다음을 통해 공유

Active Directory 도메인 서비스에서 운영 마스터 역할을 이양하거나 장악

이 문서에서는 이전에 FSMO(유연한 단일 마스터 작업) 역할이라고도 하는 Operation Master 역할을 전송하거나 점유하는 시기와 방법을 설명합니다.

원래 KB 번호: 255504

자세한 정보

AD DS(Active Directory Domain Services) 포리스트 내에는 DC(도메인 컨트롤러)가 하나만 수행해야 하는 특정 작업이 있습니다. 이러한 고유한 작업을 수행하도록 할당된 DC를 Operation Master 역할 보유자라고 합니다. 다음 표에서는 작업 마스터 역할과 Active Directory의 배치를 나열합니다.

역할 범위 명명 컨텍스트(Active Directory 파티션)
스키마 마스터 숲 전체 CN=Schema,CN=configuration,DC=<포리스트 루트 도메인>
도메인 명명 마스터 산림 전체 CN=configuration,DC=<포리스트 루트 도메인>
PDC 에뮬레이터 도메인 전체 DC=<도메인>
RID 마스터 도메인 전체 DC=<domain>
인프라 마스터 도메인 전체 DC=<domain>

작업 마스터 역할 소유자 및 역할 배치에 대한 권장 사항에 대한 자세한 내용은 Active Directory 도메인 컨트롤러에 대한 FSMO 배치 및 최적화를 참조 하세요.

참고

DNS 애플리케이션 파티션을 포함하는 Active Directory 애플리케이션 파티션에는 Operation Master 역할 링크가 있습니다. DNS 애플리케이션 파티션이 IM(인프라 마스터) 역할의 소유자를 정의하는 경우 Ntdsutil, DCPromo 또는 기타 도구를 사용하여 해당 애플리케이션 파티션을 제거할 수 없습니다. 자세한 내용은 DNS 인프라 마스터에 연락할 수 없는 경우 DCPROMO 강등 실패를 참조하세요.

역할 소유자 역할을 하는 DC가 실행되기 시작하면(예: 실패 또는 종료 후) 역할 소유자 역할을 즉시 다시 시작하지는 않습니다. DC는 명명 컨텍스트에 대한 인바운드 복제를 받을 때까지 기다립니다(예: 스키마 마스터 역할 소유자가 스키마 파티션의 인바운드 복제를 받기 위해 대기함).

DC가 Active Directory 복제의 일부로 전달하는 정보에는 현재 Operation Master 역할 소유자의 ID가 포함됩니다. 새로 시작된 DC가 인바운드 복제 정보를 받으면 여전히 현재 역할 소유자인지 여부를 확인합니다. Active Directory 복제 엔진은 충돌할 수 있는 변경 내용을 해결합니다. 자세한 내용은 충돌하는 변경 내용 해결을 참조하세요.

DC가 현재 Operations Master인 경우 일반적인 작업을 다시 시작합니다. 복제된 정보가 다른 DC가 역할 소유자 역할을 하고 있음을 나타내는 경우 새로 시작된 DC는 역할 소유권을 포기합니다. 이 동작은 도메인 또는 포리스트에 중복된 Operation Master 역할 보유자가 있을 가능성을 줄입니다.

중요한

AD FS 작업은 역할 보유자가 필요하고 새로 시작된 역할 보유자가 실제로 역할 소유자이고 인바운드 복제를 받지 못하는 경우 실패합니다.
결과 동작은 역할 소유자가 오프라인 상태인 경우 발생하는 동작과 유사합니다.

역할을 전송하거나 점유할 시기 결정

일반적인 상황에서는 5개 역할을 모두 포리스트의 “라이브” 도메인 컨트롤러에 할당해야 합니다. Active Directory 포리스트를 만들 때 Dcpromo.exe(Active Directory 설치 마법사)는 포리스트 루트 도메인에서 만든 첫 번째 DC에 5개의 작업 마스터 역할을 모두 할당합니다. 자식 또는 트리 도메인을 만들 때 생성 메커니즘은 도메인의 첫 번째 DC에 세 개의 도메인 전체 역할을 할당합니다.

DC는 다음 방법 중 하나를 사용하여 다시 할당될 때까지 Operation Master 역할을 계속 소유합니다.

  • 관리자가 GUI 관리 도구를 사용하여 역할을 다시 할당합니다.
  • 관리자가 ntdsutil /roles 명령을 사용하여 역할을 다시 할당합니다.
  • 관리자가 Active Directory 설치 마법사를 사용하여 역할을 가진 도메인 컨트롤러를 정상적으로 강등합니다. 이 마법사는 로컬에서 소유 중인 역할을 포레스트의 기존 도메인 컨트롤러에 재할당합니다.
  • 관리자는 Uninstall-ADDSDomainController -ForceRemoval 또는 dcpromo /forceremoval 명령을 사용하여 역할을 보유한 DC를 강등합니다.
  • DC가 종료되고 다시 시작됩니다. DC가 다시 시작되면 다른 DC가 역할 소유자임을 나타내는 인바운드 복제 정보를 받습니다. 이 경우 새로 시작된 DC는 이전에 설명한 대로 역할을 포기합니다.

Operation Master 역할 보유자가 오류가 발생하거나 역할이 전송되기 전에 서비스가 중단된 경우 모든 역할을 포착하여 적절하고 정상적인 DC로 전송해야 합니다.

다음 시나리오에서 Operation Master 역할을 전송하는 것이 좋습니다.

  • 현재 역할 보유자는 작동 중이며 새 Operation Master 소유자가 네트워크에서 액세스할 수 있습니다.
  • 현재 작업 마스터 역할을 소유하고 있는 DC를 Active Directory 포리스트 내의 특정 DC에 할당하기 위해 원활하게 강등합니다.
  • 현재 운영 마스터 역할을 소유하고 있는 DC는 예약된 유지 관리를 위해 오프라인으로 전환되고 있으며, 라이브 DC에 특정 Operation Master 역할을 할당해야 합니다. 작업 마스터 소유자에 영향을 주는 작업을 수행하려면 역할을 이전해야 할 수 있습니다. 특히 PDC 에뮬레이터 역할의 경우 그렇습니다. 이는 RID 마스터 역할, 도메인 명명 마스터 역할 및 스키마 마스터 역할에는 덜 중요한 문제입니다.

다음 상황에서는 Operation Master 역할을 확보하는 것이 좋습니다.

  • 현재 역할 소유자에게 작업 마스터 종속 작업이 성공적으로 완료되지 않도록 하는 작업 오류가 발생하여 역할을 이전할 수 없습니다.

  • 사용할 수 있는 Uninstall-ADDSDomainController -ForceRemoval 또는 dcpromo /forceremoval 명령을 통해 작업 마스터 역할을 소유한 DC를 강제로 강등합니다.

    중요

    force-demote 명령은 관리자가 다시 할당할 때까지 Operation Master 역할을 잘못된 상태로 둘 수 있습니다.

  • 원래 특정 역할을 소유했던 컴퓨터의 운영 체제가 더 이상 없거나 다시 설치된 경우

참고

  • 이전 역할 보유자가 도메인으로 돌아오지 않는 경우에만 모든 역할을 포착하는 것이 좋습니다.
  • 포리스트 복구 시나리오에서 운영 마스터 역할을 압수해야 하는 경우, 각 도메인의 첫 번째 쓰기 가능한 도메인 컨트롤러 복원 섹션 아래에 있는 초기 복구 수행의 5단계를 참조하십시오.
  • 역할 이전 또는 압류 후 새 역할 보유자는 즉시 작동하지 않습니다. 대신 새 역할 소유자는 다시 시작한 역할 소유자처럼 동작하며 역할(예: 도메인 파티션)에 대한 명명 컨텍스트의 복사본이 성공적인 인바운드 복제 주기를 완료할 때까지 기다립니다. 이 복제 요구 사항은 새 역할 소유자가 작업을 수행하기 전에 가능한 한 최신 상태인지 확인하는 데 도움이 됩니다. 또한 오류 가능성을 제한합니다. 이 창에는 이전 역할 소유자가 오프라인 상태가 되기 전에 다른 DC에 복제를 완료하지 않은 변경 사항만 포함됩니다. 각 작업 마스터 역할에 대한 명명 컨텍스트 목록은 자세한 정보 섹션의 표를 참조하세요.

새 역할 소유자 식별

새 역할 소유자에게 가장 적합한 후보는 다음 조건을 충족하는 DC입니다.

  • 이전 역할 소유자와 동일한 도메인에 상주합니다.
  • 여기에는 역할 파티션의 가장 최근에 복제된 쓰기 가능한 복사본이 있습니다.

예를 들어 스키마 마스터 역할을 전송해야 하는 경우를 가정합니다. 스키마 마스터 역할은 포리스트의 스키마 파티션의 일부입니다(CN=Schema,CN=Configuration,DC=<포리스트 루트 도메인>). 새 역할 소유자에게 가장 적합한 후보는 포리스트 루트 도메인에 있고 현재 역할 소유자와 동일한 Active Directory 사이트에 있는 DC입니다.

주의

다음 조건이 충족되면 인프라 마스터 역할이 더 이상 필요하지 않습니다.

  • 도메인의 모든 도메인 컨트롤러는 GC(글로벌 카탈로그)입니다. 이 경우 GC는 도메인 간 참조를 제거하는 업데이트를 받습니다.
  • 포리스트에서 AD 휴지통이 활성화되어 있습니다. 이 경우 각 DC는 해당 참조를 업데이트해야 합니다.

모니터링 도구의 오류 및 경고를 방지하려면 인프라 마스터의 적절한 소유자를 정의하는 것이 좋습니다.

인프라 마스터 역할이 여전히 필요한 경우:
인프라 마스터 역할을 글로벌 카탈로그 서버와 동일한 DC에 배치하지 마세요. 인프라 마스터가 글로벌 카탈로그 서버에서 실행되는 경우 보유하지 않는 개체에 대한 참조가 없기 때문에 개체 정보 업데이트를 중지합니다. 글로벌 카탈로그 서버에는 포리스트 내 모든 개체의 부분 복제본이 포함되어 있기 때문입니다.

Active Directory 휴지통을 사용하도록 설정하면 인프라 마스터 역할이 더 이상 사용되지 않습니다. AD 휴지통은 제거되는 개체 조회를 처리하는 방법을 변경합니다.

DC가 글로벌 카탈로그 서버인지 테스트하려면 다음 단계를 수행합니다.

Active Directory 사이트 및 서비스 사용:

  1. 시작>프로그램>관리 도구>Active Directory 사이트 및 서비스를 선택합니다.
  2. 왼쪽 창에서 사이트를 두 번 클릭한 다음 적절한 사이트를 찾거나, 다른 사이트를 사용할 수 없는 경우 Default-first-site-name을 클릭합니다.
  3. 서버 폴더를 열고 DC를 선택합니다.
  4. DC 폴더에서 NTDS 설정을 두 번 클릭합니다.
  5. 작업 메뉴에서 속성을 클릭합니다.
  6. 일반 탭에서 글로벌 카탈로그 확인란을 확인하여 선택되었는지 확인합니다.

Windows PowerShell 사용:

  1. PowerShell을 시작합니다.

  2. 다음 cmdlet을 입력하고 DC_NAME을(를) 실제 DC 이름으로 조정하십시오.

    (Get-ADDomainController -Filter { Name -Eq 'DC_NAME' }).IsGlobalCatalog

  3. 출력은 다음과 같습니다True.False

자세한 내용은 다음을 참조하세요.

운영 마스터 역할 인수 또는 전환

Windows PowerShell 또는 Ntdsutil을 사용하여 역할을 포착하거나 전송할 수 있습니다. 이러한 작업에 PowerShell을 사용하는 방법에 대한 자세한 내용과 예시는 Move-ADDirectoryServerOperationMasterRole을 참조하세요.

중요한

도메인에서 SID가 중복되는 위험을 방지하기 위해 RID 마스터 역할을 탈취할 때, RID 마스터는 풀에서 사용 가능한 다음 RID를 증가시킵니다. 이 동작으로 인해 도메인 포리스트가 사용 가능한 RID 값 범위(RID 번이라고도 함)를 크게 소진할 수 있습니다. 따라서 현재 Rid 마스터를 다시 서비스로 가져올 수 없는 경우에만 현재 Rid 마스터를 점유하십시오.

RID 마스터 역할을 포착해야 하는 경우 다음 세부 정보를 고려하세요.

  • Move-ADDirectoryServerOperationMasterRole cmdlet은 Active Directory에서 찾은 다음 Rid 풀의 값을 30,000을 증가시킵니다.
  • Ntdsutil.exe 유틸리티를 roles과 함께 사용하면 다음 Rid 풀이 10,000씩 증가합니다.

Ntdsutil 유틸리티를 사용하여 작업 마스터 역할을 포착하거나 전송하려면 다음 단계를 수행합니다.

  1. AD RSAT 도구가 설치된 멤버 컴퓨터 또는 Operation Master 역할이 전송되는 포리스트에 있는 DC에 로그인합니다.

    참고

    • 저희는 작업 마스터 역할을 할당하는 DC에 로그온할 것을 권장합니다.
    • 로그인한 사용자는 스키마 마스터 또는 도메인 명명 마스터 역할을 전송하기 위한 Enterprise Administrators 그룹의 구성원이거나 PDC 에뮬레이터, RID 마스터 및 인프라 마스터 역할이 전송되는 도메인의 도메인 관리자 그룹의 구성원이어야 합니다.

  2. 시작>실행을 선택하고 열기 상자에 ntdsutil을 입력한 다음 확인을 선택합니다.

  3. roles를 입력한 다음 Enter 키를 누릅니다.

    참고

    Ntdsutil 유틸리티의 프롬프트 중 하나에서 사용 가능한 명령 목록을 확인하려면 ?를 입력하고 Enter 키를 누릅니다.

  4. connections를 입력한 다음 Enter 키를 누릅니다.

  5. 서버에 연결을 입력한 후 <servername>를 입력하고 Enter 키를 누릅니다.

    참고

    이 명령 <에서 서버 이름은> 작업 마스터 역할을 할당하려는 DC의 이름입니다.

  6. server connections 프롬프트에서 q를 입력한 다음 Enter 키를 누릅니다.

  7. 다음 작업 중 하나를 수행합니다.

    • 역할을 전송하려면: 전송 <역할> 입력한 다음 Enter 키를 누릅니다.

      참고

      이 명령에서 <역할>은 당신이 전송하려는 것입니다.

    • 역할을 차지하려면: seize <role>을 입력하고 Enter 키를 누릅니다.

      참고

      이 명령에서 <역할>은 사용자가 포착하려는 역할입니다.

    예를 들어 RID 마스터 역할을 확보하려면 seize rid master를 입력합니다. 예외는 PDC 에뮬레이터 역할과 도메인 명명 마스터로, 각각의 구문은 seize pdcseize naming master입니다.

    이전하거나 포착할 수 있는 역할 목록을 보려면 ?fsmo 유지 관리 프롬프트에 입력한 다음 Enter 키를 누르거나 이 문서의 시작 부분에 있는 역할 목록을 참조하세요.

  8. fsmo maintenance 프롬프트에서 q를 입력하고 Enter 키를 눌러 ntdsutil 프롬프트에 액세스합니다. q를 입력한 다음 Enter 키를 눌러 Ntdsutil 유틸리티를 종료합니다.

이전 역할 소유자를 복구하거나 제거할 때 고려 사항

가능하고 역할을 압류하는 대신 이전할 수 있는 경우 이전 역할 소유자를 수정합니다. 이전 역할 소유자를 수정할 수 없거나 역할을 압수한 경우 도메인에서 이전 역할 소유자를 제거합니다.

중요

복구된 컴퓨터를 DC로 사용하려는 경우 백업에서 DC를 복원하는 대신 컴퓨터를 처음부터 DC로 다시 빌드하는 것이 좋습니다. 복원 프로세스는 DC를 역할 소유자로 다시 빌드합니다.

  • 복구된 컴퓨터를 포레스트에 DC로 반환하려면 다음을 수행합니다.

    1. 다음 작업 중 하나를 수행합니다.

      • 이전 역할 소유자의 하드 디스크를 포맷한 다음 컴퓨터에 Windows를 다시 설치합니다.
      • 이전 역할 소유자를 구성원 서버로 강제로 강등합니다.

    2. 포레스트의 다른 DC에서 Ntdsutil을 사용하여 이전 역할 보유자의 메타데이터를 제거합니다. 자세한 내용은 Ntdsutil을 사용하여 서버 메타데이터를 정리를 참조합니다.

    3. 메타데이터를 정리한 후 컴퓨터를 DC로 다시 승격하고 역할을 다시 전송할 수 있습니다.

  • 해당 역할을 압수한 후 포리스트에서 컴퓨터를 제거하려면 다음을 수행합니다.

    1. 도메인에서 컴퓨터를 제거합니다.
    2. 포리스트의 다른 DC에서 Ntdsutil을 사용하여 이전 역할 소유자에 대한 메타데이터를 제거합니다. 자세한 내용은 Ntdsutil을 사용하여 서버 메타데이터를 정리를 참조합니다.

복제 아일랜드를 재통합할 때 고려 사항

도메인 또는 포리스트의 일부가 도메인 또는 포리스트의 나머지 부분과 장기간 통신할 수 없는 경우 도메인 또는 포리스트의 격리된 섹션을 복제 섬이라고 합니다. 한 섬의 DC는 다른 섬의 DC와 복제할 수 없습니다. 여러 복제 주기 동안 복제 섬은 동기화가 중단됩니다. 각 섬에 자체 Operation Master 역할 보유자가 있는 경우 섬 간 통신을 복원할 때 문제가 있을 수 있습니다.

중요

대부분의 경우 이 문서에 설명된 대로 초기 복제 요구 사항을 활용하여 중복 역할 소유자를 제거할 수 있습니다. 다시 시작한 역할 보유자는 인바운드 복제에서 수신하는 업데이트를 통해 중복 역할 소유자를 검색하는 경우 역할을 포기합니다.
이 동작으로 인해 Operations Master 충돌이 해결되지 않는 상황이 발생할 수 있습니다. 이 경우 이 섹션의 정보가 유용할 수 있습니다.

다음 표에서는 포리스트 또는 도메인에 해당 역할에 대한 여러 역할 보유자가 있는 경우 문제를 일으킬 수 있는 작업 마스터 역할을 식별합니다.

역할 여러 역할 소유자 간의 잠재적 충돌?
스키마 마스터
도메인 명명 관리자
RID 마스터
PDC 에뮬레이터 아니요
인프라 마스터 아니요

이 문제는 PDC 에뮬레이터 마스터 또는 인프라 마스터에 영향을 주지 않습니다. 이러한 역할 보유자는 운영 데이터를 유지하지 않습니다. 또한 인프라 마스터는 자주 변경하지 않습니다. 따라서 여러 섬에 이러한 역할 보유자가 있는 경우 장기적인 문제를 일으키지 않고 섬을 다시 통합할 수 있습니다.

스키마 마스터, 도메인 명명 마스터 및 RID 마스터는 개체를 만들고 Active Directory에서 변경 내용을 유지할 수 있습니다. 이러한 역할 소유자 중 하나가 있는 각 섬에는 복제를 복원할 때까지 중복되고 충돌하는 스키마 개체, 도메인 또는 RID 풀이 있을 수 있습니다. 섬을 다시 통합하기 전에 유지할 역할 소유자를 결정합니다. 이 문서에 언급된 복구, 제거 및 정리 절차에 따라 중복된 스키마 마스터, 도메인 명명 마스터 및 RID 마스터를 제거합니다.

참조

자세한 내용은 다음을 참조하세요.