AD 구축 관련 알아보고 있는데요.
물리적 망분리 환경에서는 AD를 어떻게 구성하는지 궁금해서요.
내부망, 인터넷망 각각 운영하는게 맞는지, 혹시 수동으로 동기화 방법이 있는지 궁금합니다.
AD 관련 문의 드립니다.
AD 구축 관련 알아보고 있는데요.
물리적 망분리 환경에서는 AD를 어떻게 구성하는지 궁금해서요.
내부망, 인터넷망 각각 운영하는게 맞는지, 혹시 수동으로 동기화 방법이 있는지 궁금합니다.
3개의 답변이 있습니다.
예전에 DMZ 에 AD 연동해서 구축 했었는데 이게 네트워크 분리되었을때 forest 를 만드는 거였습니다.
기억이 가물가물합니다. 분리된 네트워크에 AD 구축하는 방법이 있습니다.
https://docs.centrify.com/en/css/2018-html/#page/Planning,_preparation,_and_deployment/Creating_a_forest_and_trusts_for_a_DMZ.3.html
moonch | 4년 이하 전
자료까지 찾아주셔서 감사합니다..ㅠ
이방법은 DMZ에 위치한 AD가 망분리 환경을 위반하는지 확인이 필요할거 같네요.
보안 문제로 망분리까지 한 상태라면 AD서버도 따로 관리하는게 맞지 않을까요..? ^^
양성환님 의견 처럼, AD 서버에 네트워크 카드를 하나 더 추가해서 업무망과 인터넷망 각각에서 접속할 수 있는 환경을 만들어 양쪽에서 공유하도록 만드는게 현실적으로 비용면에서나 구현 방법에 있어서 가장 접근이 쉬운 방안이 될 수 있을 것 같고...
스트리밍 형 망연계 솔루션을 도입해서 사용하는 방안도 있을 것 같고요~
moonch | 4년 이하 전
따로 관리한다면 오프라인으로 동기화 시킬 수 있는 방법이 있을까요...?
AD를 다뤄보지 않아서 너무 기초적인 질문을 드린건 아닐까 걱정이네요...ㅠ
wansoo | 4년 이하 전
대충 네트워크 구성도를 그려 봤습니다.
양쪽 망에 있는 각각의 AD 서버에 네트워크 카드를 1개씩 더 추가 연결해서 두 AD 서버 간에 전용 네트워크를 구성해도 될 것 같습니다.
그리고, AD 서버간의 동기화 설정을 해 두면, 양쪽 망이 분리된 상태로 유지되면서 AD 서버간에는 전용 케이블로 연결되어 통신이 가능한 상태로 운영할 수 있을 것 같네요.
AD 서버가 NIC(LAN 카드)가 기본적으로 여러개 장착되어 있어 여유분이 있다면 남아 있는 네트워크 포트를 이용하면 되겠고, 없다면 USB형 LAN 어뎁터를 꽂아서 사용한다면 운영 중인 서버라도 재 부팅없이 추가 네트워크 카드를 장착해서 사용할 수 있겠고요.
두대의 서버를 UTP 케이블을 이용해서 직접 연결할때는 UTP 케이블을 크로스 케이블을 사용해야 한다는 점만 주의해서 사용한다면 특별히 구성에 어려운 점은 없을 것 같고요.
AD 서버간의 동기화는 인터넷의 다른 자료들을 참고해서 설정하면 될거라 보여 지고요.
전용 케이블을 항시 연결 시켜두는게 조금의 보안 위험이 있다면 평시에는 두 AD 서버간의 전용 케이블을 끊어 둔 상태로 운영하다가 동기화 시킬때만 케이블을 연결시켜서 사용해도 되겠고요~
moonch | 4년 이하 전
친절하고 상세한 답변 감사합니다.
설명해주신 내용 중 아래의 구간을 연결하는 건 망분리 미이행의 소지가 있을까요?
wansoo | 4년 이하 전
제 생각에는 없을걸로 보여 집니다.
문제 소지가 있다면 평소에는 케이블을 분리 시켜 두고 사용하면 될 것 같습니다.
동기화를 시킬때만 잠시 케이블을 꽂아서 처리하고, 다시 케이블을 제거해 버리면 될거 같고요.
moonch | 4년 이하 전
많은 도움이 됐습니다~
감사합니다!!!
내부망과 외부망에 두고 외부망에 읽기전용으로 두시면 됩니다.
moonch | 4년 이하 전
답변 감사드립니다.
그럼 내부망 AD를 메인으로 두고 외부망은 수동으로 업데이트 하면 될까요?
양성환 | 4년 이하 전
네.그러셔도되죠