Ntdsutil.exe로 FSMO 역할 뺏어오기

.

이 문서는 MS의 기술문서에서 발췌한 것임을 밝힙니다.
MS문서 원본 보기

MS의 active directory는 관리하기 쉬운듯하면서도.. 매우 난해한 특성을 가지고 있습니다. 복잡한 구조를 가지고있는데.. AD상에서 간혹 FSMO역할때문에 때로 에러를 만나기도합니다… 이럴때 꼭 필요한 지식이랍니다. ^^

다중 마스터 업데이트에 적합하지 않은 특정 도메인 및 엔터프라이즈 범위의 작업은 Active Directory 도메인이나 포리스트의 단일 도메인 컨트롤러에 의해 수행됩니다. 이러한 고유 작업을 수행하도록 할당된 도메인 컨트롤러를 작업 마스터 또는 FSMO 역할 홀더라고 합니다.

다섯 가지 고유 FSMO 역할과 각각의 역할이 수행하는 종속작업
• 스키마 마스터 – 스키마 마스터 역할은 포리스트 전체에 해당하며 각 포리스트마다 하나의 역할이 있습니다. 이 역할은Active Directory 포리스트의 스키마를 확장하거나 adprep /forestprep 명령을 실행하는 데 필요합니다.
• 도메인 명명 마스터 – 도메인 명명 마스터 역할은 포리스트 전체에 해당하며 각 포리스트마다 하나의 역할이 있습니다. 이 역할은 포리스트에서 도메인 또는 응용 프로그램 파티션을 추가하거나 제거하는 데 필요합니다.
• RID 마스터 – RID 마스터 역할은 도메인 전체에 해당하며 각 도메인마다 하나의 역할이 있습니다. 이 역할은 RID 풀을 할당하여 새 도메인 컨트롤러나 기존 도메인 컨트롤러에서 사용자 계정, 컴퓨터 계정 또는 보안 그룹을 만들 수 있도록 하는 데 필요합니다.
• PDC 에뮬레이터 – PDC 에뮬레이터 역할은 도메인 전체에 해당하며 각 도메인마다 하나의 역할이 있습니다. 이 역할은 Windows NT 백업 도메인 컨트롤러에 데이터베이스 업데이트를 보내는 도메인 컨트롤러에 필요합니다. 이 역할을 소유한 도메인 컨트롤러는 특정 관리 도구의 대상이며 사용자 계정과 컴퓨터 계정 암호에 대한 업데이트의 대상이기도 합니다.
• 인프라 마스터 – 인프라 마스터 역할은 도메인 전체에 해당하며 각 도메인마다 하나의 역할이 있습니다. 이 역할은 도메인 컨트롤러가 adprep /forestprep 명령을 성공적으로 실행하고 도메인 간에 참조되는 개체의 SID 특성 및 고유 이름 특성을 업데이트하는 데 필요합니다.

Active Directory 설치 마법사(Dcpromo.exe)는 다섯 가지 FSMO 역할을 모두 포리스트 루트 도메인의 첫 번째 도메인 컨트롤러에 할당합니다. 각각의 새로운 자식 도메인이나 트리 도메인의 첫 번째 도메인 컨트롤러에는 도메인 전체의 세 가지 역할이 할당됩니다. 도메인 컨트롤러는 다음 방법 중 하나를 통해 역할이 다시 할당될 때까지 FSMO 역할을 소유합니다.
• 관리자가 GUI 관리 도구를 사용하여 역할을 다시 할당합니다.
• 관리자가 ntdsutil /roles 명령을 사용하여 역할을 다시 할당합니다.
• 관리자가 Active Directory 설치 마법사를 사용하여 역할을 소유한 도메인 컨트롤러의 수준을 적절히 내립니다. 이 마법사는 로컬로 유지되는 역할을 포리스트의 기존 도메인 컨트롤러에 다시 할당합니다. dcpromo /forceremoval 명령을 사용하여 수준을 내리는 경우 관리자가 다시 할당할 때까지 FSMO 역할은 올바르지 않은 상태로 유지됩니다.

FSMO 역할을 전송하는 것이 좋은 경우
• 현재 역할 홀더가 작동 중이며 새로운 FSMO 소유자에 의해 네트워크에서 액세스될 수 있는 경우
• Active Directory 포리스트의 특정 도메인 컨트롤러에 할당하려는 FSMO 역할을 현재 소유한 도메인 컨트롤러의 수준을 적절히 내리는 경우
• 현재 FSMO 역할을 소유한 도메인 컨트롤러가 예약된 유지 관리를 위해 오프라인 상태로 되고 특정 FSMO 역할을 “활성” 도메인 컨트롤러에 할당해야 하는 경우. 이 경우 FSMO 소유자를 연결하는 작업을 수행해야 할 수 있습니다. 이는 특히 PDC 에뮬레이터 역할에 해당하는 경우가 많으며 RID 마스터 역할, 도메인 명명 마스터 역할 및 스키마 마스터 역할에는 해당하는 경우가 적습니다.

FSMO 역할을 점유해야하는 경우
• 현재 역할 홀더에서 작동 오류가 발생하여 FSMO 종속 작업이 성공적으로 완료되지 못하고 해당 역할을 전송할 수 없는 경우
• dcpromo /forceremoval 명령을 사용하여 FSMO 역할을 소유한 도메인 컨트롤러의 수준을 강제로 내린 경우
• 특정 역할을 원래 소유한 컴퓨터의 운영 체제가 더 이상 존재하지 않거나 다시 설치된 경우

복제가 발생하여 도메인 또는 포리스트의 FSMO가 아닌 도메인 컨트롤러가 FSMO를 소유한 도메인 컨트롤러에 의해 변경된 내용을 완전히 인식하는 경우 역할을 전송해야 하는 경우에는 기존 역할 홀더에서 “FSMO 파티션”의 쓰기 가능한 복사본을 마지막으로 인바운드 복제했거나 최근에 인바운드 복제한 적절한 도메인에 있는 도메인 컨트롤러가 가장 적합합니다.
예를 들어 스키마 마스터 역할 홀더는 CN=schema,CN=configuration,dc= 형식의 고유 이름 경로를 가지고 있으며 이는 해당 역할이 CN=schema 파티션에 존재하고 CN=schema 파티션의 일부로 복제됨을 의미합니다. 스키마 마스터 역할을 소유한 도메인 컨트롤러에서 하드웨어 오류나 소프트웨어 오류가 발생하는 경우 루트 도메인 및 현재 소유자와 동일한 Active Directory 사이트에 있는 도메인 컨트롤러에 역할을 전송하는 것이 가장 좋습니다. 동일한 Active Directory 사이트에 있는 도메인 컨트롤러는 5분 또는 15초마다 인바운드 복제를 수행합니다.

다음 목록에서는 각 FSMO 역할의 파티션을 보여 줍니다.
FSMO 역할 파티션
스키마 CN=Schema,CN=configuration,DC=
도메인 명명 마스터 CN=configuration,DC=
PDC DC=
RID DC=
인프라 DC=

FSMO 역할이 점유된 도메인 컨트롤러가 포리스트의 기존 도메인 컨트롤러와 통신하도록 허용해서는 안 됩니다. 그러한 경우 해당 도메인 컨트롤러에서 하드 디스크를 포맷하고 운영 체제를 다시 설치하거나 개인 네트워크에서 해당 도메인 컨트롤러의 수준을 강제로 내리고 ntdsutil /metadata cleanup 명령을 사용하여 포리스트의 남아 있는 도메인 컨트롤러에 대한 메타데이터를 제거해야 합니다. 역할이 점유된 이전 FSMO 역할 홀더를 포리스트로 가져올 경우 원래 역할 홀더가 역할 점유 사실을 인바운드 복제할 때까지 이전과 동일하게 작동하는 문제가 발생할 수 있습니다. 두 도메인 컨트롤러가 동일한 FSMO 역할을 소유하는 경우 발생할 수 있는 또 다른 알려진 문제로는 RID 풀이 중복된 보안 사용자가 생성되는 것 외에도 여러 가지가 있습니다.

Ntdsutil 유틸리티를 사용하여 FSMO 역할 전송
1. FSMO 역할을 할당하려는 도메인 컨트롤러에 로그온하는 것이 좋습니다. 로그온 사용자는 스키마 마스터 역할 또는 도메인 명명 마스터 역할을 전송할 경우 Enterprise Administrators 그룹의 구성원이어야 하고 PDC 에뮬레이터, RID 마스터 및 인프라 마스터 역할을 전송할 경우 해당 역할이 있는 도메인의 Domain Administrators 그룹 구성원이어야 합니다.
2. 시작, 실행을 차례로 누르고 열기 입력란에 ntdsutil을 입력한 다음 확인을 누릅니다.
3. roles를 입력한 다음 Enter 키를 누릅니다.
참고 Ntdsutil 유틸리티의 프롬프트에서 사용 가능한 명령 목록을 보려면 ?를 입력하고 Enter 키를 누르십시오.
4. connections를 입력한 다음 Enter 키를 누릅니다.
5. connect to server servername을 입력한 다음 Enter 키를 누릅니다. 여기서 servername은 FSMO 역할을 할당할 도메인 컨트롤러의 이름입니다.
6. server connections 프롬프트에서 q를 입력한 다음 Enter 키를 누릅니다.
7. transfer role을 입력합니다. 여기서 role은 전송할 역할입니다. 전송할 수 있는 역할의 목록을 보려면 fsmo maintenance 프롬프트에서 ?를 입력하고 Enter 키를 누르거나 이 문서의 처음 부분에 있는 역할 목록을 참조합니다. 예를 들어 RID 마스터 역할을 전송하려면 transfer rid master를 입력합니다. 예외적으로 PDC 에뮬레이터 역할의 경우 구문을 transfer pdc emulator가 아니라 transfer pdc로 입력해야 합니다.
8. fsmo maintenance 프롬프트에서 q를 입력한 다음 Enter 키를 눌러 ntdsutil 프롬프트에 액세스합니다. q를 입력한 다음 Enter 키를 눌러 Ntdsutil 유틸리티를 종료합니다.

• Windows 2000 버전 또는 Windows Server 2003 빌드 3790 버전의 ntdsutil /metadata cleanup 명령을 사용하여 도메인 컨트롤러 메타데이터를 제거하더라도 활성 도메인 컨트롤러에 할당된 FSMO 역할은 다시 할당되지 않습니다. Windows Server 2003 서비스 팩 1(SP1) 버전의 Ntdsutil 유틸리티는 이 작업을 자동으로 수행하며 도메인 컨트롤러 메타데이터의 추가 요소를 제거합니다.
• 백업을 수행한 후 역할이 다시 할당되지 않은 경우를 대비하여 FSMO 역할 홀더의 시스템 상태 백업을 복원하지 않으려는 사용자도 있습니다.
• 글로벌 카탈로그 서버와 동일한 도메인 컨트롤러에 인프라 마스터 역할을 할당하지 마십시오. 인프라 마스터는 보유하지 않는 개체에 대한 참조를 포함하지 않으므로 글로벌 카탈로그 서버에서 실행되는 경우 개체 정보 업데이트를 중지합니다. 그 이유는 글로벌 카탈로그 서버가 포리스트에서 모든 개체의 부분 복제를 보유하기 때문입니다.

도메인 컨트롤러가 글로벌 카탈로그 서버인지 테스트 하기
1. 시작을 누르고 모든 프로그램, 관리 도구를 차례로 가리킨 다음 Active Directory 사이트 및 서비스를 누릅니다.
2. 왼쪽 창에서 Sites를 두 번 누르고 해당 사이트를 찾거나 다른 사이트를 사용할 수 없는 경우 Default-First-Site-Name을 누릅니다.
3. Servers 폴더를 열고 도메인 컨트롤러를 누릅니다.
4. 도메인 컨트롤러의 폴더에서 NTDS Settings를 두 번 누릅니다.
5. 동작 메뉴에서 속성을 누릅니다.
6. 일반 탭에서 글로벌 카탈로그 확인란이 선택되어 있는지 확인합니다.

One thought on “Ntdsutil.exe로 FSMO 역할 뺏어오기

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.