다음을 통해 공유

서비스 연결 지점을 만들 위치

  • 아티클

Active Directory Domain Services instance 설치되면 서비스 설치 관리자는 Active Directory Domain Services SCP(서비스 연결 지점 개체)를 만듭니다. 주요 목표는 복제 트래픽을 최소화하고 개체의 효율적인 관리 및 유지 관리를 가능하게 하는 것입니다.

클라이언트 애플리케이션은 SCP에서 키워드에 대한 디렉터리를 검색하여 SCP를 찾습니다. SCP의 키워드 특성은 글로벌 카탈로그에 포함됩니다. 클라이언트는 글로벌 카탈로그를 검색하여 포리스트에서 SCP를 찾을 수 있습니다. 이러한 이유로 클라이언트는 SCP를 게시할 위치에 영향을 주지 않습니다.

복제 트래픽 최소화

복제 트래픽을 최소화하려면 서비스 호스트 컴퓨터 도메인의 도메인 파티션에 SCP를 만듭니다. 예를 들어 서비스가 설치된 컴퓨터 개체의 자식 개체로 SCP를 만들 수 있습니다. 도메인 명명 컨텍스트라고도 하는 Active Directory Domain Services 도메인 파티션에는 도메인의 사용자 및 컴퓨터에 대한 개체와 같은 도메인별 개체가 포함됩니다. 도메인 파티션에 있는 모든 개체의 전체 복제본(replica) 도메인의 모든 DC(도메인 컨트롤러)에 복제되지만 다른 도메인의 DC에 복제되지는 않습니다.

구성 파티션에 대한 변경 내용은 포리스트의 모든 DC에 복제되므로 구성 파티션에서 구성 명명 컨텍스트라고도 하는 SCP를 만들지 마세요. 위에서 설명한 것처럼 포리스트 전체의 클라이언트는 글로벌 카탈로그를 쿼리하여 포리스트의 어디에서나 SCP를 찾을 수 있으므로 구성 파티션에서 SCP를 만들면 클라이언트가 더 잘 보이지 않습니다. 더 많은 복제 트래픽만 생성합니다.

관리 용이성

개체 관리에 대한 다음 지침을 고려합니다.

  • 관리자가 정책 및 상속된 액세스 권한을 사용하여 액세스를 제어할 수 있는 서비스별 개체를 배치합니다.
  • 관리자가 쉽게 찾을 수 있는 위치에 개체를 배치합니다.

두 가지 목표를 모두 충족하는 좋은 기본 위치는 각 서비스 instance 호스트 컴퓨터의 컴퓨터 개체 아래에 SCP 및 기타 서비스별 개체를 만드는 것입니다. 자세한 내용은 컴퓨터 개체 아래에 게시를 참조하세요.

단일 호스트에 연결되지 않은 서비스의 좋은 대안은 도메인 파티션의 시스템 컨테이너 아래에 서비스 개체에 대한 컨테이너를 만드는 것입니다. 자세한 내용은 도메인 시스템 컨테이너에 게시를 참조하세요.

다음 다이어그램은 도메인 파티션에 대한 기본 컨테이너 계층 구조의 일부를 보여 있습니다.

기본 도메인 파티션 컨테이너 계층 구조

다이어그램은 Active Directory Domain Services 포함된 기본 도메인 계층 구조를 보여줍니다. 그러나 많은 기업에서는 관리 목적으로 사용자 및 컴퓨터와 같은 개체 클래스를 그룹화하기 위해 OU(조직 구성 단위) 컨테이너의 계층 구조를 만듭니다. 그런 다음 관리자는 OU에 정책 및 상속 가능한 ACE(액세스 제어 항목)를 적용하여 OU의 개체에 대한 관리 권한을 위임할 수 있습니다. 이렇게 하면 관리자가 엔터프라이즈를 효율적으로 관리할 수 있지만 서비스 프로그래머에게는 몇 가지 결과가 있습니다.

  • 서비스 호스트의 컴퓨터 개체가 다이어그램에 표시된 대로 컴퓨터 컨테이너 아래에 없을 수 있습니다. 로컬 컴퓨터의 컴퓨터 개체를 찾는 방법에 대한 자세한 내용은 컴퓨터 개체 아래에 게시를 참조하세요.
  • 관리자는 조직의 요구 사항이 변경되면 개체를 이동할 수 있습니다. 즉, 고정된 위치에 남아 있는 개체에 의존할 수 없습니다. 즉, 서비스는 동일하게 유지되는 개체 고유 이름에 의존할 수 없습니다. 대신 개체의 objectGUID 특성을 사용합니다. 개체를 이동하거나 이름을 바꾸면 변경되지 않습니다. 자세한 내용 및 SCP를 만들고, 해당 objectGUID를 저장하고, 나중에 SCP에 바인딩할 objectGUID 를 검색하는 코드 예제는 서비스 연결 지점 만들기 및 유지 관리를 참조하세요.
  • 이러한 클래스의 모든 서브클래스뿐만 아니라 모든 표준 서비스 관련 개체 클래스는 컴퓨터organizationalUnit 클래스의 유효한 자식입니다. 스키마를 확장하여 고유한 서비스별 클래스를 정의하는 경우 컴퓨터organizationalUnit 클래스가 가능한 상사에 포함되어 있는지 확인합니다.
  • 서비스 설치 관리자는 SCP를 만들기 위한 기본 위치를 결정합니다. 서비스를 설치하는 관리자가 대체 설치 경로를 지정하도록 허용할 수 있습니다.

서비스별 개체는 다음 영역에서 만들어서는 안 됩니다.

  • 서비스는 도메인 파티션의 사용자 또는 컴퓨터 컨테이너에 개체를 직접 게시해서는 안 되며 이러한 컨테이너에 새 컨테이너를 만들 수도 없습니다. 그러나 서비스는 컴퓨터 개체가 컴퓨터 컨테이너에 저장되어 있는지 여부에 관계없이 개체를 컴퓨터 개체의 자식 개체로 게시할 수 있습니다.
  • Windows 소켓 등록 및 확인(RnR) 또는 RpcN(RPC 이름 서비스) API를 사용하여 자신을 보급하는 서비스는 도메인 파티션의 시스템 컨테이너 아래 WinsockServices 및 RpcServices 컨테이너에 적절한 개체를 만듭니다. 이러한 컨테이너에 개체를 명시적으로 만들지 마세요. 이렇게 하면 직접적인 피해가 발생하지는 않지만 관리자에게는 혼란스러울 수 있습니다.