Active Directory 도메인 컨트롤러에서 FSMO 배치 및 최적화

기술 자료 번역 기술 자료 번역
기술 자료: 223346 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

요약

이 문서는 단일 도메인 컨트롤러에서 최상으로 작업이 수행되도록 하기 위한 도메인 및 포리스트의 Active Directory FSMO(Flexible Single-Master) 역할 배치에 대해 설명합니다.

추가 정보

다중 마스터 업데이트에 적합하지 않은 특정 도메인 및 엔터프라이즈 범위의 작업은 도메인이나 포리스트의 단일 도메인 컨트롤러에서 수행해야 합니다. 단일 마스터 소유자를 사용하는 용도는 중요한 작업에 대한 잘 알려진 대상을 정의하고 다중 마스터 업데이트에서 만들 수 있는 충돌이나 지연 발생을 방지하기 위한 것입니다. 단일 작업 마스터 사용은 관련 FSMO 역할 소유자가 온라인이고, 검색 가능하며, FSMO 종속 작업을 수행해야 하는 컴퓨터에 의해 네트워크에서 사용 가능해야 함을 의미합니다.

Active Directory 설치 마법사(Dcpromo.exe)가 새 포리스트에서 첫 번째 도메인을 만드는 경우 이 마법사는 5개의 FSMO 역할을 추가합니다. 도메인이 하나 있는 포리스트는 5가지 역할을 갖고 있습니다. Active Directory 설치 마법사가 포리스트의 각 추가 도메인에 있는 첫 번째 도메인 컨트롤러에서 3개의 도메인 범위 역할을 추가합니다. 또한 인프라 마스터 역할이 각 응용 프로그램 파티션에 존재합니다. 여기에는 Windows Server 2003 이상 도메인 컨트롤러에서 만든 포리스트 범위 DNS 응용 프로그램 파티션 및 기본 도메인이 포함됩니다. 이 작업 마스터 및 해당 범위는 다음 표에 나와 있습니다.
표 축소표 확대
FSMO 역할범위기능 및 가용성 요구 사항
스키마 마스터엔터프라이즈
  • 수동 및 프로그래밍 스키마 업데이트를 적용하는 데 사용되며, 여기에는 Windows ADPREP /FORESTPREP, Microsoft Exchange 및 AD DS(Active Directory 도메인 서비스)를 사용하는 기타 응용 프로그램에서 추가하는 해당 업데이트가 포함됩니다.
  • 스키마 업데이트가 수행될 때 온라인 상태여야 합니다.
도메인 명명 마스터엔터프라이즈
  • 포리스트에서 도메인 및 응용 프로그램 파티션을 추가하고 제거하는 데 사용합니다.
  • 포리스트의 도메인 및 응용 프로그램 파티션을 추가하거나 제거할 때 온라인 상태여야 합니다.
주 도메인 컨트롤러도메인
  • 복제 도메인 컨트롤러에 있는 사용자 계정 및 컴퓨터에 대한 암호를 변경하면 암호 업데이트를 받습니다.
  • 일치하지 않는 암호가 있는 인증 요청에 대한 서비스를 제공하는 복제 도메인 컨트롤러가 참조합니다.
  • 그룹 정책 업데이트에 대한 기본 대상 도메인 컨트롤러.
  • 쓰기 가능한 작업을 수행하는 레거시 응용 프로그램 및 일부 관리 도구에 대한 대상 도메인 컨트롤러.
  • 일주일에 7일, 하루 24시간 동안 항상 온라인이고 액세스 가능해야 합니다.
RID도메인
  • 같은 도메인의 복제 도메인 컨트롤러에 활성 및 대기 RID 풀을 할당합니다.
  • 새로 승격된 도메인 컨트롤러가 보급하는 데 필요한 로컬 RID 풀을 얻기 위해서나, 기존 도메인 컨트롤러가 현재 또는 대기 RID 풀 할당을 업데이트해야 하는 경우 온라인 상태여야 합니다.
인프라 마스터도메인

응용 프로그램 파티션
  • 글로벌 카탈로그에서 도메인 간 참조 및 가상 개체를 업데이트합니다. 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
    248047 가상 개체, 삭제 표시 및 인프라 마스터
  • Windows Server 2003 이상 도메인 컨트롤러에서 만든 기본 포리스트 범위 및 도메인 범위 응용 프로그램 파티션을 포함하여 각 응용 프로그램 파티션에 대해 별도의 인프라 마스터를 만듭니다.

    Windows Server 2008 R2 ADPREP /RODCPREP 명령은 포리스트 루트 도메인의 기본 DNS 응용 프로그램에 대한 인프라 마스터 역할을 대상으로 합니다. 이 역할 소유자에 대한 DN 경로는 CN=Infrastructure,DC=DomainDnsZones,DC=<포리스트 루트 도메인>,DC=<최상위 수준 도메인> 및 CN=Infrastructure,DC=ForestDnsZones,DC=<포리스트 루트 도메인>,DC=<최상위 수준 도메인>입니다.

FSMO 가용성 및 배치

Active Directory 설치 마법사는 도메인 컨트롤러에서 초기 역할 배치를 수행합니다. 이 배치는 소수의 도메인 컨트롤러만 있는 디렉터리에 적합한 경우가 종종 있습니다. 많은 도메인 컨트롤러가 있는 디렉터리에서는 기본 배치가 해당 네트워크에 적합하지 않을 수 있습니다.

선택 기준으로 다음 사항을 고려하십시오.
  • 적은 수의 컴퓨터에서 호스트하는 경우 FSMO 역할을 추적하기가 보다 쉽습니다.
  • 특히 완전히 라우트되지 않은 네트워크에서, 지정된 역할에 대한 액세스 권한이 필요한 컴퓨터가 액세스할 수 있는 도메인 컨트롤러에 역할을 배치하십시오. 예를 들어 현재 또는 대기 RID 풀을 얻거나, 통과 인증을 수행하려면 모든 DC에는 해당 도메인의 RID 및 PDC 역할 소유자에 대한 네트워크 액세스 권한이 필요합니다.
  • 역할을 다른 도메인 컨트롤러로 이동해야 하고 현재 역할 소유자가 온라인이며 사용 가능한 경우 새 도메인 컨트롤러로 역할을 전송(점유 안 함)해야 합니다. 현재 역할 소유자를 사용할 수 없는 경우에만 FSMO 역할을 점유해야 합니다. 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
    http://technet.microsoft.com/en-us/library/cc816945(WS.10).aspx
  • 역할 종속 작업이 수행되고 있는 경우 오프라인이거나 오류 상태에 있는 도메인 컨트롤러에 할당된 FSMO 역할만 전송하거나 점유해야 합니다. 역할이 필요하기 전에 역할 소유자가 작동되게 할 수 있는 경우, 해당 역할 점유를 지연시킬 수 있습니다. 역할 가용성이 중요한 경우, 필요에 따라 역할을 전송하거나 점유하십시오. 각 도메인의 PDC 역할은 항상 온라인이어야 합니다.
  • 기존 역할 소유자가 대기 역할 소유자로 작동하도록 사이트 간 직접 복제 파트너를 선택하십시오. 주 소유자가 오프라인이 되거나 실패하는 경우, 필요에 따라 지정된 대기 FSMO 도메인 컨트롤러에 역할을 전송하거나 점유하십시오.

FSMO 배치의 일반 권장 사항

  • 포리스트 루트 도메인의 PDC에 스키마 마스터를 배치하십시오.
  • 포리스트 루트 PDC에 도메인 명명 마스터를 배치하십시오.

    도메인 추가 또는 제거는 강력히 제어되는 작업이어야 합니다. 포리스트 루트 PDC에 이 역할을 배치하십시오. 도메인 명명 마스터를 사용할 수 없는 경우, 도메인 및 응용 프로그램 파티션 만들기 또는 제거 등 도메인 명명 마스터를 사용하는 특정 작업이 실패합니다. 또한 Microsoft Windows 2000을 실행하는 도메인 컨트롤러에서 도메인 명명 마스터는 글로벌 카탈로그 서버에서 호스트되어야 합니다. Windows Server 2003 이상 버전을 실행하는 도메인 컨트롤러에서 도메인 명명 마스터는 글로벌 카탈로그 서버가 될 필요가 없습니다.
  • 같은 Active Directory 사이트 및 도메인의 복제 도메인 컨트롤러가 포함된 안정적인 허브 사이트에서 최고의 하드웨어에 PDC를 배치하십시오.

    대형 환경이나 사용 중인 환경에서는 PDC가 통과 인증 및 암호 업데이트를 처리하기 때문에 종종 PDC에서 CPU 사용률이 가장 높습니다. 높은 CPU 사용률이 문제가 되는 경우, 원인을 파악합니다. 원인에는 PDC를 대상으로 하는 작업을 너무 많이 수행(타동적으로)하고 있을 수 있는 컴퓨터나 응용 프로그램이 포함됩니다. CPU를 줄이는 기술은 다음과 같습니다.
    • 추가 CPU 또는 더 빠른 CPU 추가
    • 추가적인 복제본 추가
    • Active Directory 개체를 캐시하기 위한 추가적인 메모리 추가
    • 글로벌 카탈로그 조회를 피하기 위해 글로벌 카탈로그 제거
    • 들어오고 나가는 복제 파트너 수 줄이기
    • 복제 일정 늘리기
    • LDAPSRVWEIGHT 및 LDAPPRIORITY를 사용하고, 231305에 설명된 Randomize1CList 기능을 사용하여 인증 가시성 줄이기.
    특정 도메인의 모든 도메인 컨트롤러 및 PDC를 대상으로 하는 관리 도구와 응용 프로그램을 실행하는 컴퓨터에는 도메인 PDC에 대한 네트워크 연결이 있어야 합니다.
  • 같은 도메인의 도메인 PDC에 RID 마스터를 배치하십시오.

    특히 대량의 사용자, 컴퓨터 및 그룹을 이미 만든 발전된 도메인에서, RID 마스터 오버헤드가 적습니다. 일반적으로 관리자들은 도메인 PDC에 가장 많이 주의를 기울입니다. 따라서 PDC에 이 역할을 함께 배치하면 안정적인 가용성을 보장할 수 있습니다. RID 마스터에서 활성 및 대기 RID 풀을 얻기 위해, 기존 도메인 컨트롤러 및 새로 승격된 도메인 컨트롤러(특히 원격 사이트나 준비 사이트에서 승격된 도메인 컨트롤러)에 네트워크 연결이 있는지 확인하십시오.
  • 기존 지침에서는 비글로벌 카탈로그 서버에 인프라 마스터를 배치하도록 제안합니다. 여기에는 고려할 두 가지 규칙이 있습니다.
    • 단일 도메인 포리스트

      단일 Active Directory 도메인이 포함된 포리스트에는 가상 개체가 없습니다. 따라서 인프라 마스터에는 수행할 작업이 없습니다. 도메인 컨트롤러가 글로벌 카탈로그를 호스트하는지 여부에 관계없이 도메인의 모든 도메인 컨트롤러에 인프라 마스터를 배치할 수 있습니다.
    • 다중 도메인 포리스트:

      다중 도메인 포리스트의 일부인 도메인의 모든 도메인 컨트롤러가 글로벌 카탈로그도 호스트하는 경우 인프라 마스터가 수행할 작업이나 가상 개체가 없습니다. 인프라 마스터는 해당 도메인의 모든 도메인 컨트롤러에 배치할 수 있습니다. 실제로, 대부분의 관리자가 포리스트의 모든 도메인 컨트롤러에서 글로벌 카탈로그를 호스트합니다.
    • 다중 도메인 포리스트에 있는 지정된 도메인의 일부 도메인 컨트롤러가 글로벌 카탈로그를 호스트하지 않는 경우 글로벌 카탈로그를 호스트하지 않는 도메인 컨트롤러에 인프라 마스터를 배치해야 합니다.

참조

자세한 내용은 Windows Server 클러스터 노드를 도메인 컨트롤러로 사용하는 방법을 참조하십시오.

Microsoft TechNet의 작업 마스터 역할에 대한 문서:


248047 가상 개체, 삭제 표시 및 인프라 마스터
949257 Windows Server 2008에서 "Adprep /rodcprep" 명령을 실행하는 경우 다음 오류 메시지가 표시됩니다. "Adprep에서 DC=DomainDnsZones,DC=Contoso,DC=com 파티션의 복제본에 연결하지 못했습니다."

NTDS 복제 이벤트 1586은 특정 도메인에 대한 PDC FSMO 역할이 이전 역할 소유자의 직접 복제 파트너가 아닌 새 도메인 컨트롤러로 전송되거나 점유된 경우 발생합니다.

속성

기술 자료: 223346 - 마지막 검토: 2013년 11월 29일 금요일 - 수정: 3.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Standard
  • Microsoft Windows Server 2003 R2 Standard x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Preview
  • Windows Server 2012 R2 Standard
키워드:?
kbenv kbinfo KB223346

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com