Active Directory 도메인 및 포리스트 기능 수준을 높이는 방법
이 문서에서는 Active Directory 도메인 및 포리스트 기능 수준을 높이는 방법을 설명합니다.
적용 대상: Windows Server 2003
원래 KB 번호: 322692
요약
Active Directory Domain Services(AD DS)의 Windows Server 2016 및 새로운 기능에 대한 자세한 내용은 Windows Server 2016 Active Directory Domain Services 새로운 기능을 참조하세요.
이 문서에서는 Microsoft Windows Server 2003 기반 또는 최신 도메인 컨트롤러에서 지원하는 도메인 및 포리스트 기능 수준을 높이는 방법을 설명합니다. Active Directory에는 4개의 릴리스가 있으며 Windows NT Server 4.0에서 변경된 수준만 특별히 고려해야 합니다. 따라서 다른 수준 변경 내용은 도메인 컨트롤러 운영 체제, 도메인 또는 포리스트 기능 수준의 최신, 현재 또는 이전 버전을 사용하여 언급됩니다.
기능 수준은 새로운 Active Directory 기능을 활성화하기 위해 Microsoft Windows 2000 Server에 도입된 혼합 모드 및 기본 모드 개념의 확장입니다. 일부 추가 Active Directory 기능은 모든 도메인 컨트롤러가 도메인 또는 포리스트에서 최신 Windows Server 버전을 실행하고 관리자가 도메인 또는 포리스트에서 해당 기능 수준을 활성화할 때 사용할 수 있습니다.
최신 도메인 기능을 활성화하려면 모든 도메인 컨트롤러가 도메인에서 최신 Windows Server 운영 체제 버전을 실행해야 합니다. 이 요구 사항이 충족되면 관리자는 도메인 기능 수준을 높일 수 있습니다.
최신 포리스트 전체 기능을 활성화하려면 포리스트의 모든 도메인 컨트롤러가 원하는 포리스트 기능 수준에 해당하는 Windows Server 운영 체제 버전을 실행해야 합니다. 또한 현재 도메인 기능 수준은 이미 최신 수준이어야 합니다. 이러한 요구 사항이 충족되면 관리자는 포리스트 기능 수준을 높일 수 있습니다.
일반적으로 도메인 및 포리스트 기능 수준에 대한 변경은 되돌릴 수 없습니다. 변경 내용을 취소할 수 있는 경우 포리스트 복구를 사용해야 합니다. Windows Server 2008 R2 운영 체제를 사용하면 도메인 기능 수준 및 포리스트 기능 수준에 대한 변경 내용을 롤백할 수 있습니다. 그러나 롤백은 Active Directory 기능 수준에 대한 Technet 문서에 설명된 특정 시나리오에서만 수행할 수 있습니다.
참고
최신 도메인 기능 수준 및 최신 포리스트 기능 수준은 도메인 컨트롤러가 그룹으로 함께 작동하는 방식에만 영향을 줍니다. 도메인 또는 포리스트와 상호 작용하는 클라이언트는 영향을 받지 않습니다. 또한 애플리케이션은 도메인 기능 수준 또는 포리스트 기능 수준 변경의 영향을 받지 않습니다. 그러나 애플리케이션은 최신 도메인 기능과 최신 포리스트 기능을 활용할 수 있습니다.
기능 수준 올리기
주의
도메인에 해당 수준에 대해 인용된 버전보다 이전 버전의 도메인 컨트롤러가 있거나 있는 경우 기능 수준을 높이지 마세요. 예를 들어 Windows Server 2008 기능 수준을 사용하려면 모든 도메인 컨트롤러에 Windows Server 2008 이상 운영 체제가 도메인 또는 포리스트에 설치되어 있어야 합니다. 도메인 기능 수준이 더 높은 수준으로 올라간 후에는 포리스트 복구를 사용하여 이전 수준으로만 변경할 수 있습니다. 이 제한은 기능이 도메인 컨트롤러 간의 통신을 변경하는 경우가 많거나 기능이 데이터베이스의 Active Directory 데이터 스토리지를 변경하기 때문에 존재합니다.
도메인 및 포리스트 기능 수준을 사용하도록 설정하는 가장 일반적인 방법은 Windows Server 2003 Active Directory 기능 수준에 대한 TechNet 문서에 설명된 GUI(그래픽 사용자 인터페이스) 관리 도구를 사용하는 것입니다. 이 문서에서는 Windows Server 2003에 대해 설명합니다. 그러나 이 단계는 최신 운영 체제 버전에서 동일합니다. 또한 기능 수준을 수동으로 구성하거나 Windows PowerShell 스크립트를 사용하여 구성할 수 있습니다. 기능 수준을 수동으로 구성하는 방법에 대한 자세한 내용은 "기능 수준 보기 및 설정" 섹션을 참조하세요.
Windows PowerShell 스크립트를 사용하여 기능 수준을 구성하는 방법에 대한 자세한 내용은 포리스트 기능 수준 올리기를 참조하세요.
수동으로 기능 수준 보기 및 설정
Ldp.exe 및 Adsiedit.msc와 같은 LDAP(Lightweight Directory Access Protocol) 도구를 사용하여 현재 도메인 및 포리스트 기능 수준 설정을 보고 수정할 수 있습니다. 기능 수준 특성을 수동으로 변경하는 경우 일반적으로 Microsoft 관리 도구의 대상이 되는 FSMO(유연한 단일 마스터 작업) 도메인 컨트롤러에서 특성을 변경하는 것이 가장 좋습니다.
도메인 기능 수준 설정
msDS-Behavior-Version 특성은 도메인의 이름 지정 컨텍스트(NC) 헤드( 즉, DC=corp, DC=contoso, DC=com)에 있습니다.
이 특성에 대해 다음 값을 설정할 수 있습니다.
- 값 0 또는 설정 안 됨=혼합 수준 도메인
- 값 1=Windows Server 2003 도메인 수준
- 값 2=Windows Server 2003 도메인 수준
- 값 3=Windows Server 2008 도메인 수준
- 값 4=Windows Server 2008 R2 도메인 수준
혼합 모드 및 기본 모드 설정
ntMixedDomain 특성은 도메인의 NC(명명 컨텍스트) 헤드( 즉, DC=corp, DC=contoso, DC=com)에 있습니다.
이 특성에 대해 다음 값을 설정할 수 있습니다.
- 값 0=네이티브 수준 도메인
- 값 1=혼합 수준 도메인
포리스트 수준 설정
msDS-Behavior-Version 특성은 NC(구성 명명 컨텍스트)의 CN=Partitions 개체, 즉 CN=Partitions, CN=Configuration, DC= ForestRootDomain에 있습니다.
이 특성에 대해 다음 값을 설정할 수 있습니다.
값 0 또는 설정 안 됨=혼합 수준 포리스트
값 1=Windows Server 2003 중간 포리스트 수준
값 2=Windows Server 2003 포리스트 수준
참고
adsiedit.msc를 사용하여 msDS-Behavior-Version 특성을 0 값에서 1 값으로 늘리면 다음 오류 메시지가 표시됩니다.
잘못된 수정 작업입니다. 수정의 일부 측면은 허용되지 않습니다.값 3=Windows Server 2008 도메인 수준
값 4=Windows Server 2008 R2 도메인 수준
LDAP(Lightweight Directory Access Protocol) 도구를 사용하여 기능 수준을 편집한 후 확인을 클릭하여 계속합니다. 파티션 컨테이너 및 도메인 헤드의 특성이 올바르게 증가합니다. Ldp.exe 파일에서 오류 메시지를 보고하는 경우 오류 메시지를 무시해도 됩니다. 수준 증가가 성공했는지 확인하려면 특성 목록을 새로 고친 다음 현재 설정을 검사. 이 오류 메시지는 변경 내용이 아직 로컬 도메인 컨트롤러에 복제되지 않은 경우 신뢰할 수 있는 FSMO에 대한 수준 증가를 수행한 후에도 발생할 수 있습니다.
Ldp.exe 파일을 사용하여 현재 설정을 빠르게 봅니다.
- Ldp.exe 파일을 시작합니다.
- 연결 메뉴에서 연결을 클릭합니다.
- 쿼리할 도메인 컨트롤러를 지정하거나 공간을 비워 두어 도메인 컨트롤러에 연결합니다.
도메인 컨트롤러에 연결하면 도메인 컨트롤러에 대한 RootDSE 정보가 표시됩니다. 이 정보에는 포리스트, 도메인 및 도메인 컨트롤러에 대한 정보가 포함됩니다. 다음은 Windows Server 2003 기반 도메인 컨트롤러의 예입니다. 다음 예제에서는 도메인 모드가 Windows Server 2003이고 포리스트 모드가 Windows 2000 Server라고 가정합니다.
참고
도메인 컨트롤러 기능은 이 도메인 컨트롤러에 대해 가능한 가장 높은 기능 수준을 나타냅니다.
- 1> domainFunctionality: 2=(DS_BEHAVIOR_WIN2003)
- 1> forestFunctionality: 0=(DS_BEHAVIOR_WIN2000)
- 1> domainControllerFunctionality: 2=(DS_BEHAVIOR_WIN2003)
기능 수준을 수동으로 변경할 때의 요구 사항
다음 조건 중 하나가 true인 경우 도메인 수준을 올리기 전에 도메인 모드를 기본 모드로 변경해야 합니다.
- 도메인 기능 수준은 domainDNS 개체에서 msdsBehaviorVersion 특성의 값을 직접 수정하여 프로그래밍 방식으로 두 번째 기능 수준으로 높입니다.
- 도메인 기능 수준은 Ldp.exe 유틸리티 또는 Adsiedit.msc 유틸리티를 사용하여 두 번째 기능 수준으로 높아집니다.
도메인 수준을 높이기 전에 도메인 모드를 기본 모드로 변경하지 않으면 작업이 성공적으로 완료되지 않으며 다음과 같은 오류 메시지가 표시됩니다.
SV_PROBLEM_WILL_NOT_PERFORM
ERROR_DS_ILLEGAL_MOD_OPERATION
또한 다음 메시지는 Directory Services 로그에 기록됩니다.
Active Directory could not update the functional level of the following domain because the domain is in mixed mode.
이 시나리오에서는 Active Directory 사용자 & 컴퓨터 스냅인을 사용하거나, Active Directory 도메인 & Trusts UI MMC 스냅인을 사용하거나, 프로그래밍 방식으로 domainDNS 개체에서 ntMixedDomain 특성의 값을 0으로 변경하여 도메인 모드를 기본 모드로 변경할 수 있습니다. 이 프로세스를 사용하여 도메인 기능 수준을 2(Windows Server 2003)로 올리면 도메인 모드가 자동으로 기본 모드로 변경됩니다.
혼합 모드에서 기본 모드로 전환하면 스키마 관리자 보안 그룹 및 엔터프라이즈 관리자 보안 그룹의 scope 유니버설 그룹으로 변경됩니다. 이러한 그룹이 범용 그룹으로 변경되면 시스템 로그에 다음 메시지가 기록됩니다.
Event Type: Information Event Source: SAM Event ID: 16408 Computer:Server Name Description: "Domain operation mode has been changed to Native Mode. The change cannot be reversed."
Windows Server 2003 관리 도구를 사용하여 도메인 기능 수준을 호출하면 ntmixedmode 특성과 msdsBehaviorVersion 특성이 모두 올바른 순서로 수정됩니다. 그러나 항상 발생하는 것은 아닙니다. 다음 시나리오에서 기본 모드는 스키마 관리자 보안 그룹 및 엔터프라이즈 관리자 보안 그룹에 대한 scope 유니버설로 변경하지 않고 암시적으로 값 0으로 설정됩니다.
- 도메인 기능 모드를 제어하는 msdsBehaviorVersion 특성은 수동으로 또는 프로그래밍 방식으로 값 2로 설정됩니다.
- 포리스트 기능 수준은 메서드를 사용하여 2로 설정됩니다. 이 시나리오에서 도메인 컨트롤러는 로컬 영역 네트워크에 있는 모든 도메인이 기본 모드로 구성되고 보안 그룹 범위에서 필요한 특성이 변경될 때까지 포리스트 기능 수준으로의 전환을 차단합니다.
Windows 2000 Server와 관련된 기능 수준
Windows 2000 Server는 혼합 모드 및 기본 모드만 지원합니다. 또한 도메인 기능에만 이러한 모드를 적용합니다. 다음 섹션에서는 이러한 모드가 Windows NT 4.0 및 Windows 2000 Server 도메인을 업그레이드하는 방법에 영향을 주므로 Windows Server 2003 도메인 모드를 나열합니다.
도메인 컨트롤러의 운영 체제 수준을 높일 때는 많은 고려 사항이 있습니다. 이러한 고려 사항은 Windows 2000 서버 모드에서 연결된 특성의 스토리지 및 복제 제한으로 인해 발생합니다.
Windows 2000 Server 혼합(기본값)
- 지원되는 도메인 컨트롤러: Microsoft Windows NT 4.0, Windows 2000 Server, Windows Server 2003
- 활성화된 기능: 로컬 및 글로벌 그룹, 글로벌 카탈로그 지원
Windows 2000 Server 네이티브
- 지원되는 도메인 컨트롤러: Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
- 활성화된 기능: 그룹 중첩, 범용 그룹, Sid 기록, 보안 그룹과 배포 그룹 간의 그룹 변환, 포리스트 수준 설정을 늘려 도메인 수준을 높일 수 있습니다.
Windows Server 2003 중간
- 지원되는 도메인 컨트롤러: Windows NT 4.0, Windows Server 2003
- 지원되는 기능: 이 수준에서 활성화된 도메인 전체 기능이 없습니다. 포리스트 수준이 중간으로 증가하면 포리스트의 모든 도메인이 이 수준으로 자동으로 발생합니다. 이 모드는 Windows NT 4.0 도메인의 도메인 컨트롤러를 Windows Server 2003 도메인 컨트롤러로 업그레이드하는 경우에만 사용됩니다.
Windows Server 2003
- 지원되는 도메인 컨트롤러: Windows Server 2003, Windows Server 2008, Windows Server 2008 R2
- 지원되는 기능: 도메인 컨트롤러 이름 바꾸기, 로그온 타임스탬프 특성 업데이트 및 복제 InetOrgPerson 개체클래스에 대한 사용자 암호 지원. 제한된 위임은 사용자 및 컴퓨터 컨테이너를 리디렉션할 수 있습니다.
Windows NT 4.0에서 업그레이드되거나 Windows Server 2003 기반 컴퓨터의 승격으로 만든 도메인은 Windows 2000 혼합 기능 수준에서 작동합니다. Windows 2000 Server 도메인 컨트롤러가 Windows Server 2003 운영 체제로 업그레이드될 때 Windows 2000 Server 도메인은 현재 도메인 기능 수준을 유지합니다. 도메인 기능 수준을 Windows 2000 Server 네이티브 또는 Windows Server 2003으로 올릴 수 있습니다.
중간 수준 - Windows NT 4.0 도메인에서 업그레이드
Windows Server 2003 Active Directory는 Windows Server 2003 중간이라는 특수 포리스트 및 도메인 기능 수준을 허용합니다. 이 기능 수준은 업그레이드 후 하나 이상의 Windows NT 4.0 백업 도메인 컨트롤러(BDC)가 작동해야 하는 기존 Windows NT 4.0 도메인의 업그레이드를 위해 제공됩니다. Windows 2000 Server 도메인 컨트롤러는 이 모드에서 지원되지 않습니다. Windows Server 2003 중간은 다음 시나리오에 적용됩니다.
- 도메인이 Windows NT 4.0에서 Windows Server 2003으로 업그레이드됩니다.
- Windows NT 4.0 BDC는 즉시 업그레이드되지 않습니다.
- Windows NT 5,000명 이상의 구성원이 있는 그룹을 포함하는 4.0 도메인(도메인 사용자 그룹 제외)입니다.
- 언제든지 포리스트에 Windows Server2000 도메인 컨트롤러를 구현할 계획이 없습니다.
Windows Server 2003 중간에서는 4.0 BDC를 Windows NT 복제를 허용하는 동시에 두 가지 중요한 향상된 기능을 제공합니다.
- 보안 그룹을 효율적으로 복제하고 그룹당 5,000명 이상의 구성원을 지원합니다.
- KCC 사이트 간 토폴로지 생성기 알고리즘이 개선되었습니다.
중간 수준에서 활성화되는 그룹 복제의 효율성 때문에 중간 수준은 모든 Windows NT 4.0 업그레이드에 권장되는 수준입니다. 자세한 내용은 이 문서의 "모범 사례" 섹션을 참조하세요.
Windows Server 2003 중간 포리스트 기능 수준 설정
Windows Server 2003 중간은 세 가지 방법으로 활성화할 수 있습니다. 처음 두 메서드를 사용하는 것이 좋습니다. 보안 그룹은 Windows NT 4.0 도메인의 PDC(기본 도메인 컨트롤러)가 Windows Server 2003 도메인 컨트롤러로 업그레이드된 후 LVR(연결된 값 복제)을 사용하기 때문입니다. 보안 그룹의 멤버 자격은 단일 다중값 특성을 사용하므로 복제 문제가 발생할 수 있으므로 세 번째 옵션은 덜 권장됩니다. Windows Server 2003 중간을 활성화할 수 있는 방법은 다음과 같습니다.
업그레이드하는 동안.
옵션은 새 포리스트의 루트 도메인에서 첫 번째 도메인 컨트롤러 역할을 하는 Windows NT 4.0 도메인의 PDC를 업그레이드할 때 Dcpromo 설치 마법사에 표시됩니다.
LDAP(Lightweight Directory Access Protocol) 도구를 사용하여 포리스트 기능 수준을 수동으로 구성하여 Windows NT 4.0의 Windows NT 4.0 PDC를 기존 포리스트의 새 도메인의 첫 번째 도메인 컨트롤러로 업그레이드하기 전에.
자식 도메인은 승격되는 포리스트의 포리스트 전체 기능 설정을 상속합니다. Ldp.exe 파일 또는 Adsiedit.msc 파일을 사용하여 중간 포리스트 기능 수준이 구성된 기존 Windows Server 2003 포리스트에서 Windows NT 4.0 도메인의 PDC를 자식 도메인으로 업그레이드하면 보안 그룹이 운영 체제 버전 업그레이드 후 연결된 값 복제를 사용할 수 있습니다.
LDAP 도구를 사용하여 업그레이드한 후
업그레이드하는 동안 기존 Windows Server 2003 포리스트에 조인할 때 마지막 두 가지 옵션을 사용합니다. 이는 "빈 루트" 도메인이 있는 일반적인 시나리오입니다. 업그레이드된 도메인은 빈 루트의 자식으로 조인되며 포리스트에서 도메인 설정을 상속합니다.
모범 사례
다음 섹션에서는 기능 수준을 높이기 위한 모범 사례를 설명합니다. 섹션은 두 부분으로 구분됩니다. "준비 작업"은 증가하기 전에 수행해야 하는 작업에 대해 설명하고 "최적 경로 증가"는 다양한 수준 증가 시나리오의 동기와 방법을 설명합니다.
Windows NT 4.0 도메인 컨트롤러를 검색하려면 다음 단계를 수행합니다.
Windows Server 2003 기반 도메인 컨트롤러에서 Active Directory 사용자 및 컴퓨터 엽니다.
도메인 컨트롤러가 적절한 도메인에 아직 연결되지 않은 경우 다음 단계에 따라 적절한 도메인에 연결합니다.
- 현재 도메인 개체를 마우스 오른쪽 단추로 클릭한 다음 도메인에 연결을 클릭합니다.
- 도메인 대화 상자에서 연결할 도메인의 DNS 이름을 입력한 다음 확인을 클릭합니다. 또는 찾아보기를 클릭하여 도메인 트리에서 도메인을 선택한 다음 확인을 클릭합니다.
도메인 개체를 마우스 오른쪽 단추로 클릭한 다음 찾기를 클릭합니다.
찾기 대화 상자에서 사용자 지정 검색을 클릭합니다.
기능 수준을 변경할 도메인을 클릭합니다.
고급 탭을 클릭합니다.
LDAP 쿼리 입력 상자에 다음을 입력하고 문자 사이에 공백을 두지 않습니다. (&(objectCategory=computer)(operatingSystem Version=4*)(userAccountControl:1.2.840.113556.1.4.803:=8192))
참고
이 쿼리는 대/소문자를 구분하지 않습니다.
지금 찾기를 클릭합니다.
Windows NT 4.0을 실행하고 도메인 컨트롤러로 작동하는 도메인의 컴퓨터 목록이 나타납니다.
도메인 컨트롤러는 다음과 같은 이유로 목록에 나타날 수 있습니다.
- 도메인 컨트롤러가 Windows NT 4.0을 실행하고 있으며 업그레이드해야 합니다.
- 도메인 컨트롤러는 Windows Server 2003으로 업그레이드되지만 변경 내용은 대상 도메인 컨트롤러에 복제되지 않습니다.
- 도메인 컨트롤러가 더 이상 서비스되지 않지만 도메인 컨트롤러의 컴퓨터 개체가 도메인에서 제거되지 않습니다.
도메인 기능 수준을 Windows Server 2003으로 변경하려면 먼저 목록에서 도메인 컨트롤러를 물리적으로 찾고, 도메인 컨트롤러의 현재 상태 확인한 다음, 도메인 컨트롤러를 적절하게 업그레이드하거나 제거해야 합니다.
참고
Windows Server 2000 도메인 컨트롤러와 달리 Windows NT 4.0 도메인 컨트롤러는 수준 증가를 차단하지 않습니다. 도메인 기능 수준을 변경하면 Windows NT 4.0 도메인 컨트롤러에 대한 복제가 중지됩니다. 그러나 Windows Server 2000에서 도메인을 사용하여 Windows Server 2003 포리스트 수준으로 늘리려고 하면 혼합 수준이 차단됩니다. Windows NT 4.0 BDC의 부족은 Windows Server 2000 네이티브 수준 이상에서 모든 도메인의 포리스트 수준 요구 사항을 충족하는 것을 의미합니다.
예: 수준이 증가하기 전의 준비 작업
이 예제에서는 환경이 Windows Server 2000 혼합 모드에서 Windows Server 2003 포리스트 모드로 발생합니다.
이전 버전의 도메인 컨트롤러에 대한 포리스트 인벤토리
정확한 서버 목록을 사용할 수 없는 경우 다음 단계를 수행합니다.
- 혼합 수준 도메인, Windows Server 2000 도메인 컨트롤러 또는 손상되거나 누락된 개체가 있는 도메인 컨트롤러를 검색하려면 Active Directory 도메인 및 Trusts MMC 스냅인을 사용합니다.
- 스냅인에서 포리스트 기능 올리기를 클릭한 다음 다른 이름으로 저장 을 클릭하여 자세한 보고서를 생성합니다.
- 문제가 발견되지 않은 경우 "사용 가능한 포리스트 기능 수준" 드롭다운 목록에서 Windows Server 2003 포리스트 수준으로 늘리는 옵션을 사용할 수 있습니다. 포리스트 수준을 높이려고 하면 구성 컨테이너의 도메인 컨트롤러 개체가 msds-behavior-version 이 원하는 대상 수준으로 설정되지 않은 도메인 컨트롤러를 검색합니다. 이러한 개체는 Windows Server 2000 도메인 컨트롤러 또는 손상된 최신 Windows Server 도메인 컨트롤러 개체로 간주됩니다.
- 이전 버전의 도메인 컨트롤러 또는 컴퓨터 개체가 손상되었거나 누락된 도메인 컨트롤러가 발견되면 보고서에 포함됩니다. 이러한 도메인 컨트롤러의 상태 조사해야 하며 Ntdsutil 파일을 사용하여 Active Directory의 도메인 컨트롤러 표현을 복구하거나 제거해야 합니다.
자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.
216498 실패한 도메인 컨트롤러 강등 후 Active Directory에서 데이터를 제거하는 방법
포리스트에서 종단 간 복제가 작동하는지 확인합니다.
종단 간 복제가 포리스트에서 작동하는지 확인하려면 Windows Server 2000 또는 Windows Server 2003 도메인 컨트롤러에 대해 Windows Server 2003 이상 버전의 Repadmin을 사용합니다.
Repadmin/Replsum * /Sort:Delta[/Errorsonly]
초기 인벤토리의 경우Repadmin/Showrepl * /CSV>showrepl.csv
. Excel로 가져온 다음 Data-Autofilter>를 사용하여 복제 기능을 식별합니다.Repadmin과 같은 복제 도구를 사용하여 포리스트 전체 복제가 올바르게 작동하는지 확인합니다.
최신 Windows Server 도메인 컨트롤러 및 더 높은 Windows Server 도메인 및 포리스트 모드와 모든 프로그램 또는 서비스의 호환성을 확인합니다. 랩 환경을 사용하여 호환성 문제에 대한 프로덕션 프로그램 및 서비스를 철저히 테스트합니다. 기능 확인을 위해 공급업체에 문의하세요.
다음 작업 중 하나를 포함하는 백아웃 계획을 준비합니다.
- 포리스트의 각 도메인에서 두 개 이상의 도메인 컨트롤러 연결을 끊습니다.
- 포리스트의 각 도메인에서 두 개 이상의 도메인 컨트롤러의 시스템 상태 백업을 만듭니다.
백아웃 계획을 사용하려면 먼저 포리스트의 모든 도메인 컨트롤러를 복구 프로세스 전에 해제해야 합니다.
참고
수준 증가는 신뢰할 수 없으므로 복원할 수 없습니다. 즉, 수준 증가를 복제한 모든 도메인 컨트롤러는 서비스 해제되어야 합니다.
이전 도메인 컨트롤러가 모두 해제된 후 연결이 끊긴 도메인 컨트롤러를 가져오거나 백업에서 도메인 컨트롤러를 복원합니다. 다른 모든 도메인 컨트롤러에서 메타데이터를 제거한 다음 다시 표시합니다. 이것은 어려운 과정이며 피해야합니다.
예: Windows Server 2000 혼합 수준에서 Windows Server 2003 포리스트 수준으로 가져오는 방법
모든 도메인을 Windows Server 2000 네이티브 수준으로 늘입니다. 이 작업이 완료되면 포리스트 루트 도메인의 기능 수준을 Windows Server 2003 포리스트 수준으로 늘입니다. 포리스트 수준이 포리스트의 각 도메인에 대한 PDC에 복제되면 도메인 수준이 Windows Server 2003 도메인 수준으로 자동으로 증가합니다. 이 메서드에는 다음과 같은 이점이 있습니다.
- 포리스트 전체 수준 증가는 한 번만 수행됩니다. 포리스트의 각 도메인을 Windows Server 2003 도메인 기능 수준으로 수동으로 늘릴 필요는 없습니다.
- Windows Server 2000 도메인 컨트롤러에 대한 검사 수준이 증가하기 전에 수행됩니다(준비 단계 참조). 문제 도메인 컨트롤러가 제거되거나 업그레이드될 때까지 증가가 차단됩니다. 차단 도메인 컨트롤러를 나열하고 실행 가능한 데이터를 제공하여 자세한 보고서를 생성할 수 있습니다.
- Windows Server 2000 혼합 또는 Windows Server 2003 중간 수준의 도메인에 대한 검사 수행됩니다. 도메인 수준이 Windows Server 2000 네이티브 이상으로 증가할 때까지 증가가 차단됩니다. 중간 수준 도메인을 Windows Server 2003 도메인 수준으로 늘려야 합니다. 차단 도메인을 나열하여 자세한 보고서를 생성할 수 있습니다.
Windows NT 4.0 업그레이드
Windows NT 4.0 업그레이드는 PDC가 업그레이드되는 포리스트에 Windows Server 2000 도메인 컨트롤러가 도입되지 않는 한 PDC를 업그레이드하는 동안 항상 중간 수준을 사용합니다. PDC 업그레이드 중에 중간 모드를 사용하는 경우 기존 대규모 그룹은 즉시 LVR 복제를 사용하여 이 문서의 앞부분에서 설명한 잠재적인 복제 문제를 방지합니다. 다음 방법 중 하나를 사용하여 업그레이드하는 동안 중간 수준으로 끌어올 수 있습니다.
- Dcpromo 중에 중간 수준을 선택합니다. 이 옵션은 PDC가 새 포리스트로 업그레이드될 때만 제공됩니다.
- 기존 포리스트의 포리스트 수준을 중간으로 설정한 다음 PDC 업그레이드 중에 포리스트에 조인합니다. 업그레이드된 도메인은 포리스트 설정을 상속합니다.
- 모든 Windows NT 4.0 BDC를 업그레이드하거나 제거한 후에는 각 도메인을 포리스트 수준으로 전환해야 하며 Windows Server 2003 포리스트 모드로 전환할 수 있습니다.
중간 모드를 사용하지 않는 이유는 업그레이드 후 또는 나중에 언제든지 Windows Server 2000 도메인 컨트롤러를 구현할 계획이 있는 경우입니다.
Windows NT 4.0의 대규모 그룹에 대한 특별 고려 사항
성숙한 Windows NT 4.0 도메인에서는 5,000명 이상의 구성원을 포함하는 보안 그룹이 있을 수 있습니다. Windows NT 4.0에서 보안 그룹의 멤버가 변경되면 멤버 자격 단일 변경만 백업 도메인 컨트롤러에 복제됩니다. Windows Server 2000에서 그룹 멤버 자격은 그룹 개체의 단일 다중값 특성에 저장된 연결된 특성입니다. 그룹의 멤버 자격을 한 가지 변경하면 전체 그룹이 단일 단위로 복제됩니다. 그룹 멤버 자격은 단일 단위로 복제되므로 다른 도메인 컨트롤러에서 동시에 다른 멤버를 추가하거나 제거할 때 그룹 멤버 자격에 대한 업데이트가 "손실"될 수 있습니다. 또한 이 단일 개체의 크기는 데이터베이스에 항목을 커밋하는 데 사용되는 버퍼보다 많을 수 있습니다. 자세한 내용은 이 문서의 "대규모 그룹에 대한 버전 저장소 문제" 섹션을 참조하세요. 이러한 이유로 그룹 구성원에 권장되는 제한은 5000입니다.
5000 멤버 규칙에 대한 예외는 기본 그룹입니다(기본적으로 "도메인 사용자" 그룹임). 기본 그룹은 사용자의 "primarygroupID"를 기반으로 하는 "계산된" 메커니즘을 사용하여 멤버 자격을 확인합니다. 주 그룹은 멤버를 다중값 연결된 특성으로 저장하지 않습니다. 사용자의 기본 그룹이 사용자 지정 그룹으로 변경되면 도메인 사용자 그룹의 멤버 자격이 그룹의 연결된 특성에 기록되고 더 이상 계산되지 않습니다. 새 기본 그룹 Rid는 "primarygroupID"에 기록되고 사용자는 그룹의 멤버 특성에서 제거됩니다.
관리자가 업그레이드 도메인의 중간 수준을 선택하지 않는 경우 업그레이드 전에 다음 단계를 수행해야 합니다.
- 도메인 사용자 그룹을 제외한 모든 큰 그룹을 인벤토리하고 5,000개 이상의 그룹을 식별합니다.
- 구성원이 5,000명 이상인 모든 그룹은 5,000명 미만의 소규모 그룹으로 나뉘어야 합니다.
- 큰 그룹이 입력된 모든 Access Control Lists 찾아서 2단계에서 만든 소규모 그룹을 추가합니다.Windows Server 2003 중간 포리스트 수준은 관리자가 5,000명 이상의 구성원이 있는 글로벌 보안 그룹을 검색하고 재할당할 필요가 없도록 합니다.
큰 그룹의 버전 저장소 문제
심층 검색 또는 단일 큰 특성에 대한 커밋과 같은 장기 실행 작업 중에 Active Directory는 작업이 완료될 때까지 데이터베이스 상태가 정적인지 확인해야 합니다. 대규모 특성에 대한 심층 검색 또는 커밋의 예는 레거시 스토리지를 사용하는 대규모 그룹입니다.
데이터베이스에 대한 업데이트가 로컬 및 복제 파트너에서 지속적으로 발생하므로 Active Directory는 장기 실행 작업이 완료될 때까지 들어오는 모든 변경 내용을 큐에 대기하여 정적 상태를 제공합니다. 작업이 완료되면 대기 중인 변경 내용이 데이터베이스에 적용됩니다.
이러한 대기 중인 변경 내용에 대한 스토리지 위치를 "버전 저장소"라고 하며 약 100MB입니다. 버전 저장소의 크기는 다양하며 실제 메모리를 기반으로 합니다. 버전 저장소가 소진되기 전에 장기 실행 작업이 완료되지 않으면 도메인 컨트롤러는 장기 실행 작업 및 대기 중인 변경 내용이 커밋될 때까지 업데이트 수락을 중지합니다. 많은 수(5,000명 이상의 구성원)에 도달하는 그룹은 큰 그룹이 커밋되는 한 도메인 컨트롤러가 버전 저장소를 소모할 위험에 처하게 합니다.
Windows Server 2003에는 LVR(링크 값 복제)이라고 하는 연결된 다중 값 특성에 대한 새로운 복제 메커니즘이 도입되었습니다. LVR은 단일 복제 작업에서 전체 그룹을 복제하는 대신 각 그룹 멤버를 별도의 복제 작업으로 복제하여 이 문제를 해결합니다. 포리스트 기능 수준이 Windows Server 2003 중간 포리스트 수준 또는 Windows Server 2003 포리스트 수준으로 높아지면 LVR을 사용할 수 있습니다. 이 기능 수준에서 LVR은 Windows Server 2003 도메인 컨트롤러 간에 그룹을 복제하는 데 사용됩니다.