작업 마스터 역할 배치 계획
AD DS(Active Directory Domain Services)는 디렉터리 데이터의 다중 마스터 복제를 지원합니다. 즉, 모든 도메인 컨트롤러가 디렉터리 변경 내용을 수락하고 변경 내용을 다른 모든 도메인 컨트롤러에 복제할 수 있습니다. 그러나 스키마 수정 등의 특정 변경 내용은 멀티마스터 방식으로 수행하는 것이 실용적이지 않습니다. 이러한 이유로 작업 마스터라고 하는 특정 도메인 컨트롤러는 특정 변경에 대한 요청을 수락하는 역할을 보유합니다.
참고 항목
작업 마스터 역할 보유자는 Active Directory 데이터베이스에 일부 정보를 쓸 수 있어야 합니다. RODC(읽기 전용 도메인 컨트롤러)에서 Active Directory 데이터베이스의 읽기 전용 특성으로 인해 RODC는 작업 마스터 역할 보유자 역할을 할 수 없습니다.
각 도메인에는 세 가지 작업 마스터 역할(Flexible Single Master Operations, 또는 FSMO)이 있습니다.
PDC(주 도메인 컨트롤러) 에뮬레이터 작업 마스터는 모든 암호 업데이트를 처리합니다.
RID(상대 ID) 작업 마스터는 도메인에 대한 전역 RID 풀을 유지 관리하고 모든 도메인 컨트롤러에 로컬 RID 풀을 할당하여 도메인에서 만든 모든 보안 주체에 고유 식별자가 있는지 확인합니다.
지정된 도메인에 대한 인프라 작업 마스터는 도메인 내 그룹의 구성원인 다른 도메인의 보안 주체 목록을 유지 관리합니다.
세 가지 도메인 수준의 작업 마스터 역할 외에도 각 포리스트에 두 개의 작업 마스터 역할이 있습니다.
- 스키마 작업 마스터는 스키마의 변경 내용을 제어합니다.
- 도메인 명명 작업 마스터는 포리스트에 도메인 및 기타 디렉터리 파티션(예: DNS(Domain Name System) 애플리케이션 파티션)을 추가 및 제거합니다.
이러한 작업 마스터 역할을 호스팅하는 도메인 컨트롤러를 네트워크 안정성이 높은 영역에 배치하고 PDC 에뮬레이터와 RID 마스터를 일관되게 사용할 수 있는지 확인합니다.
작업 마스터 역할 보유자는 지정된 도메인의 첫 번째 도메인 컨트롤러를 만들 때 자동으로 할당됩니다. 두 포리스트 수준의 역할(스키마 마스터 및 도메인 명명 마스터)은 포리스트에서 만든 첫 번째 도메인 컨트롤러에 할당됩니다. 또한 세 가지 도메인 수준 역할(RID 마스터, 인프라 마스터 및 PDC 에뮬레이터)은 도메인에서 만든 첫 번째 도메인 컨트롤러에 할당됩니다.
참고 항목
자동 작업 마스터 역할 소유자 할당은 새 도메인이 만들어지고 현재 역할 보유자가 강등될 때만 수행됩니다. 역할 소유자에 대한 다른 모든 변경 내용은 관리자가 시작해야 합니다.
이러한 자동 작업 마스터 역할 할당은 포리스트 또는 도메인에서 만든 첫 번째 도메인 컨트롤러에서 매우 높은 CPU 사용량을 유발할 수 있습니다. 이를 방지하려면 포리스트 또는 도메인의 다양한 도메인 컨트롤러에 작업 마스터 역할을 할당(전송)합니다. 네트워크를 신뢰할 수 있으며, 포리스트의 다른 모든 도메인 컨트롤러에서 작업 마스터에 액세스할 수 있는 영역에 작업 마스터 역할을 호스트하는 도메인 컨트롤러를 배치합니다.
또한 모든 작업 마스터 역할에 대해 대기(대체) 작업 마스터를 지정해야 합니다. 대기 작업 마스터는 원래 역할 보유자가 실패할 경우 작업 마스터 역할을 전송할 수 있는 도메인 컨트롤러입니다. 대기 작업 마스터가 실제 작업 마스터의 직접 복제 파트너인지 확인합니다.
PDC 에뮬레이터 배치 계획
PDC 에뮬레이터는 클라이언트 암호 변경 내용을 처리합니다. 하나의 도메인 컨트롤러만 포리스트의 각 도메인에서 PDC 에뮬레이터 역할을 합니다.
모든 도메인 컨트롤러가 Windows 2000, Windows Server 2003 및 Windows Server 2008로 업그레이드되고 도메인이 Windows 2000 네이티브 기능 수준에서 작동하더라도 PDC 에뮬레이터는 도메인의 다른 도메인 컨트롤러에서 수행하는 암호 변경 내용의 우선 복제를 받습니다. 암호가 최근에 변경된 경우 해당 변경 내용은 도메인의 모든 도메인 컨트롤러에 복제하는 데 시간이 걸립니다. 잘못된 암호로 인해 다른 도메인 컨트롤러에서 로그온 인증이 실패하는 경우 해당 도메인 컨트롤러는 로그온 시도 수락 또는 거부 여부를 결정하기 전에 PDC 에뮬레이터에 인증 요청을 전달합니다.
필요한 경우 암호 전달 작업을 위해 해당 도메인의 많은 사용자가 포함된 위치에 PDC 에뮬레이터를 배치합니다. 또한 복제 대기 시간을 최소화하기 위해 해당 위치가 다른 위치에 잘 연결되어 있는지 확인합니다.
PDC 에뮬레이터를 배치하려는 위치와 각 위치에 표시되는 각 도메인의 사용자 수에 대한 정보를 문서화하는 데 도움이 되는 워크시트는 Windows Server 2003 배포 키트용 작업 보조 기능에서 , Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip를 다운로드하여 DSSTOPO_4.doc(도메인 컨트롤러 배치)를 참조하세요.
지역 도메인을 배포할 때 PDC 에뮬레이터를 배치해야 하는 위치에 대한 정보를 참조해야 합니다. 지역 도메인 배포 하는 방법에 대 한 자세한 내용은 참조 배포 Windows Server 2008 지역 도메인합니다.
인프라 마스터 배치에 대한 요구 사항
인프라 마스터는 자체 도메인의 그룹에 추가되는 다른 도메인의 보안 주체 이름을 업데이트합니다. 예를 들어 한 도메인의 사용자가 두 번째 도메인에 있는 그룹의 구성원이고 사용자의 이름이 첫 번째 도메인에서 변경된 경우 두 번째 도메인은 그룹의 멤버 자격 목록에서 사용자의 이름을 업데이트해야 한다는 알림을 받습니다. 한 도메인의 도메인 컨트롤러는 보안 주체를 다른 도메인의 도메인 컨트롤러에 복제하지 않으므로 두 번째 도메인은 인프라 마스터가 없는 경우 변경 사항을 인식하지 않습니다.
인프라 마스터는 그룹 멤버 자격을 지속적으로 모니터링하여 다른 도메인의 보안 주체를 찾습니다. 이 도메인을 찾으면 보안 주체의 도메인을 확인하여 정보가 업데이트되었는지 확인합니다. 정보가 만료된 경우 인프라 마스터는 업데이트를 수행한 다음 해당 도메인의 다른 도메인 컨트롤러에 변경 내용을 복제합니다.
이 규칙에는 두 가지 예외가 적용됩니다. 첫째, 모든 도메인 컨트롤러가 글로벌 카탈로그 서버인 경우 인프라 마스터 역할을 호스트하는 도메인 컨트롤러는 해당 도메인이 속한 도메인에 관계없이 업데이트된 정보를 복제하기 때문에 중요하지 않습니다. 둘째, 포리스트에 도메인이 하나만 있는 경우 인프라 마스터 역할을 호스트하는 도메인 컨트롤러는 다른 도메인의 보안 주체가 없기 때문에 중요하지 않습니다.
전역 카탈로그 서버이기도 한 도메인 컨트롤러에 인프라 마스터를 배치하지 마세요. 인프라 마스터 및 글로벌 카탈로그가 동일한 도메인 컨트롤러에 있는 경우 인프라 마스터가 작동하지 않습니다. 인프라 마스터는 오래된 데이터를 찾을 수 없습니다. 따라서 도메인의 다른 도메인 컨트롤러에 변경 내용을 복제하지 않습니다.
연결이 제한된 네트워크에 대한 운영 마스터 배치
사용자 환경에 작업 마스터 역할 소유자를 배치할 수 있는 중앙 위치 또는 허브 사이트가 있는 경우 해당 작업 마스터 역할 소유자의 가용성에 따라 달라지는 특정 도메인 컨트롤러 작업이 영향을 받을 수 있습니다.
예를 들어 조직에서 사이트 A, B, C 및 D를 만든다고 가정합니다. 사이트 링크는 A와 B 사이에, B와 C 사이에, 그리고 C와 D 사이에 존재합니다. 네트워크 연결은 사이트 링크의 네트워크 연결을 정확하게 반영합니다. 이 예제에서는 모든 작업 마스터 역할이 사이트 A에 배치되며, 모든 사이트 링크를 브리지하는 옵션은 선택되지 않습니다.
이 구성으로 인해 모든 사이트 간에 성공적으로 복제되지만 작업 마스터 역할 함수에는 다음과 같은 제한 사항이 있습니다.
- 사이트 C 및 D의 도메인 컨트롤러는 A 사이트의 PDC 에뮬레이터에 액세스하여 암호를 업데이트하거나 최근에 업데이트된 암호를 확인할 수 없습니다.
- 사이트 C 및 D의 도메인 컨트롤러는 Active Directory 설치 후 초기 RID 풀을 가져오고 고갈될 때 RID 풀을 새로 고치기 위해 사이트 A의 RID 마스터에 액세스할 수 없습니다.
- 사이트 C 및 D의 도메인 컨트롤러는 디렉터리, DNS 또는 사용자 지정 애플리케이션 파티션을 추가하거나 제거할 수 없습니다.
- 사이트 C 및 D의 도메인 컨트롤러는 스키마를 변경할 수 없습니다.
작업 마스터 역할 배치를 계획하는 데 도움이 되는 워크시트는 Windows Server 2003 배포 키트용 작ㅇ버 보조 기능에서 Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip를 다운로드하여 DSSTOPO_4.doc(도메인 컨트롤러 배치)를 참조하세요.
포리스트 루트 도메인 및 지역 도메인을 만들 때 이 정보를 참조해야 합니다. 포리스트 루트 도메인 배포에 대한 자세한 내용은, Windows Server 2008 포리스트 루트 도메인 배포를 참조하세요. 지역 도메인 배포 하는 방법에 대 한 자세한 내용은 참조 배포 Windows Server 2008 지역 도메인합니다.
다음 단계
FSMO 역할 배치에 대한 추가 정보는 Active Directory 도메인 컨트롤러의 FSMO 배치 및 최적화 지원 항목에서 찾을 수 있습니다.