Active Directory에서 클러스터 계정 구성

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008, Azure Stack HCI, 버전 21H2 및 20H2

Windows Server에서 장애 조치(failover) 클러스터를 만들고 클러스터된 서비스 또는 애플리케이션을 구성할 때 장애 조치(failover) 클러스터 마법사는 필요한 Active Directory 컴퓨터 계정(컴퓨터 개체라고도 함)을 만들고 특정 권한을 부여합니다. 마법사는 클러스터 자체에 대한 컴퓨터 계정(이 계정은 클러스터 이름 개체 또는 CNO라고도 함)과 대부분의 클러스터형 서비스 및 애플리케이션 유형에 대한 컴퓨터 계정을 만듭니다. 이 예외는 Hyper-V 가상 머신입니다. 이러한 계정에 대한 권한은 장애 조치(failover) 클러스터 마법사에 의해 자동으로 설정됩니다. 사용 권한이 변경되면 클러스터 요구 사항에 맞게 다시 변경해야 합니다. 이 가이드에서는 이러한 Active Directory 계정 및 사용 권한을 설명하고, 중요한 이유에 대한 배경을 제공하고, 계정을 구성하고 관리하는 단계를 설명합니다.

장애 조치(failover) 클러스터에 필요한 Active Directory 계정 개요

이 섹션에서는 장애 조치(failover) 클러스터에 중요한 Active Directory 컴퓨터 계정(Active Directory 컴퓨터 개체라고도 함)에 대해 설명합니다. 이러한 계정은 다음과 같습니다.

  • 클러스터를 만드는 데 사용되는 사용자 계정입니다. 클러스터 만들기 마법사를 시작하는 데 사용되는 사용자 계정입니다. 이 계정은 클러스터 자체에 대해 컴퓨터 계정이 만들어지는 기반을 제공하기 때문에 중요합니다.

  • 클러스터 이름 계정입니다. 클러스터 자체의 컴퓨터 계정(클러스터 이름 개체 또는 CNO라고도 함). 이 계정은 클러스터 만들기 마법사에 의해 자동으로 만들어지고 클러스터와 이름이 같습니다. 클러스터 이름 계정은 매우 중요합니다. 이 계정을 통해 클러스터에서 새 서비스 및 애플리케이션을 구성할 때 다른 계정이 자동으로 생성되기 때문입니다. 클러스터 이름 계정이 삭제되거나 사용 권한이 제거된 경우 클러스터 이름 계정이 복원되거나 올바른 사용 권한이 복원될 때까지 클러스터에서 필요에 따라 다른 계정을 만들 수 없습니다.

    예를 들어 Cluster1이라는 클러스터를 만든 다음 클러스터에서 PrintServer1이라는 클러스터형 인쇄 서버를 구성하려는 경우 Active Directory의 Cluster1 계정은 PrintServer1이라는 컴퓨터 계정을 만드는 데 사용할 수 있도록 올바른 권한을 유지해야 합니다.

    클러스터 이름 계정은 Active Directory의 컴퓨터 계정에 대한 기본 컨테이너에 만들어집니다. 기본적으로 이 컨테이너는 "컴퓨터" 컨테이너이지만 do기본 관리자는 이를 다른 컨테이너 또는 OU(조직 구성 단위)로 리디렉션하도록 선택할 수 있습니다.

  • 클러스터형 서비스 또는 애플리케이션의 컴퓨터 계정(컴퓨터 개체)입니다. 이러한 계정은 대부분의 유형의 클러스터형 서비스 또는 애플리케이션을 만드는 프로세스의 일부로 고가용성 마법사에 의해 자동으로 만들어지며, 예외는 Hyper-V 가상 머신입니다. 클러스터 이름 계정에는 이러한 계정을 제어하는 데 필요한 권한이 부여됩니다.

    예를 들어 Cluster1이라는 클러스터가 있고 FileServer1이라는 클러스터형 파일 서버를 만드는 경우 고가용성 마법사는 FileServer1이라는 Active Directory 컴퓨터 계정을 만듭니다. 또한 고가용성 마법사는 Cluster1 계정에 FileServer1 계정을 제어하는 데 필요한 권한을 부여합니다.

다음 표에서는 이러한 계정에 필요한 권한을 설명합니다.

어카운트 사용 권한에 대한 세부 정보

클러스터를 만드는 데 사용되는 계정

클러스터 노드가 될 서버에 대한 관리 권한이 필요합니다. 또한 할 일의 컴퓨터 계정에 사용되는 컨테이너에서 컴퓨터 개체 만들기 및 모든 속성 읽기 권한이 필요합니다기본.

클러스터 이름 계정(클러스터 자체의 컴퓨터 계정)

클러스터 만들기 마법사를 실행하면 할 일기본 컴퓨터 계정에 사용되는 기본 컨테이너에 클러스터 이름 계정이 만들어집니다. 기본적으로 클러스터 이름 계정(예: 다른 컴퓨터 계정)은 할 일에서 최대 10개의 컴퓨터 계정을 만들 수 있습니다기본.

클러스터를 만들기 전에 클러스터 이름 계정(클러스터 이름 개체)을 만드는 경우(즉, 계정 사전 준비) 할 일의 컴퓨터 계정에 사용되는 컨테이너에서 컴퓨터 개체 만들기 및 모든 속성 읽기 권한을 부여해야 합니다기본 또한 계정을 사용하지 않도록 설정하고 클러스터를 설치하는 관리자가 사용할 계정에 모든 권한을 부여해야 합니다. 자세한 내용은 이 가이드의 뒷부분에 있는 클러스터 이름 계정을 미리 설정하기 위한 단계를 참조하세요.

클러스터형 서비스 또는 애플리케이션의 컴퓨터 계정

고가용성 마법사가 실행되면(새 클러스터된 서비스 또는 애플리케이션을 만들기 위해) 대부분의 경우 클러스터된 서비스 또는 애플리케이션에 대한 컴퓨터 계정이 Active Directory에 만들어집니다. 클러스터 이름 계정에는 이 계정을 제어하는 데 필요한 권한이 부여됩니다. 클러스터형 Hyper-V 가상 머신은 예외입니다. 이에 대한 컴퓨터 계정이 만들어지지 않습니다.

클러스터된 서비스 또는 애플리케이션에 대한 컴퓨터 계정을 미리 준비하는 경우 필요한 권한으로 구성해야 합니다. 자세한 내용은 이 가이드의 뒷부분에 있는 클러스터형 서비스 또는 애플리케이션에 대한 계정을 미리 설치하는 단계를 참조하세요.

참고 항목

이전 버전의 Windows Server에서는 클러스터 서비스에 대한 계정이 있었습니다. 그러나 Windows Server 2008 이후 클러스터 서비스는 서비스에 필요한 특정 권한 및 권한을 제공하는 특수 컨텍스트에서 자동으로 실행됩니다(로컬 시스템 컨텍스트와 유사하지만 권한 감소). 그러나 이 가이드에 설명된 대로 다른 계정이 필요합니다.

장애 조치(failover) 클러스터링 마법사를 통해 계정을 만드는 방법

다음 다이어그램에서는 이전 하위 섹션에서 설명한 컴퓨터 계정(Active Directory 개체)의 사용 및 생성을 보여 줍니다. 관리자가 클러스터 만들기 마법사를 실행한 다음 고가용성 마법사(클러스터형 서비스 또는 애플리케이션 구성)를 실행할 때 이러한 계정이 실행됩니다.

Use and creation of computer accounts

위의 다이어그램에는 클러스터 만들기 마법사와 고가용성 마법사를 모두 실행하는 단일 관리자가 표시됩니다. 그러나 두 계정에 충분한 권한이 있는 경우 두 개의 서로 다른 사용자 계정을 사용하는 두 명의 다른 관리자가 될 수 있습니다. 사용 권한은 이 가이드의 뒷부분에 있는 장애 조치(failover) 클러스터, Active Directory do기본 및 계정과 관련된 요구 사항에 자세히 설명되어 있습니다.

클러스터에 필요한 계정이 변경될 경우 문제가 발생할 수 있는 방법

다음 다이어그램에서는 클러스터 만들기 마법사에서 클러스터 이름 계정(클러스터에 필요한 계정 중 하나)이 자동으로 생성된 후 변경될 경우 문제가 발생할 수 있는 방법을 보여 줍니다.

Problems if cluster name is changed

다이어그램에 표시된 문제 유형이 발생하면 특정 이벤트(1193, 1194, 1206 또는 1207)가 이벤트 뷰어 기록됩니다. 이러한 이벤트에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?LinkId=118271를 참조하세요.

클러스터형 서비스 또는 애플리케이션에 대한 계정을 만드는 것과 비슷한 문제가 발생할 수 있습니다(기본적으로 10)를 만들기 위한 할 일기본 할당량에 도달한 경우. 있는 경우 할당량 증가에 대해 do기본 관리자와 상의하는 것이 적절할 수 있습니다. 단, 이 설정은 기본 수준 설정이며 신중하게 고려한 후에만 변경해야 하며 이전 다이어그램이 사용자의 상황을 설명하지 않는지 확인한 후에만 변경해야 합니다. 자세한 내용은 클러스터 관련 Active Directory 계정의 변경으로 인한 문제 해결을 참조 하세요.

앞의 세 섹션에서 설명한 대로 클러스터된 서비스 및 애플리케이션을 장애 조치(failover) 클러스터에서 성공적으로 구성하려면 먼저 특정 요구 사항을 충족해야 합니다. 가장 기본적인 요구 사항은 클러스터 노드의 위치(단일 작업 내기본) 및 클러스터를 설치하는 사용자의 계정 권한 수준에 관한 것입니다. 이러한 요구 사항이 충족되면 장애 조치(failover) 클러스터 마법사에서 클러스터에 필요한 다른 계정을 자동으로 만들 수 있습니다. 다음 목록에서는 이러한 기본 요구 사항에 대한 세부 정보를 제공합니다.

  • 노드: 모든 노드는 동일한 Active Directory에 있어야 합니다기본. (do기본 Active Directory를 포함하지 않는 Windows NT 4.0을 기반으로 할 수 없습니다.

  • 클러스터를 설치하는 사용자의 계정: 클러스터를 설치하는 사람은 다음과 같은 특성을 가진 계정을 사용해야 합니다.

    • 계정은 할 일기본 계정이어야 합니다. 할 일기본 관리자 계정일 필요는 없습니다. 이 목록의 다른 요구 사항을 충족하는 경우 할 일기본 사용자 계정일 수 있습니다.

    • 계정에 클러스터 노드가 될 서버에 대한 관리 권한이 있어야 합니다. 이를 제공하는 가장 간단한 방법은 do기본 사용자 계정을 만든 다음 클러스터 노드가 될 각 서버의 로컬 관리istrators 그룹에 해당 계정을 추가하는 것입니다. 자세한 내용은 이 가이드의 뒷부분에 있는 클러스터를 설치하는 사용자의 계정을 구성하는 단계를 참조하세요.

    • 계정(또는 계정이 구성원인 그룹)에는 할 일의 컴퓨터 계정에 사용되는 컨테이너에서 컴퓨터 만들기 개체모든 속성 읽기 권한이 부여되어야 합니다기본. 자세한 내용은 이 가이드의 뒷부분에 있는 클러스터를 설치하는 사용자의 계정을 구성하는 단계를 참조하세요.

    • 조직에서 클러스터 이름 계정(클러스터와 이름이 같은 컴퓨터 계정)을 사전 준비하도록 선택하는 경우 사전 준비된 클러스터 이름 계정은 클러스터를 설치하는 사용자의 계정에 "모든 권한" 권한을 부여해야 합니다. 클러스터 이름 계정을 사전 준비하는 방법에 대한 다른 중요한 세부 정보는 이 가이드의 뒷부분에 있는 클러스터 이름 계정을 미리 설치하는 단계를 참조하세요.

암호 재설정 및 기타 계정 기본 테넌트 계획

장애 조치(failover) 클러스터의 관리자는 클러스터 이름 계정의 암호를 다시 설정해야 하는 경우가 있습니다. 이 작업을 수행하려면 특정 권한인 암호 재설정 권한이 필요합니다. 따라서 클러스터 이름 계정의 사용 권한을 편집하는 것이 좋습니다(Active Directory 사용자 및 컴퓨터 스냅인 사용). 클러스터 관리자에게 클러스터 이름 계정에 대한 암호 재설정 권한을 부여합니다. 자세한 내용은 클러스터 이름 계정의 암호 문제 해결을 참조 하세요.

클러스터를 설치하는 사용자의 계정을 구성하는 단계

클러스터를 설치하는 사람의 계정은 클러스터 자체에 대해 컴퓨터 계정이 만들어지는 기반을 제공하기 때문에 중요합니다.

다음 절차를 완료하는 데 필요한 최소 그룹 멤버 자격은 do기본 계정을 만들고 do기본 필요한 권한을 할당하는지 또는 장애 조치(failover) 클러스터의 노드가 될 서버의 로컬 관리istrators 그룹에만 계정을 배치하는지 여부에 따라 달라집니다. 이전 계정 운영자 또는 이와 동등한 멤버 자격이 이 절차를 완료하는 데 필요한 최소값입니다. 후자의 경우 장애 조치(failover) 클러스터의 노드가 될 서버의 로컬 관리istrators 그룹의 멤버 자격이 모두 필요합니다. 에서 https://go.microsoft.com/fwlink/?LinkId=83477적절한 계정 및 그룹 멤버 자격을 사용하는 방법에 대한 세부 정보를 검토합니다.

클러스터를 설치하는 사용자에 대한 계정을 구성하려면

  1. 클러스터를 설치하는 사용자에 대한 do기본 계정을 만들거나 가져옵니다. 이 계정은 할 일기본 사용자 계정 또는 계정 운영자 계정일 수 있습니다. 표준 사용자 계정을 사용하는 경우 이 절차의 뒷부분에서 몇 가지 추가 권한을 부여해야 합니다.

  2. 1단계에서 만들거나 얻은 계정이 do기본 컴퓨터의 로컬 관리istrators 그룹에 자동으로 포함되지 않는 경우 장애 조치(failover) 클러스터의 노드가 될 서버의 로컬 관리istrators 그룹에 계정을 추가합니다.

    1. 시작, 관리 도구, 서버 관리자를 차례로 클릭합니다.

    2. 콘솔 트리에서 구성을 확장하고 로컬 사용자 및 그룹을 확장한 다음 그룹을 확장합니다.

    3. 가운데 창에서 관리istrators를 마우스 오른쪽 단추로 클릭하고 그룹에 추가를 클릭한 다음 추가를 클릭합니다.

    4. 선택할 개체 이름을 입력하려면 1단계에서 만들거나 얻은 사용자 계정의 이름을 입력합니다. 메시지가 표시되면 이 작업에 대한 충분한 권한이 있는 계정 이름 및 암호를 입력합니다. 그런 후 OK를 클릭합니다.

    5. 장애 조치(failover) 클러스터의 노드가 될 각 서버에서 이러한 단계를 반복합니다.

    Important

    이러한 단계는 클러스터의 노드가 될 모든 서버에서 반복되어야 합니다.

  3. 1단계에서 만들거나 얻은 계정이 do기본 관리자 계정인 경우 이 절차의 나머지 부분을 건너뜁니다. 그렇지 않으면 할 일에서 컴퓨터 계정에 사용되는 컨테이너에서 컴퓨터 만들기 개체모든 속성 읽기 권한을 계정에 부여합니다기본

    1. do기본 컨트롤러에서 시작을 클릭하고 관리istrative Tools를 클릭한 다음 Active Directory 사용자 및 컴퓨터 클릭합니다. 사용자 계정 컨트롤 대화 상자가 나타나면 원하는 작업이 표시되었는지 확인한 다음 계속을 클릭합니다.

    2. 보기 메뉴에서 고급 기능이 선택되어 있는지 확인합니다.

      고급 기능을 선택하면 Active Directory 사용자 및 컴퓨터 계정(개체)의 속성에서 보안 탭을 수 있습니다.

    3. 할 일기본 컴퓨터 계정이 만들어지는 기본 컴퓨터 컨테이너 또는 기본 컨테이너를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. 컴퓨터는 Active Directory 사용자 및 컴퓨터/do기본-node/Computers있습니다.

    4. 보안 탭에서 고급을 클릭합니다.

    5. 추가를 클릭하고 1단계에서 만들거나 얻은 계정의 이름을 입력한 다음 확인을 클릭합니다.

    6. 컨테이너에 대한사용 권한 항목 대화 상자에서 컴퓨터 개체 만들기 및 모든 속성 읽기 권한을 찾아 각각에 대해 검사 허용 상자가 선택되어 있는지 확인합니다.

      Screenshot that shows Create Computer objects option set to Allow.

클러스터 이름 계정을 미리 설치하는 단계

클러스터 이름 계정을 사전 준비하지 않고 클러스터 만들기 마법사를 실행할 때 계정을 자동으로 만들고 구성하도록 허용하는 경우 일반적으로 더 간단합니다. 그러나 조직의 요구 사항으로 인해 클러스터 이름 계정을 미리 준비해야 하는 경우 다음 절차를 사용합니다.

이 절차를 완료하려면 최소한 Domain Admins 그룹의 구성원이거나 이와 동등한 자격을 갖추고 있어야 합니다. 에서 https://go.microsoft.com/fwlink/?LinkId=83477적절한 계정 및 그룹 멤버 자격을 사용하는 방법에 대한 세부 정보를 검토합니다. 클러스터를 만들 때 사용하는 것과 동일한 계정을 이 절차에 사용할 수 있습니다.

클러스터 이름 계정을 사전 준비하려면

  1. 클러스터에 사용할 이름 및 클러스터를 만드는 사용자가 사용할 사용자 계정의 이름을 알고 있는지 확인합니다. (이 계정을 사용하여 이 절차를 수행할 수 있습니다.)

  2. do기본 컨트롤러에서 시작을 클릭하고 관리istrative Tools를 클릭한 다음 Active Directory 사용자 및 컴퓨터 클릭합니다. 사용자 계정 컨트롤 대화 상자가 나타나면 원하는 작업이 표시되었는지 확인한 다음 계속을 클릭합니다.

  3. 콘솔 트리에서 컴퓨터 또는 할 일에서 컴퓨터 계정이 만들어지는 기본 컨테이너를 마우스 오른쪽 단추로 클릭합니다기본. 컴퓨터는 Active Directory 사용자 및 컴퓨터/do기본-node/Computers있습니다.

  4. 새로 만들기를 클릭한 다음 컴퓨터를 클릭합니다.

  5. 장애 조치(failover) 클러스터에 사용할 이름을 입력합니다. 즉, 클러스터 만들기 마법사에서 지정할 클러스터 이름을 입력한 다음 확인을 클릭합니다.

  6. 방금 만든 계정을 마우스 오른쪽 단추로 클릭한 다음 계정 사용 안 함을 클릭합니다. 선택 사항을 확인하라는 메시지가 표시되면 [예]를 클릭합니다.

    클러스터 만들기 마법사를 실행할 때 클러스터에 사용할 계정이 현재 do기본 기존 컴퓨터 또는 클러스터에서 사용되고 있지 않은지 확인할 수 있도록 계정을 사용하지 않도록 설정해야 합니다.

  7. 보기 메뉴에서 고급 기능이 선택되어 있는지 확인합니다.

    고급 기능을 선택하면 Active Directory 사용자 및 컴퓨터 계정(개체)의 속성에서 보안 탭을 수 있습니다.

  8. 3단계에서 마우스 오른쪽 단추로 클릭한 폴더를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  9. 보안 탭에서 고급을 클릭합니다.

  10. 추가를 클릭하고 개체 유형을 클릭한 다음 컴퓨터선택되어 있는지 확인한 다음 확인을 클릭합니다. 그런 다음 선택할 개체 이름을 입력하고 방금 만든 컴퓨터 계정의 이름을 입력한 다음 확인을 클릭합니다. 비활성화된 개체를 추가하려고 한다는 메시지가 나타나면 [확인]을 클릭합니다.

  11. 사용 권한 항목 대화 상자에서 컴퓨터 개체 만들기 및 모든 속성 읽기 권한을 찾아 각각에 대해 검사 허용 상자가 선택되어 있는지 확인합니다.

    Permission Entry dialog box

  12. Active Directory 사용자 및 컴퓨터 스냅인으로 돌아갈 때까지 확인을 클릭합니다.

  13. 클러스터를 만드는 데 사용되는 것과 동일한 계정을 사용하여 이 절차를 수행하는 경우 다시 기본 단계를 건너뜁니다. 그렇지 않으면 클러스터를 만드는 데 사용할 사용자 계정이 방금 만든 컴퓨터 계정을 완전히 제어할 수 있도록 권한을 구성해야 합니다.

    1. 보기 메뉴에서 고급 기능이 선택되어 있는지 확인합니다.

    2. 방금 만든 컴퓨터 계정을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

    3. 보안 탭에서 추가를 클릭합니다. 사용자 계정 컨트롤 대화 상자가 나타나면 원하는 작업이 표시되었는지 확인한 다음 계속을 클릭합니다.

    4. 사용자, 컴퓨터 또는 그룹 선택 대화 상자를 사용하여 클러스터를 만들 때 사용할 사용자 계정을 지정할 수 있습니다. 그런 후 OK를 클릭합니다.

    5. 방금 추가한 사용자 계정이 선택되어 있는지 확인한 다음, 모든 권한 옆에 있는 검사 허용 상자를 선택합니다.

      Screenshot that shows the Security tab in the Cluster1 Properties dialog box.

클러스터형 서비스 또는 애플리케이션에 대한 계정을 미리 설치하는 단계

일반적으로 클러스터형 서비스 또는 애플리케이션에 대한 컴퓨터 계정을 사전 준비하지 않고 고가용성 마법사를 실행할 때 계정을 자동으로 만들고 구성할 수 있도록 하는 경우 더 간단합니다. 그러나 조직의 요구 사항으로 인해 계정을 사전 준비해야 하는 경우 다음 절차를 사용합니다.

계정 운영자 그룹의 멤버 자격 또는 이와 동등한 멤버 자격은 이 절차를 완료하는 데 필요한 최소값입니다. 에서 https://go.microsoft.com/fwlink/?LinkId=83477적절한 계정 및 그룹 멤버 자격을 사용하는 방법에 대한 세부 정보를 검토합니다.

클러스터형 서비스 또는 애플리케이션에 대한 계정을 사전 준비하려면

  1. 클러스터의 이름과 클러스터된 서비스 또는 애플리케이션에 사용할 이름을 알고 있는지 확인합니다.

  2. do기본 컨트롤러에서 시작을 클릭하고 관리istrative Tools를 클릭한 다음 Active Directory 사용자 및 컴퓨터 클릭합니다. 사용자 계정 컨트롤 대화 상자가 나타나면 원하는 작업이 표시되었는지 확인한 다음 계속을 클릭합니다.

  3. 콘솔 트리에서 컴퓨터 또는 할 일에서 컴퓨터 계정이 만들어지는 기본 컨테이너를 마우스 오른쪽 단추로 클릭합니다기본. 컴퓨터는 Active Directory 사용자 및 컴퓨터/do기본-node/Computers있습니다.

  4. 새로 만들기를 클릭한 다음 컴퓨터를 클릭합니다.

  5. 클러스터형 서비스 또는 애플리케이션에 사용할 이름을 입력한 다음 확인을 클릭합니다.

  6. 보기 메뉴에서 고급 기능이 선택되어 있는지 확인합니다.

    고급 기능을 선택하면 Active Directory 사용자 및 컴퓨터 계정(개체)의 속성에서 보안 탭을 수 있습니다.

  7. 방금 만든 컴퓨터 계정을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  8. 보안 탭에서 추가를 클릭합니다.

  9. 개체 유형을 클릭하고 컴퓨터선택되어 있는지 확인한 다음 확인을 클릭합니다. 그런 다음 선택할 개체 이름을 입력하고 클러스터 이름 계정을 입력한 다음 확인을 클릭합니다. 비활성화된 개체를 추가하려고 한다는 메시지가 나타나면 [확인]을 클릭합니다.

  10. 클러스터 이름 계정이 선택되어 있는지 확인한 다음, 모든 권한 옆에 있는 검사 허용 상자를 선택합니다.

    Security tab

자세한 내용은 장애 조치(failover) 클러스터에서 사용하는 계정 관련 문제 해결을 참조 하세요.