1. 명명 규칙
본 프로젝트는 서버, 도메인, OU, 그룹, 사용자 계정의 식별성과 관리 편의성을 높이기 위해 명명 규칙을 적용한다. 명명 규칙은 문서, 서버 설정, 관리대장, 발표자료에서 동일하게 사용하는 것을 원칙으로 하며, 이를 통해 구성 요소를 일관성 있게 관리할 수 있도록 한다.
1.1 서버 명명 규칙
서버 이름은 [위치]-[역할]-[번호] 형식으로 구성한다.
| 항목 | 규칙 | 예시 |
|---|---|---|
| 위치 | HQ, USA, JP | HQ, USA, JP |
| 역할 | DC, FILE, WEB, DHCP | DC, FILE, WEB, DHCP |
| 번호 | 두 자리 숫자 | 01, 02 |
적용 예시는 다음과 같다.
HQ-DC-01USA-DC-01JP-DC-01HQ-FILE-01HQ-WEB-01HQ-DHCP-01
1.2 도메인 명명 규칙
도메인 이름은 회사와 지사 구조를 반영하여 구성한다.
| 구분 | 도메인명 | 설명 |
|---|---|---|
| 본사 | hq.hybe.local | 본사 도메인(포레스트루트) |
| 미국 지사 | usa.hq.hybe.local | 미국 지사 도메인 |
| 일본 지사 | jp.hq.hybe.local | 일본 지사 도메인 |
1.3 OU 명명 규칙
OU 이름은 영문 대문자를 기본으로 하며, 공백 대신 언더스코어(_)를 사용한다.
이를 통해 가독성과 일관성을 확보하고, 조직 단위를 명확하게 식별할 수 있도록 한다.
적용 예시는 다음과 같다.
BIGHIT_MUSICBELIFT_LABSOURCE_MUSICPLEDIS_ENTKOZ_ENTWEVERSE_COMPANYYX_LABELSGEFFEN_RECORDS
1.4 사용자 계정 명명 규칙
사용자 계정은 식별이 쉽고 관리가 용이하도록 영문 소문자를 기준으로 작성한다. 필요에 따라 이름, 부서, 역할을 반영한 계정명을 사용할 수 있도록 한다.
적용 예시는 다음과 같다.
bts.jiminlsf.sakurailt.wonheeit.adminhr.manager
1.5 그룹 명명 규칙
그룹 이름은 [조직]-[권한/역할]-GRP 형식으로 구성한다.
적용 예시는 다음과 같다.
BIGHIT-USER-GRPSOURCE-MANAGER-GRPWEVERSE-ADMIN-GRPUSA-HR-GRPJP-IT-GRP
2. IP 주소 계획
본 프로젝트는 도메인별 관리 구분과 서버 식별의 편의성을 높이기 위해 네트워크 대역을 분리하여 설계한다. 고정 IP가 필요한 서버는 별도로 관리하고, 클라이언트는 DHCP를 통해 IP 주소를 자동 할당받도록 구성한다.
2.1 네트워크 대역 계획
| 구분 | 네트워크 대역 | 용도 |
|---|---|---|
| 본사 | 192.168.57.0/24 | 본사 서버 및 클라이언트 |
| 미국 지사 | 192.168.81.0/24 | 미국 지사 서버 및 클라이언트 |
| 일본 지사 | 192.168.52.0/24 | 일본 지사 서버 및 클라이언트 |
2.2 서버 고정 IP 계획
| 서버명 | 도메인 | IP 주소 | 역할 |
|---|---|---|---|
HQ-DC-01 | hq.hybe.local | 192.168.57.10 | AD DS, DNS, DHCP, File Server, IIS |
USA-DC-01 | usa.hq.hybe.local | 192.168.81.10 | AD DS, DNS |
JP-DC-01 | jp.hq.hybe.local | 192.168.52.10 | AD DS, DNS |
2.3 DHCP 할당 범위 예시
| 위치 | DHCP 범위 | 제외 대상 |
|---|---|---|
| 본사 | 192.168.57.100 ~ 192.168.57.200 | 서버 및 네트워크 장비 고정 IP |
| 미국 지사 | 192.168.81.100 ~ 192.168.81.200 | 서버 및 네트워크 장비 고정 IP |
| 일본 지사 | 192.168.52.100 ~ 192.168.52.200 | 서버 및 네트워크 장비 고정 IP |
2.4 실제 구현 IP 현황
현재 프로젝트는 라우터 및 네트워크 분리 환경이 구축되지 않은 상태이므로, 모든 서버는 동일 네트워크 대역에서 운영되고 있다.
| 서버명 | 실제 IP | 비고 |
|---|---|---|
| HQ-DC-01 | 192.168.57.10 | 설계와 동일 |
| USA-DC-01 | 192.168.57.30 | HQ 대역 사용 |
| JP-DC-01 | 192.168.57.31 | HQ 대역 사용 |
2.5 설계와 구현 간 차이
| 항목 | 설계 | 실제 |
|---|---|---|
| 네트워크 대역 | 도메인별 분리 | 단일 대역 |
| 라우팅 | 필요 | 미구현 |
| 구조 | Site 기반 확장 가능 | 단일 네트워크 |
2.6 차이 발생 원인
1) 실습 환경 제약
- 단일 가상 네트워크 환경
- 라우터 및 L3 장비 미구현
2) 우선순위 설정
- 멀티 도메인 구조 검증을 우선 수행
- 네트워크 분리는 후순위
2.7 설계 의도 유지 여부
네트워크는 단일이지만 Active Directory 구조는 설계대로 유지됨
즉,
- Domain 분리 ✔
- 인증 분리 ✔
- 정책 분리 ✔
- 네트워크만 미분리 ❗
2.8 향후 개선 사항
1단계
- 라우터 또는 가상 라우팅 구성
- 서브넷 간 통신 구성
2단계
- Domain별 네트워크 분리 적용
- IP 재할당
3단계
- AD Site 구성
- 물리/논리 위치 기반 최적화
3. 네트워크 운영 계획
본 프로젝트는 본사와 지사의 네트워크를 구분하여 운영하되, 각 도메인 환경이 독립적으로 관리될 수 있도록 설계한다. 본사 서버는 핵심 공용 서비스를 운영하고, 각 지사 서버는 해당 도메인의 인증과 이름 해석 기능을 담당한다. 이를 통해 도메인별 운영 경계를 유지하면서도 전체 인프라가 하나의 기업 환경처럼 동작할 수 있도록 한다.
3.1 운영 원칙
- 서버는 고정 IP를 사용한다.
- 클라이언트는 DHCP를 통해 IP 주소를 자동 할당받는다.
- DNS는 각 도메인 컨트롤러에서 운영한다.
- 본사 서버는 공용 서비스와 중앙 관리 기능을 함께 수행한다.
- 지사 서버는 해당 지사의 인증 및 이름 해석을 담당한다.
4. 서비스 흐름도
본 프로젝트의 서비스 흐름은 사용자 인증, 이름 해석, IP 할당, 내부 서비스 접근이 하나의 인프라 안에서 연계되도록 설계한다. 사용자는 도메인 계정을 이용하여 클라이언트 PC에 로그인하고, 이후 권한이 부여된 파일 서버나 내부 웹 서비스에 접근할 수 있도록 한다.
4.1 사용자 로그인 및 서비스 접근 흐름
- 클라이언트는 DHCP 서버로부터 IP 주소를 자동 할당받는다.
- 사용자는 도메인 계정을 통해 회사 PC에 로그인한다.
- 클라이언트는 DNS 서버를 통해 내부 서버 이름을 해석한다.
- 사용자는 권한에 따라 파일 서버의 공유 폴더 또는 IIS 기반 내부 웹 서비스에 접근한다.
- GPO는 사용자 및 컴퓨터에 보안 정책과 운영 정책을 적용한다.
4.2 흐름 예시
- 사용자 로그인 → AD 인증 → DNS 질의 → 파일 서버 접근
- 사용자 로그인 → AD 인증 → DNS 질의 → IIS 사내 포털 접속
- 클라이언트 부팅 → DHCP 임대 → 도메인 로그인 → 정책 적용
5. 향후 작성 예정 항목
- 그룹 및 계정 설계 세부안
- 운영 정책 및 보안 적용 기준
- GPO 구성 상세안
- 파일 서버 권한 설계
- 내부 웹 서비스 구성안
본 문서의 네트워크 및 명명 규칙은 002 문서의 도메인 구조 변경(hq.hybe.local 기반 포리스트 루트 구성)을 반영하여 수정되었다.