이 항목에서는 다음 방법 중 어떤 방법을 사용하여 Windows Server에 AD DS(Active Directory Domain Services)를 설치하는 방법을 설명합니다.
Windows PowerShell
서버 관리자
GUI를 사용하여 RODC 설치
필수 조건
Adprep.exe를 실행하고 AD DS를 설치하려면 다음과 같은 자격 증명이 필요합니다.
새 포리스트를 설치하려면 컴퓨터의 로컬 관리자로 로그온해야 합니다.
새 자식 도메인이나 새 도메인 트리를 설치하려면 Enterprise Admins 그룹의 구성원으로 로그인해야 합니다.
기존 도메인에서 추가 도메인 컨트롤러를 설치하려면 Domain Admins 그룹 구성원이어야 합니다.
참고
adprep.exe 명령을 별도로 실행하지 않고 기존 도메인 또는 포리스트에서 Windows Server를 실행하는 첫 번째 도메인 컨트롤러를 설치하는 경우 Adprep 명령을 실행할 자격 증명을 제공하라는 메시지가 표시됩니다. 자격 증명 요구 사항은 다음과 같습니다.
포리스트에 첫 번째 Windows Server 도메인 컨트롤러를 도입하려면 엔터프라이즈 관리자 그룹, 스키마 관리자 그룹 및 스키마 마스터를 호스트하는 도메인의 Domain Admins 그룹에 대한 자격 증명을 제공해야 합니다. 도메인에 첫 번째 Windows Server 도메인 컨트롤러를 도입하려면 Domain Admins 그룹의 멤버에 대한 자격 증명을 제공해야 합니다. 포레스트 내의 첫 번째 읽기 전용 도메인 컨트롤러 (RODC)를 설치하려면 Enterprise Admins 그룹의 구성원의 자격 증명을 제공해야 합니다.
Windows PowerShell을 사용하여 AD DS 설치
Windows PowerShell을 사용하여 역할을 추가하는 작업부터 시작합니다. 이 명령은 AD DS 서버 역할을 설치하고 Active Directory 사용자 및 컴퓨터와 같은 GUI 기반 도구와 dcdia.exe같은 명령줄 도구를 포함하여 AD DS 및 AD LDS(Active Directory Lightweight Directory Services) 서버 관리 도구를 설치합니다. Windows PowerShell을 사용하는 경우 서버 관리 도구는 기본적으로 설치되지 않습니다. 지정해야 "IncludeManagementTools 옵션을 통해 로컬 서버를 관리하거나, 원격 서버를 관리하려면 원격 서버 관리 도구를 설치해야 합니다.
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
AD DS 설치가 완료될 때까지 다시 부팅할 필요가 없습니다.
그런 다음 이 명령을 실행하여 ADDSDeployment 모듈에서 사용 가능한 cmdlet을 확인할 수 있습니다.
Get-Command -Module ADDSDeployment
cmdlet 및 구문에 지정할 수 있는 인수 목록을 보려면
Get-Help <cmdlet name>
예를 들어 비어 있는 RODC(읽기 전용 도메인 컨트롤러) 계정을 만드는 인수를 보려면 다음을 입력합니다.
Get-Help Add-ADDSReadOnlyDomainControllerAccount
Windows PowerShell cmdlet에 대한 최신 도움말 예제 및 개념을 다운로드할 수도 있습니다. 자세한 내용은 about_Updatable_Help를 참조하세요.
원격 서버에 대해 Windows PowerShell cmdlet을 실행할 수 있습니다.
Windows PowerShell에서 ADDSDeployment cmdlet과 함께 invoke-command를 사용합니다. 예를 들어 contoso.com 도메인에서 ConDC3라는 원격 서버에 AD DS를 설치하려면 다음을 입력합니다.
Invoke-Command { Install-ADDSDomainController -DomainName contoso.com -Credential (Get-Credential) } -ComputerName ConDC3
또는
- 서버 관리자에서 원격 서버를 포함하는 서버 그룹을 만듭니다. 원격 서버의 이름을 마우스 오른쪽에 선택하고 Windows PowerShell을 선택합니다.
Windows PowerShell에서 ADDSDeployment cmdlet의 전체 목록을 보려면 ADDSDeployment 참조를 참조하세요.
Windows PowerShell 자격 증명 지정
Get-credential을 사용하여 화면에 일반 텍스트로 노출하지 않고 자격 증명을 지정할 수 있습니다.
SafeModeAdministratorPassword 및 LocalAdministratorPassword 인수 작업은 특별합니다.
인수로 지정하지 않을 경우 cmdlet은 마스킹된 암호를 입력 및 확인하라는 메시지를 표시합니다. cmdlet을 대화형으로 실행할 경우 기본 설정된 사용법입니다.
값과 함께 지정한 경우 값은 보안 문자열이어야 합니다. cmdlet을 대화형으로 실행할 경우 기본 설정된 사용법이 아닙니다.
예를 들어 Read-Host cmdlet을 사용하여 수동으로 암호를 물어 사용자에게 보안 문자열을 물을 수 있습니다.
-SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString)
경고
이전 옵션은 암호를 확인하지 않습니다. 주의해야 합니다. 암호가 표시되지 않습니다.
변환된 일반 텍스트 변수로 보안 문자열을 제공할 수도 있습니다(권장되지 않음).
-SafeModeAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)
경고
명확한 텍스트 암호를 제공하거나 저장하는 것은 권장되지 않습니다. 스크립트에서 이 명령을 실행하거나 어깨너머로 바라보는 사람은 해당 도메인 컨트롤러의 DSRM(디렉터리 서비스 복원 모드) 암호를 알고 있습니다. 이 암호를 알게 된 사용자는 도메인 컨트롤러 자체를 가장하여 자신의 권한을 Active Directory 포리스트에서 가장 높은 수준으로 상승시킬 수 있습니다.
테스트 cmdlet 사용
ADDSDeployment cmdlet마다 해당 테스트 cmdlet이 있습니다. cmdlet은 설치 작업 시 필수 구성 요소 확인만 실행합니다. 설치 설정은 구성하지 않습니다. 각 테스트 cmdlet의 인수는 해당 설치 cmdlet과 동일하지만 "SkipPreChecks는 테스트 cmdlet에 사용할 수 없습니다.
| 테스트 cmdlet | 설명 |
|---|---|
| Test-ADDSForest설치 | 새 Active Directory 포리스트 설치 관련 필수 구성 요소를 실행합니다. |
| Test-ADDSDomain설치 | Active Directory에 새 도메인 설치하는 것과 관련된 필수 구성 요소를 실행합니다. |
| Test-ADDSDomainController설치 | Active Directory에 도메인 컨트롤러를 설치하는 것과 관련된 필수 구성 요소를 실행합니다. |
| 테스트-ADDS읽기전용도메인컨트롤러계정생성 | RODC(읽기 전용 도메인 컨트롤러) 계정 추가 관련 필수 구성 요소를 실행합니다. |
Windows PowerShell을 사용하여 새 포리스트 루트 도메인 설치
cmdlet Install-ADDSForest 는 새 포리스트를 설치합니다.
예를 들어 이름이 corp.contoso.com인 새 포리스트를 설치하고 DSRM 암호를 제공하라는 메시지를 안전하게 표시하려면 다음을 입력합니다.
Install-ADDSForest -DomainName "corp.contoso.com"
참고
INSTALL-ADDSForest를 실행하면 DNS 서버가 기본적으로 설치됩니다.
corp.contoso.com 이라는 새 포리스트를 설치하려면 contoso.com 도메인에 DNS 위임을 만들고, 도메인 기능 수준을 Windows Server로 설정하고, 포리스트 기능 수준을 Windows Server 2025로 설정하고, D:\ 드라이브에 Active Directory 데이터베이스 및 SYSVOL을 설치하고, E:\ 드라이브에 로그 파일을 설치하고, 디렉터리 서비스 복원 모드 암호 및 유형을 제공하라는 메시지가 표시됩니다.
Install-ADDSForest -DomainName corp.contoso.com -CreateDNSDelegation -DomainMode Win2008 -ForestMode Win2025 -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Windows PowerShell을 사용하여 새 자식 또는 트리 도메인 설치
cmdlet Install-ADDSDomain 을 사용하여 새 도메인을 설치합니다.
참고
-credential 인수는 현재 Enterprise Admins 그룹의 구성원으로 로그온하지 않은 경우에만 필요합니다.
-NewDomainNetBIOSName DNS 도메인 이름 접두사에 따라 자동으로 생성 된 15 자 이름을 변경 하려는 경우 또는 이름이 15 자를 초과 하는 경우의 인수가 필요 합니다.
예를 들어 corp\EnterpriseAdmin1의 자격 증명을 사용하여 부모 도메인이 corp.contoso.com 있는 자식이라는 새 자식 도메인을 만들려면 DNS 서버를 설치하고, corp.contoso.com 도메인에 DNS 위임을 만들고, 도메인 기능 수준을 Windows Server 2025로 설정하고, 도메인 컨트롤러를 Houston이라는 사이트의 전역 카탈로그 서버로 만들고, DC1.corp.contoso.com 복제 원본 도메인 컨트롤러로, D:\ 드라이브에 Active Directory 데이터베이스 및 SYSVOL을 설치하고, E:\ 드라이브에 로그 파일을 설치하고, 디렉터리 서비스 복원 모드 암호를 제공하라는 메시지가 표시되지만 명령을 확인하라는 메시지가 표시되지 않으면 다음을 입력합니다.
Install-ADDSDomain -SafeModeAdministratorPassword -Credential (get-credential corp\EnterpriseAdmin1) -NewDomainName child -ParentDomainName corp.contoso.com -InstallDNS -CreateDNSDelegation -DomainMode Win2025 -ReplicationSourceDC DC1.corp.contoso.com -SiteName Houston -DatabasePath "d:\NTDS" "SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs" -Confirm:$False
Windows PowerShell을 사용하여 추가(복제본) 도메인 컨트롤러 설치
Install-ADDSDomainController를 사용하여 추가 도메인 컨트롤러를 설치합니다.
corp.contoso.com 도메인에 도메인 컨트롤러 및 DNS 서버를 설치하고 도메인의 Administrator 자격 증명 및 DSRM 암호를 제공하라는 메시지를 표시하려면 다음을 입력합니다.
Install-ADDSDomainController -Credential (Get-Credential CORP\Administrator) -DomainName "corp.contoso.com"
컴퓨터가 이미 도메인에 가입되어 있고 Domain Admins 그룹의 구성원인 경우 다음을 사용할 수 있습니다.
Install-ADDSDomainController -DomainName "corp.contoso.com"
도메인 이름을 입력하라는 메시지를 표시하려면 다음을 입력합니다.
Install-ADDSDomainController -Credential (Get-Credential) -DomainName (Read-Host "Domain to promote into")
다음 명령은 Contoso\EnterpriseAdmin1 자격 증명을 사용하여 Boston이라는 사이트에 쓰기 가능한 도메인 컨트롤러 및 글로벌 카탈로그 서버를 설치하고 DNS 서버를 설치하며 contoso.com 도메인에서 DNS 위임을 만들고 c:\ADDS IFM 폴더에 저장된 미디어에서 설치하며 D:\ 드라이브에 Active Directory 데이터베이스 및 SYSVOL을 설치하고 E:\ 드라이브에 로그 파일을 설치하며 AD DS 설치 완료 후 서버를 자동으로 다시 시작하게 하고 디렉터리 서비스 복원 모드 암호를 제공하라는 메시지를 표시합니다.
Install-ADDSDomainController -Credential (Get-Credential CONTOSO\EnterpriseAdmin1) -CreateDNSDelegation -DomainName corp.contoso.com -SiteName Boston -InstallationMediaPath "c:\ADDS IFM" -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Windows PowerShell을 사용하여 준비된 RODC 설치 수행
ADD-ADDSReadOnlyDomainControllerAccount cmdlet을 사용하여 RODC 계정을 만듭니다.
예를 들어 이름이 RODC1인 RODC 계정을 만듭니다.
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName RODC1 -DomainName corp.contoso.com -SiteName Boston DelegatedAdministratoraccountName AdminUser
그런 다음 RODC1 계정에 연결할 서버에서 다음 명령을 실행합니다. 서버를 도메인에 가입할 수 없습니다. 먼저, AD DS 서버 역할 및 관리 도구를 설치합니다.
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
그런 다음 다음 명령을 실행하여 RODC를 만듭니다.
Install-ADDSDomainController -DomainName corp.contoso.com -SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString) -Credential (Get-Credential Corp\AdminUser) -UseExistingAccount
키를 눌러 Y를 눌러 확인하거나, 확인 프롬프트를 방지하기 위해 "confirm" 인수를 포함하세요.
서버 관리자를 사용하여 AD DS 설치
AD DS는 서버 관리자의 역할 추가 마법사를 사용하여 Windows Server에 설치할 수 있으며, 그 다음에는 Windows Server 2012부터 새로 시작되는 Active Directory Domain Services 구성 마법사가 있습니다. Active Directory 도메인 서비스 설치 마법사 (dcpromo.exe)는 Windows Server 2012부터 사용 되지 않습니다.
다음 섹션에서는 여러 서버에서 AD DS를 설치 및 관리하기 위해 서버 풀을 만드는 방법 및 마법사를 사용하여 AD DS를 설치하는 방법에 대해 설명합니다.
서버 풀 만들기
서버 관리자는 서버 관리자를 실행하는 컴퓨터에서 액세스할 수 있는 한 네트워크의 다른 서버를 풀링할 수 있습니다. 풀링하고 나면 서버 관리자 내 사용 가능한 다른 구성 옵션이나 AD DS의 원격 설치를 위해 이 서버를 선택할 수 있습니다. 서버 관리자를 실행하는 컴퓨터는 스스로 자동으로 풀링됩니다. 서버 풀에 대 한 자세한 내용은 참조 서버 관리자에 서버 추가합니다.
참고
작업 그룹 서버에서 서버 관리자를 사용하여 도메인 가입 컴퓨터를 관리하거나 그 반대로 하려면 추가 구성 단계가 필요합니다. 자세한 내용은 '작업 그룹에서 서버 추가 및 관리'에 대해 서버 관리자에 서버 추가를 참조하십시오.
AD DS 설치
다음 절차에 따라 GUI 방법을 사용하여 AD DS를 설치합니다. 이 단계는 로컬로 또는 원격으로 수행할 수 있습니다.
서버 관리자를 사용하여 AD DS 설치
서버 관리자에서 관리를 선택하고 역할 및 기능 추가 를 선택하여 역할 추가 마법사를 시작합니다.
시작하기 전에 페이지에서 다음을 선택합니다.
설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치를 선택한 후, 다음을 선택합니다.
대상 서버 선택 페이지에서 서버 풀에서 서버 선택을 선택하고, AD DS를 설치할 서버의 이름을 선택한 다음, 다음을 선택합니다.
원격 서버를 선택하려면 먼저 서버 풀을 만든 다음 원격 서버를 이 풀에 추가합니다. 서버 풀을 만드는 방법에 대 한 자세한 내용은 참조 서버 관리자에 서버 추가합니다.
서버 역할 선택 페이지에서 Active Directory Domain Services를 선택한 다음, 역할 및 기능 추가 마법사 대화 상자에서 기능 추가를 선택한 다음, 다음을 선택합니다.
기능 선택 페이지에서 설치할 추가 기능을 선택하고 다음을 선택합니다.
Active Directory Domain Services 페이지에서 정보를 검토하고 다음을 선택합니다.
설치 선택 확인 페이지에서 설치를 선택합니다.
결과 페이지에서 설치가 성공했는지 확인하고 이 서버를 도메인 컨트롤러로 승격을 선택하여 Active Directory Domain Services 구성 마법사를 시작합니다.
중요
이 시점에서 Active Directory Domain Services 구성 마법사를 시작하지 않고 역할 추가 마법사를 닫으면 서버 관리자에서 작업을 선택하여 다시 시작할 수 있습니다.
에 배포 구성 페이지에서 다음 옵션 중 하나를 선택 합니다.
기존 도메인에 추가 도메인 컨트롤러를 설치하는 경우 기존 도메인에 도메인 컨트롤러 추가를 선택하고 도메인 이름(예: emea.corp.contoso.com)을 입력하거나 [선택] 을 선택하여 도메인 및 자격 증명(예: Domain Admins 그룹의 구성원인 계정 지정)을 선택한 다음 다음을 선택합니다.
참고
도메인 이름 및 현재 사용자 자격 증명은 컴퓨터가 도메인에 가입되어 있고 로컬 설치를 수행하는 경우에만 기본적으로 제공됩니다. 원격 서버에 AD DS를 설치하는 경우 의도적으로 자격 증명을 지정해야 합니다. 현재 사용자 자격 증명으로 설치를 수행할 수 없는 경우 다른 자격 증명을 지정하려면 [변경] 을 선택합니다.
새 자식 도메인을 설치하는 경우 기존 포리스트에 새 도메인 추가를 선택하고, 도메인 유형을 선택하려면 자식 도메인을 선택하고, 부모 도메인 DNS 이름(예: corp.contoso.com)을 입력하거나 찾아보고, 새 자식 도메인의 상대 이름(예: emea)을 입력하고, 새 도메인을 만드는 데 사용할 자격 증명을 입력합니다. 그런 다음 , 다음을 선택합니다.
새 도메인 트리를 설치하는 경우 기존 포리스트에 새 도메인 추가를 선택하고, 도메인 유형을 선택하고, 트리 도메인을 선택하고, 루트 도메인의 이름(예: corp.contoso.com)을 입력하고, 새 도메인의 DNS 이름(예: fabrikam.com)을 입력하고, 새 도메인을 만드는 데 사용할 자격 증명을 입력한 다음, 다음을 선택합니다.
새 포리스트를 설치하는 경우 새 포리스트 추가 를 선택한 다음 루트 도메인의 이름(예: corp.contoso.com)을 입력합니다.
에 도메인 컨트롤러 옵션 페이지에서 다음 옵션 중 하나를 선택 합니다.
새 포리스트 또는 도메인을 만드는 경우 도메인 및 포리스트 기능 수준을 선택하고 DNS(도메인 이름 시스템) 서버를 선택하고 DSRM 암호를 지정한 다음 다음을 선택합니다.
기존 도메인에 도메인 컨트롤러를 추가하는 경우 필요에 따라 DNS(도메인 이름 시스템) 서버, GC(글로벌 카탈로그) 또는 RODC(읽기 전용 도메인 컨트롤러) 를 선택하고 사이트 이름을 선택하고 DSRM 암호를 입력한 다음 다음을 선택합니다.
이 페이지의 옵션들이 특정 조건에서 사용 가능하거나 불가능한 경우에 대한 자세한 정보는 도메인 컨트롤러 옵션을 참조하십시오.
DNS 서버를 설치하는 경우에만 표시되는 DNS 옵션 페이지에서 필요에 따라 DNS 위임 업데이트를 선택합니다. 이 옵션을 클릭한 경우 부모 DNS 영역에서 DNS 위임 레코드를 만들 권한이 있는 자격 증명을 제공합니다.
부모 영역을 호스트하는 DNS 서버에 연결할 수 없는 경우 DNS 위임 업데이트 옵션을 사용할 수 없습니다.
DNS 위임을 업데이트해야 하는지 여부에 대한 자세한 내용은 영역 위임 이해를 참조합니다. DNS 위임을 업데이트하려고 시도하다가 오류가 발생하면 DNS 옵션을 참조하세요.
RODC 옵션 페이지(RODC를 설치하는 경우에만 표시됨)에서 RODC를 관리할 그룹 또는 사용자의 이름을 지정하고 허용 또는 거부된 암호 복제 그룹에서 계정을 추가하거나 제거한 다음 다음을 선택합니다.
자세한 내용은 참조 암호 복제 정책합니다.
에 추가 옵션 페이지에서 다음 옵션 중 하나를 선택 합니다.
새 도메인을 만드는 경우 새 NetBIOS 이름을 입력하거나 도메인의 기본 NetBIOS 이름을 확인한 다음 다음을 선택합니다.
기존 도메인에 도메인 컨트롤러를 추가하는 경우 AD DS 설치 데이터를 복제할 도메인 컨트롤러를 선택합니다(또는 마법사에서 도메인 컨트롤러를 선택하도록 허용). 미디어에서 설치하는 경우 미디어 경로 유형에서 설치를 선택하고 설치 원본 파일의 경로를 확인한 다음 다음을 선택합니다.
IFM(미디어)에서 설치를 사용하여 도메인에 첫 번째 도메인 컨트롤러를 설치할 수 없습니다. IFM은 다른 운영 체제 버전에서 작동하지 않습니다. 즉, IFM을 사용하여 Windows Server를 실행하는 추가 도메인 컨트롤러를 설치하려면 Windows Server 도메인 컨트롤러에 백업 미디어를 만들어야 합니다. IFM에 대한 자세한 내용은 IFM을 사용하여 추가 도메인 컨트롤러 설치를 참조하세요.
경로 페이지에서 Active Directory 데이터베이스, 로그 파일 및 SYSVOL 폴더의 위치를 입력하고(또는 기본 위치 허용) 다음을 선택합니다.
중요
ReFS(복원 파일 시스템)로 포맷된 데이터 볼륨에 Active Directory 데이터베이스, 로그 파일 또는 SYSVOL 폴더를 저장하지 마세요.
준비 옵션 페이지에서 adprep을 실행하기에 충분한 자격 증명을 입력합니다.
[검토 옵션] 페이지에서 선택 항목을 확인하고, 설정을 Windows PowerShell 스크립트로 내보내려면 스크립트 보기를 선택한 다음, 다음을 선택합니다.
필수 구성 요소 확인 페이지에서 필수 구성 요소 유효성 검사가 완료되었는지 확인한 다음 설치를 선택합니다.
에 결과 페이지에서 서버를 도메인 컨트롤러로 제대로 구성 되었는지 확인 합니다. AD DS 설치를 완료하기 위해 서버가 자동으로 다시 시작됩니다.
그래픽 사용자 인터페이스를 사용하여 준비된 RODC 설치 수행
단계적 RODC 설치를 통해 두 개의 단계로 RODC를 만들 수 있습니다. 첫 번째 단계에서 Domain Admins 그룹의 구성원이 RODC 계정을 만듭니다. 두 번째 단계에서 서버가 RODC 계정에 연결됩니다. 두 번째 단계는 Domain Admins 그룹의 구성원이나 위임된 도메인 사용자나 그룹에서 완료할 수 있습니다.
Active Directory 관리 도구를 사용하여 RODC 계정 만들기
Active Directory 관리 센터나 Active Directory 사용자 및 컴퓨터를 사용하여 RODC 계정을 만들 수 있습니다.
시작을 선택하고 관리 도구를 선택한 다음 Active Directory 관리 센터를 선택합니다.
탐색 창(왼쪽 창)에서 도메인의 이름을 선택합니다.
관리 목록(가운데 창)에서 도메인 컨트롤러 OU를 선택합니다.
작업 창(오른쪽 창)에서 읽기 전용 도메인 컨트롤러 계정 사전 생성을 선택합니다.
-또는-
시작을 선택하고 관리 도구를 선택한 다음 Active Directory 사용자 및 컴퓨터를 선택합니다.
도메인 컨트롤러 OU(조직 구성 단위)를 마우스 오른쪽에 선택하거나 도메인 컨트롤러 OU를 선택한 다음 작업을 선택합니다.
읽기 전용 도메인 컨트롤러 계정 미리 만들기를 선택합니다.
Active Directory Domain Services 설치 마법사 시작 페이지에서 기본 PRP(암호 복제 정책)를 수정하려면 고급 모드 설치 사용을 선택하고 다음을 선택합니다.
네트워크 자격 증명 페이지의 설치를 수행하는 데 사용할 계정 자격 증명 지정에서 현재 로그온한 자격 증명을 선택하거나 대체 자격 증명을 선택한 다음 설정을 선택합니다. 에 Windows 보안 대화 상자에서 추가 도메인 컨트롤러를 설치할 수 있는 계정의 사용자 이름 및 암호를 제공 합니다. 추가 도메인 컨트롤러를 설치하려면 Enterprise Admins 그룹 또는 Domain Admins 그룹의 구성원이어야 합니다. 자격 증명 제공이 완료되면 다음을 선택합니다.
컴퓨터 이름을 지정 페이지에서 RODC가 될 서버의 컴퓨터 이름을 입력합니다.
사이트 선택 페이지에서 목록에서 사이트를 선택하거나 마법사를 실행 중인 컴퓨터의 IP 주소에 해당하는 도메인 컨트롤러를 사이트에 설치하는 옵션을 선택한 다음 다음을 선택합니다.
추가 도메인 컨트롤러 옵션 페이지에서 다음을 선택한 다음 다음을 선택합니다.
DNS 서버:는 도메인 컨트롤러를 도메인 이름 시스템 (DNS) 서버로 작동할 수 있도록이 옵션은 기본적으로 선택 합니다. 도메인 컨트롤러가 DNS 서버가 되지 않도록 하려면 이 옵션을 선택 취소합니다. 그러나 RODC에 DNS 서버 역할을 설치하지 않고 RODC가 지점의 유일한 도메인 컨트롤러인 경우 허브 사이트에 대한 WAN(광역 네트워크)이 오프라인 상태일 때 지점의 사용자는 이름 확인을 수행할 수 없습니다.
글로벌 카탈로그: 기본적으로이 옵션을 선택 합니다. 글로벌 카탈로그, 읽기 전용 디렉터리 파티션을 도메인 컨트롤러에 추가하고 글로벌 카탈로그 검색 기능을 사용하도록 설정합니다. 도메인 컨트롤러가 글로벌 카탈로그 서버가 되지 않도록 하려면 이 옵션을 선택 취소합니다. 그러나 지점의 글로벌 카탈로그 서버를 설치하지 않거나 RODC를 포함하는 사이트에 대해 유니버설 그룹 멤버 자격 캐싱을 사용하도록 설정하지 않으면 허브 사이트에 대한 WAN이 오프라인 상태일 때 지점의 사용자가 도메인에 로그온할 수 없습니다.
읽기 전용 도메인 컨트롤러합니다. RODC 계정을 만들 때 이 옵션은 기본적으로 선택되며 지울 수 없습니다.
시작 페이지에서 고급 모드 설치 사용 확인란을 선택한 경우, 암호 복제 정책 지정 페이지가 나타납니다. 기본적으로 계정 암호는 RODC로 복제되지 않으며 보안 관련 계정(예: Domain Admins 그룹 구성원)의 암호는 RODC로 명시적으로 복제될 수 없습니다.
정책에 다른 계정을 추가하려면 추가를 선택한 다음 , 계정에 대한 암호가 이 RODC에 복제되도록 허용 을 선택하거나, 이 RODC에 복제하는 계정의 암호 거부 를 선택한 다음, 계정을 선택합니다.
완료되면(또는 기본 설정을 적용하려면) 다음을 선택합니다.
RODC 설치 및 관리 위임 페이지에서 만들려는 RODC 계정에 서버를 연결할 사용자 또는 그룹의 이름을 입력합니다. 보안 주체의 이름은 하나만 입력할 수 있습니다.
디렉터리에서 특정 사용자 또는 그룹을 검색하려면 [설정]을 선택합니다. 사용자 또는 그룹 선택, 그룹 또는 사용자의 이름을 입력 합니다. RODC 설치 및 관리를 그룹에 위임하는 것이 좋습니다.
또한 이 사용자나 그룹은 설치 후에 RODC에 대해 로컬 관리 권한을 갖습니다. 사용자 또는 그룹을 지정하지 않으면 Domain Admins 그룹 또는 Enterprise Admins 그룹의 구성원만 서버에 계정을 연결할 수 있습니다.
완료되면 다음을 선택합니다.
에 요약 페이지에서 선택 항목을 검토 합니다. 필요한 경우 [뒤로 ]를 선택하여 선택 항목을 변경합니다.
선택한 설정을 후속 AD DS 작업을 자동화하는 데 사용할 수 있는 응답 파일에 저장하려면 설정 내보내기를 선택합니다. 응답 파일의 이름을 입력한 다음 저장을 선택합니다.
선택 항목이 정확하다는 것을 확신하는 경우 다음 을 선택하여 RODC 계정을 만듭니다.
Active Directory Domain Services 설치 마법사 완료 페이지에서 마침을 선택합니다.
RODC 계정을 만들었으면 서버를 계정에 연결하여 RODC 설치 작업을 완료할 수 있습니다. 이 두 번째 단계는 RODC가 배치될 지점에서 완료할 수 있습니다. 이 절차를 수행하는 서버는 도메인에 가입할 수 없습니다. 서버 관리자의 역할 추가 마법사를 사용하여 RODC 계정에 서버를 연결합니다.
서버 관리자를 사용하여 RODC 계정에 서버 연결
로컬 관리자로 로그온합니다.
서버 관리자에서 역할 및 기능 추가를 선택합니다.
시작하기 전에 페이지에서 다음을 선택합니다.
설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치를 선택한 후, 다음을 선택합니다.
대상 서버 선택 페이지에서 서버 풀에서 서버 선택을 선택하고, AD DS를 설치할 서버의 이름을 선택한 다음, 다음을 선택합니다.
서버 역할 선택 페이지에서 Active Directory Domain Services를 선택하고 기능 추가를 선택한 다음, 다음을 선택합니다.
기능 선택 페이지에서 설치할 추가 기능을 선택하고 다음을 선택합니다.
Active Directory Domain Services 페이지에서 정보를 검토하고 다음을 선택합니다.
설치 선택 확인 페이지에서 설치를 선택합니다.
결과 페이지에서 설치가 성공했는지 확인하고 이 서버를 도메인 컨트롤러로 승격을 선택하여 Active Directory Domain Services 구성 마법사를 시작합니다.
중요
이 시점에서 Active Directory Domain Services 구성 마법사를 시작하지 않고 역할 추가 마법사를 닫으면 서버 관리자에서 작업을 선택하여 다시 시작할 수 있습니다.
배포 구성 페이지에서 기존 도메인에 도메인 컨트롤러 추가를 선택하고 도메인 이름(예: emea.contoso.com) 및 자격 증명(예: RODC를 관리하고 설치하도록 위임된 계정 지정)을 입력한 다음 다음을 선택합니다.
도메인 컨트롤러 옵션 페이지에서 기존 RODC 계정 사용을 선택하고, 디렉터리 서비스 복원 모드 암호를 입력하고 확인한 다음, 다음을 선택합니다.
추가 옵션 페이지에서 미디어에서 설치하는 경우 미디어 경로 유형에서 설치를 선택하고 설치 원본 파일의 경로를 확인하고, AD DS 설치 데이터를 복제할 도메인 컨트롤러를 선택한 다음(또는 마법사에서 도메인 컨트롤러를 선택하도록 허용) 다음을 선택합니다.
경로 페이지에서 Active Directory 데이터베이스, 로그 파일 및 SYSVOL 폴더의 위치를 입력하거나 기본 위치를 수락한 다음 다음을 선택합니다.
[검토 옵션] 페이지에서 선택 항목을 확인하고, [스크립트 보기]를 선택하여 설정을 Windows PowerShell 스크립트로 내보낸 다음, 다음을 선택합니다.
필수 구성 요소 확인 페이지에서 필수 구성 요소 유효성 검사가 완료되었는지 확인한 다음 설치를 선택합니다.
AD DS 설치를 완료하기 위해 서버가 자동으로 다시 시작됩니다.