작업 마스터 역할 배치 계획

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

AD DS(Active Directory 도메인 Services)는 디렉터리 데이터의 멀티마스터 복제본(replica)tion을 지원합니다. 즉, 모든 할 일기본 컨트롤러는 디렉터리 변경 내용을 수락하고 다른 모든 복제본(replica) 변경 내용을 기본 컨트롤러에 적용할 수 있습니다. 그러나 스키마 수정과 같은 특정 변경 내용은 멀티마스터 방식으로 수행하는 것이 실용적이지 않습니다. 이러한 이유로 특정 do기본 컨트롤러(작업 마스터라고 함)는 특정 변경에 대한 요청을 수락하는 역할을 보유합니다.

참고 항목

작업 마스터 역할 보유자는 Active Directory 데이터베이스에 일부 정보를 쓸 수 있어야 합니다. RODC(읽기 전용 do기본 컨트롤러에서 Active Directory 데이터베이스의 읽기 전용 특성으로 인해 RODC는 작업 마스터 역할 보유자 역할을 할 수 없습니다.

각 작업에는 세 가지 작업 마스터 역할(유연한 단일 마스터 작업 또는 FSMO라고도 함)이 있습니다기본

• PDC(기본 do기본 컨트롤러) 에뮬레이터 작업 마스터는 모든 암호 업데이트를 처리합니다.

• RID(상대 ID) 작업 마스터는 기본 do에 대한 전역 RID 풀을 확보하고기본 할 일기본 컨트롤러에 로컬 RID 풀을 할당하여 do기본에서 만든 모든 보안 주체가 고유 식별자를 갖도록 합니다.

• 지정된 do에 대한 인프라 작업 마스터는 기본 기본 할 일 내의 그룹 구성원인 다른 do기본 보안 주체 목록을 포함합니다기본.

세 가지 do기본 수준 작업 마스터 역할 외에도 각 포리스트에 두 개의 작업 마스터 역할이 있습니다.

• 스키마 작업 마스터는 스키마의 변경 내용을 제어합니다.
• do기본 명명 작업 마스터는 포리스트에서 do기본 및 기타 디렉터리 파티션(예: DNS(이름 시스템) 애플리케이션 파티션기본)을 추가 및 제거합니다.

이러한 작업 마스터 역할을 호스팅하는 do기본 컨트롤러를 네트워크 안정성이 높은 영역에 배치하고 PDC 에뮬레이터와 RID 마스터를 일관되게 사용할 수 있는지 확인합니다.

작업 마스터 역할 보유자는 지정된 do기본에서 첫 번째 할 일기본 컨트롤러를 만들 때 자동으로 할당됩니다. 포리스트에서 만든 첫 번째 do기본 컨트롤러에는 두 개의 포리스트 수준 역할(스키마 마스터 및 do기본 명명 마스터)이 할당됩니다. 또한 세 가지 do기본 수준 역할(RID 마스터, 인프라 마스터 및 PDC 에뮬레이터)은 할 일기본 만든 첫 번째 do기본 컨트롤러에 할당됩니다.

참고 항목

자동 작업 마스터 역할 소유자 할당은 새 do기본 생성되고 현재 역할 보유자가 강등될 때만 수행됩니다. 역할 소유자에 대한 다른 모든 변경 내용은 관리자가 시작해야 합니다.

이러한 자동 작업 마스터 역할 할당은 포리스트 또는 do기본 만든 첫 번째 do기본 컨트롤러에서 매우 높은 CPU 사용량을 발생시킬 수 있습니다. 이 문제를 방지하려면 포리스트의 다양한 작업기본 컨트롤러에 작업 마스터 역할을 할당하거나 수행합니다기본. 네트워크가 신뢰할 수 있고 포리스트의 다른 모든 do기본 컨트롤러에서 작업 마스터에 액세스할 수 있는 영역에 작업 마스터 역할을 호스트하는 do기본 컨트롤러를 배치합니다.

또한 모든 작업 마스터 역할에 대해 대기(대체) 작업 마스터를 지정해야 합니다. 대기 작업 마스터는 원래 역할 보유자가 실패할 경우 작업 마스터 역할을 전송할 수 있는 기본 컨트롤러입니다. 대기 작업 마스터가 실제 작업 마스터의 직접 복제본(replica) 파트너인지 확인합니다.

PDC 에뮬레이터 배치 계획

PDC 에뮬레이터는 클라이언트 암호 변경 내용을 처리합니다. 하나만 수행기본 컨트롤러는 포리스트에서 각 do기본 PDC 에뮬레이터 역할을 합니다.

모든 do기본 컨트롤러가 Windows 2000, Windows Server 2003 및 Windows Server 2008로 업그레이드되고 do기본가 Windows 2000 기본 기능 수준에서 작동하더라도 PDC 에뮬레이터는 do기본의 다른 do기본 컨트롤러에서 수행하는 암호 변경의 우선 복제본(replica) 적용을 받습니다. 암호가 최근에 변경된 경우 해당 변경 내용은 do기본의 모든 할 일기본 컨트롤러에 복제본(replica) 시간이 걸립니다. 잘못된 암호로 인해 다른 do기본 컨트롤러에서 로그온 인증이 실패하는 경우기본 컨트롤러는 로그온 시도를 수락할지 아니면 거부할지 결정하기 전에 PDC 에뮬레이터에 인증 요청을 전달합니다.

필요한 경우 암호 전달 작업에 대해 기본 많은 사용자가 포함된 위치에 PDC 에뮬레이터를 배치합니다. 또한 위치가 다른 위치에 잘 연결되어 있는지 확인하여 복제본(replica)tion 대기 시간을 최소화합니다.

PDC 에뮬레이터를 배치할 위치 및 각 위치에 표시되는 각 작업에 대한 사용자 수기본에 대한 정보를 문서화하는 데 도움이 되는 워크시트는 Windows Server 2003 배포 키트에 대한 작업 보조 기능, Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip 다운로드 및 do기본 컨트롤러 배치(DSSTOPO_4.doc)를 참조하세요.

지역별 작업을 배포할 때 PDC 에뮬레이터를 배치해야 하는 위치에 대한 정보를 참조해야 기본. 지역 도메인 배포 하는 방법에 대 한 자세한 내용은 참조 배포 Windows Server 2008 지역 도메인합니다.

인프라 마스터 배치에 대한 요구 사항

인프라 마스터는 자체 do기본 그룹에 추가되는 다른 do기본 보안 주체의 이름을 업데이트합니다. 예를 들어 기본 사용자가 두 번째 할 일에서 그룹의 구성원이고기본 첫 번째 do기본 사용자 이름이 변경되면 두 번째 do기본 그룹의 멤버 자격 목록에서 사용자의 이름을 업데이트해야 한다는 알림이 표시됩니다. 하나는 할 기본 컨트롤러기본 할 보안 주체를 복제본(replica)하지 않기 때문에기본 다른 할 일기본 컨트롤러, 두 번째 할기본 인프라 마스터가 없는 경우 변경 사항을 인식하지 않습니다.

인프라 마스터는 그룹 멤버 자격을 지속적으로 모니터링하여 다른 do기본 보안 주체를 찾습니다. 이를 찾으면 보안 주체의 작업기본 검사 정보가 업데이트되었는지 확인합니다. 정보가 최신이 아닌 경우 인프라 마스터는 업데이트를 수행한 다음 다른 do기본 컨트롤러에 대한 변경 내용을 복제본(replica)기본.

이 규칙에는 두 가지 예외가 적용됩니다. 첫째, 모든 기본 컨트롤러가 글로벌 카탈로그 서버인 경우 인프라 마스터 역할을 호스트하는 do기본 컨트롤러는 글로벌 카탈로그가 속한 할 일기본 관계없이 업데이트된 정보를 복제본(replica)하기 때문에 중요하지 않습니다. 둘째, 포리스트에 do기본 하나만 있는 경우 인프라 마스터 역할을 호스트하는 do기본 컨트롤러는 다른 기본 보안 주체가 존재하지 않기 때문에 중요하지 않습니다.

전역 카탈로그 서버이기도 한 do기본 컨트롤러에 인프라 마스터를 배치하지 마세요. 인프라 마스터 및 글로벌 카탈로그가 동일한 do기본 컨트롤러에 있는 경우 인프라 마스터가 작동하지 않습니다. 인프라 마스터는 오래된 데이터를 찾을 수 없습니다. 따라서 do기본 다른 do기본 컨트롤러에 대한 변경 내용은 복제본(replica) 않습니다.

연결이 제한된 네트워크에 대한 운영 마스터 배치

환경에 작업 마스터 역할 소유자를 배치할 수 있는 중앙 위치 또는 허브 사이트가 있는 경우 해당 작업 마스터 역할 소유자의 가용성에 따라 달라지는 특정 기본 컨트롤러 작업이 영향을 받을 수 있습니다.

예를 들어 조직에서 사이트 A, B, C 및 D를 만든다고 가정합니다. 사이트 링크는 A와 B 사이, B와 C 사이, C와 D 사이에 존재합니다. 네트워크 연결은 사이트 링크의 네트워크 연결을 정확히 미러. 이 예제에서는 모든 작업 마스터 역할이 사이트 A에 배치되고 모든 사이트 링크를 브리지하는 옵션이 선택되지 않습니다.

이 구성은 모든 사이트 간의 성공적인 복제본(replica) 발생하지만 작업 마스터 역할 함수에는 다음과 같은 제한 사항이 있습니다.

• 기본 사이트 C 및 D의 컨트롤러는 사이트 A의 PDC 에뮬레이터에 액세스하여 암호를 업데이트하거나 최근에 업데이트된 암호를 검사 수 없습니다.
• 기본 사이트 C 및 D의 컨트롤러는 사이트 A의 RID 마스터에 액세스하여 Active Directory 설치 후 초기 RID 풀을 가져오고 고갈될 때 RID 풀을 새로 고칠 수 없습니다.
• 사이트 C 및 D의 컨트롤러를 기본 디렉터리, DNS 또는 사용자 지정 애플리케이션 파티션을 추가하거나 제거할 수 없습니다.
• 사이트 C 및 D의 컨트롤러를 기본 스키마를 변경할 수 없습니다.

작업 마스터 역할 배치를 계획하는 데 도움이 되는 워크시트는 Windows Server 2003 배포 키트에 대한 작업 보조 기능, Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip 다운로드, do기본 컨트롤러 배치(DSSTOPO_4.doc) 열기를 참조하세요.

포리스트 루트 do기본 및 지역 do기본 만들 때 이 정보를 참조해야 합니다. 포리스트 루트 do기본 배포에 대한 자세한 내용은 Windows Server 2008 포리스트 루트 배포를 참조하세요기본. 지역 도메인 배포 하는 방법에 대 한 자세한 내용은 참조 배포 Windows Server 2008 지역 도메인합니다.

다음 단계

FSMO 역할 배치에 대한 추가 정보는 Active Directory do기본 컨트롤러의 지원 항목 FSMO 배치 및 최적화에서 찾을 수 있습니다.