Active Directory 작업 마스터의 역활

Active Directory 작업 마스터의 역활

1 작업 마스터 역할

Active Directory는 한 도메인 내의 모든 도메인 컨트롤러가 본질적으로 피어가 되도록 도메인에 있는 모든 도메인 컨트롤러 간에 디렉터리 데이터 저장소의 멀티마스터 복제를 지원합니다. 하지만 어떤 변경 작업은 멀티마스터 복제 사용 시 수행하기에 부적절하므로 이러한 종류의 변경 작업 각각에 대해 작업 마스터라고 하는 도메인 컨트롤러 하나가 그러한 변경 작업에 대한 요청을 받아들입니다.

모든 포리스트에는 하나 이상의 도메인 컨트롤러에 할당되는 작업 마스터 역할이 최소한 5개 이상 있습니다. 포리스트 차원의 작업 마스터 역할은 모든 포리스트에서 하나만 나타나야 합니다. 도메인 차원의 작업 마스터 역할은 포리스트의 모든 도메인에서 하나만 나타나야 합니다.


참고

작업 마스터 역할은 FSMO(신축 단일 마스터 작업)라고도 합니다.

2 포리스트 차원의 작업 마스터

모든 포리스트에는 다음과 같은 역할이 있어야 합니다,

스키마 마스터
도메인 명명 마스터

이러한 역할은 포리스트에서 고유성을 유지해야 합니다. 이는 전체 포리스트에 걸쳐 스키마 마스터 및 도메인 명명 마스터가 각각 하나씩만 존재할 수 있다는 뜻입니다,

2.1스키마 마스터

스키마 마스터 도메인 컨트롤러는 스키마에 대한 모든 업데이트와 변경 내용을 제어합니다. 포리스트의 스키마를 업데이트하려면 스키마 마스터에 액세스할 수 있어야 합니다. 전체 포리스트에 걸쳐 스키마 마스터가 하나만 존재할 수 있습니다.

2.2도메인 명명 마스터

도메인 명명 마스터 역할을 맡은 도메인 컨트롤러는 포리스트에 도메인을 추가하거나 제거하는 것을 제어합니다. 전체 포리스트에 걸쳐 도메인 명명 마스터가 하나만 존재할 수 있습니다.

참고

Windows Server 2003을 실행하는 모든 도메인 컨트롤러는 도메인 명명 마스터의 역할을 수행할 수 있습니다. 도메인 명명 마스터의 역할을 수행하는 Windows 2000 서버를 실행하는 도메인 컨트롤러를 글로벌 카탈로그 서버로 사용할 수 있어야 합니다.

3도메인 차원의 작업 마스터

포리스트의 모든 도메인에는 다음과 같은 역할이 있어야 합니다.

RID(상대 ID) 마스터
PDC(주 도메인 컨트롤러) 에뮬레이터 마스터
인프라 마스터

이러한 역할은 각 도메인에서 고유성을 유지해야 합니다. 이는 포리스트에 있는 각 도메인이 RID 마스터, PDC 에뮬레이터 마스터 및 인프라 마스터를 각각 하나씩만 가질 수 있다는 뜻입니다.

3.1 RID 마스터

RID 마스터는 일련의 RID(상대 ID)를 자기 도메인에 있는 각 도메인 컨트롤러에 할당합니다, 포리스트의 각 도메인에서 RID 마스터로 작동하는 도메인 컨트롤러는 언제나 하나만 존재할 수 있습니다.

도메인 컨트롤러가 사용자, 그룹 또는 컴퓨터 개체를 만들 때마다 개체에 고유 SID(보안 식별자)를 할당합니다. SID는 해당 도메인에서 만들어진 모든 SID에 동일한 도메인 SID와 해당 도메인에서 만들어진 각 SID에 고유한 RID로 구성됩니다.

Movetree.exe를 사용하여 도메인 간에 개체를 이동하려면 현재 개체를 포함하고 있는 도메인의 RID 마스터로 작동하는 도메인 컨트롤러에서 이동을 시작해야 합니다,

3.2 PDC 에뮬레이터 마스터

도메인에 Windows 2000 또는 Windows XP Professional 클라이언트 소프트웨어 없이 작동하는 컴퓨터가 있거나 Windows NT BDC(백업 도메인 컨트롤러)가 있는 경우에는 PDC 에뮬레이터 마스터가 Windows NT 주 도메인 컨트롤러로 작동합니다. PDC 에뮬레이터는 클라이언트의 암호 변경을 처리하고 BDC에 업데이트를 복제합니다. 포리스트의 각 도메인에서 PDC 에뮬레이터 마스터로 작동하는 도메인 컨트롤러는 언제나 하나만 존재할 수 있습니다.

기본적으로 PDC 에뮬레이터 마스터는 도메인 전체의 모든 도메인 컨트롤러에서 시간을 동기화하는 역할도 맡고 있습니다. 도메인의 PDC 에뮬레이터는 자신의 시간을 부모 도메인에 있는 임의 도메인 컨트롤러의 시간으로 설정합니다. 부모 도메인에 있는 PDC 에뮬레이터는 외부 시간 원본과 동기화되도록 구성해야 합니다. “net time” 명령을 다음 구문과 함께 실행하면 PDC 에뮬레이터의 시간을 외부 서버와 동기화할 수 있습니다.

net time \\ServerName/setsntp:TimeSource

마지막에는 전체 포리스트에서 Windows Server 2003 또는 Windows 2000을 실행하는 모든 컴퓨터의 시간이 몇 초만 차이가 납니다.

PDC 에뮬레이터는 도메인에 있는 다른 도메인 컨트롤러가 변경한 암호를 우선적으로 전달받습니다. 최근에 암호가 변경된 경우 어느 정도 시간이 지나야 도메인의 모든 도메인 컨트롤러에 변경 내용이 복제됩니다. 잘못된 암호 때문에 다른 도메인 컨트롤러에서 로그온 인증이 실패하는 경우 도메인 컨트롤러는 로그온을 거부하기 전에 PDC 에뮬레이터에 인증 요청을 전달합니다.

PDC 에뮬레이터 역할을 갖도록 구성된 도메인 컨트롤러는 다음 두 가지 인증 프로토콜을 지원합니다.

Kerberos V5 프로토콜
NTLM 프로토콜

3.3 인프라 마스터

각 도메인에서 인프라 마스터로 작동하는 도메인 컨트롤러는 언제나 하나만 존재할 수 있습니다. 인프라 마스터는 자기 도메인에 있는 개체의 조회를 다른 도메인에 있는 개체로 업데이트하는 역할을 합니다. 인프라 마스터는 자신이 가지고 있는 데이터와 글로벌 카탈로그의 데이터를 비교합니다. 모든 도메인에 있는 개체의 업데이트가 복제를 통해 글로벌 카탈로그에 주기적으로 전달되기 때문에 글로벌 카탈로그 데이터는 언제나 최신 상태를 유지합니다. 인프라 마스터는 오래된 데이터를 발견하면 글로벌 카탈로그에 업데이트된 데이터를 요청합니다. 그런 다음 업데이트된 데이터를 도메인에 있는 다른 도메인 컨트롤러로 복제합니다.

중요

도메인에 도메인 컨트롤러가 두 개 이상 있는 경우 글로벌 카탈로그를 호스팅하는 도메인 컨트롤러에 인프라 마스터 역할을 할당하면 안 됩니다. 인프라 마스터와 글로벌 카탈로그가 같은 도메인 컨트롤러에 있으면 인프라 마스터가 작동하지 않습니다. 인프라 마스터가 오래된 데이터를 찾지 못하기 때문에 도메인에 있는 다른 도메인 컨트롤러에 변경 내용이 결코 복제되지 않습니다.도메인에 있는 모든 도메인 컨트롤러가 글로벌 카탈로그도 호스팅하는 경우 모든 도메인 컨트롤러가 최신 데이터를 유지하며 어떠한 도메인 컨트롤러가 인프라 마스터 역할을 수행하든 관계없습니다.

인프라 마스터는 그룹의 구성원이 변경되거나 이름이 바뀔 때마다 그룹과 사용자 간 조회를 업데이트하는 역할도 담당합니다. 이동하거나 이름을 바꾼 그룹 구성원이 작업 중인 그룹의 도메인이 아닌 다른 도메인에 속해 있는 경우 그룹에는 일시적으로 구성원이 없는 것으로 표시됩니다. 그룹이 속해 있는 도메인의 인프라 마스터는 구성원의 새 이름이나 위치를 알 수 있도록 그룹을 업데이트해야 합니다. 따라서 사용자 계정의 이름을 바꾸거나 이동하더라도 이 사용자 계정과 관련된 그룹 구성원 자격이 손실되지 않습니다. 인프라 마스터는 멀티마스터 복제를 통해 업데이트를 배포합니다.

구성원의 이름을 바꾸고 그룹을 업데이트하는 동안 보안에는 어떠한 영향도 미치지 않습니다. 해당 그룹 구성원을 모니터링하는 관리자만 일시적으로 일치하지 않는 문제를 인식할 수 있습니다.

Facebook Comments

Leave A Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.