Active Directory에서 클러스터 계정 구성
Windows Server에서 장애 조치(failover) 클러스터를 생성하고 클러스터 서비스 또는 응용 프로그램을 구성하면, 장애 조치 클러스터 마법사가 필요한 Active Directory 컴퓨터 계정(컴퓨터 개체라고도 함)을 생성하고 해당 계정에 특정 권한을 부여합니다. 마법사는 클러스터 자체에 대한 컴퓨터 계정(이 계정은 클러스터 이름 개체 또는 CNO라고도 함)과 대부분의 클러스터 서비스 및 응용 프로그램 유형에 대한 컴퓨터 계정을 생성합니다. Hyper-V 가상 머신은 예외적으로 자동으로 컴퓨터 계정이 생성되지 않습니다 이 계정들의 권한은 장애 조치 클러스터 마법사에 의해 자동으로 설정됩니다. 사용 권한이 변경된 경우, 클러스터 요구 사항에 맞게 다시 변경해야 합니다. 이 지침에서는 이러한 Active Directory 계정과 권한에 대해 설명하고, 그 중요성에 대한 배경 정보를 제공하며, 계정 구성 및 관리 절차에 대해 설명합니다.
장애 조치 클러스터에 필요한 Active Directory 계정 개요
이 섹션에서는 장애 조치 클러스터에 중요한 Active Directory 컴퓨터 계정(Active Directory 컴퓨터 개체라고도 함)에 대해 설명합니다. 이 계정들은 다음과 같습니다.
클러스터를 만드는 데 사용되는 사용자 계정. 클러스터 만들기 마법사를 시작하는 데 사용되는 사용자 계정. 이 계정은 클러스터 자체를 위한 컴퓨터 계정이 생성되는 기반을 제공하기 때문에 중요합니다.
클러스터 이름 계정. (클러스터 자체의 컴퓨터 계정, 클러스터 이름 개체 또는 CNO라고도 함). 이 계정은 클러스터 생성 마법사에 의해 자동으로 생성되며, 클러스터와 동일한 이름을 갖습니다. 이 계정을 통해 클러스터에 새로운 서비스와 응용 프로그램을 구성할 때 다른 계정들이 자동으로 생성되기 때문에, 클러스터 이름 계정은 매우 중요합니다. 클러스터 이름 계정이 삭제되거나 해당 계정의 권한이 제거되면, 클러스터 이름 계정이 복원되거나 올바른 권한이 재부여될 때까지 클러스터에서 필요한 다른 계정들을 생성할 수 없습니다.
예를 들어, 클러스터를 Cluster1로 생성한 후 클러스터에 PrintServer1이라는 클러스터된 인쇄 서버를 구성하려고 할 때, Active Directory의 Cluster1 계정은 PrintServer1이라는 컴퓨터 계정을 생성할 수 있도록 올바른 권한을 유지해야 합니다.
클러스터 이름 계정은 Active Directory의 컴퓨터 계정 기본 컨테이너에 생성됩니다. 기본적으로 이 컨테이너는 "Computers" 컨테이너이지만, 도메인 관리자는 이를 다른 컨테이너나 조직 단위(OU)로 리디렉션할 수 있습니다.
클러스터된 서비스 또는 응용 프로그램의 컴퓨터 계정(컴퓨터 개체). 대부분의 클러스터된 서비스나 응용 프로그램을 만들 때, 고가용성 마법사가 자동으로 컴퓨터 계정을 생성합니다. 그러나 Hyper-V 가상 머신은 예외로, 이러한 계정이 생성되지 않습니다. 클러스터 이름 계정에는 이러한 계정들을 제어할 수 있는 필수 권한이 부여됩니다.
예를 들어, 클러스터 이름이 Cluster1이고, 클러스터된 파일 서버를 FileServer1로 생성하면, 고가용성 마법사가 FileServer1이라는 Active Directory 컴퓨터 계정을 생성합니다. 고가용성 마법사는 또한 Cluster1 계정에 FileServer1 계정을 제어할 수 있는 필요한 권한도 부여합니다.
다음 표에서는 이러한 계정에 필요한 권한을 설명합니다.
| 어카운트 | 사용 권한에 대한 세부 정보 |
|---|---|
클러스터를 만드는 데 사용되는 계정 |
클러스터 노드가 될 서버에 대한 관리자 권한이 필요합니다. 또한 도메인 내 컴퓨터 계정이 저장되는 컨테이너에 대한 컴퓨터 개체 생성 및 모든 속성 읽기 권한이 필요합니다. |
클러스터 이름 계정(클러스터 자체의 컴퓨터 계정) |
클러스터 생성 마법사를 실행하면, 도메인 내 컴퓨터 계정이 저장되는 기본 컨테이너에 클러스터 이름 계정을 생성합니다. 기본적으로 클러스터 이름 계정은(다른 컴퓨터 계정들과 마찬가지로) 도메인 내에서 최대 10개의 컴퓨터 계정을 생성할 수 있습니다. 클러스터를 생성하기 전에 클러스터 이름 계정(클러스터 이름 개체)을 미리 생성(prestage)하는 경우, 도메인 내 컴퓨터 계정이 저장되는 컨테이너에 해당 계정에 컴퓨터 개체 생성 및 모든 속성 읽기 권한을 부여해야 합니다. 또한 계정을 사용하지 않도록 설정하고 클러스터를 설치하는 관리자가 사용할 계정에 모든 권한을 부여해야 합니다. 자세한 내용은 이 지침의 뒷부분에 있는 클러스터 이름 계정을 미리 설정하기 위한 단계를 참조하세요. |
클러스터형 서비스 또는 응용 프로그램의 컴퓨터 계정 |
고가용성 마법사를 실행하면(새로운 클러스터된 서비스나 응용 프로그램을 생성하기 위해), 대부분의 경우 해당 클러스터된 서비스나 응용 프로그램에 대한 컴퓨터 계정이 Active Directory에 생성됩니다. 클러스터 이름 계정에는 이러한 계정을 제어할 수 있는 필수 권한이 부여됩니다. 클러스터형 Hyper-V 가상 머신은 예외로, 컴퓨터 계정이 만들어지지 않습니다. 클러스터된 서비스나 응용 프로그램의 컴퓨터 계정을 미리 준비하는 경우, 해당 계정을 필요한 권한으로 구성해야 합니다. 자세한 내용은 이 지침의 뒷부분에 있는 클러스터형 서비스 또는 응용 프로그램에 대한 계정을 미리 설치하는 단계를 참조하세요. |
참고 항목
이전 버전의 Windows Server에서는 Cluster 서비스용 계정이 있었습니다. 그러나 Windows Server 2008 이후 클러스터 서비스는 서비스에 필요한 특정 권한 및 특권을 제공하는 특수 컨텍스트에서 자동으로 실행됩니다(로컬 시스템 컨텍스트와 유사하지만 권한이 축소됨). 그러나 이 지침에 설명된 대로 다른 계정이 필요합니다.
장애 조치 클러스터링에서 마법사를 통해 계정을 생성하는 방법
다음 다이어그램은 이전 절에서 설명한 Active Directory 컴퓨터 계정(컴퓨터 개체)의 사용 및 생성 과정을 보여줍니다. 이러한 계정들은 관리자가 클러스터 생성 마법사를 실행하고 그 후에 고가용성 마법사를 실행(클러스터된 서비스나 응용 프로그램을 구성하기 위해)할 때 활용됩니다.
.gif)
참고로, 위의 다이어그램은 하나의 관리자가 클러스터 생성 마법사와 고가용성 마법사를 모두 실행하는 모습을 보여줍니다. 그러나, 두 계정 모두 충분한 권한이 있다면, 두 명의 다른 관리자가 각자의 사용자 계정을 사용하여 클러스터 생성 마법사와 고가용성 마법사를 실행할 수도 있습니다. 권한에 대한 자세한 내용은 이 지침의 후반부에 있는 '장애 조치 클러스터, Active Directory 도메인 및 계정과 관련된 요구 사항'에서 더 자세히 설명되어 있습니다.
클러스터에 필요한 계정을 변경하면 발생할 수 있는 문제
다음 다이어그램은 클러스터 생성 마법사에 의해 자동으로 생성된 클러스터 이름 계정(클러스터에 필요한 계정 중 하나)을 변경하면 어떤 문제가 발생할 수 있는지를 보여줍니다.
.gif)
다이어그램에 표시된 유형의 문제가 발생하면, 이벤트 뷰어에 특정 이벤트(1193, 1194, 1206 또는 1207)가 기록됩니다. 이러한 이벤트에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?LinkId=118271를 참조하세요.
도메인 전체의 컴퓨터 개체 생성 할당량(기본값은 10개)에 도달한 경우, 클러스터된 서비스 또는 응용 프로그램에 대한 계정을 생성할 때도 유사한 문제가 발생할 수 있습니다. 만약 그렇다면, 할당량을 늘리는 것에 대해 도메인 관리자와 상담하는 것이 적절할 수 있습니다. 하지만 이는 도메인 전체에 영향을 미치는 설정이므로 신중한 고려 후에만 변경해야 하며, 앞서에서의 다이어그램이 귀하의 상황과 일치하지 않는 것을 확인한 후에만 변경해야 합니다. 자세한 내용은 클러스터 관련 Active Directory 계정 변경으로 인한 문제 해결을 참조하세요.
장애 조치 클러스터, Active Directory 도메인 및 계정과 관련된 요구 사항
앞의 세 섹션에서 설명한 것처럼, 클러스터된 서비스와 응용 프로그램을 장애 조치 클러스터에 성공적으로 구성하려면 특정 요구 사항을 충족해야 합니다. 가장 기본적인 요구 사항은 클러스터 노드의 위치(단일 도메인 내)와 클러스터를 설치하는 사람의 계정 권한 수준과 관련이 있습니다. 이러한 요구 사항이 충족되면, 클러스터에 필요한 다른 계정들은 장애 조치 클러스터 마법사에 의해 자동으로 생성될 수 있습니다. 다음 목록은 이러한 기본 요구 사항에 대한 세부 정보를 제공합니다.
노드: 모든 노드는 동일한 Active Directory 도메인에 있어야 합니다. (도메인은 Active Directory를 포함하지 않는 Windows NT 4.0을 기반으로 할 수 없습니다.)
클러스터를 설치하는 사람의 계정: 클러스터를 설치하는 사람은 다음과 같은 특성을 가진 계정을 사용해야 합니다.
이 계정은 도메인 계정이어야 합니다. 도메인 관리자 계정일 필요는 없습니다. 이 목록의 다른 요구 사항을 충족하는 경우 도메인 사용자 계정일 수 있습니다.
해당 계정은 클러스터 노드가 될 서버에 대한 관리자 권한이 있어야 합니다. 이를 제공하는 가장 간단한 방법은 도메인 사용자 계정을 생성한 다음, 클러스터 노드가 될 각 서버의 로컬 관리자 그룹에 해당 계정을 추가하는 것입니다. 자세한 내용은 이 지침의 뒷부분에 있는 클러스터를 설치하는 사용자의 계정을 구성하는 단계를 참조하세요.
해당 계정(또는 계정이 속한 그룹)은 도메인 내 컴퓨터 계정이 저장되는 컨테이너에서 컴퓨터 개체 생성 및 모든 속성 읽기 권한을 부여받아야 합니다. 자세한 내용은 이 지침의 뒷부분에 있는 클러스터를 설치하는 사용자의 계정을 구성하는 단계를 참조하세요.
조직에서 클러스터 이름 계정(클러스터와 동일한 이름의 컴퓨터 계정)을 미리 준비하기로 선택한 경우, 미리 준비된 클러스터 이름 계정은 클러스터를 설치하는 사용자의 계정에 "전체 제어" 권한을 부여해야 합니다. 클러스터 이름 계정을 사전 준비하는 방법에 대한 다른 중요한 세부 정보는 이 지침의 뒷부분에 있는 클러스터 이름 계정을 미리 설치하는 단계를 참조하세요.
암호 재설정 및 기타 계정 유지 관리를 위한 사전 계획
장애 조치 클러스터의 관리자는 클러스터 이름 계정의 암호를 다시 설정해야 하는 경우가 있습니다. 이 작업을 수행하려면 특정 권한인 암호 재설정 권한이 필요합니다. 따라서, Active Directory 사용자 및 컴퓨터 스냅인을 사용하여 클러스터 이름 계정의 권한을 편집하고, 클러스터 관리자에게 클러스터 이름 계정에 대한 암호 재설정 권한을 부여하는 것이 모범 사례입니다. 자세한 내용은 클러스터 이름 계정의 암호 문제 해결을 참조 하세요.
클러스터를 설치하는 사용자의 계정을 구성하는 단계
클러스터를 설치하는 사람의 계정은 클러스터 자체에 대해 컴퓨터 계정이 만들어지는 기반을 제공하기 때문에 중요합니다.
도메인 계정을 생성하여 도메인에서 필요한 권한을 할당하는지, 또는 장애 조치 클러스터의 노드가 될 서버의 로컬 관리자 그룹에 다른 사람이 생성한 계정을 추가하기만 하는지에 따라 다음 절차를 완료하기 위해 필요한 최소 그룹 구성원의 자격은 달라집니다. 만약 전자의 경우라면, 이 절차를 완료하는 데는 최소한 계정 운영자 또는 이에 상응하는 구성원 자격이 필요합니다. 후자의 경우라면, 장애 조치 클러스터의 노드이거나 동등한 서버의 로컬 관리자 그룹의 구성원 자격이 모두 필요합니다. https://go.microsoft.com/fwlink/?LinkId=83477에서 적절한 계정 및 그룹 구성원 권한 사용에 대한 세부 정보를 검토하세요.
클러스터를 설치하는 사람의 계정을 구성하는 방법
클러스터를 설치하는 사람의 도메인 계정을 생성하거나 가져옵니다. 이 계정은 도메인 사용자 계정 또는 계정 운영자 계정일 수 있습니다. 표준 사용자 계정을 사용하는 경우 이 절차의 뒷부분에서 몇 가지 추가 권한을 부여해야 합니다.
1단계에서 생성하거나 획득한 계정이 도메인 내 컴퓨터의 로컬 관리자 그룹에 자동으로 포함되지 않는다면, 해당 계정을 장애 조치 클러스터의 노드가 될 서버의 로컬 관리자 그룹에 추가합니다.
시작, 관리 도구, 서버 관리자를 차례로 클릭합니다.
콘솔 트리에서 구성, 로컬 사용자 및 그룹, 그룹을 차례로 확장합니다.
가운데 창에서 관리자를 마우스 오른쪽 버튼으로 클릭하고 그룹에 추가를 클릭한 다음 추가를 클릭합니다.
1단계에서 생성하거나 획득한 사용자 계정의 이름을 선택할 객체 이름 입력 아래에 입력합니다. 메시지가 표시되면 이 작업에 대한 충분한 권한이 있는 계정 이름 및 암호를 입력합니다. 그런 후 OK를 클릭합니다.
장애 조치 클러스터의 노드가 될 각 서버에서 이 단계를 반복합니다.
Important
이 단계들은 클러스터의 노드가 될 모든 서버에서 반복되어야 합니다.
1단계에서 생성하거나 획득한 계정이 도메인 관리자 계정인 경우 이 절차의 나머지 부분을 건너뜁니다. 그렇지 않으면 도메인의 컴퓨터 계정에 사용되는 컨테이너에서 컴퓨터 개체 생성 및 모든 속성 읽기 권한을 계정에 부여합니다.
도메인 컨트롤러에서 시작을 클릭하고, 관리 도구를 클릭한 다음, Active Directory 사용자 및 컴퓨터를 클릭합니다. 사용자 계정 컨트롤 대화 상자가 나타나면 원하는 작업이 표시되었는지 확인한 다음 계속을 클릭합니다.
보기 메뉴에서 고급 기능이 선택되어 있는지 확인합니다.
고급 기능이 선택된 상태에서는 Active Directory 사용자 및 컴퓨터의 계정(개체) 속성에서 보안 탭을 볼 수 있습니다.
도메인에서 컴퓨터 계정이 만들어지는 기본 컴퓨터 컨테이너 또는 기본 컨테이너를 마우스 오른쪽 버튼으로 클릭한 다음 속성을 클릭합니다. 컴퓨터는 Active Directory 사용자 및 컴퓨터/도메인 노드/컴퓨터에 있습니다.
보안 탭에서 고급을 클릭합니다.
추가를 클릭하고 1단계에서 생성하거나 획득한 계정의 이름을 입력한 다음 확인을 클릭합니다.
다음에 대한 권한 항목 컨테이너 대화 상자에서, 컴퓨터 개체 생성 및 모든 속성 읽기 권한을 찾아, 각각의 허용 확인란이 선택되어 있는지 확인합니다.
.gif)
클러스터 이름 계정을 미리 준비하는 단계
클러스터 이름 계정을 미리 준비하지 않고, 클러스터 생성 마법사를 실행할 때 계정이 자동으로 생성되고 구성되도록 하는 것이 일반적으로 더 간단합니다. 그러나 조직의 요구 사항으로 인해 클러스터 이름 계정을 미리 준비해야 하는 경우 다음 절차를 사용합니다.
이 절차를 완료하려면 최소한 Domain Admins 그룹의 구성원이거나 이와 동등한 자격을 갖추고 있어야 합니다. https://go.microsoft.com/fwlink/?LinkId=83477에서 적절한 계정 및 그룹 구성원 권한 사용에 대한 세부 정보를 검토하세요. 이 절차에 사용하는 계정은 클러스터를 생성할 때도 동일하게 사용할 수 있습니다.
클러스터 이름 계정의 사전 준비
클러스터의 이름과 클러스터를 생성하는 사람이 사용할 사용자 계정의 이름을 반드시 알고 있어야 합니다. (해당 계정을 사용하여 이 절차를 수행할 수 있습니다.)
도메인 컨트롤러에서 시작을 클릭하고, 관리 도구를 클릭한 다음, Active Directory 사용자 및 컴퓨터를 클릭합니다. 사용자 계정 컨트롤 대화 상자가 나타나면 원하는 작업이 표시되었는지 확인한 다음 계속을 클릭합니다.
콘솔 트리에서 컴퓨터 또는 도메인에서 컴퓨터 계정이 생성되는 기본 컨테이너를 마우스 오른쪽 버튼으로 클릭합니다. 컴퓨터는 Active Directory 사용자 및 컴퓨터/도메인 노드/컴퓨터에 있습니다.
새로 만들기를 클릭한 다음 컴퓨터를 클릭합니다.
장애 조치 클러스터에 사용할 이름을 입력합니다. 즉, 클러스터 생성 마법사에서 지정할 클러스터 이름을 입력한 다음 확인을 클릭합니다.
방금 만든 컴퓨터 계정을 마우스 오른쪽 단추로 클릭한 다음 계정 비활성화를 클릭합니다. 선택 사항을 확인하라는 메시지가 나타나면 예를 클릭합니다.
클러스터 생성 마법사를 실행할 때 도메인 내의 기존 컴퓨터나 클러스터에서 해당 계정을 현재 사용 중이지 않다는 것을 확인하려면 계정이 비활성화되어 있어야 합니다.
보기 메뉴에서 고급 기능이 선택되어 있는지 확인합니다.
고급 기능이 선택된 상태에서는 Active Directory 사용자 및 컴퓨터의 계정(개체) 속성에서 보안 탭을 볼 수 있습니다.
3단계에서 마우스 오른쪽 단추로 클릭한 폴더를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.
보안 탭에서 고급을 클릭합니다.
추가를 클릭하고, 객체 유형을 클릭한 다음, 컴퓨터가 선택되어 있는지 확인하고 확인을 클릭합니다. 그런 다음, 선택할 객체 이름 입력 아래에 방금 생성한 컴퓨터 계정의 이름을 입력하고, 확인을 클릭합니다. 사용할 수 없는 개체를 추가하려고 한다는 메시지가 나타나면 확인을 클릭합니다.
권한 항목 대화 상자에서 컴퓨터 개체 생성 및 모든 속성 읽기 권한을 찾아 각각의 허용 확인란이 선택되어 있는지 확인합니다.
.gif)
확인을 클릭하여 Active Directory 사용자 및 컴퓨터 스냅인으로 돌아갑니다.
이 절차를 수행하는 데 사용하는 계정이 클러스터를 생성할 때도 동일하게 사용될 계정이라면, 나머지 단계를 건너뜁니다. 그렇지 않은 경우, 클러스터를 생성할 때 사용할 사용자 계정이 방금 생성한 컴퓨터 계정에 대한 전체 제어 권한을 가지도록 권한을 구성해야 합니다:
보기 메뉴에서 고급 기능이 선택되어 있는지 확인합니다.
방금 만든 컴퓨터 계정을 마우스 오른쪽 버튼으로 클릭한 다음 속성을 클릭합니다.
보안 탭에서 추가를 클릭합니다. 사용자 계정 컨트롤 대화 상자가 나타나면 원하는 작업이 표시되었는지 확인한 다음 계속을 클릭합니다.
사용자, 컴퓨터 또는 그룹 선택 대화 상자를 사용하여 클러스터를 생성할 때 사용할 사용자 계정을 지정합니다. 그런 후 OK를 클릭합니다.
방금 추가한 사용자 계정이 선택된 상태인지 확인하고, 전체 제어 옆에 있는 허용 확인란을 선택합니다.
.gif)
클러스터형 서비스 또는 응용 프로그램 대한 계정을 미리 준비하는 단계
클러스터된 서비스나 응용 프로그램의 컴퓨터 계정을 미리 준비하지 않고, 고가용성 마법사를 실행할 때 계정이 자동으로 생성되고 구성되도록 하는 것이 일반적으로 더 간단합니다. 그러나 조직의 요구 사항으로 인해 계정을 미리 준비해야 하는 경우 다음 절차를 사용합니다.
이 절차를 완료하려면 최소한 계정 운영자 그룹의 구성원 자격 또는 이와 동등한 권한이 필요합니다. https://go.microsoft.com/fwlink/?LinkId=83477에서 적절한 계정 및 그룹 구성원 권한 사용에 대한 세부 정보를 검토하세요.
클러스터형 서비스 또는 응용 프로그램 대한 계정을 사전 준비하는 방법
클러스터의 이름과 클러스터된 서비스 또는 응용 프로그램의 이름을 반드시 알고 있어야 합니다.
도메인 컨트롤러에서 시작을 클릭하고, 관리 도구를 클릭한 다음, Active Directory 사용자 및 컴퓨터를 클릭합니다. 사용자 계정 컨트롤 대화 상자가 나타나면 원하는 작업이 표시되었는지 확인한 다음 계속을 클릭합니다.
콘솔 트리에서 컴퓨터 또는 도메인에서 컴퓨터 계정이 생성되는 기본 컨테이너를 마우스 오른쪽 버튼으로 클릭합니다. 컴퓨터는 Active Directory 사용자 및 컴퓨터/도메인 노드/컴퓨터에 있습니다.
새로 만들기를 클릭한 다음 컴퓨터를 클릭합니다.
클러스터형 서비스 또는 응용 프로그램에 사용할 이름을 입력한 다음 확인을 클릭합니다.
보기 메뉴에서 고급 기능이 선택되어 있는지 확인합니다.
고급 기능이 선택된 상태에서는 Active Directory 사용자 및 컴퓨터의 계정(개체) 속성에서 보안 탭을 볼 수 있습니다.
방금 만든 컴퓨터 계정을 마우스 오른쪽 버튼으로 클릭한 다음 속성을 클릭합니다.
보안 탭에서 추가를 클릭합니다.
객체 유형을 클릭하고, 컴퓨터가 선택되어 있는지 확인한 후 확인을 클릭합니다. 그런 다음, 선택할 객체 이름 입력 아래에 클러스터 이름 계정을 입력하고, 확인을 클릭합니다. 사용할 수 없는 개체를 추가하려고 한다는 메시지가 나타나면 확인을 클릭합니다.
클러스터 이름 계정이 선택된 상태인지 확인하고, 전체 제어 옆에 있는 허용 확인란을 선택합니다.
.gif)
클러스터에서 사용하는 계정과 관련된 문제를 해결하기 위한 단계
자세한 내용은 장애 조치 클러스터에서 사용하는 계정 관련 문제 해결을 참조하세요.