Active Directory Domain Services 작업 마스터 역할 이전 또는 점유

  • 아티클

이 문서에서는 이전에 FSMO(유연한 단일 마스터 작업) 역할로 알려진 작업 마스터 역할을 이전하거나 점유하는 시기와 방법을 설명합니다.

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
원본 KB 번호: 255504

추가 정보

AD DS(Active Directory Domain Services) 포리스트 내에는 DC(도메인 컨트롤러)가 하나만 수행해야 하는 특정 작업이 있습니다. 이러한 고유한 작업을 수행하기 위해 할당된 DC를 Operation Master 역할 보유자라고 합니다. 다음 표에는 작업 마스터 역할과 Active Directory의 배치가 나와 있습니다.

역할 범위 명명 컨텍스트(Active Directory 파티션)
스키마 마스터 포리스트 전체 CN=Schema,CN=configuration,DC=<포리스트 루트 도메인>
도메인 명명 마스터 포리스트 전체 CN=configuration,DC=<포리스트 루트 도메인>
PDC 에뮬레이터 도메인 전체 DC=<domain>
RID 마스터 도메인 전체 DC=<domain>
인프라 마스터 도메인 전체 DC=<domain>

작업 마스터 역할 소유자 및 역할 배치에 대한 권장 사항에 대한 자세한 내용은 Active Directory 도메인 컨트롤러에 대한 FSMO 배치 및 최적화를 참조하세요.

참고

DNS 애플리케이션 파티션을 포함하는 Active Directory 애플리케이션 파티션에는 작업 마스터 역할 링크가 있습니다. DNS 애플리케이션 파티션이 IM(인프라 master) 역할의 소유자를 정의하는 경우 Ntdsutil, DCPromo 또는 기타 도구를 사용하여 해당 애플리케이션 파티션을 제거할 수 없습니다. 자세한 내용은 DNS 인프라 마스터에 연락할 수 없는 경우 DCPROMO 강등 실패를 참조하세요.

역할 소유자 역할을 해온 DC가 실행되기 시작하면(예: 실패 또는 종료 후) 역할 소유자 역할을 즉시 다시 시작하지는 않습니다. DC는 명명 컨텍스트에 대한 인바운드 복제를 받을 때까지 기다립니다(예: 스키마 마스터 역할 소유자가 스키마 파티션의 인바운드 복제를 받기 위해 대기함).

DC가 Active Directory 복제의 일부로 전달하는 정보에는 현재 Operation Master 역할 소유자의 ID가 포함됩니다. 새로 시작된 DC가 인바운드 복제 정보를 받으면 여전히 역할 소유자인지 확인합니다. 이 경우 일반적인 작업을 다시 시작합니다. 복제된 정보가 다른 DC가 역할 소유자 역할을 하고 있음을 나타내는 경우 새로 시작된 DC는 역할 소유권을 포기합니다. 이 동작은 도메인 또는 포리스트에 중복된 Operation Master 역할 보유자가 있을 가능성을 줄입니다.

중요

AD FS 작업은 역할 소유자가 필요하고 새로 시작된 역할 소유자가 실제로 역할 소유자이고 인바운드 복제를 받지 못하는 경우 실패합니다.
결과 동작은 역할 소유자가 오프라인 상태인 경우 발생하는 동작과 유사합니다.

역할을 전송하거나 점유할 시기 결정

일반적인 상황에서는 5개 역할을 모두 포리스트의 “라이브” 도메인 컨트롤러에 할당해야 합니다. Active Directory 포리스트를 만들 때 Active Directory 설치 마법사(Dcpromo.exe)는 포리스트 루트 도메인에서 만든 첫 번째 DC에 5개의 Operation Master 역할을 모두 할당합니다. 자식 또는 트리 도메인을 만들 때 생성 메커니즘은 도메인의 첫 번째 DC에 세 개의 도메인 전체 역할을 할당합니다.

DC는 다음 방법 중 하나를 사용하여 다시 할당될 때까지 Operation Master 역할을 계속 소유합니다.

  • 관리자가 GUI 관리 도구를 사용하여 역할을 다시 할당합니다.
  • 관리자가 ntdsutil /roles 명령을 사용하여 역할을 다시 할당합니다.
  • 관리자가 Active Directory 설치 마법사를 사용하여 역할을 소유한 도메인 컨트롤러의 수준을 정상적으로 내립니다. 이 마법사는 로컬에서 소유 중인 역할을 포리스트의 기존 도메인 컨트롤러에 다시 할당합니다.
  • 관리자는 또는 dcpromo /forceremoval 명령을 사용하여 역할 보유 DC를 강등합니다Uninstall-ADDSDomainController -ForceRemoval.
  • DC가 종료되고 다시 시작됩니다. DC가 다시 시작되면 다른 DC가 역할 소유자임을 나타내는 인바운드 복제 정보를 받습니다. 이 경우 새로 시작된 DC는 이전에 설명한 대로 역할을 포기합니다.

Operation Master 역할 소유자에게 오류가 발생하거나 해당 역할이 이전되기 전에 서비스가 중단된 경우 모든 역할을 점유하고 정상 DC로 전송해야 합니다.

다음 시나리오에서 작업 마스터 역할을 전송하는 것이 좋습니다.

  • 현재 역할 보유자는 작동 중이며 새 Operation Master 소유자가 네트워크에서 액세스할 수 있습니다.
  • Active Directory 포리스트의 특정 DC에 할당하려는 작업 마스터 역할을 현재 소유하고 있는 DC를 정상적으로 강등하고 있습니다.
  • 현재 운영 마스터 역할을 소유하고 있는 DC는 예약된 유지 관리를 위해 오프라인으로 전환되고 있으며, 라이브 DC에 특정 Operation Master 역할을 할당해야 합니다. 작업 마스터 소유자에 영향을 주는 작업을 수행하려면 역할을 이전해야 할 수 있습니다. 특히 PDC 에뮬레이터 역할의 경우 그렇습니다. 이는 RID 마스터 역할, 도메인 명명 마스터 역할 및 스키마 마스터 역할에는 덜 중요한 문제입니다.

다음 시나리오에서 작업 마스터 역할을 점유하는 것이 좋습니다.

  • 현재 역할 소유자에게 작업 마스터 종속 작업이 성공적으로 완료되지 않고 역할을 전송할 수 없는 운영 오류가 발생합니다.

  • 또는 dcpromo /forceremoval 명령을 사용하여 Uninstall-ADDSDomainController -ForceRemoval 작업 마스터 역할을 소유한 DC를 강제로 강등합니다.

    중요

    force-demote 명령은 관리자가 다시 할당할 때까지 작업 마스터 역할을 잘못된 상태로 둘 수 있습니다.

  • 원래 특정 역할을 소유했던 컴퓨터의 운영 체제가 더 이상 없거나 다시 설치된 경우

참고

  • 이전 역할 소유자가 도메인으로 돌아오지 않는 경우에만 모든 역할을 점유하는 것이 좋습니다.
  • 포리스트 복구 시나리오에서 작업 마스터 역할을 압수해야 하는 경우 각 도메인의 첫 번째 쓰기 가능한 도메인 컨트롤러 복원 섹션에서 초기 복구 수행의 5단계를 참조하세요.
  • 역할 이전 또는 압류 후 새 역할 보유자는 즉시 행동하지 않습니다. 대신 새 역할 소유자는 다시 시작한 역할 소유자처럼 동작하며 역할(예: 도메인 파티션)에 대한 명명 컨텍스트의 복사본이 성공적인 인바운드 복제 주기를 완료할 때까지 기다립니다. 이 복제 요구 사항은 새 역할 소유자가 작업을 수행하기 전에 가능한 한 최신 상태인지 확인하는 데 도움이 됩니다. 또한 오류 가능성을 제한합니다. 이 가능성에는 이전 역할 소유자가 오프라인 상태가 되기 전에 다른 DC에 대한 복제를 완료하지 않은 변경 내용만 포함됩니다. 각 작업 마스터 역할에 대한 명명 컨텍스트 목록은 자세한 정보 섹션의 표를 참조하세요.

새 역할 소유자 식별

새 역할 소유자에게 가장 적합한 후보는 다음 조건을 충족하는 DC입니다.

  • 이전 역할 소유자와 동일한 도메인에 상주합니다.
  • 여기에는 역할 파티션의 가장 최근에 복제된 쓰기 가능한 복사본이 있습니다.

예를 들어 스키마 마스터 역할을 전송해야 하는 경우를 가정합니다. 스키마 master 역할은 포리스트의 스키마 파티션의 일부입니다(CN=Schema,CN=Configuration,DC=<포리스트 루트 도메인>). 새 역할 소유자에게 가장 적합한 후보는 포리스트 루트 도메인에 있고 현재 역할 소유자와 동일한 Active Directory 사이트에 있는 DC입니다.

주의

다음 조건이 충족되면 인프라 master 역할이 더 이상 필요하지 않습니다.

  • 도메인의 모든 도메인 컨트롤러는 GC(글로벌 카탈로그)입니다. 이 경우 GC는 도메인 간 참조를 제거하는 업데이트를 받습니다.
  • 포리스트에서 AD 휴지통을 사용할 수 있습니다. 이 경우 각 DC는 해당 참조를 업데이트해야 합니다.

모니터링 도구의 오류 및 경고를 방지하려면 인프라 master 적절한 소유자를 정의하는 것이 좋습니다.

인프라 master 역할이 여전히 필요한 경우:
인프라 master 역할을 글로벌 카탈로그 서버와 동일한 DC에 배치하지 마세요. 인프라 master 전역 카탈로그 서버에서 실행되는 경우 포함하지 않는 개체에 대한 참조가 없기 때문에 개체 정보 업데이트를 중지합니다. 글로벌 카탈로그 서버에는 포리스트 내 모든 개체의 부분 복제본이 포함되어 있기 때문입니다.

Active Directory 휴지통을 사용하도록 설정하면 인프라 master 역할이 더 이상 사용되지 않습니다. AD 휴지통은 제거되는 개체 조회를 처리하는 방법을 변경합니다.

DC가 글로벌 카탈로그 서버인지 테스트하려면 다음 단계를 수행합니다.

Active Directory 사이트 및 서비스 사용:

  1. 시작>프로그램>관리 도구>Active Directory 사이트 및 서비스를 선택합니다.
  2. 탐색 창에서 사이트를 두 번 클릭한 다음 적절한 사이트를 찾거나 다른 사이트를 사용할 수 없는 경우 Default-first-site-name 을 선택합니다.
  3. 서버 폴더를 열고 DC를 선택합니다.
  4. DC 폴더에서 NTDS 설정을 두 번 클릭합니다.
  5. 작업 메뉴에서 속성을 클릭합니다.
  6. 일반 탭에서 전역 카탈로그 검사 상자를 확인하여 선택되었는지 확인합니다.

Windows PowerShell 사용:

  1. PowerShell을 시작합니다.

  2. 다음 cmdlet을 입력하고 실제 DC 이름으로 조정 DC_NAME 합니다.

    (Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalog

  3. 출력은 또는 False입니다True.

자세한 내용은 다음을 참조하세요.

작업 마스터 역할 점유 또는 이전

Windows PowerShell 또는 Ntdsutil을 사용하여 역할을 점유하거나 이전할 수 있습니다. 이러한 작업에 PowerShell을 사용하는 방법에 대한 자세한 내용과 예시는 Move-ADDirectoryServerOperationMasterRole을 참조하세요.

중요

도메인에서 SID가 중복되는 위험을 방지하기 위해 RID 마스터 발작은 RID master 역할을 점유할 때 풀에서 사용 가능한 다음 RID를 증가합니다. 이 동작으로 인해 포리스트에서 사용 가능한 RID 값 범위(RID 굽기라고도 함)를 크게 사용할 수 있습니다. 따라서 현재 Rid 마스터를 다시 서비스로 가져올 수 없는 경우에만 Rid 마스터를 점유합니다.

RID master 역할을 점유해야 하는 경우 다음 세부 정보를 고려합니다.

  • Move-ADDirectoryServerOperationMasterRole cmdlet은 Active Directory에서 찾은 것에서 다음 Rid 풀을 30,000씩 증가합니다.
  • 범주 명령과 함께 Ntdsutil.exe 유틸리티를 roles 사용하면 다음 Rid 풀이 10,000씩 증가합니다.

Ntdsutil 유틸리티를 사용하여 작업 마스터 역할을 점유하거나 전송하려면 다음 단계를 수행합니다.

  1. AD RSAT 도구가 설치된 멤버 컴퓨터 또는 Operation Master 역할이 전송되는 포리스트에 있는 DC에 로그인합니다.

    참고

    • 작업 마스터 역할을 할당하는 DC에 로그온하는 것이 좋습니다.
    • 로그인한 사용자는 스키마 master 또는 도메인 명명 master 역할을 전송하기 위한 엔터프라이즈 관리자 그룹의 구성원이거나 PDC 에뮬레이터, RID master 및 인프라 master 역할이 전송되는 도메인의 도메인 관리자 그룹의 구성원이어야 합니다.

  2. 시작>실행을 차례로 클릭하고 열기 상자에 ntdsutil을 입력한 다음 확인을 클릭합니다.

  3. roles를 입력한 다음 Enter 키를 누릅니다.

    참고

    Ntdsutil 유틸리티의 프롬프트 중 하나에서 사용 가능한 명령 목록을 확인하려면 ?를 입력하고 Enter 키를 누릅니다.

  4. connections를 입력한 다음 Enter 키를 누릅니다.

  5. 서버 서버 <이름>에 연결을 입력한 다음 Enter 키를 누릅니다.

    참고

    이 명령 <에서 servername> 은 작업 마스터 역할을 할당하려는 DC의 이름입니다.

  6. server connections 프롬프트에서 q를 입력한 다음 Enter 키를 누릅니다.

  7. 다음 작업 중 하나를 수행합니다.

    • 역할을 전송하려면: 전송 <역할을> 입력한 다음 Enter 키를 누릅니다.

      참고

      이 명령 <에서 역할은> 전송하려는 역할입니다.

    • 역할을 점유하려면: 역할 포착을 <>입력한 다음 Enter 키를 누릅니다.

      참고

      이 명령 <에서 역할은> 점유하려는 역할입니다.

    예를 들어 RID 마스터 역할을 확보하려면 seize rid master를 입력합니다. 구문이 pdc를 점유하는 PDC 에뮬레이터 역할과 구문이 명명 마스터를 점유하는 도메인 명명 마스터는 예외입니다.

    이전하거나 점유할 수 있는 역할 목록을 보려면 fsmo 유지 관리 프롬프트에 ?를 입력한 다음 Enter 키를 누르거나 이 문서의 시작 부분에 있는 역할 목록을 참조하세요.

  8. fsmo maintenance 프롬프트에서 q를 입력하고 Enter 키를 눌러 ntdsutil 프롬프트에 액세스합니다. q를 입력한 다음 Enter 키를 눌러 Ntdsutil 유틸리티를 종료합니다.

이전 역할 소유자를 복구하거나 제거할 때 고려 사항

가능하고 역할을 점유하는 대신 이전할 수 있는 경우 이전 역할 소유자를 수정합니다. 이전 역할 소유자를 수정할 수 없거나 역할을 압수한 경우 도메인에서 이전 역할 소유자를 제거합니다.

중요

복구된 컴퓨터를 DC로 사용하려는 경우 백업에서 DC를 복원하는 대신 컴퓨터를 처음부터 DC로 다시 빌드하는 것이 좋습니다. 복원 프로세스는 DC를 역할 소유자로 다시 빌드합니다.

  • 복구된 컴퓨터를 포리스트에 DC로 반환하려면 다음을 수행합니다.

    1. 다음 작업 중 하나를 수행합니다.

      • 이전 역할 소유자의 하드 디스크를 포맷한 다음 컴퓨터에 Windows를 다시 설치합니다.
      • 이전 역할 소유자를 구성원 서버로 강제로 강등합니다.

    2. 포리스트의 다른 DC에서 Ntdsutil을 사용하여 이전 역할 소유자에 대한 메타데이터를 제거합니다. 자세한 내용은 Ntdsutil을 사용하여 서버 메타데이터를 정리를 참조합니다.

    3. 메타데이터를 정리한 후 컴퓨터를 DC로 다시 승격하고 역할을 다시 전송할 수 있습니다.

  • 해당 역할을 압수한 후 포리스트에서 컴퓨터를 제거하려면 다음을 수행합니다.

    1. 도메인에서 컴퓨터를 제거합니다.
    2. 포리스트의 다른 DC에서 Ntdsutil을 사용하여 이전 역할 소유자에 대한 메타데이터를 제거합니다. 자세한 내용은 Ntdsutil을 사용하여 서버 메타데이터를 정리를 참조합니다.

복제 제도를 다시 초기화할 때 고려 사항

도메인 또는 포리스트의 일부가 오랜 시간 동안 도메인 또는 포리스트의 나머지 부분과 통신할 수 없는 경우 도메인 또는 포리스트의 격리된 섹션을 복제 섬이라고 합니다. 한 섬의 DC는 다른 섬의 DC와 복제할 수 없습니다. 여러 복제 주기 동안 복제 섬은 동기화가 중단됩니다. 각 섬에 고유한 Operation Master 역할 소유자가 있는 경우 섬 간의 통신을 복원할 때 문제가 있을 수 있습니다.

중요

대부분의 경우 이 문서에 설명된 대로 초기 복제 요구 사항을 활용하여 중복 역할 소유자를 제거할 수 있습니다. 재시작된 역할 소유자는 중복된 역할 소유자를 검색하는 경우 역할을 포기해야 합니다.
이 동작이 해결되지 않는 상황이 발생할 수 있습니다. 이 경우 이 섹션의 정보가 유용할 수 있습니다.

다음 표에서는 포리스트 또는 도메인에 해당 역할에 대한 여러 역할 소유자가 있는 경우 문제를 일으킬 수 있는 작업 마스터 역할을 식별합니다.

역할 여러 역할 소유자 간의 잠재적 충돌?
스키마 마스터
도메인 명명 마스터
RID 마스터
PDC 에뮬레이터 아니요
인프라 마스터 아니요

이 문제는 PDC 에뮬레이터 master 또는 인프라 master 영향을 주지 않습니다. 이러한 역할 보유자는 운영 데이터를 유지하지 않습니다. 또한 인프라 master 자주 변경하지 않습니다. 따라서 여러 섬에 이러한 역할 보유자가 있는 경우 장기적인 문제를 일으키지 않고 섬을 다시 통합할 수 있습니다.

스키마 마스터, 도메인 명명 마스터 및 RID 마스터는 개체를 만들고 Active Directory에서 변경 내용을 유지할 수 있습니다. 이러한 역할 소유자 중 하나가 있는 각 섬에는 복제를 복원할 때까지 중복되고 충돌하는 스키마 개체, 도메인 또는 RID 풀이 있을 수 있습니다. 섬을 다시 통합하기 전에 유지할 역할 소유자를 결정합니다. 이 문서에 언급된 복구, 제거 및 정리 절차에 따라 중복된 스키마 마스터, 도메인 명명 마스터 및 RID 마스터를 제거합니다.

참조

자세한 내용은 다음을 참조하세요.