Microsoft Active Directory Overview and Case study

Microsoft Active Directory Overview and Case study 고병갑 이사(bgko@nets.co.kr) ㈜넷츠

Active Directory Deployment • Since its introduction in February 2000, Microsoft Windows 2000 (Win2000) has charted a slow, steady pace into production use. Our research indicates that of enterprises that will be deploying Win2000, only between 10% and 15% have completed the entire upgrade effort (client, server, and some Active Directory deployment). • Economic conditions, cost justification, and alignment with IT strategy are among the issues that have conspired to slow Win2000 deployments. Concurrently, though Win2000 affects desktop, application server, and file and print strategies, Active Directory design remains a strategic alignment concern for many IT organizations intent on using the deployment to create a consistent identity infrastructure. • Microsoft Active Directory deployments have not occurred at the pace anticipated by either Microsoft or enterprise users. Nevertheless, the deployments are beginning to have significant impact on enterprise strategies for applications access and identity management.

History • Windows 3.5 • Windows 4.0 • As Network Operating System Enterprise Directory • Windows 2000 Active Directory • Exchange, LDAP v3 통합 Integrated Enterprise Directory • Exchange Directory (x.400) • Site Server (LDAP v3) Special Purpose Directory Multi Purpose Directory • Windows 2003 Active Directory • Active Directory Application Mode (ADAM) • Support for directory enabled Applications

Active Directory Basis • Windows Server 2003 Standard, Windows Server 2003 Enterprise, 그리고 Windows Server 2003 Datacenter 를 위한 디렉터리 서비스 • 네트워크상의 개체에 관한 정보를 저장하고, 이 정보를 관리자와 사용자가 쉽게 찾아서 이용 • 디렉터리 정보의 논리적, 계층적 조직을 위한 근거로 구조화된 데이터 저장소를 이용

Active Directory Basis • 디렉토리 데이터 저장소 • 사용자, 그룹, 컴퓨터, 도메인, 조직 단위(OU) 그리고 보안 정책과 같은 개체들의 정보 • Domain data (도메인 데이터) • 도메인 내부의 개체에 관한 정보를 담고 있습니다. 이는 전형적으로 이메일 연결, 사용자 및 컴퓨터 계정 속성, 그리고 관리자와 사용자에게 중요한 공시된 리소스와 같은 디렉토리 정보 • Configuration data (구성 데이터) • 디렉토리 토폴로지를 설명합니다. 이러한 구성 데이터는 모든 도메인, 트리, 포리스트, 그리고 도메인 컨트롤러 및 글로벌 카탈로그의 위치 목록을 포함 • Schema data (스키마 데이터) • 모든 개체 및 속성 데이터의 형식적인 정의 • 사용자 및 컴퓨터 계정, 그룹, 도메인, 조직 단위 그리고 보안 정책과 같은 많은 개체 유형을 정의하는 기본 스키마를 포함 • 스키마 개체는 인증 받은 사용자만이 스키마를 변경할 수 있도록 보증하는 액세스 컨트롤 리스트(ACL)에 의해 보호

Windows 2K3 AD New Feature Easier deployment and management. • ADMT Version 2.0 (Active Directory Migration Tool) included migrating password from Windows 4.0, 2000, 2003 (암호 마이그레이션, ADMT COM인터페이스, 스크립트) • Domain Rename • Schema Redefine • AD/AM (Active Directory in Application Mode) • Group Policy Improvement • Enhanced user Interface Greater security. Improved performance and dependability. Cross-forest Authentication Cross-forest Authorization Cross-Certification Enhancement IAS and cross-forest Authentication Credential Manager Software restriction Policies Easier Logon for Remote offices Group membership Replication Enhancements Application Directory Partitions Install Replica from Media Dependability Improvements

Performance Improvement • Significant scaling improvements • Improved memory allocation • Database optimizations and size reduction • Knowledge Consistency Checker, Replication and Inter-site replication significantly improved • New authentication only mechanism (FastBind) available in Windows .NET Server 2003

SearchPerformance Improvements • Throughput Improvement • 8P: from 256% to 366% • 4P: from 180% to 236% • 2P: from 144% to 214% • UP to 8P Scaling Improvement • Between 4.6x and 5.7x on Windows .NET Server 2003 • Between 2.3x and 3.2x on Windows 2000 Server

Search Performance

Update and Add Performance

AD #1 • 4 CPU, 4 GB • Disk : Raid 5 • OS : Windows2003/IIS WEB #3 SSO #2 WEB #2 WEB #4 WEB #5 2 CPU, 1 GB Disk : Single OS : Linux Benchmark Test • 테스트 서버 환경 SSO #1 100 MBps Network • 4 CPU, 4 GB • Disk : Raid 5 • OS : Windows2003/IIS WEB #1 L4 Switch • 2 CPU, 1 GB • Disk : Single • OS : Windows2000/IIS L4 Switch 100 MBps Network AD #2

Benchmark Test • Active Directory는 다른 연산에 비하여 검색 부분이 매우 뛰어남을 알 수 있다. (100 프로세스의 경우 초당 약 2500 건의 이상 검색 속도) • 이는 통합 인증의 Transaction이 사용자의 가입, 수정, 탈퇴 보다는 인증 부분에 집중 되어 있음을 감안 할 때, 매우 우수한 결과 이다.

Active Directory를 활용한 업무 • For xSP • 통합인증 시스템 (Web SSO & Access Control) • 대용량 Identity Management • For Enterprise • Identity의 저장 • Windows Server Resource에 대한 관리 • 기업 내 Directory Enabled Application 기반

For xSP 활용 • 수직적 확장 패밀리 사이트 • 모기업과 계열사간의 기업 사이트 • 글로벌 기업의 웹사이트 • 메가포털 Service Provider Start Service 사용자 및 트래픽의 급속한 증가 B A A A • 기타 패밀리 사이트 • 마케팅 수단 • 관리 수단 1 2 3 수평적 확장 패밀리 사이트 제품별 브랜드 사이트 타겟별 서비스 사이트 컨텐츠 서비스 사이트

xSP key Transaction • 가입자 : 약 20,000,000 • 일 방문자수 : 약 10,000,000 • 일 인증 회수 : 전체 가입자의 10% ~ 20% (백만 ~ 이백만) 초당 100 ~ 200 Tr. 처리

핵심고려사항 • Simple Design ssosite.org OU=members user user2 OU=Service1 user user2 OU=Service2 user user2

핵심고려사항 • Migration 100여 시간 약 2천만 건 약 99.85 % • ID정책 위배 • 기존 정보 오류 • 사업자 Biz Logic 위배 약 3만 건 총 소요 시간 총 이행 건수 정상 처리 건수 실패 건수 • 장시간 소요를 예상하여 이행 계획 수립

핵심고려사항 • Performance 4,908건/S 40건/S 건/6.1ms 280건/S 건<10ms 139건/S 606건/S 3건/S LDAP Search WEB SSO Provisioning LDAP SDK

핵심고려사항 • 타 시스템 연동 • LDAP SDK 성능 검증 결과 • 1 Thread 테스트 결과 • 평균 건당 SDK 검색 속도 : 2.12 ms • LDAP 검색 속도(370건/sec) • 10 Thread 테스트 결과(부하 서버 CPU 100%) • 평균 건당 SDK 검색 속도 : 6.01 ms • LDAP 검색 속도(1,111건/sec)

핵심고려사항 • 디렉터리 백업 및 복구 성능 • 총 소요 시간 : 약 13시간 30분 • 주요 작업 내역 • DIR1 로컬 백업 파일 생성 • 소요 시간 : 3시간 55분(약 25GB/Hr) • 파일 크기 : 약 93GB • DIR2, DIR3 백업 파일 복사 • 소요 시간 : 4시 30분(약 6MB/sec) • 네트워크 사용률 : 100Mbps에서 약70% 점유 • NTBackup Restore모드로 로컬 파일복구 • 소요 시간 : 4시간 10분(약 23GB/hr) • DCPROMO /adv 모드로 도메인 조인 및 AD 구성 • 소요 시간 : 5분 • 기타 점검 및 확인 • 소요 시간 : 1시간

핵심고려사항 • 디렉터리 복제 • Multi Master or Master/Slave • 사용자 등록작업 복제 지연 • 초당 20건 미만일 경우 복제 지연이 없다. • 초당 20건 미만일 경우 전체 시스템(CPU/MEMORY/NETWORK/DISK) 부하는 미미하다. • 사용자정보 변경작업 복제 지연 • 변경 정보의 크기에 따른 복제 지연 확인 중 • 사용자 삭제작업 복제 지연

Internet Active Directory를 활용한 업무 • For Enterprise • Server Machines • 관리 프로필 • 네트워크 정보 • 서비스 • 프린트 • 파일공유 • 정책 • Client Machines • 관리 프로필 • 네트워크 정보 • 정책 • Users • 사용자 정보 • 권한 • 프로필 • 정책 Enterprise Company • Applications • 구성정보 • Single Sign-On • APP내부의 디렉터리정보 • 정책 • Network Devices • 구성정보 • QoS 정책 • 보안정책 • Firewall Services • 구성정보 • 보안정책 • VPN 정책 • E-Mail Servers • 메일박스 정보 • 주소록

Store Store Enterprise Biz Scenario 시스템 관리자 개발자 사용자 Web Based App C/S Based App System Resource Main Frame Based APP

Store Store Identity 저장 Storage Dir Infra 관리자 시스템 관리자 개발자 사용자 Web Based App C/S Based App System Resource Main Frame Based APP

iPlanet Oracle User SQL Connector Space Metaverse Exchange 5.5 Connected Directories Meta Directory ? • Connected Directory • Source and/or destination for synchronized attributes • Connector Space (CS) • Staging area for inbound or outbound synchronized attributes • Metaverse (MV) • Central (SQL) store of identity information • Matching CS entries to a single MV entry is called “join”

Windows Server 자원관리 • 기업 내 존재하는 Network 자원/Windows Server자원에 대한 중앙집중/분산 관리 • Windows File Server/Print Server • Windows 기반 Desktop • Windows XP • Windows 2000 Pro

Directory Enabled App. • 디렉터리 기반의 메일 서버/그룹웨어 시스템 • Exchange/Notes/전자결재 • 관련 시스템에 대한 기업의 Organization관리 • 이를 통한 시스템자원의 접근 제어 • 이를 통한 Application 접근제어 • 각종 ERP, CRM등과 같은 범용 소프트웨어와의 연계

Session Summary • Active Directory의 다양한 활용 • 체계적인 전략을 통한 인프라 구축 • 생산성 위주의 IT 자원 도입에서 관리의 효율증대를 위한 솔루션 채택

Q & A

Microsoft Active Directory Overview and Case study

Microsoft Active Directory Overview and Case study

Presentation Transcript

Microsoft Active Directory

OVERVIEW OF ACTIVE DIRECTORY

Active Directory

Active Directory

Active Directory

Active Directory

Active Directory

Active Directory

Microsoft Active Directory Overview

Active Directory

OVERVIEW OF ACTIVE DIRECTORY

Active Directory

Microsoft Active Directory

ACTIVE DIRECTORY

Active Directory