Network/WindowsServer

WindowsServer 2019 - AD (FSMO(Flexible Single Master Operation))

잇(IT) 2022. 4. 28. 17:29

목차

1. Forest 영역

2. Domain 영역

3. FSMO(Flexible Single Master Operation)

4. FSMO GUI로 변경

5. FSMO CLI로 변경


- Windows Server 2000 이후 PDC, BDC 모델은 PDC 모델로 바뀌었다.

- PDC 모델은 모든 DC가 PDC로 동작하기 때문에 특정 작업에 있어서 한대의 PDC가 해당 작업을 제어해야 한다.

- PDC 중 작업을 맡아서 하는 서버를 작업 마스터(Operation Master)라고 부른다.

 

 

1. Forest 영역

1.1 Schema Master

- Forest 전체의 Schema의 일관성을 유지한다.

- App 설치 시 Schema가 변경되는 경우 Exchange Server 설치 정도임으로 고장이 나도 쉽게 알 수 없다.

- AD의 모든 개체들의 속성과 클래스를 정의하는 데이터베이스다.

- AD Schema에 대한 모든 업데이트를 제어하며 주요 목적은 다른 Domain Controller에 Schema를 복제하는 역할을 담당한다.

1.2 Domain Naming Master

- Forest 전체의 Domain에 대한 일관성 유지(중복 Domain을 허용하지 않는다.)

- 전체 Domain 환경이 구성되고 난 후 Domain을 추가하는 경우가 거의 없음으로 고장 여부를 쉽게 알 수 없다.

- Forest에 새로운 도메인을 추가하거나 제거하는 것이 주요 역할이다.

 

2. Domain 영역

2.1 RID Master

- RID란 SID 끝부분의 숫자로 Administrator는 500번, 일반 사용자는 1000번 이후가 할당된다.

  -> 모든 객체는 SID(Security Identify) + RID(Relative Identify)가 할당되어 객체의 고유값을 보장한다.

- 각 DC별로 500개의 RID가 할당된다. 500명 이상의 사용자 생성 시 RID Master에게 추가 할당을 받아야 한다.

- RID를 관리하는 서버가 RID Master다.

- System 구축 완료 후 대규모 사용자 추가가 없기에 고장이 나도 쉽게 알 수 없다.

- 객체의 고유값을 보장해주는 역할이다.

2.2 PDC

- 사용자의 Password 변경 사항 추척, 고장 시 사용자 Password 변경을 알지 못하기 때문에 고장을 쉽게 알 수 있다.

- 서버의 시간 동기화, Kerbelos는 서버끼리 시간 차이가 5분만 나도 인증이 불가하다.

- 그룹 정책의 시작점이다.

2.3 Infrastructure Master

- 상호 참조하는 개체의 이름 변경 사항을 추적한다.

- 이름 변경은 거의 없음으로 고장이 나도 쉽게 알 수 없다.

- GC에서 도메인 간 참조 및 개체를 업데이트한다.


3. FSMO(Flexible Single Master Operation)

 

- netdom query fsmo 명령어를 통해 작업 마스터를 확인 할 수 있다.


4. FSMO GUI로 변경

 

 

- 기본적으로 5가지의 작업 마스터는 전부 Root DC이 작업 마스터로 지정되어 있는 것을 확인 할 수 있다.

 

- Schema Master 콘솔을 mmc 스냅인에 추가 시키기 위한 명령어를 cmd창에 입력해준다.

 

- MMC는 윈도우 쉽게 관리할 수 있도록 도와주는 설정이다.

- 콘솔에 윈도우 설정을 한곳에 모아두고 보거나 변경할 수 있도록 도와준다.

 

- 'Active Directory 도메인 및 트러스트, 사용자 및 컴퓨터, 사이트 및 서비스, 스키마'를 추가 해준다.

- 'Active Directory 스키마'를 반드시 추가해준다.

 

- 바탕화면에 추가해준다.

 

- 연결할 도메인 컨트롤러를 Root DC가 아닌 다른 DC로 설정해준다.

 

- DC를 변경한 다음 작업 마스터를 Root DC가 아닌 다른 DC로 변경해준다.

 

- 5개의 작업 마스터의 DC를 전부 Root DC에서 다른 DC로 변경해준다.

 

- 변경 뒤 'netdom query fsmo' 명령어를 입력하게 되면 작업 마스터가 전부 변경 된 것을 확인 할 수 있다.


4. FSMO CLI로 변경

 

- 명령어 확인은 '?'로 확인한다.

- ntdsutil -> roles -> connections -> connect to server [Netbios명]

- 작업 전 대상 서버로의 자격 증명 연결을 먼저 해야한다.

- 'quit' 명령어를 사용하여 한단계 위로 올라간다.

- seize는 강제로 작업 마스터를 점유하는 작업이다.

- 점유 전 항상 전송(Transfer)을 먼저 시도한다.

- seize가 되면 이전 작업 마스터가 가지고 있던 모든 정보는 사라지게 된다.(문제 발생 소지가 있다.)

  -> 때문에 항상 전송(Transfer)를 먼저 시도하는 것이 좋다. (이전 작업 마스터가 사라지지 않은 경우를 말한다.)

 

- 'seize' 명령어를 사용하여 rid master DC 변경을 시도한다.

 

- 'transfer' 명령어를 사용하여 pdc master DC 변경을 시도한다.

 

- 나머지 master들도 마찬가지로 DC를 변경해준다.

 

- 'netdom query fsmo' 명령어를 사용하여 확인해보면 다시 각 작업 마스터의 DC가 변경된 것을 확인 할 수 있다.


728x90