Windows Active Directory FSMO 역할

이 문서는 주로 Active Directory의 FSMO(Flexible Single Master Operation) 역할에 대해 알아보는 데 도움이 됩니다.

적용 대상: Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
원본 KB 번호: 197132

요약

Active Directory는 엔터프라이즈의 모든 개체와 해당 특성이 저장되는 중앙 리포지토리입니다. 수백만 개 개체를 저장할 수 있는 계층적 다중 마스터 지원 데이터베이스입니다. 데이터베이스에 대한 변경 내용은 DC(도메인 컨트롤러)가 네트워크에서 연결되었는지 또는 연결이 끊어졌는지에 관계없이 엔터프라이즈의 지정된 DC에서 처리할 수 있습니다.

다중 마스터 모델

Active Directory와 같은 다중 마스터 사용 데이터베이스는 엔터프라이즈의 모든 DC에서 변경이 수행되게 하는 유연성을 제공합니다. 그러나 데이터가 엔터프라이즈의 나머지 부분에 복제되면 잠재적으로 문제가 발생할 수 있는 충돌 가능성도 소개합니다. 충돌하는 업데이트를 처리하는 Windows 한 가지 방법은 충돌 해결 알고리즘이 값의 불일치를 처리하게 하는 것입니다. 이는 변경 내용이 마지막으로 기록된 DC를 확인하여 수행되며 이는 마지막 작성자가 우선하는 것입니다. 다른 모든 DC의 변경 내용은 삭제됩니다. 이 메서드는 경우에 따라 허용될 수 있지만 마지막 작성자가 우선하는 접근 방식을 사용하여 충돌을 해결하기가 너무 어려운 경우가 있습니다. 이러한 경우 충돌 발생 후에 해결하기 보다는 충돌이 발생하지 않도록 하는 것이 가장 좋습니다.

특정 유형의 변경에 대해 Windows는 충돌하는 Active Directory 업데이트가 발생하지 않도록 하는 메서드를 통합합니다.

단일 마스터 모델

Windows 업데이트가 충돌하지 않도록 Active Directory는 단일 마스터 방식으로 특정 개체에 대한 업데이트를 수행합니다. 단일 마스터 모델에서는 전체 디렉터리에 있는 하나의 DC만 업데이트를 처리할 수 있습니다. 이는 Microsoft Windows NT 3.51 및 4.0과 같은 이전 버전의 Windows PDC(주 도메인 컨트롤러)에 지정된 역할과 유사합니다. 이전 버전의 Windows PDC는 지정된 도메인의 모든 업데이트를 처리해야 합니다.

Active Directory는 이전 버전의 Windows에 있는 단일 마스터 모델을 확장하여 여러 역할을 포함하고 엔터프라이즈의 어떤 DC에라도 역할을 전송하는 기능을 포함합니다. Active Directory 역할은 단일 DC에 바인딩되지 않으므로 FSMO 역할이라고 합니다. 현재 Windows 5개의 FSMO 역할이 있습니다.

• 스키마 마스터
• 도메인 명명 마스터
• RID 마스터
• PDC 에뮬레이터
• 인프라 마스터

일반적으로 FSMO 역할 소유권은 도메인 컨트롤러가 디렉터리 서비스가 시작된 이후 소유권이 저장되는 NC(명명 컨텍스트)를 복제한 경우에만 실행됩니다. 역할이 사용되기 전에 FSMO 역할 발작이 이전 소유자에게 도달했는지 확인합니다.

스키마 마스터 FSMO 역할

스키마 master FSMO 역할 보유자는 디렉터리 스키마, 즉 스키마 명명 컨텍스트 또는 LDAP://cn=schema,cn=configuration,dc=<domain>에 대한 업데이트를 수행하는 DC입니다. 이 DC는 디렉터리 스키마에 대한 업데이트를 처리할 수 있는 유일한 DC입니다. 스키마 업데이트가 완료되면 스키마 마스터에서 디렉터리의 다른 모든 DC로 복제됩니다. 포리스트당 하나의 스키마 마스터만 있습니다.

초기 복제 및 연결 요구 사항

• 이 FSMO 역할 보유자는 디렉터리 서비스가 시작된 이후 역할 소유자가 스키마 NC를 성공적으로 복제한 경우에만 활성화됩니다.
• DC 및 포리스트의 멤버는 스키마를 업데이트할 때만 FSMO 역할에 접촉합니다.

도메인 명명 마스터 FSMO 역할

FSMO 역할 소유자에 master 도메인 명명은 디렉터리의 포리스트 전체 도메인 이름 공간, 즉 Partitions\Configuration 명명 컨텍스트 또는 LDAP://CN=Partitions, CN=Configuration, DC=<domain>을 변경하는 DC입니다. 이 DC는 디렉터리에서 도메인을 추가하거나 제거할 수 있는 유일한 DC입니다. 외부 디렉터리에서 도메인에 대한 상호 참조를 추가하거나 제거할 수도 있습니다.

초기 복제 및 연결 요구 사항

• 이 FSMO 역할 보유자는 디렉터리 서비스가 시작된 이후 역할 소유자가 구성 NC를 성공적으로 복제한 경우에만 활성화됩니다.

• 포리스트의 도메인 멤버는 상호 참조를 업데이트할 때만 FSMO 역할 보유자에게 접촉합니다. DC는 다음과 같은 경우 FSMO 역할 보유자에게 접촉합니다.

  • 도메인은 포리스트에 추가되거나 제거됩니다.
  • DC에서 애플리케이션 디렉터리 파티션의 새 인스턴스가 추가됩니다. 예를 들어 DNS 서버가 기본 DNS 애플리케이션 디렉터리 파티션에 등록되었습니다.

RID 마스터 FSMO 역할

RID 마스터 FSMO 역할 보유자는 지정된 도메인 내의 모든 DC에서 RID 풀 요청을 처리하는 단일 DC입니다. 또한 개체를 이동하는 동안 도메인에서 개체를 제거하고 다른 도메인에 배치해야 합니다.

DC는 사용자 또는 그룹과 같은 보안 주체 개체를 만들 때 고유한 SID(보안 ID)를 개체에 연결합니다. SID 구성 요소:

• 도메인에서 만든 모든 SID에 대해 동일한 도메인 SID.
• 도메인에서 만든 각 보안 주체 SID에 대한 고유한 RID(상대 ID).

도메인의 각 Windows DC는 만든 보안 주체에 할당할 수 있는 RID 풀에 할당됩니다. DC의 할당된 RID 풀이 임계값 아래로 떨어지면 해당 DC는 도메인의 RID 마스터에 대한 추가 RID 요청을 발급합니다. 도메인 RID 마스터는 도메인의 할당되지 않은 RID 풀에서 RID를 검색하여 요청에 응답하고 이를 요청 DC의 풀에 할당합니다. 디렉터리에 도메인당 하나의 RID 마스터가 있습니다.

초기 복제 및 연결 요구 사항

• 이 FSMO 역할 보유자는 디렉터리 서비스가 시작된 이후 역할 소유자가 도메인 NC를 성공적으로 복제한 경우에만 활성화됩니다.
• DC는 새 RID 풀을 검색할 때 FSMO 역할 보유자에게 문의합니다. 새 RID 풀은 AD 복제를 통해 DC에 전달됩니다.

PDC 에뮬레이터 FSMO 역할

PDC 에뮬레이터는 엔터프라이즈에서 시간을 동기화하는 데 필요합니다. Windows에는 Kerberos 인증 프로토콜에 필요한 시간 서비스 도구인 W32Time(Windows Time)이 포함되어 있습니다. 엔터프라이즈 내의 모든 Windows 기반 컴퓨터는 일반적인 시간을 사용합니다. 시간 서비스의 목적은 Windows 시간 서비스가 기관을 제어하는 계층 관계를 사용하는지 확인하는 것입니다. 적절한 공용 시간 사용을 보장하기 위해 루프를 허용하지 않습니다.

도메인의 PDC 에뮬레이터는 도메인에 대해 신뢰할 수 있습니다. 포리스트의 루트에 있는 PDC 에뮬레이터는 엔터프라이즈에 대해 신뢰할 수 있게 되며 외부 원본에서 시간을 수집하도록 구성해야 합니다. 모든 PDC FSMO 역할 소유자는 도메인의 계층 구조를 따라 인바운드(Inbound) 시간 파트너를 선택합니다.

Windows 도메인에서 PDC 에뮬레이터 역할 소유자는 다음 함수를 유지합니다.

• 도메인의 다른 DC에서 변경한 암호는 PDC 에뮬레이터에 우선적으로 복제됩니다.
• 잘못된 암호로 인해 지정된 DC에서 인증 오류가 발생하면 잘못된 암호 오류 메시지가 사용자에게 보고되기 전에 오류가 PDC 에뮬레이터로 전달됩니다.
• 계정 잠금은 PDC 에뮬레이터에서 처리됩니다.
• PDC 에뮬레이터는 Windows NT 4.0 서버 기반 PDC 또는 이전 PDC가 Windows NT 4.0 기반 또는 이전 클라이언트에 대해 수행하는 모든 기능을 수행합니다.

PDC 에뮬레이터 역할의 이 부분은 다음과 같은 상황에서 불필요해집니다.
Windows NT 4.0 이하를 실행하는 모든 워크스테이션, 멤버 서버 및 DC(도메인 컨트롤러)는 모두 Windows 2000으로 업그레이드됩니다.

PDC 에뮬레이터는 Windows 2000 환경에서 설명한 대로 다른 함수를 계속 수행합니다.

다음 정보는 업그레이드 프로세스 중에 발생하는 변경 내용을 설명합니다.

• 분산 서비스 클라이언트 패키지를 설치한 Windows 클라이언트(워크스테이션 및 멤버 서버) 및 하위 수준 클라이언트는 PDC로 보급된 DC에서 디렉터리 쓰기(예: 암호 변경)를 우선적으로 수행하지 않습니다. 도메인에 DC를 사용합니다.
• 하위 수준 도메인의 BDC(백업 도메인 컨트롤러)가 Windows 2000으로 업그레이드되면 PDC 에뮬레이터는 하위 수준 복제본 요청을 받지 않습니다.
• 분산 서비스 클라이언트 패키지를 설치한 Windows 클라이언트(워크스테이션 및 멤버 서버) 및 하위 수준 클라이언트는 Active Directory를 사용하여 네트워크 리소스를 찾습니다. Windows NT Browser 서비스가 필요하지 않습니다.

초기 복제 및 연결 요구 사항

• PDC 에뮬레이터가 도메인 NC 헤드가 스스로를 가리키는 fSMORoleOwner 특성을 찾으면 이 FSMO 역할 보유자는 항상 활성화됩니다. 인바운드 복제 요구 사항이 없습니다.

• DC는 새 암호가 있거나 로컬 암호 확인에 실패하면 FSMO 역할 보유자에게 문의합니다. PDC 에뮬레이터에 연결할 수 없거나 AvoidPdcOnWan 레지스트리 값이 1로 설정된 경우 오류가 발생하지 않습니다.

• 다음 cmdlet을 사용하여 DC 강등을 위한 필수 구성 요소를 실행할 수 있습니다.

  PS C:\Users\Capecodadmin> Test-ADDSDomainControllerUninstallation -DemoteOperationMasterRole |fl
  

  다음은 PDC 에뮬레이터에 연결할 수 없는 출력 예제입니다.

  메시지: 도메인 컨트롤러 승격을 위한 필수 구성 요소 확인에 실패했습니다. 이 Active Directory 도메인 컨트롤러가 "contoso.com" 도메인의 마지막 도메인 컨트롤러가 아님을 표시했습니다. 그러나 해당 도메인에 대한 다른 도메인 컨트롤러에 연결할 수 없습니다. 계속하면 이 도메인 컨트롤러에서 수행된 Active Directory Domain Services 변경 내용이 손실됩니다. 계속하려면 'IgnoreLastDCInDomainMismatch' 옵션을 지정합니다.
  컨텍스트: Test.VerifyDcPromoCore.DCPromo.General.50
  RebootRequired: False
  상태: 오류

인프라 마스터 FSMO 역할

한 도메인의 개체가 다른 도메인의 다른 개체에서 참조되는 경우 다음을 기준으로 참조를 나타냅니다.

• GUID
• SID(보안 주체에 대한 참조용)
• 참조되는 개체의 DN

인프라 FSMO 역할 보유자는 도메인 간 개체 참조에서 개체의 SID 및 고유 이름을 업데이트하는 DC입니다.

도메인의 모든 DC가 글로벌 카탈로그를 호스트하는 경우 모든 DC에는 현재 데이터가 있습니다. 인프라 마스터 역할을 보유하는 DC는 중요하지 않습니다.

휴지통 선택적 기능을 사용하도록 설정하면 참조된 개체가 이동, 이름 바꾸기 또는 삭제될 때 모든 DC에서 도메인 간 개체 참조를 업데이트해야 합니다. 이 경우 인프라 FSMO 역할과 관련된 작업이 없습니다. 인프라 마스터 역할을 소유하는 도메인 컨트롤러는 중요하지 않습니다. 자세한 내용은 6.1.5.5 인프라 FSMO 역할을 참조하세요.

초기 복제 및 연결 요구 사항

• 이 FSMO 역할 보유자는 디렉터리 서비스가 시작된 이후 역할 소유자가 도메인 NC를 성공적으로 복제한 경우에만 활성화됩니다.
• 이 FSMO 역할 보유자에 대한 연결 요구 사항은 없습니다. 포리스트 내부 정리 기능입니다.