 이름의 한 부분을 말한다. Active Directory에서 질의를 할 때에 DN 뿐만 아니라 object의 한 속성을 가지고 찾을 수도 있다. James Smith라는 user object의 RDN은 바로 James Smith이다. 이 object의 부모(parent) object 의 RDN은 Users이다.
User Principal Name

UPN(User Principal Name)

UPN(User Principal Name)이란 Windows 2000에서 사용자의 로그온 이름이다. UPN은 사용자 object가 있는 컨테이너의 DNS 이름이나 user object 를 대신하는 줄인 이름인 것이다. James Smith 는 jsmith 등과 같은 UPN을 갖을 수 있을 것이다.

Naming Conventions (이름 명명법)
Active Directory는 다음과 같은 업계 표준인 2 가지의 이름 명명법을 사용하기 때문에 사용자나 응용프로그램이 Active Directory를 액세스 할 때에 비슷한 포맷으로 사용할 수 있다.

DNS (Domain Name System)
Internet 의 표준 이름 영역(namespace) 방식이 DNS이다. Active Directory는 이 DNS와 같은 이름 영역 표시법을 사용하고 또 이를 이용해서 이름을 주소로 풀이(Name resolution)해서 그 자원이 있는 장소를 찾을 수 있는 서비스를 제공하기도 한다. DNS는 계층적 구조를 가진 이름 영역 표시법이기 때문에 이를 이용하여 네트워크 상의 컴퓨터나 다른 자원들을 찾을 수 있는 방법으로 쓰이는 것이다.

LDAP (Lightweight Directory Access Protocol)
LDAP 버전 2 와 버전 3을 지원한다. 그리고 이는 Active Directory가 directory database와 응용 프로그램 간의 핵심 프로토콜로 사용된다.