Active Directory 를 위한 정보 수집

[  출처 : http://blog.naver.com/reddangun/120019414220  ]

조직에 관한 정보 수집

Active Directory는 전체 조직 구성에 관한 것이기 때문에 이는 전체 네트워크 관리자들이 중앙에 모여서 설계하고 구축하는 것이 바람직하다.
우선 현재의 업무 별 조직의 구성에 관한 정보를 수집해야 한다. 여기에는 지리적인 조직의 구성, 사원과 정보와 네트워크 자원을 어떻게 관리할 것인가에 대한 보안 정책들이 포함 된다. 그리고 이와 동시에 전체 네트워크 환경에 대한 면밀한 분석이 같이 이루어 져야만 성공적인Active Directory 설치가 될 수 있다.
Active Directory 구축은 우선 각 이름을 어떻게 명명할 것인가에 대한 전략과 domain의 구조와 관리 권한의 위임을 어떻게 할 것인가에 대한 계획들이 먼저 있어야 한다. 그리고 다중 domain이 필요한 지도 검토해야 하며, 스키마의 변경 여부나 Site의 구조 설계 그리고 보안 정책을 어떤 식으로 꾸려 갈 것인가에 대한 준비도 있어야 한다.
중앙 기획 팀
Active Directory 는 전체 조직을 반영하는 object에 관련된 것이기 때문에 업무부와 전산부원들이 함께 모여 계획하고 준비하는 것이 바람직하다. Active Directory를 완전하게 구축하고 나면 전체 조직을 일괄 볼 수 있어야 하며, 각 조직이 요구하는 사항들을 완전히 만족할 수 있도록 해야 하기 때문이다. 이러한 중앙 기획 팀이 Active Directory 설치 과업을 제대로 수행하기 위해선 우선 다음과 같은 일들이 선행되어야 한다.
� 전체 조직의 니즈(needs)를 반영할 수 있도록 경영진으로부터 승인과 권한을 위임 받는다.
� 전체 조직에서 시스템 운영을 관리할 관리자를 확인한다.
� 회사 조직이 업무를 진행하는 형태와 플로우에 관한 정보를 수집한다.
� 회사 조직의 구조에 관한 정보를 수집한다.
　
관 리 모델의 결정

조직이나 회사의 지리적 위치에 각 지사의 사무실에 대한 관리와 전체 네트워크의 보안을 어떻게 유지할 것인가에 따라 관리 모델이 결정된다. 이 모델에 따라 전체 네트워크에 대한 관리 방법과 Active Directory 계층구조와 보안 구조가 결정되기 때문에 이는 매우 중요한 결정 요소이다. 이는 관리 형태에 따라 다음과 같이 3 가지 형태로 나눌 수 있다.
중앙 집중 조직
대부분 중소 규모의 네트워크의 전형이다. 한 곳에서 관리와 운영이 이루어 질 수 있는 조직을 대상으로 한다. 주로 단일 지역 내에 모든 조직이 있을 경우에 채택한다.
분산 조직
분산 조직은 각 단위 사업부나 관리 조직이 서로 지역적으로 떨어져있거나 이를 관리하는 조직이 분산되어 있을 경우에 채택한다.
조직이 중앙 집중과 분산이 혼재 되어 있을 경우
중앙 에서 관리하는 부서가 있으면서, 각 단위 사업장이나 부서별로 떨어져 있는 경우이다. 예를 들면, 감사부나 경리부는 중앙에 있으면서, 생산부나 마케팅 부서는 각기 다른 지역에 떨어져 있는 경우가 여기에 속한다.
관리 모델을 결정하는 데에는 다음과 같은 사항들이 미리 점검되어야 한다.
� 조직관리가 중앙 집중형인가 혹은 분산형인가?
� 중앙 집중형 이라면 그 조직을 관리하기 위한 엔티티의 숫자는 얼마나 되는가?
� 분산형이라면 각 분산 조직별로 이를 관리하기 위한 엔티티의 숫자는 얼마나 되는가?
� 다음 사항이 발생하면 누가 IT(전산)지원을 할 것인가 ;
� 이름 풀이에 관한 문제가 발생할 때는?
� 네트워크 표준과 정책문제 설정은?
� 사용자나 관리상의 문제가 발생할 때는?
� 네트워크 대역이나 저장 용량 문제를 계획하는 것은?
� 보안 문제가 발생할 때?
� 사용자 관리는?
　
지리적 위치

여기서 장소란 사무실과 사용자들이 있는 곳을 말한다. 빌딩 이름이나, 도시 이름, 그리고 층 수 등이 될 수 있다. 이들에 대한 상세한 자료를 미리 준비해야만Active Directory를 설계할 때에 각 사용자의 니즈에 정확이 부응할 수가 있다.
이 지리적 위치에 관한 상세한 내역을 잘 파악하고 있어야 다음과 같은 결정에 착오가 발생하지 않는다.
� Site의 구조 결정과 위치
� Domain controller의 위치와 Global catalog server의 위치
� 복제를 위한 파티션의 설정
장소 설정을 적절히 하기 위해서는 다음과 같은 사항을 파악해야 한다.
물리적 위치 장소를 몇 군데로 만들 것인가? 여기에는 원격지 사무실, 자회사, 그리고 해외 지사들을 포함 시켜야 한다.
지리적으로 사무실들이 어느 나라, 어떤 도시에 있는 가?
각 지역/위치에 있는 빌딩의 개수는? 각 빌딩의 층 수는? 각 층은 몇 평인가? 이 지역에서 업무상 어떤 부서가 위치하나?

보안 요건의 검토

Active Directory의 구축에는 현재의 보안 정책과 관리 모델 방식 등이 자연히 영향을 미칠 수 밖에 없는 데, 이런 결정을 내리는 것에는 퍼미션과 domain 모델 그리고 tree구조를 어떻게 가져 갈 것인가 하는 것이 고려되어야 한다.
이 러한 보안 요건을 검토할 때는 아래와 같은 사항들을 검토해 보아야 한다.
� 사용자와 그룹을 만들거나 공유 폴더 만들기, 그리고 암호의 변경과 각 object와 object의 attribute을 관리하는 업무를 누가 할 것인가? 그리고 그룹을 만들 때에 이 그룹에는 어떠한 권한을 부여할 것인가?
� 지역적으로 분산된 부서간의 관계는? 외부 하청업체나 관련사 와 의 관계는?
� 현재의 보안 정책은 어떠한가?
� 현재의 표준 보안 방법과 향후에 구축할 보안 방법은?
　
회 사의 성장과 조직의 개편

회사의 성장이나 조직 개편에 따라 Active Directory도 변경된다. 이 것 이외에도 합병이나 구조 조정등에 의한 Active Directory이 변경도 생각해 보아야 한다. 회사의 관리 모델에 변경이 생기면 이는 Active Directory내의 이름영역(namespace), domain, OU의 구조, 스키마(schema)와 site topology에 영향을 미치게 된다.
이러한 조직 개편에 따른 Active Directory의 영향 요소를 분석하기 위해서는 다음과 같은 사항을 고려해야 한다.
� 조직의 성장 속도를 예측할 수 있는가?
� 회사 전체가 성장하는가 아니면 몇몇 부서만이 성장하는가?
� 몇몇 부서가 축소되거나 지역적으로 하나로 통합될 것인가?
� 조직 개편의 가능성은 얼마나 되나? 조직이 개편되면 조직 부서의 이름만 변경될 것인가 아니면 완전히 새로운 부서로 새로 만들어 질것인가? 관리 모델 자체가 변경될 수도 있는 것인가?
� 다른 회사를 합병할 경우에 합병되는 회사는 현재 회사의 한 부서로 될 것인가 아니면 각각의 부서로 통합될 것인가?
� 새로운 기술, 즉 Internet등을 사용하게 되면 조직간의 통신 방식에 어떤 변화를 줄 것인가?
　
전 체 네트워크 환경의 현황 파악

Active Directory를 구축하기 전에 다음과 같은 전체 네트워크의 현황을 파악해야 한다.
� 각 지역적 연결의 WAN대역 스피드를 파악해야 site 토폴로지 구성에 있어서 최적의 퍼포먼스를 낼 수 있도록 해야 한다.
� domain 모델을 결정하고 원격지 사용자들에 대한 사항을 파악해야 한다.
� 이름영역을 주기 위해서 현재의 Internet domain 이름의 상충 여부와 향후의 필요 여부를 파악해야 한다.
� 회사 내에 다른 운영체제의 가동 여부와 상호 호환성 여부를 결정해야 한다.
　
네트워크 링크 스피드와 대역 이용률

Site를 설정할 때는 이들 사이에 발생하게 되는 Active Directory 복제에 의한 트래픽의 발생을 염두에 두어야 하기 때문에, 이들 지역간의 WAN 링크 속도를 이해하고 각 링크의 대역 이용률이 얼마나 되는 지를 알아야 한다. 비단 이런 지역적간의 링크 스피드 뿐만 아니라 네트워크 세그먼트 간의 링크 스피드와 대역 이용률도 파악해야 한다.
이러한 요소를 검토할 때에는 다음과 같은 질문서를 만들어 체크 해 본다.
� 각 지역간의 링크 스피드와 대역 이용률은 얼마인가? 그리고 같은 지역내의 빌딩간의 속도와 네트워크 세그먼트간의 속도도 파악되어야 한다.
� 각 링크의 대역 이용률을 파악 할 때에는, 이를 일별, 주별, 월별로 파악해야 한다. 그리고 주간과 야간으로 나누어서 야간에 복제에 의한 트래픽을 소화할 수 있는 지를 파악해야 한다.
　
사용자 현황

Site나 domain 을 설계하기 전에 각 지역적으로나 부서단위에 얼마나 많은 사용자가 있는지 그리고 각 사용자의 직위와 관리 책임 분야는 무엇인가를 파악해야 한다.
이를 파악하기 위해 다음과 같은 체크 사항을 참조 하도록 한다.
회사내의 전체 사용자 수는?
각 지역별 사용자는? 원격 사용자는? 이동 사용자는?
사용자가 부서나 지역을 옮길 빈도수는 월별로 얼마나 되나?
다른 회사와 합병할 계획이라면 이 때에 일어 날 수 있는 사용자의 증가 숫자는?
사용자들의 구분은 어떤 방법으로 하는가? 부서단위? 지역단위?
사용자들이 지역별로 여러 나라 언어를 사용하는가?
　
Internet 의 사용 여부

Active Directory에서는 DNS를 사용하는 데, 이는 이미 Internet에서 사용되어 온 것이다. 회사나 조직에 따라서 Internet에 domain을 등록해 놓아서 이를 이용하고 있는 경우가 허다한 데, 이 Internet의 domain 이름의 회사의 내부와 외부 이용자들이 같은 이름을 사용하게 할 것인가 아니면 내부 외부를 서로 다른 이름으로 사용할 것인가를 고려해 보아야 한다. 이는 바로 Active Directory가 사용하게 될 이름영역과 직접 연관성이 있는 것이기 때문이다.
　
Active Directory의 호환성 여부

회사나 조직에는 MS사의 NT만 있는 것이 아니다. UNIX나 Novell NetWare, 다른 대형 시스템들이 있는 것이다. MS사의 NT만 해도 이전 버전이 있을 수 있으며 이들과의 통합된 Active Directory를 설계하기 위해선 다음과 같은 사항들을 확인해 보아야 한다.
� NT이외의 다른 운영체제는 없는가?
� Windows 2000 이전 버전이 있다면 이를 Windows 2000 domain 모델로 흡수할 것인가 아니면 그대로 유지시킬 것인가?
� 어떠한 email 을 사용하고 있는가? 기존의 email directory나 주소를 Windows 2000으로 옮길 것인가? 그대로 두고 사용할 것인가?
� NDS(Novell Directory Service)등과 같은 다른 Directory Service를 사용하고 있는가?
� 사용중인 네트워크 프로토콜은 무엇인가?(X.500, LDAP등등)
� DNS서비스를 현재 사용 중 인가? 그리고 이 이름영역은 무엇을 사용하고 있는가?
� 보안 관련해서 Kerberos 버전 4 혹은 5를 이미 사용하고 있는가? 혹은 기존의 인증 서버는 어느 것을 사용하고 있는가?
� IPSec(Internet Protocol Security)를 사용할 것인가?
� QoS(Quality of Service)를 사용할 것인가?
� ZAW(Zero Administration Windows)를 전 네트워크에 사용할 것인가?