Computer >> 컴퓨터 >  >> 체계 >> Windows Server

다른 도메인 컨트롤러로 FSMO 역할 이전/점유

이 기사에서는 Active Directory에서 FSMO 역할이 있는 도메인 컨트롤러를 찾는 방법, 하나 이상의 FSMO 역할을 다른(추가/보조) 도메인 컨트롤러로 전송하는 방법 및 도메인에 장애가 발생한 경우 FSMO 역할을 점유하는 방법을 고려할 것입니다. 컨트롤러 FSMO 역할 소유자.

Active Directory 도메인의 FSMO 역할 이해

FSMO(유연한 단일 마스터 작업 ) Active Directory 도메인의 역할? 모든 도메인 컨트롤러에서 Active Directory에서 대부분의 표준 작업(예:새 사용자 계정 및 보안 그룹 만들기 또는 컴퓨터를 도메인에 가입)을 수행할 수 있습니다. AD 복제 서비스는 이러한 변경 사항을 AD 디렉터리 전체에 배포하는 역할을 합니다. 다른 충돌(예:여러 도메인 컨트롤러에서 사용자 계정의 동시 이름 바꾸기)은 간단한 원칙을 사용하여 해결됩니다. 마지막 원칙이 맞습니다. 그러나 충돌이 허용되지 않는 여러 작업이 있습니다(예:새 자식 도메인/포리스트 생성, AD 스키마 변경 등). 고유성이 필요한 작업을 수행하려면 FSMO 역할이 있는 도메인 컨트롤러가 필요합니다. FSMO 역할의 주요 임무는 이러한 충돌을 방지하는 것입니다.

5개가 있을 수 있습니다. Active Directory 도메인의 FSMO 역할.

두 가지 역할 AD 에 대해 고유합니다. :

  1. 스키마 마스터 Active Directory 스키마 변경을 담당합니다(예:adprep /forestprep를 사용하여 AD 스키마를 확장하는 경우). 명령;
  2. 도메인 명명 마스터 AD 포리스트에서 생성하는 모든 도메인 및 애플리케이션 섹션에 고유한 이름을 제공합니다(이를 관리하려면 "엔터프라이즈 관리자" 권한이 필요함).

그리고 가 있습니다. 각 도메인의 역할 (관리하려면 계정이 "Domain Admins" 그룹의 구성원이어야 함):

  1. PDC 에뮬레이터 Windows 네트워크의 기본 브라우저입니다.( Domain Master Browser는 네트워크 환경의 컴퓨터를 표시하는 데 사용됨), 잘못된 암호를 입력할 때 사용자 잠금을 추적하고 도메인의 기본 NTP 서버이며 Windows 2000/NT를 실행하는 클라이언트와의 호환성을 제공하는 데 사용됩니다. 네임스페이스 정보를 업데이트하기 위해 DFS 루트 서버에 의해;
  2. 인프라 마스터 도메인 간 개체 링크 업데이트를 담당합니다. 및 adprep /domainprep 명령이 실행됩니다.
  3. RID 마스트 r — 서버가 고유한 SID(개체 식별자)를 생성하기 위해 RID(500개 팩 단위)를 다른 도메인 컨트롤러에 배포합니다.

도메인의 FSMO 역할 소유자를 나열하는 방법

Active Directory 도메인에서 어떤 도메인 컨트롤러가 FSMO 역할 소유자인지 어떻게 알 수 있습니까?

도메인의 모든 FSMO 역할 소유자를 찾으려면 다음 명령을 실행하십시오.

netdom query fsmo

다른 도메인 컨트롤러로 FSMO 역할 이전/점유 

Schema master dc01.test.com
Domain naming master dc01.test.com
PDC dc01.test.com
RID pool manager dc01.test.com
Infrastructure master dc01.test.com

다른 도메인의 FSMO 역할을 볼 수 있습니다.

netdom query fsmo /domain:woshub.com

이 예에서 모든 FSMO 역할이 DC01에 있음을 알 수 있습니다. 새 AD 포리스트(도메인)를 배포할 때 모든 FSMO 역할은 첫 번째 DC에 배치됩니다. RODC를 제외한 모든 도메인 컨트롤러는 모든 FSMO 역할의 소유자가 될 수 있습니다. 따라서 도메인 관리자는 FSMO 역할을 다른 도메인 컨트롤러로 이전할 수 있습니다.

Get-ADDomainController cmdlet을 사용하여 PowerShell을 통해 도메인의 FSMO 역할에 대한 정보를 얻을 수 있습니다(PowerShell용 RSAT Active Directory 모듈이 설치되어 있어야 함).

Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest, OperationMasterRoles |Where-Object {$_.OperationMasterRoles}

또는 다음과 같이 포리스트 또는 도메인 수준 FSMO 역할을 볼 수 있습니다.

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

다른 도메인 컨트롤러로 FSMO 역할 이전/점유

다음은 도메인에서 FSMO 역할 배치에 대한 일반적인 Microsoft 권장 사항입니다.

  • 포리스트 수준 역할(스키마 마스터 및 도메인 명명 마스터)을 동시에 글로벌 카탈로그 서버인 루트 도메인에 배치합니다.
  • 3개의 도메인 FSMO 역할을 모두 적절한 성능을 가진 하나의 도메인 컨트롤러에 배치합니다.
  • 모든 포리스트 DC는 AD 안정성과 성능을 향상시키므로 글로벌 카탈로그 서버여야 합니다. 그러면 인프라 마스터 역할은 실제로 필요하지 않습니다. 글로벌 카탈로그 역할이 없는 DC가 있는 경우 여기에 인프라 마스터 역할을 배치하십시오.
  • FSMO 역할 소유자 DC에 다른 작업을 배치하지 마십시오.

AD MMC 그래픽 스냅인, ntdsutil.exe를 사용하여 Active Directory에서 FSMO 역할을 전송할 수 있습니다. 또는 PowerShell . FSMO 역할 전송은 AD 인프라를 최적화하거나 FSMO 역할을 맡은 DC가 치명적인 하드웨어/소프트웨어 오류를 겪었을 때 관련이 있습니다. FSMO 역할을 이동하는 방법에는 두 가지가 있습니다. 이전 (두 DC를 모두 사용할 수 있는 경우) 또는 점유 (FSMO 역할이 있는 DC를 사용할 수 없거나 손상된 경우).

PowerShell로 FSMO 역할을 어떻게 이전하나요?

도메인에서 FSMO 역할을 전송하는 가장 쉽고 빠른 방법은 Move-ADDirectoryServerOperationMasterRole을 사용하는 것입니다. PowerShell cmdlet.

한 번에 하나 이상의 FSMO 역할을 지정된 DC로 전송할 수 있습니다. 다음 명령은 두 가지 역할을 DC02로 이동합니다.

Move-ADDirectoryServerOperationMasterRole -Identity dc03 -OperationMasterRole PDCEmulator, RIDMaster

다른 도메인 컨트롤러로 FSMO 역할 이전/점유

OperationMasterRole에서 인수를 사용하면 다음 표에 따라 FSMO 역할의 이름이나 해당 인덱스를 지정할 수 있습니다.

PDCE 에뮬레이터 0
RID마스터 1
인프라 마스터 2
스키마마스터 3
도메인 이름 지정 마스터 4

더 짧은 형식의 이전 명령은 다음과 같습니다.

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole 0,1

모든 FSMO 역할을 추가 도메인 컨트롤러로 한 번에 전송하려면 다음 명령을 실행하십시오.

Move-ADDirectoryServerOperationMasterRole -Identity dc03 -OperationMasterRole 0,1,2,3,4

Active Directory 그래픽 스냅인을 사용하여 FSMO 역할 전송

FSMO 역할을 이동하기 위해 표준 Active Directory 그래픽 스냅인을 사용할 수 있습니다. 전송 작업은 FSMO 역할이 있는 DC에서 수행하는 것이 바람직합니다. 서버 로컬 콘솔을 사용할 수 없는 경우 도메인 컨트롤러 변경을 사용하세요. 옵션을 선택하고 MMC 스냅인에서 도메인 컨트롤러를 선택합니다.

다른 도메인 컨트롤러로 FSMO 역할 이전/점유

RID 마스터, PDC 에뮬레이터 및 인프라 마스터 역할을 이전하는 방법은 무엇입니까?

도메인 수준 역할(RID, PDC, 인프라 마스터)을 전송하기 위해 Active Directory 사용자 및 컴퓨터(DSA.msc) 콘솔이 사용됩니다.

  1. ADUC(Active Directory 사용자 및 컴퓨터) 스냅인을 엽니다.
  2. 도메인 이름을 마우스 오른쪽 버튼으로 클릭하고 Operations Master를 선택합니다.;
    다른 도메인 컨트롤러로 FSMO 역할 이전/점유
  3. 3개의 탭(RID, PDC, 인프라)이 있는 창이 나타납니다. 이 탭을 사용하여 새 FSMO 소유자를 지정하고 변경을 클릭하여 해당 역할을 이전합니다. 버튼.
    다른 도메인 컨트롤러로 FSMO 역할 이전/점유

스키마 마스터 역할을 이전하는 방법은 무엇입니까?

포리스트 수준의 스키마 마스터 FSMO를 전송하기 위해 Active Directory 스키마 스냅인이 사용됩니다.

  1. 스냅인을 시작하기 전에 regsvr32 schmmgmt.dll을 실행하여 schmmgmt.dll 라이브러리를 등록해야 합니다. 명령 프롬프트에서;
    다른 도메인 컨트롤러로 FSMO 역할 이전/점유
  2. MMC를 입력하여 MMC 콘솔을 엽니다. 명령 프롬프트에서;
  3. 파일 선택 -> 스냅인 추가/제거 메뉴에서 Active Directory 스키마를 추가합니다. 콘솔;
    다른 도메인 컨트롤러로 FSMO 역할 이전/점유
  4. 콘솔 루트(Active Directory 스키마)를 마우스 오른쪽 버튼으로 클릭하고 작업 마스터를 선택합니다.;
  5. 스키마 마스터 역할을 이전할 도메인 컨트롤러 이름을 입력한 다음 변경을 클릭합니다. 그리고 확인. 버튼을 사용할 수 없는 경우 계정이 Schema admins 그룹의 구성원인지 확인하십시오.
    다른 도메인 컨트롤러로 FSMO 역할 이전/점유

도메인 네이밍 마스터 FSMO를 어떻게 이전하나요?

  1. Domain Naming Master FSMO 역할을 이전하려면 Active Directory 도메인 및 트러스트 콘솔;
  2. 도메인 이름을 마우스 오른쪽 버튼으로 클릭하고 Operations Master를 선택합니다.;
  3. 변경을 클릭합니다. , 도메인 컨트롤러의 이름을 입력하고 확인을 클릭합니다.
    다른 도메인 컨트롤러로 FSMO 역할 이전/점유

Ntdsutil.exe를 사용하여 명령 프롬프트에서 FSMO 역할 전송

중요. ntdsutil.exe 도구를 주의해서 사용하고 현재 수행 중인 작업을 확인하지 않으면 Active Directory 도메인이 손상될 수 있습니다!
  1. 도메인 컨트롤러에서 명령 프롬프트를 실행하고 다음을 실행합니다. ntdsutil
  2. 다음 명령을 입력하십시오. roles
  3. 다음:connections
  4. 그런 다음 FSMO 역할을 이전할 DC에 연결해야 합니다. 이를 수행하려면 다음을 입력하십시오. connect to server <servername>에 연결
  5. q 입력 Enter 키를 누릅니다.
  6. FSMO 역할을 이전하려면 다음 명령을 사용하십시오. transfer <role> , 여기서 은 이전하려는 역할입니다. 예:transfer schema master , transfer RID 등;
    다른 도메인 컨트롤러로 FSMO 역할 이전/점유
  7. FSMO 역할 이전 확인,
    다른 도메인 컨트롤러로 FSMO 역할 이전/점유
  8. 완료되면 q를 누르십시오. 그런 다음 Enter를 눌러 ntdsutil.exe를 종료합니다.
  9. 도메인 컨트롤러를 다시 시작합니다.

AD FSMO 역할 점유

FSMO 역할 중 하나가 있는 DC가 손상되었거나(복구할 수 없음) 오랫동안 사용할 수 없는 경우 해당 역할을 강제로 점유할 수 있습니다. 그러나 AD에 새로운 문제가 발생하지 않도록 하려면(나중에 백업에서 DC를 복원하더라도) 역할을 점유한 서버가 네트워크에 나타나지 않도록 하는 것이 매우 중요합니다. 손상된 DC를 도메인으로 반환하려는 경우 올바른 유일한 방법은 AD에서 컴퓨터 계정을 제거하고 새 호스트 이름으로 Windows를 새로 설치하고 ADDS 역할을 설치하고 서버를 도메인 컨트롤러로 승격하는 것입니다.

PowerShell 또는 NTDSUtil을 사용하여 FSMO 역할을 점유할 수 있습니다.

FSMO 역할을 점유하는 가장 쉬운 방법은 PowerShell을 사용하는 것입니다. 이를 위해 동일한 Move-ADDirectoryServerOperationMasterRole cmdlet이 사용되지만 –Force 매개변수가 추가됩니다.

예를 들어 PDCEmulator 역할을 점유하고 DC02로 강제 전송하려면 다음 명령을 실행합니다.

Move-ADDirectoryServerOperationMasterRole -Identity DC2 -OperationMasterRole PDCEmulator –Force

ntdsutil.exe를 사용하여 DC02 서버에 대한 FSMO 역할을 점유할 수도 있습니다. 역할 인수는 일반적인 이전과 유사합니다. 다음 명령을 사용하십시오.

ntdsutil
roles
connections
connect to server DC02 (역할을 이전할 서버)
quit

다른 FSMO 역할을 점유하려면 다음 명령을 사용하십시오.

seize schema master
seize naming master
seize rid master
seize pdc
seize infrastructure master
quit