Active Directory 도메인 컨트롤러에서 FSMO 배치 및 최적화

  • 아티클

특정 작업은 단일 도메인 컨트롤러에서 수행하는 것이 가장 좋습니다. 이 문서에서는 이러한 작업에 대한 도메인 및 포리스트에 Active Directory FSMO(유연한 Single-Master Operation) 역할을 배치하는 것에 대해 설명합니다.

적용 대상: Windows Server 2012 R2
원본 KB 번호: 223346

추가 정보

특정 도메인 및 엔터프라이즈 전체 작업은 다중 master 업데이트에 적합하지 않습니다. 이러한 상황에서는 도메인 또는 포리스트의 단일 도메인 컨트롤러에서 작업을 수행해야 합니다. 단일 master 소유자는 중요한 작업에 대해 잘 알려진 대상을 정의하고 다중 master 업데이트로 인해 발생할 수 있는 충돌 또는 대기 시간을 방지합니다. 즉, 관련 FSMO 역할 소유자는 FSMO 종속 작업을 수행해야 하는 컴퓨터에서 온라인, 검색 가능 및 네트워크에서 사용할 수 있어야 합니다.

Dcpromo.exe(Active Directory 설치 마법사)가 새 포리스트에 첫 번째 도메인을 만들면 마법사는 5개의 FSMO 역할을 추가합니다. 하나의 도메인이 있는 포리스트에는 5개의 역할이 있습니다. Active Directory 설치 마법사는 포리스트의 각 추가 도메인에 있는 첫 번째 도메인 컨트롤러에 세 개의 도메인 전체 역할을 추가합니다. 또한 인프라 master 역할은 각 애플리케이션 파티션에 대해 존재합니다. 여기에는 Windows Server 2003 이상 도메인 컨트롤러에서 만든 기본 도메인 및 포리스트 전체 DNS 애플리케이션 파티션이 포함됩니다. 작업 마스터 및 해당 scope 다음 표에 나와 있습니다.

FSMO 역할 범위 함수 및 가용성 요구 사항
스키마 마스터 Enterprise - 수동 및 프로그래밍 방식 스키마 업데이트를 도입하는 데 사용됩니다. 여기에는 WindowsADPREP /FORESTPREP, Microsoft Exchange 및 AD DS(Active Directory Domain Services)를 사용하는 다른 애플리케이션에서 추가한 업데이트가 포함됩니다.
- 스키마 업데이트가 수행될 때 온라인이어야 합니다.
도메인 명명 마스터 Enterprise - 포리스트에서 도메인 및 애플리케이션 파티션을 추가 및 제거하는 데 사용됩니다.
- 포리스트의 도메인 및 애플리케이션 파티션이 추가되거나 제거될 때 온라인이어야 합니다.
기본 도메인 컨트롤러 도메인 - 컴퓨터 및 복제본(replica) 도메인 컨트롤러에 있는 사용자 계정에 대해 암호가 변경될 때 암호 업데이트를 받습니다.
- 암호가 일치하지 않는 인증 요청을 서비스하는 복제본(replica) 도메인 컨트롤러에서 문의합니다.
- 그룹 정책 업데이트에 대한 기본 대상 도메인 컨트롤러입니다.
- 쓰기 가능한 작업을 수행하는 레거시 애플리케이션 및 일부 관리 도구에 대한 대상 도메인 컨트롤러입니다.
- 온라인이어야 하며 하루 24시간, 주 7일 동안 액세스할 수 있어야 합니다.
제거 도메인 - 동일한 도메인의 복제본(replica) 도메인 컨트롤러에 활성 및 대기 RID 풀을 할당합니다.
- 다음과 같은 상황에서 온라인 상태가 되어야 합니다.
  • 새로 승격된 도메인 컨트롤러가 보급에 필요한 로컬 RID 풀을 가져와야 하는 경우
  • 기존 도메인 컨트롤러가 현재 또는 대기 RID 풀 할당을 업데이트해야 하는 경우
인프라 마스터 도메인

애플리케이션 파티션		 - 전역 카탈로그에서 도메인 간 참조 및 팬텀을 업데이트. 자세한 내용은 팬텀, 삭제 표시 및 인프라 master
- Windows Server 2003 이상 도메인 컨트롤러에서 만든 기본 포리스트 전체 및 도메인 전체 애플리케이션 파티션을 포함하여 각 애플리케이션 파티션에 대해 별도의 인프라 master 만들어집니다.

Windows Server 2008 R2 ADPREP /RODCPREP 명령은 포리스트 루트 도메인의 기본 DNS 애플리케이션에 대한 인프라 master 역할을 대상으로 합니다. 이 역할 소유자의 DN 경로는 다음과 같습니다.
  • CN=Infrastructure,DC=DomainDnsZones,DC=<포리스트 루트 도메인>,DC=<최상위 도메인>
  • CN=Infrastructure,DC=ForestDnsZones,DC=<포리스트 루트 도메인>,DC=<최상위 도메인>

FSMO 가용성 및 배치

Active Directory 설치 마법사는 도메인 컨트롤러에서 역할의 초기 배치를 수행합니다. 이 배치는 도메인 컨트롤러가 몇 가지 있는 디렉터리에 대해 자주 정확합니다. 도메인 컨트롤러가 많은 디렉터리에서 기본 배치는 네트워크에 가장 잘 맞지 않을 수 있습니다.

선택 기준에서 다음 요소를 고려합니다.

  • 더 적은 수의 컴퓨터에서 호스트하는 경우 FSMO 역할을 추적하는 것이 더 쉽습니다.

  • 특히 완전히 라우팅되지 않은 네트워크에서 지정된 역할에 액세스해야 하는 컴퓨터에서 액세스할 수 있는 도메인 컨트롤러에 역할을 배치합니다. 예를 들어 현재 또는 대기 RID 풀을 가져오거나 통과 인증을 수행하려면 모든 DC가 해당 도메인의 RID 및 PDC 역할 소유자에 대한 네트워크 액세스 권한이 필요합니다.

  • 다음 조건에서 역할을 새 도메인 컨트롤러로 전송(점유하지 않음)해야 합니다.

    • 역할을 다른 도메인 컨트롤러로 이동해야 합니다.
    • 현재 역할 보유자가 온라인이며 사용 가능

    FSMO 역할은 현재 역할 소유자를 사용할 수 없는 경우에만 압수해야 합니다. 자세한 내용은 작업 마스터 역할 관리를 참조하세요.

  • 오프라인이거나 오류 상태인 도메인 컨트롤러에 할당된 FSMO 역할은 역할 종속 작업이 수행되는 경우에만 전송하거나 압수해야 합니다. 역할이 필요하기 전에 역할 소유자를 작동할 수 있는 경우 역할 점유를 지연할 수 있습니다. 역할 가용성이 중요한 경우 필요에 따라 역할을 이전하거나 점유합니다. 각 도메인의 PDC 역할은 항상 온라인이어야 합니다.

  • 기존 역할 보유자가 대기 역할 소유자 역할을 할 직접 사이트 내 복제 파트너를 선택합니다. 기본 소유자가 오프라인 상태가 되거나 실패하는 경우 필요에 따라 지정된 대기 FSMO 도메인 컨트롤러로 역할을 전송하거나 점유합니다.

FSMO 배치에 대한 일반 권장 사항

  • 포리스트 루트 도메인의 PDC에 스키마 master 배치합니다.

  • 도메인 명명 master 포리스트 루트 PDC에 배치합니다.

    도메인 추가 또는 제거는 엄격하게 제어되는 작업이어야 합니다. 포리스트 루트 PDC에 이 역할을 배치합니다. 도메인 명명 master 사용할 수 없는 경우 도메인 명명 master 사용하는 특정 작업이 실패합니다. 이러한 작업에는 도메인 및 애플리케이션 파티션을 만들거나 제거하는 작업이 포함됩니다. Microsoft Windows 2000을 실행하는 도메인 컨트롤러에서 도메인 명명 master 전역 카탈로그 서버에서도 호스트되어야 합니다. Windows Server 2003 이상 버전을 실행하는 도메인 컨트롤러에서 도메인 명명 master 전역 카탈로그 서버일 필요는 없습니다.

  • 동일한 Active Directory 사이트 및 도메인에 복제본(replica) 도메인 컨트롤러가 포함된 신뢰할 수 있는 허브 사이트의 최상의 하드웨어에 PDC를 배치합니다.

    규모가 크거나 사용량이 많은 환경에서 PDC는 통과 인증 및 암호 업데이트를 처리하기 때문에 CPU 사용량이 가장 높은 경우가 많습니다. 높은 CPU 사용량이 문제가 되는 경우 원본을 식별합니다. 원본에는 PDC를 대상으로 너무 많은 작업을(전이적으로) 수행할 수 있는 애플리케이션 또는 컴퓨터가 포함됩니다. CPU를 줄이는 기술은 다음과 같습니다.

    • 더 많거나 빠른 CPU 추가
    • 복제본 추가
    • Active Directory 개체 캐시에 메모리 추가
    • 글로벌 카탈로그 조회를 방지하기 위해 글로벌 카탈로그 제거
    • 수신 및 발신 복제 파트너 수 줄이기
    • 복제 일정 늘리기
    • LDAPSRVWEIGHT 및 LDAPPRIORITY를 사용하고 Randomize1CList 기능을 사용하여 인증 가시성을 줄입니다.

    특정 도메인의 모든 도메인 컨트롤러와 PDC를 대상으로 하는 애플리케이션 및 관리 도구를 실행하는 컴퓨터는 도메인 PDC에 대한 네트워크 연결이 있어야 합니다.

  • RID master 동일한 도메인의 도메인 PDC에 배치합니다.

    RID master 오버헤드는 특히 사용자, 컴퓨터 및 그룹의 대부분을 이미 만든 성숙한 도메인에서 가볍습니다. 도메인 PDC는 일반적으로 관리자로부터 가장 많은 관심을 받습니다. PDC에서 이 역할을 공동 배치하면 안정적인 가용성을 보장할 수 있습니다. 기존 도메인 컨트롤러와 새로 승격된 도메인 컨트롤러가 네트워크 연결을 통해 RID master 활성 및 대기 RID 풀, 특히 원격 또는 스테이징 사이트에서 승격된 도메인 컨트롤러를 가져올 수 있는지 확인합니다.

  • 레거시 지침은 인프라 master 글로벌이 아닌 카탈로그 서버에 배치하는 것이 좋습니다. 고려해야 할 두 가지 규칙이 있습니다.

    • 단일 도메인 포리스트:

      단일 Active Directory 도메인을 포함하는 포리스트에는 가상이 없습니다. 따라서 인프라 master 수행할 작업이 없습니다. 인프라 master 도메인 컨트롤러가 글로벌 카탈로그를 호스트하는지 여부에 관계없이 도메인의 모든 도메인 컨트롤러에 배치될 수 있습니다.

    • 다중 도메인 포리스트:

      다중 도메인 포리스트의 일부인 도메인의 모든 도메인 컨트롤러도 글로벌 카탈로그를 호스트하는 경우 인프라 master 수행할 가상 또는 작업이 없습니다. 인프라 master 해당 도메인의 모든 도메인 컨트롤러에 배치될 수 있습니다. 실제로 대부분의 관리자는 포리스트의 모든 도메인 컨트롤러에서 글로벌 카탈로그를 호스트합니다.

    • 다중 도메인 포리스트에 있는 지정된 도메인의 모든 도메인 컨트롤러가 글로벌 카탈로그를 호스트하지 않는 경우 인프라 master 글로벌 카탈로그를 호스트하지 않는 도메인 컨트롤러에 배치해야 합니다.

참조

자세한 내용은 Windows Server 클러스터 노드를 도메인 컨트롤러로 사용하는 방법을 참조하세요.

Operations Master 역할에 대한 문서:

NTDS 복제 이벤트 1586은 다음 상황 중 하나에서 발생합니다.

  • 특정 도메인에 대한 PDC FSMO 역할이 압수되었습니다.
  • 특정 도메인에 대한 PDC FSMO 역할이 이전 역할 소유자의 직접 복제 파트너가 아닌 새 도메인 컨트롤러로 전송되었습니다.