1 FSMO(Flexible Single Master Operations)란?
Active Directory에서 포리스트내의 특정 작업을 담당하는 DC에 할당되는 역할.
모든 도메인 컨트롤러들은 대부분 동일한 기능을 수행하지만, FSMO역할은 특정 DC에서만 수행될 수 있도록 제한된다.
FSMO 역할은 특정 작업에 대한 마스터 역할을 담당하며, 해당 작업을 수행할 수 있는 단일 DC를 의미한다.
2 FSMO역할
FSMO역할에는 총 5개가 있으며 포리스트별 역할과 도메인별 역할로 구분된다.
기본적으로 AD는 포리스트에 생성된 첫 번째 DC에 모든 작업 마스터 역할을 할당한다.
FSMO 역할은 가능하면 모두 동일한 도메인 컨트롤러에 있어야 한다. 그렇지 않으면 동기화 문제가 발생할 가능성이 있어 AD의 안정성과 일관성에 영향을 줄 수 있다.
관리자가 스키마 마스터 역할 또는 도메인 명명 마스터 역할을 전송할 경우 Enterprise Administrators그룹의 구성원이어야 하고 PDC 에뮬레이터, RID 마스터 및 인프라 마스터 역할을 전송할 경우 해당 역할이 있는 도메인의 Domain Administrators 그룹 구성원이어야 한다.
포리스트별 역할은 포리스트내에서 각각 유일하고 도메인별 역할은 도메인마다 한개식 동작하고 있어야 한다. 보통 포리스트 내에서 첫번째로 생성한 DC에서 5개의 역할을 수행한다.
Per-Forest Roles (포리스트별 역할)
스키마 마스터
AD의 모든 개체들의 속성과 클래스를 정의하는 데이터베이스이다. 스키마 역시 전체 포리스트에 오직 하나의 스키마만을 가지며, 기본적으로 첫 포리스트의 첫 DC가 스키마를 복제하는 Global Catalog를 가지고 있다.
이 역할을 사용하면 포리스트의 다른 모든 도메인 컨트롤러에 스키마 변경 내용을 복제할 수 있습니다. 그러나 Active Directory의 스키마는 거의 변경되지 않으므로 스키마 마스터 역할은 거의 작동하지 않습니다. 이 역할은 일반적으로 교환 서버 서버 및 Skype 비즈니스 서버 및 도메인 컨트롤러를 한 버전에서 다른 버전으로 배포하는데 참여합니다. 이 모든 작업은 활성 디렉터리 스키마를 변경하는 작업이기 때문이다.
스키마 마스터 확인/변경 방법 : 명령어프롬프트 >> regsvr32 schmmgmt.dll(dll파일 등록) >>
*mmc에서 파일 - 스냅인 추가/제거 - AD스키마 관리도구 추가 - 추가된 스키마관리도구 우클릭 작업마스터
*mmc(Microsoft Management Console) : 윈도우의 서버관리를 위한 도구모음.
※ Active Directory 스키마 MMC는 기본 제공되지 않는 스냅인이므로 추가해주어야함.
※ regsvr32 : 윈도우에서 사용할 수 있는 명령줄 도구
도메인 이름 지정 마스터
도메인 이름을 관리하는 역할을 한다.
포리스트에서 새로운 도메인을 생성시 도메인 이름이 중복되지 않게 하고 기존 도메인 및 응용 프로그램 파티션을 삭제하려면 이 역할이 필요하다.
도메인 명명 작업마스터 변경은 Active Directory Domain and Trust에서 가능하다.
도메인 이름 지정 마스터 확인 방법 : 명령어 domain.msc >> AD도메인 및 트러스트 우클릭 작업마스터
도메인 이름 지정 마스터 변경 방법 : AD도메인 컨트롤러 변경 - 변경하려는 DC선택 - 변경 된 DC 우클릭 작업마스터 - 변경
Per-Domain Roles (도메인별 역할)
최상위 PDC는 기본적으로 포리스트내의 루트도메인의 PDC FSMO RID, PDC, 인프라의 작업 마스터 변경을
Active Directory Users and Computers에서 가능하다.
PDC 에뮬레이터
모든 FSMO 역할 중에서 이 역할이 가장 많이 사용되며 가장 광범위한 기능을 가지고 있다.
백워드 호환성, 시간동기화, 암호 업데이트 처리, 그룹 정책 업데이트 및 분산 파일 시스템 등 몇 가지 중요한 작업을 담당한다.
RID 마스터
AD에서 생성되는 모든 객체는 SID + RID가 할당되어 객체의 고유값을 보장하며 생성된다.
즉 객체의 고유성을 관리하고 보장해주는 역할을 한다. RID마스터는 RID풀(pool)을 유지하며 DC에게 RID를 할당하는 작업을 한다.
지정된 도메인의 모든 DC에서 RID 풀 요청을 처리하는 단일 DC이다.
*SID(Security ID) : 사용자, 컴퓨터 또는 보안 그룹이 생성될 때 부여되는 유일한 식별 값.
도메인을 구분할 수 있는 ID로 각 32비트의 숫자를 가진다.
SID 확인
1) whoami /user
2) AD 사용자 및 컴퓨터(dsa.msc) > 보기 - 고급체크 > 계정속성 > 특성 편집기 탭 > objectSid 에서 Sid 확인.
3) 레지스트리(실행 > regedit) HKLM\SOFTWARE\Microsoft\\WindowsNT\CurrentVersion\ProfileList
**RID(Relative ID) : 도메인에서 계정 또는 그룹을 구분하는 값이다. 도메인내에서 하나의 DC는 RID Pool FSMO를 가지게 되고 500개의 RID Pool 할당을 관리한다.
도메인내의 다른 DC에서는 할당받은 500여개의 RID를 이용하여 계정을 생성할 수 있다. RID가 반정도 소모되면 작업마스터가 재 충전한다.이러한 RID를 분배해주는 역할을 하는 컴퓨터를 RID 작업 마스터라고 한다.
인프라 마스터
도메인 간 개체 참조를 올바르게 처리하는 것을 목표로 한다. 이 역할은 한 도메인의 사용자가 다른 도메인의 보안 그룹에 올바르게 추가되는지 여부를 확인한다. 도메인이 하나만 있는 경우 인프라 마스터 역할은 전혀 작동하지 않으며 복잡한 사용자 관리 작업이 수행되지 않는 한 다중 도메인 환경에서도 거의 사용되지 않는다.
도메인이 2개 이상 있는경우 인프라마스터와 GC서버는 같은 DC에 두면 안된다.
3 FSMO역할 이동
*NTDSUTIL : AD 데이터베이스에 액세스하고 관리하기 위한 명령줄 도구.
참고. NTDSUTIL을 이용한 FSMO이동
https://happygom.com/?p=3346
'Windows > Active Directory' 카테고리의 다른 글
| [Active Directory] 오류정리 (0) | 2023.04.12 |
|---|---|
| [Active Directory] 도메인컨트롤러간 복사하는 정보 (0) | 2023.01.26 |
| [Active Directory] 인증서 서비스 서버 역할 설치, Exchange 인증서 설정 (0) | 2020.01.12 |
| [Active Directory] DSRM (0) | 2019.12.30 |
| [Active Directory] Active Directory (0) | 2019.12.29 |
